Informe de gestión de riesgos: elementos y recomendaciones

El informe de gestión de riesgos es una herramienta fundamental para la toma de decisiones en las empresas. Te contamos cómo puedes elaborar uno.

Introducción

En la gestión de riesgos, una herramienta de gran utilidad para las empresas es el informe de gestión, que debe ser elaborado y presentado a la alta dirección por parte del área responsable de este proceso. 

El informe de gestión de riesgos no solo sirve para identificar, analizar y valorar los riesgos y amenazas a los que está expuesta la empresa, que pueden afectar el cumplimiento de los objetivos estratégicos e incluso la sostenibilidad y continuidad del negocio, sino también para que la alta dirección pueda conocer y entender de manera simple cuáles son esos riesgos, qué acciones y controles se han tomado para prevenir su materialización, qué tan efectivos han sido y pueda tomar decisiones oportunas y bien informadas que beneficien a la organización. 

Como recomendación general, es importante que estos informes sean concisos, con la información que realmente necesita conocer la alta dirección, que tengan una estructura y orden claro para facilitar su lectura y comprensión y que incluyan conclusiones y recomendaciones de lo que podrían hacer los directivos. Esto último es esencial para que el informe pueda ser aprovechado de manera efectiva. 

A continuación te contamos  qué tipo de información deberían incluir los profesionales de gestión de riesgos en estos informes, además, te compartimos algunas buenas prácticas y recomendaciones a tener en cuenta para su elaboración. 

Elementos para un informe de gestión de riesgos

Para elaborar un informe de gestión de riesgos, lo primero que hay que saber es que no existe una fórmula o modelo único a aplicar, sin embargo, especialistas y expertos en gestión de riesgos coinciden en que, independiente del sector de la empresa y del tamaño, un buen informe debería considerar, por lo menos, los siguientes elementos:

1. Descripción de la empresa

El responsable de realizar el informe debe tener claridad sobre la misión y visión de la organización, sus valores y el organigrama de la misma, igualmente se recomienda incluir un organigrama de la dirección, área o comité de riesgos.

2. Objetivos estratégicos

Aquí se hace mención no solo de los objetivos estratégicos que tiene la organización sino también de los límites que se tienen. 

Igualmente, considerando la metodología establecida para la gestión de riesgos, se incluyen de forma general los manuales y políticas de procedimientos, las normativas que son aplicables a la empresa y que se deben cumplir para evitar sanciones y afectaciones en la operación, las finanzas y la reputación; y no está de más indicar cuál es el apetito, la tolerancia y la capacidad de riesgo que se tiene. 

Recordemos que el apetito de riesgo es la cantidad de riesgo que cada empresa está dispuesta a asumir para lograr sus objetivos estratégicos; mientras que la tolerancia al riesgo es el nivel aceptable de variación al riesgo que se asume con respecto a un objetivo específico. 

Es fundamental presentar toda esta información de la manera más clara y sencilla posible, para que quienes la lean puedan entenderla sin ningún problema. 

3. Identificación de los riesgos

Se consideran los riesgos a los que está expuesta la empresa: financieros, operacionales, legales, tecnológicos, reputacionales, entre otros. Para esta identificación se recomienda usar herramientas como fichas técnicas, entrevistas estructuradas con los dueños de procesos y listados.

4. Evaluación de los riesgos

Después de identificados los riesgos, lo siguiente es evaluarlos de manera cualitativa y cuantitativa, teniendo en cuenta tanto la probabilidad de ocurrencia como el impacto que tendrían, obteniendo así el riesgo inherente.

5. Controles

Se consideran las acciones y controles preventivos (los que se implementan antes de que suceda un evento de riesgo), detectivos (los que se establecen después de un evento de riesgo para evitar que vuelva a ocurrir) y correctivos (se implementan después de un evento de riesgo y tras la toma de decisiones por parte de los directivos) que se han puesto en marcha en la empresa para prevenir la materialización de los riesgos o mitigar su impacto. Y se revisa qué tan efectivos han sido, si realmente han servido y cumplido su objetivo.

6. Riesgo residual

Con la aplicación de los controles, se obtiene el riesgo residual, que idealmente debería ser auditado internamente. Aquí también es importante incluir la matriz de riesgos, en la que se muestre cómo ha sido el comportamiento de los riesgos después de la aplicación de los controles, es decir, evidenciar tanto la ubicación de los riesgos inherentes como de los riesgos residuales.

7. Toma de decisiones

Este punto le corresponde principalmente a la alta dirección o junta directiva de la organización, quienes establecen los planes de acción a implementar para reducir la probabilidad o el impacto de los riesgos a los que están expuestos.

