Trabajar con riesgos

Un riesgo puede ser una incertidumbre o una oportunidad que puede surgir a partir de la toma de decisiones empresariales. Hay riesgos que pueden afectar el funcionamiento diario de su organización. Estos riesgos deben identificarse y mitigarse para que las operaciones de su organización transcurran sin problemas.

La aplicación Gestor de riesgos requiere una suscripción a Gestión de riesgos de TI (anteriormente, ITRMBond) o a Gestión de riesgos de terceros (anteriormente, ThirdPartyBond).

¿Cuáles son los diferentes tipos de riesgos?

Hay muchas categorías de riesgos, entre otras:

  • Riesgo normativo y de cumplimiento, por ejemplo, introducción de leyes o reglas nuevas
  • Riesgo financiero, por ejemplo, aumento de la tasa de interés de un préstamo comercial o un cliente deudor
  • Riesgo operativo, por ejemplo, avería o robo de equipos esenciales

Cada riesgo se debe identificar, asociar a las entidades relacionadas y también evaluar. Luego, su organización puede decidir los mejores métodos para priorizar y mitigar esos riesgos.

Agregar un riesgo

Para agregar un riesgo en el Gestor de riesgos, siga estos pasos:

  1. Abra la aplicación Gestor de riesgos.

    Se abre la página de inicio del Gestor de riesgos.

  2. Haga clic en + Agregar riesgo.
  3. En el panel Agregar riesgo, ingrese un nombre para el riesgo.
  4. Agregue otros detalles según sea necesario y haga clic en una de las siguientes opciones:
    • Agregar riesgo para guardar el riesgo y cerrar el panel.
    • Guardar y agregar nuevo para guardar el riesgo y agregar otro.

    Resultado Se crean los riesgos.

  5. Opcional. Haga clic en el nombre del riesgo para ver la página de información detallada del riesgo, agregar más detalles y guardar los cambios.

Agregar o cambiar el propietario de un riesgo

Para agregar o actualizar el propietario de un riesgo, siga estos pasos:

  1. Abra la aplicación Gestor de riesgos.

    Se abre la página de inicio del Gestor de riesgos.

  2. En la lista Riesgo, haga clic en el nombre del riesgo cuyo propietario quiere agregar o actualizar.

    Se abre la ficha Detalles.

  3. En el campo Propietario del riesgo, seleccione un usuario y haga clic en Guardar cambios.

    Resultado el riesgo queda asignado al usuario seleccionado y se envía una notificación por correo electrónico al usuario asignado.

Mover un riesgo a través de diferentes flujos de trabajo

Tras crear un riesgo, puede hacerlo avanzar por los diferentes estados del flujo de trabajo en función de sus necesidades y requisitos.

Para mover un riesgo del estado de Borrador al de Identificación y luego al de Análisis, siga estos pasos:

  1. Abra la aplicación Gestor de riesgos.

    Se abre la página de inicio del Gestor de riesgos.

  2. Haga clic en el nombre del riesgo con el que desea trabajar.

    La página de detalles del riesgo se abre con la ficha Detalles.

  3. Ingrese la información del riesgo, incluyendo el identificador, la descripción y el propietario, y haga clic en Guardar cambios.
  4. En la parte superior derecha, haga clic en Identificar.

    Resultado El estado del flujo de trabajo cambia a Identificación.

  5. Tras verificar que su riesgo cuenta con todos los detalles requeridos, haga clic en Validar.

    Resultado El estado del flujo de trabajo cambia a Análisis.

Nota

Puede seguir los pasos mencionados anteriormente para hacer avanzar el riesgo a través del resto de los estados del flujo de trabajo en función de sus necesidades. Algunos estados de flujo de trabajo pueden tener campos obligatorios; asegúrese que cumplir con los criterios para que el riesgo avance.

Enlazar un riesgo a diferentes entidades

En su organización, un riesgo se relaciona con distintas entidades, como activos, procesos de negocios, etc. Es importante capturar esta relación y enlazar el riesgo con estas entidades, de modo que se pueda calcular con precisión el impacto sobre ellas.

Para enlazar un riesgo a distintas entidades, siga estos pasos:

  1. Abra la aplicación Gestor de riesgos.

    Se abre la página de inicio del Gestor de riesgos.

  2. Haga clic en el nombre del riesgo con el que desea trabajar.

    La página de detalles del riesgo se abre con la ficha Detalles.

