Implementación de la gestión de riesgos empresariales
La evaluación de los diferentes tipos de riesgos a menudo se administra con procesos dispares en partes diferentes de la organización. Para ser eficaz, la función de gestión de riesgos empresariales (GRE) debe comprender los diferentes niveles de riesgo que tienen impacto en todas las áreas de una organización y las técnicas que se utilizan para reducir el riesgo. En este artículo, discutimos sobre cómo implementar la gestión de riesgos empresariales utilizando las aplicaciones Estrategia y Proyectos.
Este artículo se basa en los ejemplos ilustrados en Identificación de riesgos y objetivos estratégicos.
¿Qué significa implementar la gestión de riesgos empresariales?
La implementación de la gestión de riesgos empresariales es un proceso continuo y en evolución que asegura que una organización sea consciente de los riesgos actuales y emergentes que podrían alterar los resultados esperados y puede responder de forma proactiva a los riesgos.
Hay tres procesos claves involucrados en la implementación de la GRE:
- Evaluación del riesgo implica el desarrollo de un conjunto común de criterios de evaluación que se pueden utilizar a través de todos los segmentos operativos, entidades o unidades de negocio y determinar cuánto riesgo enfrenta una organización
- Priorización del riesgo implica comparar el nivel de riesgo con los niveles de riesgo objetivo predeterminados y los umbrales de tolerancia.
- Respuesta al riesgo implica examinar las opciones de respuesta, realizar análisis de costo-beneficio, formular estrategias de respuesta y desarrollar planes de respuesta al riesgo
¿Dónde implemento la gestión de riesgos empresariales?
En Diligent, utilizamos las aplicaciones Proyectos y Estrategia para evaluar, priorizar y responder al riesgo. Nuestro programa de GRE nos permite alinearnos en nuestros valores, visión y valoración, acelerar nuestra agenda de crecimiento en nuestra capacidad de lanzamiento al mercado e innovación de productos y garantizar que siempre entreguemos la mejor experiencia a nuestros clientes.
La visión general
- Talleres sobre riesgos se pueden usar para evaluar en forma colaborativa el riesgo inherente dentro de una organización y los resultados se pueden aplicar a su perfil de riesgo organizacional.
- Una vez que se completa la evaluación del riesgo inherente, puede visualizar el riesgo utilizando los mapas de riesgo configurables y definir los tratamientos al riesgo enlazando los objetivos (contenidos en Marcos y Proyectos) con los riesgos estratégicos.
Una vez que haya terminado su evaluación de riesgo inherente y la evaluación preliminar del tratamiento, puede evaluar el riesgo residual y comprender mejor las áreas de la organización que son de mayor preocupación.
Pasos
¿Listo para una visita guiada?
Echemos un vistazo más de cerca a estas características en el contexto.
1. Evaluar riesgo
La evaluación del riesgo es un proceso en la gestión de riesgos empresariales que implica determinar a cuánto riesgo se enfrenta una organización. Muchas organizaciones comienzan evaluando cualitativamente el riesgo primero y luego desarrollan capacidades cuantitativas a lo largo del tiempo para alinearse con sus requisitos de toma de decisiones.
Desarrollar criterios de evaluación del riesgo
El primer paso es desarrollar un conjunto común de criterios de evaluación que se pueden utilizar a través de los segmentos operativos, entidades o unidades de negocio. Esto le permite realizar una calificación del riesgo diversa, evaluar el riesgo respecto de múltiples factores y especificar un modelo de evaluación de riesgos que se utiliza para su marco de riesgo específico de la industria.
Ejemplo
Escenario
Usted es un profesional del riesgo que necesita evaluar lógicamente los riesgos en toda su organización. Dado que su organización o departamento son nuevos en la gestión de riesgos empresariales, desea comenzar por evaluar el riesgo en términos de probabilidad e impacto. Al configurar la forma en que se califican los riesgos, puede modelar su marco de riesgo organizacional y aplicar el marco a todos los riesgos identificados.
Proceso
Tema de ayuda Configuración de los ajustes de la calificación del riesgo
Usted va a la sección Calificación de Configuración en Estrategia y desarrolla los siguientes criterios de calificación de riesgo:
- Probabilidad (escala de 3 puntos: 1-baja, 2-media, 3-alta)
- Impacto (escala de 3 puntos: 1-bajo, 2-medio, 3-alto)
También especifica el peso de cada factor de calificación de riesgo como 100 % para reflejar la misma importancia tanto de impacto como de probabilidad.
