Registro de riesgos y metodología de evaluación

1) Por qué y qué se incluye en el registro

Objetivo: un único sistema de descripción, evaluación, priorización y seguimiento de los riesgos que afectan al dinero (GGR/CF), licencias, jugadores, datos y reputación.
Cobertura: producto/ingeniería (SDLC/incidentes), finanzas y pagos (PSP/conclusiones), KYC/AML/sanciones, privacidad (GDPR), TPRM/vendedores, marketing/SDK, datos (DWH/BI), infraestructura/nubes/DR, operaciones de sapport y VIP.

2) Taxonomía de riesgos (ejemplo)

Seguridad de la información y privacidad: filtraciones de PII/KYC, acceso no autorizado, lógica fallida, DSAR-feiles.
Regulatorio/cumplimiento: violaciones de los términos de licencia, AML/KYC/sanciones, prohibiciones publicitarias.
Operativa/tecnológica: downtime PSP/KYC, defecto de lanzamiento, degradación latency, incidentes DR.
Fraude/abuso: depósitos de Frod, abusiones de bonificación, patrones de ataque de pago.
Finanzas: liquidez de los socios, shocks de chargeback, concentración en un solo PSP.
Vendor/cadena de suministro: SDK vulnerables, subprocesadores con TOMs bajos.
Reputación/clientes: aumento de quejas, caída de NPS, infracciones de RG.
Estratégico/geopolítico: sanciones, cambios de impuestos/leyes, bloqueos de tráfico.

3) Tarjeta de riesgo (campos obligatorios)

ID/Nombre del riesgo

Categoría (a partir de taxonomía)

Descripción del evento (lo que puede suceder) y las causas

Activos/procesos/jurisdicciones bajo influencia

Titular de riesgo (Risk Owner) y curador (Sponsor)

Controles disponibles (preventivos/detectives/correctivos)

Probabilidad (P) e Impacto (I) antes de los controles (inherent)

Riesgo residual (residual) después de los controles

Plan de manejo (tratamiento): reducir/evitar/aceptar/transferir

Umbral de escalamiento/nivel de amenaza (Bajo/Medio/Alto/Crítico)

KRIs y desencadenadores, métricas y fuentes de datos

Estado y fecha límite (Siguiente revisión) relacionados con el SARA/tickets

Relación con el Registro de control (ID de control) y las políticas

Comentarios del auditor/comité (decisiones recientes)

4) Escalas de evaluación (por defecto 5 × 5)

4. 1 Probabilidad (P)

1 - Rara vez (<1/5 años)

2 - Bajo (1/2-5 años)

3 - Promedio (anual)

4 - Alto (trimestre)

5 - Muy alto (mes/más a menudo)

4. 2 Influencia (I) - Seleccionamos el máximo de las ramas

Finanzas: 1: <€10k· 2: €10-100k· 3: €100k-1m· 4: €1-5m· 5:> €5m

Privacidad/datos: 1: <1k registros·...· 5:> 1M registros/especiales

Regulador/licencias: 1: advertencia· 3: multa/verificación· 5: suspensión de la licencia

Accesibilidad (SLO/SLA): 1: <15 min·...· 5:> 8 h para zonas críticas

Puntuación final: 'R = P × I' → niveles: 1-5 Bajo, 6-10 Medio, 12-16 Alto, 20-25 Crítico.

(Los umbrales se pueden adaptar a la empresa.)

5) Matriz de tarjetas de calor y apetito de riesgo

Risk Appetite: documento con tolerancias de dominio (por ejemplo, fugas PII - cero tolerancia; downteim P95 - ≤ X min/mes; chargeback rate — ≤ Y%).
Heatmap: visualización de R en 5 × 5; por encima del apetito - requieren un plan y plazos CAPA.
Risk Budget: cuotas para riesgos «asumibles» con justificación (viabilidad económica).

6) Metodologías de evaluación

6. 1 Calidad (inicio rápido)

Evaluación de expertos en escalas P/I + justificación, conciliación con el historial de incidentes y datos de KRIs.

6. 2 Cuantitativo (prioritario para el Top-10)

Enfoque FAIR (simplificado): frecuencia de eventos × distribución probabilística de daños (P10/P50/P90); útil para comparar las opciones de reducción.
Monte Carlo (1000-10k corridas): variabilidad de daños y frecuencia → Curve de Exceedance Loss (probabilidad de pérdida> X).
TRA (Targeted Risk Analysis): análisis puntual para la selección de frecuencias de monitoreo/control (relevante para PCI/vendedores).

7) KRIs y fuentes

• Disponibilidad/Operaciones: MTTR, errores 5xx, P95 latencia, incidentes de P1/P2,% de la lista automática, capacidad del clúster.
• Seguridad/privacidad:% MFA coverage, intentos de credential stuffing, exportaciones inusuales, DSAR SLA, banderas antimalvar.
• Pagos: tasa automática por PSP, tasa de chargeback, fallo bancario, cuota de cajeros manuales.
• KYC/AML: TAT, tasa positiva falsa, golpes sancionadores, proporción de escaladas.
• Vendedores: SLA compliance, latencia a la deriva, frecuencia de incidentes, relevancia de certificados.

