Las evaluaciones de riesgo han estado históricamente plagadas de subjetividad, lo que significa que simplemente no se puede confiar en que cumplan su objetivo. La subjetividad impide que las evaluaciones se utilicen en todos los silos del negocio y hace que la verificación por parte de la auditoría o la revisión del cumplimiento sea imposible.
Los estándares y supuestos comunes hacen que la información recopilada en toda la organización sea objetiva, cuantificable y comparable, lo que permite un mejor análisis, la resolución de problemas y la escalada de problemas cuando sea necesario.
Descargue nuestra plantilla de evaluación de riesgos gratuita con las mejores prácticas para empezar hoy mismo.
Plantilla de evaluación de riesgos gratuita: Resumen
Nuestra plantilla básica de evaluación de riesgos está diseñada para ayudarle a dar los primeros pasos en la estandarización de sus procesos. Le ayudará a determinar qué datos necesita recopilar de sus áreas de negocio, a definir los términos clave y a esbozar las selecciones de respuestas sugeridas.
También genera automáticamente mapas de calor de riesgo basados en sus datos, e incluye instrucciones de uso paso a paso.
Al utilizar nuestra plantilla gratuita de evaluación de riesgos estará en una buena posición para gestionar mejor los riesgos en su organización.
Por qué evaluar los riesgos
Las evaluaciones de riesgos son un componente clave de cualquier programa exitoso de gestión de riesgos. No importa cuán básico o complejo sea el marco, los resultados estandarizados de la evaluación sirven como base sobre la cual se construyen el resto de sus responsabilidades de gestión de riesgos, las actividades de mitigación y los controles de monitoreo.
Cómo nuestra plantilla de evaluación de riesgos puede beneficiarlo
Las evaluaciones de riesgos empresariales exitosas pueden ser una poderosa herramienta para la toma de decisiones estratégicas de alto nivel al conectar las actividades comerciales con las metas, e identificar los riesgos que amenazan con descarrilar estos objetivos estratégicos. Cuando las evaluaciones de riesgos se llevan a cabo con los mismos estándares y supuestos, pueden ser comparadas y utilizadas de forma transversal para una gestión de riesgos más precisa y procesable.
Cómo completar una evaluación de riesgos: Paso a paso
A continuación destacamos paso a paso lo que se necesita para completar una evaluación de riesgos tanto en la descarga gratuita de nuestra plantilla de evaluación de riesgos como en la solución de gestión de riesgos LogicManager.
Escala numérica uniforme – La puntuación de LogicManager se basa en una escala del 1 al 10, donde el 10 tiene las consecuencias más desfavorables para la organización, y se divide en 5 cubos para proporcionar un alto y un bajo de cada cubo. (1-2, 3-4, 5-6, etc). El uso de una escala de 10 hace que las matemáticas sean fáciles y tener sólo 5 cubos da a la gente que hace las evaluaciones flexibilidad para seleccionar el alto o el bajo de los 5 cubos.
Criterios de evaluación objetiva – A menudo, el 9 de una persona es el 7 de otra. La plantilla de análisis de riesgo de LogicManager proporciona una definición clara de lo que cada uno de los 5 cubos son en términos inequívocos. Hay múltiples formas de expresar la gravedad, tanto cualitativa como cuantitativamente, como la financiera, la legal, la estratégica, etc. Cualquier criterio cualitativo puede recibir una puntuación para convertirse en cuantitativo y comparable en toda la empresa. Todas las normas pueden ser comparadas, incluyendo leyes, reglamentos y políticas y procedimientos corporativos, con las prácticas actuales.
Criterios de evaluación calibrados – Una variedad de criterios de evaluación de riesgos se utiliza dentro de LogicManager y todos están en una escala de 1-10 y calibrados, lo que significa que la descripción de un 7, incluso si se describe de manera diferente en diferentes criterios de evaluación tiene el mismo significado de gravedad. Esto permite la agregación de las evaluaciones de riesgo para proporcionar una visión holística del riesgo.
