Monitoreo de riesgos según la ISO 31000

ISO 31000

La gestión de riesgos cuenta con unas etapas definidas y comunes en la mayoría de organizaciones que son, análisis del contexto, Identificación de los riesgos, análisis de los riesgos (Determinar riesgo inherente), Establecer controles, evaluación (determinar riesgo residual), plan de acción, y el monitoreo, esta última es una de esas etapas iterativas,  pero fundamental ya que garantizará que la gestión de riesgos esté siempre actualizada, y por ende que dé respuesta a la realidad en las organizaciones y las influencias del medio ambiente externo que les rodea.

El proceso de monitorear los riesgos permite establecer si los planes de acción implementados fueron efectivos, si los niveles de riesgos permanecen o se han modificado, de un periodo a otro cuántos riesgos importantes permanecen, cuantos riesgos inaceptables, los controles y si se han materializado o no para determinar la eficacia de los mismos.

Como vemos es una etapa que se debe repetir tantas veces como la organización determine que es necesario, o por las condiciones de cambio que presente el mercado, el medio ambiente, las leyes, entre otros aspectos que llevan a la actualización de la matriz de riesgos.

Ahora bien, la pregunta sería con que herramientas, metodologías podemos contar para llevar a cabo la actividad de monitorear los riesgos, al respecto describimos brevemente algunas que puede ser de utilidad para esta importante labor.

1. Juntas o Reuniones de revisión de estado de riesgos: estas deben tener una estructura definida, objetivo, tiempo, participantes y la idea es responder en esta las siguientes preguntas:

• ¿Cuáles de los riesgos identificados tienen la mayor prioridad en cuanto a tratamiento en la actualidad?
• ¿Existe algún cambio en la prioridad de tratamiento de riesgos respecto de la última vez que se evaluaron?
• ¿Los planes de acción han sido efectivos sobre la fuente que generó el riego?, ¿Es necesario implementar acciones adicionales?
• Revisar los riesgos que ya se encuentran gestionados y cerrados para validar los planes de acción que se implementaron y determinar si aportan soluciones a otros riesgos.

2. Indicadores claves de riesgo (KRI): son los que permiten cuantificar el perfil de riesgo de la organización, brindan información acerca del nivel de exposición a un riesgo determinado para un periodo de tiempo específico, teniendo en cuenta un análisis prospectivo permite identificar de manera temprana la aparición de un riesgo, ejemplos:

• Cantidad de sedes/ oficinas en zonas de alto riesgo.
• Tasa de rotación de personal.
• Número de clientes que utilizan la herramienta en el último mes.

3. Indicadores clave de rendimiento (KPI): permiten medir la eficacia operacional y funcionan como alertas en caso de pérdidas, es decir brindan información acerca del estado de los procesos operativos, ejemplos:

• Porcentaje de consulta en página web
• Número de ventas mensuales
• Volumen promedio anual de ventas por cliente
• Porcentaje de proyectos completados.
• Retorno de la inversión (ROI).
• Número de cotizaciones / ventas mensuales.
• Duración acumulada en horas de caída de internet por mes.

4. Indicadores Calve de Control (KCI): permiten medir la efectividad y diseño de los controles, un KCI con una medición por debajo de los límites, se podría relacionar con un aumento en la probabilidad de que se materialice el riesgo, ejemplos:

• Porcentaje de riesgos residuales por encima del umbral de riesgo.
• Porcentaje de ejecución de controles.
• Estado de los planes de mitigación de riesgos.
• Porcentaje de llamadas de bienvenida.

5. Auditorias de riesgos: se determina en esta la eficacia de los planes de respuesta a los riesgos, la eficacia de los procesos de gestión de riesgos para determinar los procesos que lograron una respuesta adecuada y los proceso que no.

6. Análisis de tendencia y de varianza: que permitan comparar los resultados previstos versus los reales y evidenciar el riesgo existente.

Las herramientas para el monitoreo de riesgos son diversas y cada organización implementara aquellas que determine más conveniente, un aspecto importante es contar con la información en la medida de lo posible centralizada, que sea de fácil acceso y de fácil gestión, para ello existen herramientas tecnologías que permiten llevar todas las etapas de la gestión de riesgos entre ellas las de monitoreo, que generan alertas, aviso que ayudan a los administradores de la gestión de riegos a mantener actualizados acerca de la misma.

ISOTools como herramienta de Gestión de Riesgos

ISOTools es una excelente herramienta para la implementación de un sistema de Gestión de Riesgos. Además de automatizar y promover una monitorización eficaz del proceso, permite una mejor coordinación de las tareas entre los directivos o responsables que hayan sido delegados para tal función.

Siguiendo los principios y las directrices de la norma ISO 31000, esta herramienta aporta ventajas que merecen ser destacadas:

• Ahorra tiempo durante la ejecución de las tareas.
• Permite realizar auto evaluaciones para definir el estado actual de la organización.
• Permite un mejor registro de los datos de los diferentes procesos.
• Realiza comparativas entre análisis de riesgos.
• Permite visualizar el avance de los proyectos y las actividades.
• Relaciona actividades similares o que guarden relación.
• Ofrece cuadros de mando para ilustrar cualquier momento del proceso.
• Permite la realización de análisis de incidencias.
• Ayuda a monitorizar la ejecución de soluciones específicas.