10 formas de detectar y medir el riesgo

Por el simple hecho de estar en el negocio, las organizaciones están expuestas a miles de riesgos cada día, lo que exige métodos sólidos de medición de riesgos. Desde el riesgo de la cadena de suministro, el riesgo de los proveedores, el riesgo reputacional y los fallos tecnológicos, hasta los accidentes e incidentes, el incumplimiento, el riesgo estratégico y las amenazas externas de competidores, hackers y circunstancias geopolíticas, las empresas tienen mucho que gestionar.

Categorizar y calificar los riesgos para una mejor gestión

Para poner el riesgo en perspectiva, las organizaciones deben categorizar los riesgos a los que se enfrentan en cada departamento y establecer un marco común para calificarlos y supervisarlos. En términos generales, el riesgo se puede dividir en cinco categorías comunes: estratégico, de cumplimiento, operativo, financiero y reputacional. Dividir el riesgo en categorías básicas ayuda a las organizaciones a evitar sorpresas desagradables al establecer un enfoque sistémico, estructurado y coherente para identificar el riesgo.

Priorizar los riesgos para una toma de decisiones informada

Una vez que se han identificado y categorizado los riesgos, las empresas deben establecer la detección de riesgos basada en la prioridad y la medición basada en datos de esos riesgos para comprender su probabilidad e impacto. Este análisis de riesgos proporcionará entonces a las empresas la base para construir un marco para la toma de decisiones informadas sobre riesgos mediante la identificación y evaluación de los factores que podrían afectar negativamente a la organización o presentar oportunidades.

Para comprender los riesgos a los que se enfrentan y estar preparadas para reaccionar, las organizaciones necesitan comprender su panorama de riesgos a través de métodos eficaces de medición de riesgos y supervisar de cerca cada riesgo para poder reaccionar rápidamente para mitigar los problemas y aprovechar las oportunidades.

Este poder para impulsar decisiones informadas sobre riesgos hace que el análisis sea un paso vital en el ciclo de gestión de riesgos. Pero, ¿cómo se pone en marcha una empresa para detectar y medir el riesgo? Exploremos diez procesos y métodos clave que se utilizan habitualmente para llevar a cabo el análisis de riesgos.

Registros de riesgos

Un registro de riesgos es esencialmente una biblioteca de posibles riesgos y su potencial probabilidad e impacto, lo que permite a las partes interesadas realizar un seguimiento de cada riesgo identificado y la información relevante vinculada a él. Este proceso tiene como objetivo identificar, analizar y mitigar colectivamente los riesgos antes de que hagan descarrilar los resultados previstos utilizando un punto central de supervisión. Al automatizar este proceso, cada riesgo tiene una puntuación de impacto y probabilidad calculada automáticamente y está vinculado a los activos relacionados y a los controles de mitigación. Esto permite a las partes interesadas analizar el riesgo a un nivel granular y desplegarlo, lo que permite a la organización explorar el impacto general en el negocio.

Habiendo sido objeto de una cuidadosa consideración durante la fase de planificación, el registro de riesgos se utiliza normalmente durante las operaciones comerciales diarias como parte del plan de gestión de riesgos más amplio. Aunque los registros de riesgos a menudo se dividen en diferentes categorías, la mayoría de las plantillas comparten elementos comunes que permiten calificar y comparar los riesgos:

• Descripción del riesgo: Una breve explicación del riesgo.
• Estructura de desglose de riesgos: Un gráfico que permite a las partes interesadas identificar todos los riesgos asociados a una función o proyecto empresarial y categorizarlos.
• Categorías de riesgo: Los riesgos se categorizan formalmente para mejorar el proceso de identificación y priorización de riesgos.
• Análisis de riesgos: Esto determina la probabilidad y el impacto de un riesgo utilizando análisis cuantitativos y cualitativos.
• Probabilidad de riesgo: Esto proporciona una estimación de la probabilidad de que se produzca cada riesgo y asigna un valor cualitativo o cuantitativo.
• Prioridad del riesgo: Esto se determina asignando una puntuación a cada riesgo, que se obtiene multiplicando los valores de impacto y probabilidad del riesgo. Cuando se utilizan mediciones cualitativas, los riesgos con mayor impacto y mayor probabilidad deben priorizarse.
• Respuesta al riesgo: Cada respuesta de mitigación de riesgos se documenta en un plan de respuesta.
• Titularidad del riesgo: Cada riesgo debe asignarse a una parte interesada que, como propietario del riesgo, es responsable de desplegar una respuesta adecuada.

