Colaboración con los responsables de la evaluación de riesgos
Los propietarios del riesgo son las personas responsables de supervisar las operaciones diarias en partes específicas de la empresa que experimentan riesgo. Un director de sucursal en un banco es un ejemplo. Como tales, son cruciales para el éxito de los gestores de riesgos.
Aunque un gestor de riesgos o un director de riesgos es responsable de supervisar los riesgos, no son capaces de identificar, evaluar y mitigar realmente los riesgos sin la perspectiva y la visión que ofrecen los gestores de riesgos. Esta es la razón por la que el modelo de las Tres Líneas de Defensa (3LoD ) hace hincapié en el gestor de riesgos como segunda línea de defensa, mientras que un propietario de riesgos forma parte de la gestión operativa en la primera línea de defensa: la gestión de riesgos real.
Las evaluaciones de riesgos son la forma más sencilla y clara de que los gestores de riesgos comprendan lo que ven y experimentan en primera línea. Por desgracia, colaborar con los propietarios de los riesgos en cualquier cosa puede ser un reto para los gestores de riesgos. A menudo son vistos como una molestia por los gestores operativos, los propietarios del riesgo, ya que la gestión del riesgo puede ser vista como no relacionada con sus objetivos o incluso como una restricción.
Esto es un problema. Sin una colaboración adecuada con los propietarios de los riesgos para realizar las evaluaciones, los riesgos y los controles pueden pasar desapercibidos o ser malinterpretados o ignorados por los gestores de riesgos y la dirección. Por consiguiente, los gestores de riesgos deben saber cómo colaborar con los propietarios de los riesgos para realizar evaluaciones eficaces de los mismos.
Enfoques, comunicación y prioridades comunes
La identificación de quién será el propietario o el responsable de un riesgo concreto se realiza después de identificar el riesgo y desarrollar un apetito y una tolerancia de riesgo, pero antes de evaluar y analizar realmente el riesgo. En este marco, el gestor de riesgos supervisa los procedimientos internos del propietario del riesgo relativos a la identificación, clasificación, tratamiento y documentación de los riesgos.
Los gestores de riesgos pueden asegurarse de que los riesgos se comprenden plenamente y de que los propietarios de los riesgos aplican las mejores prácticas a la hora de poner en práctica los controles:
- Encuestas generales
- Entrevistas personales
- Evaluaciones individualizadas
Las encuestas generales son cómodas, pueden ser rápidas si se mantienen sencillas, proporcionan un conjunto de datos claros y calculados, y requieren menos compromiso entre los gestores de riesgos y los propietarios de los riesgos. Por desgracia, las encuestas suelen basarse en los conocimientos de gestión de riesgos de los propietarios y en su disposición a revelar posibles problemas. Esto pone en duda la integridad de los datos recibidos.
Además, debido al bajo nivel de compromiso, los gestores de riesgos a menudo tienen dificultades para obtener respuestas a las encuestas. Una organización de tamaño medio con un programa de gestión de riesgos muy maduro envía miles de encuestas de riesgos cada año, y a menudo recibe menos de un centenar de respuestas, incluso con el patrocinio y el compromiso de los ejecutivos.
Por último, si puede obtener un conjunto sólido de datos precisos de las encuestas, ¿qué va a hacer con ellos? A menudo, no existe un método sistemático para consolidar los datos y crear informes claros y concisos que puedan utilizarse para una planificación estratégica informada.
Las entrevistas individuales se sitúan en el otro extremo del espectro de la evaluación de riesgos. Permiten a los gestores de riesgos obtener una visión profunda y significativa de los riesgos y las prácticas de mitigación en los distintos silos de los propietarios de riesgos, al tiempo que les dan acceso a la experiencia ofrecida por los gestores de riesgos.
Un reto que este enfoque comparte con las encuestas de riesgos es el de consolidar y normalizar los datos. ¿Cómo se toma la información obtenida a través de entrevistas individuales, se registran los puntos relevantes y se priorizan los riesgos y problemas de esas conversaciones? Pero el mayor reto que plantea este enfoque es el tiempo. Las exigencias de tiempo sólo para las reuniones pueden hacer que se descuiden otras áreas de las funciones de los gestores de riesgos, o que se pospongan las evaluaciones de riesgos cuando no se dispone de tiempo.
Encontrar un término medio
Las evaluaciones individualizadas parecen ser un término medio. Los gestores de riesgos pueden empezar con una plantilla normalizada y adaptar las evaluaciones para garantizar que los propietarios de los riesgos que las completan puedan relacionarlas y comprenderlas. Este enfoque proporciona una base de normalización y utiliza el proceso de adaptación para ayudar a fomentar la precisión de los datos. Al situar los riesgos y controles en categorías cuantificables con descripciones claras, y calificarlos en consecuencia, las evaluaciones individualizadas ofrecen un nivel de responsabilidad en sus respuestas.
Los gestores de riesgos también pueden cuestionar las evaluaciones si creen que puede haber alguna laguna que haya pasado desapercibida o que se esté minimizando. Las evaluaciones individualizadas deberían ser más comprensibles para los propietarios de los riesgos, por lo que su realización les resultará menos desalentadora. Con la tiempo ahorrado en la fase inicial, haciendo que los propietarios de los riesgos completen las evaluaciones, y en la fase final, gracias a la estandarización de las evaluaciones, los gestores de riesgos disponen de más tiempo para implicar a los propietarios de riesgos rezagados a fin de obtener mejores índices de respuesta.
Para que los gestores de riesgos apliquen eficazmente estas mejores prácticas, los objetivos y orientaciones de la gestión de riesgos deben comunicarse adecuadamente y vincularse a los objetivos empresariales. También es importante apoyar el progreso de los propietarios de riesgos y escuchar sus preocupaciones. Anímelos a ser dueños del riesgo de su negocio y a utilizarle como socio que apoya su éxito.
Esto contribuye en gran medida a convencer a un director de operaciones -que sin duda está haciendo malabarismos con muchas responsabilidades diferentes- de la importancia de disponer de información precisa sobre los riesgos en el marco de una cultura de gestión de riesgos. Establecer esa mentalidad contribuye en gran medida a que los gestores de riesgos se conviertan en socios valiosos en lugar de obstáculos.
ERM facilita esta asociación
Incluso una vez que se ha convencido al propietario del riesgo de que se asocie con los gestores de riesgos para realizar evaluaciones de riesgos, la responsabilidad del riesgo puede seguir siendo desalentadora. Una línea de comunicación abierta es vital, pero muchos mandos intermedios y directivos de primera línea carecen de formación formal en gestión de riesgos.
Sin embargo, una solución de gestión de riesgos empresariales (ERM) puede aliviar la carga. Con las plantillas de evaluación de riesgos preconfiguradas del software de ERM, los usuarios pueden identificar adecuadamente los riesgos y las medidas de control utilizando una terminología, procesos y flujos de trabajo coherentes para toda la empresa.
Y lo que es más importante, la ERM aumenta la cooperación, derribando barreras y silos entre los propietarios de los riesgos y la gestión de riesgos. El proceso de evaluación y notificación de riesgos se racionalizará en toda la organización.
Defiéndase contra los riesgos de proveedores y empresas
Conozca nuestras soluciones VRM/ERM, las mejores de su categoría.
