+507 306-1250 info@central-crm.com

Bienvenidos Al

Blog


La segunda macro-etapa de la metodología de Gestión de Riesgos de acuerdo a la norma ISO 31000 en su versión de 2018 es la Valoración de los Riesgos que se compone de tres etapas (1) Identificación de los Riesgos, (2) Análisis de los Riesgos y (3) Evaluación de los riesgos. En la norma ISO 31000 éstas 3 etapas se especifican y delimitan por separado en la práctica se pueden desarrollar conjuntamente.

La etapa de Identificación de los Riesgos busca descubrir y describir las amenazas y vulnerabilidades que pueden impactar negativamente en el logro y consecución de los objetivos que hayan establecido la organización para el ámbito específico en el que se realiza la Gestión de Riesgos, como por ejemplo prevención de delitos de BC/FT, control de accidentes personales, gestión financiera u otros ámbitos propios de la administración de las organizaciones.

El ejercicio de Identificación de los Riesgos debe responder las siguientes interrogantes básicas:
  • ¿Qué amenaza puede manifestarse que afecta la consecución del objetivo?
  • ¿Qué causa la ocurrencia de la amenaza?
  • ¿Cuándo puede ocurrir?
  • ¿Cómo puede ocurrir?
Para guiar la búsqueda y reconocimiento de los riesgos se pueden utilizar los siguientes puntos de referencia:
  • Información sobre los objetivos establecidos en los planes estratégicos, operativos, comerciales y financieros en función del ámbito sobre el que se gestionará los riesgos.
  • Los resultados obtenidos en la etapa de Análisis de Contexto ejecutada previamente en los que se verificó el contexto interno y el contexto externo.
  • Análisis de las reglas específicas que debe ejecutar la organización de acuerdo a las regulaciones y disposiciones legales que sean aplicables a la organización.
  • Las debilidades de control interno identificadas por la auditoría interna y externa.
  • La voz experta tanto de colaboradores como de analistas externos que con su conocimiento y experiencia pueden identificar amenazas para la organización.
  • Ocurrencia real de riesgos en otras organizaciones similares en su localidad u otras jurisdicciones.
El descubrimiento y detalle de los riesgos debe realizarse a través de un nivel de detalle que permita su análisis, el establecimiento de indicadores que permitan su detección y la asignación de medidas de mitigación y control. Identificadas las amenazas y riesgos es importante describirlos claramente para asegurar su comprensión de forma que se puedan analizar y evaluar utilizando un enunciado que revele la causa y efecto, como por ejemplo: El <descripción del evento> causado por <descripción de la causa> resulta en <impacto>. 


La Identificación de Riesgos requiere un gran nivel de rigurosidad y detalle para evitar que se dejen de descubrir y detallar amenazas y riesgos. Los riesgos que no sean inventariados en esta etapa pueden quedar fuera del análisis y evaluación posterior y finalmente no serían tratados, mitigados o controlados. Básicamente, no se puede analizar y tratar las amenazas que no se conocen.

Compartir en:


No hay comentarios.:

Publicar un comentario

Nota: sólo los miembros de este blog pueden publicar comentarios.

Suscribirse a: Comentarios de la entrada (Atom)
Con tecnología de Blogger.