Guía básica para usar un software de gestión de riesgos
En esta guía podrás conocer los pasos básicos que debes seguir para comenzar a gestionar riesgos gratis de una manera más simple y eficiente a través de los sistemas de gestión de riesgos de Pirani: ORM (riesgos operacional), AML (riesgos de lavado de activos y financiación del terrorismo), ISMS (riesgos de seguridad de la información) y Compliance (riesgos de cumplimiento normativo).
Introducción
En un mundo donde los cambios son permanentes, la gestión de riesgos cada vez más debe ser un proceso estratégico para todas las organizaciones, independientemente de su tamaño y del sector al que pertenecen.
Gestionar los riesgos, en general, consiste en poder identificar, evaluar, controlar y monitorear los diferentes riesgos a los que está expuesta una organización, por ejemplo, riesgos financieros, riesgos operacionales, riesgos de cumplimiento normativo, riesgos de seguridad de la información y ciberseguridad, entre muchos otros.
Pero más allá de estas cuatro acciones clave, el propósito de la gestión de riesgos es la creación y la protección de valor de la organización, es decir, debe servir para tomar decisiones informadas, mejorar el desempeño, fomentar la innovación, contribuir al logro de los objetivos estratégicos, proteger la reputación y aportar a la sostenibilidad y continuidad del negocio.
Conscientes de esto, desde Pirani buscamos que cada vez más empresas en todo el mundo entiendan la importancia de gestionar sus riesgos, una estrategia que debe partir de la alta dirección e involucrar a todo el personal para realmente generar valor y evitar que los riesgos generen grandes impactos en la operación, las finanzas, la reputación y la continuidad.
A través de nuestro software de gestión de riesgos queremos acompañar a las organizaciones grandes, medianas o pequeñas y de cualquier sector a hacer más simple y eficiente este proceso, que puedan tomar decisiones de manera oportuna y proteger lo que más les importa.
En Pirani tenemos diferentes planes que se ajustan al nivel de madurez de gestión de riesgos de las empresas. Para aquellas que recién están empezando con este proceso o van a hacerlo, nuestro plan Free es la mejor opción porque de manera general van a poder identificar procesos y factores de riesgo, evaluar riesgos teniendo en cuenta su frecuencia e impacto y establecer controles que sirvan para su mitigación.
A continuación, podrás conocer cuáles son los pasos básicos que debes seguir para empezar a gestionar riesgos en Pirani con nuestro plan Free, que te permite hacerlo de manera indefinida y gratuita.
Primeros pasos para usar un software de gestión de riesgos
Para que aproveches al máximo todas las funcionalidades que te ofrecemos en Pirani con el plan Free, pon en práctica los siguientes pasos básicos que te ayudarán a realizar la gestión de riesgos de tu organización de manera simple y eficiente.
Pasos que debes seguir
- Crea tu cuenta de usuario en Pirani
- Crea tu organización
- Crea el contexto de tu organización
- Identifica y evalúa los riesgos
- Define los controles para el tratamiento de los riesgos
- Realiza seguimiento / monitoreo a tu gestión de riesgos
A continuación te contamos en detalle qué debes hacer en cada uno de estos pasos.
1. Crea tu cuenta de usuario en Pirani
Lo primero que debes hacer para gestionar riesgos en Pirani es crear tu cuenta de usuario. Hacerlo es muy fácil, solo debes ingresar datos como:
- Correo electrónico (personal o corporativo).
- Nombre y apellido.
- Teléfono de contacto
- Contraseña, que debe tener más de ocho caracteres, una mayúscula y un carácter especial.
Das clic en Crear cuenta gratis y para poder darte de alta en el software, debes verificar tu cuenta a través del correo electrónico que te enviamos de manera automática. Una vez lo hagas, ¡ya tienes tu cuenta y podrás continuar con el siguiente paso!
2. Crea tu organización
En este paso debes ingresar información básica sobre tu organización. Con esto, podremos entregarte un servicio más especializado y que se ajuste al contexto de tu empresa.
Algunos datos que debes completar son:
- Nombre de la organización.
- Idioma de preferencia (español o inglés).
- Sistema de gestión para tu plan Free, solo puedes escoger uno: ORM - AML - ISMS - Compliance.
- Industria a la que pertenece tu organización.
- Cuántas personas trabajan en tu organización.
- Cuál es tu rol actual.
- Cómo planeas usar Pirani.
Cuando completes esta información, ¡ya está todo listo para que empieces a usar el plan Free del sistema de gestión que elegiste (ORM - AML - ISMS o Compliance)!
