Saltar al contenido principal

Guía para identificar y gestionar riesgos corporativos

Portada » Blog Calidad y Excelencia » Guía para identificar y gestionar riesgos corporativos
5/5 - (2 votos)

Riesgos corporativos

La identificación de los riesgos corporativos constituye el primer paso para poder plantear una metodología de gestión del mismo acorde a cada organización.

Para realizar la identificación de los riesgos podemos apoyarnos en el siguiente cuestionamiento.

¿Qué puede pasar?

Es decir, que eventos pueden interferir en la consecución de los objetivos planteados para la organización, para ello se requiere pleno conocimiento de los objetivos y metas, de los factores internos y externos que intervienen en la gestión misma de la organización.

Descárgate el e-book Guía para la identificación, evaluación y gestión de  Riesgos Corporativos

Cabe aclarar que a partir de esta reflexión también se pueden identificar oportunidades, tema que abordaremos en otra ocasión.

¿Cuáles son las fuentes, los orígenes que pueden generar riesgos?

Para ello se tiene como base los factores internos y externos a la organización, la idea es identificar la existencia de debilidades y o Amenazas en los mismos, ejemplos de factores.

Internos:

  • Productos y /o servicios.
  • Cultura organizacional.
  • Comunicación.
  • Estructura organizacional.
  • Talento Humano.
  • Tecnología.

Externos:

  • Normatividad legal.
  • Cambios económicos.
  • Pandemias.
  • Proveedores.
  • Competencia.
  • Mercado.

Otras técnicas que se pueden utilizar en la identificación de riesgos son:

  • Estudio de los procesos: ayudan con la identificación del riesgo que se deriva de las operaciones (Operativo).
  • Lluvia de ideas: en la que participen los empleados y manifiesten los riesgos que han identificado en su proceso.
  • Entrevistas: a los líderes de procesos y que estos puedan expresar las inquietudes.
  • Benchmarking: comparase con otras organizaciones del mismo sector y que tengan en común factores como el tamaño, el posicionamiento.

Palabras clave:

  • Riesgo inherente: es aquel riesgo propio por el desarrollo de la actividad.
  • Riesgo residual: es aquel riesgo que permanece a pesar de haber implementado medidas de control.
  • Controles: es una medida de protección, que busca garantizar el desarrollo de las tareas y /o actividades enmarcadas en los estándares.

Una vez identificados es importante asignarles una clasificación, dicha clasificación posteriormente se orientará en los posibles controles y soluciones a los mismos, entre las clasificaciones más utilizadas tenemos: riesgos operativos, financieros, tecnológicos, estratégicos, de imagen entre otros.

Es importante también describir el riesgo, indicar cuáles son las causas que lo origina y las consecuencias que pueden generar los mismos.

Posteriormente asignar unas escalas de evaluación para el riesgo inherente, ese riesgo que existe de forma implícita por el hecho de desarrollar esa actividad, es importante realizar un análisis del mismo y asignarle un nivel para posteriormente establecer controles.

Determinar los controles que se van a aplicar sobre el riesgo identificado, para ello es importante tener claridad en aspectos como quién (Cargo- rol) será el responsable de llevar a cabo ese control, la periodicidad con que se debe aplicar, el tipo de control, si es un control que depende de aplicaciones informáticas, de la ejecución de una tarea por parte de una persona, si se encuentra o no documentado para garantizar la transferencia del conocimiento, que evidencias se dejan de la aplicación del mismo, si existen indicadores que midan la efectividad entre otros.

Una vez se determina el o los controles para los riesgos determinar la efectividad de los mismos, y posteriormente evaluar el riesgo residual y establecer las políticas de respuesta ante los mismos (Asumir, compartir, transferir).

Con base en los criterios anteriores y teniendo en cuenta aquellos riesgos que, aunque se han implementado controles el nivel sigue siendo el mismo, establecer planes de acción enfocados a en primera medida que no se materialicen o en caso de hacerlo que permitan minimizar las consecuencias negativas.

A continuación, se ilustra un ejemplo sencillo y genérico para dar una explicación práctica de los conceptos anteriores.

Identificación.

  • Nombre del riesgo: no alcanzar los objetivos de un proyecto porque se definió mal el alcance.
  • Descripción: no se logran los objetivos del proyecto ya que, al alcance ejecutado, es menor al alcance definido.
  • Clasificación: operativo (de gestión de proyectos)
  • Causas: falta de una metodología de gestión de proyectos, falta de experiencia y o conocimiento en el producto o servicio.
  • Consecuencias: incumplimiento de plazos de entrega, rechazo de los entregables del proyecto, sobrecostos.

Riesgo Inherente:

Basándose en una calificación que involucre probabilidad vs impacto y creando por ejemplo una matriz de 3×3 tenemos:

Riesgo inherente: Impacto (Alto 3) * Probabilidad (Media 2) = Riesgo Alto (6)

  • Controles:
  • Descripción: revisión detallada del alcance contratado, acta de inicio del proyecto aceptada por el cliente y firmada dónde está muy claro el alcance y exclusiones del mismo
  • Responsable: director del proyecto
  • Periodo de aplicación: al inicio del proyecto.
  • Clasificación: manual.
  • Indicadores asociados: % de proyectos ejecutados de acuerdo al alcance.
  • Riesgo Residual: Impacto (Alto 3) * Probabilidad (Baja 1) = Riesgo Medio (3)
  • Política de respuesta: asumir el riesgo.
  • Plan de acción: realizar reuniones de seguimiento del proyecto, responsable: director del proyecto, fecha de ejecución: al inicio de cada fase.

Como vemos la identificación y gestión de riesgos implica un conocimiento profundo de la actividad de la organización, las interacciones que estas generan y los resultados previsibles que se derivan de las mismas.

Software ISOTools

El Software ISOTools para la Gestión de Riesgos Corporativos, es un gran aliado para el seguimiento y monitoreo de cualquier riesgo identificado en su organización, independientemente de su perfil u origen.

Establecer medidas y tomar decisiones mediante las matrices de gestión de riesgos de nuestro software es muy sencillo, ¿quiere saber cómo?

Guía para la identificación, evaluación y gestión de Riesgos Corporativos

¿Desea saber más?

Entradas relacionadas

Gestión Por Procesos 9001
Definición de procesos para el SGC. Pasos hacia una gestión basada en procesos.

Definición de procesos La gestión dentro de la organización se compone de tareas, con diferentes nivel de responsabilidad,…

Ver más
Auditoría De Sostenibilidad
Cómo preparar una auditoría de sostenibilidad

Auditoría de Sostenibilidad El desarrollo de negocio que existe a día de hoy, además de estar muy vinculado…

Ver más
Sistema De Gestión De Seguridad De La Información
Ventajas de tener un sistema de gestión de seguridad de la información

Sistema de Gestión Seguridad de la Información Un sistema de gestión de seguridad de la información (SGSI) es…

Ver más
Análisis De Escenarios
Análisis de riesgos operacionales. Uso de escenarios para el análisis de riesgo

Escenarios de riesgo operacional Los escenarios son una de las técnicas más antiguas de análisis que se recuerdan…

Ver más