Conoce por qué es importante que las organizaciones, de cualquier industria y tamaño, tengan un Sistema Integrado de Gestión de Riesgos y qué deben hacer para tenerlo.
En la mayoría de las organizaciones, no importa la industria a la que pertenezcan, es común encontrar sistemas de gestión de riesgos aislados y con diferentes metodologías, es decir, no hay un único sistema que integre los distintos tipos de riesgos a los que están expuestas y por eso, la gestión se hace de forma independiente.
Cuando existen varias metodologías para gestionar cada sistema de riesgos en una organización (riesgos operacionales, riesgos de seguridad de la información, riesgos de seguridad y salud en el trabajo, riesgos de cumplimiento normativo, riesgos de lavado de activos y financiación del terrorismo, entre otros) pueden presentarse algunas dificultades que van a afectar la efectividad de la gestión.
Por ejemplo, de acuerdo con Geraldin Ariza, experta en gestión de riesgos en Pirani, no tener una misma metodología en todos los sistemas dificulta la cultura de gestión de riesgos, pues los empleados que no tienen un rol en las áreas de riesgos deberán conocer diferentes formas de identificación y calificación de los riesgos, según cada sistema, y esto va afectar más su participación e involucramiento en la gestión.
Adicionalmente, el no tener una metodología única para todos los sistemas, no están integrados entre sí, hace que no haya un único apetito de riesgo ni un perfil de riesgo único. En otras palabras, cada sistema tiene un lenguaje diferente, no se comunica con los otros y esto puede entorpecer la toma de mejores decisiones para el beneficio de toda la organización.
Teniendo en cuenta lo anterior, a continuación te contamos por qué es importante que las organizaciones apuesten por un Sistema Integrado de Gestión de Riesgos (SIGR), cuáles son las ventajas de tenerlo y qué pasos y recomendaciones deben tener en cuenta para lograr la integralidad del sistema.
Hay varias razones por las que es importante que las organizaciones tengan un Sistema Integrado de Gestión de Riesgos, pero antes de conocer algunas de estas, lo primero es saber que un SIGR consiste en tener una misma estructura y metodología para la identificación, evaluación, control y monitoreo de todos los riesgos a los que está expuesta la organización.
Gracias al SIGR es posible tener un único marco de trabajo para la gestión eficiente y efectiva de los riesgos, desde los operacionales hasta los de lavado de dinero y financiamiento del terrorismo, logrando con esto una visión completa e integral para tomar mejores decisiones que sirvan para hacerles frente y evitar impactos negativos en la operación y la continuidad del negocio.
Algunas de las razones por las que es importante contar con un Sistema Integrado de Gestión de Riesgos son:
Ya que conoces sobre la importancia que tiene para las organizaciones contar con un SIGR, veamos algunas de las ventajas y beneficios que trae este sistema para la gestión de riesgos.
Adicional a las anteriores ventajas, Geraldin destaca que un Sistema Integrado de Gestión de Riesgos igualmente es un punto a favor a la hora de certificarse en diferentes normas, por ejemplo, la norma ISO 9001.
Si bien esta es una norma de calidad, para obtener la certificación, entre otras cosas, es necesario tener identificados los riesgos en todos los procesos de la organización y gestionarlos adecuadamente. Y una manera de garantizar esto es a través del SIGR.
Por otro lado, tener un sistema integrado de gestión también facilita la identificación de riesgos en las estrategias organizacionales, es decir, permite revisar y validar si una estrategia es viable o no para la empresa, independientemente del área que sea porque se consideran todos los tipos de riesgos. El objetivo es poder cumplir la estrategia planteada y para lograrlo, es necesario considerar todos los posibles escenarios.
Y por si todo esto fuera poco, tener un Sistema Integrado de Gestión de Riesgos también ayuda a mejorar la imagen y reputación organizacional, pues es una forma de demostrar y generar confianza entre los diferentes grupos de interés porque la empresa está comprometida con una gestión responsable, eficiente y efectiva de los riesgos de todas sus áreas, procesos y actividades.
Bonus: en varios países los entes reguladores están buscando que las organizaciones tengan sistemas integrados de gestión de riesgos, es un tema que en poco tiempo será regulatorio para muchas entidades. Por eso, la recomendación es comenzar a trabajar en esto desde ya.
Una vez conocidas las principales ventajas y beneficios de tener un SIGR, estos son las acciones o pasos a seguir para contar con este sistema en las organizaciones:
Como ocurre con cualquier sistema de gestión, para que el sistema integrado cumpla con sus objetivos y sea exitoso, es necesario que la alta gerencia o alta dirección de la organización esté comprometida con la implementación, seguimiento y mejora continua de este.
Este compromiso implica la asignación de los recursos necesarios para el sistema, así como tener claridad de las metas y objetivos esperados con el SIGR, como lo son la prevención y mitigación de todos los riesgos que pueden impactar en la continuidad y reputación del negocio.
Para que el SIGR funcione correctamente es fundamental crear un comité de gestión de riesgos, que esté conformado por un representante de cada uno de los sistemas de gestión de la organización (riesgos operacionales, de seguridad de la información, de seguridad y salud en el trabajo, de cumplimiento normativo, de lavado de activos y financiación del terrorismo, etc.) o líderes de los procesos.
Este comité es el encargado de asegurar que la gestión de riesgos sea integral, que todas las áreas y procesos hablen el mismo idioma de gestión y busquen los mismos objetivos. A través del comité se define la metodología a utilizar para la gestión de riesgos, así como las políticas y procedimientos a seguir para que todos estén coordinados y debidamente integrados.
Es uno de los pasos fundamentales para lograr tener un sistema integrado. El comité o la gerencia de riesgos deben definir con base a qué norma o estándar internacional van gestionar los riesgos, por ejemplo, si van a basarse en la ISO 31000 o en COSO, o si van a tener una metodología propia.
La elección de la metodología es lo que va a permitir identificar, evaluar, controlar y monitorear todos los riesgos de la misma manera, sin importar el área o proceso, y esto garantiza que haya integralidad: que todos usen los mismos parámetros y criterios de gestión.
Hay que tener en cuenta que no existe una metodología mejor que otra, lo importante es que cada organización sepa adaptarla a su contexto y necesidades específicas y como explica Juan David Parra, Gerente de Customer Success en Pirani, “que sepa argumentar por qué su matriz de riesgos, por ejemplo, es de 3x3 o 4x4, por qué escoge unos criterios de calificación de controles sobre otros y cómo todo se ajusta a su contexto interno y externo y a su estrategia organizacional”.
Una vez definida la metodología que se va a utilizar, lo siguiente es identificar todos los riesgos en las diferentes áreas y procesos de la organización, tanto internos como externos. Para esto es necesario involucrar a representantes de cada proceso y se pueden utilizar técnicas como el análisis FODA (fortalezas, oportunidades, debilidades y amenazas), consulta a expertos, los 5 por qué, entre otras.
Y la evaluación y calificación de los riesgos identificados se hace teniendo en cuenta tanto la probabilidad de ocurrencia como el impacto que tendrían en caso de materializarse. Esta evaluación debe considerar los criterios y variables establecidas en la metodología y los riesgos con mayor calificación (nivel de riesgo) serán los prioritarios del sistema.
Los controles deben permitir la prevención o la mitigación de los riesgos, cada uno de estos debe ser el apropiado para cada tipo de riesgo e igualmente, debe estar debidamente integrado con los diferentes procesos de la organización, una vez más, la coordinación y comunicación son claves.
La comunicación del sistema a todas los empleados, así como la capacitación sobre cómo identificar riesgos y contribuir al cumplimiento de las medidas de control son claves para que el sistema funcione adecuadamente.
Llevar a cabo estas acciones de forma constante, creativa y práctica para todos servirá para lograr conciencia en el personal sobre la importancia de gestionar integralmente los riesgos y promover una cultura de riesgos que sea efectiva.
El monitoreo y el seguimiento del SIGR debe hacerse para conocer cómo se están comportando los riesgos, si hay nuevos riesgos que afecten a toda la organización, si las medidas de control implementadas están siendo efectivas o es necesario hacer ajustes o cambios.
Igualmente, esta etapa permite conocer detalles de la gestión realizada y con base en los resultados tomar decisiones para beneficio de la organización, por ejemplo, fortalecer los controles, adquirir pólizas, aumentar el presupuesto para la gestión, etc.
El SIGR debe ser un elemento vivo, que se actualiza constantemente y a partir de los datos y resultados obtenidos busca mejorar para responder a las necesidades de la organización y a los desafíos del entorno, solo así es posible lograr una gestión efectiva de los diferentes tipos de riesgos que enfrenta la empresa.
Si bien la implementación de un Sistema Integrado de Gestión de Riesgos puede ser un proceso complejo para las organizaciones, apoyarse en herramientas tecnológicas como un software de gestión de riesgos puede servir mucho para lograrlo.
Con Pirani, por ejemplo, las organizaciones de cualquier industria y tamaño pueden gestionar de manera integral y en una única plataforma los riesgos operacionales, los riesgos de lavado de activos y financiación del terrorismo, los riesgos de seguridad de la información y los riesgos de cumplimiento normativo a los que están expuestas.
Los cuatro sistemas de gestión de Pirani (ORM, AML, ISMS y Compliance) tienen las etapas esenciales para la gestión de riesgos: identificación, evaluación, control y monitoreo. En cada uno se ofrece la misma experiencia, no están aislados entre sí y hay una clara continuidad entre estos.
Además, en Pirani los procesos son transversales, es decir, son los mismos para todos: están integrados, no cambian entre un sistema y otro; esto es necesario para que todos apunten hacia los mismos objetivos estratégicos.
Al ser una herramienta fácil de usar y de parametrizar, se logra involucrar de una mejor manera a todos los colaboradores con la gestión de los riesgos: pueden reportar eventos, identificar riesgos y contribuir al cumplimiento de los controles por medio de planes de acción. Esto también ayuda a reforzar la cultura de gestión de riesgos.
Todos estos reportes ofrecen información de valor que ayuda a facilitar la toma de mejores decisiones para el sistema integrado y para el beneficio de la organización.
¿Ya conoces el software de gestión de riesgos de Pirani? Crea tu cuenta gratis y conoce cómo podemos ayudarte a tener un Sistema Integrado de Gestión de Riesgos.
Para que tu organización pueda tener un buen Sistema Integrado de Gestión de Riesgos, ten en cuenta y pon en práctica estas recomendaciones adicionales que te comparten Geraldin Ariza y Juan David Parra del equipo de Customer Success de Pirani.
Solicita ayuda aquí si eres cliente →
Somos Pirani → 
