GH GambleHub

Puntuación de riesgos y priorización

1) Objetivo y resultados

El objetivo es que la evaluación y clasificación de los riesgos sea reproducible y verificable, de modo que las decisiones sobre presupuestos/plazos/recursos sean:
  • comparables (escalas y fórmulas únicas),
  • transparentes (fuentes de datos y supuestos documentados),
  • medible (métricas y KRI están vinculadas a controles e incidentes),
  • ejecutable (cada riesgo corresponde a un plan CAPA/waiver con fecha de caducidad).

Salidas: registro único de riesgos, backlog priorizado de medidas, tarjetas térmicas, informes de riesgo residual, artefactos «audit-ready».

2) Términos y niveles de riesgo

Inherent Risk es un riesgo sin tener en cuenta los controles.
Residual Risk es un riesgo basado en los controles actuales (ToD/ToE/CCM verificados).
Target Risk es el nivel objetivo después del SARA/medidas compensatorias.
Likelihood (L) es la probabilidad de que se produzca un escenario en el horizonte de evaluación.
Impact (I) es el más grande de: finanzas, licencias/derecho, privacidad/datos, operaciones/SLO, reputación.
KRI son indicadores de riesgo que afectan a L/I (por ejemplo, dsar_response_p95, chargeback ratio).

3) Escalas y modelos básicos

3. 1 Matriz discreta (5 × 5 o 4 × 4)

Score = L × I → rango 1-25 (o 1-16).

Categorías (ejemplo 5 × 5):
  • 20–25 = Critical, 12–19 = High, 6–11 = Medium, 1–5 = Low.
  • Los umbrales se publican en la «Política de puntuación» y se aplican invariablemente a todos los dominios.
Escala de Likelihood (ejemplo, 5 niveles):
  • 1 - cada> 3 años; 2 - cada 1-3 años; 3 - anualmente; 4 - trimestral; 5 - mensual/más a menudo.
Escala de impacto (según el criterio max, ejemplo):
  • 1 — <€10k; 2 — €10–100k; 3 — €100–300k; 4 — €300k–€1m; 5 — >€1m; bajo riesgos legales/de licencia, el nivel se eleva a un mínimo de 4-5.

3. 2 Modelos cuantitativos

ALE (Annualized Loss Expectancy): 'ALE = SLE × ARO', donde 'SLE' es el daño medio por evento, 'ARO' es la frecuencia esperada por año.
Enfoque FAIR (en simplificación): modelamos la frecuencia (Threat Event Frequency) y la magnitud de la pérdida (Loss Magnitude), usamos percentili (p50/p95) para tomar una decisión.
Monte Carlo: distribuciones para frecuencia y daños (lognorm/gamma, etc.), carreras de 10-100k → curvas de pérdida (loss exceedance curve). Aplicar para los riesgos más costosos/reguladores críticos.

Recomendación: 80% de los casos - matriz 5 × 5, 20% (riesgo superior) - ALE/FAIR/Monte Carlo.

4) Riesgo residual y objetivo

1. Calcular Inherent según suposiciones «sin controles».
2. Tener en cuenta la eficacia de los controles existentes (comprobados por ToD/ToE/CCM) → Residencial.
3. Definir Target, teniendo en cuenta las medidas compensatorias/SARA previstas y la fecha de cumplimiento.
4. Si Target ≤ el umbral de tolerancia (risk appetite) - aprox; si no, se requiere un waiver con fecha de caducidad y controles compensatorios.

5) Fuentes de datos y pruebas

Métricas y KRI (dashboards, registros, informes de incidentes).
Resultados de pruebas de control (CCM), auditorías (internas/externas).
Informes de proveedores: SLA/certificados/incidentes/cambios en las ubicaciones de datos.
Análisis financiero: multas, chargeback, fraud loss%.
Cada evaluación va acompañada de referencias a la evidence con un timestamp y un recibo hash (WORM).

6) Priorizar iniciativas (traducir riesgo → acción)

6. 1 ARROZ (adaptación al riesgo)

`RICE = (Reach × Impact_adj × Confidence) / Effort`

Reach - Cuántos clientes/transacciones/jurisdicciones están sujetos.
Impact_adj - convertida I (o ALE/pérdida p95).
Confidence - validez de las estimaciones (0. 5/0. 75/1. 0).
Effort - hombre-semanas/costo.
Ordenar por ARROZ → ganancias rápidas arriba.

6. 2 WSJF ajustado por riesgo

`WSJF = Cost of Delay / Job Size`, где

`Cost of Delay = Risk Reduction + Time Criticality + Business Value`.

Reducción de riesgo es la disminución prevista de Residencial/ALE.
Time Criticality son los deduplines de los reguladores/auditorías.
Valor empresarial: ingresos/ahorros, confianza del cliente.

6. 3 Prioridad regulatoria

Si el riesgo está relacionado con las licencias/leyes y hay un duro deadline, automáticamente cae en Critical/High independientemente de la puntuación «económica».

7) Normas de umbral y escaladas

Crítico: triaje inmediato, CAPA ≤ 30 días, re-auditar en 60-90 días; un comité semanal.
Alta: CAPA ≤ 60 días, observación 90 días.
Medium: inclusión en el plan trimestral.
Bajo: monitoreo + capacidad de "tech debt' ranura.
Umbrales KRI: Amber (advertencia) y Red (escalamiento obligatorio y CAPA).