Resultado
Todos los riesgos en su organización ahora se pueden evaluar por probabilidad e impacto, utilizando una escala de 3 puntos:
Evaluar el riesgo inherente
El riesgo inherente es un cálculo que se deriva de una evaluación de un riesgo no tratado o el riesgo bruto que enfrenta una organización si no se han establecido controles u otros factores de mitigación. La evaluación del riesgo inherente implica asociar los riesgos con los objetivos estratégicos definidos en el mapa de la estrategia y evaluar el riesgo en todos los segmentos operativos sobre múltiples factores de calificación de riesgo. Una vez que especifica las calificaciones, Estrategia calcula automáticamente el riesgo inherente.
Consejo
Para evitar calificar manualmente los riesgos estratégicos, puede utilizar los controladores de evaluación para automatizar diferentes evaluaciones de riesgos. Puede enlazar una medida creada en la aplicación Resultados a una evaluación de riesgos en Estrategia para hacer reportes sobre la evaluación y completar automáticamente las calificaciones de riesgo inherentes de acuerdo con los rangos predefinidos de las medidas. Las partes interesadas claves pueden ser notificadas cuando ocurren cambios en la evaluación de riesgos.
Ejemplo
Escenario
Ahora que ha configurado los criterios de evaluación de riesgos de su organización, puede comenzar a evaluar el riesgo inherente: el riesgo que existe cuando no se han implementado controles u otros factores de mitigación. Para comenzar el proceso, desea evaluar el riesgo de la fórmula del látex, que se centra en la posibilidad de que la fórmula ultrasecreta caiga accidentalmente en manos de los competidores. Su organización, Vandelay Industries, sin duda quedaría fuera del negocio si esto sucediera.
Proceso
Tema de ayuda Evaluación del riesgo inherente
Primero, usted abre la evaluación de riesgos de la fórmula del látex y asocia el riesgo con los objetivos estratégicos relevantes a los que amenaza el riesgo. Luego, evalúa el riesgo en todos los departamentos relevantes en función de la probabilidad y el impacto.
- Objetivos estratégicos Estrategia impulsada por la innovación, Expansión internacional, Aumentar el reconocimiento de la marca en un 25 % (Marketing), Crecimiento de ingresos en dos dígitos (Ventas), Mantener el liderazgo de la categoría, > 35 % de calificación neta del promotor
- Departamentos Investigación y Desarrollo, Operaciones, Ventas, Marketing, Finanzas/Jurídico, Recursos Humanos
Resultado
Ha completado la evaluación de riesgo inherente para el riesgo de la fórmula del látex:
Realizar talleres sobre riesgos
Los talleres sobre riesgos proporcionan un foro colaborativo en línea para recabar información adicional y evaluar los riesgos en colaboración con los líderes de la gerencia ejecutiva y los líderes de las unidades de negocio. Los consultores externos que llegan a una organización pueden utilizar la característica Taller sobre riesgos para administrar convenientemente e integrar la información de varias partes interesadas. Cada participante puede calificar los riesgos y las calificaciones se promedian automáticamente y se agregan en una única evaluación de riesgos que se puede aplicar en una sola vista del perfil de riesgo.
Consejo
Hay algunas actividades claves que puede hacer para facilitar con éxito un taller sobre riesgos:
- Proporcionar definiciones claras sobre los criterios de calificación de riesgos asegura que las definiciones estén disponibles para todos los participantes a fin de proporcionar un enfoque coherente para la calificación de los riesgos. La forma más sencilla de hacer esto es proporcionar descripciones significativas de los factores de calificación de riesgo y las calificaciones individuales. Puede hacer esto mientras configura sus ajustes de la calificación del riesgo. Los participantes en el taller sobre riesgos entonces tendrán acceso a estas definiciones mientras califican los riesgos.
