Riesgos Operativos

Los riesgos operativos son una preocupación constante para las empresas, ya que pueden tener un impacto significativo en su funcionamiento diario y, en última instancia, en su rentabilidad. Estos riesgos se refieren a las amenazas que surgen de las operaciones internas y externas de una organización, y pueden abarcar una amplia gama de áreas, desde problemas de seguridad hasta fallas en los procesos y sistemas. En este artículo, exploraremos qué son los riesgos operativos y cómo reducir su impacto en una empresa.

Definición de riesgos operativos:

Los riesgos operativos son aquellos que están relacionados con las actividades y procesos internos de una empresa. Pueden surgir debido a factores como la falta de control interno, errores humanos, fallas en los sistemas y procesos, cambios regulatorios, problemas de seguridad, entre otros. Estos riesgos pueden afectar directamente la eficiencia, la calidad del producto o servicio, la reputación de la empresa e incluso la continuidad del negocio.

Identificación de los riesgos operativos:

Es fundamental que las empresas sean capaces de identificar y comprender los riesgos operativos a los que están expuestas. Esto implica realizar una evaluación exhaustiva de todas las áreas de la organización y determinar los posibles escenarios que podrían resultar en problemas operativos. Algunos ejemplos comunes de riesgos operativos incluyen:

1. Fallas en los procesos y sistemas: Esto puede incluir desde errores en la cadena de suministro hasta problemas con los sistemas informáticos utilizados para administrar las operaciones diarias.
2. Errores humanos: Los errores cometidos por el personal de la empresa pueden tener un impacto significativo en la eficiencia y la calidad de los productos o servicios.
3. Cambios regulatorios: Las empresas deben estar al tanto de las regulaciones que afectan su industria y asegurarse de cumplir con los requisitos establecidos. Los cambios regulatorios pueden dar lugar a nuevos riesgos si no se manejan adecuadamente.

Reducción del impacto de los riesgos operativos:

Una vez que los riesgos operativos han sido identificados, es importante implementar estrategias efectivas para reducir su impacto en la empresa. A continuación, se presentan algunas medidas que las organizaciones pueden tomar:

1. Establecer controles internos sólidos: Implementar controles y procedimientos internos adecuados puede ayudar a minimizar los riesgos operativos. Esto implica definir responsabilidades claras, establecer políticas y procedimientos de trabajo, y garantizar una supervisión adecuada de las operaciones.
2. Capacitar al personal: Proporcionar capacitación regular al personal de la empresa es fundamental para reducir los errores humanos. Esto puede incluir programas de formación en habilidades técnicas, así como en temas relacionados con la seguridad y la gestión de riesgos.
3. Diversificar proveedores: Dependiendo de un solo proveedor puede aumentar el riesgo operativo. Al diversificar proveedores, las empresas pueden reducir su vulnerabilidad ante posibles fallas en la cadena de suministro.
4. Mantener un enfoque en la mejora continua: Las organizaciones deben estar abiertas al cambio y buscar constantemente formas de mejorar sus procesos operativos.

Implementación de un sistema de gestión de riesgos:

Para reducir el impacto de los riesgos operativos, es fundamental implementar un sistema de gestión de riesgos efectivo. Esto implica identificar, evaluar y priorizar los riesgos operativos, así como desarrollar estrategias y planes de acción para mitigarlos. Algunas prácticas clave en la implementación de un sistema de gestión de riesgos son:

1. Evaluación de riesgos: Realizar una evaluación exhaustiva de los riesgos, considerando tanto la probabilidad de ocurrencia como el impacto potencial en la empresa. Esto permitirá priorizar los riesgos y asignar los recursos adecuados para abordarlos.
2. Planificación de contingencias: Desarrollar planes de contingencia claros y detallados para hacer frente a los riesgos operativos identificados. Estos planes deben incluir procedimientos específicos a seguir en caso de que ocurra un evento adverso.
3. Monitoreo y seguimiento: Establecer un sistema de monitoreo continuo para identificar tempranamente cualquier indicio de riesgo. Esto puede incluir la implementación de indicadores clave de rendimiento (KPI) y la realización regular de auditorías internas.
4. Mejora continua: La gestión de riesgos operativos debe ser un proceso continuo y en constante evolución. Es importante revisar y actualizar regularmente las estrategias y planes de acción, teniendo en cuenta los cambios en el entorno empresarial y las lecciones aprendidas de experiencias pasadas.

Cultura de gestión de riesgos:

Para lograr una reducción efectiva del impacto de los riesgos operativos, es necesario fomentar una cultura de gestión de riesgos en toda la organización. Esto implica involucrar a todos los niveles de la empresa y promover la conciencia y responsabilidad de los empleados en la identificación y gestión de los riesgos operativos. Algunas prácticas clave para promover una cultura de gestión de riesgos son:

1. Comunicación abierta: Fomentar un ambiente en el que los empleados se sientan cómodos, compartiendo información sobre posibles riesgos operativos y proponiendo mejoras en los procesos.
2. Formación y capacitación: Proporcionar programas de formación y capacitación en gestión de riesgos operativos para todos los empleados. Esto les ayudará a comprender los riesgos asociados con sus funciones y a adoptar prácticas que contribuyan a su mitigación.
3. Reconocimiento y recompensa: Reconocer y recompensar a los empleados que demuestren un compromiso destacado con la gestión de riesgos operativos. Esto puede incluir incentivos y reconocimientos públicos por su contribución a la seguridad y eficiencia de la empresa.

Software para riesgos operativos

GRCTools es el software que le permite a las organizaciones gestionar de forma integrada un Sistema de Gestión de Riesgos. Esto implica el Análisis Preliminar de Riesgos como parte de las buenas prácticas de gestión que cualquier empresa ha de cumplir y para el que es necesaria la gestión de gran cantidad de información. Software ERM es una herramienta que consigue automatizar procesos y procesar la información de una forma más eficaz.

Riesgos de Continuidad de Negocio

En un mundo empresarial cada vez más competitivo y cambiante, los riesgos de continuidad de negocio pueden tener un impacto significativo en la estabilidad financiera y la reputación de una empresa. En este artículo, discutiremos los riesgos más comunes y cómo las empresas pueden hacerles frente.

Riesgos de seguridad informática

Uno de los mayores riesgos de continuidad de negocio es la ciberseguridad. Las empresas dependen en gran medida de la tecnología y la información digital, lo que las hace vulnerables a ataques cibernéticos. Para hacer frente a este riesgo, las empresas deben implementar medidas de seguridad informática efectivas, como la encriptación de datos, la autenticación de usuario y la gestión de contraseñas. Para ello, el uso de un software que permita hacer más eficiente la gestión del riesgo de Seguridad de la Información es clave.

Riesgos de proveedores

Otro riesgo importante es la dependencia de un proveedor. Si un proveedor clave sufre problemas financieros, quiebra o falla en la entrega de productos o servicios, puede tener un impacto significativo en la continuidad de negocio. Para hacer frente a este riesgo, las empresas deben diversificar sus proveedores y mantener relaciones sólidas con ellos para minimizar el riesgo de interrupción, además de contar con una buena gestión de riesgos de terceras partes entre las que se incluyen los proveedores.

Riesgos de cambios en el entorno legal

Los cambios en las regulaciones y las leyes pueden tener un impacto significativo en las operaciones empresariales, especialmente en aquellas que dependen de sectores altamente regulados. Para hacer frente a este riesgo, las empresas deben mantenerse informadas sobre los cambios regulatorios y legales que puedan afectar sus operaciones y adaptarse rápidamente a estos cambios.

Riesgos de pérdida de talento

La pérdida de un empleado clave o un grupo de empleados puede tener un impacto significativo en la continuidad de negocio y en la capacidad de la empresa para competir en el mercado. Para hacer frente a este riesgo, las empresas deben implementar políticas de retención de talento que incluyan la formación y el desarrollo continuo de los empleados, la creación de un ambiente de trabajo satisfactorio y la gestión efectiva del desempeño.

Riesgos de reputación

La reputación de una empresa puede ser dañada por una variedad de factores, como escándalos de corrupción, mal servicio al cliente o productos defectuosos. La pérdida de reputación puede afectar la rentabilidad y la estabilidad financiera de la empresa. Para hacer frente a este riesgo, las empresas deben implementar medidas proactivas para gestionar su reputación, como la comunicación transparente con los clientes, la implementación de políticas éticas y la gestión efectiva de las crisis. Un Sistema de Gestión de Riesgos Estratégicos es de especial utilidad en este sentido.

Riesgos de desastres naturales

Los desastres naturales, como terremotos, inundaciones o incendios, pueden tener un impacto significativo en la continuidad de negocio. Para hacer frente a este riesgo, las empresas deben tener un plan de contingencia de desastres naturales sólido y una copia de seguridad de sus datos y sistemas críticos en un lugar seguro.

Riesgos de interrupción del suministro de energía

Las interrupciones del suministro de energía pueden ser causadas por una variedad de factores, como fallas en la red eléctrica o interrupciones planificadas. Esto puede tener un impacto significativo en la continuidad de negocio, especialmente si la empresa depende en gran medida de la energía para sus operaciones. Para hacer frente a este riesgo, las empresas pueden considerar la implementación de fuentes alternativas de energía, como generadores de respaldo y apoyarse en un plan de continuidad de negocio.

Riesgos de fraude interno

El fraude interno puede ser causado por empleados deshonestos o por una falta de controles internos efectivos. Esto puede tener un impacto significativo en la continuidad de negocio y en la reputación de la empresa. Para hacer frente a este riesgo, las empresas deben implementar controles internos sólidos, como la segregación de funciones, y deben tener una política de denuncia de irregularidades que aliente a los empleados a informar sobre cualquier actividad sospechosa.

Software para la Gestión de Riesgos de Continuidad de Negocio

Ante tal cantidad de riesgos es clave contar con las herramientas adecuadas que permitan hacer una gestión eficaz del conjunto de riesgos y al mismo tiempo que cada área de la organización sea partícipe, creando una cultura en torno a esta gestión que facilite la continuidad. GRCTools pone a disposición de las organizaciones el software para riesgos empresariales, gracias a la cual, la organización podrá hacer una gestión eficiente desde la identificación de estos riesgos hasta el control interno necesario para dar garantías de continuidad de negocio.

Riesgos empresariales

Los riesgos empresariales son una parte integral de cualquier empresa. Si no se gestionan adecuadamente, estos riesgos pueden tener un impacto negativo en la empresa, afectando su capacidad para operar de manera efectiva y, en última instancia, su rentabilidad. En este artículo, analizaremos los principales riesgos empresariales y por qué es importante que los empresarios los conozcan.

Riesgos financieros

Uno de los mayores riesgos empresariales son los riesgos financieros. Estos incluyen la gestión del flujo de efectivo, el endeudamiento excesivo, la falta de financiación y la falta de control financiero. Para minimizar estos riesgos, los empresarios deben tener una comprensión clara de los estados financieros de su empresa, incluyendo su balance general, estado de resultados y flujo de efectivo.

Riesgos operativos

Los riesgos operativos son aquellos que surgen en la operación diaria de la empresa. Estos riesgos incluyen la gestión de la cadena de suministro, la calidad del producto, la seguridad en el lugar de trabajo y la capacidad para mantenerse al día con las cambiantes demandas del mercado. Para minimizar estos riesgos, es importante tener procesos sólidos y sistemas de gestión en su lugar.

Riesgos legales y reglamentarios

Los riesgos legales y reglamentarios son aquellos que surgen de los requisitos legales y reglamentarios de una empresa. Estos riesgos incluyen el cumplimiento de las normativas gubernamentales, la protección de la propiedad intelectual y el cumplimiento de los contratos. Es importante que las empresas tengan políticas y procedimientos claros para cumplir con estas regulaciones y minimizar los riesgos asociados.

Riesgos de seguridad

Los riesgos de seguridad son aquellos que surgen de la seguridad física y digital de una empresa. Estos riesgos incluyen el robo, el vandalismo, la seguridad de la información y la ciberseguridad. Para minimizar estos riesgos, las empresas deben tener protocolos de seguridad en su lugar y asegurarse de que sus empleados estén capacitados en la seguridad.

Riesgos de reputación

Los riesgos de reputación son aquellos que surgen de la imagen pública de una empresa. Estos riesgos incluyen la mala publicidad, el manejo deficiente de las crisis y la falta de responsabilidad social. Para minimizar estos riesgos, las empresas deben tener una comunicación clara con sus clientes, mantener altos estándares éticos y actuar de manera responsable en su comunidad.

Tener conocimiento de los riesgos empresariales es importante no solo para evitar pérdidas financieras, sino también para proteger la reputación y la imagen de la empresa. Un error en la gestión de cualquier tipo de riesgo puede tener consecuencias significativas para la empresa, tanto a corto como a largo plazo.

Para minimizar estos riesgos empresariales, es fundamental contar con un plan de gestión de riesgos sólido. Esto implica identificar los riesgos, evaluar su impacto potencial y desarrollar estrategias para mitigarlos. La gestión de riesgos debe ser un proceso continuo y adaptativo, ya que los riesgos pueden cambiar con el tiempo.

Además, es importante involucrar a todo el equipo en la gestión de riesgos empresariales. Los empleados deben ser conscientes de los riesgos y capacitados para tomar medidas para minimizarlos. Esto puede incluir la implementación de políticas y procedimientos claros, la realización de simulacros de emergencia y la actualización regular de los sistemas de seguridad.

Por último, las empresas pueden considerar la contratación de un consultor en gestión de riesgos para ayudar en la identificación y mitigación de riesgos. Un consultor en gestión de riesgos puede aportar una perspectiva objetiva y experiencia en la gestión de riesgos empresariales.

Gestión de riesgos empresariales

La gestión de riesgos empresariales es un proceso continuo y sistemático que implica identificar, evaluar y mitigar los riesgos que enfrenta una empresa. Este proceso es crucial para proteger la rentabilidad y la sostenibilidad a largo plazo de la empresa, así como para asegurar la continuidad del negocio.

El primer paso en la gestión de riesgos empresariales es la identificación de los riesgos. Esto implica evaluar todos los aspectos de la empresa, desde la gestión financiera y operativa hasta la seguridad física y digital. La identificación de riesgos puede realizarse mediante la realización de un análisis DAFO o de un análisis FODA.

Una vez que se han identificado los riesgos, el siguiente paso es la evaluación de riesgos y su impacto potencial en la empresa. Esto implica evaluar la probabilidad de que ocurra cada riesgo y el impacto financiero y operativo que tendría en la empresa. La evaluación del riesgo se utiliza para priorizar los riesgos y determinar los que deben ser mitigados primero.

Después de evaluar los riesgos, el siguiente paso es desarrollar estrategias para mitigarlos. Esto puede implicar la implementación de políticas y procedimientos claros para reducir el riesgo o la adopción de tecnología o equipo para mejorar la seguridad o la eficiencia operativa.

La gestión de riesgos empresariales debe ser un proceso continuo y adaptativo. Los riesgos pueden cambiar con el tiempo debido a factores internos o externos, por lo que es importante revisar y actualizar regularmente el plan de gestión de riesgos para asegurarse de que la empresa esté preparada para cualquier cambio.

Además, la gestión de riesgos empresariales debe involucrar a todo el equipo. Los empleados deben estar capacitados para identificar riesgos y tomar medidas para minimizarlos. Esto puede incluir la realización de simulacros de emergencia o la implementación de protocolos de seguridad en el lugar de trabajo.

Software de gestión de riesgos empresariales

Esta gestión de riesgos puede hacerse compleja, más aún cuando sumamos la gestión de varios de los tipos que hemos visto. Una gestión de riesgos implica, no solo la identificación y cálculo de estos, también una continuidad, su monitorización y control para mantenerlos por debajo del umbral de apetito de riesgo fijado en cada caso.

Para dar respuesta a las necesidades de gestión de riesgos que tienen las empresas, GRCTools pone a disposición la plataforma más completa de software para Gestión de Riesgos Empresariales o ERM para integrar la gestión de todos ellos desde un mismo lugar, consiguiendo información homogénea, fácil de tratar y siempre disponible para la toma de decisión.

HAZOP

El HAZOP, o también conocido como Análisis Funcional de Operatividad (AFO), es un método de identificación de riesgos de forma inductiva. Esta técnica nos sugiere que los accidentes son causados por una desviación en las variables del proceso con respecto a sus parámetros estándar de operacionalidad. Este análisis es realizado por un grupo multidisciplinar de trabajo en el que se abarcan varios sectores.