8) Roles y RACI

ActividadRACI
Técnica de puntuaciónRisk Office / Compliance EngHead of RiskLegal/DPO, FinanceInternal Audit
Evaluación de riesgos específicosRisk OwnersHead of FunctionControl Owners, DataCommittee
Verificación de controlesCompliance / Internal AuditHead of ComplianceSecOpsBoard
Priorizar iniciativasCompliance OpsHead of ComplianceProduct/FinanceExec
Monitoreo de KRI/dashboardsCompliance AnalyticsHead of ComplianceData PlatformExec/Board

9) Dashboards

Risk Heatmap: matriz 5 × 5, filtros por dominio/país/proveedor.
Risk Funnel: Inherent → Residual → Target (delta de descenso).
Top-N by ALE/p95 Loss: riesgos cuantitativos.
KRI Watchlist: indicadores y umbrales, alarmas Amber/Red.
Efecto CAPA: disminución prevista/real; Progresos en los plazos.
Waivers: exenciones vigentes, plazos y medidas compensatorias.

10) Métricas de eficacia

Índice de reducción de riesgos: ∆ de riesgo promedio ponderado (trimestre/trimestre).
CAPA en tiempo:% de las medidas a tiempo (por severity).
Repeat Findings (12 meses): porcentaje de reincidencias.
Evidence Completeness:% de riesgo con paquete completo (objetivo 100% para High +).
Predicción Accuracy: discrepancia entre las pérdidas/frecuencias estimadas y reales.
Time-to-Triage / Time-to-Plan / Time-to-Target.

11) SOP (procedimientos estándar)

SOP-1: Inicialización y escalas

Definir las escalas L/I y los umbrales de las categorías → aprobar en la Comisión → fijar en el repositorio (versificación).

SOP-2: Revaluación trimestral

Recolección de KRI/incidentes → recuento de L/I/ALE → rugido por los propietarios → priorización del comité → publicación de Roadmap.

SOP-3: Incidente desencadenante

En un incidente Crítico/Alto, un recuento no programado, ajuste de CAPA y prioridades.

SOP-4: Análisis cuantitativo (Riesgos superiores)

Preparar las distribuciones de entrada → Monte Carlo (≥10k carreras) → las curvas de pérdida → decisión del Comité.

SOP-5: Archivo y pruebas

Exportar cortes (CSV/PDF) + recibos hash → archivo WORM → enlaces en tarjetas GRC.

12) Plantillas y «as-code»

12. 1 Política de puntuación (fragmento)


scales:
likelihood:
1: ">3y / p<5%"
3: "annual"
5: "monthly+"
impact_finance:
1: "<€10k"
3: "€100k–€300k"
5: ">€1m"
categories:
critical: "score>=20 or regulatory_deadline<=60d"
high: "score>=12"
tolerance:
privacy_licensing: "min_impact=4"

12. 2 Tarjeta de riesgo (YAML)

yaml id: RSK-PRIV-DSAR-001 title: "DSAR delinquency"
domain: "Privacy"
jurisdictions: ["EEA","UK"]
likelihood: 4 impact: 4 score: 16 model: "matrix_5x5"
ale_eur: 280000 # if controls were considered: ["CTRL-DSAR-SLA, ""CTRL-RET-DEL"]
kri:
- key: "dsar_response_p95_days"
warn: 18 red: 20 residual: 12 target: 6 capa:
- id: CAPA-123 action: "DSAR queue optimization, auto-prioritization, alerts"
due: "2025-02-15"
expected_delta: -6 waiver: null evidence: ["hash://.../metrics. csv","hash://.../ccm_report. pdf"]

12. 3 Priorización (ejemplo WSJF)

yaml initiative: "Automation DSAR queue"
cod:
risk_reduction: 8 time_criticality: 5 business_value: 3 job_size: 5 wsjf: 3. 2

13) Medidas compensatorias y waivers

Si no es posible una fix rápida:
  • introducir controles compensatorios (controles manuales, límites, vigilancia complementaria) con métricas de eficacia;
  • formalizamos el waiver con la fecha de caducidad, el propietario y el plan de sustitución;
  • reaudit obligatorio en 30-90 días.

14) Antipattern

«Hermosa matriz» sin comunicación con KRI/controles/incidentes.
Escalas flotantes y «ajuste manual» para el resultado deseado.
No hay versionamiento de cálculos y suposiciones.
Raras revisiones → el mapa no refleja la realidad.
Waivers sin fecha de caducidad y medidas compensatorias.
Falta de análisis cuantitativo para los riesgos superiores.

15) Modelo de madurez (M0-M4)

M0 Ad-hoc: valoraciones «a ojo», no hay una política única.
M1 Planeado: Matriz 5 × 5, actualizaciones trimestrales, dashboards básicos.
M2 Manejable: comunicación con KRI/CCM, CAPA-link, WORM-vidence.
M3 Integrado: ALE/FAIR/Monte Carlo para riesgos superiores, WSJF/RICE en Roadmap, getas CI/CD.
M4 Continuous Assurance: KRI predictivo, auto-recuento, prioridades de recomendación y "evidence-by-design'.

16) Artículos relacionados wiki

Mapa de riesgos térmicos

Auditoría orientada al riesgo (RBA)

KPI y métricas de cumplimiento

Monitoreo continuo de cumplimiento (CCM)

Planes de reparación de infracciones (CAPA)

Repositorio de políticas y normas

Hoja de ruta del cumplimiento

Comprobaciones externas realizadas por auditores externos

Resultado

La calificación de riesgos y la priorización es una disciplina de ingeniería, no un arte: escalas y políticas estables, datos probados, métodos cuantitativos para riesgos superiores, umbrales y escaladas explícitas, así como un vínculo directo con la CAPA y la hoja de ruta. Este enfoque hace que las soluciones sean previsibles, acelera las alineaciones y reduce el riesgo agregado del negocio.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.