Academia cero control lavado de activos

Guía para implementar un sistema de gestión de riesgos, según la ISO 31000

Contar con una adecuada gestión de riesgos permite cumplir con la normativa exigida y con los objetivos planteados de la organización.

Guía para implementar un sistema de gestión de riesgos, según la ISO 31000

Introducción

Ninguna empresa sin importar su origen o tamaño está exenta de sufrir algún tipo de riesgo que pueda afectar de forma directa o indirecta las actividades, el desarrollo y el cumplimiento de los objetivos; es por esto que es tan importante contar con un plan de gestión de riesgos que permita actuar de manera eficaz con el fin de evitar consecuencias fatales.

La ISO 31000 brinda diferentes herramientas que contribuyen a las buenas prácticas para gestionar los riesgos, esta normativa internacional se adapta a cualquier tipo de compañía y permite que se cumplan con los requisitos legales y que a su vez se obtengan resultados positivos debido a su implementación. 

En la siguiente guía usted encontrará la información pertinente que le permitirá establecer un sistema de gestión de riesgos acorde a lo que necesita su empresa y a la vez poder cumplir con la normativa exigida por los entes de control.

Gestión de riesgos

¿Qué es la gestión de riesgos?

Es el proceso que se realiza para identificar y gestionar los riesgos a los que puede estar expuesta la organización, con el fin validar la eficiencia de los controles y el de crear planes de acción que ayude a mitigarlos, aprovecharlos o en caso de que no se puedan prevenir contar con una estrategia que permita que la pérdidas no sean muy altas.

Hay que tener en cuenta que estas amenazas en muchas ocasiones pueden crear valor, ya que las empresas establecen métodos para generar un equilibrio entre los objetivos de crecimiento, rentabilidad y los riesgos a los que están asociados para contar con una consecución adecuada.

Aunque la gestión de riesgos es liderada por los directores o la junta directiva, se debe tener claro que esto es un tema que involucra a todos los miembros de la entidad y por ende se debe crear una cultura de riesgos en torno a esto. 

¿Qué es la norma ISO 31000?

¿Qué es la norma ISO 31000?

Se define como una guía o un referente internacional que ofrece directrices y principios para poner en marcha los sistemas de gestión de riesgos. Se publicó en noviembre del 2009 por la Organización Internacional de Normalización (ISO) con el fin de que las compañías puedan gestionar sus riesgos de una manera efectiva a través de procedimientos que les permitan cumplir sus objetivos.

La ISO 31000 cuenta con insumos globales que permiten realizar una adecuada y eficiente gestión de riesgos enfocados en operatividad, gobierno y confianza, además, esta norma brinda recomendaciones de mejores prácticas en la gestión de riesgos las cuales ofrecen técnicas apropiadas y seguridad en el lugar del trabajo.

Cabe resaltar que esta puede ser usada por cualquier tipo de entidad sin importar el sector al que pertenezca, ya que ofrece estrategias de decisión, operaciones, y procesos para los riesgos, ya que se ajusta a cualquier escenario. 

Es importante saber que la ISO 31000 no es certificable, sin embargo la implementación de esta minimiza a profundidad la amenaza al riesgo en cualquier momento que se encuentre y que la mayoría de los entes reguladores la toman como referencia para la promulgación de normas aplicables. 

Las ventajas que ofrece la ISO 31000 son:

  • Contribuye a mejorar la eficacia operativa y la gobernanza.
  • Genera confianza ya que se utilizan métodos adecuados para la gestión de riesgo.
  • Aplica controles de sistema de gestión para analizar riesgos y de esta manera mitigar las posibles pérdidas.
  • Mejora la resiliencia de los sistemas de gestión.
  • Responde de manera eficiente a los cambios de forma eficiente protegiendo a la organización.
  • Se adapta a cualquier tipo de riesgos sin importar su naturaleza o causa. 

Comité de Riesgo

Gestión de riesgos en la ISO 31000

Esta normativa define a la gestión de riesgos como las actividades que se ponen en marcha para seguir y controlar los riesgos a los que se ven enfrentadas las compañías. Se debe tener en cuenta que uno de los aspectos más importantes es la cuantificación y para eso se debe dividir en dos frentes:

Consecuencia 

Son los eventos que afectan al cumplimiento de los objetivos y que son procedentes de otros, en este punto se deben tener en cuenta aquellos que se clasifican en causa-efecto. 