Además, aquí se recomienda definir cuál es el coste/beneficio que traerá para la empresa asumir, reducir, transferir (por medio de seguros) o eliminar los riesgos, recordando que para eliminarlos se debe dejar de hacer o suprimir un proceso. 

8. Planes de acción

Teniendo en cuenta el punto anterior de toma de decisiones por parte de la alta dirección o junta directiva, se realiza un análisis FODA (fortalezas, oportunidades, debilidades y amenazas) o DAFO y se actualizan los planes de acción establecidos para reducir la probabilidad de ocurrencia o el impacto de los riesgos.

9. Conclusiones y recomendaciones

Sin duda, este es uno de los puntos más importantes del informe. Consiste en un resumen de la gestión realizada y las recomendaciones de lo que se debería hacer para beneficio de la empresa. 

Los profesionales de gestión de riesgos deben orientar a los directivos a la toma de decisiones con respecto a los riesgos, por eso, es clave informarles periódicamente sobre lo que pasa y hacerlo de la manera más clara y estratégica posible. 

Por otro lado, no hay que olvidar que el área de gestión de riesgos es una de las responsables de fomentar la cultura de riesgos y de capacitar al personal para que todos estén involucrados en el proceso y contribuyan de forma genuina a la continuidad del negocio.

Aquí también se podría mencionar las acciones que se pueden tomar o reforzar para cada vez hacer más fuerte la cultura de riesgos. 

Recomendaciones para la elaboración del informe

Adicional a los elementos mencionados anteriormente, al momento de elaborar y presentar un informe de gestión de riesgos es recomendable tener en cuenta los siguientes consejos y buenas prácticas:

• Presentar la información de una manera resumida y clara con los datos que realmente serán de interés y valor para la alta dirección para la toma de decisiones.
  En otras palabras, no es necesario ofrecer muchos detalles de la gestión realizada, los directivos lo que esperan es conocer los resultados de esta gestión, si las acciones ejecutadas están siendo efectivas.
  
  En este sentido, una buena práctica es enfocarse principalmente en los riesgos que son estratégicos para la empresa y escoger entre 10 y 15 de estos para que el informe no sea muy extenso. Hay que ser muy hábiles en saber qué presentar para llamar la atención de la alta dirección.

• Mostrar soluciones y cómo los riesgos han evolucionado (de inherente a residual) gracias a las inversiones y decisiones de la alta dirección, esto significa ser explícitos con la matriz de riesgos, explicar que gracias a determinadas acciones o controles que se han puesto en marcha los riesgos inherentes han pasado de estar, por ejemplo, de un cuadrante moderado a uno bajo.
  
  Esto ayuda a entender a la alta dirección que la gestión de riesgos sí es importante y las inversiones y esfuerzos que se hacen para prevenir los riesgos sí tienen efectos positivos. 
  
  
• Incluir riesgos que pueden ser prioritarios en el mediano y largo plazo y sugerir acciones a implementar para gestionarlo de manera anticipada, especialmente si se requieren recursos adicionales para esto. 
  
  
• Utilizar elementos visuales y gráficas como tortas y barras que ayuden a entender mejor los datos presentados, esto no solo servirá para ser más precisos, sino también para tener un informe más atractivo para la alta dirección, que le brinde datos de valor sobre la gestión que se está haciendo y lo que se ha logrado en un período de tiempo determinado (tres meses, seis meses o un año).
  
  
• Presentar el informe siguiendo una estructura clara y lógica, que permita al lector comprender fácilmente los datos. Una buena manera es hacer una introducción general, desarrollar cada uno de los elementos que componen el informe y finalizar con las conclusiones y recomendaciones que debería poner en marcha la alta dirección y toda la empresa. 
  
  
• Evitar usar términos muy técnicos o exclusivos de los profesionales de gestión de riesgos. Es clave saber transmitir la información de la forma más sencilla posible, que pueda ser entendida sin necesidad de tener a un experto al lado. 

Sumado a todo lo anterior, no está de más recordar que a través de una herramienta tecnológica como Pirani ayudamos a empresas como la tuya a generar de una manera más simple y rápida los reportes relacionados con la gestión de riesgos para la toma oportuna y efectiva de decisiones estratégicas, por ejemplo:

• Perfil de riesgo por procesos
• Perfil de riesgo organizacional
• Solidez de controles
• Eventos según su criticidad
• Eventos por estado

Referencia bibliográfica

1. EALDE Business School. Cómo elaborar un informe de gestión de riesgos
   
2. EALDE Business School. Cómo elaborar un informe de gestión y administración de riesgos
   
3. Escuela Europea de Excelencia. Cómo realizar informes de riesgo eficaces para tomar decisiones informadas
   
4. Curso virtual: Evaluación Estratégica del Riesgo