El uso de inteligencia artificial en GRC se suma a una lista ya considerable de…
Gestión de riesgos empresariales: los 5 componentes esenciales para una gestión efectiva
La Gestión de Riesgos Empresariales es un área vital para cualquier organización, pero lo es especialmente para las que desarrollan modelos de administración GRC – Gobernanza, Riesgo y Cumplimiento -.
Habitualmente, la Gestión de Riesgos Empresariales funciona como un departamento agregado, pero independiente, de la Gestión de Riesgos General. Por ello, utiliza algunas estrategias comunes y adopta las mejores prácticas para el diseño e implementación de controles internos.
La Gestión de Riesgos Empresariales, históricamente, aparece al final de la década de los años 20, del siglo pasado. La Gran Depresión de 1929 condujo a muchos empresarios a diseñar estrategias para enfrentar amenazas de este tipo.
Así, estas estrategias han evolucionado en un siglo convulso, marcado por la aparición de tecnologías innovadoras y fenómenos de globalización que definen la Gestión de Riesgos Empresariales moderna.
La Gestión de Riesgos Empresariales, en el siglo XXI, considera riesgos operacionales, de TI, de proyectos específicos e incluso, los que amenacen a socios comerciales en la cadena de suministro.
¿Cuáles son los componentes esenciales en la Gestión de Riesgos Empresariales?
Las organizaciones adoptan diferentes marcos o modelos de Gestión de Riesgos Empresariales. Las empresas que optan por un enfoque GRC, necesitan cumplir con requisitos y exigencias regulatorias adicionales, especialmente en lo relacionado con informes sobre Gestión de Riesgos.
Aunque existen diferentes marcos de operación, los elementos esenciales en la Gestión de Riesgos Empresariales son:
1. Contexto interno de la organización
El contexto interno de la organización lo conforman la cultura, la gobernanza y los valores. Son importantes para la Gestión de Riesgos Empresariales porque inciden de forma directa en la creación de políticas, el diseño de procedimientos y el establecimiento de códigos de comportamiento y conducta.
Políticas, procedimientos y códigos incluyen las normas y las directrices que moldean el comportamiento de los empleados. Así, el liderazgo y el tono de la Alta Dirección contribuye al objetivo de generar una cultura sólida de Gestión de Riesgos.
2. Planificación estratégica
La Gestión de Riesgos Empresariales necesita definir objetivos. Y para alcanzarlos, necesita elaborar planes estratégicos. El enfoque de la Gestión es de arriba hacia abajo. Es, en consecuencia, la Alta Dirección el órgano encargado de establecer el apetito de riesgo de la organización, definir objetivos generales y orientar la estrategia que será desarrollada por los profesionales especializados en el área.
El nivel de detalle con que intervenga la Alta Dirección dependerá del tamaño, la complejidad y el grado de regulación al que está sometida la organización. En pequeñas empresas es común que la Alta Dirección asuma funciones de Gestión de Riesgos de forma integral, sin delegar a equipos especializados.
3. Ciclo de Gestión de Riesgos
Retomando una idea expresada en la introducción sobre “la Gestión de Riesgos Empresariales utiliza herramientas, estrategias y modelos que son comunes a la Gestión en General”, el ciclo de Gestión de Riesgos es uno de esos elementos comunes:
- Identificación de riesgos, haciendo uso de modelos como la lluvia de ideas, los informes sobre incidentes, las experiencias de industrias del sector o el análisis de indicadores e informes financieros y contables.
- Evaluación de riesgos, que permite categorizar los riesgos y elaborar una lista priorizada.
- Cuantificación de los factores relevantes, que son el impacto y la probabilidad. Es común en esta etapa el uso de una Matriz de Evaluación del Riesgo.
- Categorizar los riesgos, ubicándolos en cada uno de los tipos de Riesgos Empresariales. Algunos de ellos son:
- Estratégicos.
- Financieros.
- Operacionales.
- De Calidad.
- De Cumplimiento.
- De Seguridad de la Información.
- Reputacional.
- Externos.
- Acciones para tratar los riesgos, que conformarán la Estrategia de Gestión considerando en orden de relevancia:
- Eliminar.
- Mitigar.
- Transferir.
- Tolerar.
- Supervisar y controlar el resultado de las acciones implementadas, verificar su efectividad y, de acuerdo con el comportamiento, reiniciar el ciclo.
4. Mejora continua
Con base en la supervisión y control de los riesgos detectados, la organización adopta un modelo de Gestión de Riesgos cíclico, que busca la mejora continua. La mejora continua requiere que se actualice de forma periódica la lista de riesgos, el perfil y el apetito de riesgo. La auditoría del Sistema, basada en información confiable y oportuna entregada por una plataforma que automatice las herramientas GRC, es un elemento diferencial importante para la mejora continua y sostenida.
5. Informes y comunicación
La capacidad para producir informes transparentes, relevantes y comunicarlos de forma asertiva y acertada, es el último elemento esencial de la gestión de riesgos corporativa. La información y los informes deben fluir con facilidad hacia las partes interesadas, iniciando con la Alta Dirección.
Software ISO 37301 de ISOTools
El Software ISO 37301 de ISOTools es una solución informática eficaz, diseñada para apoyar la Gestión de Riesgos de Cumplimiento, Operacionales, Financiero y de orden Empresarial.
Esta herramienta basada en la nube permite diseñar flujos de trabajo, supervisar tareas asignadas, automatizar funciones, informar sobre retrasos o incumplimiento, generar mapas de riesgos, y, entre otras muchas funcionalidades, obtener información total útil para gestionar riesgos y para tomar las mejores decisiones. Infórmate aquí.