Los responsables del riesgo son las personas encargadas de supervisar las operaciones diarias en áreas específicas de la empresa que están expuestas al riesgo. Un ejemplo de ello es el director de una sucursal bancaria. Como tales, son fundamentales para el éxito de los gestores de riesgos.
Si bien el gestor de riesgos o el director de riesgos es responsable de supervisar los riesgos, no puede identificarlos, evaluarlos y mitigarlos realmente sin la perspectiva y los conocimientos que aportan los gestores de riesgos. Por eso, el modelo de las tres líneas de defensa (3LoD) destaca al gestor de riesgos como la segunda línea de defensa, mientras que el responsable del riesgo forma parte de la gestión operativa en la primera línea de defensa, es decir, la gestión de riesgos propiamente dicha.
Las evaluaciones de riesgos son la forma más sencilla y clara que tienen los gestores de riesgos para comprender lo que ven y experimentan los gestores de riesgos en primera línea. Por desgracia, colaborar con los responsables de riesgos en cualquier asunto puede suponer un reto para los gestores de riesgos. A menudo, los gestores operativos, que son los responsables de riesgos, los consideran una molestia, ya que la gestión de riesgos puede verse como algo ajeno a sus objetivos o incluso como una restricción.
Esto es un problema. Sin una colaboración adecuada con los responsables de los riesgos para realizar evaluaciones, los riesgos y controles pueden pasar desapercibidos o ser malinterpretados o ignorados por los gestores de riesgos y los directivos. Por lo tanto, los gestores de riesgos deben comprender cómo colaborar con los responsables de los riesgos para realizar evaluaciones de riesgos eficaces.
Enfoques comunes, comunicación y prioridades
La identificación de quién será el propietario o responsable de un riesgo concreto se realiza después de identificar el riesgo y desarrollar la propensión al riesgo y la tolerancia al riesgo, pero antes de evaluar y analizar realmente el riesgo. Dentro de este marco, el gestor de riesgos supervisa los procedimientos internos del propietario del riesgo en lo que respecta a la identificación, clasificación, tratamiento y documentación de los riesgos.
Las formas en que los gestores de riesgos pueden asegurarse de que los riesgos se comprenden plenamente y de que los responsables de los riesgos utilizan las mejores prácticas al implementar controles son las siguientes:
- Encuestas generales
- Entrevistas individuales
- Evaluaciones individualizadas
Las encuestas generales son prácticas, pueden ser rápidas cuando se mantienen sencillas, proporcionan un conjunto de datos claro y calculado, y requieren menos interacción entre los gestores de riesgos y los responsables de los riesgos. Lamentablemente, las encuestas suelen depender de los conocimientos de los responsables de los riesgos en materia de gestión de riesgos y de su disposición a revelar posibles problemas. Esto pone en duda la integridad de los datos que se reciben.
Además, debido al bajo nivel de participación, los gestores de riesgos suelen tener dificultades para obtener respuestas a las encuestas. Una organización mediana con un programa de gestión de riesgos muy maduro envía miles de encuestas sobre riesgos cada año y, a menudo, recibe menos de un centenar de respuestas, incluso con el patrocinio y la participación de los ejecutivos.
Por último, si usted es capaz de obtener un conjunto sólido de datos precisos a partir de encuestas, ¿qué va a hacer con ellos? A menudo, no existe un método sistemático para consolidar los datos y crear informes claros y concisos que puedan utilizarse para una planificación estratégica informada.
Las entrevistas individuales se encuentran en el otro extremo del espectro de evaluación de riesgos. Permiten a los gestores de riesgos obtener una visión profunda y significativa de los riesgos y las prácticas de mitigación en los distintos silos de los propietarios de riesgos, al tiempo que proporcionan a estos últimos acceso a la experiencia que ofrecen los gestores de riesgos.
Un reto que este enfoque comparte con las encuestas de riesgo es el de consolidar y estandarizar los datos. ¿Cómo se puede recopilar la información obtenida a través de entrevistas individuales, registrar los puntos relevantes y priorizar los riesgos y problemas a partir de esas conversaciones? Pero el mayor reto que plantea este enfoque es el tiempo. El tiempo que requieren las reuniones por sí solas puede hacer que se descuiden otras áreas de las funciones de los gestores de riesgos, o que las evaluaciones de riesgos se pospongan cuando no se dispone de tiempo.
Encontrar un término medio
Las evaluaciones individualizadas parecen ser un término medio satisfactorio. Los gestores de riesgos pueden comenzar con una plantilla estandarizada y adaptar las evaluaciones para garantizar que sean comprensibles y fáciles de identificar para los responsables de riesgos que las completan. Este enfoque proporciona una base de estandarización y utiliza el proceso de adaptación para ayudar a fomentar la precisión de los datos. Al clasificar los riesgos y controles en categorías cuantificables con descripciones claras y calificarlos en consecuencia, las evaluaciones individualizadas ofrecen un nivel de responsabilidad en sus respuestas.
Los gestores de riesgos también pueden cuestionar las evaluaciones si creen que puede haber alguna laguna que haya pasado desapercibida o se esté minimizando. Las evaluaciones individualizadas deberían ser más fáciles de entender para los responsables de los riesgos, lo que haría que les resultara menos abrumador completarlas. Con el tiempo ahorrado En la fase inicial, al hacer que los responsables del riesgo completen las evaluaciones, y en la fase final, gracias a la estandarización de las evaluaciones, los gestores de riesgos disponen de más tiempo para involucrar a los responsables del riesgo rezagados y lograr mejores índices de respuesta.
Para que los responsables del riesgo puedan implementar estas mejores prácticas de manera eficaz, los objetivos y las directrices de gestión del riesgo deben comunicarse adecuadamente y vincularse a los objetivos empresariales. También es importante apoyar el progreso de los responsables del riesgo y escuchar sus inquietudes. Anímeles a asumir el riesgo de su negocio y a utilizarle como un socio que apoya su éxito.
Esto contribuye en gran medida a convencer a un director operativo —que sin duda tiene que hacer malabarismos con muchas responsabilidades diferentes— de la importancia de disponer de información precisa sobre los riesgos en una cultura de gestión de riesgos. Establecer esa mentalidad contribuye en gran medida a que los gestores de riesgos sean considerados socios valiosos en lugar de obstáculos.
ERM facilita esta colaboración.
Incluso cuando el responsable del riesgo se convence de colaborar con los gestores de riesgos para realizar evaluaciones de riesgos, la responsabilidad del riesgo puede seguir siendo abrumadora. Es fundamental mantener una línea de comunicación abierta, pero muchos mandos intermedios y directores de primera línea no han recibido formación oficial en gestión de riesgos.
Sin embargo, una solución de gestión de riesgos empresariales (ERM) puede aliviar la carga. Con las plantillas de evaluación de riesgos predefinidas del software ERM, los usuarios pueden identificar adecuadamente los riesgos y las medidas de control, al tiempo que utilizan una terminología, unos procesos y unos flujos de trabajo coherentes en toda la empresa.
Lo más importante es que el ERM aumenta la cooperación, rompiendo las barreras y los silos entre los responsables del riesgo y la gestión del riesgo. El proceso de evaluación y notificación de riesgos se optimizará en toda la organización.
Defiéndase contra los riesgos de proveedores y empresas
Conozca nuestras soluciones VRM/ERM, las mejores de su categoría.
