Tener un proceso bien diseñado y eficiente para la gestión de riesgos, que sea proactivo y no reactivo, de tal forma que no sólo le permita identificar y tratar los riesgos, sino que además posibilite la predicción y el cálculo del potencial daño, es un proceso crucial para las organizaciones. Sin embargo, lograr implementar un sistema con estas características es un reto por su complejidad. Es por este motivo que hoy, en Pensemos, abordaremos los Sistemas de Gestión de Riesgos, su definición, los procesos que los componen, las ventajas que representan y las metodologías que pueden utilizarse para desarrollarlos ¡acompáñenos!

• ¡Descargue ya nuestra guía de Balanced Scorecard y dele a su organización  una mejor proyección a futuro! •

¿Qué es la gestión de riesgos?

La gestión de riesgos es el proceso a través del cual se identifica, analiza y se da respuesta a factores de riesgo a lo largo de la vida de una organización con el fin de propender por el cumplimiento de sus objetivos a corto, mediano y largo plazo.

Los sistemas de gestión de riesgo se diseñan para identificar los riesgos, cuantificarlos y predecir su impacto en una organización. Estos riesgos se clasifican como aceptables o inaceptables dependiendo de qué tan factible sea funcionar o no con ellos, o teniendo en cuenta si su resolución implicará, por ejemplo, una afectación mayor que la que causa el riesgo en sí mismo. En general, esta clasificación depende del criterio del gerente de proyectos.

proceso gestión de riesgos

Normalmente, cuando un Sistema de Gestión de Riesgos se configura como un proceso continuo y disciplinado, puede complementar de manera importante a otros sistemas, incluyendo la organización, la planificación, el control de costos y el presupuesto. 

¿Qué NO es la gestión de riesgos?

En la medida en que la gestión de riesgos es un proceso, es necesario que se cumpla con cada uno de los momentos que lo componen. Así, no es gestión de riesgos la identificación o la predicción de su impacto si se realizan de forma aislada, el riesgo sólo se está gestionando cuando pasa por todas las etapas del proceso. 

Asimismo, la gestión de riesgos no es un proceso de eliminación de todas las posibles amenazas a las que puede estar expuesta una organización. Uno de los puntos principales de la gestión de riesgos recae en la mitigación de ciertos riesgos que es necesario tomar con el fin de impulsar su empresa hacia la consecución de sus metas, esto implica que la organización establezca un sistema que le permita equilibrar los objetivos de crecimiento, la rentabilidad y los riesgos asociados.

¿Qué es un Sistema de Gestión de Riesgos?

Un Sistema de Gestión de Riesgo es la consolidación del proceso de gestión de riesgo de manera tal que este cumpla con todas las etapas, sea repetible y transversal a todos los procesos de la organización. Asimismo, cuando la gestión de riesgos se consolida en un sistema, permea todos los otros sistemas de la organización, así, se gestionan no sólo los riesgos a nivel global, sino también a nivel de cada área.  Esto permite que la gestión deje simplemente de reaccionar ante los eventos y empiece a funcionar de manera proactiva y predictiva ante estos. 

Existen dos perspectivas principales a partir de las cuales se desarrollan los Sistemas de Gestión de Riesgo: GRC (Governance, Risk management and Compilance) y ERM (Enterprise Risk Management).  No se trata de perspectivas radicalmente opuestas, pero sí existen diferencias importantes que es necesario conocer y tener en cuenta al momento de desarrollar un Sistema de Gestión de Riesgos

Perspectiva GRC 

El término en inglés Governance, Risk management and Compliance denomina una amplia gama de esfuerzos organizativos, a través de estas tres disciplinas, que buscan asegurar la consecución de los objetivos a corto y largo plazo.

El abordaje tradicional clasifica los componentes de GRC como una reunión de componentes aislados. Esto significa que cada componente: riesgo, cumplimiento y cada aspecto de la gobernanza (auditoría, seguridad IT, gestión de políticas) funciona como una unidad, con sus propios practicantes, expertos en la materia y directores.