Este método es creado en 1963 inspirado por técnicas de análisis crítico. Se partía del planteamiento de un problema y su posterior estudio mediante la respuesta a preguntas relativas al ¿cómo?, ¿por qué?, ¿dónde?, ¿cuándo?, y ¿quién? Esta metodología se ha ido consolidando con el paso del tiempo, siendo de las más utilizadas en nuestros días para detectar riesgos, sobre todo en instalaciones de tipo industrial.

Fases de análisis del método HAZOP

1. Definición del área de estudio y delimitación de la misma. Esta definición puede incluir una línea esquemática con subsistemas para su mejor estructuración, así podrán especificarse funciones propias de cada proceso susceptible de ser analizado.
2. Identificación de los nudos. Seguimos desgranando el proceso y llegamos a la identificación de esos puntos clave de cada proceso, que van a su vez dentro de los subsistemas. La finalidad es encontrar la desviación que ha causado el problema para poder solucionarla desde la raíz. Un ejemplo sería, dentro de una instalación industrial, el chequeo del estado de una bomba que impulsa la separación de disolventes. Cada nudo será debidamente numerado para la comodidad de su estudio, ya que la técnica HAZOP será aplicada a cada uno de ellos. A través de variables como la presión, nivel, temperatura, etc., podremos detectar qué está causando el desvío.
3. Definición de las desviaciones. Dependiendo del proceso que vayamos a someter a análisis necesitaremos establecer unas desviaciones específicas. Se establecerán, también, parámetros y palabras guías para facilitar el análisis.
4. Organización por sesiones. La finalidad de este proceso es su ordenación a través de un formato que facilite y agilice la recogida de datos para su posterior análisis. En esta fase podremos consultar documentación como diagramas, manuales y fichas de especificaciones. Debemos tener en cuenta que para las plantas que incluyan procesos discontinuos es necesario hacer un estudio por cada uno de ellos para validarlo.

El informe final

Realmente este paso debería incluirse dentro del esquema de las fases, pero dada su importancia hemos querido hacer un extracto específico donde desglosaremos qué requerimientos tiene este documento:

• Esquemas simplificados.
• Numeración de los nudos de cada subsistema.
• Registros de las sesiones con indicación de las fechas de realización.
• Fichas del equipo de trabajo con especificaciones de su labor.
• Análisis de los resultados obtenidos.
• Clasificación de las consecuencias para nuestra organización.
• Conclusiones y posibles soluciones. Debemos tener en cuenta la repercusión de la solución de un nudo al resto del proceso. Establecer si es un hecho que se repite o que se ha dado de forma aislada.
• Podremos realizar una lista donde se recojan todos los problemas especificando su nivel de urgencia e importancia para procesos futuros.

Ámbito de aplicación y recursos necesarios

Las instalaciones con procesos de relativa complejidad, y los sectores de almacenamiento que contienen equipos de regulación o de diversidad de tipos de trasiego, son los ámbitos de aplicación más comunes para el HAZOP.

Es recomendable implantar este sistema en nuevas aperturas para hacer una checklist de posibles fallos en el diseño, en la construcción, en torno a la funcionalidad y a la instalación, etc.

Este método es realizado en conjunto por un equipo de trabajo dirigido por un coordinador. Deberá estar compuesto por:

• Responsable de proceso.
• Encargado de la operación de la planta.
• Responsable de seguridad.
• Responsable del mantenimiento.
• El propio coordinador.
• Técnicos especialistas en otras áreas disponibles para su consulta.

Si la planta está en fase de diseño y construcción, debemos sumarle a este equipo un responsable de diseño, uno de proyecto y el futuro responsable de la puesta en marcha.

Todos ellos deben ser profesionales expertos en su campo y que conozcan las instalaciones a la perfección. La proactividad también se valorará de forma muy positiva a la hora de formar parte de este equipo.

Software para la gestión de riesgos operacionales ERM

El método HAZOP requiere una buena coordinación entre equipos para poder ser efectivo a la hora de solucionar problemas de forma rápida y efectiva. En GRCTools, tenemos la solución a tu medida para la implementación de este sistema en tu organización. Gracias a un software de gestión de riesgos operacionales, la organización podrá tener bajo control los riesgos de forma sencilla y completa.

GAMP 5

Las normalizaciones son muy diversas en función de la industria de la que estemos hablando y se hacen más complejas conforme más repercusión tiene el sector. En este caso, el sector de la industria farmacéutica, que es uno de los más regulados, no es una excepción.

Además de la legislación nacional, internacional y territorial que pueda presentar (cumplimiento legal), existen multitud de normas y marcos de trabajo que aplican (cumplimiento normativo) y hoy hablamos de una de las más extendidas, GAMP 5.

¿Qué es GAMP 5?

Las Buenas Prácticas de Fabricación Automatizada (GAMP) 5 son un conjunto de normas de calidad para la industria farmacéutica, emitidos por la Sociedad Internacional de Ingeniería Farmacéutica (ISPE). Se trata de un marco que lo abarca todo, desde el diseño de sus instalaciones hasta la forma de fabricar sus productos, y está ampliamente considerado como el mejor estándar para la fabricación farmacéutica.

Pone mucho foco en la validación de sistemas computarizados en la industria farmacéutica, que divide en 4 tipos sobre los cuales afecta esta guía:

• Software de Infraestructura.
• Sistemas computarizados no configurables.
• Sistemas computarizados configurables
• Aplicaciones personalizadas, diseñadas para adaptarse a las necesidades.

¿Por qué es clave en la industria farmacéutica?

Además de ayudarle a cumplir los requisitos normativos y evitar costosas retiradas de productos, las GAMP 5 le permiten crear una cultura de calidad que mejorará su cuenta de resultados al reducir los residuos y mejorar la eficacia. Siguiendo las directrices de las GAMP 5, puede crear un sistema que permita la mejora continua y la innovación que le ayudará a seguir el ritmo de las tendencias cambiantes en innovación y tecnología médica.

Principios básicos de GAMP 5

Como marco de trabajo se basa en una serie de principios básicos que todas las empresas que aspiren a estar certificadas deben cumplir:

1. Idoneidad del proceso
2. Sistema de gestión de la calidad
3. Sistema de gestión de la configuración
4. Cualificación de la instalación
5. Cualificación operativa
6. Cualificación del rendimiento

Requisitos GAMP 5:

Teniendo en cuenta que GAMP 5 se trata de un conjunto de directrices para la industria farmacéutica. Es importante porque ayuda a garantizar que los medicamentos que toma son seguros y eficaces.

También es importante porque ayuda a garantizar que su médico sabe cómo utilizarlos de forma segura.

Los requisitos de las GAMP 5 son:

• Una política clara y por escrito sobre garantía de calidad (GC) y control de calidad (CC) que abarque todos los aspectos de la fabricación y los ensayos.
• Un sistema documentado para supervisar la producción, las pruebas, la liberación, el almacenamiento, la distribución y el uso de los productos o servicios.
• Un procedimiento documentado para investigar los efectos adversos y las reclamaciones derivadas de su uso
• Procedimientos para revisar los datos de los ensayos y estudios de los productos antes de que se utilicen en las publicaciones sobre comercialización.
• El procedimiento debe incluir los siguientes puntos
  • Identificación de las materias primas que se utilizarán en cada lote o producto fabricado utilizando las especificaciones adecuadas;
  • Procedimientos adecuados de muestreo de materias primas y productos acabados;
  • Procedimientos analíticos adecuados para las muestras de materias primas;
  • Procedimientos de ensayo adecuados para los productos acabados;
  • Controles de los datos analíticos (véase la sección 5.10);
  • Controles sobre las actividades de envasado y etiquetado.

Validación de sistemas computarizados con en la industria farmacéutica.

Si volvemos a centrarnos en el aspecto de los sistemas computarizados, tendrá que validar antes, durante y después de la implementación en relación con cuatro criterios:

• Diseño: con foco en la definición del sistema, lo relacionado con la planificación, configuración y desarrollo.
• Implementación: centrándose en la instalación del sistema, de acuerdo con los parámetros definidos en el diseño.
• Operación: en la que se validará el sistema en su fase operativa, buscando que efectivamente todo marche conforme a lo planificado y configurado.
• Desempeño: GAMP 5 evaluará que todo ha funcionado conforme a las especificaciones.

Software para implementar y gestionar GAMP 5

La gestión de los requisitos para el cumplimiento normativo de GAMP 5 pueden ser muy complejos y requerir la gestión de gran cantidad de información y controles, además de una ardua planificación que ha de ser cumplida con exactitud.

Para ayudar a las organizaciones con la gestión de todo lo relacionado con GAMP 5 está GRCTools, el software de automatización de procesos de negocio con la que minimizar el tiempo operativo para que puedas centrarte en la gestión estratégica y táctica que te mantendrá alineado a la consecución de resultados.

Riesgos en proyectos

La vida organizacional está plagada de riesgos, y los proyectos no son la excepción. Los riesgos son parte del amplio espectro de la incertidumbre, que nos puede traer:

• Oportunidades: resultados potenciales que benefician los objetivos del proyecto.
• Amenazas: resultados potenciales que tienen un efecto negativo sobre los objetivos.

Las oportunidades y amenazas forman el conjunto de riesgos del proyecto. Los riesgos son eventos o condiciones inciertas que, si se producen, tiene un efecto positivo o negativo en uno o más de los objetivos de un proyecto. Podríamos afirmar que las oportunidades son riesgos ventajosos y las amenazas son riesgos negativos.

¿Habrá alguna manera de zafarse de los riesgos? No, y no solo porque quien no arriesga no gana, sino porque todos los proyectos tienen riesgos, ya que son emprendimientos únicos con diferentes grados de incertidumbre. Lo único que podemos hacer es gestionarlos oportunamente para evitarlos o minimizar los impactos de las amenazas, y activar o maximizar los impactos de las oportunidades.

Detección

Y como no hay nada más cierto que la incertidumbre – está presente en todo- ¿O tal vez no?, compilamos una lista para encararla y salir ilesos:

• Plan a, plan b, plan z: es bueno estar preparado para cada posible escenario, no solo para los más obvios. Los planes de reserva y contingencia pueden ser de gran ayuda. Conviene enfocarse en los resultados potenciales.
• Trabajar en la resiliencia: pasa en la vida y pasa en las organizaciones, lo mejor que podemos hacer para avanzar es adaptarnos rápidamente. ¿Hubo un cambio en el contexto, el mercado o el equipo de trabajo? Entonces aprendamos, seamos flexibles, abiertos y avancemos.
• La información es poder: mientras menos conozcas, más incierto será todo. Por eso es importante recopilar información, investigar, considerar opiniones de expertos, o hacer análisis de mercado.
• Diseño basado en conjuntos: se pueden investigar varios diseños o alternativas al principio del proyecto. Esto permite que el equipo de proyectos considere los compromisos como tiempo versus costo, calidad versus costo, riesgo versus cronograma, o cronograma versus calidad. Otro beneficio asociado es que el equipo aprende a trabajar con las diferentes alternativas, se pueden desechar las menos beneficiosas y abordar las óptimas.

Ahora tienes un arsenal de recursos para hacer frente a la incertidumbre, pero no te he contado cómo gestionar los riesgos. Lo primero será conversar con el equipo y demás partes interesadas para establecer cuánta exposición al riesgo es aceptable para lograr los objetivos del proyecto. Podemos hacerlo por medio de umbrales de riesgo medibles que reflejan el apetito al riesgo y la actitud de la organización frente a este. Luego de establecerlos hay que comunicarlos al equipo y tomarlos en cuenta en las definiciones de los niveles de impacto de riesgo para el proyecto.

Análisis

Tras comprender cuáles riesgos podemos correr y qué tanto nos queremos exponer (apetito por el riesgo), necesitamos saber cómo identificar los riesgos. Algunas técnicas podrían ser:

• Hacer sesiones de revisión y retroalimentación frecuentemente. Allí todos pueden indicar qué riesgos perciben y cómo abordarlos.
• Cuando los riesgos sean identificados, conviene saber cuál es la probabilidad de que ocurran y la gravedad de cada uno.
• Crear informes de progresos y avances podría apuntar hacia oportunidades para ser aprovechados y compartidos.

Tras hacer la identificación, viene el análisis. Este será especialmente útil para gestionar los riesgos de manera eficaz y nos ayudará a concretar un proyecto exitoso. Además, los involucrados sentirán la confianza que brinda emprender un proyecto en que las posibilidades han sido sopesadas cuantitativa y cualitativamente. El análisis se hace cuando sabemos qué riesgos existen, y nos disponemos a fijar medidas de prevención y protección. Al hacer un análisis de riesgos podemos determinar:

• ¿Qué tan grande es el riesgo? (bajo, medio o alto).
• ¿Qué tanto daño o beneficio puede acarrear?
• ¿A qué tipo de riesgo no enfrentamos? Frecuente, probable, remoto, extremadamente remoto, improbable, etc.

Conclusiones

Identificar y analizar los riesgos nos llevan a trazar rutas de acción para la gestión integral de riesgos eficaz. Si ya tenemos un riesgo identificado y analizado, ¿Qué sigue? Debemos decidir si lo vamos a:

Aceptar: se acepta el riesgo pasivamente porque es muy pequeño o solo se hace un plan de contingencia para encararlo.

Evitar: protegemos al proyecto del impacto de ese riesgo.

Escalar: se busca apoyo más allá de la dirección del proyecto si el riesgo excede la capacidad del equipo.

Transferir: un tercero se encarga de soportar el impacto del riesgo cuando este se materialice.

Mitigar: se toman medidas para reducir la ocurrencia y/o el impacto del riesgo. Mientras más temprano actuemos, mejor.

Software para el análisis de Riesgos en proyectos

GRCTools es el software que le permite a las organizaciones gestionar de forma integrada un Sistema de Gestión de Riesgos. Esto implica el Análisis Preliminar de Riesgos como parte de las buenas prácticas de gestión que cualquier empresa ha de cumplir y para el que es necesaria la gestión de gran cantidad de información. El software ERM es una herramienta que consigue automatizar procesos y procesar la información de una forma más eficaz.

Sistema de Gestión de Riesgos

Uno de los conflictos que tenemos cuando pensamos en riesgos es que creemos que se trata de problemas puntuales que requieren una gran planificación y que las autoridades más relevantes deben hacerse cargo de ellos. A manera de ejemplo, supongamos que muchas veces en nuestros vecindarios vemos una tubería rota y no lo denunciamos ni avisamos a las autoridades pertinentes porque suponemos que alguna suerte de alarma les va a indicar que esa tubería está fallando, pero si nosotros no nos ocupamos esto se puede convertir en un desastre y en un desperdicio importante. Lo mismo sucede en la gestión de riesgos.

Una de las primeras cosas que debemos tomar en cuenta es tener consciencia de que en la vida organizacional no hay nada que esté escrito en piedra, todos los días nos exponemos a posibles fraudes, ataques informáticos, pérdidas de recursos, tiempo, productividad, de clientes… Como estamos expuestos a diario a estas situaciones, debemos tener claro cómo reaccionar ante esos eventos, que son potenciales hasta que no ocurren. Pero como pueden ocurrir, constituyen riesgos. Ese es el componente de probabilidad que tiene el riesgo. Dada la variante de riesgo tenemos que concentrarnos en la ejecución de dos grandes componentes de la gestión del riesgo, que forman parte del día a día de una organización:

1. Desarrollo de los planes de tratamiento de riesgos: Estos son los que primero debemos formular, son una suerte de “mini proyectos” que le permiten a la organización construir la forma de reaccionar ante un riesgo cuya evaluación ya conocemos, y es la que se hace durante la gestión de riesgos. En esa construcción tendríamos que actuar a diario. Es vital que el conjunto de actividades que forman parte del plan de tratamiento de riesgos tenga responsables, horas, fechas y recursos establecidos, incluyendo los hitos que nos permitirán avanzar dentro del PTR.
2. La ejecución de los controles: esta es una actividad cotidiana, que se relaciona con la ejecución de los procesos, es decir, los controles deben estar insertos en los procesos y tienen que estar tan bien diseñados que nos permitan ir ejecutando el proceso junto con los controles. Es decir, que no hagamos un paréntesis solamente para ejecutar controles, sino que se ejecuten mientras se lleva a cabo el proceso. Un ejemplo sería que cuando usemos un sistema haya un control de acceso lo suficientemente ágil para identificar claramente a la persona que tiene privilegios y que puede acceder solo gracias a ellos. Que cuando se transfiera la información o se opere y estemos expuestos al riesgo, el control esté incorporado. Normalmente, ese diseño forma parte de las responsabilidades de la segunda línea de defensa, pero la verdad es que depende mucho de los conocimientos y la preocupación por mejorar sus conocimientos acerca de los controles por parte de la primera línea de defensa. También de la comunicación que se tiene desde la primera línea de defensa hasta la segunda línea, de manera de retroalimentar controles que están siendo más o menos eficaces o que no están surtiendo el efecto correspondiente.