3. Crea el contexto de tu organización
En este tercer paso son importantes varias acciones:
1. Creación de roles y grupos de responsables
Pirani te permite crear diferentes roles en tu organización. Según los roles que definas, los usuarios que invites a gestionar riesgos podrán crear, editar o eliminar información en el software (procesos, riesgos, controles, etc.).
Igualmente, puedes crear grupos de responsables para controlar el acceso a la información, es decir, según el grupo al que pertenece un usuario solo podrá acceder a información específica. Por ejemplo, si un usuario hace parte del grupo “Gestión humana”, solo puede acceder a la información sobre procesos, riesgos o controles que esté asociada con este grupo.
Tener diferentes grupos de responsables permite establecer con claridad quiénes pueden acceder a qué tipo de información dentro del software. La idea es que la mayoría de los usuarios solo puedan gestionar y consultar la información que les compete.
2. Invita a miembros de tu organización para que te apoyen en la gestión de riesgos
Ten en cuenta que en el plan Free puedes tener 5 usuarios, por eso, vas a poder invitar a 4 personas de tu organización para que te ayuden a gestionar los riesgos a los que están expuestos.
Invitar usuarios es muy fácil: solo debes ingresar el correo electrónico de la o las personas que van a participar en la gestión de riesgos de tu organización y asignarles un rol (el software tiene 2 roles establecidos: Administrador y Operador, los otros roles son los que tú crees).Una vez lo hagas, los usuarios recibirán un correo para que se puedan unir y gestionar los riesgos.
Esta acción de invitar a otras personas de tu organización la puedes realizar en cualquier momento. Eso sí, ten presente que no se trata solo de habilitarlos en el software: es importante capacitarlos periódicamente en temas de gestión de riesgos y en el adecuado uso de la plataforma.
3. Crea la estructura de procesos y los factores de riesgo
Los procesos y los factores de riesgo son el insumo principal para gestionar riesgos, es decir, estos te ayudan a dar el contexto inicial para realizar la gestión, que consiste en las etapas de identificación, evaluación, control y monitoreo de los riesgos.
Entonces, en este punto lo que debes hacer es crear toda la estructura de procesos de tu organización. Y si el sistema de gestión que elegiste es diferente a ORM (riesgos operacionales), debes crear también las fuentes de riesgo correspondientes:
- AML: factores como clientes, contrapartes, canales, productos y jurisdicciones.
- ISMS: activos de información.
- Compliance: normas.
Todo esto hace parte del contexto porque te permite identificar los procesos y los factores relacionados sobre los cuales vas a gestionar los riesgos de tu organización.
Para crear tus procesos en el software, debes ingresar información general como:
- Nombre.
- Tipo: Misional - Estratégico - De apoyo.
- Categoría: Macroproceso - Proceso - Subproceso.
- Descripción corta.
También puedes adjuntar evidencia y asociar cada uno de los procesos a los grupos de responsables que hayas creado. Y si tu sistema de gestión es ISMS, puedes asociar los procesos a activos de información específicos; o si es Compliance, asociarlos a las normas.
Por otro lado, para crear las fuentes de riesgo de los sistemas AML, ISMS o Compliance tienes que completar la información requerida. En el caso de los activos de información (ISMS), por ejemplo, algunos datos que debes especificar son:
- Nombre.
- Calificación de la criticidad del activo a partir de las características de confidencialidad, integridad, disponibilidad y trazabilidad.
- Tipo de activo: Hardware - Software - Redes - Servicios - Personas, etc.
- Descripción del activo.
- Datos como clasificación del activo, propietario, custodio, entre otros.
Y en el caso de las normas en Compliance, la información general a ingresar es:
- Nombre.
- Criticidad de la norma: Baja - Media - Alta.
- Descripción de la norma.
- Fecha de implementación.
- Origen normativo: interno o externo.
- Persona responsable de la norma.
- Y puedes adjuntar la respectiva documentación.
En estos factores de riesgo (activos de información en ISMS y normas en Compliance) calificar la criticidad es importante porque te ayudará a priorizar los que tienen un mayor impacto en la organización y a su vez, a enfocar de mejor manera los esfuerzos y recursos en aquello que es más crítico y prioritario.
Para resumir, en este tercer paso de creación del contexto de la organización, en el plan Free de Pirani vas a poder crear roles y grupos de responsables, invitar a miembros de tu organización a que te apoyen en la gestión de los riesgos y crear la estructura de procesos y fuentes o factores de riesgo aplicables según el sistema seleccionado.
4. Identifica y evalúa los riesgos
Luego de crear los procesos y factores de riesgo específicos (si tu sistema es otro diferente a ORM), en este paso debes identificar los riesgos a los que estos están expuestos. Existen diferentes técnicas para realizar esta identificación, por ejemplo:
- Brainstorming o lluvia de ideas.
- Entrevistas con los líderes o dueños de los procesos.
- Encuestas.
- Análisis del contexto interno y externo.
- Matriz DOFA (debilidades, oportunidades, fortalezas y amenazas).
- Análisis de experto.
- Listas de referencia en ChatGPT.
Con respecto a este último, en Pirani, gracias a la integración de ChatGPT puedes obtener fácilmente sugerencias de riesgos. Solo debes seleccionar la industria a la que pertenece tu organización y un proceso específico para obtener una lista de riesgos sugeridos que puedes considerar en tu gestión.
Una empresa de telecomunicaciones, por ejemplo, en el proceso de servicio al cliente podría tener en cuenta riesgos como:
- Disminución en la calidad del servicio al cliente debido a falta de capacitación adecuada.
- Interrupción en la provisión de servicios debido a fallas en el sistema de TI.
- Ciberataques y violación de datos debido a la falta de seguridad de la red.
- Interrupción en el suministro de servicios debido a fallas en la infraestructura de comunicaciones.
- Riesgo de insatisfacción del cliente debido a una atención inadecuada.
- Impacto negativo en la reputación de la empresa debido a la mala gestión de incidentes y crisis.
Para la creación y evaluación o medición de los riesgos identificados, debes agregar la siguiente información en el software:
- Nombre.
- Calificación del impacto del riesgo: Insignificante (20%) - Menor (40%) - Moderado (60%) - Mayor (80%) o Catastrófico (100%).
- Calificación de la frecuencia del riesgo: Improbable - Posible - Ocasional - Probable o Frecuente.
- Descripción corta del riesgo.
- Y si deseas puedes adjuntar evidencia.
Ten en cuenta que en el plan Free vas a tener un mapa de calor de 5x5 con unas variables de frecuencia e impacto ya definidas, así como una colorimetría para los niveles de riesgo. En este plan no puedes modificar los nombres ni pesos de las variables de impacto y frecuencia, tampoco los colores establecidos.
Una vez que agregues esta información sobre el riesgo y lo hayas calificado, puedes asociarlo a un responsable y a los procesos o factores de riesgo que creaste anteriormente, es decir, activos de información, normas o factores de riesgo LAFT.
Especificar estas asociaciones es importante porque te permite tener la información estructurada y organizada para que los datos no estén aislados y sean consistentes para la toma de decisiones.
Todo lo anterior (identificación, evaluación y asociación o vinculación de los riesgos) te va a permitir conocer claramente cuáles son los riesgos inherentes de los procesos o factores de riesgo y conocer el nivel de exposición de tu organización.
5. Define los controles para el tratamiento de los riesgos
Existen diferentes formas de tratar los riesgos: aceptarlos, transferirlos, mitigarlos o eliminarlos, esta última implica la eliminación del proceso o del factor de riesgo como tal que puede generarlo.
Aquí es importante que establezcas la estrategia de tratamiento para cada riesgo. En el caso de la mitigación, en Pirani vas a poder definir y asociar controles que te permitan disminuir la probabilidad de ocurrencia o mitigar el impacto si se materializa el riesgo.
Para crear los controles para la mitigación de los riesgos de tu organización, en este paso debes tener en cuenta:
- Nombre del control.
- Calificación del diseño del control.
- Calificación de la ejecución del control.
- Descripción del control.
La calificación del diseño y de la ejecución del control te permite conocer qué tan sólido es el control, es decir qué tan fuerte es para proteger la organización contra la ocurrencia del riesgo o el impacto de este.
Para saber cuál es la solidez de los controles que definas, en el software debes calificar unos criterios específicos (ya están definidos) tanto en el diseño como en la ejecución:
Criterios en diseño
- Tipo de control: Correctivo (10%) - Detectivo (50%) - Preventivo (100%).
- Tipo de ejecución: Manual (10%) - Combinado (50%) - Automático (100%).
- ¿Se ejecuta con frecuencia?: No (0%) - Sí (100%).
- ¿Está documentado?: Sin documentar (10%) - Parcialmente documentado (50%) - Documentado (100%).
- ¿Tiene evidencia?: No (0%) - Sí (100%).
- ¿Tiene responsables asociados?: No (0%) - Sí (100%).
La calificación de estos criterios te permite describir cómo está diseñado el control y según esto, obtener una valoración y un porcentaje de la solidez.
Criterios en ejecución
- ¿Se han presentado eventos?: Sí (0%) - No (100%).
- ¿El diseño del control es efectivo?: No (0%) - Sí (100%).
- ¿La evidencia es efectiva?: No (0%) - Sí (100%).
Estos criterios lo que te permiten es evaluar el control cuando ya está siendo ejecutado. Vas a conocer si el control que diseñaste se está ejecutando de la manera esperada, en otras palabras, si el diseño del control es realmente efectivo o no: cumple o no cumple con su objetivo de mitigación.
Ten en cuenta que cuando la solidez de un control es baja, el porcentaje de mitigación o contención del riesgo seguramente será bajo; en cambio, si tiene una solidez alta, la probabilidad de efectividad de ese control va a ser mayor.
Adicionalmente, al igual que ocurre con los procesos o factores de riesgo que tengas creados, en los controles puedes asociar responsables y riesgos específicos. Y recuerda que cuando vinculas un control a un riesgo, vas a obtener el riesgo residual, que es el riesgo que queda después de aplicar controles.
En resumen, los controles que definas en este paso deben servirte para mitigar la ocurrencia de los riesgos o su impacto y pueden considerarse como efectivos cuando cumplan con su objetivo.
un ejemplo de control para el riesgo de insatisfacción del cliente debido a una atención inadecuada en la empresa de telecomunicaciones, identificado en el paso anterior, puede ser realizar capacitaciones periódicas a los empleados en temas de servicio al cliente.
Al calificar los criterios de diseño en el software, este control tiene una calificación fuerte (85%) y en la ejecución también (100%). Así, la calificación total de este control es del 92.5%, lo que quiere decir que se ejecuta correctamente.
6. Realiza monitoreo / seguimiento a tu gestión de riesgos
Para la adecuada gestión de riesgos de tu organización en el plan Free de Pirani, en este último paso es necesario que realices un monitoreo continuo del sistema de gestión.
Esto quiere decir que después de tener todos los procesos, fuentes de riesgo, riesgos y controles para su mitigación, debes hacerles seguimiento para conocer cómo evoluciona la gestión y poder tomar decisiones oportunas sobre estos, por ejemplo, si hay que agregar nuevos riesgos, si es necesario modificar los controles o crear unos nuevos porque los que hay no están siendo efectivos.
En general, este paso se trata de hacer un seguimiento a todo lo que se ha creado en el software y con base en esto, tomar decisiones informadas. Aquí es importante que tu organización establezca unas políticas claras de monitoreo al sistema de gestión, por ejemplo, cada cuánto lo van a realizar y quiénes son los principales responsables de hacerlo.
Y una de las mejores formas de realizar este seguimiento / monitoreo es a través del mapa del calor que puedes ver en el Dashboard del software. Aquí encuentras todos los riesgos que hayas creado y puedes ver su ubicación inherente y residual (después de los controles), lo que te permite saber el estado de los riesgos de tu organización y si la gestión realizada está siendo efectiva.
Finalmente, tienes que saber que el monitoreo sí o sí debe ser permanente porque es lo que te va a permitir mantener actualizado tu sistema de gestión de riesgos al poder incluir nuevos procesos, factores de riesgo, riesgos o controles que respondan a los cambios del mercado y a la realidad de tu organización.
Conclusiones
Con toda esta información que te hemos compartido en esta Guía básica para usar un software de gestión de riesgos, es momento de que comiences a gestionar los riesgos de tu organización con el plan Free de Pirani, con el que vas a poder:
- Elegir uno de nuestros sistemas de gestión de riesgos: ORM - AML - ISMS - Compliance.
- Tener 5 usuarios, 200 registros y 2GB de almacenamiento de forma indefinida y gratuita.
- Tener una metodología de gestión de riesgos ya definida.
- Identificar procesos y factores de riesgo (según el sistema de gestión que elijas).
- Identificar y evaluar los riesgos en su frecuencia e impacto.
- Recibir sugerencias de riesgos para tu industria y procesos gracias a la integración con ChatGPT.
- Definir controles para la mitigación de los riesgos.
- Controlar el acceso a la información por medio de la creación de roles y grupos de responsables.
- Adjuntar evidencias en la creación de procesos, factores de riesgo, riesgos y controles e igualmente, exportar información de cada uno de estos.
- Realizar monitoreo continuo de la gestión realizada.
- Analizar y descargar un reporte básico del mapa de calor.
- Crecer en la madurez de gestión de riesgos de tu organización porque no solo tienes un software para la gestión, también te acompañamos en tu aprendizaje a través de la Academia Pirani y diferentes iniciativas como la Escuela de Gestión de Riesgos y la Comunidad Pirani. Participa activamente de estos espacios de conocimiento.