Elementos de negocio universales – Las evaluaciones de riesgo en LogicManager se desglosan en elementos básicos como los procesos de negocio y los recursos, que están estandarizados a través de los silos de negocio, o unidades de negocio. Por recursos, nos referimos a las personas y a los proveedores, así como a los activos físicos, las aplicaciones de software de evaluación de riesgos, los servicios y los repositorios de datos utilizados en la organización. Si se evalúan las características de los proveedores por separado de los productos y servicios que venden, se obtendrán evaluaciones de riesgo que facilitarán la identificación y mantendrán la objetividad a medida que se produzcan cambios como fusiones y adquisiciones o introducción de nuevos productos, etc. Al desglosar la compleja información interconectada en recursos como bloques de construcción básicos, el marco de taxonomía de riesgos de LogicManager proporciona una estructura para la información y la propiedad. Esto permite que todos entiendan, contribuyan y acepten la responsabilidad de la gestión del cambio.
Enlazar plantillas de evaluación de riesgos – La tecnología de Taxonomía de LogicManager enlaza los elementos entre sí, lo que significa que con un simple arrastrar y soltar, usted puede conectar a los proveedores con los productos y servicios que proporcionan a los procesos de negocio que dependen de ellos. Vincular cada elemento financiero a los procesos de negocio que contribuyen a ellos. Vincular todas las aplicaciones y repositorios de datos desarrollados internamente con los procesos de negocio que dependen de ellos para desempeñar sus responsabilidades. La vinculación de estos elementos proporciona una imagen holística. Por ejemplo, un proveedor puede tener múltiples productos y servicios de diferente calidad y riesgo. Evaluar los productos y servicios individualmente y vincular esas evaluaciones de riesgo al perfil del proveedor proporciona una imagen mucho más clara de la combinación de productos, servicios y proveedores utilizados por el propietario de un proceso.
Biblioteca de recursos comunes – La Taxonomía de LogicManager proporciona una biblioteca de recursos comunes. El uso de la información desde un lugar común permite reducir drásticamente el retrabajo, especialmente la recopilación y gestión de la información, tanto para usted como para los propietarios de los procesos con los que trabaja. La biblioteca también le ayuda a saber quién más está conectado a la misma información. La clave es averiguar cómo se relacionan todos estos recursos entre sí y qué combinación de estos recursos es más importante para las áreas críticas de su negocio.
Consolide la recopilación de datos de los recursos: la plantilla de evaluación de riesgos de LogicManager para Excel le permite crear campos de datos personalizables para cada uno de estos elementos de los recursos, de modo que pueda recopilar información en todos los silos e identificar las áreas en las que se pueden consolidar los controles y las pruebas. Diferentes áreas de la organización están recopilando la misma información para los recursos, sólo que no lo saben. Por ejemplo, las cuentas por pagar, la gestión de contratos, la gestión de proveedores, la continuidad del negocio y la TI recopilan información que se solapa sobre sus proveedores. Al comprender qué información recopilan estas áreas para cada recurso, puede racionalizar y consolidar fácilmente las evaluaciones de riesgo y los campos de datos.
Informes de ERM holísticos y precisos: puede analizar, informar y tomar decisiones teniendo en cuenta cada relación relacionada con el recurso. La plantilla de evaluación de riesgos de negocio de LogicManager permite a las organizaciones obtener una Puntuación de Riesgo Global para cada recurso, lo cual tira de la experiencia en la materia de toda la organización para llegar a un número agregado para ese recurso. Toda la complejidad relacionada con un recurso, como un proveedor, se simplifica, pero se apoya en un rastro detallado de las evaluaciones de riesgo objetivas para todas las demás cosas relacionadas con el recurso, como el proceso de negocio, los elementos financieros, los activos físicos, las aplicaciones, los datos y las personas.
Tareas & flujo de trabajo – En LogicManager, para cada elemento del recurso, puede enviar notificaciones de tareas por correo electrónico para calificar las evaluaciones de riesgo o la revisión, adjuntar documentos como contratos, iniciar flujos de trabajo de aprobación, recoger campos de datos personalizados, ver las puntuaciones históricamente y mucho más.
Cuando las relaciones entre los recursos y los procesos de negocio que los utilizan se vuelven explícitas, la organización puede determinar el impacto del negocio. Cuanto más sólida sea la comprensión del impacto empresarial, más eficaz será la actividad de gobierno. La conexión con un proceso de negocio proporciona una conexión directa con el experto en la materia para la actividad que utiliza el recurso y conoce la criticidad de ese recurso para su actividad.
El resultado es una única puntuación global resumida para cada proceso de negocio que combina las puntuaciones individuales para cada recurso y partida financiera asociada a ese proceso y la propia puntuación del proceso. Con esta información, tal y como se establece en nuestra plantilla de informe de evaluación de riesgos, puede priorizar y centrar sus esfuerzos de ERM.