Los controles deben funcionar siempre, si no deberíamos tener un canal de comunicación (que tendría que estar definido dentro del proceso de gestión de riesgos) para poder informarle a la segunda línea de defensa que los controles no funcionan adecuadamente. No es una actividad del día a día, pero si debe estar inserta en la rutina de trabajo, la posibilidad de informar a los responsables acerca de qué determinado control tiene oportunidades de mejora, y así aplicar el ciclo de la mejora continua dentro de esos controles.

¡No te lo recomiendo!

La gestión de riesgos no tiene por qué ser un proceso lento o ceremonioso, simplemente tiene que estar integrado en la forma de operar la organización. Por eso desaconsejamos que se perciba como una actividad aparte de las funciones normales o que se delegue a una sola persona de la empresa. Es decir, si existe un risk manager, la responsabilidad no debe recaer exclusivamente en él. La gestión de riesgos es responsabilidad de todos y es deseable que esté integrada en la operación cotidiana de los procesos.

Tampoco es recomendable atender únicamente aquellos riesgos que se consideren muy probables. Evidentemente, hay que atenderlos oportunamente, pero aquellos que sean poco probables, aunque de muy alto impacto, también deberían estar dentro de las prioridades. Pensar en eventos de ese tipo como si se tratara los cisnes negros puede ser contraproducente, sobre todo cuando un riesgo, de materializarse, puede afectar la operación de la organización. Hay que pensar en esos escenarios que son muy poco probables, pero que tienen alto impacto. Dejar de considerarlos por el hecho de que son poco probable, no se aconseja en absoluto.

Software GRCTools para la Gestión de Riesgos Corporativos

La implementación de un Sistema de Gestión de Riesgos Corporativos permite que con una serie de pasos se realicen tareas de identificar los riesgos. Para ello se deben tener en cuenta la estructura organizacional, la actividad económica, los recursos, actualizaciones internas, los agentes externos como los tecnológicos etc.

Determinado esto se debe hacer la evaluación de los riesgos, para ello, el Software de Gestión de Riesgos Corporativos de GRCTools es especialmente indicado ya que facilita la configuración de las matrices y la alineación con toda la organización. Los recursos empleados para llevar a cabo una gestión de riesgos eficiente se verán reducidos al mínimo, mejorando además el rendimiento del sistema.

Gestión de Riesgos

Planificar un Sistema de Gestión de Riesgos es el primer paso para comenzar un ciclo PDCA eficaz para que la gestión de riesgos en la organización sea cada ve más eficaz y eficiente.

El ciclo PDCA (plan, do, check, act) aporta orden a la gestión de riesgos, ya que esta se suele considerar una forma de acción muy improvisada, entonces el PDCA le confiere orden y estructura – y por consiguiente la optimización de recursos – para responder a un conjunto de factores que pueden ser muy caóticos. También orienta hacia lo relevante: contar con una forma de priorizar el uso de los recursos y las acciones que se deben tomar para ejecutar un proceso es importante para generar los resultados esperados, que es que la organización proteja y genere valor en función a la gestión de riesgos. A continuación, veremos cómo aplicarlo:

Ciclo PDCA

Planificar la gestión de riesgos

Tiene que ver con la definición del método de gestión de riesgos, normalmente por medio de un procedimiento. También en esta etapa se definen los roles: quiénes van a participar y cuáles serán sus funciones dentro de la gestión de riesgos. Además, se decide la frecuencia con la que se van a aplicar los controles y el modelo de gestión de los resultados, puesto que los resultados de la gestión de riesgos simplemente son una entrada para la gestión del resto de los procesos (como el modelo de las 3 líneas de defensa, y otros que elija la organización).

Elementos clave de la planificación: recursos, tiempo, el método y la tecnología.

Do

La ejecución está referida a la recolección de información sobre el contexto, requisitos de las partes interesadas, los objetivos y metas de la organización… De allí se hace la identificación de los riesgos, que fundamentalmente sucede gracias a la tormenta de ideas de los equipos que constituimos en la fase de planificación. Luego analizamos los riesgos identificados en una relación de probabilidad – impacto, comparamos contra un mapa de calor que permita saber cuáles son los riesgos bajos, medios y altos (dependiendo de una política de apetito por el riesgo que se define en la planificación). De esa evaluación y comparación se establece un tratamiento que se basa en aceptar, mitigar o transferir los riesgos. Esto nos lleva a lo que llamamos “miniproyectos”, que son los planes de tratamiento de riesgos. Una vez que esto se ejecuten, se convierten en controles de riesgos, que se van a instaurar a la forma de operación normal de los procesos.

Elementos clave de la ejecución: herramientas que permitan ordenar la gestión (automatizadas o no), lo ideal es ordenar las actividades para cada responsable y sistematizar los resultados para actuar en consecuencia y hacer un conjunto de acciones que nos permitan hacer la mitigación, transferencia o aceptación de los riesgos, de manera que se les pueda hacer seguimiento en la próxima fase. Las claves son el orden, disciplina, disponibilidad de tiempo, no más del que se destina a cualquier proyecto, simplemente se debe integrar al trabajo diario para llevar al día a día el pensamiento basado en riesgos. Este PDCA va a ser transversal a los PDCA que se tienen en los demás procesos.

Check

Existen varios instrumentos de verificación, la organización elige el que le conviene, pero en líneas generales, los más empleados son los indicadores clave de riesgo KRI, indicadores de gestión propios de cada proceso, métricas y KPI que complementan a los KRI, reuniones de seguimiento con el equipo de trabajo que hizo el análisis de riesgos (para saber si los niveles de riesgos se mantienen, han cambiado o se llegó al nivel de control deseado y definido por la organización y que se ejecutó durante la fase “hacer”). Existen auditorías de riesgos en las que se revisa el proceso de gestión de riesgos y se chequea que se cumpla con los criterios de análisis, evaluación y tratamiento según lo pautado. Y, finalmente, ayudan mucho las revisiones del comité de riesgos, que, con una frecuencia establecida desde la planificación, normalmente 1 vez al año, se verifica que el proceso de gestión de riesgos se haya ejecutado según lo planeado.

Elementos clave de la verificación: es vital contar con los instrumentos adecuados para hacer el seguimiento y medición, tener competencias para recolectar la información, analizar los resultados, hacer auditorías de riesgos, que en estos casos son auditorías de gestión, como las que normalmente se hacen, pero con más experiencia sobre la gestión de riesgos y el contexto de la organización. Es muy importante considerar que las auditorías de riesgos no son genéricas, sino que requieren mucho conocimiento. La otra clave se basa en contar con formas de registro eficaces, de manera que no se pierda la continuidad del proceso de gestión de riesgos porque las verificaciones no tienen registros eficaces y por eso no permiten mantenerse en el tiempo ni ver la evolución.

Act

Actuar recae en la mejora, es decir, es consecuencia de verificar. Una vez que se verifica, nos toca actuar utilizando la información obtenida durante la revisión para mejorar el proceso de gestión de riesgos, o los métodos de verificación o planificación del sistema. Actuar es el momento en el que se propone un conjunto de iniciativas para mejorar el desempeño que ha tenido la organización en la gestión de riesgos. Esas acciones pueden tener base en riesgos que se hayan materializado o a dificultades presentadas en las etapas anteriores. Esta fase nos permite incorporar las lecciones aprendidas que nos brinda la gestión de riesgos a medida que la ejecutamos. Debe ir en ambas direcciones: corregir lo que no se hizo bien e ir aumentando la capacidad en función al resultado del desempeño.

Elementos clave de la actuación: Tener claro el concepto de mejora es tener presente que todo es mejorable y que dos componentes asociados son las acciones correctivas y no conformidades. Luego de eso, hay que contar con competencias específicas para la mejora, también hace falta tener recursos para mejorar, es decir, dentro de la gestión de riesgos no hay una estrategia ideal y repetible, sino que se tienen que amoldar al contexto porque los riesgos son cambiantes y difíciles de mantener en el tiempo en cuanto a dimensión, naturaleza y características, por lo tanto, necesitamos estar muy atentos. La agilidad para implementar esas mejoras es clave.

Software GRCTools para la Gestión de Riesgos Corporativos

El Software para la Gestión de Riesgos Corporativos de GRCTools, es un gran aliado para la planificación de riesgos en la organización, así como para realizar el ciclo completo PDCA de mejora continua, de forma que consigamos cada vez mejores resultados en nuestro Sistema de Gestión de Riesgos, sea cual sea el marco de trabajo aplicado.

Establecer medidas y tomar decisiones mediante las matrices de gestión de riesgos de nuestro software es muy sencillo, ¿quiere saber cómo?

B Corp

Las empresas B Corp son aquellas que centran su esfuerzo en la sostenibilidad, no solo para la propia organización, sino también para la sociedad y el medio ambiente. Hasta aquí, como muchas otras que disponen de estrategias de sostenibilidad o están certificadas bajo marcos de trabajo de responsabilidad social o sostenibilidad, la diferencia está en las exigencias y alcance de estas certificaciones. Veamos las diferencias.

El movimiento B Corp

Se trata de un movimiento iniciado en Estados Unidos en 2006, bajo la iniciativa de la ONG B Lab, con el firme propósito de impulsar un nuevo tipo de economía alrededor de todo el mundo en el que la rentabilidad pudiera convivir con impactos positivos en la sociedad y el medioambiente. Sin duda se trata de un sueño esperanzador, pero esto se consigue solo si existen estándares, exigencias y marcos regulatorios que acompañen y a los que las organizaciones estén dispuestas a sumarse.

B Lab desarrolló un estándar, el certificado B Corporation, ahora mundialmente conocido como B Corp, de modo que la organización pueda certificar a efectos de todas sus terceras partes que cumplen con las políticas, directrices y valores que promulga B Lab.

La certificación B Corp (B Corporation)

La certificación B Corp no es sencilla de conseguir. Implica altos estándares que deben ser verificados en las organizaciones y con ello obtener el sello que acredita que cumplen con las políticas y aplican los valores de B Lab en favor de un mundo mejor, una economía sostenible, ética y capaz de cambiar el mundo.

En resumen, acredita que la empresa se suma al conjunto de organizaciones que hacen fuerza para el bien común, no solo actual sino a futuro.

Pasos para la obtención del certificado B Corp

La única organización que puede conceder el certificado B Corp es B Lab, para lo que somete a las organizaciones que lo solicitan a una evaluación exhaustiva del «Impacto B», que toma indicadores en 5 aspectos clave:

• Comunidad
• Trabajadores
• Medioambiente
• Gobernanza
• Clientes

Cualquier organización que lo desee puede solicitarlo de forma cómoda vía online siguiendo los siguientes pasos:

1. Hacer un registro gratuito en la web correspondiente a su país.
2. Completar la autoevaluación aportando toda la información requerida y obtener una puntuación superior a 80/200 puntos.
3. Acreditar el cumplimiento legal, para lo cual es habitual tener que hacer modificaciones en los estatutos o las bases de constitución de la organización para que sea vinculante.
4. Enviar toda la evaluación y cumplimiento a evaluación, previo pago de una cantidad no reembolsable que varía en función del país.
5. Superar la evaluación por parte de B Lab o, en caso contrario, proceder a las subsanaciones que se le ofrecerán a modo de feedback.
6. En caso de superar la evaluación, comenzar con el pago anual de la certificación, que también varía en función de la facturación de la empresa y el país.

¿Por qué certificar?

Los beneficios de implementar políticas de sostenibilidad van mucho más allá de disponer del certificado (este o cualquier otro) que puede abrir nuevas puertas en el mercado. El solo hecho de implementar las políticas ya va a su poner, en ocasiones, un ahorro, y en ocasiones una mejora de la productividad.

Si ejemplificamos el reducir el consumo energético para minimizar el impacto ambiental, esto ya supondrá un ahorro en materia de consumo energético. El hecho de mejorar el cumplimiento de la legislación que aplique en materia de medioambiente, nos protegerá de sanciones. Contar con los trabajadores y otorgarles un papel más protagonista en la organización mejorará la retención del talento, el rendimiento y la capacidad de atraer nuevos talentos jóvenes e ilusionados a formar parte de una organización que vela por los intereses de todo el mundo.

Por supuesto, además de esto que puede resultar más abstracto, encontramos beneficios como la atracción de nuevo capital, la mejora de la imagen corporativa, la participación en mercados estrictos con el aporte a la Agenda 2030 y los Objetivos de Desarrollo Sostenible o el aumento de la cuota de mercado.

Además, existe un último punto que siempre ejerce un gran impacto, el enfoque a la mejora continua. El hecho de que cada cierto tiempo se deba recertificar (planificando, ejecutando, midiendo y mejorando) las políticas y el cumplimiento, ayuda a las organizaciones a no estancarse y buscar siempre un poco más, de forma continua e imparable.

GRCTools: software para implementar estrategia de gestión de riesgos

GRCTools, el software para implementar una estrategia de gestión de riesgos

Para la planificación, ejecución, monitorización y mejora de una estrategia de gestión de riesgos, sea cual sea el marco de trabajo aplicado, es de gran ayuda contar con un software de gestión que facilite el proceso, multiplique el rendimiento, ahorre costos y acerque a la organización a la consecución de objetivos, por este motivo queremos concluir hablando sobre GRCTools.

Al hacer uso de este software a la hora de implantar una estrategia de gestión de riesgos, podrá ahorrar costos, ya que le permite realizar dicha gestión mediante el marco de trabajo gubernamental.

Si su organización trabaja con GRCTools, va a poder:

• Generar de un modo sencillo el mapa de riesgos a través de la automatización y contando con la precarga de buenas prácticas.
• Planificar acciones en función de los riesgos identificados según los indicadores.
• Automatizar la gestión derivada de las políticas y acciones, el control del grado de cumplimiento y el reporte en tiempo reducido.

Gracias a GRCTools, una organización puede implementar en poco tiempo las mejores prácticas internacionales en materia de gestión de riesgos y automatizar toda la gestión.

Si necesita más información sobre GRCTools, solicítela sin compromiso haciendo clic aquí.

Gestión de Compliance

El compliance (cumplimiento), es la práctica de adherirse al marco legal y regulatorio que ha sido establecido por un gobierno u organización. Existen un conjunto de reglas y regulaciones que rigen cómo operan las organizaciones dentro de su industria. Estas tienen como objetivo garantizar que las organizaciones cumplan con la ley mientras operan dentro de su industria. Los estándares de cumplimiento los establecen las propias empresas, pero también dependen de agentes externos, como agencias gubernamentales u organismos reguladores, para hacerlos cumplir.

La ley de cumplimiento regula cómo las empresas realizan negocios con clientes, empleados, proveedores y otras partes interesadas para cumplir con requisitos específicos. Por ejemplo, las normas de cumplimiento pueden exigir que una empresa proporcione un seguro de salud a los empleados que trabajan más de 40 horas a la semana; esas regulaciones serían aplicadas por una agencia como el Ministerio de Trabajo en España o alguna otra entidad que tenga autoridad sobre estos asuntos dentro de su jurisdicción.

El hecho de no tener un proceso de control del cumplimiento puede traer consecuencias de extrema gravedad para la organización, no solo económicas, también de pérdida de negocio, imagen corporativa, reputación o apoyo de accionistas y otras terceras partes que son necesarias para la continuidad de la organización. Esto hace que las organizaciones deban establecer estrategias para conseguir un cumplimiento excelente tanto en el ámbito legal como normativo. En este sentido, seguir una serie de buenas prácticas será de especial utilidad.