- Elija los participantes apropiados elija personas de diferentes departamentos que conozcan bien el negocio y puedan proporcionar una visión sobre operaciones comerciales específicas
- Limite del número de participantes la mejor práctica es involucrar de 10 a 25 participantes; si necesita involucrar a un gran número de participantes, un método más eficiente sería enviar una encuesta desde la aplicación Resultados
Ejemplo
Escenario
Desea invitar a diferentes partes interesadas a colaborar en el proceso de evaluación de riesgos, pero desafortunadamente, no puede obtener partes interesadas claves en la misma sala al mismo tiempo. Todos los riesgos de nivel estratégico identificados son propiedad de la Junta o de la alta gerencia, pero estas personas no tienen un conocimiento exhaustivo de cómo están operando las partes individuales de la empresa. Necesita un método para recopilar información de varias personas en el negocio y administrar su información en forma conveniente en una sola ubicación central.
Proceso
Tema de ayuda Facilitar talleres de riesgo
Primero, usted crea un taller sobre riesgos y agrega los riesgos que evaluarán los participantes del taller en un foro colaborativo en línea. Luego, agrega los participantes relevantes y envía el taller sobre riesgos a cada participante. Después de que los participantes hayan terminado de calificar los riesgos, las calificaciones se promedian automáticamente y se agregan en una única evaluación de riesgos, y usted decide aplicar la evaluación de riesgos agregada a su perfil de riesgo organizacional.
Resultado
La evaluación de riesgo inherente para todos los riesgos identificados en la organización ahora está completa:
2. Priorizar el riesgo
La priorización de los riesgos es el proceso de determinación de las prioridades de la gestión de riesgos comparando el nivel de riesgo con los niveles de riesgo objetivo predeterminados y los umbrales de tolerancia. El riesgo se puede considerar no solo en términos del impacto financiero y la probabilidad, sino también sobre la base de criterios subjetivos, tales como el impacto en la salud y seguridad, el impacto reputacional, la vulnerabilidad y la velocidad del inicio.
Organizar los riesgos por estado
Puede organizar los riesgos asignando cada riesgo a un estado y definiendo su estado actual en el flujo de trabajo de mitigación de riesgos. Cada estado se muestra en una columna separada dentro del perfil de riesgo. Puede trasladar los riesgos de un estado a otro según la evaluación de riesgos y la tolerancia al riesgo y el apetito de su organización.
Ejemplo
Escenario
Ahora que se ha evaluado cada riesgo identificado para toda su organización, desea organizar los riesgos y asignarles diferentes estados como instancias de procesos o estados como condición propia, en función del flujo de trabajo de mitigación de riesgos de su organización.
Proceso
Tema de ayuda Asignación de un riesgo a un estado
Mueve riesgos de un estado a otro basándose en la evaluación del riesgo y la tolerancia al riesgo de su organización. Para ciertos riesgos, especifique un periodo para aceptar o transferir el riesgo. El especificar un marco de tiempo le permitirá volver a evaluar fácilmente ciertos riesgos en una fecha posterior.
Resultado
Su perfil de riesgo se configura de la siguiente manera:
Visualizar riesgos
Visualizar riesgos ayuda a establecer y comunicar una visión de los riesgos que afectan la organización. Mapas de riesgo con frecuencia se usan para comunicar la probabilidad y el impacto potenciales de los riesgos, de manera que se puedan tomar decisiones estratégicas para mantener la salud de la organización. El mapa de la estrategia también se puede utilizar para visualizar la agregación de riesgos en la organización y puede ayudar a realizar reportes sobre la toma de decisiones sobre dónde proporcionar recursos para mitigar los riesgos prioritarios.
Ejemplo
Escenario
Usted necesita priorizar el riesgo, pero le resulta difícil comparar todos los riesgos en toda su organización. Usted reconoce que visualizar el riesgo no solo lo ayudará a presentar los resultados de una evaluación de riesgos, sino que también le permitirá decidir cuáles áreas de la organización son las más preocupantes para que pueda desplegar los recursos apropiados, según corresponda.
Proceso
Tema de ayuda Comprensión de los mapas de riesgo
Abre el Mapa de riesgo predeterminado para determinar cuáles riesgos se deben considerar como enfoque principal. Las áreas de mayor preocupación están representadas en el cuadrante superior derecho del mapa de riesgo y las áreas de menor preocupación están representadas en el cuadrante inferior derecho:
Resultado
Con base en el mapa de riesgos, puede determinar rápidamente los riesgos más preocupantes para su organización.
