Saltar al contenido principal

Gestión de Riesgos ERM

Automatización de la gestión de riesgos corporativos (parte II)

5/5 - (1 voto)

Automatización de Gestión de Riesgos corporativos

En el artículo de la semana pasada hablamos de la Gestión de Riesgos Corporativos y acerca de cómo las organizaciones están viendo como incrementan sus riesgos y por qué es fundamental estudiarlos, analizarlos, afrontarlos y monitorearlos. Para todo ello, por la gran cantidad de información y la complejidad de los datos a gestionar, se hace necesario un Software ERM.

Tras revisar las necesidades con las que cuentan las organizaciones en materia de gestión de riesgos corporativos, podemos determinar qué debería tener un software para automatizar de forma eficiente la gestión de riesgos en las organizaciones.

Un software ERM automatizado debería tener posibilidad de:

Dividir la gestión en fases

La posibilidad de dividir el proceso de gestión de riesgos en sus diferentes fases. Esto nos daría la posibilidad de profundizar sobre la gestión del riesgo como un proceso y asignar en las distintas fases a distintos responsables. La identificación, análisis y evaluación son vitales, pero el contexto y determinación del alcance del proceso de gestión de riesgos debe hacerlo un líder o persona que cuente con una visión estratégica sobre la organización. Son dos grupos que interactúan para llegar a las mejores conclusiones, y eso lo tiene que permitir el software.

Relacionar procesos entre sí

Los procesos son la razón de ser de la organización, no se pueden detener para que funcione el proceso de gestión de riesgos, sino que todos deben integrarse, puesto que el ERM debe proteger y agregar valor. Si debemos detener el negocio para hacer una gestión de riesgos, entonces la herramienta se tendría que replantear o cambiar. Un software eficiente puede hacer una relación directa con los procesos del negocio, de manera que podamos ver desde qué procesos se gestionan determinados riesgos y cómo intervienen los dueños de procesos y sus equipos de trabajo como primera línea de defensa ante los riesgos que se van a identificar, analizar y evaluar gracias al software.

Ser una herramienta comunicativa

El sistema automatizado debería ser capaz de hacer y enviar notificaciones cuando se identifique un nuevo riesgo. ¿A quién se debe notificar? Preferiblemente al propietario de riesgo o risk owner. Esta práctica fortalece la gestión del riesgo y solo puede llevarse a cabo si esos riesgos fueron, efectivamente, identificados. Cuando la primera línea de defensa se entera de la existencia del riesgo detectado, se activan las etapas de análisis y evaluación del riesgo. En la etapa de identificación la primera línea debería tener la autoridad para precisar si el riesgo es pertinente para el proceso o no. Esto puede lograrse mediante un workflow, pues permite gestionar la identificación de riesgos.

Adaptarse a la metodología

La adaptación de la fase de análisis es fundamental en un software. En una misma organización podemos encontrar diferentes tipos de riesgos y hay que analizarlos de diferentes formas, puesto que ello dependerá de la disciplina. Por ejemplo, los riesgos corporativos generalmente se relacionan por probabilidad e impacto. Pero si hablamos de riesgos de seguridad y salud laboral, requeriremos una identificación de peligros y evaluación de riesgos. En el caso de la seguridad de la información, se deben identificar las amenazas y vulnerabilidades. Como podemos ver, son 3 modalidades distintas de análisis de riesgos y nuestra herramienta automatizada debe facilitarnos este proceso.

Contar con evaluaciones

Las organizaciones hacen evaluaciones para poder hacer una priorización de riesgos. Todo riesgo identificado es importante, sin embargo, hay unos más relevantes que otros, con relación a su probabilidad – impacto. Incluso, la relación que tiene la política con el apetito por el riesgo. Entonces, la evaluación permite priorizar. Y no hay mejor forma de hacerlo que con la ayuda de nuestra herramienta automatizada, que facilita la obtención y priorización. Esa priorización debería generar notificaciones automáticas para quienes toman las decisiones dentro de la organización. Cuando los directivos sean notificados, podrán decidir oportunamente si van a aceptar el riesgo, lo transferirán o lo mitigarán. Esa decisión quedará registrada en la siguiente fase, que es el plan de tratamiento de riesgos. Todo quedará debidamente registrado gracias a la herramienta.

