La Gestión de Riesgos es crucial para vincular los objetivos de una organización con los controles necesarios para alcanzarlos. Es difícil imaginar otros mecanismos que puedan proveer más valor a una empresa, considerando que su utilización permite definir qué es lo que quiere lograr, identificar los problemas potenciales para llegar a este destino e implementar las acciones necesarias para prevenir o mitigar dichas situaciones. Sin embargo, muchas organizaciones carecen de mecanismos formales de Gestión de Riesgos o los ven como algo burocrático, de bajo valor o solamente asociado a prácticas de cumplimiento normativo.
Un aspecto que usualmente limita el desarrollo de las referidas tareas es la falta de tecnología apropiada. A continuación, delineamos algunos elementos que una herramienta de gestión de riesgos debería proporcionar para facilitar este proceso.
Características que debería presentar una herramienta de gestión de riesgos
En primer lugar, una herramienta para la gestión de riesgos debería apoyarse en los conceptos difundidos por los marcos de gestión de riesgos más reconocidos, tales como ISO 31000 y COSO ERM. En función de ello, debería permitir:
1. Determinar los activos u objetivos de la organización que pueden estar afectados por el riesgo. Todas las metodologías modernas definen a los riesgos como aquellos eventos potenciales que pueden generar incertidumbre o comprometer el logro de los objetivos.
2. Identificar los riesgos relevantes para los objetivos que se hayan establecido, primer paso de cualquier evaluación de riesgos. Para hacerlo, además del conocimiento de quienes ejecutan los procesos o tareas vinculadas con los objetivos, pueden utilizarse marcos o guías prácticas referidas específicamente a dichos objetivos.
Esta suele ser de las tareas más complejas, especialmente cuándo la organización no tiene experiencia previa en la implementación de prácticas de Gestión de Riesgos. Una herramienta eficiente debería contar con:
- Uso de Inteligencia artificial para el apoyo en la generación de riesgos asociados a los objetivos definidos.
- Uso de plantillas completas con objetivos y riesgos sugeridos, lo cual puede permitir iniciar rápidamente el análisis, más allá de ajustes posteriores. Esto es especialmente útil cuando el análisis se centra en normas internacionales como ISO 9001 (Gestión de Calidad), ISO 14001 (Gestión Ambiental), ISO 27001 (Gestión de la Seguridad de la Información) o ISO 45001 (Gestión de Salud y Seguridad Ocupacional).
- Mecanismos de colaboración, para que las evaluaciones de riesgos puedan ser compartidas entre múltiples personas, facilitando la identificación de riesgos y su evaluación.
3. Evaluar los riesgos. Naturalmente, no todos los riesgos van a generar el mismo grado de preocupación y lo fundamental es poder identificar:
- riesgos se consideran aceptables
- riesgos con los que se puede convivir pero que merecen un grado de atención y monitoreo adicional para garantizar que se mantienen en ese nivel
- riesgos que se entienden como inaceptables y deben implementarse acciones para corregirse.
Hay dos dimensiones que determinan «qué tan preocupante» puede ser un riesgo, la probabilidad y el impacto. En esta etapa, una herramienta debería facilitar la selección de probabilidad e impacto para cada riesgo dentro de una serie de criterios establecidos y validados por la organización. Esto implica que el analista cuente con una asistencia continua y que pueda visualizar las definiciones de probabilidad e impacto que se están utilizando cuando elige una categoría. De este modo se minimizan los errores tanto a nivel conceptual como de operación de la herramienta.
4. Determinar la exposición inherente y residual. En esta etapa, en función de la probabilidad e impacto de cada riesgo, se determina el nivel de exposición. Esto incluye la exposición “inherente”, es decir aquella que tendría el riesgo si no se estuviese haciendo nada al respecto, y la exposición “residual”, aquella con la que se convive realmente y toma en cuenta todos los controles que se encuentran implementados para mitigar ese riesgo.
En este punto, es importante que una herramienta calcule automáticamente la exposición y el nivel de los riesgos (aceptable, atención o inaceptable) en función de los datos ingresados, para que el analista pueda visualizar rápidamente los niveles inherentes y residuales a medida que va realizando la evaluación. Todos los controles que llevan desde la exposición inherente a la residual deberían ser documentados dentro de la herramienta y los controles críticos (aquellos que al fallar tornan excesivo el nivel de riesgo al que estamos expuestos), listarse en forma automática como parte de un reporte.
5. Plan de acción. Una vez todos los riesgos han sido apropiadamente evaluados, el último paso es definir acciones deseables o directamente necesarias en función de la evaluación realizada. En particular, cualquier riesgo que se encuentre en un nivel residual inaceptable debería ser atacado por un Plan de Acción que busque mitigarlo de alguna forma.
En esta etapa, la herramienta debería proveer funcionalidad para agregar acciones específicas a cualquier evaluación de riesgos, definiendo tanto sus responsables como las fechas esperadas de inicio y finalización del plan.
El Plan de Acción, o sea el conjunto de todas las acciones definidas, debería poder incluirse como parte de un reporte de una evaluación de riesgos.
Conclusiones
Como mencionábamos inicialmente, un aspecto que usualmente limita la implementación de un sistema de Gestión de Riesgos en las organizaciones es la falta de tecnología apropiada. Muchas de las herramientas existentes son anticuadas, difíciles de usar, enfocadas exclusivamente al cumplimiento regulatorio y tan costosas que su uso se limita a un grupo reducido de personas en lugar de estar distribuidas por toda la organización, como sería ideal.
FUENTE: ABConzult