Cómo realizar una estrategia para gestionar riesgos

En esta sesión Jonathan Barbosa, experto en gestión de riesgos en Pirani, nos enseña los fundamentos de la ISO 31000, el enfoque integrado de gestión de riesgos, la estrategia para riesgos operativos, estrategia para riesgos de seguridad de la información y estrategia para AML (Prevención del lavado de activos), además nos da ejemplos reales del sector financiero en LATAM, concluyendo con recomendaciones para gestionar riesgos.

Fundamentos de la ISO 31000

• Principios: Creación de valor, integración en los procesos, toma de decisiones informada, transparencia, adaptabilidad.

• Marco de trabajo: Liderazgo y compromiso, integración, diseño, implementación, evaluación y mejora.
  
  
• Proceso de gestión de riesgos: Identificación, análisis, evaluación, tratamiento, monitoreo, revisión y comunicación.

Enfoque Integrado de Gestión de Riesgos

• Gobernanza del riesgo: Política clara, comité de riesgos, roles y responsabilidades.

• Clasificación del riesgo: Operacional, tecnológico, legal, reputacional, etc.
  
  
• Metodologías: Matrices de impacto y probabilidad, análisis cualitativo y cuantitativo, indicadores clave de riesgo (KRIs).

Estrategia para Gestión de Riesgos Operativos

Enfoque ISO 31000:

• Identificar procesos críticos (ej. pagos, compensaciones, créditos).

• Evaluar controles existentes.

• Establecer KRI’s (ej: errores de conciliación, tiempos fuera de SLA).

• Planes de continuidad y recuperación.

Ejemplo real

Bancolombia implementó un modelo de mapeo de procesos críticos y creó un tablero de control de incidentes operativos. Esto permitió reducir en un 22% las fallas operativas en procesos de crédito en 1 año.

Estrategia para Gestión de Riesgos de Seguridad de la Información

Enfoque ISO 31000 + ISO 27001:

• Identificar activos de información.
• Evaluar amenazas: phishing, ransomware, fuga de datos.
• Clasificar los riesgos según impacto (ej: filtración de datos de clientes).
• Implementar controles técnicos, administrativos y físicos.

Ejemplo real

Banco de Bogotá adoptó una estrategia basada en NIST + ISO 31000, logrando una mejora del 35% en su nivel de madurez en ciberseguridad en dos años, con simulacros constantes y monitoreo 24/7.

Estrategia para Gestión de Riesgos AML (Prevención del Lavado de Activos)

Enfoque ISO 31000 + normativa local (UIAF, GAFILAT):

• Identificación de clientes (KYC) y beneficiarios finales.
• Segmentación por niveles de riesgo.
• Monitoreo transaccional en tiempo real.
• Reportes de operaciones sospechosas (ROS).
• Capacitación y auditoría continua.

Ejemplo real

Davivienda fortaleció su sistema AML implementando inteligencia artificial para analizar patrones transaccionales. Esto permitió detectar alertas tempranas que antes pasaban inadvertidas, elevando la eficiencia en un 40%.

Conclusión y Recomendaciones

• La ISO 31000 proporciona un marco versátil adaptable a múltiples tipos de riesgo.
• Es fundamental integrar los riesgos operativos, tecnológicos y de cumplimiento en un mismo modelo de gestión.
• Usar tecnología como aliada, desde BI hasta IA, mejora la detección y tratamiento.
• La capacitación y cultura organizacional son elementos claves para que la gestión de riesgos sea efectiva.

Complementa tu conocimiento 👇