Recientemente, los programas de GRC han comenzado a dejar atrás este acercamiento aislado y han comenzado a trabajar desde una perspectiva empresarial, que mantiene al programa en línea con las soluciones de gestión de riesgos de la organización, las cuales buscan dejar de lado el aislamiento de las unidades, eliminar las redundancias y otros problemas que puedan generar ineficiencias.

Perspectiva ERM

En esta perspectiva el objetivo final es exactamente el mismo: asegurar la consecución de los objetivos de la organización. La diferencia con la perspectiva GRC, radica principalmente en el hecho de que la perspectiva ERM abarca todas las áreas de exposición organizativa al riesgo: financiera, operativa, de informes, cumplimiento, gobernanza, estratégica, reputacional, etc.

Así, el Enterprise Risk Management busca hacerse cargo de cada función, incluidas la gobernanza y el cumplimiento, y las enmarca en un marco de análisis común. Este marco común incluye la identificación y el establecimiento de una serie de objetivos, requisitos y de riesgos de raíz, los cuales son el denominador común de cada unidad de la organización. Además, ayuda a documentar las estrategias de mitigación y permite al usuario monitorear la efectividad de estas. De esta manera, los programas que se ciñen a una metodología ERM fomentan el desarrollo de una cultura de riesgo empresarial.

cultura de riesgo empresarial       

Cuando cada departamento está en capacidad de usar su propia herramienta de evaluación de riesgos, de desarrollar un reporte de riesgos y de diseñar controles, mientras al mismo tiempo se garantiza el acceso a los individuos apropiados, identificar y eliminar el trabajo duplicado es sencillo. Algunos riesgos tienen implicaciones multifuncionales, esto quiere decir que ciertas acciones de mitigación pueden beneficiar a más de un departamento. Con la metodología ERM, por ejemplo, los gerentes de cumplimiento pueden estar al tanto de las iniciativas beneficiosas, incluso cuando estas se originaron en operaciones.

¿Cuál es el proceso de gestión de riesgos?

Actualmente estamos viviendo en un mundo VUCA (Volatility, Uncertatinty, Complexity Ambiguity), caracterizado por ser volátil, lleno de incertidumbre, complejo y ambiguo. Por esta razón, la velocidad del cambio es mucho mayor y obliga a las personas, y a las organizaciones, a acelerar su capacidad de respuesta. Frente a este panorama, es necesario desarrollar un pensamiento estratégico que se evidencie en la incorporación de metodologías para identificar el nivel de vulnerabilidad al que se está expuesto frente a los diversos eventos incrementales o disruptivos, los cuales podrían afectar la continuidad de las operaciones que conforman la organización. Con base en este estado, la organización debería definir acciones contundentes para fortalecerse en los tres focos de la continuidad de negocio:

  1. Preparación: en esta etapa las organizaciones formulan e implementan acciones que les permiten blindarse mediante la definición, implementación y realización de ejercicios y pruebas.  ¿Como consecuencia de esto aumentan su capacidad de recuperación a condiciones normales de operación.
  2. Respuesta: esta etapa se denomina “el momento de la verdad” debido a que se materializan los riesgos y se activan todos los planes y protocolos que estaban previstos en la etapa de preparación.
  3. Recuperación: una vez superada la contingencia, se debe llevar a la organización a etapas normales de operación.

En el marco de la resiliencia organizacional diversas instituciones internacionales han desarrollado referentes metodológicos que incorporan buenas prácticas que están a disposición de las organizaciones para fortalecer la gestión organizacional, dentro de ellas: COSO ERM 2017, ISO 31000:2018, ISO 31022:2020, ISO/IEC 27005: 2018, ISO 22301:2019.

