Gestión de riesgos
Es necesario detectar todos los posibles riesgos y debemos saber cómo de expuestos estamos a cada riesgo. Es necesario analizar las medidas de control interno y adecuar la transferencia de riesgos, además de realizar la elaboración de planes de gestión de riesgos según los programas de transferencia y los planes de reducción y control. Finalmente, se deberá realizar un análisis del nivel de cobertura que existe en la organización.
Es necesario conocer los datos de entrada que tenemos, debemos entender el negocio, la elaboración de mapas de riesgo y pólizas. Los manuales son para implementar un proceso de riesgos de forma efectiva, es necesario ofrecer informes sobre la situación en la que nos encontramos. Los informes son necesarios para conocer si vamos por el buen camino. Los manuales que se deben realizar son:
- Esquemas de negocio
- Políticas de riesgos
- Mapa de riesgos
- Mapas de pólizas
- Mapa de riesgos en pólizas
- Plan de aseguramiento
- Plan de reducción
La plataforma tecnológica ISOTools permite la generación de informes de forma rápida. Se visualiza de forma gráfica cómo se encuentran nuestros riesgos, o mediante un mapa de calor.
Una de las metodologías que se utiliza para gestionar los riesgos viene ofrecida por la norma ISO 31000, que cuenta con diferentes principios, una estructura establecida y un proceso.
Con ISOTools podemos establecer diferentes metodologías de gestión de riesgos, ya que permite la parametrización personalizada. Dentro de la propia aplicación de gestión del riesgo podemos encontrar (a nivel de detalle) toda la información necesaria en base a procesos, actividades, los riesgos que ya tenemos identificados con sus controles, la identificación, el riesgo residual, etc.
El proceso de gestión de riesgos es dinámico, nunca se queda estático. Es necesario identificar los riesgos, analizarlos, evaluarlos y por supuesto, tratar los riesgos.
El software ISOTools no es una herramienta estática, debido a la mejora continua de los sistemas de gestión, es parametrizable y adaptable en el tiempo. El usuario puede modificar las diferentes metodologías sin ningún tipo de restricción.
El cubo de COSO ha sido actualizado, contando con 5 componentes diferentes y 17 principios, es necesario trasladar a la organización el cumplimento de cada uno de los principios.
En Europa cuentan con el Sistema de Gestión de Riesgos en los estándares de la Federación Europea de Asociaciones de Gerencia de Riesgos, que establece lo mismo que venimos comentado, es decir, los objetivo estratégicos de la empresa, la valoración de los riesgos, el análisis de riesgos, la decisión que se debe tomar, como tratar los riesgos, realizar informes de riesgos residuales y llevar a cabo una supervisión por parte de la alta dirección.
Mapa de riesgos
Las variables que se utilizan en el mapa de riesgos son:
- Probabilidad
- Impacto cuantitativo y cualitativo
El mapa de riesgos tienen variables de probabilidad de impacto para generar el mapa de calor, en el cual mediante diferentes colores se establece el apetito, la tolerancia y la capacidad, es decir, se traslada de forma gráfica con el que explicamos los objetivos estratégicos de la organización y se puede tomar decisiones según el nivel de riesgo.
Dentro de la herramienta ISOTools podemos otorgar valores según el tipo de riesgo que se encuentra asociado a un color con el que detectamos de forma más rápida si el riesgo es tolerable o no. Esto se basa en los diferentes controles que se llevan a cabo en la organización.
Es necesario documentar el mapa de riesgos, por lo que es necesario el proceso que se está documentado, cuál es el objetivo del área que se está analizando, los riesgos que encuentras dentro de la clasificación en cada uno de ellos, la estrategia es la que vamos a seguir y establecer a los responsables de cada una de la toma de decisiones.
Durante la realización de la gestión del riesgo deben estar implicadas varias personas, por lo que con la herramienta ISOTools es mucho más fácil de integrar a los diferentes participantes e incluso si alguien sale de organización y la sustituye otra persona se encuentra con toda la documentación de forma rápida y sencilla.