Notificación de cuasi accidentes e incidentes

La naturaleza reactiva de muchos programas de gestión de riesgos hace que los cuasi accidentes y los incidentes aparentemente menores se escapen por la red, lo que presenta a las organizaciones una visión opaca del rendimiento de la seguridad y el riesgo en el lugar de trabajo. Sin embargo, si se notifican eficazmente, estos eventos presentan oportunidades para construir las bases de la prevención, como programas de formación relevantes que influyen positivamente en el comportamiento y cambios operativos que abordan cualquier cuasi accidente.

La notificación exhaustiva de cuasi accidentes e incidentes apoya los cuatro elementos centrales de una gestión de incidentes eficaz: identificación, respuesta, remediación y análisis. Al integrar este proceso en el software GRC para una máxima agilidad, las empresas están capacitadas para aprender de errores anteriores o cuasi accidentes y evitar que se repitan. Esto proporciona la estructura necesaria para llevar a cabo investigaciones exhaustivas, análisis de la causa raíz e identificar dónde es probable que ocurran los riesgos.

Supervisión de los indicadores clave de riesgo

La notificación de cuasi accidentes e incidentes también debe utilizarse para informar a otra herramienta en el proceso de análisis de riesgos: los indicadores clave de riesgo (KRI). Los KRI se pueden definir como: predictores críticos de eventos desfavorables que pueden afectar negativamente a las organizaciones. Supervisan los cambios en los niveles de exposición al riesgo y contribuyen a las señales de alerta temprana que permiten a las organizaciones informar de los riesgos, prevenir las crisis y mitigarlas a tiempo. ”

Los KRI se centran en los indicadores más críticos para gestionar los riesgos de más alto nivel, que varían en función de los objetivos y prioridades de una empresa. Se utilizan para medir los riesgos a los que está expuesta la empresa y alertarla cuando la exposición al riesgo supera los niveles tolerables. Esto sustenta el proceso de supervisión y predicción de posibles áreas de alto riesgo y la adopción de medidas rápidas para prevenir o mitigar su impacto.

Los KRI deben basarse en datos empresariales transaccionales y operativos reales, proporcionando una única fuente de verdad, y deben vincularse a las prioridades estratégicas de la empresa. Esto permite a la empresa identificar los riesgos clave relacionados con cada objetivo y establecer KRI que los rastreen y alerten a las partes interesadas cuando la empresa esté en riesgo de no alcanzar sus objetivos o metas.

Evaluaciones de riesgos

La realización de evaluaciones de riesgos periódicas en diferentes áreas de negocio es una excelente manera de identificar los riesgos potenciales. Las evaluaciones de riesgos cualitativas y cuantitativas ofrecen diferentes perspectivas. Al combinarlas, las empresas pueden comparar los resultados y obtener conocimientos más profundos, con las limitaciones de un tipo de datos equilibradas por las fortalezas del otro.

Las evaluaciones de riesgos cualitativas aprovechan el conocimiento, la experiencia y las sensaciones viscerales para determinar la probabilidad del riesgo y cómo afectará al negocio. Los riesgos se identifican normalmente mediante reuniones, foros de debate y conocimiento del mercado y se miden en una escala establecida que estima la probabilidad, y normalmente se clasifican en función de su origen o impacto.

Las evaluaciones de riesgos cuantitativas se basan en datos objetivos y medibles para proporcionar información sobre el proceso de gestión de riesgos de una empresa. Esto implica vincular su proceso de gestión de riesgos a los datos empresariales transaccionales y operativos y desplegar cuestionarios, encuestas y evaluaciones de riesgos para acumular datos que puedan ser rastreados y supervisados en tiempo real.