10 beneficios de un Sistema de Gestión de Riesgos

Tener un Sistema de Gestión de Riesgos consolidado en su organización trae múltiples ventajas y beneficios en distintos niveles. Entre otros encontrará que un Sistema de gestión de riesgos le permite:

  • Identificar, controlar y proyectar los riesgos y amenazas a los que se expone su empresa.
  • Fomentar la gestión proactiva.
  • Mejorar la presentación de informes obligatorios y voluntarios.
  • Consolidar un enfoque proactivo, flexible y dinámico para hacer frente a los incidentes y a los cambios organizacionales.
  • Mejorar la confianza y honestidad de las partes involucradas.
  • Desarrollar un plan estratégico que facilite y optimice la toma de decisiones.
  • Asignar y usar eficazmente los recursos para el tratamiento del riesgo.
  • Garantizar el cumplimiento de los objetivos y la operatividad de la organización aún frente a las incertidumbres.
  • Mantener a salvo y en funcionamiento las operaciones críticas de su empresa durante los momentos de crisis.
  • Reducir el tiempo de interrupción y recuperación de las operaciones y funciones de su organización en caso de un incidente

¿Cuáles son los retos de un Sistema de Gestión de Riesgos?

Al momento de implementar un Sistema de Gestión de Riesgos en su organización existen algunos retos a los que se tendrá que enfrentar y que será necesario sortear para garantizar el éxito de la implementación. Reconocer con claridad cuáles son estos retos le permitirá prestarles especial atención y estar preparado para superarlos. 

El primer punto crucial es la generación de una cultura real del riesgo al interior de la organización. Para que el Sistema de Gestión de Riesgo sea exitoso es necesario que cada individuo reflexione y reconozca con claridad su papel dentro del proceso. Lograr concienciar a todos los miembros sobre lo indispensable de hacer seguimiento a los riesgos de cada proceso, de llevar un registro de eventos, de revisar permanentemente la efectividad de los controles y de identificar qué controles son claves y mitigan realmente los riesgos no es una tarea sencilla. Esta tarea puede facilitarse con la implementación de un Software de Gestión de Riesgos que permita una visualización clara, así como la asignación de responsables. 

Otro elemento que es muy importante tener en consideración es la articulación entre las áreas al momento de implementar el Sistema de Gestión de Riesgos. Todas las áreas dentro de una organización son vulnerables y están expuestas a riesgos, muchas veces estos riesgos se relacionan entre ellos y se consolidan en un riesgo para toda la organización. Es común creer que la descentralización de los procesos permite agilizarlos y hacerlos más efectivos y eficientes, sin embargo, descentralizar la información puede ser una catástrofe para su Sistema de Gestión de Riesgos, pues puede generar que los procesos no sean asignados y distribuidos y, por lo tanto, es muy fácil que dejen de ser monitoreados y se haga imposible mantener las existencias actualizadas. Asimismo, al momento de analizar un sector o un contexto particular, tener toda la información en un solo lugar se hace fundamental para comprender la importancia de los procesos involucrados y así tener en cuenta los riesgos como un conjunto y no como casos aislados y diseminados entre las unidades de la organización. Realizar un análisis confiable se vuelve inviable cuando es necesario recopilar la información de cada contexto.

centralización y descentralización de los procesos

Pero ¿cómo lograr el equilibrio entre descentralización y centralización? Una excelente solución para lograr distribuir las acciones, descentralizar el tratamiento de los riesgos y formalizar las responsabilidades sin perder la centralización de los datos es la implementación de un Software de Gestión de Riesgos, una herramienta que le permitirá estructurar su Sistema de Gestión de Riesgos en distintos pilares, pero teniendo una herramienta integrada y estandarizada. El proceso de la gestión de riesgos se extiende por toda la empresa y, desde un punto de vista operativo, esto debe reflejarse en el sistema a través del cual se realizan las acciones, por ello, a continuación, le hablaremos de cuáles son las ventajas que puede traer para su Sistema de Gestión de Riesgos la implementación de un Software de Gestión de Riesgos.

