Al observar hace algunos años como se adopta la gestión de riesgos en una organización, comparto lo señalado en algunas encuestas que señalan que no existe un modelo único de gestión de riesgos para una entidad. Cada cual define su propia gestión de riesgos luego de algunos intentos y de lograr el grado de madurez de su cultura organizacional.
Quienes hemos
experimentado la progresiva implementación de la gestión de riesgos, indudablemente
entendemos que existe una correlación directa respecto a su adopción: tamaño vs la especialización de sus actividades. Por
consiguiente, ésta evoluciona con el ciclo del negocio.
Una cultura de
gestión de riesgos (según el ISO 31000) requiere de la existencia de la siguiente
plataforma:
- Estrategia respecto al riesgo: Su incorporación en la gestión estratégica y definir el apetito al riesgo
- Ambiente organizacional: Sensibilización permanente y medidas de control de desempeño
- Infraestructura de riesgos: Políticas, organización, sistemas
- Proceso de riesgos: Cumplir el establecimiento del contexto, identificación, evaluación, análisis, mitigación del riesgo, control y monitoreo
A propósito del ISO
31000, es un documento práctico que
ayuda a las organizaciones a desarrollar su propio enfoque de gestión de
riesgos. No es un estándar para optar una certificación, son sugerencias para
compararse con las mejores prácticas.
La gestión de riesgos
se refiere a la arquitectura:
- Principios para la gestión de riesgos
- Estructura de soporte o marco de gestión de riesgos
- Proceso de gestión de riesgos
El manejo de riesgos trata
de la aplicación de aquella arquitectura a una entidad en particular.
Para auditar la
gestión de riesgos se debe comprobar que exista documentación que permita
conocer que la gestión de riesgos se conduce apropiadamente, proveer evidencia que
se identifica y analizan los riesgos y
que se divulgue abiertamente la base de incidentes para conocimiento de toda la
organización.
Se debe conocer quienes
son los responsables y los niveles de aprobación para la implementación de la
gestión de riesgos, así como recibir facilidades para el permanente monitoreo y
revisión. Verificar en detalle de las frecuentes revisiones de la gestión de
riesgos como un todo, su monitoreo y adopción de medidas correctivas.
Entre los principales
documentos a revisar se tiene: Política de gestión de riesgos, registros de amenazas
y evaluación de riesgos, programa de tratamiento de los riesgos y plan de
acción para mitigar riesgos, entre otros.
Un programa de
riesgos debe permitir conocer ¿Quién tiene la responsabilidad de la
implementación del plan? ¿Qué recursos se van a emplear? ¿Qué presupuesto se
asignó? ¿Cuál es el cronograma de implementación? ¿Cuáles son los detalles del mecanismo y
frecuencia de la revisión del cumplimiento del plan de tratamiento de los
riesgos?
Usualmente, los
factores que dificultan o demoran la implementación de la gestión de riesgos se
deben a:
- Enfoque de gestión de riesgos diseñado en forma deficiente
- Dificultad para lograr la sensibilización de la cultura de riesgos en todos los niveles
- Recursos humanos y técnicos deficientes para implementar la gestión de riesgos
- Incapacidad de mantener y sostener impulso del proyecto de gestión de riesgos
- Dificultad para entender que la gestión de riesgos es integral y su supervisión resulta ineficaz
No hay comentarios:
Publicar un comentario