Utilizando una plantilla de evaluación de riesgos para priorizar las medidas de negocio
El número de medidas de negocio dentro de las organizaciones suele crecer. Las medidas se añaden a menudo como reacción a los eventos de pérdida que ya han ocurrido. No sería valioso poder centrarse en las medidas orientadas al futuro? En la mayoría de las organizaciones, estas medidas preventivas y proactivas son indistinguibles cuando se agrupan con las medidas reactivas, porque las métricas no se vinculan formalmente a ningún compromiso o riesgo.
¿Y si un riesgo o actividad cambia? Las organizaciones no tienen forma de saber cómo y si estos cambios afectarán a sus métricas de riesgo. Las evaluaciones de riesgos y la vinculación de los riesgos a las actividades permiten a las organizaciones comenzar a priorizar qué actividades deben ser monitoreadas. A través de las evaluaciones trimestrales (o incluso anuales) de los riesgos empresariales, las organizaciones pueden detectar el aumento de los niveles de amenaza e identificar nuevos riesgos emergentes antes de que se materialicen y lleven sus métricas de riesgo fuera de la tolerancia.
Las métricas de riesgo empresarial son importantes porque no se puede mejorar lo que no se puede medir. Sin embargo, un gran número de objetivos inconexos es problemático porque:
- Fatiga de medición – el personal puede simplemente ignorar muchas medidas por falta de tiempo para evaluarlas.
- Obsolescencia de las medidas – en un entorno cambiante no hay forma efectiva de saber cuándo las medidas ya no son aplicables.
- Falta de priorización – la elección de las medidas en las que centrarse es probable que se realice de forma ad hoc y según el capricho del personal actual.
- Falta de continuidad – los cambios en la organización o el desarrollo de nuevas líneas de negocio pueden dar lugar a nuevas medidas mientras que las medidas existentes pueden ser más eficaces.
- Falta de coordinación – a menudo las medidas se aplican a múltiples riesgos o compromisos a través de líneas funcionales. La incapacidad de vincular formalmente las medidas a los riesgos o compromisos no promueve la coordinación interfuncional, lo que da lugar a silos empresariales y a la duplicación de esfuerzos.
- Recursos desperdiciados – La cantidad de recursos disponibles para lograr los objetivos empresariales y mitigar el riesgo es finita. El personal a menudo continuará gestionando medidas obsoletas o sin importancia en lugar de alinearse con los imperativos actuales.
- Resistencia al cambio – Una dificultad para aplicar la experiencia pasada a un entorno empresarial cambiante que resulta en una tendencia a «reinventar la rueda».
- Informes ERM: Priorización explícita de las medidas basadas en un índice de riesgo/recompensa y una presentación en el tablero de control del mapa de calor en LogicManager.
- Gestión del riesgo operativo: Tendencias en tiempo real de las medidas de forma continua con la consolidación de la medida utilizada para dirigir la atención de la gestión a las condiciones problemáticas (fuera de tolerancia).
- Gestión del rendimiento: Facilita las mediciones de nuevas iniciativas empresariales priorizadas en función del riesgo o de los compromisos empresariales.
- Asignación de recursos: Uso más eficaz de los recursos escasos.
Mucha de la información necesaria existe en las organizaciones hoy en día; la pieza que falta es formalizar estas conexiones críticas. El software de Gestión de Riesgos Empresariales (ERM) tiene la funcionalidad de identificar los riesgos y los compromisos; evaluarlos en base a la probabilidad, el impacto y la garantía; evaluar si es necesario tomar medidas; idear actividades de mitigación o de construcción de negocios si es necesario, especificar y registrar las mediciones para realizar un seguimiento de la eficacia y, finalmente, formalizar la conexión entre todas estas actividades.
La conexión de las mediciones con las actividades de mitigación de riesgos y los datos de la iniciativa de negocios y luego de vuelta al riesgo y los compromisos subyacentes proporcionará los siguientes beneficios:
La clave es trabajar con los directores funcionales para hacer las conexiones. El beneficio inmediato será identificar las medidas que no están conectadas con ningún riesgo o iniciativa y determinar si deben ser eliminadas. Luego, una vez hechas las conexiones, utilice las herramientas de gestión de su software de gestión de riesgos empresariales de forma continua para mejorar la utilización de las medidas empresariales dentro de su organización.