¿Por qué son importantes los controles en la gestión de riesgos?

Controles: utilidad y tipos

En general, los controles son medidas que se diseñan e implementan con el fin de reducir o mitigar los riesgos en su probabilidad o impacto, es decir, por un lado ayudan a prevenir que los riesgos a los que está expuesta la organización se materialicen y por otro, en caso de presentarse los riesgos, sirven para disminuir el impacto o las consecuencias generadas por estos.

Los controles pueden ser principalmente de tres tipos: preventivos, detectivos y correctivos. 

• Preventivos: son aquellos que sirven para reducir la probabilidad de ocurrencia o modificar la causa del riesgo. Se implementan antes de que ocurra un evento de riesgo, en otras palabras, son los que sirven para evitar / prevenir el riesgo.

• Detectivos: este tipo de controles sirven para detectar inconsistencias o generar alertas tempranas de que algo no está bien. 

• Correctivos: son los que se implementan para mitigar el impacto causado por la materialización del riesgo. Se ejecutan durante o después de que este se presenta. 

Diseño, ejecución y solidez de los controles

Antes de definir y diseñar los controles para la mitigación de los riesgos, recuerda que debes valorar o calificar los riesgos tanto en su probabilidad como en su impacto. Hacerlo te permitirá conocer su criticidad y con base en esto, priorizar los riesgos y los controles a implementar. 

Una vez tengas claridad de los diferentes riesgos inherentes, puedes crear los controles que te ayudarán a mitigarlos, para hacerlo ten en cuenta:

• Nombre del control.
• Calificación del diseño del control.
• Calificación de la ejecución del control.
• Descripción del control.  

La calificación del diseño y de la ejecución del control son para conocer qué tan sólido es, es decir, qué tan fuerte es el control para proteger la organización contra la ocurrencia del riesgo o el impacto que causaría si se materializa. 

Para calificar el diseño del control es importante considerar criterios como:

• Tipo de control: Correctivo - Detectivo - Preventivo.
• Tipo de ejecución: Manual - Combinado - Automático.
• ¿El control se ejecuta con frecuencia?: Sí - No.
• ¿El control está documentado?: Documentado - Parcialmente documentado - Sin documentar.
• ¿El control tiene evidencia?: Sí - No.
• ¿El control tiene responsables asociados?: Sí - No.

Calificar estos criterios, a partir de unos pesos y porcentajes, te permite describir cómo está diseñado el control y según esto, obtener una valoración de la solidez del mismo. 

Y para calificar la ejecución del control debes tener presente criterios como:

• ¿Se han presentado eventos?: Sí - No.
• ¿El diseño del control es efectivo?: Sí - No.
• ¿La evidencia es efectiva?: Sí - No.

Estos criterios lo que te permiten es evaluar el control cuando ya está siendo ejecutado. Vas a conocer si el control se está ejecutando de la manera esperada, en otras palabras, si el control que diseñaste y tienes implementado es realmente efectivo o no: cumple o no cumple con su objetivo de mitigación. 

Es importante que sepas que cuando la solidez de un control es baja, el porcentaje de mitigación o contención del riesgo seguramente será bajo; en cambio, si tiene una solidez alta, la probabilidad de efectividad de ese control será mayor.

De esta manera, tanto el diseño como la ejecución del control son claves para determinar la solidez de los controles que implementes en tu organización para prevenir la materialización de los riesgos o para mitigar sus impactos si se presentan. 

Y recuerda que una vez apliques los controles, vas a obtener el riesgo residual, que es el nivel de riesgo que permanece después de darles un tratamiento. 

En Pirani puedes crear de manera simple y rápida controles efectivos para la prevención y mitigación de los riesgos a los que está expuesta tu organización (operacionales, riesgos LAFT, de seguridad de la información, de cumplimiento normativo, etc.). 

Crea tu cuenta ahora y comienza a gestionar los riesgos en nuestro plan Free, que entre otras cosas te permite identificar y crear procesos, identificar y evaluar los riesgos en su frecuencia e impacto, definir controles para la prevención y mitigación de los riesgos y realizar monitoreo continuo de la gestión que realices para tomar decisiones oportunas e informadas.