La autoevaluación de riesgo y control es una de las herramientas que emplean los equipos de gestión de riesgos. El objetivo es establecer un nivel de seguridad sobre la capacidad de la organización para alcanzar sus objetivos comerciales.
El proceso identifica y evalúa los riesgos empresariales y operativos, pero también el comportamiento y la eficacia de los controles implementados. Existen varios métodos para realizar la autoevaluación de riesgo y control, pero todos requieren de la participación de las partes interesadas.
Este requisito implica reunir a aquellas personas involucradas en procesos susceptibles de generar un riesgo operativo o de participar en él. Una parte interesada en una autoevaluación de riesgo y control puede ser el director de un área, un miembro de la Alta Dirección o un empleado que desempeña una función en el área comercial.
Objetivos de la autoevaluación de riesgo y control
Una autoevaluación de riesgo y control ayuda a entender cuáles son las amenazas reales que pueden impedir el logro de objetivos comerciales. Las partes interesadas entienden la importancia de la planificación meticulosa que requiere el diseño de procesos operativos y de los controles que se implementan para prevenir o mitigar riesgos.
Pero hay otros beneficios asociados a la autoevaluación, entre ellos los siguientes:
- Asegurar confidencialidad e integridad de la información.
- Cumplir con políticas, leyes, regulaciones, acuerdos contractuales y otras obligaciones de la organización.
- Preservar los activos de la organización, entre ellos el valor de la marca.
- Asignación eficiente y productiva de recursos.
- Mejorar la capacidad para lograr objetivos comerciales.
Cuáles son las partes interesadas en la evaluación de riesgo y control
En toda la organización es posible encontrar personas muy diferentes interesadas la evaluación de riesgo y control. Son tan importantes que, antes de iniciar el proceso, el paso previo es identificar a las partes interesadas. Algunas recurrentes son:
- Encargados de seguridad de la información.
- Director del área financiera o propietarios de procesos.
- Miembros de la Alta Dirección.
- Director de Tesorería y sus empleados.
- Área de Servicio al Cliente.
Entre las funciones de la Alta Dirección está crear y promover una cultura corporativa de cumplimiento de políticas. Por supuesto, este órgano también es responsable de preservar en buen estado los activos de la empresa y de generar estrategias de crecimiento para alcanzar los objetivos comerciales.
Por eso, la Alta Dirección es la parte interesada más relevante para la autoevaluación de riesgo y control. Además de recibir y analizar los informes, debe aprobar las metodologías utilizadas, asignar los recursos necesarios y facilitar la práctica de la evaluación.
Cuál es el proceso para la realización de la autoevaluación de riesgo y control
Antes de iniciar el trabajo de autoevaluación de riesgo y control, es preciso identificar los riesgos operativos y los controles que se han implementado para prevenirlos o mitigarlos. Después se verifica la eficacia de estos últimos, si funcionan de acuerdo con la planificación o se podrían mejorar. En caso de fallos evidentes, es necesario implementar acciones correctivas.
El proceso formal de autoevaluación se inicia con una reunión con los directores de áreas o departamentos. Es probable que, de acuerdo con la información que estos directores suministren, se integren después empleados a cargo de procesos críticos. En la práctica, el proceso autoevaluación de riesgo y control se compone de varias fases.
1. Convocar reuniones de evaluación
En este primer paso práctico se invita a la Alta Dirección o a sus representantes y a las partes interesadas identificadas a participar en reuniones. Se trata de debatir sobre procesos, procedimientos o actividades que pueden generar riesgos operativos y sus controles asociados.
2. Documentar procesos
Cada una de las partes interesadas debe analizar sus procesos y documentar lo que se ha definido en las reuniones de evaluación con respecto al desempeño de los controles y las conclusiones obtenidas.
3. Identificar y evaluar riesgos operativos
Las partes interesadas deben trabajar en la identificación de riesgos. Estos riesgos pudieron ser identificados en la etapa preliminar de la autoevaluación de riesgo y control, pueden ser parte de un informe de auditoría o haber sido señalados por un organismo regulador.
