¿Qué es la gestión de riesgos operativos?

La gestión del riesgo de sufrir pérdidas como resultado de sistemas, personas y procesos internos inadecuados o fallidos, o de acontecimientos externos.

Es fundamental comprender los beneficios que supone la gestión de riesgos operativos antes de su implementación.

  • Prevenir y minimizar el coste financiero de las pérdidas operativas
  • Mejorar la fiabilidad de las operaciones empresariales
  • Reforzar el proceso de la toma de decisiones relativas a los riesgos
  • Reducir las pérdidas generadas por riesgos mal identificados
  • Mejorar la eficacia de las operaciones de gestión de riesgos
  • Reducir los costes de cumplimiento
  • Identificar actividades ilegítimas en fases tempranas
  • Reducir los posibles daños causados por riesgos futuros

Detallada

Es imposible prever todos los riesgos. Sin embargo, a través de un análisis exhaustivo se pueden detectar posibles riesgos para así obtener los mejores resultados posibles.

Intencionada

Comprobaciones o revisiones de seguridad rutinarias realizadas durante el ciclo de un proyecto.

Relativa al tiempo

La gestión de riesgos operativos de este tipo suele ser más urgente durante los cambios operativos cuando el tiempo es limitado. Si no se realiza de acuerdo con los requisitos de tiempo, es posible que queden riesgos sin identificar.

  • Riesgos derivados de acontecimientos catastróficos (p. ej., huracanes)
  • Ataques cibernéticos o piratería informática
  • Fraude interno y externo
  • Incumplimiento de las políticas internas

Gobernanza, riesgo y cumplimiento

Un conjunto de prácticas y procesos respaldados por una cultura consciente del riesgo y por tecnologías instrumentales, que mejoran la toma de decisiones y el rendimiento a través de una visión integrada del modo en que una empresa gestiona su conjunto único de riesgos.

Identificación y evaluación de riesgos

Hay múltiples factores que suponen un riesgo para la empresa, y estos pueden ser tanto internos como externos. Es necesario identificar el mayor número de riesgos posible, utilizando para ello todas las herramientas de las que dispone el negocio. Los riesgos que se deben identificar deben ser riesgos únicos y recurrentes. Una vez identificados, es necesario evaluarlos desde una perspectiva cualitativa y cuantitativa, teniendo en cuenta la frecuencia y la gravedad de los riesgos y determinando las medidas que se deben tomar para prevenirlos y mitigarlos.

Entorno de control

Aplicar controles para limitar la exposición al riesgo de una empresa y aumentar las posibilidades de mitigar los riesgos.

Supervisión e informes

La gestión eficaz de riesgos implica supervisar constantemente los riesgos y generar informes cuando sea necesario, con el fin de hacer un seguimiento de la eficacia del plan de gestión de riesgos.

Cuantificación, medición y modelado

Las empresas pueden utilizar los datos de salida de un modelo de evaluación de riesgos en un modelo de medición de la exposición al riesgo. Los sistemas de cuantificación se deben validar para garantizar que son lo suficientemente robustos para que la información, las suposiciones, los procesos y los resultados sean precisos.

Toma de decisiones relativas a los riesgos

La junta directiva debe revisar periódicamente los marcos de riesgo. De este modo, pueden supervisar a la alta dirección para garantizar que todos los aspectos de las políticas y los procesos se implementan en todos los niveles de decisión. La junta directiva también debe fijar una postura de tolerancia al riesgo que articule los tipos, los niveles y la naturaleza de los riesgos operativos que están dispuestos a asumir.

Fomentar ciertos comportamientos

Garantiza que el personal comprende bien los riesgos y los incentivos asegurándote de que todos los materiales, actividades y procesos identifiquen y evalúen los riesgos operativos. Debe haber una cultura establecida que respalde los procesos y que promueva la comprensión de los riesgos operativos inherentes a las estrategias y a las actividades diarias de la empresa.

Las tres líneas de defensa

La directiva y los órganos rectores son responsables de fijar los objetivos de la empresa y de describir las estrategias para alcanzarlos. Como parte de los objetivos, está la gestión del riesgo a través del modelo de las tres líneas de defensa, que requiere el apoyo activo de la alta dirección y del organismo rector de la empresa.

  • Primera línea: gestión de operaciones
    La gestión de operaciones es la función responsable del riesgo y de su gestión, y representa la primera línea de defensa que deben tener los gerentes de operaciones. Es aquí donde recae la responsabilidad de implementar acciones para corregir las deficiencias. En el proceso se incluye la identificación, la evaluación, el control y la mitigación de los riesgos, así como la orientación en la implementación de políticas internas para comprobar que las actividades están alineadas de manera coherente con los objetivos.

  • Segunda línea: gestión de riesgos y cumplimiento
    La segunda línea de defensa normalmente incluye una función de gestión de riesgos para supervisar la implementación de las prácticas de gestión de riesgos y, al mismo tiempo, ayudar a los gerentes de operaciones a definir las exposiciones objetivo e informar de datos relacionados con el riesgo.

  • Tercera línea: auditoría interna
    Los auditores proporcionan garantías a la alta dirección y al organismo rector. El propósito de la auditoría es aportar información sobre la gestión de riesgos, los controles internos y la efectividad de la gobernanza. Por lo general, el alcance cubre la eficiencia de las operaciones, los activos, la fiabilidad e integridad del proceso de información y el cumplimiento.