  3. Vaya a la ficha Relaciones y haga lo siguiente:
    • Para enlazar un activo, haga clic en Enlazar activos.

      Se abre el cuadro de diálogo Enlazar activos.

      1. Seleccione el tipo de activo y el activo.
      2. Haga clic en Enlazar activos.

        Resultado El activo se enlaza al riesgo.

    • Para enlazar un control, haga clic en Enlazar controles.

      Se abre el cuadro de diálogo Enlazar controles.

      1. Seleccione el tipo de control y el control.
      2. Haga clic en Enlazar controles.

        Resultado El control se enlaza al riesgo.

    • Para enlazar una evaluación del riesgo, haga clic en Enlazar evaluaciones del riesgo.

      Se abre el cuadro de diálogo Enlazar evaluaciones.

      1. Seleccione el tipo de evaluación del riesgo y la evaluación.
      2. Haga clic en Enlazar evaluaciones del riesgo.

        Resultado La evaluación del riesgo se enlaza al riesgo.

  4. Opcional. Puede seguir los pasos anteriores para enlazar el riesgo a otros riesgos también.

Nota

  • Puede enlazar un riesgo a entidades rápidamente desde la página de inicio expandiendo la fila del riesgo y haciendo clic en Agregar relación. Esto es posible solamente si todavía no enlazó el riesgo a ninguna entidad.
  • Cuando enlaza entidades entre sí, se crea un enlace bidireccional. Por ejemplo, cuando enlaza un riesgo con un control, el riesgo enlazado se muestra en la ficha Relaciones del control y el control se muestra en la ficha Relaciones del riesgo. Si los enlaces no funcionan en ambas direcciones, póngase en contacto con Soporte para solicitar ayuda.

Desenlazar el riesgo de otras entidades

Puede desenlazar las relaciones de un riesgo con distintas entidades, como activos, controles y evaluaciones.

Para desenlazar una relación del riesgo, siga estos pasos:

  1. Abra la aplicación Gestor de riesgos.

    Se abre la página de inicio del Gestor de riesgos.

  2. Haga clic en el riesgo con el que desea trabajar.

    La página de detalles del riesgo se abre con la ficha Detalles.

  3. Vaya a la ficha Relación y haga clic en el icono para desenlazar el objeto al que quiere quitarle el enlace.

    Se abre el cuadro de diálogo Desenlazar relación.

  4. Haga clic en Desenlazar objeto.

    Resultado Se quita el enlace del riesgo.

Evaluar un riesgo

Una vez que el riesgo se identifica, se valida y se asocia con distintas entidades, puede evaluarlo y calcular la calificación de riesgo. Debe evaluar su riesgo para valorar el nivel de amenaza potencial del riesgo hacia la organización. Esto se puede hacer mediante la activación de evaluaciones.

Para evaluar un riesgo, siga estos pasos:

  1. Abra la aplicación Gestor de riesgos.

    Se abre la página de inicio del Gestor de riesgos.

  2. Haga clic en el riesgo que desea evaluar.

    Se abre la página de detalles del riesgo.

  3. En la parte superior derecha, haga clic en Evaluar.

    Resultado Se generan las evaluaciones con base en las entidades enlazadas al riesgo. Para más información, consulte ¿Cómo se generan las evaluaciones?

Nota

También puede agregar evaluaciones del riesgo de forma manual en la ficha Evaluación de eventos de riesgo.

¿Cómo se generan las evaluaciones?

Las evaluaciones se generan en función de la asociación de su riesgo con otras entidades, como los activos y los controles.

  • Si el riesgo está asociado únicamente a un activo, solo se genera una evaluación de evento de riesgo.
  • Si el riesgo está asociado tanto a un activo como a un control, se generan tanto la evaluación del evento de riesgo como la del control.
  • Si el riesgo está asociado únicamente a un control, también se generan la evaluación del riesgo y la del control, pero con algunas diferencias, como la convención de nomenclatura.