Buenas prácticas relacionadas con el cumplimiento

1. Crea una estructura de datos común

El primer paso para evitar riesgos por cumplimiento es construir una estructura de datos común. Una estructura de datos común es una base de datos que contiene toda la información relevante para los esfuerzos de cumplimiento normativo de una organización. Esto incluye información sobre regulaciones, cambios que pueden ocurrir y prácticas generales de gestión de riesgos. Para ello será de especial utilidad contar con un software que permita una gestión excelente de matrices de riesgos, incluido el legal.

2. Rastrea los cambios regulatorios

Una vez que tengas construida su estructura de datos común, es hora de comenzar a rastrear los cambios regulatorios. Los reguladores cambian constantemente las reglas para asegurarse de que las empresas aprovechen al máximo sus oportunidades comerciales y al mismo tiempo cumplan con las regulaciones. Al realizar un seguimiento de estos cambios y asegurarse de que se reflejen en su estructura de datos, puede evitar multas costosas en el futuro al mantenerse a la vanguardia del juego.

3. Seguir un enfoque de cumplimiento basado en el riesgo

Gracias al pensamiento basado en riesgos y el empleo de metodologías de gestión de riesgos (de incumplimiento, en este caso) será de mucha utilidad y ayudará a tener controlados todos y cada uno de los potenciales riesgos de cumplimiento, establecer planes de acción para su tratamiento y controlar el estado en cuanto al grado de cumplimiento del requisito legal o normativo en cuestión.

4. Reporte y administre de manera efectiva problemas, observaciones, casos e incidentes

Que todo esté establecido a la perfección no significa que evites completamente el riesgo, para eso también hay que hacer un seguimiento y establecer los controles necesarios. Para su operación es clave que se haga de forma sistémica y siguiendo un ciclo de mejora continua.

5. Gestionar compromisos regulatorios de manera sistemática

También deberás gestionar de forma sistemática los compromisos normativos para que la organización siga de forma coherente las leyes y normativas.

6. Ayúdate de un marco de trabajo eficaz.

Existen diversas metodologías y marcos de trabajo para la gestión de riesgos y específicamente, la ISO 37301 es la indicada para levantar un Sistema de Gestión de Compliance eficaz y con enfoque en la mejora continua, algo de lo que otros marcos de trabajo carecen.

Software de gestión de Compliance

Implementar un sistema anticorrupción y aplicar una lista de verificación para un sistema de compliance como esta resulta mucho más fácil si se cuenta con una herramienta tecnológica avanzada que estructura el sistema y facilita cada tarea.

Así lo hace el  Software Compliance de GRCTools específicamente diseñado para abordar cada componente de un sistema antisoborno con éxito. Esta solución ofrece funcionalidades apropiadas, por ejemplo, para una gestión óptima de los ciclos de tareas y flujos de documentación, para la aplicación ágil de la debida diligencia o para alentar la denuncia a través de canales que protegen el anonimato y facilitan las investigaciones

Guía para definir el mapa de riesgos corporativos

Conforme al crecimiento de los procesos, en las organizaciones fueron creciendo no solo las amenazas naturales y humanas, sino una cantidad de factores que colocan a los procesos en un nivel alto de amenaza y vulnerabilidad. Estos fueron llamados riesgos o posibles escenarios en donde se podía ver afectado un proceso, pero su intención no era solo prevenir o prever el evento de ocurrencia, sino ya ocurrido el suceso, que medidas correctivas se podían aplicar para manteneros controlados.

Es por eso que a la fecha se cuenta con herramientas para la administración de los riesgos o “mapa de riesgos” que permiten identificar, evaluar y controlar los sucesos que puede impedir el cumplimiento de los objetivos corporativos. Para lograr el desarrollo de la administración de los riesgos corporativos se han diseñado una serie de pasos ordenados que permiten a las partes interesadas que permiten generar acciones que permiten el mejoramiento continuo de los procesos. Estos procesos están clasificados así:

Definición de contexto

Este se puede considerar el primer aspecto de clasificación para definir un mapa de riesgos, más, sin embargo, se debe contemplar la posibilidad de contar con un nivel inicial en donde se nombra el comité de riesgos, el cual se encarga de la creación del mapa para la identificación de los riesgos. Sin embargo, en la definición del contexto tiene como intención encontrar toda situación que ponga riesgo el cumplimiento de los objetivos corporativos, estos los define la alta dirección organizada de la siguiente manera:

• Estratégico
• Organizacional
• Contexto de administración del riesgo

Identificación de Riesgos

En esta fase la intención es identificar los potenciales eventos de riesgo que afectan el cumplimiento de los objetivos en la organización, como también se buscan elementos que están generando los riesgos, y valoración o análisis de un ishikawua para determinar la probabilidad de ocurrencia, para poder desarrollas estas actividades el equipo debe tener en cuenta una serie de técnicas y herramientas que van a permitir obtener una información precisa de los elementos que colocan en riesgo la organización, algunos de estos elementos son:

• Encuestas
• Diagramas de flujo
• Revisión de registros
• Entrevistas con los dueños de proceso

Análisis de Riesgos

En esta fase la intención es medir la probabilidad de ocurrencia y determinar la dimensión de la incidencia del riesgo en el proceso que ponen en un estado vulnerable a la corporación. En la medición de la probabilidad y dimensión o alcance del riesgo, la medición puede estar dada de manera cuantitativa, cualitativa o mixta; esta última una combinación de las dos primeras. En esta etapa cada dueño de proceso al realizar el análisis y evaluación del riego y darle un peso y ponderarlo, esto permitirá que el riego hallado se encuentre inherente, es decir, un riesgo sin controles.

Valoración del Riesgo

Al haber evaluado los riesgos ya se puede realizar la construcción del mapa de riesgo donde en el plano se concurren la probabilidad y la consecuencia, esta construcción del mapa, permitirá a la alta gerencia tomar decisiones frente al plan a tener en cuenta frente al control de los riesgos existentes y la materialización a los mismos.

La alta dirección, al valorar los resultados de los riesgos con sus respectivos controles para reducir y materializar los riegos, debe darles un nombre a los controles, descripción y categorizarlo en los siguientes niveles:

• Controles preventivos
• Control Correctivo
• Control Predictivo

Al evaluar los riesgos nuevamente el dueño de proceso debe reportar el impacto del mismo y la probabilidad de ocurrencia el cual debe disminuir, a esto se le llama Riesgo Residual y también debe ser consignado la tabla de riesgo con el fin de tener un mapeo de los mismos.

Establecimiento de opciones de tratamiento de riesgos

En esta fase se prioriza el riesgo determinando el tratamiento que se le va a dar con el fin de disminuir la probabilidad de ocurrencia, estos se llevan a cabo por la alta dirección quienes se encargarán de realizar las políticas de tratamiento de riesgos.

En conclusión, el mapa de riesgos con estos cinco (5) pasos, nos van a permitir tener el control de los riegos y con un buen software se podrán realizar la construcción de cada uno de los escenarios de manera organizada, por procesos, parte interesada, asignadas tareas y compromisos a la vez de la construcción de un mapa donde se pueda llevar el control de los riegos inherentes y residuales.

Software GRCTools para la Gestión de Riesgos Corporativos

El Software para la Gestión de Riesgos Corporativos de GRCTools es un gran aliado para el seguimiento y monitoreo de cualquier riesgo identificado en su organización, independientemente de su perfil u origen.

Establecer medidas y tomar decisiones mediante las matrices de gestión de riesgos de nuestro software es muy sencillo, ¿quiere saber cómo?

Equipo de gestión de riesgos

La gestión de riesgos hoy en día es clave en todas las organizaciones, pero pocas son las que cuentan con un equipo bien conformado para abordar esta ardua tarea con eficacia y proporcionando los resultados esperados.

Para conseguir un “dream team” capaz de hacer una gestión de riesgos eficaz es muy importante que cada miembro del equipo cuente con competencias sólidas, y con esto nos referimos a:

• Competencias personales: incluye conocimientos, habilidades y capacidades para evaluar las propias fortalezas y debilidades, establecer y perseguir metas profesionales, equilibrar la vida personal con la laboral e interesarse por aprender todo lo relacionado con el riesgo (apetito por el riesgo, gestión del riesgo, etc.).
• Competencias para la comunicación: tiene que ver con el conocimiento para utilizar todas las vías que sirven para enviar, comprender y recibir ideas, pensamientos y sentimientos, para transferir con precisión e intercambiar información y emociones. Es vital que la información relativa a los riesgos circule de forma oportuna y sin equívocos.
• Competencias para la diversidad: abarca la capacidad para valorar las características únicas de los individuos y los grupos que forman parte de la organización, así como la aceptación de estas características como fuentes potenciales de fortaleza para la empresa. Cada miembro del grupo cuenta con habilidades y conocimientos distintos para prevenir, identificar y gestionar riesgos, la clave es saber aprovecharlo.
• Competencia ética: se trata de incorporar los valores y principios que distinguen lo correcto de lo incorrecto al tomar decisiones y elegir acciones. Esto es fundamental si tomamos en cuenta que la materialización de los riesgos es capaz de generar muertes, accidentes, multas y el cierre de la organización.
• Competencia transcultural: incluye las habilidades para reconocer y aceptar las similitudes y las diferencias que existen entre naciones y culturas y, de esta manera, estudiar las cuestiones estratégicas y organizacionales clave, con una mente abierta y curiosa. Por ejemplo, el riesgo de incumplimiento está latente en cada organización, pero como las leyes difieren de un país a otro, es importantísimo mantenerse alerta para disminuir estos riesgos.
• Competencia en equipo: aborda la capacidad para desarrollar, apoyar, facilitar y liderar a los equipos, de modo que se alcancen las metas de la organización. Un individuo experto no basta para gestionar los riesgos de manera eficaz. Si todo el equipo cuenta con competencias, tienen objetivos claros en común y cooperan para conseguirlos, buena parte del camino ha sido recorrido con éxito.
• Competencia para el cambio: encierra la capacidad para reconocer e instituir las adaptaciones o las transformaciones totales que necesitan las personas, las tareas, las estrategias, las estructuras y las tecnologías en el área del riesgo. Todo cambia, nada permanece; los riesgos no son la excepción, y por eso debemos estar preparados.

Para conocer si contamos con las competencias antes mencionadas existen herramientas valiosas como la autoevaluación, ejercicios, casos de estudio y preguntas para análisis. Con ello será posible calibrar las competencias de forma independiente y conjunta, compararse y tomar medidas para la mejora.

El liderazgo es altamente influyente

Para gestionar los riesgos de forma eficaz es necesario que los líderes sepan integrar a los clientes, los empleados y las metas de la organización. Esto lleva a los líderes de los equipos a planear, organizar, controlar, influir y actuar de forma efectiva.

A lo largo del día experimentamos diferentes emociones que oscilan entre lo positivo – y llevan a un desempeño más efectivo – mientras que otras son negativas y llevan a un mal desempeño. Las emociones inciden en el control de riesgos y productividad de los empleados, de allí la relevancia de incentivar la motivación, respeto y clima laboral armonioso. ¿Algunas palabras claves? Amabilidad, satisfacción laboral, inteligencia emocional, actitud, compromiso, entre otras.

El reforzamiento por parte del líder es tan importante que tiene asidero en la teoría del aprendizaje social, ella apunta que las personas aprenden nuevos comportamientos al observar a otras, y a continuación, imitar sus comportamientos con base en lo que han observado. De allí que los reforzamientos positivos y negativos sean deseables para encaminar al equipo hacia la dirección correcta.

En GRCTools nos inclinamos por la motivación de cada colaborador. Pero ¿cómo lograrlo? Una buena forma de empezar tiene que ver con:

• satisfacer las necesidades humanas básicas,
• diseñar puestos que incentiven a las personas,
• reforzar la idea de que es posible obtener las recompensas que se desean,
• brindar a las personas un trato equitativo.

La motivación es capaz de dotarnos de la fuerza necesaria para que nos comportemos de manera que nos dirijamos hacia las metas. Un líder efectivo debería saber qué motiva a cada miembro del grupo y qué necesitan para gestionar los riesgos de forma eficaz. ¿Sabe el equipo qué puede pasar si los riesgos se materializan? ¿Cada uno de ellos entiende cuál es su participación en la prevención, identificación y gestión de riesgos? ¿Se perciben a sí mismos como los héroes de la empresa? Una motivación a prueba de todo, por sí sola, no es suficiente para hacer un trabajo excelente, puesto que los conocimientos, capacidades, habilidades y competencias juegan un rol primordial. Conjugar estos elementos de forma acertada nos llevará al éxito sostenido.

Software de gestión de riesgos GRCTools

El software ERM de GRCTools es clave para la gestión integral de los riesgos corporativos de la organización que mayor retorno de la inversión genera. Gracias la automatización de procesos en la gestión de riesgos incrementará la eficiencia del área de riesgos, llevar una gestión integrada de todos los riesgos que pueden amenazar a la organización, identificarlos de forma más clara y aprovechar las oportunidades que se pueden derivar de los mismos.

Sistemas de Control Interno

Los Sistemas de Control Interno son una parte esencial de toda empresa. Ayudan a proteger a la empresa de amenazas internas y externas y aportan de forma eficaz a la estabilidad del negocio. Este artículo te ayudará a entender qué son los sistemas de control interno, para qué sirven y cómo implantarlos en tu empresa.

Qué es el Sistema de Control Interno

Un Sistema de Control Interno es un sistema que busca garantizar que los recursos de una organización se utilizan de forma eficiente y eficaz. En este artículo, hablaremos de las características de un buen Sistema de Control Interno en una empresa, los pasos para implantar el control interno en la empresa y las ventajas del Sistema de Control Interno en la empresa.

Características del Sistema de Control Interno

Un Sistema de Control Interno efectivo debe contar con una serie de características a efectos de que su efecto sea óptimo y cumpla a la perfección con su función:

Debe estar bien diseñado, lo que significa que debe ser sistemático y tener líneas claras de autoridad y responsabilidad; tener controles perfectamente definidos que estén en equilibrio con la productividad; proporcionar rendición de cuentas; tener canales de comunicación eficaces; y tener políticas, procedimientos y métodos adecuados que sean coherentes con las normas externas.

El sistema también debe implantarse de forma eficaz, formando a suficiente personal para que pueda utilizarlo y desempeñar sus funciones sin errores ni omisiones. Esto significa que deberá contar con:

• Procedimientos de documentación adecuados para que todas las actividades y transacciones (del tipo que sea) puedan rastrearse hasta su origen.
• Sistemas de control eficaces que se comprueben periódicamente para garantizar que funcionan según lo previsto.
• Sistemas de información fiables que se actualicen con regularidad. Controles eficaces de los activos físicos y digitales, como el inventario o el efectivo.
• Salvaguardas adecuadas contra el fraude, soborno o robo dentro de la propia organización.
• Políticas adecuadas para gestionar los cambios en el seno de la organización; y con un sistema de gestión de riesgos eficaz.

Beneficios que aporta a la organización

Podría pensar que un Sistema de Control Interno sería difícil de poner en marcha, pero en realidad no lo es tanto. Solo se necesita un poco de tiempo y esfuerzo para ponerlo en marcha.

Una vez que tengas tu sistema establecido, empezarás a ver los beneficios de tener un Sistema de Control Interno. Entre ellas se incluyen:

• Mejor toma de decisiones
• Mejora de la estructura organizativa
• Aumento de la productividad
• Reducción de costes
• Mayor aprovechamiento de los recursos invertidos
• Mejor control sobre el rumbo de la organización
• Aumento de las posibilidades de llegar a los objetivos fijados

Además de todo esto, el Sistema de Control Interno es una herramienta extremadamente efectiva para minimizar y tratar los riesgos de una organización.

• Ayuda a garantizar el cumplimiento de las leyes, reglamentos, políticas, procedimientos o normas mediante auditorías periódicas con respecto a esas normas y reglamentos.
• Ayuda a reducir los riesgos operacionales y las desviaciones en producción y costos.
• Ayuda a minimizar los riesgos de seguridad de la información, poniendo los medios necesarios, apoyándose en el SGSI o en los expertos TI de la organización.
• Minimiza el impacto de los riesgos estratégicos si se cuenta con un sistema de monitoreo eficaz y los planes de acción necesarios para el tratamiento de estos riesgos.
• Ayuda a gestionar el riesgo de terceras partes siempre que tengamos en cuenta aspectos como la cadena de suministro y se realice una excelente gestión de proveedores.
• Reduce también los riesgos laborales y ambientales al contar con los controles necesarios para asegurar que el SGST, SGA o la integración en HSE ejerce su función de forma efectiva.

