El informe de gestión de riesgos es una herramienta fundamental para la toma de decisiones en las empresas. Te contamos cómo puedes elaborar uno.
En la gestión de riesgos, una herramienta de gran utilidad para las empresas es el informe de gestión, que debe ser elaborado y presentado a la alta dirección por parte del área responsable de este proceso.
El informe de gestión de riesgos no solo sirve para identificar, analizar y valorar los riesgos y amenazas a los que está expuesta la empresa, que pueden afectar el cumplimiento de los objetivos estratégicos e incluso la sostenibilidad y continuidad del negocio, sino también para que la alta dirección pueda conocer y entender de manera simple cuáles son esos riesgos, qué acciones y controles se han tomado para prevenir su materialización, qué tan efectivos han sido y pueda tomar decisiones oportunas y bien informadas que beneficien a la organización.
Como recomendación general, es importante que estos informes sean concisos, con la información que realmente necesita conocer la alta dirección, que tengan una estructura y orden claro para facilitar su lectura y comprensión y que incluyan conclusiones y recomendaciones de lo que podrían hacer los directivos. Esto último es esencial para que el informe pueda ser aprovechado de manera efectiva.
A continuación te contamos qué tipo de información deberían incluir los profesionales de gestión de riesgos en estos informes, además, te compartimos algunas buenas prácticas y recomendaciones a tener en cuenta para su elaboración.
Para elaborar un informe de gestión de riesgos, lo primero que hay que saber es que no existe una fórmula o modelo único a aplicar, sin embargo, especialistas y expertos en gestión de riesgos coinciden en que, independiente del sector de la empresa y del tamaño, un buen informe debería considerar, por lo menos, los siguientes elementos:
El responsable de realizar el informe debe tener claridad sobre la misión y visión de la organización, sus valores y el organigrama de la misma, igualmente se recomienda incluir un organigrama de la dirección, área o comité de riesgos.
Aquí se hace mención no solo de los objetivos estratégicos que tiene la organización sino también de los límites que se tienen.
Igualmente, considerando la metodología establecida para la gestión de riesgos, se incluyen de forma general los manuales y políticas de procedimientos, las normativas que son aplicables a la empresa y que se deben cumplir para evitar sanciones y afectaciones en la operación, las finanzas y la reputación; y no está de más indicar cuál es el apetito, la tolerancia y la capacidad de riesgo que se tiene.
Recordemos que el apetito de riesgo es la cantidad de riesgo que cada empresa está dispuesta a asumir para lograr sus objetivos estratégicos; mientras que la tolerancia al riesgo es el nivel aceptable de variación al riesgo que se asume con respecto a un objetivo específico.
Es fundamental presentar toda esta información de la manera más clara y sencilla posible, para que quienes la lean puedan entenderla sin ningún problema.
Se consideran los riesgos a los que está expuesta la empresa: financieros, operacionales, legales, tecnológicos, reputacionales, entre otros. Para esta identificación se recomienda usar herramientas como fichas técnicas, entrevistas estructuradas con los dueños de procesos y listados.
Después de identificados los riesgos, lo siguiente es evaluarlos de manera cualitativa y cuantitativa, teniendo en cuenta tanto la probabilidad de ocurrencia como el impacto que tendrían, obteniendo así el riesgo inherente.
Se consideran las acciones y controles preventivos (los que se implementan antes de que suceda un evento de riesgo), detectivos (los que se establecen después de un evento de riesgo para evitar que vuelva a ocurrir) y correctivos (se implementan después de un evento de riesgo y tras la toma de decisiones por parte de los directivos) que se han puesto en marcha en la empresa para prevenir la materialización de los riesgos o mitigar su impacto. Y se revisa qué tan efectivos han sido, si realmente han servido y cumplido su objetivo.
Con la aplicación de los controles, se obtiene el riesgo residual, que idealmente debería ser auditado internamente. Aquí también es importante incluir la matriz de riesgos, en la que se muestre cómo ha sido el comportamiento de los riesgos después de la aplicación de los controles, es decir, evidenciar tanto la ubicación de los riesgos inherentes como de los riesgos residuales.
Este punto le corresponde principalmente a la alta dirección o junta directiva de la organización, quienes establecen los planes de acción a implementar para reducir la probabilidad o el impacto de los riesgos a los que están expuestos.
Además, aquí se recomienda definir cuál es el coste/beneficio que traerá para la empresa asumir, reducir, transferir (por medio de seguros) o eliminar los riesgos, recordando que para eliminarlos se debe dejar de hacer o suprimir un proceso.
Teniendo en cuenta el punto anterior de toma de decisiones por parte de la alta dirección o junta directiva, se realiza un análisis FODA (fortalezas, oportunidades, debilidades y amenazas) o DAFO y se actualizan los planes de acción establecidos para reducir la probabilidad de ocurrencia o el impacto de los riesgos.
Sin duda, este es uno de los puntos más importantes del informe. Consiste en un resumen de la gestión realizada y las recomendaciones de lo que se debería hacer para beneficio de la empresa.
Los profesionales de gestión de riesgos deben orientar a los directivos a la toma de decisiones con respecto a los riesgos, por eso, es clave informarles periódicamente sobre lo que pasa y hacerlo de la manera más clara y estratégica posible.
Por otro lado, no hay que olvidar que el área de gestión de riesgos es una de las responsables de fomentar la cultura de riesgos y de capacitar al personal para que todos estén involucrados en el proceso y contribuyan de forma genuina a la continuidad del negocio.
Aquí también se podría mencionar las acciones que se pueden tomar o reforzar para cada vez hacer más fuerte la cultura de riesgos.
Adicional a los elementos mencionados anteriormente, al momento de elaborar y presentar un informe de gestión de riesgos es recomendable tener en cuenta los siguientes consejos y buenas prácticas:
Sumado a todo lo anterior, no está de más recordar que a través de una herramienta tecnológica como Pirani ayudamos a empresas como la tuya a generar de una manera más simple y rápida los reportes relacionados con la gestión de riesgos para la toma oportuna y efectiva de decisiones estratégicas, por ejemplo:
Solicita ayuda aquí si eres cliente →
Somos Pirani → 
