Debemos de buscar un cambio gradual y continuo en la forma en la que se entiende y gestiona un riesgo. Para esto migraremos - buscando un proceso de integración - de un enfoque estático tradicional en donde sólo se registran riesgos, a una gestión de riesgos que sirva como herramienta para guiar la toma de decisiones en todos los niveles del negocio.
Para ello, una vez que conocemos cuáles son los niveles de madurez de gestión de riesgos, el siguiente paso es realizar una autoevaluación del estado actual de nuestra empresa para poder conocer en qué nivel de madurez nos encontramos, a dónde queremos llegar y hasta dónde podemos llegar, buscando siempre lo antes mencionado: integrar la gestión del riesgo en la toma de decisiones.
Para conocer en qué nivel de madurez nos encontramos debemos evaluar el grado en el que estamos llevando a cabo las siguientes 10 competencias principales dentro de nuestra organización y preguntarse:
Modelos de riesgo: ¿Contamos con un modelo de riesgo dentro de nuestra organización? ¿Se sigue algún estándar internacional en nuestro modelo de riesgo? ¿Adoptamos las mejores prácticas para llevar a cabo la gestión?
Estructura organizacional y personal: ¿Estamos estructurados adecuadamente para gestionar riesgos? ¿Tenemos un Comité de Riesgos dentro de la empresa? ¿Nuestra plantilla está altamente capacitada y es suficiente?
Aceptación del riesgo por los directores/dueños: ¿Los directores de la organización conocen la importancia de la gestión de riesgos? ¿Se encuentran suficientemente involucrados los directores en el modelo de riesgo? ¿Con qué frecuencia se revisan los riesgos por parte de los directores? ¿Se implementa la evaluación del riesgo para la toma de decisiones?
Apetito de riesgo: ¿Tenemos claro el concepto de apetito del riesgo? ¿Contamos con los manuales y reglamentos necesarios para aprovechar el apetito del riesgo? ¿Qué criterios se utilizan en mi definición de apetito del riesgo?
Monitoreo del Riesgo: ¿Evaluamos el riesgo a través del uso de indicadores?¿Reportamos de manera continua para conocer el estado del riesgo? ¿Damos un seguimiento continuo al riesgo? ¿Qué características y elementos del riesgo utilizó para su evaluación?
Herramientas (softwares) y bases de datos: ¿Contamos con herramientas capaces de modelar todos los aspectos del riesgo? ¿Dichas herramientas aportan automatización al proceso de gestión de riesgos? ¿Contamos con el personal necesario para utilizar la herramienta? ¿Tenemos bases de datos que aporten a llevar a cabo un adecuado modelado de riesgos?
Comunicación: ¿Utilizamos reportes para documentar todo lo acontecido al tratar el riesgo? ¿Tenemos plantillas institucionales o sistemas para llevar a cabo el reporteo y comunicación de los acontecimientos relacionados con el riesgo? ¿Documentamos todas las reuniones a través de actas o minutas?
Políticas y procedimientos: ¿Contamos con las políticas de gestión de riesgos necesarias? ¿Se encuentran planteadas las metodologías necesarias que deben de ser utilizadas dentro de manuales?¿De qué forma comunicamos los resultados del proceso de gestión de riesgos?
Cultura: ¿Implementamos cursos de riesgos al personal de la organización?¿Estamos dando el mensaje adecuado en dichos cursos? ¿Todas nuestras políticas, manuales y reglamentos se encuentran alineados a los valores de la organización? ¿Con qué frecuencia se realizan reuniones con todo el personal de la organización para hablar sobre el tema?
Mapeo de procesos y mejora continua: ¿Contamos con un mapa de los procesos donde se incluye la gestión de riesgos? ¿Buscamos mejorar siempre dichos procesos para incorporar la gestión de riesgos en la toma de decisiones? ¿Tenemos preparado un plan de trabajo anual de gestión de riesgos que involucre todos y cada uno de los puntos antes mencionados?
Al momento de dar respuesta a las preguntas anteriormente planteadas, debemos de ser conscientes de las facultades y cualidades reales de la organización que podemos explotar o no. De esta forma conoceremos el nivel al que queremos y podemos llegar, y posteriormente sabremos qué pasos concretos se tienen que dar para madurar al nivel deseado.
Te invitamos a leer más de la serie “Madurez de Gestión de Riesgos” para conocer cuales son los pasos previos: