-          Entrevistas con expertos en el proceso o área de interés.

-          Revisión de registros históricos.

-          Lluvias de ideas.

-          Cuestionarios.

Adicional a lo anterior, también podemos:

-          Elaborar un listado detallado de acontecimientos o de los escenarios que en caso de suceder podrían dar lugar a pérdidas económicas, financieras, o reputacionales en la organización.

-          Identificar y determinar los focos de riesgo de incumplimiento es esencial para que la organización disponga los medios precisos para prevenirlos, detectarlos y gestionarlos.

La identificación de riesgos debe realizarse con una periodicidad mínima anual, para así actualizar la taxonomía de riesgos y poder confirmar aquellos que siguen siendo significativos, eliminar aquellos que ya no apliquen e incorporar los nuevos emergentes, puesto que el contexto en el que opera la organización y sus necesidades son dinámicas.

Para entender e identificar los riesgos de la empresa considero que debemos:

-          Conocer bien los procesos que identifican y gestionan los riesgos.

-          Asesorar sobre cómo cumplir con las leyes aplicables elaborando políticas, procedimientos, y otros documentos, tales como manuales de Compliance, códigos internos de conducta y guías prácticas.

-          Informar que se puede tener daños reputacionales significativos, aunque no se incumpla ninguna ley.

-          Establecer políticas y procedimientos vayan más allá de lo que es legalmente exigible y persigan mayores niveles de integridad y de conductas éticas.

También se puede implementar alguna herramienta que permita realizar un adecuado monitoreo de responsabilidades y ejecución de controles.

ISO 31000 proporciona un marco integral para identificar, analizar, evaluar, tratar, monitorear y comunicar riesgos dentro de cualquier organización. Su enfoque basado en principios permite adaptarla fácilmente a los objetivos específicos y a la estructura del entorno de la ONU, donde la diversidad de amenazas—desde ciberataques hasta interrupciones tecnológicas y riesgos reputacionales—requiere una visión amplia y colaborativa.

El proceso podría estructurarse de la siguiente manera:

·       Contextualización: Definir el contexto interno y externo de la oficina, considerando sus objetivos, partes interesadas, recursos tecnológicos, políticas y cultura organizacional.

·       Identificación de riesgos: Utilizar herramientas como análisis de escenarios, entrevistas a personal clave y revisión de eventos históricos para mapear amenazas potenciales, vulnerabilidades y activos críticos.

·       Análisis y evaluación: Determinar la probabilidad y el impacto de cada riesgo, empleando matrices de riesgo que cuantifiquen y prioricen los escenarios identificados, permitiendo así enfocar recursos en los riesgos más significativos.

·       Tratamiento del riesgo: Desarrollar e implementar planes de mitigación, transferencia, aceptación o eliminación de riesgos, asignando responsabilidades claras y estableciendo mecanismos de revisión y mejora continua.

·       Monitoreo y revisión: Crear indicadores de desempeño y realizar auditorías periódicas para asegurar la vigencia y efectividad de las medidas implementadas.

·       Comunicación y consulta: Fomentar una cultura de transparencia y colaboración, asegurando que toda persona implicada esté informada y preparada para responder ante eventos adversos.

Además, se recomienda complementar el marco ISO 31000 con metodologías tecnológicas específicas, como el análisis de amenazas (Threat Analysis), el uso de controles del estándar NIST y la realización de simulacros de respuesta ante incidentes. Así se logra una perspectiva holística, alineada tanto con los valores de la ONU como con las mejores prácticas internacionales en tecnología de la información y las comunicaciones.

En conclusión, el método ISO 31000, integrado con herramientas especializadas y adaptado a las necesidades particulares de la Oficina de Communications and Technology, ofrece una solución robusta y dinámica para la evaluación y gestión de riesgos en este entorno tan exigente y global.

Sin embargo, en el mediano plazo aspiro a que la organización cuente con un software especializado en gestión de riesgos. Esta herramienta facilita la automatización del proceso, la trazabilidad de la información y el monitoreo en tiempo real de indicadores de riesgo (KRIs). Además, permite documentar evidencias, asignar responsables y generar reportes consistentes para la dirección y los comités de auditoría o compliance.

En conclusión, mi visión es combinar métodos tradicionales (entrevistas, recolección de evidencias, hojas de cálculo) con el uso de tecnología que garantice eficiencia y sostenibilidad en la gestión de riesgos. Este enfoque asegura que la evaluación no se quede en un ejercicio aislado, sino que se convierta en una práctica integrada a la estrategia y cultura organizacional.

1. El objetivo que se persigue

Las evaluaciones de riesgos pueden ser rutinarias, generales, o extraordinarias y específicas. También pueden responder al requerimiento de un estándar o a la exigencia de un organismo regulador, una aseguradora, un cliente o un inversor.

Cada uno de estos escenarios plantea un enfoque diferente y, por supuesto, la adopción de uno u otro método de evaluación de riesgos. Por ejemplo, un método como mapeo total de procesos y procedimientos, puede resultar en extremo complejo para una tarea que pretenda evaluar riesgos en una sección de un área muy definida.

2. Los requerimientos de los grupos de interes en la evaluación

Si la evaluación es para uso interno, los profesionales de gestión de riesgos pueden adoptar una posición un tanto más flexible en cuanto a la metodología que adoptarán. Sin embargo, si existen terceros interesados en el resultado de la evaluación – clientes, inversores, bancos, reguladores…-, es importante revisar las expectativas y requisitos específicos de esos terceros.

Cuando la evaluación es una petición de la Alta Dirección, o de un área crítica dentro de la organización, tiene un tratamiento diferente, y es importante tener en cuenta las expectativas y el objeto de la solicitud.

3. Requisitos reglamentarios o contractuales

Algunas evaluaciones de riesgos aparecen dentro de cláusulas en contratos o convenios. Otras son exigidas por la ley, entre ellas muchas relacionadas con la gestión ambiental, de seguridad de la información o de seguridad y salud en el trabajo.

Las compañías de seguros son otra fuente constante de solicitudes de evaluaciones de riesgos, por obvias razones. Responder a cada uno de estos requisitos requiere la adopción de los métodos que resulten más eficaces para cada momento.