¿Qué es una evaluación de riesgos? La evaluación de riesgos es un proceso que implica abordar todos los riesgos identificados. La evaluación de riesgos es una herramienta clave para el proceso de gestión de riesgos, que se realiza para todos los tipos y categorías de riesgos identificados en todos los niveles de una organización. Las diferentes categorías de riesgos pueden ser riesgos financieros, riesgos medioambientales, riesgos estratégicos, riesgos operativos, riesgos de reputación, etc.
¿Qué es una evaluación de riesgos?
Una organización debe realizar evaluaciones de riesgo periódicas para proteger los activos, sistemas y otros recursos. La evaluación de riesgos ayuda a reducir las posibilidades de lesiones, la mala gestión de las actividades en el lugar de trabajo y la posibilidad de que se produzcan diferentes peligros e incidentes.
Para llevar a cabo una evaluación de riesgos eficaz, el equipo de gestión de riesgos o los propietarios de los riesgos deben realizar una serie de pasos. La evaluación del riesgo implica la realización de una evaluación del riesgo inherente y residual de los riesgos identificados, en la que se realizan evaluaciones de impacto y probabilidad para identificar los riesgos clave y significativos.
Para realizar una evaluación del riesgo inherente y residual, los responsables de los riesgos utilizan datos procedentes de diversas fuentes de riesgo, como informes de auditoría interna, informes de incidentes pasados y bases de datos de pérdidas, que se mantienen en una organización. Se realiza una evaluación del impacto y la probabilidad de los riesgos, en la medida de lo posible, basándose en la información disponible o en datos objetivos.
La evaluación de riesgos se realiza para varios procesos y subprocesos, como finanzas, informes financieros, impuestos y presupuestos, entre otros. Para llevar a cabo esta evaluación de riesgos a nivel de procesos y subprocesos, las organizaciones desarrollan un equipo de evaluación y gestión de riesgos, que trabaja bajo la función o el departamento de gestión de riesgos. Este equipo trabaja en colaboración con varios departamentos para ayudarles a identificar sus respectivos riesgos y realizar evaluaciones.
En otros casos, los identificadores de riesgo son los empleados que son dueños del proceso y de los riesgos relacionados, como por ejemplo, un Director Financiero, al ser el jefe del departamento de finanzas, es el principal dueño del riesgo para todas las actividades y procesos relacionados con las finanzas. Esto no significa que los demás empleados de finanzas no se apropien de los riesgos financieros, sino que la responsabilidad última de la identificación, evaluación y gestión de los riesgos recae en el Director Financiero de la empresa. Del mismo modo, cada jefe de departamento, al formar parte de la alta dirección, es responsable de la evaluación de los respectivos riesgos departamentales.
Partes interesadas que participan en la evaluación de riesgos:
A continuación se enumeran las principales partes interesadas de una organización, que deben participar en el proceso de las actividades de evaluación de riesgos. El nivel de implicación puede ser diferente, pero el objetivo es la participación en el riesgo
actividades de evaluación.
Director General (CEO)
El Director General (CEO), al ser el jefe del equipo de gestión, tiene la responsabilidad general de garantizar que se establezca una función de gestión de riesgos específica, que se encargue de realizar las actividades de gestión de riesgos. Estas actividades de gestión de riesgos incluyen la realización de procedimientos de evaluación de riesgos. El director general delega la responsabilidad de establecer la función de gestión de riesgos en el
equipo de gestión.
El director general de una organización debe revisar todos los riesgos y problemas importantes identificados por la dirección y proporcionar información y apoyo a la dirección para mitigar los riesgos y problemas importantes identificados. El director general revisa periódicamente los resultados de la evaluación de riesgos de las diferentes
áreas y funciones de la organización.
Alta dirección
La alta dirección es el nivel más alto de gestión dentro de una organización. Compuesto por los jefes de departamento, debe identificar y evaluar periódicamente los riesgos a nivel global y departamental. El equipo directivo informa al director general de todos los riesgos clave a nivel de departamento y de los resultados de la evaluación de riesgos, para que los revise y dé su opinión al respecto.
La alta dirección diseña un mecanismo sólido para realizar una evaluación de riesgos y lo difunde a los mandos intermedios para que realicen actividades periódicas de evaluación de riesgos.
Directores / Gerentes
Los mandos intermedios, formados por los altos directivos y los gerentes, siguen el mecanismo y realizan evaluaciones de riesgo para sus riesgos relevantes y recopilan el inventario de riesgos y los resultados de la evaluación de riesgos para su revisión y retroalimentación por parte de la dirección.
Dado que los mandos intermedios trabajan en diferentes departamentos y realizan actividades empresariales y operativas diarias, son los responsables de garantizar que se realicen evaluaciones de riesgo para cada proceso y actividad del departamento. Los mandos intermedios también supervisan al personal de nivel inferior, por lo que todos los riesgos de nivel operativo son conocidos por ellos. Los mandos intermedios están mejor posicionados para identificar los procesos y actividades a nivel de departamento y de unidad; por lo tanto, la evaluación de riesgos la realizan mejor los mandos intermedios.
Trabaja en estrecha colaboración con los gestores de otros departamentos, proveedores, reguladores y otras partes interesadas; por tanto, conocen mejor los procesos y los controles, incorporados a esos procesos. En consecuencia, el proceso de identificación y evaluación de los riesgos operativos comienza desde el nivel directivo.
Reflexiones finales
La identificación de los peligros que podrían tener un impacto negativo en la capacidad de una organización para llevar a cabo sus actividades se conoce como evaluación de riesgos. Estas evaluaciones ayudan a identificar estos riesgos empresariales inherentes y a proporcionar medidas, procesos y controles para mitigar su impacto en las operaciones empresariales.
Las empresas pueden utilizar un marco de evaluación de riesgos (RAF) para priorizar y compartir los detalles de su evaluación de riesgos, incluidos los riesgos para su tecnología de la información (TI). El RAF ayuda a una organización a identificar los peligros potenciales, así como los activos de la empresa puestos en peligro por estos peligros, así como las posibles consecuencias si estos riesgos