Probabilidad

Es la posibilidad de que un evento pueda suceder. En este punto es importante que las organizaciones contemplen que estos hechos pueden provenir de las decisiones que tomen. Se divide en 5 escalas raro, probable, improbable, posible y muy frecuente. 

Ventajas y beneficios de implementar un sistema de gestión de riesgos

  • Aumenta la probabilidad de alcanzar los objetivos.
  • Fomenta la gestión proactiva.
  • Se es consciente de la necesidad de identificar y tratar los riesgos.
  • Cumple con los requisitos legales y reglamentaciones pertinentes y normas internacionales.
  • Mejora la presentación de informes obligatorios y voluntarios.
  • Mejora el gobierno corporativo.
  • Mejora la confianza y honestidad de las partes involucradas.
  • Minimiza pérdidas.
  • Establece una base confiable para la toma de decisiones y la planificación.
  • Asigna y usa eficazmente los recursos para el tratamiento del riesgo.
  • Mejora la eficacia y la eficiencia operativa.
  • Incrementa el desempeño de la salud y la seguridad, así como la protección ambiental.
  • Mejora la prevención de pérdidas y la gestión de incidentes
  • Mejora el aprendizaje organizacional.
  • Mejora la flexibilidad organizacional.
  • Mejora los controles.

Importancia de contar con un plan de gestión de riesgos

Importancia de contar con un plan de gestión de riesgos

El propósito de contar con un sistema de gestión de riesgos se basa en que permite identificar, reducir, planificar y tomar buenas decisiones referentes a los riesgos.

Este plan brinda las herramientas necesarias para tener una gestión de riesgos adecuada y se puede aplicar desde el inicio de una organización en cualquier escenario: estrategias, decisiones, procesos, funciones, proyectos, servicios y activos. 

Esta es la mejor forma para anticiparse a las catástrofes que puedan ocurrir y crear estrategias que permitirán abordar las amenazas para estar prevenidos y evitar consecuencias fatales.

Principios

Principios y directrices para la gestión de riesgos, según la ISO 31000

La ISO 31000 ofrece algunos principios y directrices que ayudan en la gestión de riesgos cómo:

  • La compañía tiene más probabilidades de cumplir los objetivos propuestos.
  • Cumplimiento de estándares legales en diferentes áreas de la compañía.
  • El manejo de la administración mejora.
  • Se protegen los recursos de la empresa.
  • El desarrollo interno se vuelve más eficaz y eficiente.
  • La toma de decisiones es más confiable gracias a la herramienta para evaluar la gestión de riesgos.
  • Se toma conciencia de la importancia de contar con un sistema de gestión de riesgos y desastres.
  • Se identifican los riesgos a los que está expuesta la empresa.
  • Reduce y divide los riesgos.
  • Da la posibilidad de que exista una planificación.
  • Permite la toma de decisiones oportuna.
  • Se motiva a la junta directiva y a cada uno de los miembros de la compañía.
  • La gobernabilidad dentro de la organización es más eficiente.  
  • Se genera confidencialidad y confianza.
  • Se hacen los controles pertinentes.
  • Se minimizan las pérdidas.
  • Mejora la cultura organizacional. 
  • Genera valor a la organización.
  • Se le da un adecuado manejo a la incertidumbre.
  • Es dirigida a la mejora dentro de la organización.
  • Es amigable al cambio.
  • Se adapta a cualquier situación.

Estructura para implementar un sistema de gestión de riesgos de acuerdo a la ISO 31000

Estructura para implementar un sistema de gestión de riesgos de acuerdo a la ISO 31000

  • Crea y protege  el valor: logro objetivos / mejora de desempeño.
  • Parte integral de procesos.
  • Toma de decisiones.
  • Aborta incertidumbre.
  • Sistemática, estructurada y oportuna.
  • Adaptable.
  • Considera factores humanos y culturales.
  • Dinámica, reiterativa y receptiva al cambio.
  • Facilita la mejor continua de la organización.
  • Información disponible.
  • Transparente e inclusiva.

