¿Qué es la identificación de riesgos? Las organizaciones deben identificar primero las fuentes de los riesgos, lo que incluye la identificación de posibles fuentes de información, datos, investigación e informes que puedan ayudar a los propietarios de los riesgos a identificar sus fuentes de riesgo relevantes y aplicables. Esto permite a las organizaciones clasificar sus riesgos para analizar el efecto y la probabilidad de los mismos.
¿Qué es la identificación de riesgos?
Los informes de auditoría interna, los informes de inspección de los reguladores, los datos históricos de pérdidas, la información financiera, los datos de reclamaciones de clientes, la base de datos de noticias, los eventos de peligro registrados, los datos de sanciones, etc., son ejemplos de fuentes de riesgo. La organización estructura su proceso de identificación de riesgos en torno a estas fuentes, y todos los departamentos y propietarios de procesos entienden estas fuentes para identificar sus riesgos relacionados.
Los riesgos nuevos, emergentes y cambiantes pueden surgir de un cambio en los objetivos empresariales. Por ejemplo, la entidad adopta una nueva estrategia respaldada por objetivos de negocio o modifica un objetivo de negocio existente); desarrollar a partir de un cambio en un contexto comercial para un mejor cambio en las preferencias de los consumidores por productos ecológicos u orgánicos que tengan impactos potencialmente adversos en las ventas de los productos de la compañía); o se refieren a un cambio en un contexto comercial que puede no haberse aplicado a la entidad anteriormente, por ejemplo, un cambio en las regulaciones que resulta en nuevas obligaciones para la entidad).
También pueden ser desconocidos, como el descubrimiento de la susceptibilidad a la corrosión en las materias primas utilizadas en las operaciones de fabricación de la empresa, o haber sido identificados previamente, pero haber sido modificados debido a un cambio en el contexto empresarial, el apetito por el riesgo o las hipótesis de apoyo. Por ejemplo, un aumento positivo en las previsiones de ventas esperadas que afectan a la capacidad de producción.
Riesgos emergentes
Los riesgos emergentes surgen a medida que el contexto empresarial cambia, y pueden influir potencialmente en el perfil de riesgo de la entidad en el futuro. Hay que tener en cuenta que los riesgos emergentes pueden no entenderse lo suficiente como para identificarlos y evaluarlos eficazmente desde el principio, lo que hace necesaria una identificación más frecuente. Las organizaciones también deben revelar nueva información sobre los riesgos en desarrollo a medida que surjan. La identificación de los riesgos nuevos y emergentes y de los cambios en los riesgos existentes permite a la organización planificar el futuro, dándole tiempo para analizar la posible gravedad de los riesgos y capitalizar estos desarrollos. Esto podría permitir a la organización anticipar la respuesta al riesgo o, si es necesario, revisar la estrategia y los objetivos comerciales.
Algunos riesgos pueden seguir siendo desconocidos, por lo que la empresa no los consideraría durante esta identificación de riesgos. Suelen estar asociados a cambios en la situación de la empresa. Por ejemplo, las acciones o intenciones futuras de los competidores no suelen estar claras; sin embargo, pueden constituir nuevas amenazas para los resultados de la entidad.
Las organizaciones pretenden identificar los riesgos que pueden interrumpir las operaciones y poner en peligro la expectativa razonable de cumplir los objetivos estratégicos y empresariales. Estos riesgos reflejan un cambio importante en el perfil de riesgo y pueden ser sucesos particulares o condiciones en desarrollo. Algunos ejemplos de estos riesgos son: la tecnología emergente, esta ser los avances tecnológicos que pueden afectar a la pertinencia y longevidad de los productos y servicios existentes.
Big Data y análisis de datos
Ampliando el papel de los big data y la analítica de datos, siendo este cómo las organizaciones pueden acceder, transformar y analizar con eficacia y eficiencia grandes volúmenes de fuentes de datos estructurados y no estructurados; agotando los recursos naturales, como la disminución de la disponibilidad y el aumento del coste de los recursos naturales que afectan a la oferta, la demanda y la localización de los productos y servicios; el aumento de las entidades virtuales que influyen en la oferta, la demanda y los canales de distribución de las estructuras de mercado tradicionales
La movilidad de las fuerzas de trabajo, donde las fuerzas de trabajo móvilesy remotas que introducen nuevas actividades en las operaciones diarias de una entidad; y la escasez de mano de obra, que se refiere a Los desafíos de asegurar la mano de obra con las habilidades y los niveles de educación requeridos por las entidades para apoyar el rendimiento.