¿Qué es un Software de Gestión de Riesgos?

Un software de Gestión de Riesgos es una herramienta que ayuda a identificar, gerenciar y reducir el impacto de las amenazas en una organización, a la vez que se alinea con la metodología, los procesos organizacionales y la normativa a la que las empresas deben ceñirse en este sistema. 

Su principal ventaja, frente a metodologías que usan hojas de Excel para esta tarea, es la reducción del error humano y la garantía de evitar la fatigosa tarea de crear decenas de fórmulas para calcular el impacto. Estas características garantizan la optimización de todas las etapas del proceso. 

¿Cuáles son los beneficios de un Software de Gestión de Riesgos?

Existen múltiples beneficios en la implementación de una Software de Gestión de Riesgos y es importante conocerlas para hacer una evaluación informada de si es o no necesario su implementación como parte de su estrategia de gestión de riesgos. Las ventajas de un Software de Gestión de Riesgos pasan por:

  • Estandarizar el proceso: lograr unidad en la implementación del Sistema de Gestión de Riesgos es crucial para facilitar la visualización del panorama general de riesgos.
  • Definir responsabilidades: gestionar el riesgo y dar retroalimentación es mucho más sencillo cuando las responsabilidades están bien definidas.
  • Registrar información centralmente: tener los datos centralizados es una gran ventaja al momento de analizar la información y, por lo tanto, es crucial para el proceso de gestión del riesgo.
  • Distribuir acciones: tener cultura de riesgo es que cada miembro de su organización comprenda cuál es su papel en la gestión de riesgo y qué acciones debe tomar para evitar o tramitar el riesgo.
  • Notificar y divulgar todas las acciones: este punto también hace parte de la cultura de riesgo, permite que las personas accedan a la información y comprendan su papel dentro del Sistema de Gestión de Riesgos.

Estas ventajas ayudan a que se establezca y se difunda una cultura del riesgo al interior de su organización. De la mano con acciones internas, tener una base constantemente actualizada del riesgo de la empresa ayuda a que las personas dentro de la organización reciban retroalimentación cuando el riesgo vuelve a analizarse o cuando se da una incidencia. 

Siempre es relevante pensar en acciones que fomenten y ayuden a los miembros de su empresa a pensar sobre los riesgos de los procesos que llevan y ejecutan, pero sin lugar a duda, contar con un Software de Gestión de Riesgos hará que la comunicación se haga cada vez más transparente y ayudará a mantener a su personal informado.

 

Un Sistema de Gestión de Riesgos es una herramienta invaluable para su organización, lograr estructurarla e implementarla con éxito garantizará también que los riesgos en su organización dejen de ser un dolor de cabeza y se conviertan en oportunidades para crecer y mejorar sus procesos. En Pensemos tenemos años de experiencia en la implementación de Sistema de Gestión de Riesgos con perspectiva GRC que permite tener una visión holística del gobierno, el riesgo y el cumplimiento.

No dude en contactarnos y le ayudaremos a descubrir cuál es la mejor solución para su organización con nuestro Software de Gestión de Riesgos. También, recuerde que puede subscribirse a nuestro blog y recibir toda la información sobre Software de Gestión Empresarial.Balanced  Scorecard guia completa

Tags: Gestión de riesgos, General

autor

Gamaliel Vesga

Creo que las empresas bien gestionadas son el vehículo del aumento del bienestar de la sociedad y que la tecnología es una herramienta poderosa para ello. También creo que la gerencia no está terminada de inventar y podemos mejorarla mucho. Ya son más de 24 años desde que fundamos Pensemos SA y en el camino he sido estratega, ingeniero, ángel inversionista y mentor. Disfruto mucho aprender, crear y discutir soluciones para un buen problema. Me encanta explorar el mundo en bicicleta.