Por ejemplo, se agregó un riesgo denominado Amenaza de virus, el cual está asociado tanto a un activo como a un control de la siguiente manera:

  • Activo - Computadora portátil
  • Control - Software antivirus

Ahora, al hacer clic en Activos, activa la generación de evaluaciones y sucede lo siguiente:

  • El estado del flujo de trabajo cambia a Evaluación.
  • Se genera una evaluación del riesgo con la convención de nomenclatura: <Nombre del riesgo> - <Nombre del activo>. Por ejemplo, Amenaza de virus - Computadora portátil.
    • La evaluación del riesgo se asocia tanto al riesgo como al activo. Puede ver la evaluación del riesgo en la ficha Evaluación de eventos de riesgo de la página Riesgo y en la ficha Evaluaciones del activo en la aplicación Gestor de activos.
    • Los siguientes campos del riesgo se copian en la evaluación del riesgo: Identificador del riesgo, Descripción del riesgo y Propietario del riesgo.
  • Se genera una evaluación de control con la convención de nomenclatura: <Nombre del control> - <Nombre del riesgo> - <Nombre del activo>. Por ejemplo, Software antivirus - Amenaza de virus - Computadora portátil.
    • La evaluación del control está asociada al control, al riesgo y al activo. Puede ver la evaluación del control en la ficha Evaluaciones de control en la página Control.
    • Los siguientes campos del control se copian en la evaluación del control: Identificador del control, Descripción del control y Propietario del control.

Calcular las calificaciones de riesgo

Las calificaciones de riesgo se pueden calcular de dos maneras:

  • Con la configuración predeterminada Se usa la configuración predeterminada para calcular la calificación de riesgo. Por ejemplo, los campos Probabilidad e Impacto están configurados con una matriz de 3 x 3 (Bajo/a, Medio/a y Alto/a). Puede usar este método para calcular la calificación de riesgo de un riesgo (o de una evaluación de riesgo) en un momento dado. Si desea obtener más información, consulte Con la configuración predeterminada.
  • Con la configuración personalizada Puede personalizar la fórmula para calcular las calificaciones de los riesgos y las evaluaciones. Puede usar este método para calcular la calificación de varios riesgos (o evaluaciones de riesgos) en un momento dado. Si desea obtener más información, consulte Configuración de la calificación de riesgos y evaluaciones en Gestor de riesgos.

Con la configuración predeterminada

Después de activar las evaluaciones, puede calcular las calificaciones de riesgo. Puede hacerlo mediante el cálculo de la calificación de riesgo inherente tanto en los registros de evaluación de riesgos como en los de evaluaciones del riesgo.

Para calcular la calificación de riesgo inherente, es necesario conocer el impacto y la probabilidad de un riesgo. A modo de referencia, consulte la tabla que se muestra a continuación.

Probabilidad Alto/a

Medio/a

 Alto/a Alto/a
Media

Bajo/a

 Media Alto/a
Bajo/a

Bajo/a

 Bajo/a Medio/a
  Bajo/a Media Alto/a
Impacto

Para calcular las calificaciones de riesgo de una evaluación de riesgo con la configuración predeterminada, siga estos pasos:

  1. Abra la aplicación Gestor de riesgos.

    Se abre la página de inicio del Gestor de riesgos.

  2. Haga clic en el riesgo con el que desea trabajar.

    Se abre la página de detalles del riesgo.

  3. Vaya a la ficha Evaluación de evento de riesgo y haga clic en el nombre de la evaluación del riesgo para abrirla.
  4. Complete la información necesaria y, en la parte superior derecha, haga clic en Evaluar.

    Resultado El estado del flujo de trabajo cambia a Evaluación.

  5. Ahora, en la parte superior derecha, haga clic en Calificar.

    Resultado Se calcula la calificación de riesgo, la cual se muestra en el campo Calificación de riesgo inherente.

    Nota

    Compruebe que los campos Impacto y Probabilidad se hayan completado y guardado antes de hacer clic en Calificar.

  6. Haga clic en Aprobar para finalizar la calificación de riesgo.

    Resultado La calificación de riesgo finaliza y el estado del flujo de trabajo cambia a Monitoreo.

  7. Opcional. Puede comenzar de nuevo la evaluación haciendo clic en Reevaluar.

Eliminación de un riesgo

Para eliminar un riesgo, siga estos pasos:

  1. Abra la aplicación Gestor de riesgos.

    Se abre la página de inicio del Gestor de riesgos.

  2. Haga clic en el riesgo que desea eliminar.

    Se abre la página de detalles del riesgo.

  3. En la parte superior derecha, haga clic en Más opciones y luego en Eliminar.
  4. En el cuadro de diálogo de confirmación, haga clic de nuevo en Eliminar.

    Resultado El riesgo se elimina.

¿Qué sigue?

Puede comenzar a trabajar con controles para mitigar los riesgos. Si desea obtener más información, consulte Trabajo con controles.