Software GRCTools

Para contar con un Sistema de Control Interno efectivo se hace imprescindible la gestión eficiente de procesos y la monitorización constante de toda la organización, especialmente de aquellos puntos que se establezcan como objetivos.

Parte de estos problemas causantes de un Sistema de Control Interno deficiente tienen fácil solución si se llegan a establecer los procesos necesarios para que nada pase por alto a la alta dirección o al área de Control Interno. Gracias a la utilización de un Software auditoría de control interno  como GRCTools, además de definir el SCI conseguiremos una gestión eficiente del mismo, de forma que la monitorización sea constante, cada persona se encuentre implicada y se puedan tomar las decisiones correctas a tiempo y evitar desviaciones y pérdidas.

Gracias al motor de mejora continua, GRCTools conseguirá un Sistema de Control cada día más eficiente gracias a la aplicación del ciclo PHVA.

Software ERM

La rentabilidad de un negocio puede ser sencilla de calcular, más aún cuando hablamos de cuentas simples de ingreso y gasto, pero cuando hablamos de algo que puede no ser tan monetario como la gestión de riesgos, el cálculo del retorno de la inversión se complica. Veamos cómo calcularla.

La rentabilidad de cualquier componente de una organización se calcula en función a las ganancias que pueden obtener, dada una inversión. Por ejemplo, si en un negocio invierten en comprar un pan en 10 $ y lo venden en 13 $, hay una rentabilidad de 3 $. Existe una función en la cual se vende una cierta cantidad de panes (siguiendo con el ejemplo) en la que se permite retornar la inversión. Es decir, si un cliente compra 2 panes, la ganancia es de 6; si compra 3 panes ya la ganancia es de 9 $. Así se incrementan los niveles de ganancias, hasta que se llega a igualar la cantidad de dinero ganada con la cantidad de dinero invertida. Cuando se empiezan a aumentar las ganancias y los costos se mantienen en una línea recta, podemos hablar de que hay un retorno de la inversión. Desde el momento en que se vende la primera pieza de pan y se recupera el dinero invertido en el negocio, el tiempo se vuelve un factor fundamental.

Rentabilidad en la gestión de riesgos

Cuando hablamos de ventas nos referimos al retorno de la inversión porque toca el tema de los ingresos. En cambio, en una actividad preventiva como la gestión de riesgos es difícil hablar de la generación ingresos inmediatos, puesto que la gestión de riesgos (cuando nos anticipamos a la probabilidad de la ocurrencia y al impacto de esta y disminuye la probabilidad o el impacto del daño) solo contribuye a ahorrar.

Evitar posibles situaciones indeseables no produce ganancias, sino que ahorra. ¿Cómo saber si hubo retorno de la inversión? Podemos comparar el costo de lo que pudo haberse gastado si no existiera una gestión de riesgos, versus lo que ocurre cuando hay una gestión de riesgos. Ahí hay una brecha de ahorro que nos permite utilizar los recursos de la organización de una forma más pertinente para invertir, porque hubo ahorro. No obstante, el factor ahorro es difícil de calcular; en el caso de una organización que cuente con una gestión de riesgos, lo puede relacionar con la inversión que se hace para poder desarrollar o implementar un software de gestión de riesgos, que si es automatizada ahorra en tiempo, y esto se puede ofrecer como un valor frente al cliente.

El ROI del ERM no solo se extrae del ahorro

Cuando una organización ofrece un servicio que es más seguro, ese servicio aumenta el valor de esta, lo que constituye un atractivo importante para el cliente y hace que las probabilidades de éxito de la organización sean más altas. ¿Cómo al final se puede deducir el ROI de una inversión de la gestión de riesgos?

Primero que nada, debemos aclarar que el ROI del ERM o retorno de inversión del SGR es un valor que mide el rendimiento económico que se obtiene al hacer una inversión. Segundo, apuntaremos que para obtener el resultado deseado se debe sumar lo que cuestan los recursos que se invirtieron para implementar el modelo de gestión del riesgo, más las horas hombre relacionadas con la ejecución del método y el mantenimiento de los controles, esa cantidad es el total de la inversión. Y el retorno tiene que ver con el número de negocios que puede cerrar la organización gracias a que ofrece sus servicios con niveles de seguridad mucho mayores.

Cuando la organización logra poner en valor la decisión de haberse anticipado de una manera ágil y oportuna a los efectos negativos, está construyendo sociedades con sus clientes más duraderos y rentables. Los negocios se cerrarán en función a la confianza que se genere en el mercado.

Finalmente, en la comparación que se tiene entre utilizar un método de gestión de riesgos manual o consistente en herramientas ofimáticas versus la que se pueda hacer con una herramienta automatizada, concluimos que con la ofimática se utilizan muchos más recursos para obtener un resultado, porque se necesita más tiempo para ordenar, hacer las relaciones y demás. En cambio, con un sistema automatizado, la arquitectura del sistema contiene tareas, responsables, gráficos y funciones capaces de ahorrar tiempo y esfuerzo por parte de quienes lo ejecutan y hacen que ese retorno de la inversión sea mucho más rápido porque hay menos salidas, lo que implica que ese punto de equilibrio se aproxime más al tiempo en el que se hace la inversión de adquirir un sistema automatizado de gestión de riesgos.

Este planteamiento se hace en el marco de un proceso de divulgación. Es deber de cada organización tener claro qué recursos se invierten en capex (gastos de capital) y opex (gastos operativos), y finalmente que pueda dar un resultado de retorno de la inversión en función a los clientes que se cierran gracias a haber tenido una gestión de riesgos. Ese es un control de la operación que se tiene que hacer para cualquier componente de la organización.

Software ERM GRCTools

El software ERM de GRCTools es clave para la gestión integral de los riesgos corporativos de la organización que mayor retorno de la inversión genera. Gracias la automatización de procesos en la gestión de riesgos incrementará la eficiencia del área de riesgos, llevar una gestión integrada de todos los riesgos que pueden amenazar a la organización, identificarlos de forma más clara y aprovechar las oportunidades que se pueden derivar de los mismos.

Auditoría de fraude

El fraude es el uso del cargo de una persona para su enriquecimiento personal de forma deliberada, de los recursos o activos de propiedad del empleador.

Entendemos como fraude:

• “La utilización del cargo de una persona para su enriquecimiento personal a través del mal uso o mala aplicación, de manera deliberada, de los recursos o activos de propiedad del empleador”, (ACFE).
  

• “Cualquier acto ilegal caracterizado por engaño, ocultación o violación de confianza. Estos actos no requieren la aplicación de amenaza de violencia o fuerza física. Los fraudes son perpetrados por individuos y por organizaciones para obtener dinero, bienes o servicios, para evitar pagos o pérdidas de servicios, o para asegurarse ventajas personales o de negocio”, (IIA).
  

Las organizaciones, tanto públicas como privadas, están tomando conciencia sobre su exposición al fraude y luchan contra esa realidad a través de acuerdos internacionales, convenciones regionales, guías para mejores prácticas, y buscando información sobre percepciones y hechos de soborno y corrupción. Una forma de evaluar qué tan efectivos son nuestros esfuerzos es mediante una auditoría.

La auditoría de fraude consiste en revisar los controles que tiene la organización para prevenir el fraude. También puede ayudar a hacer revisión de los fraudes, una vez que se han identificado, para comprobar cuáles han sido las causas o debilidades que generaron el o los fraudes. 

Estas son las mejores prácticas para llevar a cabo las auditorías de fraude:

• Es muy importante que los auditores tengan habilidades, conocimientos y competencia en materia de cumplimiento, fraude, investigación, reglamentación, TI, finanzas, cultura y ética.
  
• Los auditores deben dilucidar de qué manera los controles se compaginan para disuadir, limitar y detectar el soborno y la corrupción.
  
• ¿Eres un auditor interno y en tu organización no hay un programa antifraude o tienen un programa informal? Te recomendamos ayudar a establecer un punto de partida, mediante la identificación e investigación de banderas rojas/alarmas, en áreas de riesgo elevado, tales como relaciones con terceros involucrados, regalos y gastos de representación, contribuciones a partidos políticos y proveedores, entre otros.
  
• Es recomendable que el auditor interno comparta información con otras funciones de gobierno, como el área de cumplimiento, los auditores externos, investigadores, y la Junta Directiva, a fin de comprender cabalmente las posibles implicaciones legales que deriven del alcance de la auditoría, del trabajo de campo, y de los hallazgos.
  
• Un auditor debe comprender todos los aspectos del programa antifraude de la organización antes de llevar a cabo evaluaciones de riesgo. Además, debe analizar los riesgos inherentes de fraude como parte de la evaluación de riesgos global.
  
• El plan de auditoría para evaluar la eficacia del programa antifraude debe estar basado en riesgos.
  
• Los elementos más relevantes que hay que tener en cuenta son la estructura de gobierno, evaluaciones de riesgos — incluidos terceros involucrados—, políticas y procedimientos, comunicación y capacitación, informes e investigaciones, aplicación de normas y sanciones, y revisiones y actualizaciones. 
  
• Es importante evaluar que las normas antifraude de la organización estén definidas con claridad y documentadas en políticas bien definidas. También deben existir procedimientos detallados que no solo describan la manera en que empleados, socios comerciales y terceros deben comportarse, sino que además especifiquen de manera explícita qué comportamientos no son aceptables y/o no cumplen con las normas estipuladas. 
  
• En toda auditoría de fraude deben presentarse evidencias de que existen protocolos para: transacciones con terceros, procesamiento de pagos, informes de gastos y capacitación. Para prevenir acciones ilícitas de empleados en provecho propio, la política de mejores prácticas debe abarcar la conducta de los empleados fuera del lugar de trabajo y los conflictos de intereses.
  
• Corroborar mediante muestreos, si las políticas y los procedimientos cumplen con las siguientes condiciones:
  • Están debidamente documentados;
    
  • Fueron aprobados por el nivel jerárquico adecuado;
    
  • Cumplen con las leyes y regulaciones aplicables;
    
  • Están implementados de manera eficaz.
    

¿Qué no se debe hacer en una auditoría de fraude? 

1. Omitir o subestimar el riesgo de fraude. Cuando una organización hace un análisis de riesgo de fraude es necesario revisar que el método se haya utilizado adecuadamente, que el resultado sea coherente con el contexto de la organización y que los controles sean adecuados al nivel de riesgo y nunca subestimar el riesgo que implica que exista fraude y el daño que eso le podría causar a la organización.
   
2. Hacer muestreos que sean reducidos. Al momento de revisar las operaciones en las que hay riesgos de fraude hay que hacer un muestreo completo que contenga la suficiente información para determinar que las acciones tomadas a través de un proyecto, relación comercial u operación han sido suficientes para poder mitigar la existencia de un fraude. Y si hubo fraude, tener suficientes datos para actuar en consecuencia. El muestreo tiene que ser suficientemente significativo.
   
3. No limitarse a los campos en los que son más vulnerables en la organización. Por supuesto, donde haya más vulnerabilidades hay que hacer mayores esfuerzos para hacer la auditoría, verificar que los controles sean eficaces y que la medición de los riesgos es correcta. Pero aquellas áreas que se consideren no vulnerables y en las que es poco probable que haya fraude, no se pueden dejar de revisar porque precisamente allí es donde posiblemente los controles sean menos eficaces y la gente podría tener conductas más tendientes al fraude. 

Software GRCTools para la Gestión de Riesgos Corporativos

La implementación de un Sistema de Gestión de Riesgos Corporativos permite que con una serie de pasos se realicen tareas de identificar los riesgos. Para ello se deben tener en cuenta la estructura organizacional, la actividad económica, los recursos, actualizaciones internas, los agentes externos como los tecnológicos etc.

Determinado esto se debe hacer la evaluación de los riesgos, para ello, el Software de Gestión de Riesgos Corporativos de GRCTools es especialmente indicado ya que facilita la configuración de las matrices y la alineación con toda la organización. Los recursos empleados para llevar a cabo una gestión de riesgos eficiente se verán reducidos al mínimo, mejorando además el rendimiento del sistema.

Riesgos de Seguridad de la Información

Con el objetivo de cada día ser más eficientes en los diferentes procesos y gestiones, la automatización de estos es cada día más requeridos en diferentes sectores y ámbitos, una de estas sin duda es la seguridad de la información; el cual no solo busca la restricción en su acceso para generar su disponibilidad en diferentes niveles de permisos, sino también en asegurar lo que hay detrás a nivel de infraestructura tecnológica que utiliza para preservar su existencia.

Como una herramienta de gestión disponible para las diferentes organizaciones, se cuenta con la gestión de riesgos de seguridad de la información a través de una matriz donde parte de sus componentes de gestión es denominado mapa de riesgos, el cual permite clasificar los riesgos o alguna de sus ramas (ejemplo: causas raíces) en puntos discretos donde generalmente están representados por numeración y/o letra y/o aspecto cualitativo (ejemplo: Alto, Medio, Bajo) y un punto colorimétrico (ejemplo: Rojo para alto, Amarillo para Medio y Verde para bajo). Sin embargo, ¿Cómo uno puede saber qué numeración o cualidad brindar a sus variables para generar un mapa de riesgos óptimo? Para esto último se brinda algunos pasos a considerar previamente para la elaboración del mapa de riesgos de Seguridad de la Información.

1. Establecimiento de entradas: se busca establecer los parámetros con el que se evaluará los riesgos detectados, así como también la lógica de resultado. Ejemplo: Se establece variables Probabilidad e impacto como entradas debido a que el primero me indica la frecuencia con que mi posible universo de riesgos de Seguridad de la Información pueda ocurrir mientras que el impacto es lo que de forma más rápida me permite comprender el perjuicio o beneficio que obtendría en caso de materialización del riesgo. A su vez, el impacto puede subdividirse por los criterios de disponibilidad, integridad y confidencialidad.
   
2. Establecimiento de valores en las entradas: en este se busca la mejor forma de asociar un valor numérico o aspecto cualitativo en las entradas. Ejemplo: Para la frecuencia podemos establecer valores numéricos referenciales 1,3,5,10,15. Se considera este tipo de ascenso debido a que lo que normalmente se estima del universo de riesgos es que sean más los riesgos de baja probabilidad (1 y 3) comparados a los de alta probabilidad. Se establece como posibles valores cualitativos para las subdivisiones de impacto (disponibilidad, integridad y confidencialidad) las palabras muy bajo, medio, alto, muy alto, critico debido a que se requiere tener una mejor clasificación en los riesgos altos por la experiencia que a pesar de que quizás sean los menos frecuentes son los que de materializarse traen perjuicios de muy alto nivel a la organización.
   
3. Establecimiento de resultado: se consideran los criterios para establecer un resultado por cada combinación de las variables. Estos pueden obedecer criterios matemáticos (Por ejemplo, que sea igual al valor numérico entre probabilidad e impacto. En caso ambas variables sean numéricos). En caso una de ellas no sea numérico se puede realizar la equivalencia de valor cualitativo a cuantitativo (Ejemplo: Para impactos muy bajos sus equivalentes se establecen en 1 y 2 respectivamente. Se realiza lo mismo con los otros valores cualitativos), de esta forma se puede realizar la evaluación bajo un cálculo matemático (Ejemplo: Evaluación de riesgo igual a probabilidad por impacto y el impacto total es la suma de los impactos de cada una de sus subdivisiones disponibilidad, integridad y confidencialidad). Adicionalmente, se puede establecer criterios colorimétricos para los resultados de la evaluación (Ejemplo rojo si el resultado supera el valor numérico de 10).
   

Complementando lo anterior se puede establecer el resultado sin necesidad de tener criterios matemáticos, basta con conocer por cada combinación de variables de entrada, el resultado, lo mismo para su color respectivo. Esto último se puede obtener al establecer un mapa de calor. 

Cuando ya se tiene determinado el modelo de la evaluación a través de un mapa de riesgo de seguridad de la información. El resto corresponde a identificar los riesgos de seguridad de la Información para poder clasificarlos en una de las casillas del mapa de riesgo. Por ejemplo, de identificar los riesgos:

• Conspiración dentro de la organización.
  
• Complicidad con organizaciones ilícitas.
  