Descárgate el e-book Guía para la identificación, evaluación y gestión de Riesgos Corporativos

Gestión de proyectos para el tratamiento de riesgos

El plan de tratamiento de riesgos consiste en un conjunto de acciones que se van ejecutando durante el tiempo. Tales acciones derivan en controles, que pueden ser existentes y, por lo tanto, no requieren el desarrollo de un plan de tratamiento de riesgos. Pero hay muchos controles existentes que se pueden mejorar o nuevos tratamientos que se deben gestionar como si se tratara de proyectos. Esto requeriría un portafolio de planes de tratamiento de riesgos, los cuales permitan la gestión en el tiempo: desde la asignación, seguimiento, estado, evidencias… el portafolio debería ser gestionado por la segunda línea de defensa (son 3 de ellas), es decir, el Risk Manager debería hacerlo de forma centralizada. El seguimiento al plan y a los responsables el riesgo debería permitirlo nuestra herramienta automatizada.

Monitoreo continuo e histórico

El monitoreo y reporte requieren registros históricos de los estados de riesgos y mediciones de los análisis de riesgos que se han hecho y que nos ayuden a ver cómo la organización ha mejorado paulatinamente su desempeño. Podemos ver cómo los riesgos altos pueden ir bajando o si aparecen nuevos riesgos. Ese monitoreo tiene que registrarse en el software. Finalmente, tiene que hacerse un reporte. Ese reporte, en una herramienta automatizada, tiene una preconfección en la que se dispone de toda la información necesaria. Ese reporte puede ser periódico (mensual, trimestral, anual) o a demanda, es decir, que en un momento determinado y para facilitar la toma de decisiones sobre la organización, se decida solicitar un reporte que estará disponible enseguida, gracias al software. De no tener una herramienta automatizada, una persona se debería encargar de hacer el informe. Esto resta capacidades para la gestión de riesgos o para la gestión de procesos, porque alguien debería dedicar su tiempo a hacer los reportes. La preconfiguración del software agiliza este trámite siempre y cuando los datos estén disponibles.

Comunicación y acceso también a terceros en la Gestión de Riesgos Corporativos

La herramienta debe tener la capacidad de comunicación interna y externa. La interna es relativamente sencilla, pues por medio de los usuarios de la herramienta todos se pueden enterar de los estados de los distintos riesgos. Pero hay que considerar que dentro de una organización puede haber personas que no necesariamente tengan acceso a la herramienta, bien sea por su posición dentro de la empresa o por el acceso a los recursos como la herramienta informática o un hardware donde pueda visualizar los riesgos. Para ello se puede hacer exportaciones que se puedan imprimir, por ejemplo, para el personal de piso. También se pueden hacer comunicaciones externas a las partes interesadas, proveedores, clientes y entes reguladores, quienes no necesariamente podrán visualizar datos dentro de la herramienta, porque no tienen usuarios dentro del software, y, por lo tanto, van a necesitar informarse mediante formatos visibles para ellos, como Excel, PDF, Word, correos electrónicos y demás.

Software GRCTools para la Gestión de Riesgos Corporativos

La implementación de un Sistema de Gestión de Riesgos Corporativos permite que con una serie de pasos se realicen tareas de identificar los riesgos. Para ello se deben tener en cuenta la estructura organizacional, la actividad económica, los recursos, actualizaciones internas, los agentes externos como los tecnológicos, etc.

Determinado esto se debe hacer la evaluación de los riesgos, para ello, el Software de Gestión de Riesgos Corporativos de GRCTools es especialmente indicado, ya que facilita la configuración de las matrices y la alineación con toda la organización. Los recursos empleados para llevar a cabo una gestión de riesgos eficiente se verán reducidos al mínimo, mejorando además el rendimiento del sistema.

Guía para la identificación, evaluación y gestión de Riesgos Corporativos

¿Desea saber más?

Entradas relacionadas

Volver arriba