La administración integral de riesgos (IRM por sus siglas en inglés) es una forma estratégica y colaborativa para que las organizaciones gestionen el riesgo en todo su grupo. Con el IRM, el equipo de administración de riesgos trabaja junto con todos los líderes de los segmentos del negocio (primera línea de defensa) para compartir y visualizar datos sobre el riesgo, determinar el verdadero apetito de riesgo de la organización, garantizar el cumplimiento y comunicar las estrategias de riesgo y mitigación de los mismos al consejo de administración. Esta estrategia acepta el riesgo como parte de hacer negocios y lo incorpora a la cultura de una empresa para que la organización gestione el riesgo como parte de las operaciones diarias y de su estrategia a largo plazo. El resultado es una comprensión y mitigación del riesgo en toda la empresa que los posiciona para estar mejor preparados para manejar el riesgo y construye defensas proactivas a través de la planificación avanzada de escenarios. Este post describe los elementos esenciales del IRM y por qué es importante, los enfoques clave a tener en cuenta y qué buscar al determinar qué solución integrada de software de gestión de riesgos es adecuada para su organización.
¿Qué es la Administración Integral de Riesgos (IRM)?
La administración integral de riesgos es un enfoque a nivel organizacional para abordar los riesgos considerando las aportaciones de todos los equipos como parte fundamental de una estrategia empresarial. Gartner lo define como un "conjunto de prácticas y procesos respaldados por una cultura consciente del riesgo y tecnologías habilitadoras que mejoran la toma de decisiones y el desempeño a través de una visión integrada de qué tan bien una organización administra su conjunto único de riesgos". Cualquier actividad comercial conlleva un riesgo inherente, por lo que el IRM incluye evaluaciones de riesgo y estrategias de mitigación en todos los aspectos de la empresa. El IRM vincula tres áreas del programa de gestión de riesgos: tecnología/riesgo cibernético, riesgo operativo y riesgo empresarial/estratégico. Un marco de gestión de riesgos integrado involucra a las partes interesadas dentro y fuera de la organización, requiere el apoyo verbal y constante de la alta dirección y se basa en una buena comunicación entre los equipos para tener éxito. El resultado es una visión integral de las posiciones de riesgo de una organización, desde la estrategia hasta la ejecución. El IRM también permite una mentalidad de "riesgo primero" que crea una cultura más ágil, con visión de futuro y consciente del riesgo, superando el enfoque obsoleto basado en el cumplimiento para la gestión de riesgos.
¿Por qué es importante la gestión integrada de riesgos?
Como señala John Wheeler, ex analista de Gartner IRM y actualmente asesor senior de AuditBoard para Risk and Technology, “sin importar el tamaño, la industria o la ubicación, todas las empresas buscan lograr cuatro objetivos del IRM: mejor rendimiento, mayor resiliencia, mayor seguridad. y cumplimiento rentable”. Mientras estuvo en Gartner, Wheeler acuñó efectivamente el término "administración integral de riesgos" y dirigió la investigación para definir el nuevo enfoque y el mercado de tecnología IRM. Ha identificado cuatro formas en que el IRM permite a las organizaciones trabajar hacia esos objetivos: mejorar el rendimiento, aumentar la resiliencia, asegurar garantías de riesgo en toda la empresa con respecto al apetito general del riesgo y las estrategias de mitigación, y cumplir con los requisitos de cumplimiento como un subproducto sin costos excesivos, recursos y fricciones para el negocio.
"sin importar el tamaño, la industria o la ubicación, todas las empresas buscan lograr cuatro objetivos de IRM: mejor rendimiento, mayor resiliencia, mayor seguridad. y cumplimiento rentable”. - John Wheeler.
El uso de un marco integrado de administración de riesgos tiene muchos beneficios de cara a las actividades comerciales cotidianas a corto plazo y como parte de la planificación a largo plazo. El enfoque de gestión integrada de riesgos es importante porque garantiza que una organización se sienta cómoda con el riesgo y evalúa la mejor manera de gestionarlo, integrando las evaluaciones y mitigaciones de riesgos en el curso de sus actividades cotidianas. Los beneficios para una organización van desde mejoras operativas diarias hasta resultados a mayor escala, y es mucho menos probable que las empresas se sorprendan con riesgos imprevistos debido a la minuciosa planificación anticipada y la creación de escenarios en los procesos de evaluación y mitigación de riesgos. Los beneficios del IRM incluyen:
1. Calidad de los datos: Las evaluaciones de riesgos de cumplimiento son parte del IRM, por lo que los datos de la empresa siempre deben ser confiables, actuales y estar disponibles para los líderes del negocio que necesiten los detalles más recientes sobre las posiciones de cumplimiento normativo de la organización.
2. Preparación ante desastres y resiliencia. El enfoque integrado de gestión de riesgos prepara a las organizaciones para casos extremos y permite que las organizaciones se recuperen rápidamente en caso de un desastre importante. Una ocurrencia de clima extremo o un paro laboral no detendría al negocio, porque un IRM habilita a una organización para mantener sus funciones críticas.
3. Ahorro de costos. El IRM proporciona información sobre los riesgos y controles operativos de una empresa, asignando controles individuales a múltiples factores de riesgo. Comprender los riesgos comerciales que afectan a diferentes áreas y sus controles de mitigación puede reducir los costos debido a las redundancias de cumplimiento.
4. Encontrar eficiencias. El proceso del IRM ayuda a identificar oportunidades de ahorro y, a menudo, encuentra eficiencias durante el ejercicio de identificación, análisis y evaluación de riesgos. Esto se extiende a los equipos, y los grupos pueden ganar flexibilidad y nuevas estructuras organizacionales y relaciones entre equipos que reducen costos.
5. Conciencia sobre el apetito de riesgo. Las evaluaciones del IRM permiten a la alta gerencia determinar las mejores opciones posibles para mitigar los riesgos identificados y, al hacerlo, aclarar la estrategia de una organización y su apetito general y nivel de comodidad con sus riesgos comerciales y operacionales.
6. Priorización de proyectos. El proceso del IRM colabora para garantizar que los proyectos de alta prioridad cuenten con los recursos adecuados y sean posicionados en primer lugar por la empresa, y guía las decisiones para que los riesgos significativos se gestionen adecuadamente.
7. Vistas panorámicas. Los líderes del negocio obtienen una visión completa de cómo los riesgos de su organización tienen un impacto en los objetivos, estrategias y operaciones. Un IRM exitoso también tiene en cuenta los eventos que podrían ocurrir fuera de los riesgos estudiados o previstos y, al hacerlo, contribuye a un análisis saludable del panorama y la posición de la gerencia en todas las áreas de su industria.
8. Confianza hacia terceros. Ahora más que nunca es más importante que las empresas creen y mantengan un alto nivel de confianza con terceros externos, ya sean clientes, proveedores o compradores potenciales. Sólidos procesos integrados de gestión de riesgos con terceros refuerzan la confianza no solo con ellos, sino con todos los stakeholders clave. Por ejemplo, la sustentabilidad (riesgos ESG) está ganando importancia para los inversionistas, clientes y reguladores, y la capacidad de lograr calificaciones de riesgo climático positivas puede ser muy atractiva.
Adoptar un enfoque integral del riesgo genera recompensas financieras, desde encontrar redundancias en los controles o el personal, hasta identificar áreas inexploradas para trabajar y generar un nuevo interés de los inversores. Recuerda alinear los esfuerzos del IRM con los objetivos del negocio, así como que los costos de asignar tiempo y recursos se ven superados rápidamente por los beneficios.
Seis atributos principales de la Administración Integral de Riesgos.
Para comprender el alcance de sus riesgos, las organizaciones necesitan una imagen completa de todas las unidades de negocio y funciones de cumplimiento, además de cualquier proveedor o socio externo. Para obtener esa comprensión, los líderes deben conocer los seis atributos principales del IRM. Según Gartner, son Estrategia, Evaluación, Respuesta, Comunicación e informes, Monitoreo y Tecnología.
1. Estrategia. Implementar un marco de gobierno de riesgos, incluidas las mejoras de rendimiento a través de la propiedad del riesgo y la supervisión organizacional adecuada.
2. Evaluación. La evaluación completa de riesgos incluye la identificación, evaluación y priorización de todos los riesgos en todas las áreas del negocio.
