Por: CP Iván Rodríguez. Colaborador de Auditool.

Para una organización es importante que se reciba con suficiente antelación alguna señal que indique la posibilidad de que un riesgo se materialice. Si bien se tiene conciencia de lo importante que es hablar de riesgo, dado que esto podría contribuir a mitigarlo, no es una actividad tan popular como se podría pensar. Las empresas a menudo son reacias a hablar sobre el riesgo hasta que necesitan certificaciones de cumplimiento que requieren adelantar acciones de gestión de riesgos; puede ser cumplir requisitos SOC 2 o ISO 27001 para mantenerse competitivos o el crecimiento del negocio requiere el cumplimiento de PCI DSS, que exige escaneos de vulnerabilidades internas con cierta periodicidad. Los requisitos pueden incluir actividades de evaluación y gestión de riesgos. La necesidad de pasar una auditoría u obtener una certificación es una de las razones por la que muchas empresas comienzan a realizar evaluaciones de riesgos anuales.

Por supuesto, esa evaluación de riesgos le da valor al negocio más allá del cumplimiento normativo que pudo haberla motivado. Para un auditor es importante conversar con los propietarios, ejecutivos y otros empleados para indagar cuáles son los riesgos que ven en el negocio. Al hablar con estas partes interesadas, el auditor acumula una lista de riesgos, junto con su impacto potencial y su probabilidad, y tiene una idea de cómo priorizar los riesgos. Después de ese proceso, ahora sabe qué problemas potenciales existen y cómo sugerir a la alta dirección dónde invertir en la mitigación de riesgos.

Cuando se realiza una evaluación de riesgos hay un beneficio para la organización, aunque solo se efectúe una vez por año. No obstante, si se efectúa con una periodicidad mayor, (por ejemplo, trimestralmente) se contaría con una información más relevante en beneficio de las partes interesadas y, por tanto, habría una mejor oportunidad de responder de manera significativa. Una de las maneras de lograr un monitoreo constante del riesgo es utilizar la automatización. Algunos de los beneficios son:

  • Responder más rápidamente a los nuevos riesgos

Esto es importante en el caso de las amenazas cibernéticas. Si los ataques de ransomware están en aumento, la organización o empresa cliente necesita saberlo pronto y no un año después. El caso de la pandemia de COVID-19 es ilustrativo. La pandemia dio origen a diferentes riesgos (que todavía aparecen) y si no se hace una evaluación permanente, puede haber un atraso significativo.  La única manera de no estar rezagado en la evaluación del riesgo es mediante la evaluación continua del riesgo.

  • Comprobar la eficacia de los controles

Aunque parezca obvio, los controles que se implementaron en respuesta a una evaluación de riesgos deben evaluarse con cierta regularidad, para que una evaluación de riesgos posterior muestre que el riesgo residual disminuya realmente. Si no se prueban los controles de manera oportuna, no se podrían tomar mejores decisiones. La gestión continua de riesgos puede proporcionar datos actualizados en cualquier momento, los cuales permiten determinar si la inversión en controles está funcionando para que se puedan efectuar las correcciones a tiempo.

  • Conseguir (y mantener) el respaldo de la alta dirección

Es importante que la alta dirección aprecie la información que recibe. La cuantificación del riesgo depende de los datos y, por ello, si se obtienen datos con más frecuencia, es posible cuantificar mejor el riesgo y priorizarlo con mayor precisión. Los auditores pueden llevar sus recomendaciones a la alta dirección y ayudarlos a decidir qué riesgos, basados en el valor en unidades monetarias, justifican su atención y financiamiento. Cuando un auditor procede de esta manera, construye una alineación con la alta dirección mostrándole que entiende lo que es importante para el negocio. Por lo tanto, la gestión continua de riesgos le permite ayudar a su cliente a tomar mejores decisiones y demuestra su valor para la alta dirección.

No se trata de decirle a la alta dirección que implemente una gestión de riesgos continua porque todos lo hacen, no convencerá así a nadie para que invierta. En su lugar, hay que demostrar el valor de tomar prácticas que ya está haciendo (por ejemplo, la evaluación y respuesta anual de riesgos) y hacer que la gestión de riesgos sea continua: mostrar cómo la identificación temprana de los riesgos permite una cuantificación y respuesta de riesgos más oportuna; mostrar cómo la información continua y basada en datos sobre la efectividad de los controles ayuda a la empresa a poner su dinero donde se necesita. La clave es mostrar los ahorros que están en juego. Si se puede presentar ese argumento, habrá la debida atención.

Si bien no todos los riesgos representan una amenaza a la existencia de la organización, algunos sí lo hacen. Al monitorear continuamente los riesgos, se está aprendiendo sobre nuevos riesgos constantemente, y se está teniendo una idea de dónde y cómo están funcionando las inversiones que responden al riesgo y dónde se requiere más apoyo. Si solo se revisa el riesgo anualmente, se tiene una idea de dónde se encuentra en ese momento, pero no después. Por ello, la idea es aprovechar la automatización y tener acceso al conocimiento de los riesgos todo el tiempo: en lugar de solo obtener una visión instantánea, se puede aprovechar la gestión de riesgos para tener un mayor valor agregado sin gastar mucho más tiempo por día. Con la gestión continua de riesgos, se puede obtener una señal más clara sobre los riesgos actuales y qué hacer al respecto. De este modo, se tiene la mejor oportunidad de mitigar el riesgo antes de que ocurra un daño real.

Para resumir, la gestión continua de riesgos reconceptualiza el paradigma de la gestión de riesgos. Se puede definir como la gestión y mitigación de riesgos habilitada por la tecnología que les permite a todas las partes interesadas en una empresa realizar una gestión de riesgos efectiva de manera simultánea y colaborativa. Así, aprovechar la tecnología de manera holística significa implementar algún tipo de proceso continuo de gestión de riesgos.

 

Adaptado de: https://www.forvis.com/alert/2020/11/continuous-risk-management-conceptualizing-continuous-risk-management-framework-part

Un proceso de aseguramiento continuo integra las tres líneas de defensa (gestión de operaciones, cumplimiento y auditoría) dentro del proceso de aseguramiento de riesgos. Existen numerosos beneficios en este proceso: por ejemplo, las organizaciones que implementan el proceso de aseguramiento continuo pueden volverse más predictivas en su monitoreo y gestión de riesgos y, por lo tanto, pueden responder de manera conveniente a la velocidad de ocurrencia del riesgo. Este conjunto de habilidades es cada vez más necesario en un mundo empresarial más interconectado e integrado, lo cual debe ser entendido y aprovechado por el auditor para beneficio propio y de sus clientes.

 

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado