Sistema Integrado de Gestión de Riesgos
Conoce por qué es importante que las organizaciones, de cualquier industria y tamaño, tengan un Sistema Integrado de Gestión de Riesgos y qué deben hacer para tenerlo.
Introducción
En la mayoría de las organizaciones, no importa la industria a la que pertenezcan, es común encontrar sistemas de gestión de riesgos aislados y con diferentes metodologías, es decir, no hay un único sistema que integre los distintos tipos de riesgos a los que están expuestas y por eso, la gestión se hace de forma independiente.
Cuando existen varias metodologías para gestionar cada sistema de riesgos en una organización (riesgos operacionales, riesgos de seguridad de la información, riesgos de seguridad y salud en el trabajo, riesgos de cumplimiento normativo, riesgos de lavado de activos y financiación del terrorismo, entre otros) pueden presentarse algunas dificultades que van a afectar la efectividad de la gestión.
Por ejemplo, de acuerdo con Geraldin Ariza, experta en gestión de riesgos en Pirani, no tener una misma metodología en todos los sistemas dificulta la cultura de gestión de riesgos, pues los empleados que no tienen un rol en las áreas de riesgos deberán conocer diferentes formas de identificación y calificación de los riesgos, según cada sistema, y esto va afectar más su participación e involucramiento en la gestión.
Adicionalmente, el no tener una metodología única para todos los sistemas, no están integrados entre sí, hace que no haya un único apetito de riesgo ni un perfil de riesgo único. En otras palabras, cada sistema tiene un lenguaje diferente, no se comunica con los otros y esto puede entorpecer la toma de mejores decisiones para el beneficio de toda la organización.
Teniendo en cuenta lo anterior, a continuación te contamos por qué es importante que las organizaciones apuesten por un Sistema Integrado de Gestión de Riesgos (SIGR), cuáles son las ventajas de tenerlo y qué pasos y recomendaciones deben tener en cuenta para lograr la integralidad del sistema.
Importancia del Sistema Integrado de Gestión de Riesgos
Hay varias razones por las que es importante que las organizaciones tengan un Sistema Integrado de Gestión de Riesgos, pero antes de conocer algunas de estas, lo primero es saber que un SIGR consiste en tener una misma estructura y metodología para la identificación, evaluación, control y monitoreo de todos los riesgos a los que está expuesta la organización.
Gracias al SIGR es posible tener un único marco de trabajo para la gestión eficiente y efectiva de los riesgos, desde los operacionales hasta los de lavado de dinero y financiamiento del terrorismo, logrando con esto una visión completa e integral para tomar mejores decisiones que sirvan para hacerles frente y evitar impactos negativos en la operación y la continuidad del negocio.
Algunas de las razones por las que es importante contar con un Sistema Integrado de Gestión de Riesgos son:
- Tener una misma metodología para la gestión de todos los sistemas de riesgos, esto favorece la cultura de riesgos entre el personal porque hablan el mismo lenguaje.
- Tener un solo apetito al riesgo y un solo perfil de riesgo para toda la organización, no apetitos y perfiles diferentes según el sistema de gestión.
- Tener indicadores de gestión unificados para que todas las áreas persigan los mismos objetivos en cuanto a la prevención y control de los riesgos.
- Proteger los activos y optimizar los recursos de la organización porque permite identificar y priorizar los riesgos más críticos para su pronta gestión y tratamiento.
- Cumplir oportunamente con los distintos requisitos normativos y legales que le aplican a la organización, disminuyendo así el riesgo de posibles sanciones o multas.
- Ayudar a garantizar la continuidad del negocio en situaciones adversas porque todos van a estar mejor preparados y coordinados para enfrentar este tipo de situaciones, es decir, van a saber qué acciones implementar desde cada área según el plan establecido.
- Lograr una gestión de riesgos mucho más consistente en todas las áreas y procesos de la organización, así como mucho más eficiente porque se tiene un conocimiento integral de cada uno de los riesgos que pueden afectar la operación, continuidad y reputación de la empresa.
Ventajas de tener un Sistema Integrado de Gestión de Riesgos
Ya que conoces sobre la importancia que tiene para las organizaciones contar con un SIGR, veamos algunas de las ventajas y beneficios que trae este sistema para la gestión de riesgos.
- Identificación, evaluación y priorización oportuna de los riesgos en las diferentes áreas, procesos y actividades de la organización bajo los mismos criterios porque la metodología es una sola, logrando así que todos hablen el mismo idioma de gestión de riesgos, por ejemplo, las variables para la frecuencia e impacto, los niveles y colorimetría del mapa de riesgos, los criterios para la definición de los controles, entre otros elementos, son iguales para todos.
- Control de los riesgos a través de medidas y acciones unificadas que permiten la prevención y mitigación de los mismos. Entre otros controles se pueden establecer políticas y procedimientos comunes para las diferentes áreas y procesos, lo que facilita la gestión y favorece la continuidad del negocio.
- Monitoreo y revisión continua de forma integral para garantizar que los distintos riesgos estén bajo control, que las medidas tomadas en todas las áreas y procesos sí son acordes a los cambios y desafíos del entorno y el mercado.
- Mejora la toma de decisiones, como explica Geraldin Ariza, cuando se tiene un sistema integrado de gestión al final se busca tener un único tablero de control que facilite la toma de decisiones.
Este tablero de control lo que permite es interpretar todos los datos de la gestión realizada y a partir de estos decidir cómo actuar para el beneficio de la organización, en otras palabras, ayuda a tomar decisiones mejor informadas y basadas en hechos, reduciendo así la incertidumbre y logrando acciones más acertadas.
- Mejora la eficiencia operativa porque al ser un sistema integral permite identificar más fácilmente oportunidades de mejora en las distintas áreas y procesos de la organización. Además, permite eliminar duplicidades, optimizar los recursos y enfocar los esfuerzos en los riesgos de mayor criticidad.
- Fomenta la cultura de gestión de riesgos entre todos los empleados porque pueden conocer y ayudar a identificar riesgos en las diferentes áreas, tomar medidas de control y saber cómo actuar ante la materialización de un evento de riesgo.
Adicional a las anteriores ventajas, Geraldin destaca que un Sistema Integrado de Gestión de Riesgos igualmente es un punto a favor a la hora de certificarse en diferentes normas, por ejemplo, la norma ISO 9001.
Si bien esta es una norma de calidad, para obtener la certificación, entre otras cosas, es necesario tener identificados los riesgos en todos los procesos de la organización y gestionarlos adecuadamente. Y una manera de garantizar esto es a través del SIGR.
Por otro lado, tener un sistema integrado de gestión también facilita la identificación de riesgos en las estrategias organizacionales, es decir, permite revisar y validar si una estrategia es viable o no para la empresa, independientemente del área que sea porque se consideran todos los tipos de riesgos. El objetivo es poder cumplir la estrategia planteada y para lograrlo, es necesario considerar todos los posibles escenarios.
Y por si todo esto fuera poco, tener un Sistema Integrado de Gestión de Riesgos también ayuda a mejorar la imagen y reputación organizacional, pues es una forma de demostrar y generar confianza entre los diferentes grupos de interés porque la empresa está comprometida con una gestión responsable, eficiente y efectiva de los riesgos de todas sus áreas, procesos y actividades.
Bonus: en varios países los entes reguladores están buscando que las organizaciones tengan sistemas integrados de gestión de riesgos, es un tema que en poco tiempo será regulatorio para muchas entidades. Por eso, la recomendación es comenzar a trabajar en esto desde ya.
Pasos para un Sistema Integrado de Gestión de Riesgos
Una vez conocidas las principales ventajas y beneficios de tener un SIGR, estos son las acciones o pasos a seguir para contar con este sistema en las organizaciones:
1. Contar con el compromiso de la alta dirección
Como ocurre con cualquier sistema de gestión, para que el sistema integrado cumpla con sus objetivos y sea exitoso, es necesario que la alta gerencia o alta dirección de la organización esté comprometida con la implementación, seguimiento y mejora continua de este.
Este compromiso implica la asignación de los recursos necesarios para el sistema, así como tener claridad de las metas y objetivos esperados con el SIGR, como lo son la prevención y mitigación de todos los riesgos que pueden impactar en la continuidad y reputación del negocio.
2. Conformar una gerencia o comité de riesgos
Para que el SIGR funcione correctamente es fundamental crear un comité de gestión de riesgos, que esté conformado por un representante de cada uno de los sistemas de gestión de la organización (riesgos operacionales, de seguridad de la información, de seguridad y salud en el trabajo, de cumplimiento normativo, de lavado de activos y financiación del terrorismo, etc.) o líderes de los procesos.
Este comité es el encargado de asegurar que la gestión de riesgos sea integral, que todas las áreas y procesos hablen el mismo idioma de gestión y busquen los mismos objetivos. A través del comité se define la metodología a utilizar para la gestión de riesgos, así como las políticas y procedimientos a seguir para que todos estén coordinados y debidamente integrados.
3. Definir la metodología de gestión de riesgos
Es uno de los pasos fundamentales para lograr tener un sistema integrado. El comité o la gerencia de riesgos deben definir con base a qué norma o estándar internacional van gestionar los riesgos, por ejemplo, si van a basarse en la ISO 31000 o en COSO, o si van a tener una metodología propia.
La elección de la metodología es lo que va a permitir identificar, evaluar, controlar y monitorear todos los riesgos de la misma manera, sin importar el área o proceso, y esto garantiza que haya integralidad: que todos usen los mismos parámetros y criterios de gestión.
Hay que tener en cuenta que no existe una metodología mejor que otra, lo importante es que cada organización sepa adaptarla a su contexto y necesidades específicas y como explica Juan David Parra, Gerente de Customer Success en Pirani, “que sepa argumentar por qué su matriz de riesgos, por ejemplo, es de 3x3 o 4x4, por qué escoge unos criterios de calificación de controles sobre otros y cómo todo se ajusta a su contexto interno y externo y a su estrategia organizacional”.
4. Identificar y evaluar los riesgos
Una vez definida la metodología que se va a utilizar, lo siguiente es identificar todos los riesgos en las diferentes áreas y procesos de la organización, tanto internos como externos. Para esto es necesario involucrar a representantes de cada proceso y se pueden utilizar técnicas como el análisis FODA (fortalezas, oportunidades, debilidades y amenazas), consulta a expertos, los 5 por qué, entre otras.
Y la evaluación y calificación de los riesgos identificados se hace teniendo en cuenta tanto la probabilidad de ocurrencia como el impacto que tendrían en caso de materializarse. Esta evaluación debe considerar los criterios y variables establecidas en la metodología y los riesgos con mayor calificación (nivel de riesgo) serán los prioritarios del sistema.
5. Establecer las medidas de control
Los controles deben permitir la prevención o la mitigación de los riesgos, cada uno de estos debe ser el apropiado para cada tipo de riesgo e igualmente, debe estar debidamente integrado con los diferentes procesos de la organización, una vez más, la coordinación y comunicación son claves.
6. Comunicar y capacitar al personal
La comunicación del sistema a todas los empleados, así como la capacitación sobre cómo identificar riesgos y contribuir al cumplimiento de las medidas de control son claves para que el sistema funcione adecuadamente.
Llevar a cabo estas acciones de forma constante, creativa y práctica para todos servirá para lograr conciencia en el personal sobre la importancia de gestionar integralmente los riesgos y promover una cultura de riesgos que sea efectiva.
7. Monitorear y realizar seguimiento continuo
El monitoreo y el seguimiento del SIGR debe hacerse para conocer cómo se están comportando los riesgos, si hay nuevos riesgos que afecten a toda la organización, si las medidas de control implementadas están siendo efectivas o es necesario hacer ajustes o cambios.
Igualmente, esta etapa permite conocer detalles de la gestión realizada y con base en los resultados tomar decisiones para beneficio de la organización, por ejemplo, fortalecer los controles, adquirir pólizas, aumentar el presupuesto para la gestión, etc.
8. Fomentar la mejora continua del sistema
El SIGR debe ser un elemento vivo, que se actualiza constantemente y a partir de los datos y resultados obtenidos busca mejorar para responder a las necesidades de la organización y a los desafíos del entorno, solo así es posible lograr una gestión efectiva de los diferentes tipos de riesgos que enfrenta la empresa.
Tecnología que apoya el Sistema Integrado de Gestión de Riesgos
Si bien la implementación de un Sistema Integrado de Gestión de Riesgos puede ser un proceso complejo para las organizaciones, apoyarse en herramientas tecnológicas como un software de gestión de riesgos puede servir mucho para lograrlo.
Con Pirani, por ejemplo, las organizaciones de cualquier industria y tamaño pueden gestionar de manera integral y en una única plataforma los riesgos operacionales, los riesgos de lavado de activos y financiación del terrorismo, los riesgos de seguridad de la información y los riesgos de cumplimiento normativo a los que están expuestas.
¿Cómo Pirani contribuye al SIGR?
1. Es una herramienta fácil de usar y parametrizar
Los cuatro sistemas de gestión de Pirani (ORM, AML, ISMS y Compliance) tienen las etapas esenciales para la gestión de riesgos: identificación, evaluación, control y monitoreo. En cada uno se ofrece la misma experiencia, no están aislados entre sí y hay una clara continuidad entre estos.
Además, en Pirani los procesos son transversales, es decir, son los mismos para todos: están integrados, no cambian entre un sistema y otro; esto es necesario para que todos apunten hacia los mismos objetivos estratégicos.
2. Permite la interacción entre las áreas
Al ser una herramienta fácil de usar y de parametrizar, se logra involucrar de una mejor manera a todos los colaboradores con la gestión de los riesgos: pueden reportar eventos, identificar riesgos y contribuir al cumplimiento de los controles por medio de planes de acción. Esto también ayuda a reforzar la cultura de gestión de riesgos.
3. Generación de reportes integrados para la toma de decisiones
Pirani permite generar diferentes tipos de reportes para la toma oportuna de decisiones, algunos de estos son:
- Mapa de calor por riesgos, por procesos y por riesgo inherente o riesgo residual.
- Perfil de riesgo organizacional.
- Solidez de los controles.
- Eventos por criticidad o por estado.
- Reportes dinámicos personalizados según las necesidades.
Todos estos reportes ofrecen información de valor que ayuda a facilitar la toma de mejores decisiones para el sistema integrado y para el beneficio de la organización.
¿Ya conoces el software de gestión de riesgos de Pirani? Crea tu cuenta gratis y conoce cómo podemos ayudarte a tener un Sistema Integrado de Gestión de Riesgos.
Recomendaciones finales
Para que tu organización pueda tener un buen Sistema Integrado de Gestión de Riesgos, ten en cuenta y pon en práctica estas recomendaciones adicionales que te comparten Geraldin Ariza y Juan David Parra del equipo de Customer Success de Pirani.
- El comité o gerencia de riesgos debe reunirse periódicamente para la validación de resultados y la toma oportuna de decisiones, el SIGR debe ser un sistema que se actualiza constantemente. En este comité es importante que participe el líder o un representante de cada una de las áreas de la organización.
- Tener canales de comunicación claros para lograr que todos los empleados se involucren con la gestión de riesgos, por ejemplo, definir una línea ética o de reporte. Estos canales ayudan a mantener la gestión de riesgos viva porque sirven para la identificación de nuevos riesgos o conocer a tiempo los diferentes eventos que se presentan.
- Promover espacios de capacitación y concientización sobre gestión de riesgos, hacerlo de manera didáctica y práctica para que los empleados generen asociaciones y comprendan por qué es importante su aporte en esta gestión.
Algunas estrategias pueden ser: semana de cultura de riesgos, inducciones al personal nuevo, comunicaciones frecuentes con conceptos de riesgos, compartir casos reales y prácticos, entre otras. - Tener procesos bien definidos, estructurados, documentar toda la gestión y divulgar correctamente el sistema a todas las áreas es clave para lograr un buen Sistema Integrado de Gestión de Riesgos.
- El valor de tener un SIGR está en poder tener información útil para tomar decisiones que apunten a la mejora continua y a su vez, a la continuidad y sostenibilidad del negocio.
Referencia bibliográfica
- Escuela Europea de Excelencia: Cómo diseñar y construir un sistema integrado de gestión de riesgos
- PwC: Sistema Integrado de Administración del Riesgo
- Juan Gabriel Haitzaguerre: 5 beneficios de contar con un Sistema de Gestión Integrado
- CTMA Consultores: Ventajas de un Sistema de Gestión Integrado