Los KRIs se asocian con los riesgos e inician escaladas al salir de los umbrales.

8) Ciclo de vida del riesgo (flujo de trabajo)

1. Identificación → registro de la tarjeta.
2. Evaluación (inherente) → mapping controles → evaluación residencial.
3. Solución de manejo (tratamiento) y plan CAPA (fechas/propietarios).
4. Monitoreo de KRIs/incidentes, actualización de tarjetas.
5. Comité trimestral de riesgos: revisión de Top-N, re-marcación del apetito.
6. Cierre/consolidación o puesta en observación (watchlist).

9) Comunicación con controles y auditorías

• Preventivos: RBAC/ABAC, SoD, límites, cifrado, WebAuthn, segmentación.
• Detectives: SIEM/alertas, conciliaciones, registros WORM, UEBA.
• Correctivos: retrocesos, bloqueos de pagos, revocación de claves, parches urgentes.
• La auditoría de DE/OE comprueba que los controles reducen el riesgo al apetito y funcionan de forma estable.

10) Ejemplos de tarjetas (YAML, fragmentos)

10. 1 Fuga PII a través del SDK de Vendor (Tier-1)

yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5  # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-15

10. 2 Degradación del PSP: fracaso en la autorización de pagos

yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"

11) Agregación y gestión de cartera

Top-N (Risk Register View): ordenar por residente R y «por encima del apetito».
Temas (Risk Themes): clústeres (vendedores, privacidad, PSP) → propietarios de temas.
Mapas de interdependencia: riski↔kontroli↔vendory↔protsessy.
Scripts y pruebas de estrés: ¿qué pasa si «PSP # 1 y KYC # 1 no están disponibles 2 horas?» - Evaluación de los daños acumulados y plan de acción.
LEC (Loss Exceedance Curve): perfil anual de pérdidas para el consejo/tablero.

12) Umbrales de escalamiento y señales

Operación: SLO/SLA violaciones de → Incidente P1/P2.
Compliance/Privacy: exceso de retransmisión, falta de respuesta de DSAR, exportación sin 'purpose' → escalamiento inmediato de DPO/Legal.
Vendor: interrupciones de SLA repetidas → CAPA en el proveedor, revisión del contrato.
Financiero: salida chargeback> umbrales → comprobaciones manuales, ajuste de límites/bonificaciones.

13) RACI (ampliado)

14) Métricas (KPI/KRI) del sistema de gestión de riesgos

Cobertura: el 100% de los procesos críticos tienen riesgos registrados y propietarios.
Revisión en tiempo: ≥ 95% de las tarjetas son revisadas a tiempo.
Above Appetite: ↓ QoQ proporción de riesgos por encima del apetito.
CAPA Closure (High/Critical): ≥ 95% a tiempo.
Registro de detección: mediana de tiempo desde la desviación de KRI hasta la escalada (tiende a la ↓).
Incidente Recurso: incidentes repetidos por una razón - 0.

15) Hojas de cheques

15. 1 Creación de una tarjeta

• Categoría y descripción del evento/causa
• Activos/procesos/jurisdicciones marcados
• Evaluado por P/I (inherente) y residencial con justificación
• Controles de mapeo (ID), KRIs y fuentes de datos
• Plan SARA/plazos/propietarios
• Umbral de escalamiento y nivel de amenaza

15. 2 Comité trimestral

• Top 10 en residencial y por encima del apetito
• Nuevos riesgos/emergentes, cambios en las leyes/vendedores
• Estado de CAPA y retraso
• Decisiones: Adoptar/reducir/transferir/evitar; actualizar el apetito/umbrales

16) Hoja de ruta para la implementación (4-6 semanas)

Semanas 1-2: Aprobar la taxonomía, las escalas, el apetito; seleccionar la herramienta (tabla/BI/AMB). Crear 10-15 tarjetas de inicio para procesos críticos.
Semanas 3-4: asociar los riesgos con los controles y los KRIs; construir tarjetas térmicas/dashboards; poner en marcha un comité de riesgos.
Semanas 5-6: Implementar la cuantificación para Top-5 (luz FAIR/Monte Carlo), automatizar la recolección de KRIs, formalizar escaladas y reportes de bordes.

17) Secciones relacionadas wiki

Controles internos y su auditoría, ISO 27001/27701, SOC 2, PCI DSS, IGA/RBAC/Least Privilege, TPRM y SLA, Incidentes y fugas, DR/BCP, Política de registro y WORM: para un ciclo completo de «riesgo → control → métrica → evidencia».

TL; DR

Registro de riesgos de trabajo = taxonomía clara + escalas estandarizadas + apetito/umbrales → tarjetas con propietarios, controles y KRIs → tarjetas de calor y comités → una cuantificación prioritaria para los riesgos Top y CAPA a tiempo. Esto hace que los riesgos sean manejables, comparables y probables para el tablero y los reguladores.