Modelo de madurez de riesgos corporativos: qué es, qué etapas comprende y cómo evaluarlo

Los Sistemas de Gestión de Riesgos Corporativos, como todos los proyectos continuos en una organización, pasan por un proceso de evolución que los lleva a la madurez. El modelo de madurez de riesgos es una herramienta de evaluación y análisis diseñada precisamente para establecer y calificar ese nivel de madurez.

Se considera que la gestión de riesgos corporativos es madura cuando la organización asume riesgos para los que está preparada, aprovecha oportunidades y toma las mejores decisiones, con base en la información proveniente de su Sistema de Gestión de Riesgos.

Si es así, el Sistema será maduro. Pero de esto se tiene certeza cuando se utiliza el modelo de madurez de riesgos. ¿En qué consiste este modelo, cuáles son las etapas en las que se desarrolla y cómo se evalúan sus resultados?

¿Qué es un modelo de madurez de riesgos corporativos?

Un modelo de madurez de riesgos es una herramienta o matriz de evaluación que permite al evaluador establecer un indicador, en este caso de madurez, válido para calificar la gestión o el proyecto evaluado.

Así, una organización obtiene una cifra o una calificación, para su gestión de riesgos. Se podría afirmar, por ejemplo, que la gestión de riesgos corporativos de una organización es muy madura o que alcanza una determinada media de madurez.

En cierto modo, el modelo de madurez de riesgos se parece a una auditoría. Sin embargo, la auditoría no tiene por objeto calificar. Simplemente establece la conformidad o no con unos requisitos, y esto ya plantea una gran diferencia con el modelo de madurez.

¿Cuáles son las etapas del modelo de madurez de riesgos corporativos?

Básicamente, el modelo de madurez de riesgos clasifica la gestión de una organización en cinco etapas:

1. Básico

En esta etapa las actividades propias de la gestión no se documentan y el buen resultado depende de las capacidades específicas de cada uno de los profesionales.

2. Preliminar

Existen ya algunos procesos, aunque no muy exigentes. El principal problema es que la gestión se desarrolla en silos.

3. Definido

Existe un enfoque coherente y unificado para la gestión de riesgos en toda la organización que proporciona una visión real a los directores de área y a la Alta Dirección. Las acciones de tratamiento de riesgos se reservan para las amenazas prioritarias.

4. Integrado

Se generan acciones coordinadas e integradas entre las diversas áreas del negocio, utilizando para ello técnicas y herramientas comunes. Se efectúan mediciones de la eficiencia del Sistema, se producen simulaciones y se presentan posibles escenarios de riesgo. La integración, no obstante, no logra alcanzar a la estrategia corporativa que, en esta etapa, aún se desarrolla en un camino paralelo.

5. Optimizado

En este estado máximo de madurez, la gestión de riesgos corporativos se basa en el contexto y los objetivos de la organización, iniciando con los objetivos estratégicos de negocio. Queda atrás el concepto de lista de riesgos y se toman decisiones estratégicas a diario, basadas en los informes que produce la gestión. Esto aporta confianza y seguridad a los encargados de la toma de decisiones. Se presentan alertas que avisan sobre el exceso de riesgo que se asume, en comparación con el apetito de riesgo definido. La gestión de riesgos corporativos está integrada a todas las áreas de la organización.

¿Cómo funciona el modelo de madurez de riesgos corporativos?

El modelo, por naturaleza autoevaluativo, funciona con la respuesta a unas preguntas esenciales. Algunos profesionales asignan un valor numérico de verdad a cada una de las respuestas y obtienen así un valor que representa el nivel de madurez de su Sistema. Otros, con base en las mismas respuestas, ubican la gestión de riesgos corporativos en alguna de las etapas que ya hemos desglosado.

Algunas preguntas que se consideran en un típico modelo de madurez de riesgos corporativos son:

• ¿Cuál es el apetito de riesgo de la organización? Se trata de determinar cuáles riesgos pueden ser admitidos para alcanzar los objetivos de negocio de la organización.
• ¿La gestión de riesgos corporativos determina las decisiones que toma la Alta Dirección? Identifica la integración entre la gestión de riesgos corporativos y la toma de decisiones estratégicas y cómo influye en las decisiones que toma la Alta Dirección.
• ¿Existe un proceso de gestión de riesgos y, de ser así, cómo funciona? El proceso de gestión de riesgos puede o no estar estandarizado. Igualmente, puede adoptar o prescindir de las mejores prácticas aceptadas para identificar, evaluar, mitigar, eliminar, compartir o monitorear amenazas.
• ¿Cómo se percibe la existencia de un riesgo? En algunos sistemas se identifican los riesgos con los síntomas o efectos de su impacto. Otros funcionan con un enfoque predictivo, basado en posibles escenarios.
• ¿Qué tan ágil es el Sistema para detectar nuevas amenazas o para reconocer cambios en riesgos ya identificados? Se mide la capacidad de la gestión para reaccionar ante cambios imprevistos o aparición de nuevas amenazas. Esto se relaciona con el apoyo tecnológico que acompañe la gestión de riesgos.
• ¿El riesgo es considerado en la planificación de proyectos o definición de objetivos de negocio? Evalúa la capacidad de alineación de la gestión de riesgos con la estrategia de negocios de la organización.
• ¿La gestión de riesgos corporativos tiene alcance sobre la resiliencia de la organización y la continuidad del negocio? Mide el impacto que tiene la gestión de riesgos corporativos en el objetivo de mantener operativa la organización ante la ocurrencia de un evento disruptivo de alto impacto.

Las organizaciones con sistemas de gestión de riesgos corporativos que han alcanzado el grado máximo de madurez, tendrán mayores oportunidades de sobrevivir, aún ante la ocurrencia de amenazas graves. Pero también tendrán mejores indicadores financieros y de desempeño general.

La tecnología tiene un alto impacto en el buen desempeño de un Sistema eficaz de Gestión de Riesgos Corporativos.

Software ISO 37301 de ISOTools

La gestión de riesgos corporativos está directamente relacionada con la gestión de cumplimiento y otras áreas estratégicas. Una y otra requieren un apoyo tecnológico para producir los resultados esperados.

El Software ISO 37301 de ISOTools es una avanzada herramienta diseñada para digitalizar y automatizar sistemas de gestión de compliance, basados en la norma ISO 37301, agregando valor y garantizando una gestión de riesgos moderna, eficaz y que produce información actual y oportuna, además de agilizar y automatizar tareas rutinarias, pero esenciales, como la debida diligencia. Conózcala aquí.