Marco de referencia

Políticas de riesgos: son los lineamientos generales que las entidades deben adoptar en relación con el SGR, cada una de las etapas y elementos del sistema deben contar con unas políticas claras y efectivamente, las políticas que se adopten deben permitir un adecuado funcionamiento del SGR y traducirse en reglas de conducta y procedimientos que orienten la actuación de la entidad.

Integración de procesos: propios del sistema y todos los procesos de la compañía ya que es transversal.

Recursos: necesarios para implementar y mantener en funcionamiento, de forma efectiva y eficiente.

Contexto externo: factores del entorno cultural, político, legal, reglamentario, financiero, económico y competitivo, bien sea internacional, nacional, regional o local. Tendencias y motivadores clave que tienen impacto en los objetivos de la organización.

Contexto interno las capacidades de la organización en términos de recursos y conocimiento, los flujos de información y los procesos de toma de decisiones, las partes involucradas internas, los objetivos y las estrategias implementadas para lograrlos, las percepciones, los valores y la cultura, las políticas y los procesos, las normas y los modelos de referencia adoptados por la organización y las estructuras (por ejemplo de dirección, las funciones y las responsabilidades).

Rendición de cuentas: las pérdidas cuando afecten el estado de resultados, deben registrarse en cuentas de gastos en el período en el que se materializó la pérdida y las recuperaciones cuando afecten el estado de resultados deben registrarse en cuentas de ingreso en  el período en el que se materializó la recuperación.

Divulgación de la información: la divulgación de la información debe hacerse en forma periódica y estar disponible, cuando así se requiera y diseñar un sistema adecuado de reportes tanto internos como externos, que garantice el funcionamiento de sus propios procedimientos.

Gestión del Riesgo

Contexto del proceso de gestión de riesgos: definir la rendición de cuentas y las responsabilidades, definir la extensión de las actividades de gestión de riesgos que se van a llevar a cabo, incluyendo las exclusiones e inclusiones específicas, definir la extensión del proyecto, el proceso, la función o la actividad en términos de tiempo y localización, definir las relaciones entre un proyecto o actividad particular y otros proyectos o actividades de la organización, definir las metodologías para la valoración del riesgo, definir los criterios del riesgo, definir la manera en que se evalúa el desempeño de la gestión de riesgos,  identificar y especificar las decisiones y las acciones que se deben emprender e identificar los estudios que son necesarios para la elaboración del alcance y el marco de referencia, y la extensión, los objetivos y los recursos necesarios para tales estudios.

Criterios del riesgo involucra tomar decisiones sobre: la naturaleza y los tipos de consecuencias que se van a incluir y cómo se van a medir, la manera en que se van a expresar las probabilidades, la manera en que se determinará el nivel de un riesgo, los criterios frente a los cuales se decidirá cuándo un riesgo necesita tratamiento, los criterios para decidir cuándo un riesgo es aceptable y/o tolerable y si se van a tomar en consideración las combinaciones de riesgos y cómo se van a considerar.

Comunicación y consulta: el desarrollo de un plan de comunicación, la definición correcta del contexto, garantizar que se entienden y toman en consideración los intereses de las partes involucradas, la unión de diversas áreas de experticia para identificar y analizar el riesgo, garantizar que se consideran adecuadamente los diversos puntos de vista en la evaluación de los riesgos, garantizar que los riesgos se identifican correctamente, asegurar la aprobación y el soporte para el plan de tratamiento.

Documentación: objetivos y alcance, descripción de las partes pertinentes del sistema y sus funciones, un resumen del contexto externo y del interno de la organización y cómo se relaciona con la situación, el sistema o las circunstancias que se están valorando, los criterios de riesgo aplicados y su justificación, las limitaciones, afirmaciones y justificaciones de las hipótesis, la metodología de la valoración, los resultados de la identificación del riesgo, los datos, las afirmaciones y sus fuentes y validación, los resultados del análisis del riesgo y su evaluación, el análisis de sensibilidad e incertidumbre, las afirmaciones críticas y otros factores que es necesario controlar, la discusión de los resultados, las conclusiones y recomendaciones de las referencias.

Proceso

Proceso de gestión de riesgos, según la ISO 31000

Proceso de gestión de riesgos, según la ISO 31000

Establecer Contexto del proceso de SGR

Para empezar con el sistema de gestión de riesgos es importante darle un puntaje a cada uno de ellos, ya sean internos o externos.

Es importante entender que los externos son aquellos que se dan por temas naturales, culturales, políticos, etc.

Los riesgos internos son los que están directamente relacionados a la compañía y todo lo que sucede dentro de ella, funciones, estrategias planteadas, temas financieros, procesos y recurso humano.

Identificación de riesgos

Se reconocerá cuáles son los principales riesgos a los que está expuesta la organización, una vez estos se definan, se plantearán otros secundarios que podrían también generar ciertos desajustes dentro de la empresa y a los objetivos propuestos.

Una vez estén establecidos, cada una de las áreas encargadas los asumirá como propios, para que de esta manera puedan ejecutar el plan que se va a llevar a cabo.

Cada área definirá un responsable y estos se reunirán para empezar a identificar los riesgos, conocer cuáles son los factores que los pueden generar.

Se recomienda hacerse las siguientes preguntas para poder tener mayor impacto en esta etapa.

  • ¿Cuál área se puede ver afectada por x riesgo?
  • ¿De qué forma lo afecta?
  • ¿Qué consecuencias trae al área y a la organización en general?
  • ¿Cuál es la probabilidad de que se de?
  • ¿Qué consecuencias traerá?
  • ¿Es posible su prevención?
  • ¿Qué estrategia se debe poner en marcha? 

Análisis de riesgo

Luego de que estén definidos y consignados los riesgos se valorará en qué escala se determinarán y cuáles serán las actividades de control que se ejecutarán, esto con el fin de identificar el impacto que causará, este se divide en:

  • Significativo
  • Alto
  • Moderado
  • Bajo
  • Limitado

Esto permitirá crear un mapa de riesgos el cual servirá como guía para priorizar los riesgos, clasificarlos en una escala de uno a diez, siendo diez el más alto y uno el más bajo, identificar el área encargada y cuál es el plan de acción que deben poner en práctica.

Comunicación consulta

Se busca recopilar información a través de diferentes medios, con el fin de dar a conocer lo que cada una de las áreas han encontrado durante el proceso de implementación de la gestión de riesgos.

Análisis crítico

Se puede definir como la evaluación del plan de gestión de riesgos que se está poniendo en marcha. La idea de esto resaltar las cosas positivas que ha traído la gestión y mejorar en ciertos aspectos que no estén siendo tan efectivos.

Tratamiento del riesgo

Tratamiento del riesgo

Monitoreo

Es importante tener revisiones periódicas que harán saber y entender si los planes de acción que se han implementado en cada uno de los riesgos son los correctos, esto ayudará a entender si la tarea se está haciendo bien y trayendo resultados positivos, o si por el contrario se debe mejorar y en algunos casos cambiar, ya que la gestión de riesgos es un proceso dinámico y se debe retroalimentar de acuerdo a los cambios que se van presentando.

Glosario

Riesgo

Es la posibilidad de que ocurra un incidente que impacte negativamente alguna área de la compañía o al cumplimiento de los objetivos de la misma. Este se pueden presentar por fallas humanas, tecnológicas, de infraestructura, procesos y eventos externos. 

Gestión de riesgo

Es la actividad que permite identificar, analizar y actuar frente a los factores de riesgos a los que se pueda enfrentar la empresa o un proyecto en específico.  

Proceso de gestión de riesgo

Son los procedimientos que se llevan a cabo dentro del sistema de gestión: definición, identificación, evaluación, monitoreo y controles de los riesgos.   

Sistema para la gestión de riesgo

Está diseñado para que las entidades puedan establecer las políticas, objetivos, procedimientos y estructura para la administración del riesgo. El sistema debe estar alineado con  los planes estratégicos de cada organización.

Descargue el eBook con la guía para implementar un sistema de gestión de riesgos, según la ISO 31000

Compártalo en sus redes sociales