Las evaluaciones cualitativas suelen ser menos precisas porque no producen datos numéricos objetivos para proporcionar información sobre el proceso de gestión de riesgos de una empresa. En cambio, se basan en las opiniones y juicios de aquellos con conocimiento del negocio y la industria.

Al utilizar datos empresariales reales para determinar la probabilidad y valores numéricos para determinar el impacto, las evaluaciones de riesgos cuantitativas reflejan con precisión el panorama de amenazas. Esta visión objetiva permite a las empresas predecir resultados futuros o estimar la probabilidad de alcanzar los objetivos.

Las organizaciones que utilizan software GRC para gestionar el riesgo tendrán acceso a una variedad de plantillas y formularios de evaluación de riesgos de mejores prácticas que se pueden implementar en todo el negocio utilizando flujos de trabajo y alertas automatizados. Esto permite una rápida recopilación de datos de riesgo que se pueden utilizar para determinar la probabilidad del riesgo.

Integración del riesgo y la estrategia

A menudo existe una desconexión entre la gestión de riesgos y la planificación estratégica dentro de las empresas. En consecuencia, los programas de gestión de riesgos suelen carecer de las bases estratégicas a partir de las cuales pueden construir valor organizativo informando la toma de decisiones y asegurando que los recursos se asignen a los riesgos estratégicos.

Para cerrar esta brecha, las empresas proactivas anclan la gestión de riesgos en los procesos de planificación estratégica existentes. Al alinear la gestión de riesgos con los objetivos y metas estratégicas de la organización, las organizaciones pueden comprender mejor los riesgos inherentes que les impedirán alcanzar su estrategia, y también pueden asumir riesgos calculados en iniciativas clave que probablemente hagan crecer el negocio o apoyen la estrategia corporativa.

La construcción de una función de planificación estratégica eficaz e informada sobre riesgos no es un proceso sencillo. Una solución holística de software GRC se utiliza mejor para automatizar esta alineación mediante el desglose de los objetivos y metas estratégicas en una serie de programas, proyectos, tareas, acciones y riesgos y asignarlos en todo el negocio con una clara propiedad. Este poder para consolidar procesos, sistemas y fuentes de datos dispares en un único punto de supervisión asegura que el negocio siga siendo ágil y resistente al anticipar lo que podría suceder desde una perspectiva de riesgo estratégico, bueno o malo.

Supervisión automatizada de controles

Los programas de gestión de riesgos no pueden simplemente confiar en los equipos de gestión de riesgos para interpretar manualmente los datos de riesgo y supervisar los KRI. Deben utilizar la supervisión automatizada de controles para detectar los indicadores clave de riesgo (KRI) en grandes conjuntos de datos.

Desde una transacción irregular hasta el riesgo de incumplimiento o un fallo de auditoría, la supervisión automatizada de controles puede detectar riesgos basados en reglas predeterminadas y enviar alertas. Los controles se pueden establecer para señalar áreas de preocupación, incluyendo plazos incumplidos, anomalías en los datos, sobrecoste presupuestario, demasiados incidentes o cuando los KRI alcanzan niveles intolerables. Se pueden enviar notificaciones automáticas a la parte interesada relevante para que se puedan tomar medidas e intervenciones de forma rápida.

Para asegurar que los equipos de cumplimiento y auditoría interna tengan la agilidad necesaria para lograr esto, se despliega la supervisión automatizada de controles. Esta capa extra de vigilancia asegura una sólida supervisión interna de los procesos operativos de alto riesgo. La automatización aborda el riesgo de forma proactiva reemplazando la dependencia de datos manuales aislados con un enfoque holístico que facilita la detección de riesgos en grandes conjuntos de datos y la asignación eficaz de recursos. Mientras tanto, las organizaciones que adoptan un enfoque ad hoc para la supervisión crean lagunas en su entorno de control que pueden conducir a problemas costosos.

