En esta guía podrás conocer los pasos básicos que debes seguir para comenzar a gestionar riesgos gratis de una manera más simple y eficiente a través de los sistemas de gestión de riesgos de Pirani: ORM (riesgos operacional), AML (riesgos de lavado de activos y financiación del terrorismo), ISMS (riesgos de seguridad de la información) y Compliance (riesgos de cumplimiento normativo).
En un mundo donde los cambios son permanentes, la gestión de riesgos cada vez más debe ser un proceso estratégico para todas las organizaciones, independientemente de su tamaño y del sector al que pertenecen.
Gestionar los riesgos, en general, consiste en poder identificar, evaluar, controlar y monitorear los diferentes riesgos a los que está expuesta una organización, por ejemplo, riesgos financieros, riesgos operacionales, riesgos de cumplimiento normativo, riesgos de seguridad de la información y ciberseguridad, entre muchos otros.
Pero más allá de estas cuatro acciones clave, el propósito de la gestión de riesgos es la creación y la protección de valor de la organización, es decir, debe servir para tomar decisiones informadas, mejorar el desempeño, fomentar la innovación, contribuir al logro de los objetivos estratégicos, proteger la reputación y aportar a la sostenibilidad y continuidad del negocio.
Conscientes de esto, desde Pirani buscamos que cada vez más empresas en todo el mundo entiendan la importancia de gestionar sus riesgos, una estrategia que debe partir de la alta dirección e involucrar a todo el personal para realmente generar valor y evitar que los riesgos generen grandes impactos en la operación, las finanzas, la reputación y la continuidad.
A través de nuestro software de gestión de riesgos queremos acompañar a las organizaciones grandes, medianas o pequeñas y de cualquier sector a hacer más simple y eficiente este proceso, que puedan tomar decisiones de manera oportuna y proteger lo que más les importa.
En Pirani tenemos diferentes planes que se ajustan al nivel de madurez de gestión de riesgos de las empresas. Para aquellas que recién están empezando con este proceso o van a hacerlo, nuestro plan Free es la mejor opción porque de manera general van a poder identificar procesos y factores de riesgo, evaluar riesgos teniendo en cuenta su frecuencia e impacto y establecer controles que sirvan para su mitigación.
A continuación, podrás conocer cuáles son los pasos básicos que debes seguir para empezar a gestionar riesgos en Pirani con nuestro plan Free, que te permite hacerlo de manera indefinida y gratuita.
Para que aproveches al máximo todas las funcionalidades que te ofrecemos en Pirani con el plan Free, pon en práctica los siguientes pasos básicos que te ayudarán a realizar la gestión de riesgos de tu organización de manera simple y eficiente.
Pasos que debes seguir
A continuación te contamos en detalle qué debes hacer en cada uno de estos pasos.
Lo primero que debes hacer para gestionar riesgos en Pirani es crear tu cuenta de usuario. Hacerlo es muy fácil, solo debes ingresar datos como:
Das clic en Crear cuenta gratis y para poder darte de alta en el software, debes verificar tu cuenta a través del correo electrónico que te enviamos de manera automática. Una vez lo hagas, ¡ya tienes tu cuenta y podrás continuar con el siguiente paso!
Crea tu cuenta gratis en Pirani
En este paso debes ingresar información básica sobre tu organización. Con esto, podremos entregarte un servicio más especializado y que se ajuste al contexto de tu empresa.
Algunos datos que debes completar son:
Cuando completes esta información, ¡ya está todo listo para que empieces a usar el plan Free del sistema de gestión que elegiste (ORM - AML - ISMS o Compliance)!
En este tercer paso son importantes varias acciones:
Pirani te permite crear diferentes roles en tu organización. Según los roles que definas, los usuarios que invites a gestionar riesgos podrán crear, editar o eliminar información en el software (procesos, riesgos, controles, etc.).
Igualmente, puedes crear grupos de responsables para controlar el acceso a la información, es decir, según el grupo al que pertenece un usuario solo podrá acceder a información específica. Por ejemplo, si un usuario hace parte del grupo “Gestión humana”, solo puede acceder a la información sobre procesos, riesgos o controles que esté asociada con este grupo.
Tener diferentes grupos de responsables permite establecer con claridad quiénes pueden acceder a qué tipo de información dentro del software. La idea es que la mayoría de los usuarios solo puedan gestionar y consultar la información que les compete.
