Tabla de Contenidos
Definición de Identificación de riesgos
La identificación de riesgos se puede definir como el proceso de determinar qué riesgos son relevantes para una organización.
Proceso de Identificación de riesgos
Puede comenzar a identificar riesgos de muchas maneras diferentes, pero la mejor manera de comenzar el proceso de identificación de riesgos es adoptando un enfoque de «causa raíz». En pocas palabras, la causa raíz es la razón fundamental por la que ocurre un evento. Comprender la causa, no solo los síntomas, le permite dirigir las actividades de mitigación de una manera que neutralice los riesgos y evite que vuelvan a surgir en el futuro.
La estandarización es clave en el proceso de identificación de riesgos, y tener una biblioteca de riesgos permite que las diferentes unidades de negocio se comuniquen de manera uniforme para facilitar la identificación de riesgos y la priorización de los riesgos más críticos.
Técnicas de identificación de riesgos & Métodos
Cuando varias áreas de negocio identifican el mismo problema, los riesgos sistémicos, así como las dependencias ascendentes y descendentes, se pueden identificar y mitigar fácilmente. El método de identificación de riesgos de la causa raíz también identifica las áreas que se beneficiarían de los controles centralizados, lo que elimina el trabajo adicional de mantener controles separados a nivel de actividad.
¿Qué Es La Causa Raíz?
Los controles centralizados son extremadamente importantes desde el punto de vista de la eficiencia; cuanto más pueda lograr con un número determinado de controles (en lugar de diseñar un mayor número de controles únicos), menos pruebas y métricas necesitará ejecutar y recopilar, respectivamente. La identificación de la causa raíz de un riesgo proporciona información sobre qué desencadena una pérdida y dónde es vulnerable una organización. El uso de categorías de fuente raíz proporciona comentarios significativos:
¿Qué pasos se deben tomar para mitigar el riesgo de la manera más efectiva en un programa GRC? La identificación de riesgos basada simplemente en el efecto o el resultado a menudo conduce a actividades de mitigación de riesgos ineficaces.
Las actividades de mitigación de riesgos deben estar dirigidas a la causa raíz y variarán según la fuente del riesgo. Por ejemplo, para prevenir un dolor de cabeza, debe saber por qué tiene uno; si la causa es una enfermedad, consultar a un médico es la actividad de mitigación adecuada. Sin embargo, si los dolores de cabeza son causados por la falta de sueño, debe intentar acostarse antes en lugar de ver a un médico. Una forma de mitigar un dolor de cabeza es tomando un analgésico. El analgésico hará que el dolor de cabeza desaparezca, pero no evitará dolores de cabeza futuros ni se dirigirá a la raíz del problema.