3. Respuesta ante el riesgo
Después de priorizar los riesgos, es hora de definir planes de respuesta al riesgo y evaluar el riesgo residual. La función de GRE debe ser extendida por las personas en posiciones operativas de primera línea que están más cerca de los riesgos y esto puede suceder conectando los riesgos operativos y los datos de control de los Proyectos a los riesgos estratégicos en Estrategia. Este enfoque híbrido descendente y ascendente proporciona la oportunidad de lograr una cobertura integral de todos los riesgos identificados en las evaluaciones anuales e incorpora la responsabilidad al aprovechar la experiencia de las personas adecuadas de la organización.
Definir tratamiento de los riesgos
El tratamiento del riesgo son las medidas que toma una organización para mitigar el riesgo. Las medidas pueden incluir iniciativas, programas, políticas u objetivos de control, que puede crear en Proyectos y enlazar a los riesgos estratégicos en Estrategia. El enlace le ayuda a garantizar una cobertura completa de todos los riesgos operacionales identificados durante las evaluaciones de riesgo anuales, y le permite determinar si su organización está haciendo bien las cosas para mitigar el riesgo.
Consejo
A veces, la evaluación preliminar del tratamiento puede mostrar que está invirtiendo en demasiados recursos para mitigar un riesgo (%tratamiento >= 100 %). En este caso, la evaluación de riesgos muestra oportunidades potenciales para reducir la cantidad de tratamiento aplicado a un riesgo particular y reducir los recursos asociados con el tratamiento de riesgo.
Ejemplo
Escenario
Como resultado del proceso de priorización de riesgos, usted ha identificado que el riesgo más preocupante para su organización es el riesgo de la fórmula del látex. Con un riesgo inherente del 70,3 %, usted sabe que se deben realizar esfuerzos coordinados para asegurar que el riesgo se mitigue de manera adecuada. Comienza a trabajar estrechamente con el equipo de aseguramiento para definir tratamientos para reducir la probabilidad y el impacto de que se robe la fórmula del látex.
Proceso
Tema de ayuda Definición del tratamiento del riesgo
El equipo de aseguramiento crea un proyecto de Revisión de seguridad de la instalación de látex en la aplicación Proyectos y define el siguiente objetivo:
Asegúrese de que la seguridad física se mantenga adecuadamente afuera
En Estrategia, abre el riesgo de la fórmula del látex, navegue hasta la ficha Tratamiento y enlace el objetivo creado recientemente en Proyectos con el riesgo de la fórmula del látex.
Resultado
Se define una relación entre el riesgo estratégico en Estrategia y el objetivo enlazado en Proyectos, lo que le permite hacer un seguimiento del aseguramiento y de los resultados de las pruebas y evaluar el riesgo residual.
Evaluar el riesgo residual
Después de evaluar el riesgo inherente y de definir cómo se está tratando el riesgo, puede realizar una evaluación preliminar del tratamiento, que evalúa cuánto del tratamiento reduce el riesgo. Esto le permite identificar áreas en las que el negocio está expuesto a riesgos más allá del apetito de riesgo organizacional. Evaluar el riesgo residual implica especificar un porcentaje de tratamiento para definir cuánto del tratamiento reduce el riesgo inherente. El porcentaje de tratamiento se basa en la eficacia esperada de los esfuerzos de tratamiento establecidos, antes de que los controles se hayan probado para proporcionar aseguramiento.
Consejo
Puede especificar un porcentaje entre 0 y 100 %. El % de tratamiento total puede llegar a ser superior al 100 %. Sin embargo, un tratamiento agregado superior al 100 % puede indicar que su organización puede considerar la revisión del tratamiento del riesgo y reducir los costos asociados con el tratamiento del riesgo.
Ejemplo
Escenario
Ahora que ha definido la relación entre el riesgo de la fórmula del látex y el objetivo de seguridad física, debe realizar una evaluación preliminar del tratamiento que tenga en cuenta cuánto reduce el riesgo el tratamiento. La evaluación le permitirá identificar áreas donde su empresa está expuesta a riesgos más allá del apetito de riesgo de la organización.