Estos se pueden agrupar en las casillas de riesgos de seguridad de la Información dentro del mapa de riesgos:

De este modo la organización puede identificar los distintos riesgos de seguridad de la información para que sean estos o también sus causas los que originen una clasificación dentro de una de las casillas del mapa de riesgos y así logren tener una visibilidad rápida e intuitiva con la finalidad de establecer decisiones del tratamiento de los riesgos en caso lo ameriten.

Software GRC-Tools: Mitigar riesgos de seguridad de la información

Sea cual sea la estrategia empleada, será necesario el uso de tecnología que permita hacer más eficiente la Gestión de Riesgos de seguridad de la información, sean estos riesgos del tipo que sean. Para ello, GRC Tools provee a las organizaciones de tecnología y buenas prácticas basadas en la experiencia de más de 25 años, ayudando a empresas de todo el mundo a ser más eficientes, ágiles y sostenibles.

Gracias a las herramientas adecuadas, como el software para la gestión de riesgos de Seguridad de la Información GRCTools, es posible automatizar y sistematizar esta metodología de acuerdo con la organización y reducir en gran medida los recursos necesarios para su utilización.

Incidentes de corrupción y soborno

Para saber cómo responder ante indicadores de corrupción y soborno es necesario que, primero que nada, se generen las instancias para que pueda haber un reporte. Posteriormente, se requiere hacer un ordenamiento, de manera que ello nos permita interpretar el perfil de conducta del sistema de gestión en variables, por ejemplo:

• Capacitaciones dictadas.
  
• Denuncias recibidas.
  
• Denuncias abiertas.
  
• Denuncias cerradas.
  

En la práctica vamos a encontrar indicadores que nos van a dar datos de carácter preventivo, detectivo y correctivo. En referencia a los indicadores del ejemplo, tenemos que capacitaciones es una medida preventiva y debemos ver tendencias de crecimiento o estabilidad al alta de las capacitaciones. ¿Cómo reaccionar a un indicador como este? La tendencia debería estar orientada al crecimiento, si el comportamiento es distinto a ese, tendríamos que alinear los esfuerzos hacia las capacitaciones y promover más todo lo referente a la formación: impartición de cursos, talleres y actividades que impulsen el conocimiento. 

Luego tenemos indicadores como las denuncias recibidas, que son del tipo detectivo. Esto nos lleva a revisar que ante las denuncias recibidas tengamos acciones o un crecimiento sobre indicadores más correctivos, como puede ser el cierre de los procesos de investigación. Hay que estar atentos ante este indicador, porque un detectivo no es útil por el hecho de que haya más o menos, sino porque exista. Si tenemos un comportamiento en el cual no se están recibiendo denuncias, debemos estar atentos y verificar que el canal se haya roto, es decir, que no haya fallas de comunicación con respecto a la recogida de datos; o que las personas ignoren la existencia de ese canal. La forma de reaccionar ante este indicador tiene que ver con el seguimiento de la denuncia y un cierre que culmine en una solución eficaz. 

Las denuncias abiertas o cerradas son indicadores de carácter correctivo, ellos constituyen la reacción que se tiene ante un indicador detectivos, es decir, la cantidad de denuncias que nosotros podamos cerrar. En este caso, podríamos llamarlas “denuncias cerradas con SLA”, es decir, a tiempo o según lo estimado. Es importante darle carácter de productividad y eficiencia a la gestión de compliance. 

Es vital hacer referencia a los llamados SLA mientras los casos de denuncias se mantienen abiertas, porque eso nos va a permitir saber si las denuncias fueron atendidas en los tiempos establecidos o si estas han sido dilatadas por alguna razón, y eso requeriría revisión de los recursos asignados para poder atender estos procesos.

¿Qué son los indicadores de corrupción y soborno y para qué sirven?

Un indicador es una representación (cuantitativa preferiblemente) establecida mediante la relación entre dos o más variables, a partir de la cual se registra, procesa y presenta información relevante con el fin de medir el avance o retroceso en el logro de un determinado objetivo en un periodo de tiempo determinado. Esta debe ser verificable objetivamente, y al ser comparada con algún nivel de referencia (denominada línea base) puede señalar una desviación sobre la cual se pueden implementar acciones correctivas o preventivas, según el caso.

La utilidad de los indicadores radica en:

• Poder evaluar la gestión y los resultados, de acuerdo con los propósitos organizacionales, para conocer los avances en la consecución de los resultados previstos.
  
• Plantear las acciones para mitigar posibles riesgos que puedan desviar a la organización del cumplimiento de sus metas.
  
• Al final del periodo, determinar si se lograron los objetivos en los tiempos previstos. También hay que tener en cuenta las condiciones de cantidad y calidad esperadas con un uso óptimo de recursos.
  
• La evaluación es el primer paso para garantizar los derechos, satisfacción de las necesidades y la resolución de los problemas de los grupos de interés.
  
• Entender que los resultados obtenidos a través de la medición permiten mejorar la planificación, entender con mayor precisión las oportunidades de mejora de determinados procesos y analizar el desempeño de las acciones, logrando tomar decisiones con mayor certeza y confiabilidad.
  

Medir, medir y seguir midiendo indicadores de corrupción y soborno

Para Albert Einstein, “no todo lo que importa puede ser contado, ni todo lo que puede ser contado importa”. Aunque la incertidumbre no es deseable y quisiéramos controlarlo la mayor cantidad de hechos, no podemos ni debemos medir todos los aspectos de la organización. Todo ello en relación con la corrupción y el soborno. Esto dependerá del análisis de variables clave, adecuadas y suficientes, que suministren información relevante sobre el objeto de evaluación. Además, podemos caer en el error de medir muchas cosas, sin que ellas signifiquen algo relevante. Por eso necesitamos saber qué medir y qué indicadores utilizar para ello. La clave es:

• Hacer mediciones relevantes y útiles en el tiempo, para facilitar las decisiones que serán tomadas sobre la base de tales mediciones.
  
• Reflejar fielmente la magnitud de lo que se quiere analizar.
  
• Que los resultados de la medición estén disponibles en el tiempo en que la información es importante y relevante para la toma de decisiones
  
• Que exista proporcionalidad y racionalidad entre los costos incurridos en la medición y los beneficios o la relevancia de la información suministrada.

Software de Prevención de Corrupción

La implementación de un sistema de prevención de corrupción y la aplicación de una lista de verificación para combatir el soborno se vuelven significativamente más sencillas cuando se cuenta con una herramienta tecnológica avanzada que organiza el sistema y simplifica cada tarea.

Nuestro Software de compliance de Prevención de Corrupción ha sido especialmente diseñado para abordar todos los aspectos cruciales de un sistema de prevención de soborno con éxito. Esta solución ofrece funcionalidades adecuadas para una gestión eficaz de los ciclos de tareas y el flujo de documentos, permite una ágil ejecución de la debida diligencia y fomenta la presentación de denuncias a través de canales que garantizan la confidencialidad y facilitan las investigaciones.

Si deseas obtener más información sobre esta solución, no dudes en contactar a uno de nuestros asesores. Estaremos encantados de ayudarte.

Gestión de Riesgos Estratégicos

La gestión de riesgos estratégicos es el proceso de identificar, evaluar y gestionar los riesgos que pueden afectar directamente a la correcta evolución del planteamiento estratégico de la organización. Es importante entender que la gestión de riesgos estratégicos es diferente de la gestión de riesgos empresariales, que es un concepto más amplio que implica todo tipo de riesgos, no solo los relacionados con la estrategia.

La gestión del riesgo estratégico es un subconjunto de la gestión del riesgo empresarial que se centra en los riesgos relacionados con la estrategia de la organización. Te ayuda a comprender qué riesgos pueden estar afectando a tu capacidad para ejecutar la estrategia, y cómo pueden mitigarse o eliminarse esos riesgos.

La gestión estratégica de riesgos empresariales te ayuda a priorizar los riesgos a los que se enfrenta la organización, en función de su impacto en la estrategia a largo plazo de la organización. También te ayuda a desarrollar estrategias para gestionar esos riesgos, y a realizar cambios si es necesario.

¿Cómo gestionar los riesgos estratégicos?

Una buena manera de pensar en la gestión de riesgos estratégicos es como jugar al ajedrez: hay que pensar en varias jugadas por adelantado antes de tomar cualquier decisión, porque una jugada puede llevar a otra, y luego a otra, y luego a otra. Y cada movimiento puede tener un impacto significativo en la capacidad de tu organización para alcanzar sus objetivos.

El primer paso es identificar todas las diferentes formas en que una amenaza podría afectar a la organización y a sus partes interesadas, y luego priorizar esos riesgos en función de su probabilidad, gravedad y plazo.

Una vez que tengas identificados los riesgos estratégicos, es necesario evaluarlos utilizando las distintas metodologías de evaluación de riesgos que existen, siempre soportadas por datos contrastados y expertos en diversas materias que aporten más puntos de vista.

Estas herramientas le permiten identificar la probabilidad de que se produzca cada riesgo, el impacto que tendrá en tu empresa si se produce y cuánto dinero costará si se produce (o el ahorro de costes si no se produce). También te permiten priorizar cada riesgo en función de su probabilidad de ocurrencia y de su impacto en la empresa si se produce.

Una vez que haya identificado los riesgos más importantes y están clasificados según su gravedad y probabilidad, puedes empezar a tomar acción y establecer las medidas, planes de acción y planes de contingencia necesarios para mitigar el riesgo en lo que respecta al impacto o la probabilidad.

Algo esencial será la monitorización de estos riesgos, que se hace imprescindible para que un cambio rápido en el mercado, la entrada de un nuevo competidor o cambios normativos en cualquiera de los países en los que esté presente la marca pueda tener una rápida respuesta y minimizar los posibles impactos.

Software para la gestión de riesgos estratégicos.

El empleo de un software de gestión de riesgos estratégicos te ayuda a identificar y gestionar los riesgos estratégicos con el objetivo de alcanzar los objetivos empresariales. Esto permitirá no solo mantener el foco en aquello que puede afectar a la estrategia de forma externa, también te permitirá monitoriza que factores de riesgo internos pudieran causar un perjuicio en la estrategia a largo plazo y con ello controlar todo el conjunto de riesgos, desde el estratégico hasta el operativo.

Desde GRCTools nos preocupamos por hacer más eficientes, eficientes y sostenibles a organizaciones de todo el mundo mediante la transformación digital, el empleo de las buenas prácticas detectadas durante nuestros 25 años de experiencia y las nuevas tecnologías que permiten adelantarse a los acontecimientos. Gracias al software de gestión de riesgos estratégicos conseguirás:

• Adelantarte a los riesgos que pueden impedirte alcanzar los objetivos.
• Contar con la información necesaria para la toma de decisiones en tiempo y forma.
• Disminuir el nivel de exposición al riesgo y contar con una visión global del contexto, oportunidades y riesgos.
• Mejorar la comunicación haciendo partícipe a cada interesado acerca de sus riesgos en actividades y procesos.

Puedes comprobarlo por ti mismo asistiendo a la demostración semanal que celebramos o solicitando información aquí.

Control de Riesgos

La gestión de riesgos implica la creación de valor y la protección de este. No obstante, hay que considerar que, si no existe un balance, la protección del valor puede afectar de manera negativa a la productividad.

Esto nos remite al concepto llamado la perfección paralizante, es decir, buscamos que el control sea tan estricto que suprimimos la posibilidad de que se ejecuten los procesos, lo cual es un riesgo en sí. Llegados a este punto es pertinente hablar del apetito por el riesgo, que debe definir desde la organización, desde ella hay que perseguir unos resultados, y a través de la persecución de esos resultados la organización va a determinar cuánto está dispuesto a perder en función a lograr los resultados.

Toda decisión dentro de las organizaciones tiene un beneficio – costo y lo ideal es que busquemos que los beneficios sean mayores que los costos, para que cada beneficio se sume con los otros.

La productividad es un beneficio que se da cuando se tienen riesgos razonablemente controlados. La racionalidad de los riesgos se establece por medio de escalas que son resultado del producto de probabilidad por impacto, el resultado de esa operación nos va a dar un valor de riesgo inherente. Luego debemos aplicar los controles para que se genere un riesgo residual. Todos estos controles tienen que estar insertos en la operación de los procesos para que, finalmente, se conviertan en fortalezas. El apetito por el riesgo va a permitir que la organización se exponga a un nivel de riesgos que sea tolerable para esta. Los líderes buscan este balance cada vez que se toman decisiones y es importante que haya un consenso de apetito por el riesgo para que no haya un efecto negativo, si es que el riesgo se materializa y afecta a la organización.

Para lograr la productividad es primordial la gestión de riesgos, y esta inicia con el pensamiento basado en riesgos, es decir, anticiparse a las situaciones negativas que podrían atentar contra la productividad, y  a las positivas, que la pueden potenciar, tomando en cuenta que la productividad está estrechamente relacionada con los ingresos o la capacidad que tiene la organización de aprovechar esos ingresos para generar más productos y obtener más ingresos.

5 tips para lograr el equilibrio entre control de riesgos y productividad

1. Conciencia y competencia: la clave es contar con personas que sean conscientes de los riesgos y que sean competentes a la hora de gestionarlos. Cuando una persona sabe lo que le puede ocurrir a su proceso y en lo que puede fallar, estará atenta a las señales que ocurren cuando los riesgos se van a manifestar y qué impacto tendrán. Y gestionarlos implica implementar un conjunto de controles y conductas a manera de abordar esas situaciones de manera preventiva, detectiva o correctiva, según el caso.
2. Contar con un método de trabajo que esté en sintonía con la exposición al riesgo de la organización y los objetivos estratégicos de esta: los métodos de trabajo confieren una forma de comportamiento de la organización frente a su contexto (factores internos y externos que afectan a la productividad) y deben ser capaces de llevar a la consecución de los objetivos estratégicos y contemplar en cuáles puntos críticos hay que fijar la atención para que no se salgan de control (apetito por el riesgo, cultura de la organización, por ejemplo).
3. Disponer de herramientas ágiles a la hora de identificar, analizar y evaluar los riesgos: estos tienen que estar insertos en la forma de operar los procesos, no podemos verlos como 2 elementos separados, porque ellos están en constante interacción. Por ende, cuando vamos a ejecutar un proceso, debe incluir la identificación, análisis y evaluación de los riesgos para gestionar los tratamientos como parte de la ejecución de los procesos. Para lograrlo, las herramientas de trabajo deben ser ágiles desde el punto de vista de gestión y operativo.
4. Cultura de toma de decisiones que tome en cuenta lo más económico, fácil y seguro: esto va a permitir que cada vez que se ejecute el proceso de toma de decisiones, las organizaciones se impregnen de una forma reflexiva de asumir los riesgos. Lo más fácil alude a la intención de cometer la menor cantidad de errores posibles, lo más económico se refiere a que si nos equivocamos, las pérdidas no sean importantes. Y lo más seguro se relaciona con el factor riesgo, puesto que tomaríamos la alternativa más segura de todas.
5. Medir constantemente los resultados y analizar qué afecta a la capacidad de alcanzar los resultados: la medición constante implica que la organización esté atenta de lo que se ha propuesto desde la planificación estratégica y que verifique si va orientada por el buen camino. Si se percibe que hay desviaciones, estas pueden estar dentro de lo razonablemente aceptable, no obstante, poner diques a la hora de ver que esas desviaciones se salen de los límites es una forma de adoptar la gestión del riesgo como parte de esas mediciones. En la práctica, esto se traduce como líneas de control que nos permitan mantener los procesos en niveles aceptables y controlados y que la frecuencia de cambios sobre ellas no afecte la capacidad de adaptarse de la organización.

Software GRCTools para el Control de Riesgos Operacionales

El análisis de escenarios es una metodología que, aunque es muy útil, requiere el tratamiento de un gran volumen de información, cálculos y recursos, por lo que no siempre se aplica en la organización, a pesar de ser una de las preferidas por la alta dirección para la toma de decisiones.

Gracias a las herramientas adecuadas, como el software para el control de riesgos operacionales GRCTools, es posible automatizar y sistematizar esta metodología de acuerdo con la organización y reducir en gran medida los recursos necesarios para su utilización.

Además de ser más eficientes en el análisis de escenarios, con el software GRCTools para la gestión de riesgos operacionales se consigue una gestión más eficaz desde la identificación del riesgo hasta la ejecución y evaluación de los planes de acción que se pongan en marcha para el tratamiento de riesgos.

