Es fundamental comprender los beneficios que supone la gestión de riesgos operativos antes de su implementación.

• Prevenir y minimizar el coste financiero de las pérdidas operativas
• Mejorar la fiabilidad de las operaciones empresariales
• Reforzar el proceso de la toma de decisiones relativas a los riesgos
• Reducir las pérdidas generadas por riesgos mal identificados
• Mejorar la eficacia de las operaciones de gestión de riesgos
• Reducir los costes de cumplimiento
• Identificar actividades ilegítimas en fases tempranas
• Reducir los posibles daños causados por riesgos futuros

Detallada

No todos los riesgos son previsibles, pero un análisis exhaustivo de los riesgos puede detectar posibles riesgos para obtener los mejores resultados posibles.

Intencionada

Comprobaciones o revisiones de seguridad rutinarias durante el ciclo de un proyecto.

Relativa a los requisitos de tiempo

La gestión de riesgos operativos de este tipo suele ser más urgente durante los cambios operativos cuando el tiempo es limitado. Si no se realiza de acuerdo con los requisitos de tiempo, es posible que queden riesgos sin identificar.

• Riesgos derivados de eventos catastróficos (por ejemplo, huracanes)
• Ciberataques o piratería informática
• Fraude interno y externo
• Incumplimiento de las políticas internas

Governance, Risk, and Compliance

Un conjunto de prácticas y procesos respaldados por una cultura consciente del riesgo y por tecnologías de soporte, que mejoran la toma de decisiones y el rendimiento a través de una visión integrada del modo en que una organización gestiona su conjunto único de riesgos.

Identificación y evaluación de riesgos

Hay varios factores que suponen un riesgo para una organización, y estos pueden ser tanto internos como externos. Es necesario identificar el mayor número de riesgos posible, utilizando para ello todas las herramientas de las que dispone la empresa. Los riesgos que se deben identificar deben ser riesgos únicos y recurrentes. Una vez identificados, es necesario evaluarlos desde una perspectiva cualitativa y cuantitativa, teniendo en cuenta la frecuencia y la gravedad de los riesgos, y determinando las medidas que se deben tomar para prevenirlos y mitigarlos.

Entorno de control

Aplicación de controles para limitar la exposición al riesgo de una organización y aumentar las posibilidades de mitigar los riesgos.

Supervisión e informes

La gestión eficaz de riesgos implica supervisar constantemente los riesgos y generar informes cuando sea necesario para rastrear la eficacia del plan de gestión de riesgos.

Cuantificación, medición y modelado

Las organizaciones pueden utilizar los datos de salida de un modelo de evaluación de riesgos en un modelo de medición de la exposición al riesgo. Los sistemas de cuantificación se deben validar para garantizar que son lo suficientemente sólidos para que la información, las suposiciones, los procesos y los resultados sean precisos.

Toma de decisiones relativas a los riesgos

La junta directiva debe revisar periódicamente los marcos de riesgo. De este modo, pueden supervisar a los altos cargos para garantizar que todos los aspectos de las políticas y los procesos se implementan en todos los niveles de decisión. La junta directiva también debe fijar una postura de tolerancia al riesgo que articule los tipos, los niveles y la naturaleza de los riesgos operativos que están dispuestos a asumir.

Fomento de determinados comportamientos

Garantiza que el personal comprende bien los riesgos y los incentivos asegurándote de que todos los materiales, actividades y procesos identifiquen y evalúen los riesgos operativos. Debe haber una cultura establecida que respalde los procesos y que promueva la comprensión de los riesgos operativos inherentes a las estrategias y a las actividades diarias de la organización.

Las tres líneas de defensa

La dirección y los organismos rectores son responsables de fijar los objetivos de la organización y de describir las estrategias para alcanzarlos. Como parte de los objetivos, está la gestión de los riesgos a través del modelo de las tres líneas de defensa, que requiere el respaldo activo de los altos cargos y del organismo rector de la organización.

• Primera línea: gestión de operaciones
  La gestión de operaciones es la función responsable del riesgo y de su gestión, y representa la primera línea de defensa que deben tener los gestores de operaciones. Es aquí donde recae la responsabilidad de implementar acciones para corregir las deficiencias. En el proceso se incluye la identificación, la evaluación, el control y la mitigación de los riesgos, así como la orientación en la implementación de políticas internas para comprobar que las actividades están alineadas de manera coherente con los objetivos.
  
  
• Segunda línea: gestión de riesgos y cumplimiento
  La segunda línea de defensa normalmente incluye una función de gestión de riesgos para supervisar la implementación de las prácticas de gestión de riesgos y, al mismo tiempo, ayudar a los gestores de operaciones a definir las exposiciones objetivo e informar de datos relacionados con los riesgos.
  
  
• Tercera línea: auditoría interna
  Los auditores proporcionan garantías a los altos cargos y al organismo rector. El propósito de la auditoría es aportar información sobre la gestión de riesgos, los controles internos y la efectividad de la gobernanza. Por lo general, el alcance cubre la eficiencia de las operaciones, los activos, la fiabilidad e integridad del proceso de generación de informes y el cumplimiento.