Amplía las prácticas para incluir la supervisión de segunda línea

La gestión de los riesgos operativos debe centrarse en detectar e informar sobre riesgos de todos los tipos, y debe ampliarse para incluir una segunda línea que trabaje en colaboración con la primera para crear una resiliencia eficaz en las operaciones y los procesos.

Existen determinadas herramientas que son necesarias para evaluar un proceso empresarial y su resiliencia, cuestionar a la gerencia de la empresa según sea necesario y gestionar las prioridades.

  • Representa visualmente procesos y controles: tómate el tiempo necesario para representar visualmente los procesos e incluye los riesgos y los controles pertinentes. Debes incluir la complejidad real, cada entrega que se produce en el proceso y si la gestión es automática o manual. El objetivo es determinar la propiedad durante el proceso y maximizar la productividad.

  • Identifica la tecnología necesaria: detecta los puntos en los que entra en juego la tecnología y determina el tipo de tecnología que se necesita.

  • Supervisa: controla los riesgos y las comprobaciones, y desarrolla mecanismos que te ayuden a realizar un seguimiento de las métricas con el fin de detectar niveles de riesgo inusuales.

  • Vincula recursos: conecta la planificación de recursos a los procesos para comprender los procesos asociados y las necesidades del proceso. Desarrolla capacidades para escalar según los resultados que obtengas.

  • Refuerza el comportamiento: asegúrate de que los comportamientos individuales adecuados se refuerzan a través de la formación, los incentivos y la gestión del rendimiento.

  • Gestión de cambios: crea sistemas de gestión de cambios para asegurarte de contar con el talento adecuado. Trabaja con procesos y capacidades, y asegúrate de que se proporciona la orientación adecuada.
  • Retroalimentación: favorece la retroalimentación constante para notificar problemas, realizar análisis de causa raíz y revisar los procesos a medida que se recopilan los datos.

La detección en tiempo real y basada en análisis reemplazará la generación manual de informes

Los avances conseguidos en las herramientas de análisis pueden contribuir a la gestión del riesgo; y es que, con el tiempo, aumenta la disponibilidad tanto de los datos estructurados como de los no estructurados. Las herramientas de análisis avanzados se aplican en casi todas las áreas de gestión de riesgos, incluida la detección de riesgos, la identificación de falsos positivos, el cumplimiento, los fallos de procesos y el riesgo humano.

  • Señalización en tiempo real: somete la gestión de riesgos a pruebas en tiempo real para detectar y analizar las métricas de riesgo. Por lo general, las anomalías o las actividades inusuales pueden indicar áreas de riesgo o cuestiones que deben abordarse en tiempo real.
  • Herramientas específicas: las herramientas de datos específicas pueden detectar problemas de riesgo en ciertas áreas identificadas. El aprendizaje automático también puede ser de ayuda a través de herramientas analíticas específicas, ya que los sistemas de aprendizaje automático e inteligencia artificial pueden aprender a detectar mejor las áreas de riesgo o los indicadores de las actividades de riesgo dentro de un conjunto de datos.

Asigna talento a las áreas clave de datos y análisis

La gestión del riesgo requiere un conjunto especial de habilidades y la comprensión del riesgo para detectar la actividad de riesgo, interpretar los datos y proporcionar un análisis exhaustivo. Los gerentes, los equipos y las personas deben abordar el riesgo de formas nuevas, adaptarse a los procesos y entender que los análisis avanzados cada vez son más relevantes, especialmente con la implementación de sistemas de aprendizaje automático e inteligencia artificial.

Aborda los riesgos del factor humano

Los seres humanos pueden ser altamente eficaces para gestionar el riesgo operacional, pero parte de la gestión del riesgo consiste en identificar y analizar cómo el factor del error humano puede afectar a la gestión del riesgo operacional y plantear sus propios riesgos.

Evitar riesgos

Después de identificar los riesgos, se debería tratar de evitar la mayoría de ellos. La prevención de riesgos tiene por objetivo minimizar las vulnerabilidades y abordar los riesgos que se identifican como amenazas. Para evitar estos riesgos es necesario proporcionar la formación adecuada y establecer las políticas y los procedimientos correctos.

Reducir el riesgo

Lo ideal sería poder evitar los riesgos en todo momento, pero no siempre es posible. Reducir el riesgo consiste en comprender el riesgo y sus implicaciones, así como las estrategias implementadas para reducirlo. Por lo general, el riesgo se cuantifica, analiza y clasifica en niveles de riesgo para crear prioridades de reducción y desarrollar operaciones para la reducción de riesgos.

Compartir el riesgo

Compartir el riesgo no significa transferir el riesgo de un lugar a otro. El objetivo de compartir los riesgos es reducir el impacto de acontecimientos inciertos y de determinados riesgos. Las tareas o responsabilidades se pueden dividir entre departamentos o personas dentro de la empresa, lo que distribuye el riesgo entre varias partes y asigna responsabilidades individuales en prácticas de gestión de riesgos más amplias.

Mantener el riesgo

Transferir el riesgo significa no asumir la responsabilidad del mismo; mantener el riesgo es precisamente lo contrario. Una empresa mantiene el riesgo al pagar por él y por sus consecuencias. Por lo general, los riesgos se mantienen cuando un análisis financiero indica que es menos costoso conservar los riesgos que transferirlos a un tercero.

Primeros pasos con Governance, Risk, and Compliance de ServiceNow

Gestiona el riesgo y la resiliencia en tiempo real con ServiceNow.