Sistema de Gestión de Riesgos
La verificación del sistema de gestión de riesgos corresponde a la tercera etapa del ciclo PHVA. La idea de verificar la gestión de riesgos implica, primero que nada, constatar que se haya completado el proceso de gestión del riesgo.
Como ese proceso es transversal a la organización, es posible que no se haya completado el ciclo en la ejecución del proceso. De allí la importancia de verificar que cada etapa sea superada, desde identificar y analizar hasta evaluar y tratar los riesgos.
¿Qué más debemos verificar? Que se usen los métodos adecuados para la ejecución de cada una de las fases mencionadas. Por ejemplo, en la identificación, ¿se están usando las fuentes adecuadas, o se omitió alguna? ¿La organización es lo suficientemente ágil para incluir los nuevos riesgos que surgen del contexto? También es menester revisar que los involucrados cuenten con las competencias pertinentes.
Hay que tomar en cuenta que dentro de las organizaciones ocurren muchos cambios: constantemente hay nuevas funciones, procesos, productos y personas. Si hay individuos que se van de la empresa o que se integran a ella, necesitamos verificar que los roles y responsabilidades son asignadas acertadamente a personas que cuenten con las competencias requeridas para cumplir con sus funciones y actividades.
El análisis también es susceptible a la verificación. Si bien suelen estar en manos de comités especializados, existe la posibilidad de que se presenten fallas instrumentales o al emplear algún criterio. Por ejemplo, si utilizamos ofimática o alguna hoja en Excel hay que verificar que las fórmulas que permiten hacer los análisis no se hayan dañado. Si se usa una plataforma tecnológica, se verifica que se usen adecuadamente los principios de funcionamiento de las aplicaciones o de la tecnología que se ocupa para ello. El verificador, risk manager o control interno (además de auditores internos) tienen que conocer claramente cómo funcionan las herramientas para poder verificar que se usen correctamente.
La verificación nos lleva a enfocarnos en la evaluación, hay que determinar si las evaluaciones están acordes a la política de gestión de riesgos de la organización, también si lo que se aceptó como riesgo está dentro del apetito por el riesgo. Hay que considerar si se aplicaron niveles de riesgo altos, medios o bajos, si se abordaron adecuadamente los que se consideran mayores a lo señalado en el apetito por el riesgo… Además, se debe verificar que todos los elementos que fueron analizados en la evaluación de riesgos sean bien evaluados, puesto que podemos encontrar que hay niveles de análisis que probablemente den un resultado, pero si los comparamos con el mapa de calor, tal vez no haya coincidencias. Cuando se utiliza tecnología, estos errores son casi inexistentes, pero si se evalúa a mano, hay posibilidades de fallar. Por eso es importante verificar que esa clase de errores se haya evitado en la gestión de riesgos.
Hay que considerar si existen riesgos que se aceptaron por el apetito por el riesgo, pero que no solo se consideren en cuanto al aspecto metodológico, sino que haya pasado por la formalidad de la declaración de aceptación el riesgo por parte de las autoridades correspondientes. Normalmente, esto se hace por medio de un acta de aprobación o declaración en la que se indica que se reconoce la existencia de determinados riesgos y que fueron aceptados.
Otro aspecto relevante a la hora de verificar es que se haya dado el adecuado tratamiento. Hay que considerar la asignación de responsabilidades y autoridades para poder ejecutar las actividades, que podríamos concebir como si se tratara de “miniproyectos”. Estos deben contar con recursos propios, los tiempos también tienen que ajustarse a los niveles de urgencia de los riesgos, también se verifica si se ha dejado evidencia de la ejecución del tratamiento de los riesgos. Esto nos lleva a un análisis importante que tiene que hacer la organización, que es la frecuencia con la que verificar, eso dependerá de la dinámica de cada organización. Algunas de ellas están dispuestas a asumir más riesgo que otras. Si nos encontramos en mercados altamente regulados, la exposición al riesgo suele ser más delicada y prioritaria que en un mercado más abierto. Es importante definir la frecuencia de verificación por parte de cada uno de los actores (risk manager, auditor interno, control interno). Lo deseable es que la verificación sea la combinación de los esfuerzos de todos ellos y que la frecuencia pudiera ser trimestral, de manera de que se pueda abordar la verificación a lo largo de todo un año. También se debe ver si el tratamiento logró el efecto esperado.
- Implementando el Marco de Riesgo NIST: Estrategias para una Protección Efectiva
- Gestión de riesgos de ciberseguridad: clave para proteger tu empresa
- Comparativa: Software GRC vs. métodos tradicionales de gestión de riesgos
- Impacto del Software GRC en la Reducción de Riesgos Operativos
- Claves para gestionar los riesgos de terceros en tu empresa
¿Desea saber más?
Entradas relacionadas
Implementando el Marco de Riesgo NIST: Estrategias para una Protección Efectiva
El Marco de Riesgo NIST (National Institute of Standards and Technology Risk Management Framework) es un conjunto de lineamientos...