Desviación estándar

La desviación estándar es una herramienta estadística utilizada para medir y gestionar el riesgo durante un período determinado e informar la toma de decisiones como parte de una estrategia de gestión de riesgos. Cuando se aplica en un entorno empresarial, la desviación estándar se puede utilizar para supervisar el riesgo durante un cierto período de tiempo. Por ejemplo, es posible que pueda exceder su tolerancia al riesgo durante 1 o 2 días al mes, pero cualquier cosa superior a eso podría considerarse inaceptable para el negocio.

Puede utilizar la desviación estándar cuando esté configurando la supervisión automatizada de controles para determinar las reglas exactas sobre cuándo un riesgo será señalado como que alcanza su tolerancia al riesgo.

La desviación estándar mide el grado en que los puntos de datos individuales varían de la media o el promedio de un conjunto de datos. Cuando se utiliza para informar las decisiones, los gestores de riesgos a menudo hablan de que el cálculo es un cierto número de desviaciones estándar de la media. Los estadísticos esperan encontrar el 68% de las mediciones dentro de una desviación estándar de la media, lo que representaría un nivel tolerable de riesgo. Dentro de dos desviaciones estándar de la media, normalmente se encontrará el 95% de las mediciones de riesgo.

Más allá de este punto, las variaciones pueden influir potencialmente en las estrategias de gestión de riesgos. Dentro de tres desviaciones estándar de la media, normalmente se encontrará el 99,7% de las mediciones. Por lo tanto, solo el 0,3% de las mediciones que se encuentran fuera de tres desviaciones estándar se deben a fluctuaciones normales en los datos, lo que indica que se ha producido un cambio significativo. Este tipo de cálculos pueden ser vitales al comparar y medir el riesgo a lo largo del tiempo.

Análisis de la pajarita

El análisis de pajarita se puede utilizar para apoyar la planificación del tratamiento de riesgos ayudando a las organizaciones a identificar dónde se pueden requerir controles nuevos o mejorados donde el nivel de riesgo es alto, o la eficacia del control se evalúa como baja.

Muestra las vías desde las causas de un evento o riesgo hasta sus consecuencias en un diagrama cualitativo claro que se representa como una pajarita, creando una diferenciación entre la gestión de riesgos proactiva y reactiva. El nudo central es el punto donde convergen las vías del árbol de fallos, y el árbol de eventos se extiende, lo que permite que el análisis resultante se centre en dos cosas: las barreras o controles representados por el árbol de fallos a la izquierda del nudo que pueden afectar la probabilidad del evento o riesgo, y los representados por el árbol de eventos a la derecha que pueden cambiar sus consecuencias.

El análisis de pajarita se utiliza normalmente para identificar las lagunas de control comprobando que cada vía tiene controles eficaces; desde la causa hasta el evento y desde el evento hasta la consecuencia. Los factores que podrían causar su fallo se identifican fácilmente utilizando esta metodología.

Definición del apetito de riesgo

Las empresas que no definen su apetito de riesgo se exponen a la amenaza de absorber demasiado riesgo y hacer cosas que son perjudiciales para su supervivencia. Una declaración de apetito de riesgo se define como: “la articulación por escrito del nivel agregado y los tipos de riesgo que una empresa está dispuesta a aceptar, o evitar, para lograr sus objetivos.”

La declaración, que debe crearse en colaboración con la empresa en general, se utiliza como una herramienta de comunicación clave para establecer el tono desde el nivel del consejo y guiar el comportamiento de los empleados individuales. Por lo tanto, debe articularse en un lenguaje de apetito de riesgo transparente que involucre a toda la organización y acompañado de un marco de apetito de riesgo que identifique y cuantifique la toma de riesgos consciente, alineando los riesgos con los objetivos y la estrategia de la organización.

La declaración y el marco de apetito de riesgo permanecerán sin timón sin canales de comunicación claros, lo que hará casi imposible operar dentro de sus límites. La adopción de un enfoque sólido para la comunicación de riesgos apoya el flujo de información relevante de arriba hacia abajo, y la creación de una cultura de riesgo proactiva de abajo hacia arriba, capacitando a las personas adecuadas para tomar las decisiones correctas en el momento adecuado.