Amplía las prácticas para incluir la supervisión de segunda línea

La gestión de los riesgos operativos debe centrarse en detectar e informar sobre riesgos de todos los tipos, y debe ampliarse para incluir una segunda línea que trabaje en colaboración con la primera para crear una resiliencia eficaz en las operaciones y los procesos.

Existen determinadas herramientas que son necesarias para evaluar un proceso de negocio y su resiliencia, cuestionar la gestión empresarial según sea necesario y gestionar las prioridades.

• Asignar procesos y controles: tómate el tiempo necesario para representar visualmente los procesos e incluye los riesgos y los controles pertinentes. Debes incluir la complejidad real, cada entrega que se produce en el proceso y si la gestión es automática o manual. El objetivo es determinar la responsabilidad durante el proceso y maximizar la productividad.
  
  
• Identifica la tecnología necesaria: comprende los puntos en los que entra en juego la tecnología y determina el tipo de tecnología que se necesita.
  
  
• Supervisa: observa los riesgos y los controles, y desarrolla mecanismos que te ayuden a rastrear las métricas con el fin de detectar niveles de riesgo inusuales.
  
  
• Vincula recursos: conecta la planificación de recursos a los procesos para comprender los procesos asociados y las necesidades del proceso. Desarrolla capacidades para escalar según los resultados que obtengas.
  
  
• Refuerza el comportamiento: asegúrate de que los comportamientos individuales adecuados se refuerzan a través de la formación, los incentivos y la gestión del rendimiento.
  
  
• Gestión de cambios: crea sistemas de gestión de cambios para asegurarte de contar con el talento adecuado. Trabaja con procesos y capacidades, y asegúrate de que se proporciona la orientación adecuada.

• Comentarios: favorece el flujo constante de comentarios para notificar problemas, realizar análisis de la causa raíz y revisar los procesos a medida que se recopilan los datos.

La detección en tiempo real y basada en análisis reemplazará la generación manual de informes

Los avances conseguidos en las herramientas de análisis pueden contribuir a la gestión de riesgos; y es que, con el tiempo, aumenta la disponibilidad tanto de los datos estructurados como de los no estructurados. Las herramientas de análisis avanzados se aplican en casi todas las áreas de la gestión de riesgos, incluida la detección de riesgos, la identificación de falsos positivos, el cumplimiento, los fallos de procesos y el riesgo humano.

• Indicación en tiempo real: somete la gestión de riesgos a pruebas en tiempo real para detectar y analizar las métricas de riesgo. Por lo general, las anomalías o las actividades inusuales pueden indicar áreas de riesgo o cuestiones que deben abordarse en tiempo real.
• Herramientas específicas: las herramientas de datos específicas pueden detectar problemas de riesgos en ciertas áreas identificadas. El aprendizaje automático también puede ser de ayuda a través de herramientas de análisis específicas, ya que los sistemas de aprendizaje automático e inteligencia artificial pueden aprender a detectar mejor las áreas de riesgo o los indicadores de las actividades de riesgo dentro de un conjunto de datos.

Asigna talento a las áreas clave de datos y análisis

La gestión de riesgos requiere un conjunto especial de habilidades y la comprensión de los riesgos para detectar la actividad de riesgo, interpretar los datos y proporcionar un análisis exhaustivo. Los gestores, los equipos y las personas deben abordar el riesgo de formas nuevas, adaptarse a los procesos y entender que los análisis avanzados son cada vez más relevantes, especialmente con la implementación de sistemas de aprendizaje automático e inteligencia artificial.

Los riesgos del factor humano deben abordarse

Los seres humanos pueden ser altamente eficaces para gestionar el riesgo operativo, pero parte de la gestión de riesgos consiste en identificar y analizar cómo el factor del error humano puede afectar a la gestión del riesgo operativo y plantear sus propios riesgos.

Prevención del riesgo

Después de identificar los riesgos, se debería tratar de evitar la mayoría de ellos. La prevención del riesgo tiene por objetivo minimizar las vulnerabilidades y abordar los riesgos que se identifican como amenazas. Para evitar estos riesgos es necesario proporcionar la formación adecuada y establecer las políticas y los procedimientos correctos.

Reducción del riesgo

Lo ideal sería poder evitar los riesgos en todo momento, pero eso no siempre es posible. Reducir el riesgo consiste en comprender el riesgo y sus implicaciones, así como las estrategias implementadas para reducirlo. Por lo general, el riesgo se cuantifica, analiza y clasifica en niveles de riesgo para crear prioridades de reducción y desarrollar operaciones para la reducción de riesgos.

Riesgo compartido

Compartir el riesgo no significa transferir el riesgo de un lugar a otro. El objetivo de compartir los riesgos es reducir el impacto de eventos inciertos y de determinados riesgos. Las tareas o responsabilidades se pueden dividir entre departamentos o personas dentro de una organización, lo que distribuye el riesgo entre varias partes y asigna responsabilidades individuales en prácticas de gestión de riesgos más amplias.

Mantenimiento del riesgo

Transferir el riesgo significa no asumir la responsabilidad del mismo; mantener el riesgo es precisamente lo contrario. Una organización mantiene el riesgo al pagar por él y por sus consecuencias. Por lo general, los riesgos se mantienen cuando un análisis financiero indica que es menos costoso mantener los riesgos que transferirlos a un tercero.