Software de Auditoría de Control Interno

En las organizaciones, el proceso de auditoría de control interno es un elemento clave para la optimización de procesos, la reducción de costos y la mejora en los resultados. El software auditoría de control interno es un complemento importante y de gran utilidad para que el proceso sea más eficiente.

La auditoría de control interno tiene varios beneficios para la organización. Algunos de ellos son:

Un Software de Control Interno

Para que todo funcione a la perfección, el sistema que te aporte el partner tecnológico deberá cumplir con una serie de funcionalidades que no se deben pasar por alto y que han de estar adaptadas completamente a la organización, sus procesos de control interno y mejorados con las mejores prácticas que el partner tecnológico pudiera haber aportado en el proceso de consultoría e implementación.

Además, será imprescindible para mantener al equipo implicado que el sistema cumpla con unos condicionantes:

Software GRCTools

Para contar con un Sistema de Control Interno efectivo se hace imprescindible la gestión eficiente de procesos y la monitorización constante de toda la organización, especialmente de aquellos puntos que se establezcan como objetivos.

Parte de estos problemas causantes de un Sistema de Control Interno deficiente tienen fácil solución si se llegan a establecer los procesos necesarios para que nada pase por alto a la alta dirección o al área de Control Interno. Gracias a la utilización de un Software de Control Interno como GRCTools, además de definir el SCI conseguiremos una gestión eficiente del mismo, de forma que la monitorización sea constante, cada persona se encuentre implicada y se puedan tomar las decisiones correctas a tiempo y evitar desviaciones y pérdidas.

Gracias al motor de mejora continua, GRCTools conseguirá un Sistema de Control cada día más eficiente gracias a la aplicación del ciclo PHVA.

ERM (Enterprise Risk Management)

Para saber cómo se mejora el rendimiento de un ERM, lo primero que debemos saber es cómo se gestionan los riesgos y luego que es un ERM. Veámoslo en detalle.

La gestión de riesgos está diseñada para que las organizaciones hagan frente de manera eficiente, eficaz y efectiva, a posibles amenazas, que pueden colocar en riesgo la operación en la organización afectando los diferentes procesos. Esta gestión de riesgos permite minimizar el impacto de estas amenazas, y para ello, las organizaciones elaboran estrategias alineadas con la corporatividad.

La Gestión de Riesgos Empresariales o ERM por sus siglas en inglés (Enterprise Risk Management) se fundamente en la identificación del riesgo natural o riesgo inherente encontrado en las organizaciones y una herramienta que permite mitigar y generar autoconocimiento dentro de la organización es el mapa de riesgo empresarial, el cual se pondera de acuerdo al nivel de afectación o gravedad y frecuencia.

Este método permite que se realice una adecuada administración de los riesgos de forma integrada y con esto se pueden determinar: la atención prioritaria del riesgo, la permisividad o apetito de riesgo y asignación del riesgo, su identificación y el control de los riesgos que han sido identificado, estos pasos generarán oportunidades para una mayor gestión del riesgo; sin embargo, hay acciones que permiten mejorar ese rendimiento las cuales son:

• Establecer los Objetivos: Lo primero que se debe tener en cuenta antes de evaluar los riesgos es determinar el alcance de la gestión de esos riesgos, preguntarse, qué quiero lograr con su detección y cómo estos impactan en mis objetivos para poder cumplirlos.
• Determinar una Estrategia: Al contar con una estrategia, preferiblemente que se encuentre estandarizada, permitirá minimizar los fallos y contar con una detección oportuna para la gestión de los riesgos.
• Establecer KPI´s: Uno de los elementos que no puede faltar en la gestión de riesgos empresariales, son los indicadores, por medio de ellos se puede realizar una medición real de los diferentes procesos que al consolidar la información permiten al equipo tomar decisiones frente a cuáles son los riesgos que deben ser atendidos con prioridad.
• Involucramiento de la Alta Dirección: Se debe tener en cuenta que para que los sistemas de gestión de riesgo empresarial funcionen, la alta dirección no solo debe estar involucrada, sino generar compromiso con las partes interesadas que se encuentran involucradas.
• Generación Matriz de riesgos: a través de esta se hace la identificación de los riesgos, se evalúa la probabilidad de impacto, se aplican controles y se gestiona un plan de tratamiento del riesgo.
• Conformación de Equipos: La conformación de equipos de gestión de riesgos empresariales, permiten contar con una gestión oportuna, lo que permite mantenerlos siempre alerta frente a cualquier amenaza.
• Toma de decisiones y mejora continua: es importante que los recursos se encuentren calificados para una acertada toma de decisiones las cuales les van a permitir mejorar su desarrollo en la gestión de los riesgos empresariales en el presente con miras hacia el futuro.
• BI (Business Intelligence): Estos permiten mejorar su rendimiento de su ERM, ya que le permite gestionar en tiempo real el comportamiento de los riesgos que pueden colocar en riesgo la organización.

En conclusión, para mejorar el rendimiento de una ERM o Gestión de Riesgos Empresariales, se debe contar con una serie de técnicas que permiten llevar a cabo esas estrategias que permiten el cumplimiento de los objetivos, para esto los recursos de la organización son fundamentales para su cumplimiento, sin embargo, se puede contar con Software especializados configurables, que permiten de manera automatizada tener mayor control frente a la gestión de ERM, en cuanto a tomas de decisiones, aplicación de controles, técnicas de evaluación, almacenamiento, gestión en tiempo real, notificaciones, entre otros elementos que potencian esa planeación estratégica para el cumplimiento de los objetivos.

Software ERM GRCTools para la Gestión de Riesgos Corporativos

La implementación de un Sistema de Gestión de Riesgos Corporativos permite que con una serie de pasos se realicen tareas de identificar los riesgos. Para ello se deben tener en cuenta la estructura organizacional, la actividad económica, los recursos, actualizaciones internas, los agentes externos como los tecnológicos etc.

Determinado esto se debe hacer la evaluación de los riesgos, para ello, el Software de Gestión de Riesgos Corporativos de GRCTools es especialmente indicado ya que facilita la configuración de las matrices y la alineación con toda la organización. Los recursos empleados para llevar a cabo una gestión de riesgos eficiente se verán reducidos al mínimo, mejorando además el rendimiento del sistema.

Buen Gobierno Corporativo

Entendemos por buen gobierno corporativo el conjunto de normas, procedimientos, principios, manuales y protocolos que  que regulan el buen funcionamiento de los órganos de gobierno de las organizaciones y con ello el que todo marche alineado al cumplimiento de los objetivos de la organización y a la satisfacción de todas las partes interesadas.

Las relaciones entre los órganos de gobierno, los accionistas, y el resto de partes interesadas puede llegar a ser muy complejo y cuanto más grande es la organización más complejo se vuelve. De este modo, es necesario establecer los principios que se deben seguir en torno a la toma de decisiones, los objetivos comunes y las pautas que harán que funcionen como un todo, aportando en la misma dirección.

Para conseguirlo, además de implementarlo, es fundamental transmitirlo al resto de la organización y establecer los mecanismos para su efectivo cumplimiento. Un código de buen gobierno corporativo será de especial utilidad y ayudará a mantenerlo todo alineado en base a los principios de buen gobierno establecidos.

¿Por qué es necesario un buen Gobierno Corporativo?

Las demandas de las partes interesadas son cada vez mayores y las organizaciones se están enfrentando a nuevos retos:

• Más necesidad de transparencia y responsabilidad por parte de todos los grupos de interés.
• Ausencia de marcos estándar y métricas para la alineación en materia de ESG.
• Imposibilidad de evaluación comparativa con organismos similares.
• Aspectos relacionados con riesgos de Seguridad de la Información, derivados últimamente por el trabajo remoto.
• Falta de comunicación acerca de las políticas de riesgo organizacionales.
• Sistemas tecnológicos en ocasiones obsoletos que dificultan la adaptación a estos nuevos retos.

Pasos para superar los retos respecto al Gobierno Corporativo:

Para superar todos estos retos las organizaciones deben dar una serie de pasos y hacerlo con firmeza para obtener resultados reales y sostenibles en el tiempo.

Definir y establecer la estructura de gobierno corporativo.

Será clave definir y seleccionar con cuidado los componentes del gobierno corporativo. Junta de accionistas, comités, y consejos deben ser revisados en caso de que existan o conformados de nuevo en base al objetivo de aportar transparencia, igualdad, responsabilidad e independencia. Habrá que tener en cuenta las habilidades blandas que deberán poseer o ser capaces de desarrollar para este tipo de puestos.

Definir la estrategia de la organización en base a criterios de sostenibilidad y ESG

En base a esta definición se deberán definir el resto de pasos por lo que es de especial importancia que sea de común acuerdo y el compromiso de la estructura definida para el gobierno corporativo sea unánime y tenga en cuenta a todos los grupos de interés.

Identificar riesgos y oportunidades

Estas nuevas estrategias traerán consigo riesgos y oportunidades en relación al gobierno corporativo, la transparencia, igualdad, responsabilidad e independencia, de ahí que se deban identificar para establecer los mecanismos adecuados que ayuden a la consecución de resultados.

Establecer los elementos que ayudarán a alcanzar los objetivos.

Partimos de la base de que una impecable gestión de riesgos ya no es opcional para ninguna organización, independientemente de su tamaño, sector de actividad o grado de madurez de gobierno corporativo, pero además existen otros elementos que ayudarán especialmente como el Código de Gobierno Corporativo, que integrará el conjunto de normas y principios por los que se regirán los órganos de gobierno.

Establecer los mecanismos de control necesarios.

Como hablamos en artículos anteriores, es clave e indispensable definir e implementar el control interno en la organización al completo, incluyendo, por supuesto, a los componentes de gobierno corporativo, que deberán dar cumplimiento al código de forma transparente y ejemplar para que todo se mantenga en línea con los criterios ESG.

Determinar e implementar las herramientas tecnológicas necesarias.

Todo lo mencionado anteriormente no servirá de nada si no se es capaz de mantener el control, ser capaz de tomar decisiones en base a información veraz disponible en tiempo y forma y llevar una trazabilidad capaz de probar a ciencia cierta que se está gestionando con transparencia, responsabilidad, igualdad e independencia.

Software GRCTools

Para mantener este buen gobierno corporativo y soportar todo lo que implica, desde su definición hasta el control interno, las organizaciones recurren a plataformas tecnológicas altamente parametrizables que se ajustarán a sus necesidades, procesos, sistemas de gestión y monitorización para centralizar el trabajo y que no se transforme en un exceso de burocracia que termine por resultar poco rentable.

GRCTools es la plataforma de gestión modular y escalable que integra las distintas funciones necesarias para definir, gestionar y mantener un sistema de gestión para el gobierno corporativo, abarcando desde la definición de la estrategia corporativa en base a distintos marcos de trabajo hasta el control interno y el cumplimiento legal y normativo necesarios para cumplir con los criterios ESG.

Puede comprobar de primera mano cómo GRCTools automatiza procesos de negocio y hace más eficientes y sostenibles a las organizaciones a nivel global escríbenos para más información en este enlace.

Mitigación de riesgos corporativos

Lo inesperado se ha ido volviendo común. Solo hay que recordar el ataque del 11 de septiembre, el surgimiento de ISIS, la llegada del SARS COVID, entre otros. Entonces podemos afirmar que el riesgo es un amigo cercano y que a veces se usa como sinónimo de incertidumbre.

Lo importante en un escenario plagado de cisnes negros es saber lo que se avecina y cómo podría impactar en los objetivos del negocio y en la organización. Por lo tanto, los líderes de riesgos se enfrentan cada vez más al desafío de identificar y abordar esos riesgos que pocos, si es que alguien, pueden ver o comprender y, sin embargo, pueden ser enormemente destructivos o, por el contrario, representar una gran oportunidad.

Si tuviera que elegir solo tres estrategias para la mitigación de riesgos corporativos, mencionaría:

1. impulsar la cultura del riesgo,
2. ayudar a integrar la gestión de riesgos en el negocio, y
3. convertirse en un asesor de confianza.

Si cada uno de nosotros pudiera lograr que al menos dos de estos elementos se ejecutaran con éxito, nuestra estrategia cobraría vida. Independientemente de la magnitud del desafío, la gran victoria para los líderes de riesgo será la forma en que se puede reducir la incertidumbre al reducir la cantidad y el impacto de eventos de riesgo inesperados. Esto no significa que debamos tener la respuesta precisa y correcta para cada riesgo potencial. Significa que necesitamos mejorar la comprensión y la conciencia de la gerencia sobre las posibilidades y lo que se puede hacer al respecto. ¿Cómo lograrlo? Aplicando las estrategias mencionadas al principio:

Impulsar la cultura del riesgo:

Esto puede lograrse al evaluar el estado de la estrategia de riesgos de la organización, documentar las funciones y responsabilidades de la gestión de riesgos, crear una red de campeones del riesgo, impartir formación en gestión de riesgos, verificar las leyes y regulaciones específicas de cada país relacionadas con la gestión de riesgos, conocer las pautas o estándares de gestión de riesgos específicos de la industria (ISO 31000:2018, por ejemplo), evaluar el efecto de la incertidumbre en objetivos estratégicos, hacer un análisis de riesgos y convertir el análisis de riesgos en acciones. También es muy importante comprender cuáles son las expectativas de la gestión de riesgos y entender cuál es el apetito por el riesgo.

La gestión de riesgos se trata, en última instancia, de cambiar la cultura organizacional para aceptar riesgos y facilitar la discusión de riesgos al realizar actividades comerciales o tomar decisiones estratégicas, de inversión o de proyectos. ¿Existe la cultura del riesgo? Puede que solo exista una cultura organizacional en la que la gestión del riesgo debe ser una acción obvia e integrada.

Ayudar a integrar la gestión de riesgos en el negocio

Esto puede materializarse al ayudar a los empleados a integrar el análisis de riesgos en su trabajo diario, al hacer la planificación estratégica, la presupuestación y la gestión del desempeño basándose en el riesgo. Otros elementos vitales serían: promover un debate abierto sobre los riesgos, crear una política de gestión de riesgos, documentar el apetito de riesgos para diferentes tipos de decisiones, incluir elementos de riesgo en la agenda de la Junta, promover la gestión de riesgos dentro y fuera de la empresa, reforzar la cultura de no culpar y unir fuerzas con los gerentes responsables de otras áreas de mejora del desempeño.

Conviértete en un asesor de confianza

La clave reside en informar a la gerencia sobre los riesgos emergentes, promover la gestión de riesgos como un servicio, crear una red propia de asesores de riesgos, mejorar continuamente las habilidades de gestión de riesgos, documentar el riesgo, funciones de gestión y sus responsabilidades; seleccionar el modelo de gobierno del riesgo que mejor se adapte al nivel de madurez del riesgo actual e incluir roles y responsabilidades de gestión de riesgos en las descripciones de puestos, políticas y procedimientos existentes.

Asimismo, se recomienda actualizar las políticas y procedimientos existentes para incluir elementos de gestión de riesgos, evaluar periódicamente la cultura de gestión de riesgos, incluir KPI de gestión de riesgos en las revisiones de desempeño individuales, incluir los principios de la toma de decisiones basada en riesgos en la capacitación de inducción para los nuevos empleados, llevar a cabo capacitaciones para la alta gerencia y la Junta y hacer que la formación en riesgos se base en competencias.

Es importante comprender que la gestión de riesgos no se trata solo de herramientas y técnicas; se trata de cambiar la cultura corporativa y la mentalidad de la gerencia y los empleados. Este cambio no puede suceder de la noche a la mañana, los administradores de riesgos deben comenzar poco a poco incorporando elementos de análisis de riesgos en varios procesos de toma de decisiones, ampliando el alcance de la gestión de riesgos con el tiempo.

Software GRCTools para Mitigación de Riesgos Corporativos

Sea cual sea la estrategia empleada, será necesario el uso de tecnología que permita hacer más eficiente el Sistema de Gestión de Riesgos, sean estos riesgos del tipo que sean. Para ello, GRCTools provee a las organizaciones de tecnología y buenas prácticas basadas en la experiencia de más de 25 años, ayudando a empresas de todo el mundo a ser más eficientes, ágiles y sostenibles.

Gracias a las herramientas adecuadas, como el software para la gestión de riesgos corporativos de GRCTools, es posible automatizar y sistematizar esta metodología de acuerdo con la organización y reducir en gran medida los recursos necesarios para su utilización.

