Saltar al contenido principal

La responsabilidad y autoridad de los risk manager y risk owner

Portada » Blog Calidad y Excelencia » La responsabilidad y autoridad de los risk manager y risk owner
5/5 - (1 voto)

Risk manager y risk owner

La gestión de riesgos es una disciplina crucial para asegurar el éxito de las organizaciones. Existen diferentes marcos de referencia y normas como COSO ERM 2017 y la ISO 31000:2018, que se complementan con los métodos contemplados en la IEC 31010:2019. No obstante, estas referencias funcionan siempre y cuando las organizaciones tengan personas dedicadas a planificar, ejecutar, verificar y mejorar la gestión de riesgos. La forma ideal de agrupar los esfuerzos es mediante la formación de equipo.

En este artículo abordaremos al menos 3 tipos de equipos para la gestión de riesgos y la identificación de uno de los integrantes más importantes con los que cuentan los grupos de trabajo, que son sus líderes. Estas funciones se reconocen como risk manager y risk owner, más abajo el conoceremos las responsabilidades y autoridades de cada uno de ellos.

CTA post Botón Contacto 2

Reciba asesoramiento de un consultor experto de ISOTools sin compromiso

Los tipos de equipo de trabajo más comunes en la gestión de riesgos son:

  • centralizados
  • distribuidos
  • ad hoc

Centralizada

Se refiere a una unidad especializada en la gestión de riesgos en la que expertos en el manejo de las herramientas apropiadas para el tratamiento de riesgo sirven como consultores internos a la organización para brindar apoyo en la identificación, análisis y evaluación de riesgos. Finalmente, esta unidad tiene la responsabilidad de hacer seguimiento al tratamiento de riesgos y la autoridad de la misma es la adecuada. Este tipo de equipos tiene fortalezas importantes en su experticia en el manejo de herramientas, pero tiene un alcance limitado, pues no es capaz de conocer la dinámica del resto de los procesos de la organización, lo cual puede hacer que su capacidad de respuesta sea restringida.

Distribuida

Es un equipo cuyo fin consiste en distribuir las responsabilidades y autoridades para la identificación, análisis y evaluación de los riesgos, en la que los dueños de proceso interactúan con entidades de expertos para la toma de decisiones con riesgos informados. Este es uno de los tipos de equipo de trabajo más usados y tiene un nivel de eficacia importante, aunque requiere de un esfuerzo considerable para la formación y la toma de conciencia de todos los integrantes de la organización. Una de las modalidades más reconocidas de este tipo de equipos es el de las 3 líneas de defensa.

Nueva llamada a la acción
Software GRC

Ad-hoc

Alude a la gestión de riesgos “a demanda”, es decir, cuando el entorno cuenta con características que representan amenazas inminentes para la organización. Este tipo de equipo es el que comúnmente tienen las pymes, requiere de pocos recursos a corto plazo, pero depende de una alta competencia en materia de gestión de riesgos para los integrantes de la organización, además de una flexibilidad importante que requiere un claro conocimiento de los procesos de la organización y de los requisitos de las partes interesadas con integrantes multifuncionales.

Para liderar estos equipos se requiere de dos figuras relevantes con diferentes niveles de participación, que eventualmente son combinadas. Estas funciones son ocupadas por el risk owner y el risk manager. ¿De qué se tratan sus labores? Lo explicamos a continuación:

Risk owner: es quien vela por el adecuado funcionamiento del proceso de riesgos y debe gestionar el tratamiento del mismo liderando equipos, comúnmente a nivel de procesos.

Risk manager: es el responsable del adecuado funcionamiento del marco de referencia a nivel de toda la organización, administra los recursos para el funcionamiento del proceso de gestión de riesgos y genera los canales para el desarrollo de una cultura de gestión de riesgos que aporte valor para la organización y partes interesadas. Su alcance comúnmente es a nivel organizacional.

A continuación, describimos las responsabilidades y autoridades más comunes para cada uno de estos líderes:

Responsabilidad y autoridad para el risk manager

  • Liderar el análisis del contexto de la organización y los requisitos de las partes interesadas en lo concerniente a la gestión de riesgos.
  • Asegurar que el perfil de riesgo de la organización esté acorde con los lineamientos establecidos por el órgano de gobierno.
  • Solicitar el desarrollo de un BCP, DRP y planes de emergencias ambientales y de SST.
  • Proponer la política de riesgo para la organización, la cual debería ser aprobada por la alta dirección.
  • Supervisar el desempeño y el cumplimiento de los objetivos de la gestión de riesgos.
  • Estar al tanto del valor razonable y las acciones proporcionales ante los distintos tipos y niveles de riesgo.
  • Asegurarse de que los líderes de proceso cuenten con los recursos necesarios para contar con controles eficaces.
  • Fomentar un proceso de comunicación, concienciación y de formación eficaces en la organización
  • Promover una cultura de cumplimiento de los lineamientos trazados de los riesgos de la organización.
  • Realizar los reportes de riesgo, donde se resuman: KRI´s, resultados de auditoría, eficacia de controles y acciones de mejora continua.
  • Revisar, aprobar y recomendar la tolerancia al riesgo.
  • Promover el uso eficiente de herramientas tecnológicas disponibles en el mercado para la gestión eficaz del riesgo.

Responsabilidad y autoridad para el risk owner

  • Establecer límites y proponer criterios para la aceptación de riesgos.
  • Aportar información para el esclarecimiento del contexto.
  • Identificar los activos en función a su valor y su relevancia para la continuidad de negocio.
  • Propiciar los medios para la toma de conciencia respecto a la política de gestión de riesgos.
  • Calcular e informar los datos necesarios para los KRI´s.
  • Catalizar la mejora de la supervisión y administración del riesgo.
  • Detectar las necesidades de formación y fomentar la competencia de gestión de riesgos en la organización.
  • Hacer seguimiento al plan de tratamiento de riesgos y hacer las actualizaciones necesarias para asegurar su eficacia.

En conclusión, para abordar adecuadamente los riesgos se requiere la conformación de equipos de trabajo adecuados a la naturaleza de cada organización. El liderazgo de la gestión de riesgos demanda un conjunto de responsabilidades y autoridades que deben estar claras para todos los integrantes de la organización, de modo que estos puedan contribuir eficazmente en la toma de decisiones con riesgos informados y proteger efectivamente el valor de la organización.

Software ISOTools

El Software ISOTools para la Gestión de Riesgos, es un gran aliado para el seguimiento y monitoreo de cualquier riesgo identificado en su organización, independientemente de su perfil u origen.

Establecer medidas y tomar decisiones mediante las matrices de gestión de riesgos de nuestro software es muy sencillo, ¿quiere saber cómo?

CTA post Tira Contacto 2

RECIBA ASESORAMIENTO SIN COMPROMISO

¿Desea saber más?

Entradas relacionadas

Controles Seguridad De La Información
Con los controles no es suficiente. Sigue necesitando la ISO 27001

Controles ISO 27001 La información es uno de los activos más importantes. Otras personas, empresas y países están…

Ver más