Establecimiento de indicadores clave de rendimiento

Las empresas proactivas no cruzan los dedos y esperan estar manteniendo su exposición al riesgo por debajo del nivel deseado; utilizan métricas para medir el rendimiento desde una perspectiva de riesgo, como dijo el renombrado consultor de gestión Peter Drucker: “Lo que se mide, se hace.”

La métrica más utilizada para este propósito son los indicadores clave de rendimiento (KPI). Estos indicadores reactivos ayudan a una empresa a medir los resultados futuros. Ya sea que se cumplan o no, los KPI proporcionan una hoja de ruta para el progreso hacia un resultado previsto mediante la medición del rendimiento histórico. Los KPI ayudan a impulsar la mejora estratégica y operativa, crean una base analítica para la toma de decisiones y centran la atención en lo que más importa.

La evaluación del riesgo utilizando estas mediciones cuantificables implica el establecimiento de objetivos (el nivel deseado de rendimiento) y el seguimiento del progreso con respecto a ese objetivo. Ejemplos de KPI que se pueden utilizar para la gestión de riesgos incluyen:

• Riesgos identificados
• Riesgos reales que ocurren
• Riesgos no identificados e imprevistos
• Frecuencia de los riesgos
• Gravedad de los riesgos
• Costes incurridos debido a los riesgos
• Velocidad y eficacia de las soluciones.

Automatización del análisis de riesgos

La medición y detección de riesgos tradicionalmente se ha visto obstaculizada por la dependencia de procesos manuales, como correos electrónicos y hojas de cálculo, y por los datos aislados. Estos procesos anticuados son torpes, lentos y están plagados de errores, lo que priva a las empresas de información de calidad relacionada con los riesgos, fomentando una perspectiva reactiva. Esta falta de eficiencia y conectividad impide que las empresas establezcan un enfoque proactivo e integrado para el análisis de riesgos que informe a toda la organización y a su estrategia.

Es por eso que las organizaciones bien establecidas y conscientes de los riesgos utilizan soluciones GRC diseñadas específicamente para facilitar su programa de gestión de riesgos. Estas soluciones están repletas de funcionalidades que incluyen:

• Plantillas de evaluación de riesgos.
• Un marco para construir un registro de riesgos de mejores prácticas.
• Integraciones de API que le permiten utilizar datos transaccionales y operativos en vivo como parte de su programa de gestión de riesgos.
• Monitoreo de control automatizado con flujos de trabajo y notificaciones para alertar al personal.
• Capacidad para establecer indicadores clave de riesgo (KRI) e indicadores clave de rendimiento (KPI) con alertas automatizadas.
• Amplias capacidades de presentación de informes y paneles, incluido el análisis de diagramas de pajarita, que se pueden utilizar para tomar decisiones empresariales informadas sobre los riesgos.
• Algunas soluciones ofrecen la capacidad de integrar la gestión de riesgos con la planificación estratégica en una sola solución, lo que le permite asumir riesgos calculados para trabajar en el logro de su estrategia, al tiempo que protege a la empresa de un nivel de riesgo indeseable.

El software GRC facilita el análisis de riesgos continuo y conjunto mediante la entrega de funcionalidad automatizada que involucra a los empleados y los alienta a responsabilizarse de la detección y medición de los riesgos relacionados con su función. Ayuda a una organización a construir un marco de riesgo de mejores prácticas que les permita madurar su programa de gestión de riesgos a medida que crece el negocio. Promueve una cultura consciente de los riesgos que involucra a todos los departamentos en el proceso de gestión de riesgos, armando a los profesionales de la gestión de riesgos con la información y los datos que necesitan para proteger el negocio y aprovechar las oportunidades estratégicas.

Para obtener más información sobre la solución de gestión de riesgos de Riskonnect y descubrir cómo puede ayudar a su empresa a madurar su enfoque de gestión de riesgos, ¡solicite una demostración ahora!