Auditoría de Control Interno

Cuando hablamos de Auditoría de Control Interno  no nos referimos solamente a las auditorías de sistemas normalizados, ni a las financieras, ni a las auditorías de riesgos. Nos referimos a las que forman parte del Sistema de Control Interno de la organización, gracias al cual, la organización mantendrá su día a día alineado con la consecución de resultados de forma eficiente.

Las auditorías de control interno son la forma ideal de mantener el foco en la consecución de objetivos de forma eficiente, tal como se planificó en las estrategias y planes de acción definidos. Para conseguirlo, estas auditorías deben estar definidas a la perfección, ejecutadas en tiempo y forma y ser revisadas con frecuencia de forma que se pueda actuar rápidamente ante eventuales desviaciones que pongan en riesgo alcanzar las metas o incurrir en algún tipo de incumplimiento.

Para ello, las compañías a nivel global siguen una serie de buenas prácticas que aplican a cada organización de forma distinta en función de los niveles y tipos de cumplimiento a las que estén sometidas, así como de su estructura, operativa, estrategias y objetivos fijados.

Propósito de la auditoría de control interno

No es otro que fijar la primera línea de defensa contra procesos y controles que no cumplen con lo establecido en su sentido más amplio.

Gracias a una buena gestión de las auditorías de control interno se puede monitorear y mejorar incluso la cultura corporativa, clave para que la organización se mantenga alineada y el grado de cumplimiento no dependa del sistema de control si no del buen hacer y al implicación de las personas.

Mediante la auditoría de control interno mantendremos la organización alineada con el logro de la estrategia ESG, siempre que estas se realicen de forma sistemática, planificada y en orden con lo establecido en el Sistema de Control Interno de la organización.

Mejores prácticas en la gestión de auditorías de control interno.

El Sistema de Control Interno también debe ir mejorando con el tiempo y someterse al ciclo PHVA para ser cada vez más eficaz. Este proceso de mejora obviamente depende del tiempo y la madurez pero siempre se pueden tener en cuenta las buenas prácticas internacionales detectadas:

1.- Planificar es la primera barrera contra el fracaso.

La preparación es vital, no solo para que se ejecute según los objetivos fijados, también para que el proceso de auditoría de control interno, que puede resultar incómodo para muchas personas, sea aceptado y participado por toda la organización.

En este sentido también será vital que el auditor transmita de forma positiva y con voluntad de mejora, nunca de forma negativa o autoritaria.

2.- Comprometerse con lo auditado.

El proceso de auditoría de control interno no puede ser algo aislado en el tiempo si no que debe llegar a formar parte de cada área de la organización. Auditar y desaparecer hasta la próxima auditoría no aportará nada al área y puede llegar a ser interpretado de forma negativa, generando rechazo.

3.- Identificar los controles clave.

Esto no solo es fruto de la planificación y lo establecido en el Sistema de Control Interno, la experiencia, capacidad de análisis y buena gestión del auditor también son claves y deben aportar al propio Sistema de Control Interno detectando puntos de mejora y prioridades en los controles establecidos.

4.- La auditoría de control interno debe aportar.

Debe ser un proceso constructivo, que aporte valor. Para ello es clave que durante el proceso de auditoría no solo se registren datos, hallazgos u observaciones si no que desde ese mismo momento se aporte valor al proceso. Un consejo, no espere hasta el final de la auditoría para la redacción del informe, si lo hace de forma continua mientras se audita, el aporte de valor será mucho mayor.

5.- Adopte un enfoque ágil.

Habitualmente la auditoría interna suele ser rígida y estar marcada con plazos y parámetros que hay que cumplir. Obviamente hay que cumplirlos pero esto no debe implicar una actitud rígida. Una actitud más ágil y flexible (dentro de lo establecido en el Sistema de Control Interno) mejorará la participación y el aporte de valor de la auditoría de control interno.

6.- Aproveche las ventajas de las nuevas tecnologías.

El empleo de software de gestión, checklist y otros sistemas que aporten agilidad y minimicen el tiempo operativo en la auditoría permitirá que los integrantes del Sistema de Control Interno de la organización tengan tiempo para aplicar estas buenas prácticas y mejorar de forma mucho más rápida el SGCI, aportando más valor.

Software para Auditorías de Control Interno.

Para llevar a cabo todo el proceso de Auditoría de Control Interno y poder desarrollar estas buenas prácticas, se hace necesario el empleo de plataformas tecnológicas que faciliten la gestión, automaticen procesos administrativos y mejoren día a día la eficiencia y la agilidad. Gracias a ello, el Control Interno será, además, un aporte de valor y una herramienta de palanca que agregue velocidad en el camino a la consecución de los objetivos estratégicos.

Por este motivo, contar con un Software de Control Interno como GRCTools facilita la gestión y mejora el nivel de cumplimiento, maximizando las oportunidades de que cualquier organización llegue a alcanzar sus objetivos.

Riesgos de Seguridad de la Información

La gestión de riesgos se trata de identificar y proteger los activos valiosos de una organización. Los procedimientos de gestión de riesgos son procesos fundamentales para preparar a las organizaciones para un futuro ataque de ciberseguridad, para evaluar la resistencia de los productos y servicios a posibles ataques antes de comercializarlos y para prevenir el fraude en la cadena de suministro.

Los riesgos deben gestionarse porque las amenazas pueden tener consecuencias sustanciales para la organización o incluso amenazar su existencia. Pero, ¿qué es el riesgo?

• Es el efecto de la incertidumbre sobre los objetivos (ISO 31000:2018).
• Efecto sobre la incertidumbre: Directivas ISO, Parte 1, Anexo SL, Apéndice 2].

La gestión de riesgos, por su parte, incluye actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. Una parte fundamental de este proceso es la evaluación de riesgos, que es un proceso general de identificación de riesgos, análisis de riesgos y evaluación de riesgos. Los riesgos se pueden mitigar, transferir y aceptar.

La mitigación de riesgos es la respuesta que abordaremos para manejar los riesgos identificados. Los estándares de gestión de riesgos como ISO/IEC 27005 o EN 303 645 son ejemplos útiles y nos indican qué hacer.

Cuando una organización tiene la intención de lograr la conformidad con los requisitos de un estándar de sistema de gestión como en ISO/IEC 27001:2017, los requisitos que abordan la gestión de riesgos se pueden encontrar en estas cláusulas:

• 6.1 Acciones para abordar riesgos y oportunidades
• 8.2 Evaluación de riesgos de seguridad de la información
• 8.3 Mitigación de riesgos de seguridad de la información.

Objetivos de la gestión de riesgos

El principal objetivo de la gestión de riesgos dentro de una organización es determinar las posibles incertidumbres o amenazas, proteger contra las consecuencias resultantes y permitir la consecución de los objetivos empresariales.

La gestión de riesgos puede abordar tipos individuales de riesgos, como el riesgo empresarial, el riesgo de mercado, el riesgo crediticio, el riesgo operativo, el riesgo de proyecto, el riesgo de desarrollo, el riesgo de la cadena de suministro, el riesgo de infraestructura, los riesgos de componentes o varios de los tipos de riesgo enumerados o todos ellos. Esta lista no es exhaustiva y, según el tipo de negocio que tenga una organización, pueden existir tipos de riesgos adicionales y ser relevantes.

3 estrategias clave para la mitigación de riesgos

• Magerit: es una metodología muy completa que permite orientar los esfuerzos para la gestión de riesgos de seguridad de la información de forma estructurada. Viene preconfigurado dependiendo del tipo de activo y tecnología, además incluye los riesgos más típicos de cada activo. Es una ventaja importante porque permite inmediatamente reconocer las características del riesgo y, en consecuencia, la forma de cómo enfrentarlos.
• ISO/IEC 27005: tiene una estructura que es muy coherente con la norma ISO 31000, también permite hacer una asociación entre amenazas y vulnerabilidades, que hace que la gestión sea más coherente en cuanto a que no se pueden evitar las amenazas, pero sí se pueden gestionar las vulnerabilidades. Las características que tiene la guía es que es muy generalista, pero a pesar de eso permite orientar para encontrar vulnerabilidades más precisas con apoyo de otras tecnologías o bases de datos, por ejemplo, las bases de datos de vulnerabilidades que se publican cada cierto tiempo o con el uso de sistemas como SIEM.
• COBIT: es una de las estrategias más robustas, y esto lo hace muy bueno, pero requiere competencias muy específicas de las personas que lo ejecutan y de todo un despliegue de las buenas prácticas y enfoque COBIT para que sea efectivo. Si esto se hace, la organización tendrá una capacidad de respuesta de muy alto nivel y adecuado a las características cambiantes del entorno. De las 3 estrategias, esta es la más difícil de implementar, pero también una vez que una organización las logra implementar son de muy alto valor porque su capacidad de respuesta está muy adecuada a la dinámica del entorno actual.

¿Con cuál nos quedamos? Nosotros tenemos nuestras preferencias, pero en cada organización se deberá seleccionar la que mejor se adapte a la cultura organizacional y la tecnología empleada para la gestión de riesgos.

Software GRCTools para mitigación de riesgos

Sea cual sea la estrategia empleada, será necesario el uso de tecnología que permita hacer más eficiente el Sistema de Gestión de Riesgos, sean estos riesgos del tipo que sean. Para ello, GRCTools provee a las organizaciones de tecnología y buenas prácticas basadas en la experiencia de más de 25 años, ayudando a empresas de todo el mundo a ser más eficientes, ágiles y sostenibles.

Gracias a las herramientas adecuadas, como el software para la gestión de riesgos de Seguridad de la Información GRCTools, es posible automatizar y sistematizar esta metodología de acuerdo con la organización y reducir en gran medida los recursos necesarios para su utilización.

Puede inscribirse en la demostración semanal que celebramos de forma gratuita para conocer el sistema y resolver las dudas que puedan surgir en este enlace.

Sistema de Gestión Seguridad de la Información

En el anterior artículo tratamos cómo las organizaciones se benefician del uso de contar con un Sistema de Gestión de Seguridad de la Información. Vimos cómo ayuda a generar confianza, tanto de forma interna como externa, cómo gracias a la priorización de activos se hace más eficiente el SGSI y cómo permite generar controles adecuados en función de la naturaleza de cada activo.

Esta semana trataremos otro tipo de beneficios: 

Existencia un proceso de apreciación de riesgos de seguridad de la información formal.

Tal formalidad permite establecer compromisos para la ejecución de los procesos, ya que se ejecutan de forma sistemática, y la repetibilidad del proceso en diferentes momentos del tiempo. Es decir, una vez que se aplica la primera vez y conocemos cuáles son los riesgos de SI, se hace un tratamiento durante un plazo de gestión y luego, en la siguiente fase o ciclo de aplicación de ese proceso de apreciación de riesgos de SI, repetimos el mismo método, y eso le brinda cierto grado de continuidad a la organización, al utilizar criterios que son reconocidos por esa organización y que al final permitirá utilizar las lecciones aprendidas para fortalecer el análisis y la definición de los controles asociados al resultado de ese análisis.

Posibilidad de alinear los esfuerzos organizativos:

Esto incluye, por ejemplo, la existencia de comités compuestos por profesionales y apoyo interno y externo que permite hacer una visualización de los riesgos y de los controles de forma crítica. Fomenta asistencia de grupos de respuesta ante escenarios de riesgos de forma preestablecida. Es decir, una preparación ante lo inminente, como la materialización de uno de los riesgos y la asignación de responsabilidades y autoridades dentro de la organización para definir los propietarios de riesgos, dueños de activos, responsables de controles y evaluación de la eficacia de los controles y auditorías del SGSI.

Esos roles están preestablecidos dentro del SGSI, lo que nos da una noción de orden para poder actuar de forma coordinada ante amenazas que acechan constantemente a la organización y que tienen un potencial de afectar a la empresa de forma frecuente. Si estamos ordenados para actuar contra las amenazas, podemos dar respuestas más eficientes y prolijas. Los efectos, además, pueden ser menos dañinos.

Medición del desempeño del Sistema de Gestión de Seguridad de la Información:

Cuando estamos gestionando un SGSI formal, este genera un conjunto de datos propios acerca de su eficacia. Los marcos normativos suelen orientar hacia la existencia de indicadores que permiten medir el desempeño y saber el estado en el que se encuentran dichos controles o elementos organizativos, que al final le dan mayor o menor protección a los activos de información. Existen incidentes de mayor o menor nivel de impacto, y por lo tanto esa medición permite formular acciones de forma oportuna para poder alinear los esfuerzos, por ejemplo, para proteger aquellos activos más importantes dentro de la organización, sea por la dinámica que tiene el negocio, por los riesgos que se van presentando dada la casuística del entorno, por las vulnerabilidades que se presentan debido al uso de la tecnología asociada a la operación de los activos de información. En fin, es una dinámica que hace que el sistema de gestión tenga cierto grado de eficacia cambiante y variable en el tiempo. Los indicadores también permiten saber el estado actual y facilita la toma de decisiones eficaces conforme se observen esos comportamientos.

Tablero de control que permite ver cuáles son los elementos que son más activos y eficaces:

De esa forma sabremos cuáles requieren cambios, dependiendo del grado de eficacia. El tablero de control está en constante revisión y da resultados trazables que están sujetos a auditoría.

Procesos de auditoría y revisión interna técnica o desde el punto de vista de gestión:

Son dos grandes componentes que le dan a la organización una visión del desempeño del SGSI. Es decir, se revisan las políticas, objetivos, controles y procesos de forma sistemática desde el punto de vista de su ejecución administrativa y de su gestión técnica. Eso le da a la organización información para saber si el diseño o ejecución de los controles es el más adecuado.

Contar con reportes operativos, tácticos y estratégicos.

Los marcos de referencia de seguridad de la información cuentan con diseños de reportes para los distintos niveles de la organización, tanto operativos, como tácticos y estratégicos. Esto permite a los tomadores de decisiones, en cada una de sus capas, poder tomar decisiones oportunas para informar de forma estructurada el cómo va el SGSI, tomando en cuenta los inputs de los indicadores de los resultados de la auditoría y poder confeccionar reportes que le dan una visión diagnóstica del SGSI ya preconfigurado o preestablecido.

Al ser estándar facilita la forma de análisis e hipótesis a los tomadores de decisiones para que se puedan plantear lineamientos para direccionar los esfuerzos en función a los resultados o de continuar en la línea actual. Esto da una noción de repetibilidad al proceso de toma de decisiones y optimiza muchos de los esfuerzos, pues si un SGSI no está ordenado ni estructurado, la alta dirección enfrenta problemas áridos porque se relacionan con las auditorías, tecnologías y conductas de las personas en forma de problema grave al que no va a saber responder y que suele ser muy costoso, porque carece de orientación.

Tampoco podrían precisar fácilmente cuáles son los activos afectados, si se enfrentan a riesgos altos, medios o bajos… Si esos problemas no llegan bien estructurados a la alta dirección, pueden llegar a ser un dolor de cabeza muy grande y producir incertidumbre. Los reportes llegan a la alta dirección  o a toda la estructura de la organización y brindan cierta certeza a la hora de  direccionar los esfuerzos y también cierta noción de eficiencia.

Los marcos normativos siempre están sujetos a la mejora:

Son sometidos constantemente a procesos de revisión de su propia eficacia y autodiagnóstico para saber si las cosas se están haciendo bien o mal, y por lo tanto, existe un marco para generar acciones correctivas que están planteadas en forma de nuevas políticas, creación de otros métodos de trabajo, apreciaciones de riesgos con mayor precisión, nuevos controles o reforzamiento de los que ya existen, dependiendo de lo emanado por los indicadores, comportamientos o auditorías que se le hacen al SGSI. Los marcos permiten tomar acciones con asignación de nuevos roles y responsabilidades y ordenar la organización de una forma diferente dadas las dinámicas existentes. En consecuencia, existe la noción de que se pisa terreno firme y se evoluciona. Nos hace pensar que hoy somos mejores que ayer y mañana vamos a ser mejores que hoy.

Software para la gestión de Seguridad de la Información

La integración de componentes de Seguridad de la Información en un enfoque de GRC (Gestión, Riesgo y Cumplimiento) demanda un alto grado de disciplina, organización y un enfoque sistémico. Esto es esencial para garantizar su eficacia y los beneficios que puede aportar a la organización. Para lograr este nivel de utilidad, es fundamental realizar una gestión eficiente y automatizada a través de una plataforma de GRC especializada en Seguridad de la Información, como GRCTools.