Al existir diferentes personas implicadas en un mismo proceso, se pueden ofrecer diferentes tipos de permisos para cada una de ellas. La persona responsable tendrá acceso absoluto a su parte del proceso, pero sólo tendrán el acceso necesario al resto de partes de los procesos y así sucede lo mismo con las demás personas implicadas en el proceso, con esto se evita que alguien modifique o borre datos.
Es necesario que toda la organización se encuentre motivados para formar parte del proceso, es necesario la ayuda de todos para implementar la gestión de riesgos de forma exitosa.
Otra forma de representar un mapa de procesos puede ser mediante los siguientes pasos; en primer lugar establecer un ciclo de la actividad, los objetivos que queremos conseguir, los riesgos a los que nos enfrentemos, la normativa que debemos cumplir, cual es el control que tenemos, la periodicidad de revisión de los controles y las personas responsables de proceso.
Identificación de riesgos
Para identificar los riesgos contamos con la legislación, el sector en el que trabaje la organización, el entorno, fuerzas externas, política y la competencia. Todos estos riesgos no podemos controlarlos de forma directa pero tenemos que ver la forma en la que impacta en nuestra organización.
No es lo mismo trabajar en un sector que otro, además de los procesos que tiene cada empresa, las alianzas ofrecen diferentes tipos de riesgos, los productos y servicios que ofrece la organización generará también diferentes tipos de riesgos y finalmente el cliente también modifica el tipo de riesgo.
El software ISOTools establece un modelo de múltiple de evaluación, se pueden gestionar los diferentes tipos de riesgos generado diferentes matrices según la información que necesitamos conocer. Las matrices se pueden parametrizar según las necesidades de su organización, en la que se puede incluir la información que necesite medir en cada momento.
Estructura
Es necesario definir de forma clara las tres líneas de defensa de cualquier organización que implemente la gestión de riesgos:
Sobre las líneas de defensa, se encuentra el comité de gestión de riesgos y el comité de auditoría, seguidamente nos encontramos con la alta dirección de la organización.
Las líneas de defensa, son todo el equipo que forma la organización que nos aporta la información necesaria para trabajar.
En la primera línea de defensa, se encuentra la gestión operativa y el control interno, que se controla con la realización de encuestas en las que se preguntan los riesgos que se encuentran en la organización para que nosotros le pongamos remedio.
En la segunda línea de defensa se encuentra el control financiero, la seguridad, la gestión de riesgos, calidad, inspección, cumplimiento normativo, responsabilidad social corporativa, siendo los comités los que nos ayudan a realizar la gestión de riesgos.
En la tercera línea de defensa nos encontramos con el auditor interno que supervisa toda la documentación, ofreciéndonos su aporte para que pueda ser aportada en el comité de riesgos.
ISOTools Excellence
A través de la plataforma tecnológica de ISOTools Excellence, las organizaciones pueden automatizar sus Sistemas de Gestión garantizando una gestión de riesgo eficaz y realizando planes de mejora adaptados a cada situación de riesgo.
Si se encuentra interesado en conocer más sobre la herramienta tecnológica ISOTools, le invitamos a participar en nuestra siguiente demo. Para inscribirse haga clic aquí.
- Implementando el Marco de Riesgo NIST: Estrategias para una Protección Efectiva
- Gestión de riesgos de ciberseguridad: clave para proteger tu empresa
- Comparativa: Software GRC vs. métodos tradicionales de gestión de riesgos
- Impacto del Software GRC en la Reducción de Riesgos Operativos
- Claves para gestionar los riesgos de terceros en tu empresa
¿Desea saber más?
Entradas relacionadas
Implementando el Marco de Riesgo NIST: Estrategias para una Protección Efectiva
El Marco de Riesgo NIST (National Institute of Standards and Technology Risk Management Framework) es un conjunto de lineamientos...