4. Identificar los controles asociados a los riesgos identificados
Cada uno de los riesgos identificados, en la etapa preliminar o en el tercer paso, debe tener un control asociado. La tarea se documenta especificando el tipo de control, sus características y atributos y el nivel de confiabilidad que presenta.
5. Calificar la eficacia de los controles
En el siguiente paso en el proceso de autoevaluación de riesgo y control, el equipo autoevalúa la eficacia de los controles y su estado general de acuerdo con la información recopilada, la retroalimentación de las partes interesadas en las reuniones y los hallazgos de auditoría o los contenidos en otro tipo de inspecciones o revisiones.
El objetivo es dictaminar si un control funciona y si lo hace de acuerdo con lo que se planificó antes de implementarlo. Cada control recibirá una calificación entre tres posibles: satisfactorio, requiere mejoras o insatisfactorio.
Aprende a realizar la autoevaluación de #Riesgos y Control. Descubre qué es y cuál es la metodología que te resultará más útil #GestiónRiesgos #RiskManager #ISO31000 Share on X6. Planificar acciones de mejora
Los controles que requieren mejora o son calificados como no adecuados o insatisfactorios pasan a la siguiente etapa con el fin de diseñar e implementar acciones correctivas y de mejora. Antes, sin embargo, hay que practicar las pruebas necesarias para comprobar la eficacia o ineficacia del control. Todo se documenta conservando como mínimo la siguiente información:
- Identificación de la persona que elabora el informe.
- Fecha y duración de las pruebas practicadas.
- Descripción de los fallos presentados.
- Descripción del riesgo inherente.
- Descripción de la acción de mejora o correctiva propuesta.
- Fecha propuesta para verificar la eficacia del nuevo control.
- Calificación de la gravedad del problema tratado.
7. Monitorear el resultado de la autoevaluación de riesgo y control
El resultado de todas las actividades emprendidas hasta este punto se monitorea, se registra y se documenta. El monitoreo debe ser periódico, con el fin de establecer tendencias. Se conserva evidencia de todo.
8. Producir informes finales
Las conclusiones obtenidas de los pasos anteriores se deben plasmar en un documento que se envía a la Alta Dirección. Ese documento forma parte de los informes periódicos de gestión de riesgos.
9. Auditar la eficacia del proceso de autoevaluación de riesgo y control
El proceso es susceptible de ser evaluado y calificado, una tarea que suele corresponder al auditor interno. La evaluación se documenta y se remite a las partes interesadas.
La aplicación exitosa de la autoevaluación de riesgo y control hace que las personas entiendan la importancia de los controles y su efectividad. El trabajo se enfoca más hacia los controles que hacia los riesgos, lo que hace que la tarea sea una actividad proactiva desde abajo hacia arriba.
Es una de esas acciones en las que se destacan las organizaciones que ya han emprendido procesos de transformación digital. Los sistemas de gestión de riesgos digitalizados tienen mejores oportunidades para evaluar y calificar sus controles. Por supuesto, contar con profesionales expertos en gestión de riesgos también es importante.
Diplomado en Risk Manager
El Diplomado en Risk Manager es un programa de la Escuela Europea de Excelencia diseñado para formar a profesionales ampliamente cualificados, capaces de afrontar los desafíos de la gestión de riesgos corporativos en un mundo digital, globalizado y complejo.
Los alumnos que superan con éxito el programa pueden desempeñar su labor como expertos en gestión de riesgos en organizaciones de todo tipo y tamaño. Además, obtienen certificado como auditores internos de sistemas de gestión de riesgos.
Tienes la oportunidad de ampliar tu futuro profesional en un área con una creciente demanda de personal cualificado. Si es tu deseo, puedes comenzar ya mismo la formación, pero antes, comprueba si puedes optar a una de las becas de la Escuela Europea de Excelencia.