Proceso
Tema de ayuda Evaluación del riesgo residual
Primero, usted especifica un porcentaje de tratamiento para definir qué parte del tratamiento reduce el riesgo inherente de la fórmula del látex. Usted basa el porcentaje de tratamiento en la eficacia esperada de los esfuerzos de tratamiento establecidos, antes de que los controles hayan sido probados para proporcionar aseguramiento:
Resultado
Al ingresar cada porcentaje, se actualiza automáticamente el % de tratamiento para todos los tratamientos asociados con un segmento operativo. Los valores de Calificación de riesgo residual y Grado de riesgo residual también se actualizan automáticamente. En función de los resultados de la evaluación del riesgo residual, puede optar por aceptar o evitar el riesgo.
Determinar el alcance y evaluar los riesgos y controles a nivel de proceso
Con base en los resultados de la evaluación estratégica del riesgo, los equipos de aseguramiento pueden comenzar a planificar y analizar los riesgos y controles a nivel micro o nivel de proceso y a centralizar sus documentos de trabajo y comunicaciones en la aplicación Proyectos. Se puede planificar cada compromiso con antecedentes, objetivos y alcance que enmarcan el reporte final y se pueden adjuntar archivos de planificación, según sea necesario. El equipo de aseguramiento puede cuantificar los riesgos utilizando una escala numérica que se basa en el marco de riesgos que su organización decide seguir, evaluar la eficacia de los controles y registrar los asuntos, presentar datos cuantificados para demostrar cuán efectivos están siendo los controles clave de la organización para mitigar los riesgos operativos esperados y asignar recursos a las áreas con más riesgos.
Consejo
Puede integrar la evidencia de las pruebas de control en Proyectos para agregar los datos de las transacciones al riesgo estratégico en Estrategia y utilizar los datos para respaldar sus recomendaciones a la gerencia ejecutiva y los miembros de la junta.
Ejemplo
Escenario
Como parte del tratamiento del riesgo de la fórmula del látex, debe asegurarse de que el tratamiento esté funcionando; es decir, necesita la seguridad de que el riesgo de la fórmula del látex se trata de manera apropiada y de que no está desperdiciando recursos en procedimientos ineficaces que no mitigan el riesgo.
Proceso
Tema de ayuda Ejecución de procedimientos y pruebas de controles
Para determinar la efectividad del tratamiento, el equipo de aseguramiento prueba cada uno de los procedimientos enumerados en el objetivo Asegúrese de que la seguridad física se mantenga adecuadamente afuera:
- 3-01 Las ventanas deben construirse o cubrirse con materiales que brinden protección contra una entrada forzada. Las ventanas que no tienen estos materiales deben estar protegidas por un sistema de detección de intrusos. El sistema de detección de intrusos alerta a un servicio de respuesta que responde dentro de los 15 minutos.
- 3-02 Los fines de semana, solo las entradas principales de las instalaciones (Sur 1 en Denver (DV1)) y Sur 2 en Los Angeles (LA1)) deben permitir el ingreso de la tarjeta llave.
- 3-03 La vigilancia visual se mantendrá en todo momento fuera del horario laboral.
- 3-04 La iluminación debe tener la intensidad suficiente como para permitir la detección de actividad no autorizada.
El equipo de aseguramiento también pesa cada procedimiento al 25 %, lo que significa que el porcentaje del riesgo que mitiga el procedimiento es del 25 %.
Resultado
El equipo de aseguramiento captura cada evaluación del procedimiento e identifica un asunto como resultado de ejecutar el procedimiento 3-02.
¿Qué sigue?
Aprenda cómo realizar reportes y monitorear los riesgos
Al utilizar una combinación de las aplicaciones Estrategia, Proyectos y Resultados, puede hacer un seguimiento del aseguramiento y de los resultados de las pruebas asociados con los riesgos estratégicos, integrar datos para ayudar a monitorear los riesgos y generar una variedad de reportes para compartir con las partes interesadas relevantes.
Para obtener más información, consulte Reporte y monitoreo del riesgo.
Inscríbase en un curso de Academia
Continúe desarrollando su conocimiento sobre los conceptos presentados en este artículo en STRAT 100.
La Academia es el centro de recursos de capacitación en línea de Diligent. Los usuarios con una suscripción de Diligent One tienen acceso a los cursos de la Academia sin ningún costo. Para obtener más información, consulte Academia.