3. Respuesta. La implementación de mecanismos para mitigar todos los riesgos identificados.
4. Comunicación e informes. Establecer un plan adecuado de comunicación y escalamiento para informar a las partes interesadas apropiadas sobre la respuesta y el seguimiento del riesgo.
5. Monitoreo. Identificar e implementar procesos que realicen un seguimiento de los objetivos de gobierno, la responsabilidad y la propiedad del riesgo, y el cumplimiento. Esto incluye monitorear los riesgos y evaluar la efectividad continua de las mitigaciones y controles.
6. Tecnología. El diseño e implementación de una arquitectura de solución integrada de gestión de riesgos.
Después de estas seis fases, asegúrate de que las áreas están interactuando y mejoren continuamente en los esfuerzos de mitigación de riesgos. El IRM es un proceso iterativo que siempre está evolucionando y adaptándose a los cambios en el mercado, con respecto a las tecnologías de los proveedores, a cualquier nueva legislación y requisitos de cumplimiento resultantes, y en respuesta a los objetivos generales del negocio.
Cuatro enfoques clave para la gestión integrada de riesgos
Hay algunos pasos esenciales que deben tomarse en cuenta al cambiar hacia al IRM. Los cuatro enfoques clave son alinear las estrategias con los objetivos, asegurarse de que la gestión de riesgos sea un esfuerzo de equipo, comunicar los planes a todas las partes interesadas y trabajar de manera "más inteligente".
1. Empatar las estrategias de negocio con sus objetivos. Para garantizar el apoyo ejecutivo y la alineación de las unidades de negocio, debe crear una cultura de concienciación sobre los riesgos. Demostrar un vínculo entre una mejor gestión de riesgos y mejores resultados para el negocio, mostrando a los líderes de equipo que la estrategia del IRM coincide con los objetivos de la empresa. Cuando el IRM está vinculado con objetivos financieros, es más fácil obtener la aceptación total de todos los miembros del equipo.
2. Gestión de Riesgos como un esfuerzo de equipo. Después de asegurar el apoyo de los líderes de la empresa y entre equipos, debe haber un cambio cultural. Para mantener la responsabilidad en toda la empresa, es necesario que haya una promoción continua de los esfuerzos de IRM y una responsabilidad compartida por los resultados. Las evaluaciones de riesgos deben ser esfuerzos transversales. Los equipos de TI y los líderes del negocio deben trabajar juntos para comprender lo que la empresa está tratando de lograr y cómo los equipos pueden respaldar mejor esos objetivos. Todos deben ser alertados sobre las decisiones de las partes interesadas e informados cada vez que se habilitan nuevos sistemas o soluciones. Luego, documentar los nuevos procesos y procedimientos, haciendo circular las actualizaciones en todas las áreas.
3. Comunicar planes de gestión de riesgos. Compartir los planes de gestión de riesgos hace que todos los equipos multifuncionales apoyen y se alineen con las estrategias de IRM. Esto requiere que todos tengan claro cuál es su rol, y los esfuerzos de gestión de riesgos deben ser visibles para todos los involucrados. Se debe documentar y compartir adecuadamente un resumen completo de los controles internos. Los equipos de cumplimiento deben revisar continuamente los procesos, documentar cualquier ajuste y comunicar esas actualizaciones a las partes interesadas. Recuerde: el diálogo continuo y la sobrecomunicación en el mundo de la gestión integral de riesgos es algo bueno.
4. Trabaja "más inteligentemente". Los líderes a menudo dicen: “Trabaja de manera más inteligente, no más difícil”. Para facilitar una integración exitosa de IRM, este enfoque significa reducir los esfuerzos administrativos repetitivos de un equipo y aumentar la innovación en el lugar de trabajo. Los equipos que pasan mucho tiempo luchando contra el trabajo táctico de la gestión de riesgos, como el seguimiento de controles, no tienen tiempo para pensar estratégicamente en su negocio. Automatiza todo lo que puedas para liberar tiempo de tu equipo.
No esperes para revisar los controles hasta justo antes de la próxima ronda de auditoría. En su lugar, utiliza informes automatizados para medir el rendimiento y realizar mejoras antes de los períodos de revisión programados. Proporciona a los equipos el tiempo y el espacio necesarios para ser estratégicos y luego cambia según sea necesario, recordando documentar y comunicar todos los cambios a las partes correspondientes.
GRC vs. Administración Integral de Riesgos (IRM): ¿Cuál es la diferencia?
Governance, Risk and Compliance (GRC) es el enfoque estándar que utilizan muchas organizaciones para alinear su negocio con los requisitos de cumplimiento de su industria. Es un modelo más tradicional que la administración integral de riesgos, y en el modo GRC, el área de Cumplimiento de una organización se enfoca principalmente en garantizar que se cumplan las regulaciones. Al comparar GRC con IRM, el enfoque de GRC tiende a definir como una política de seguridad únicamente las regulaciones de la industria. Lo que falta aquí, y lo que se captura en el enfoque integrado de gestión de riesgos, es una perspectiva con visión de futuro específica del negocio. Los riesgos exclusivos de cada organización pueden pasar desapercibidos para una empresa centrada únicamente en satisfacer las necesidades reglamentarias. Alternativamente, la cultura de IRM incorpora la conciencia del riesgo en todos los aspectos del negocio, y ese modelo tiene una visión general y consistente del riesgo y su mitigación. Eso significa que existe una mayor cultura en toda la empresa de mitigar el riesgo relevante y una menor probabilidad de resultados comerciales negativos e imprevistos.
¿Cómo seleccionar la mejor estrategia y software para tu programa de IRM?
Al elegir el software / equipo de implementación IRM adecuado para tu negocio, asegúrate de que te ayude a colaborar en toda la organización y se conecte con el proceso de planificación estratégica de la empresa y todas las unidades de negocio. Aquí enlisto algunos factores adicionales a considerar:
1. Flexibilidad. ¿Las herramientas son fáciles de agregar al sistema existente? ¿Qué tan adaptable es? ¿Puede integrar datos relacionados con el riesgo de fuentes externas? ¿Cómo es el cronograma de implementación?
2. Entrenamiento. ¿Pueden los miembros del equipo aprender fácilmente a usar la herramienta? ¿El servicio brinda capacitación, tutoriales y soporte técnico?
3. Recomendaciones. ¿El software/consultor evalúan escenarios de riesgo y recomienda soluciones para la mitigación? Si es así, ¿son esas recomendaciones relevantes para su industria y procesables?
4. Herramientas de auditoría. ¿El software brinda la dirección adecuada con respecto a los procedimientos, los recursos y cumple con los requisitos de auditoría financieros y de control?
5. Análisis. ¿Las herramientas son fáciles de personalizar para asegurarse de que su equipo pueda obtener informes sobre los análisis que son más importantes para ellos? ¿Se captarán los indicadores clave de rendimiento de su organización?
6. Comunicación. ¿El software permite conocer los riesgos más relevantes y los requisitos de cumplimiento? ¿Puede informar a los equipos sobre el progreso del aprendizaje y las deficiencias? ¿Con qué frecuencia saca información útil?
7: Costo. ¿Tiene sentido el costo total de la herramienta/consultoría para tu organización, dadas todas las capacidades que se ofrecen y las necesidades comerciales que está tratando de satisfacer?
Una vez que hayas respondido todas estas preguntas, debes estar preparado para seleccionar la solución adecuada para tu organización. Ten en cuenta que puede cambiar a medida que su negocio se expande, se contrae o cambia a un nuevo espacio, y a medida que las tecnologías de software se actualizan y evolucionan. Es una buena idea evaluar periódicamente si el software o equipo a cargo que se tiene instalados siguen siendo la mejor opción para tu empresa.
Comienza hoy mismo con la implementación de tu estrategia de administración integral de riesgos.
La tecnología y consultoría adecuada puede ayudarte a crear un programa IRM efectivo y el equipo de administración de riesgos de Advisory Plus está listo para ayudarte a ti y a tu organización a tomar medidas para crear un plan de negocios poderoso y con visión de futuro que administre el riesgo de manera efectiva. Adopta la metodología de IRM para preparar exitosamente a tu organización para el futuro.
Gerardo González
CEO Advisory Plus
askgerry@advisory-plus.com
¿Sabes cuál es la mejor técnica para documentar los procesos de tu negocio?
Quizás debas ver este video
Pregúntanos sobre nuestros servicios: info@advisory-plus.com