Las organizaciones tienen diversas necesidades de gestión y administración del riesgo, que en muchos casos, se realizan de manera separada y no coordinada, en este artículo presenta algunas buenas prácticas para fortalecer la gestión integral de riesgos.

¿Cómo implementar la Gestión Integral de Riesgos?

Las empresas actualmente están sujetas a diferentes necesidades de gestión y administración del riesgo, ya sea por exigencia del estado, los entes reguladores o de control, o por necesidades internas. Por lo cual se adelantan actividades para la gestión del riesgo de diferentes tipos y en diversos niveles de detalle, iniciando por los riesgos estratégicos y del negocio, pasando por los riesgos de los procesos, los riesgos operativos, los riesgos financieros, hasta llegar a riesgos de TI y de seguridad de la información.

El reto es seguir madurando en la gestión individual de los diferentes tipos de riesgos, pero sin perder de vista que deben converger en una administración y gestión integral, que incluye, entre otras, la realización de las siguientes actividades prioritarias:

Contar con un gobierno y marco normativo:
Que incluya políticas, metodologías, procedimientos, funciones, roles, responsabilidades y autoridades para la gestión de riesgos.
Integrar Metodologías:
Identificar las actividades, los elementos y la información que se está manejando en común en las diferentes gestiones de riesgos, para así poder realizar en lo posible menos ciclos de gestión, de tal forma que para los evaluadores (usuarios) sean más fluidos, coherentes y menos desgastantes los ejercicios realizados periódicamente para los diferentes subsistemas de gestión de riesgos.
Establecer un lenguaje común:
Se debería contar con definiciones formales de lo que significan los riesgos en la organización, las fases de la gestión de riesgos (identificación, análisis, evaluación, tratamiento, monitoreo, comunicación, etc.), cuáles son los resultados esperados, cuáles son los componentes de la gestión y que significa cada uno, por ejemplo qué es evento, riesgo, factor, causa, consecuencia, probabilidad, impacto, probabilidad, nivel de riesgo, control, entre otros.
Consolidar las fuentes de información:
Tener repositorios centralizados, en donde se pueda mantener y actualizar la información identificada de los riesgos en cuanto: las debilidades, las causas, las amenazas, las vulnerabilidades, los controles, las medidas, los datos estadísticos de eventos o incidentes para medir probabilidades, y cualquier otra información de valor e interés. Esto con el fin de que la información persista para la empresa, no dependa de las personas y no esté sujeta a pérdida.
Integrar el Reporte:
Manejar informes periódicos para todos los niveles de la organización, en donde se muestre el estado de los procesos y del negocio en general en cuanto a la evolución en la gestión y administración de los diferentes niveles de riesgo con reportes que hayan sido socializados para que todos los interesados comprendan la información y el valor que genera para la organización.
Sensibilizar y Capacitar:
Que los ciclos de gestión de riesgo se conviertan en una actividad del día a día, integrada a los procesos, comunicándose claramente el objetivo y la importancia de los diferentes niveles de administración de riesgos que maneja la empresa y entrenando continuamente al personal.
Optimizar el Tratamiento:
Identificar las medidas y controles comunes o complementarios que se han definido en las diferentes gestiones de riesgo, para armonizar proyectos corporativos, de tal forma que no se repitan esfuerzos y se tenga un mayor control, dirección y seguimiento de los planes de tratamiento de riesgos (proyectos).
Gestión y reporte automatizado:
Contar con mecanismos o sistemas de información que permitan hacer más fácil la gestión, el reporte, la auditoría, el cumplimiento y la toma de decisiones basadas en riesgo con la implementación de marcos de gestión como GRC (Gobierno, riesgo y cumplimiento) basados en software especializado para este fin.

Lograr este nivel de madurez representa un esfuerzo importante, por lo cual es clave manejar el tema con prudencia, persiguiendo el objetivo de la gestión integral de manera incremental y escalable, como un tema de mejora continua en la gestión de riesgos corporativa y no pretender alcanzarlo en la implementación de un proyecto cortoplacista.

Es recomendable que las principales aéreas encargadas de coordinar y dirigir estas actividades de integración (Por ejemplo Auditoría, Planeación, Riesgos, Control Interno, Recursos Humanos, TI, seguridad de la información u otras) comiencen a explorar la manera como se puede llegar a una gestión integral del riesgo, a través de la coordinación de esfuerzos para ser cada vez más eficientes y eficaces en el uso de los recursos de las entidades a través de esta vía.

Nuestros servicios de asesoría y el uso de nuestro sistema de información GRC NovaSec MS apoyan la gestión integral de los diferentes riesgos de las organizaciones sumando capacidades de gestión de la estrategia, arquitectura empresarial, indicadores, incidentes, continuidad del negocio, seguridad de la información, ciberseguridad y otras capacidades de esta suite de gestión corporativa.
-- Descubre NovaSec MS --

Autor
MSc Fabián Alberto Cárdenas Varela
https://www.linkedin.com/in/fabiancardenas/
@_fabiancardenas
NovaSec S.A.S

Conoce la solución GRC NovaSec MS en vivo