Cómo operar en el día a día con un sistema de gestión de riesgos

Sistema de Gestión de Riesgos

Uno de los conflictos que tenemos cuando pensamos en riesgos es que creemos que se trata de problemas puntuales que requieren una gran planificación y que las autoridades más relevantes deben hacerse cargo de ellos. A manera de ejemplo, supongamos que muchas veces en nuestros vecindarios vemos una tubería rota y no lo denunciamos ni avisamos a las autoridades pertinentes porque suponemos que alguna suerte de alarma les va a indicar que esa tubería está fallando, pero si nosotros no nos ocupamos esto se puede convertir en un desastre y en un desperdicio importante. Lo mismo sucede en la gestión de riesgos.

Una de las primeras cosas que debemos tomar en cuenta es tener consciencia de que en la vida organizacional no hay nada que esté escrito en piedra, todos los días nos exponemos a posibles fraudes, ataques informáticos, pérdidas de recursos, tiempo, productividad, de clientes… Como estamos expuestos a diario a estas situaciones, debemos tener claro cómo reaccionar ante esos eventos, que son potenciales hasta que no ocurren. Pero como pueden ocurrir, constituyen riesgos. Ese es el componente de probabilidad que tiene el riesgo. Dada la variante de riesgo tenemos que concentrarnos en la ejecución de dos grandes componentes de la gestión del riesgo, que forman parte del día a día de una organización:

1. Desarrollo de los planes de tratamiento de riesgos: Estos son los que primero debemos formular, son una suerte de “mini proyectos” que le permiten a la organización construir la forma de reaccionar ante un riesgo cuya evaluación ya conocemos, y es la que se hace durante la gestión de riesgos. En esa construcción tendríamos que actuar a diario. Es vital que el conjunto de actividades que forman parte del plan de tratamiento de riesgos tenga responsables, horas, fechas y recursos establecidos, incluyendo los hitos que nos permitirán avanzar dentro del PTR.
2. La ejecución de los controles: esta es una actividad cotidiana, que se relaciona con la ejecución de los procesos, es decir, los controles deben estar insertos en los procesos y tienen que estar tan bien diseñados que nos permitan ir ejecutando el proceso junto con los controles. Es decir, que no hagamos un paréntesis solamente para ejecutar controles, sino que se ejecuten mientras se lleva a cabo el proceso. Un ejemplo sería que cuando usemos un sistema haya un control de acceso lo suficientemente ágil para identificar claramente a la persona que tiene privilegios y que puede acceder solo gracias a ellos. Que cuando se transfiera la información o se opere y estemos expuestos al riesgo, el control esté incorporado. Normalmente, ese diseño forma parte de las responsabilidades de la segunda línea de defensa, pero la verdad es que depende mucho de los conocimientos y la preocupación por mejorar sus conocimientos acerca de los controles por parte de la primera línea de defensa. También de la comunicación que se tiene desde la primera línea de defensa hasta la segunda línea, de manera de retroalimentar controles que están siendo más o menos eficaces o que no están surtiendo el efecto correspondiente.

Los controles deben funcionar siempre, si no deberíamos tener un canal de comunicación (que tendría que estar definido dentro del proceso de gestión de riesgos) para poder informarle a la segunda línea de defensa que los controles no funcionan adecuadamente. No es una actividad del día a día, pero si debe estar inserta en la rutina de trabajo, la posibilidad de informar a los responsables acerca de qué determinado control tiene oportunidades de mejora, y así aplicar el ciclo de la mejora continua dentro de esos controles.

¡No te lo recomiendo!

La gestión de riesgos no tiene por qué ser un proceso lento o ceremonioso, simplemente tiene que estar integrado en la forma de operar la organización. Por eso desaconsejamos que se perciba como una actividad aparte de las funciones normales o que se delegue a una sola persona de la empresa. Es decir, si existe un risk manager, la responsabilidad no debe recaer exclusivamente en él. La gestión de riesgos es responsabilidad de todos y es deseable que esté integrada en la operación cotidiana de los procesos.

Tampoco es recomendable atender únicamente aquellos riesgos que se consideren muy probables. Evidentemente, hay que atenderlos oportunamente, pero aquellos que sean poco probables, aunque de muy alto impacto, también deberían estar dentro de las prioridades. Pensar en eventos de ese tipo como si se tratara los cisnes negros puede ser contraproducente, sobre todo cuando un riesgo, de materializarse, puede afectar la operación de la organización. Hay que pensar en esos escenarios que son muy poco probables, pero que tienen alto impacto. Dejar de considerarlos por el hecho de que son poco probable, no se aconseja en absoluto.

Software GRCTools para la Gestión de Riesgos Corporativos

La implementación de un Sistema de Gestión de Riesgos Corporativos permite que con una serie de pasos se realicen tareas de identificar los riesgos. Para ello se deben tener en cuenta la estructura organizacional, la actividad económica, los recursos, actualizaciones internas, los agentes externos como los tecnológicos etc.

Determinado esto se debe hacer la evaluación de los riesgos, para ello, el Software de Gestión de Riesgos Corporativos de GRCTools es especialmente indicado ya que facilita la configuración de las matrices y la alineación con toda la organización. Los recursos empleados para llevar a cabo una gestión de riesgos eficiente se verán reducidos al mínimo, mejorando además el rendimiento del sistema.