Ten en cuenta que en el plan Free puedes tener 5 usuarios, por eso, vas a poder invitar a 4 personas de tu organización para que te ayuden a gestionar los riesgos a los que están expuestos.
Invitar usuarios es muy fácil: solo debes ingresar el correo electrónico de la o las personas que van a participar en la gestión de riesgos de tu organización y asignarles un rol (el software tiene 2 roles establecidos: Administrador y Operador, los otros roles son los que tú crees).Una vez lo hagas, los usuarios recibirán un correo para que se puedan unir y gestionar los riesgos.
Esta acción de invitar a otras personas de tu organización la puedes realizar en cualquier momento. Eso sí, ten presente que no se trata solo de habilitarlos en el software: es importante capacitarlos periódicamente en temas de gestión de riesgos y en el adecuado uso de la plataforma.
Los procesos y los factores de riesgo son el insumo principal para gestionar riesgos, es decir, estos te ayudan a dar el contexto inicial para realizar la gestión, que consiste en las etapas de identificación, evaluación, control y monitoreo de los riesgos.
Entonces, en este punto lo que debes hacer es crear toda la estructura de procesos de tu organización. Y si el sistema de gestión que elegiste es diferente a ORM (riesgos operacionales), debes crear también las fuentes de riesgo correspondientes:
Todo esto hace parte del contexto porque te permite identificar los procesos y los factores relacionados sobre los cuales vas a gestionar los riesgos de tu organización.
Para crear tus procesos en el software, debes ingresar información general como:
También puedes adjuntar evidencia y asociar cada uno de los procesos a los grupos de responsables que hayas creado. Y si tu sistema de gestión es ISMS, puedes asociar los procesos a activos de información específicos; o si es Compliance, asociarlos a las normas.
Por otro lado, para crear las fuentes de riesgo de los sistemas AML, ISMS o Compliance tienes que completar la información requerida. En el caso de los activos de información (ISMS), por ejemplo, algunos datos que debes especificar son:
Y en el caso de las normas en Compliance, la información general a ingresar es:
En estos factores de riesgo (activos de información en ISMS y normas en Compliance) calificar la criticidad es importante porque te ayudará a priorizar los que tienen un mayor impacto en la organización y a su vez, a enfocar de mejor manera los esfuerzos y recursos en aquello que es más crítico y prioritario.
Para resumir, en este tercer paso de creación del contexto de la organización, en el plan Free de Pirani vas a poder crear roles y grupos de responsables, invitar a miembros de tu organización a que te apoyen en la gestión de los riesgos y crear la estructura de procesos y fuentes o factores de riesgo aplicables según el sistema seleccionado.
Luego de crear los procesos y factores de riesgo específicos (si tu sistema es otro diferente a ORM), en este paso debes identificar los riesgos a los que estos están expuestos. Existen diferentes técnicas para realizar esta identificación, por ejemplo:
Con respecto a este último, en Pirani, gracias a la integración de ChatGPT puedes obtener fácilmente sugerencias de riesgos. Solo debes seleccionar la industria a la que pertenece tu organización y un proceso específico para obtener una lista de riesgos sugeridos que puedes considerar en tu gestión.
Una empresa de telecomunicaciones, por ejemplo, en el proceso de servicio al cliente podría tener en cuenta riesgos como:
Para la creación y evaluación o medición de los riesgos identificados, debes agregar la siguiente información en el software:
Ten en cuenta que en el plan Free vas a tener un mapa de calor de 5x5 con unas variables de frecuencia e impacto ya definidas, así como una colorimetría para los niveles de riesgo. En este plan no puedes modificar los nombres ni pesos de las variables de impacto y frecuencia, tampoco los colores establecidos.
Una vez que agregues esta información sobre el riesgo y lo hayas calificado, puedes asociarlo a un responsable y a los procesos o factores de riesgo que creaste anteriormente, es decir, activos de información, normas o factores de riesgo LAFT.
Especificar estas asociaciones es importante porque te permite tener la información estructurada y organizada para que los datos no estén aislados y sean consistentes para la toma de decisiones.
Todo lo anterior (identificación, evaluación y asociación o vinculación de los riesgos) te va a permitir conocer claramente cuáles son los riesgos inherentes de los procesos o factores de riesgo y conocer el nivel de exposición de tu organización.
