Planificar Gestión de Riesgos.
Planificar un Sistema de Gestión de Riesgos es el primer paso para comenzar un ciclo PDCA eficaz para que la gestión de riesgos en la organización sea cada ve más eficaz y eficiente.
El ciclo PDCA (plan, do, check, act) aporta orden a la gestión de riesgos, ya que esta se suele considerar una forma de acción muy improvisada, entonces el PDCA le confiere orden y estructura – y por consiguiente la optimización de recursos – para responder a un conjunto de factores que pueden ser muy caóticos. También orienta hacia lo relevante: contar con una forma de priorizar el uso de los recursos y las acciones que se deben tomar para ejecutar un proceso es importante para generar los resultados esperados, que es que la organización proteja y genere valor en función a la gestión de riesgos. A continuación, veremos cómo aplicarlo:
Ciclo PDCA
Planificar la gestión de riesgos
Tiene que ver con la definición del método de gestión de riesgos, normalmente por medio de un procedimiento. También en esta etapa se definen los roles: quiénes van a participar y cuáles serán sus funciones dentro de la gestión de riesgos. Además, se decide la frecuencia con la que se van a aplicar los controles y el modelo de gestión de los resultados, puesto que los resultados de la gestión de riesgos simplemente son una entrada para la gestión del resto de los procesos (como el modelo de las 3 líneas de defensa, y otros que elija la organización).
Elementos clave de la planificación: recursos, tiempo, el método y la tecnología.
Do
La ejecución está referida a la recolección de información sobre el contexto, requisitos de las partes interesadas, los objetivos y metas de la organización… De allí se hace la identificación de los riesgos, que fundamentalmente sucede gracias a la tormenta de ideas de los equipos que constituimos en la fase de planificación. Luego analizamos los riesgos identificados en una relación de probabilidad – impacto, comparamos contra un mapa de calor que permita saber cuáles son los riesgos bajos, medios y altos (dependiendo de una política de apetito por el riesgo que se define en la planificación). De esa evaluación y comparación se establece un tratamiento que se basa en aceptar, mitigar o transferir los riesgos. Esto nos lleva a lo que llamamos “miniproyectos”, que son los planes de tratamiento de riesgos. Una vez que esto se ejecuten, se convierten en controles de riesgos, que se van a instaurar a la forma de operación normal de los procesos.
Elementos clave de la ejecución: herramientas que permitan ordenar la gestión (automatizadas o no), lo ideal es ordenar las actividades para cada responsable y sistematizar los resultados para actuar en consecuencia y hacer un conjunto de acciones que nos permitan hacer la mitigación, transferencia o aceptación de los riesgos, de manera que se les pueda hacer seguimiento en la próxima fase. Las claves son el orden, disciplina, disponibilidad de tiempo (no más del que se destina a cualquier proyecto, simplemente se debe integrar al trabajo diario para llevar al día a día el pensamiento basado en riesgos. Este PDCA va a ser transversal a los PDCA que se tienen en los demás procesos.
Check
Existen varios instrumentos de verificación, la organización elige el que le conviene, pero en líneas generales, los más empleados son los indicadores de riesgos o KRI, indicadores de gestión propios de cada proceso, métricas y KPI que complementan a los KRI, reuniones de seguimiento con el equipo de trabajo que hizo el análisis de riesgos (para saber si los niveles de riesgos se mantienen, han cambiado o se llegó al nivel de control deseado y definido por la organización y que se ejecutó durante la fase “hacer”). Existen auditorías de riesgos en las que se revisa el proceso de gestión de riesgos y se chequea que se cumpla con los criterios de análisis, evaluación y tratamiento según lo pautado. Y, finalmente, ayudan mucho las revisiones del comité de riesgos, que, con una frecuencia establecida desde la planificación, normalmente 1 vez al año, se verifica que el proceso de gestión de riesgos se haya ejecutado según lo planeado.
Elementos clave de la verificación: es vital contar con los instrumentos adecuados para hacer el seguimiento y medición, tener competencias para recolectar la información, analizar los resultados, hacer auditorías de riesgos, que en estos casos son auditorías de gestión, como las que normalmente se hacen, pero con más experiencia sobre la gestión de riesgos y el contexto de la organización. Es muy importante considerar que las auditorías de riesgos no son genéricas, sino que requieren mucho conocimiento. La otra clave se basa en contar con formas de registro eficaces, de manera que no se pierda la continuidad del proceso de gestión de riesgos porque las verificaciones no tienen registros eficaces y por eso no permiten mantenerse en el tiempo ni ver la evolución.
Act
Actuar recae en la mejora, es decir, es consecuencia de verificar. Una vez que se verifica, nos toca actuar utilizando la información obtenida durante la revisión para mejorar el proceso de gestión de riesgos, o los métodos de verificación o planificación del sistema. Actuar es el momento en el que se propone un conjunto de iniciativas para mejorar el desempeño que ha tenido la organización en la gestión de riesgos. Esas acciones pueden tener base en riesgos que se hayan materializado o a dificultades presentadas en las etapas anteriores. Esta fase nos permite incorporar las lecciones aprendidas que nos brinda la gestión de riesgos a medida que la ejecutamos. Debe ir en ambas direcciones: corregir lo que no se hizo bien e ir aumentando la capacidad en función al resultado del desempeño.
Elementos clave de la actuación: Tener claro el concepto de mejora es tener presente que todo es mejorable y que dos componentes asociados son las acciones correctivas y no conformidades. Luego de eso, hay que contar con competencias específicas para la mejora, también hace falta tener recursos para mejorar, es decir, dentro de la gestión de riesgos no hay una estrategia ideal y repetible, sino que se tienen que amoldar al contexto porque los riesgos son cambiantes y difíciles de mantener en el tiempo en cuanto a dimensión, naturaleza y características, por lo tanto, necesitamos estar muy atentos. La agilidad para implementar esas mejoras es clave.
Software GRCTools para la Gestión de Riesgos Corporativos
El Software GRCTools para la Gestión de Riesgos Corporativos, es un gran aliado para la planificación de riesgos en la organización, así como para realizar el ciclo completo PDCA de mejora continua, de forma que consigamos cada vez mejores resultados en nuestro Sistema de Gestión de Riesgos, sea cual sea el marco de trabajo aplicado.
Establecer medidas y tomar decisiones mediante las matrices de gestión de riesgos de nuestro software es muy sencillo, ¿quiere saber cómo?
- Implementando el Marco de Riesgo NIST: Estrategias para una Protección Efectiva
- Gestión de riesgos de ciberseguridad: clave para proteger tu empresa
- Comparativa: Software GRC vs. métodos tradicionales de gestión de riesgos
- Impacto del Software GRC en la Reducción de Riesgos Operativos
- Claves para gestionar los riesgos de terceros en tu empresa
¿Desea saber más?
Entradas relacionadas
Implementando el Marco de Riesgo NIST: Estrategias para una Protección Efectiva
El Marco de Riesgo NIST (National Institute of Standards and Technology Risk Management Framework) es un conjunto de lineamientos...