Descubrir el riesgo está relacionado con la identificación de oportunidades. Es decir, la oportunidad puede surgir del riesgo. Los cambios en la demografía y el envejecimiento de la población, por ejemplo, pueden considerarse tanto un riesgo para la estrategia actual de una entidad como una oportunidad de renovar la mano de obra para perseguir mejor el desarrollo. Del mismo modo, los avances tecnológicos pueden suponer un riesgo para los métodos de distribución y servicio de los minoristas y una oportunidad para modificar la forma en que los consumidores minoristas reciben los productos, por ejemplo, a través de un servicio en línea. Cuando se identifican oportunidades, se comparten en toda la organización para ser consideradas al desarrollar la estrategia y definir los objetivos corporativos.
Inventario de riesgos
Un inventario de riesgos es simplemente un listado de los riesgos a los que se enfrenta una organización. Dependiendo del número de riesgos individuales identificados, las organizaciones pueden estructurar el inventario de riesgos por categorías para proporcionar definiciones estándar para los diferentes riesgos. Esto permite agrupar riesgos similares, como el financiero, el del cliente o el de cumplimiento (o, más ampliamente, el de obligación). Las organizaciones pueden optar por definir aún más los riesgos en subcategorías más detalladas dentro de cada categoría. El inventario de riesgos se puede actualizar para reflejar los cambios identificados por la gerencia.
Dado que el impacto de los riesgos no puede limitarse a niveles o funciones específicas, las actividades de identificación deben captar todos los riesgos. Independientemente de dónde se identifiquen, todos los riesgos forman parte del inventario de riesgos de la entidad. Por ejemplo, una entidad que reconoce los riesgos relacionados con el gobierno del consejo de administración y el cumplimiento de los objetivos de diversidad a nivel de estrategia, debería evaluar igualmente riesgos similares a nivel de objetivos empresariales. Del mismo modo, si una organización detecta el riesgo de incumplir el plazo de facturación de un cliente a nivel de objetivo empresarial, debe analizar las implicaciones de ese riesgo a nivel de entidad.
Identificación exhaustiva de riesgos
Para demostrar que se ha llevado a cabo una identificación exhaustiva de los riesgos, la dirección debe identificar los riesgos y las oportunidades en todas las funciones y niveles, los riesgos que son comunes a más de una función, así como los que son exclusivos de un producto, oferta de servicios, jurisdicción u otra función en particular.
Utilizar la evolución de las capacidades para gestionar el riesgo
Si hay requisitos específicos que impulsan la implementación de capacidades de alto riesgo debido a un desarrollo único, necesidades de rendimiento en el borde de la envoltura, u otros factores, los requisitos deben ser discutidos con los usuarios para determinar su criticidad. Es posible que la necesidad pueda posponerse, y la comunidad de desarrolladores debe determinar cuándo se satisfará.
Ayudar a los usuarios y a los desarrolladores a determinar cuánto riesgo (así como el impacto en el calendario y el coste) debe tener una capacidad concreta en comparación con los requisitos para recibir antes capacidades menos arriesgadas. Tenga en cuenta la viabilidad técnica y el conocimiento de los éxitos y fracasos de la aplicación relacionados cuando desarrolle sus recomendaciones para evaluar el riesgo de aplicarlas ahora y no más tarde.
Reflexiones finales
El riesgo puede provenir de diversos lugares. El equipo del proyecto debe examinar el alcance del programa, las estimaciones de costes, el calendario (incluida la evaluación de la ruta crítica), la madurez técnica, los parámetros clave de rendimiento, los retos de rendimiento, las expectativas de las partes interesadas en comparación con el plan actual, las dependencias externas e internas, los retos de implementación, la integración, la interoperabilidad, la capacidad de soporte, las vulnerabilidades de la cadena de suministro, la capacidad de manejar las amenazas, las desviaciones de costes, las expectativas de eventos de prueba y la seguridad. Además, los datos históricos de proyectos similares, las entrevistas con las partes interesadas y las listas de riesgos proporcionan una visión útil de las áreas de riesgo a tener en cuenta.