Existen diferentes formas de tratar los riesgos: aceptarlos, transferirlos, mitigarlos o eliminarlos, esta última implica la eliminación del proceso o del factor de riesgo como tal que puede generarlo.
Aquí es importante que establezcas la estrategia de tratamiento para cada riesgo. En el caso de la mitigación, en Pirani vas a poder definir y asociar controles que te permitan disminuir la probabilidad de ocurrencia o mitigar el impacto si se materializa el riesgo.
Para crear los controles para la mitigación de los riesgos de tu organización, en este paso debes tener en cuenta:
La calificación del diseño y de la ejecución del control te permite conocer qué tan sólido es el control, es decir qué tan fuerte es para proteger la organización contra la ocurrencia del riesgo o el impacto de este.
Para saber cuál es la solidez de los controles que definas, en el software debes calificar unos criterios específicos (ya están definidos) tanto en el diseño como en la ejecución:
La calificación de estos criterios te permite describir cómo está diseñado el control y según esto, obtener una valoración y un porcentaje de la solidez.
Estos criterios lo que te permiten es evaluar el control cuando ya está siendo ejecutado. Vas a conocer si el control que diseñaste se está ejecutando de la manera esperada, en otras palabras, si el diseño del control es realmente efectivo o no: cumple o no cumple con su objetivo de mitigación.
Ten en cuenta que cuando la solidez de un control es baja, el porcentaje de mitigación o contención del riesgo seguramente será bajo; en cambio, si tiene una solidez alta, la probabilidad de efectividad de ese control va a ser mayor.
Adicionalmente, al igual que ocurre con los procesos o factores de riesgo que tengas creados, en los controles puedes asociar responsables y riesgos específicos. Y recuerda que cuando vinculas un control a un riesgo, vas a obtener el riesgo residual, que es el riesgo que queda después de aplicar controles.
En resumen, los controles que definas en este paso deben servirte para mitigar la ocurrencia de los riesgos o su impacto y pueden considerarse como efectivos cuando cumplan con su objetivo.
un ejemplo de control para el riesgo de insatisfacción del cliente debido a una atención inadecuada en la empresa de telecomunicaciones, identificado en el paso anterior, puede ser realizar capacitaciones periódicas a los empleados en temas de servicio al cliente.
Al calificar los criterios de diseño en el software, este control tiene una calificación fuerte (85%) y en la ejecución también (100%). Así, la calificación total de este control es del 92.5%, lo que quiere decir que se ejecuta correctamente.
Para la adecuada gestión de riesgos de tu organización en el plan Free de Pirani, en este último paso es necesario que realices un monitoreo continuo del sistema de gestión.
Esto quiere decir que después de tener todos los procesos, fuentes de riesgo, riesgos y controles para su mitigación, debes hacerles seguimiento para conocer cómo evoluciona la gestión y poder tomar decisiones oportunas sobre estos, por ejemplo, si hay que agregar nuevos riesgos, si es necesario modificar los controles o crear unos nuevos porque los que hay no están siendo efectivos.
En general, este paso se trata de hacer un seguimiento a todo lo que se ha creado en el software y con base en esto, tomar decisiones informadas. Aquí es importante que tu organización establezca unas políticas claras de monitoreo al sistema de gestión, por ejemplo, cada cuánto lo van a realizar y quiénes son los principales responsables de hacerlo.
Y una de las mejores formas de realizar este seguimiento / monitoreo es a través del mapa del calor que puedes ver en el Dashboard del software. Aquí encuentras todos los riesgos que hayas creado y puedes ver su ubicación inherente y residual (después de los controles), lo que te permite saber el estado de los riesgos de tu organización y si la gestión realizada está siendo efectiva.
Finalmente, tienes que saber que el monitoreo sí o sí debe ser permanente porque es lo que te va a permitir mantener actualizado tu sistema de gestión de riesgos al poder incluir nuevos procesos, factores de riesgo, riesgos o controles que respondan a los cambios del mercado y a la realidad de tu organización.
Con toda esta información que te hemos compartido en esta Guía básica para usar un software de gestión de riesgos, es momento de que comiences a gestionar los riesgos de tu organización con el plan Free de Pirani, con el que vas a poder:
Solicita ayuda aquí si eres cliente →
Somos Pirani → 
