Seguimiento y revisión. La organización revisa las actividades y procedimientos de gestión de riesgos de diversas maneras. En algunas empresas reguladas, se desarrolla una función de gestión de riesgos completa con un Director de Riesgos especializado (CRO). Un equipo de profesionales de la gestión de riesgos está asignado al CRO para identificar y analizar los riesgos a los que está expuesta la organización. La función de gestión de riesgos colabora con otros departamentos y permite a las funciones dentro de la empresa identificar los peligros actuales y en desarrollo. 

Seguimiento y revisión

Los especialistas en gestión de riesgos realizan evaluaciones de procesos, pruebas de sistemas y observaciones de procesos y operaciones. Además, conocen bien el sector y la normativa que se aplica a la empresa.

La función de gestión de riesgos prepara y consolida el inventario de riesgos en coordinación con los departamentos de la entidad y las funciones de apoyo. El inventario de riesgos actúa como una base de datos consolidada de los peligros a los que está expuesta la empresa.

Los principales riesgos a nivel corporativo se reconocen y separan de los riesgos detectados. Los principales riesgos a nivel de empresa son aquellos que tienen importantes implicaciones financieras y probables desde el punto de vista de la evaluación del riesgo inherente y residual. Se trata de riesgos clave para la dirección y el Consejo de Administración, que se supervisan con frecuencia desde el punto de vista del control. Estos riesgos pueden dar lugar a importantes pérdidas financieras, reputacionales y operativas. 

Riesgo de ciberseguridad

El riesgo de ciberseguridad, por ejemplo, es un riesgo elevado a nivel de la empresa, ya que un ciberataque al sistema de la organización puede suponer el pago de un rescate, la pérdida de información sensible de los consumidores, noticias desfavorables en los medios de comunicación, etc. Por lo tanto, un riesgo de seguridad cibernética siempre se considera un riesgo superior para cualquier organización.  

El riesgo de blanqueo de capitales es otro ejemplo de alto riesgo a nivel empresarial. El blanqueo de capitales es una de las principales preocupaciones de estas empresas altamente reguladas que manejan dinero público, como las casas de bolsa, los bancos y otras instituciones financieras. Los blanqueadores de dinero pueden aprovecharse del sistema financiero para llevar a cabo el blanqueo de dinero, lo que da lugar a sanciones y a daños en la reputación de dichas instituciones financieras.

Además de los responsables de los procesos correspondientes, la función de gestión de riesgos supervisa todos los riesgos importantes y principales de forma prioritaria. Se reconocen todos los peligros relevantes y se agregan para el seguimiento y las pruebas de control frecuentes y periódicas. Cualquier suceso que implique riesgos máximos tiene un grave efecto financiero y de reputación. El Consejo de Administración también analiza periódicamente los principales e importantes riesgos y las medidas paliativas implementadas por la dirección para evitar la ocurrencia de dichos controles. 

Función de gestión de riesgos

La función de gestión de riesgos consolida los riesgos operativos, normativos, financieros, de reputación, jurídicos, de salud y de seguridad significativos y los comunica a la dirección y al Consejo de Administración para que los revisen y establezcan las estrategias de mitigación necesarias.

Toda la práctica de gestión de riesgos aplicada en la organización también es revisada por la tercera línea de defensa por la función de auditoría interna. La auditoría interna comprueba la eficacia de los controles internos en diferentes departamentos y funciones.

Prueba de controles

Como parte de la prueba de los controles, el equipo de auditoría interna revisa las actividades de la función de gestión de riesgos. La auditoría interna comprueba si el equipo de gestión de riesgos está habilitado y realiza las actividades de gestión de riesgos necesarias en toda la organización. La auditoría interna verifica la idoneidad de los riesgos identificados, y las medidas relacionadas tomadas para abordar los riesgos identificados son consideradas por la tercera línea de defensa. 

Reflexiones finales

El seguimiento es el proceso de recopilación y análisis de datos relevantes de forma periódica para asegurarse de que se están cumpliendo los objetivos. Suele producirse de forma continua, pero los conjuntos de datos pueden recogerse a intervalos regulares, como por ejemplo trimestralmente.

Cuando se revisan los resultados de una evaluación, se decide si hay que cambiar algo. Los datos de seguimiento también pueden dar lugar a una revisión de una pequeña parte de su trabajo, pero una revisión completa sólo puede producirse tras una evaluación exhaustiva de su eficacia. La revisión puede realizarse una vez al año o al final de un proyecto a largo plazo.