¿Qué es la madurez de gestión de riesgos?

Organizaciones de todos los sectores cada vez más ven la gestión de riesgos como un proceso fundamental y estratégico para no solo obtener rentabilidad y cumplir con las normativas, sino también garantizar su sostenibilidad y continuidad a largo plazo. 

En este artículo te contamos qué es la madurez en la gestión de riesgos, qué modelos existen para medirla y qué preguntas puede hacerse tu organización para conocer el nivel en el que está con respecto a este proceso. 

Madurez de gestión de riesgos

Este término se refiere al nivel de preparación que tiene una organización en gestión de riesgos, es decir, indica el conocimiento que esta tiene sobre este proceso y de qué manera lo implementa.

En general, la madurez de gestión de riesgos permite a las empresas conocer cómo están en la forma que administran los diferentes riesgos a los que están expuestas. 

¿Y por qué es importante conocer el nivel de madurez de gestión de riesgos?

Es importante porque ayuda a ver qué se está haciendo bien, qué falta y a partir de esto, estructurar y desarrollar acciones que permitan lograr el mayor nivel de madurez en gestión de riesgos. 

Modelos de madurez de gestión de riesgos

Existen diferentes modelos que permiten evaluar el nivel de madurez de una organización en la gestión de sus riesgos. Algunos de estos son:

Índice de Madurez de Riesgo

Fue desarrollado en 2011 por Aon y The Wharton School de la Universidad de Pennsylvania. Este índice permite a los gerentes, directores y profesionales de riesgos en general identificar cuáles son las áreas críticas en su proceso de gestión de riesgos a partir de la evaluación de prácticas relacionadas con el gobierno corporativo y la toma de decisiones.

En esta evaluación que propone el Índice de Madurez de Riesgo de Aon y The Wharton School se tienen en cuenta las siguientes diez características:

1. Entendimiento y compromiso con la gestión de riesgos como un factor crítico para la toma de decisiones y para impulsar el valor a nivel de la junta.
   
   
2. Un ejecutivo de nivel senior que impulse y facilite los procesos clave y el desarrollo de la gestión de riesgos.
   
   
3. Transparencia en la comunicación de riesgos.
   
   
4. Una cultura del riesgo que incentiva una completa participación y rendición de cuentas en todos los niveles de la organización.
   
   
5. Identificación de los riesgos existentes y emergentes, utilizando datos e información internos y externos.
   
   
6. Participación de los principales grupos de interés en el desarrollo de la estrategia de gestión de riesgos y en la definición de políticas.
   
   
7. Recolección e incorporación formal de la información de riesgos operativos y financieros al proceso de toma de decisiones.
   
   
8. Integración de información sobre la gestión de riesgos a los procesos de capital humano para incentivar un desempeño comercial sostenible.
   
   
9. Uso de métodos de cuantificación sofisticados para entender el riesgo y demostrar el valor agregado mediante la gestión de riesgos.
   
   
10. Pasar de enfocarse en evitar y mitigar los riesgos a apalancar el riesgo y las opciones de gestión del riesgo que extraen valor.

Con base en la información recolectada, el nivel de madurez de la organización se califica en una escala de 1 a 5 de la siguiente manera:

1. Nivel 1 o inicial: la organización identifica y aborda los riegos, pero lo hace de forma aislada. El alcance del proceso de gestión de riesgos es limitado.
   
   
2. Nivel 2 o básico: el conocimiento, manejo y monitoreo de los riesgos clave de la organización es inconsistente. Las capacidades para gestionar los riesgos son limitadas, además, la información que se tiene de este proceso es informal.
   
   
3. Nivel 3 o definido: la organización aborda sus riesgos clave, hay capacidades para medirlos y administrarlos y monitorearlos, pero puede haber inconsistencias al interior.
   
   
4. Nivel 4 u operativo: se conocen los principales riesgos de la organización y las actividades para abordarlos se ejecutan de manera consistente. La información sobre la gestión de riesgos se tiene en cuenta explícitamente para la toma de decisiones.
   
   
5. Nivel 5 o avanzado: la organización tiene una alta capacidad para identificar, medir, administrar y monitorear sus riesgos. La gestión de riesgos es dinámica y se adapta a los cambios, además, es considerada como un proceso que brinda ventajas competitivas.

Modelo de medición para auditores

Fue desarrollado en 2002 por Basil Orsini, en su momento director de Auditoría Interna del Departamento de Recursos Humanos en Canadá. Este modelo centra la medición del nivel de madurez de gestión de riesgos en cinco aspectos principales:

1. Cultura. 
2. Liderazgo y compromiso.
3. Integración con los sistemas organizacionales.
4. Habilidades en gestión de riesgos. 
5. Reporte y control. 

A partir de la evaluación que se realiza para cada uno de estos puntos, los niveles de madurez identificados son: 

1. Incipiente: no se ha implementado formalmente un sistema de gestión de riesgos, la identificación o seguimiento de estos no es consciente.
   
   
2. Conocido: aunque hay un sistema formal de gestión de riesgos, la administración de estos es dispersa, descentralizada y no hay una adecuada capacitación.
   
   
3. Definido: se cumple con el sistema de gestión de riesgos establecido, hay políticas y procedimientos que involucran a toda la organización en este proceso.
   
   
4. Administrado: la gestión de riesgos se desarrolla de forma adecuada y hay claridad sobre la tolerancia al riesgo por parte de la organización.
   
   
5. Optimizado: la gestión de riesgos hace parte de la cultura organizacional, hay indicadores para su medición y monitoreo constante. 

Preguntas para evaluar la madurez de gestión de riesgos

Al momento de realizar una evaluación para conocer cómo está la gestión de riesgos en la organización, que debe ser considerada como parte fundamental de todos los procesos, es importante tener en cuenta diferentes preguntas que engloban los aspectos más relevantes, por ejemplo, el gobierno, el proceso de gestión, las personas, la tecnología, el apetito de riesgo, las políticas y procedimientos, entre otros. 

Algunas de las preguntas que es pertinente hacer son:

1. En el sistema de gestión de riesgos de la organización, ¿se aplican buenas prácticas para llevar a cabo este proceso?
   
   
2. ¿La estructura de la organización permite una adecuada gestión de los riesgos?, ¿existe una unidad de riesgos o un comité?
   
   
3. ¿La dirección de la empresa entiende la importancia de gestionar los riesgos?, ¿qué tan involucrados están con este proceso?
   
   
4. Para la toma de decisiones en la organización, ¿se considera el monitoreo de riesgos?
   
   
5. ¿Cómo se evalúan y monitorean los riesgos?, ¿qué indicadores se tienen para la gestión de riesgos?, ¿el seguimiento a los riesgos se hace de manera continua?
   
   
6. ¿Se cuenta con herramientas tecnológicas para la identificación, evaluación, control y monitoreo adecuado y eficiente de los riesgos? Por ejemplo, un software como Pirani Riskment Suite hace más simple la gestión de riesgos en las organizaciones.
   
   
7. ¿Cómo se reportan y comunican los eventos de riesgos?, ¿se hace de forma oportuna y constante?
   
   
8. ¿La metodología definida por la organización para la gestión de riesgos está consignada en un manual o política?, ¿se sigue correctamente?
   
   
9. ¿Las políticas y manuales de gestión de riesgos están alineados con los objetivos y valores de la organización?, ¿existe planes de capacitación y difusión que faciliten el entendimiento de la gestión de riesgos en toda la organización?

Estas preguntas son una guía para conocer el nivel de madurez de gestión de riesgos que tiene la empresa. El nivel al que se debe aspirar es al más alto (avanzado u optimizado) pues este demuestra que la gestión de riesgos se desarrolla de forma estructurada, sistemática y oportuna e involucra a todo el personal de la organización y así, es posible cumplir con los objetivos estratégicos y asegurar la continuidad del negocio en el largo plazo.

Test de Madurez de Gestión de Riesgos

Para conocer cómo está la gestión de riesgos en tu organización, debes tener en cuenta diferentes preguntas que abarcan aspectos relevantes como el gobierno, el proceso de gestión, las personas, la tecnología, el apetito de riesgo, las políticas y procedimientos, entre otros. 

Realiza este Test de Madurez de Gestión de Riesgos que preparamos en Pirani: podrás calificar aspectos como metodología de identificación y calificación de riesgos, diseño de controles, mitigación de los controles, cultura de riesgos, uso de la información, entre otros y obtendrás una calificación total del nivel de madurez de riesgos de tu organización. 

Haz el test y cuéntanos, ¿cuál es el nivel de madurez que tienen actualmente?

¿Te pareció útil y clara esta información? Déjanos tus comentarios.