Los controles en la estrategia de gestión de riesgos
Todas las organizaciones deberían elaborar, mantener y actualizar un mapa de riesgos corporativo cuyo objetivo sea proporcionar a la compañía el estado de situación que se tiene ante los eventos que pueden impedir el desarrollo de los procesos de negocio.
Básicamente, este estado comprende el nivel de detección, prevención y respuesta ante la ocurrencia de un evento que pueda impactar en el negocio.
La respuesta ante los riesgos: Controles en base a su eficacia
En base al conocimiento de este estado, se podrán tomar decisiones para tratar de mitigar los riesgos que tengan un valor no aceptable para la organización. El objetivo es poder priorizar los recursos disponibles para mejorar la respuesta al riesgo.
Este proceso se conoce como análisis de riesgos. Deberá ser consecuente con una metodología de cálculo de niveles de riesgo previamente establecida.
Las medidas de control, o controles, son la forma de responder ante los riesgos. Toda organización tiene funcionando diferentes controles que debemos identificar y valorar en el análisis.
La valoración de los controles se debe basar en su eficacia, debemos conocer si realmente el control nos sirve para mitigar el riesgo y en qué grado lo hace. Con este valor de eficacia obtendremos los niveles de riesgos actuales que tenemos en la organización.
Si hemos obtenido un nivel de riesgo alto querrá decir que las medidas de control existentes en la organización no son eficaces o son insuficientes. Si el nivel de riesgo es bajo tendremos medidas suficientes y eficaces.
La importancia de la estrategia de gestión de riesgos y la implantación de controles
Es imprescindible definir el nivel de riesgo aceptable en base al apetito de riesgo que tenga la organización.
Todos los riesgos cuyo nivel obtenido se encuentre por encima del nivel de riesgo aceptable deben ser evaluados, se deberá definir una estrategia para su gestión. Una posible estrategia es establecer un plan de acción para mejorar la situación de alto riesgo implantando nuevas medidas de control o mejorando las ya existentes.
Debemos obtener la aprobación de la alta dirección del resultado del análisis de riesgos, ya que la dirección debe conocer la situación de la organización, y obtener la aprobación del nivel de riesgo aceptable, ya que de la definición de este nivel dependerá que un riesgo sea asumible o tenga tratarse.
En ningún caso debe quedar un riesgo con nivel por encima del nivel de riesgo aceptable sin evaluar.»
Los controles, habitualmente son preventivos o correctivos, es decir, nos ayudan a prevenir que el riesgo nos afecte, en este caso disminuyen su probabilidad; o nos ayudan a disminuir el impacto que causa el riesgo una vez se ha materializado, son los controles correctivos.
Plan de acción: Controles para mitigar riesgos
El plan de acción o plan de tratamiento de riesgos contendrá todas aquellas medidas de control necesarias para disminuir los niveles de riesgos alto hasta un nivel aceptable. Puede ocurrir que para un riesgo tengamos que implantar más de un control y que un mismo control nos sirva para mitigar más de un riesgo.
Debemos seleccionar los controles a incluir en el plan de tratamiento, según necesitemos disminuir la probabilidad o el impacto de cada riesgo.
Una vez elaborado el plan, éste debe ser aprobado por la alta dirección de la organización, para garantizar así la disponibilidad de recursos para ejecutarlo y la asunción de responsabilidad por las personas que se hayan designado como responsables de los proyectos a realizar.
Debemos realizar el correspondiente seguimiento de la ejecución del plan, y una vez que esté completado valorar la eficacia de los nuevos controles y actualizar todo el mapa de riesgos para así obtener la nueva situación en la organización.
Cada vez que haya un cambio relevante y de forma periódica, el análisis de riesgos debe ser actualizado, ya que, entre otras consideraciones, la eficacia de los controles puede cambiar, si su seguimiento y monitorización no es el adecuado es posible que perdamos eficacia con el tiempo.
Este proceso, llamado análisis y gestión del riesgo, debe ser considerado dentro de un sistema de gestión de riesgos implementado en la compañía. Un estándar internacional como la norma ISO 31000, nos puede servir de guía para conocer los componentes de este sistema de gestión.
En GlobalSuite Solutions, disponemos de un área de consultoría que le asesorará y ayudará a implementar un sistema de gestión de riesgos corporativo, que le ayude a conocer el estado de protección que tiene su organización frente a los posibles riesgos que afecten a sus procesos de negocio.
Adicionalmente, ponemos a su disposición la aplicación GlobalSuite Risk Management. Una herramienta que nos facilita la implantación del sistema y nos proporciona automatización y trazabilidad en todo el proceso del análisis y gestión de riesgos.