La continuidad del negocio es un elemento de la resiliencia operativa. Pero la resiliencia va mucho más allá. No se trata tan solo de seguir operando. La clave es producir, pero a la vez, trabajar en la recuperación y mantener los estándares de Gobierno, Riesgo y Cumplimiento, para las organizaciones que trabajan sobre este marco de gestión.

Con empresas cada vez más expuestas a ciberataques, pandemias, desastres naturales, crisis financieras, guerras, conmociones sociales y políticas, entre otras amenazas disruptivas, la resiliencia operativa surge como la opción para mantener el control, aprovechar las oportunidades y fortalecer el negocio.

¿Qué es resiliencia operativa?

Es la capacidad que tiene una organización para sobrevivir al impacto de un evento disruptivo, adaptarse a nuevas condiciones, convertir el riesgo en oportunidad e iniciar de inmediato la recuperación.

La organización necesita resiliencia operativa para afrontar un corte prolongado de energía, un sismo o un ciberataque. El principio básico es prever los eventos y sus consecuencias y estar preparados para minimizar el impacto negativo, procurando que las consecuencias no se trasladen al consumidor.

¿Por qué es importante la resiliencia operativa?

La percepción que tendrán los clientes sobre una empresa que, además de seguir operando durante y tras un evento de alto impacto negativo, se convirtió en una fuente de valor para sus consumidores, justifica pensar y trabajar para incorporar la resiliencia operativa en el ADN de la organización.

Pero hay otras razones para explicar su importancia:

1. Crea un muro que impide la propagación del efecto dominó

Uno de los problemas que mayor preocupación provocan los riesgos operativos es el efecto dominó que producen. Sectores como Financiero y Sanitario lo han demostrado en el pasado. Las organizaciones que logran construir estrategias eficaces de resiliencia operativa actúan como un muro que impide la propagación del efecto dominó.

2. Cumplimiento regulatorio

Los Estados esperan que un mayor número de empresas piensen en estrategias de resiliencia para enfrentar riesgos operativos y las implementen con éxito. Sin embargo, es claro que, si este deseo forma parte de un escenario regulatorio, los resultados serán mucho más efectivos. El enfoque regulatorio en la Unión Europea se encamina hacia la aprobación de una Ley de Resiliencia Operacional Digital, como un primer paso que pronto se extenderá a otras áreas.

3. Crea un marco de tranquilidad para tomar mejores decisiones

La incertidumbre, apenas natural, con respecto a eventos que pueden literalmente acabar con una empresa, hace que la Alta Dirección sea cauta y en extremo moderada a la hora de planificar expansiones, inversiones o incluso programas básicos necesarios para la operación cotidiana.

¿Cómo construir estrategias efectivas de resiliencia operativa?

Los riesgos operativos son muchos, variados, proceden de diversas fuentes y el grado de impacto es difícil de pronosticar. Por eso es difícil creer que se pueden generar estrategias que garanticen la operabilidad y la capacidad de resiliencia.

Pero sí es posible hacerlo. Estos cinco pasos llevarán a cualquier organización a obtener estrategias efectivas de resiliencia operativa:

1. Identificar los servicios y funciones críticos clave

Es claro que en una situación de emergencia no todos los servicios que contrata u obtiene la organización adquieren el mismo valor. Existen funciones críticas de alto valor, debido al aporte que tienen sobre la producción del bien o la prestación del servicio que entrega la empresa a sus consumidores.

Este primer paso va un poco más allá de elaborar una lista de procesos, funciones o servicios. El equipo de Gestión de Riesgos necesita:

• Realizar un mapeo completo de los procesos, determinado la jerarquía de cada uno de ellos y la interrelación y dependencia entre ellos.
• Determinar los procesos, funciones y servicios que son esenciales, y el grado en que lo son.
• Elaborar un estudio predictivo que indique el grado de compromiso de cada servicio o función, de acuerdo con cada una de las amenazas consideradas.
• Crear un plan de sustitutos alternativos en un escenario de emergencia.
• Someter el mapa completo a la consideración de los propietarios de procesos o encargados de cada una de las funciones críticas, para obtener visibilidad completa y aportes nuevos que mejoren el plan.

2. Establecer indicadores de tolerancia al riesgo

Por muchas razones, la organización puede estar preparada para aceptar un riesgo determinado, pero no otro. Una organización de la misma industria, puede experimentar lo contrario.

Es importante que la organización establezca con qué puede lidiar y qué definitivamente no puede tolerar. Algunas acciones adecuadas son:

• Revisar los informes de Gestión de Riesgos sobre apetito de la organización y tolerancia a determinadas amenazas.
• Obtener indicadores matemáticos sobre el impacto real que la ausencia o el deterioro de un servicio o una función tiene sobre el consumidor.
• Crear escenarios hipotéticos para predecir el impacto real de cada riesgo, en cada área de la organización.
• Identificar la tolerancia real de la organización a un evento o a la ausencia de un proveedor, un contratista, un servicio o un suministro.

3. Identificar y comprender las dependencias en todos los sentidos

Un error frecuente en la Gestión de Riesgos operativos es obviar las dependencias y las interrelaciones entre procesos, personas y terceros. La resiliencia operativa no puede hacer a un lado las dependencias, y tiene que conocerlas y comprenderlas en los cuatro sentidos: arriba, abajo, a la derecha y a la izquierda.

El mapeo de procesos propuesto en el primer paso ayuda a entender las dependencias. En este tercer paso el objetivo es buscar dependencias externas de alta sensibilidad: proveedores, subcontratistas, elementos clave en la cadena de suministro y otros.

Las acciones recomendadas son:

• Automatizar la Gestión de Riesgos, utilizando una plataforma especializada en Gestión de Riesgos de Cumplimiento, que permita obtener un plano general de las interrelaciones que generan dependencia esencial.
• Crear una base de datos de sustitutos eventuales, que ya hayan pasado el filtro de la debida diligencia, y que se encuentren en diferentes ubicaciones para disminuir el riesgo de impacto negativo simultáneo del riesgo sobre esos terceros.

4. Crear escenarios de acuerdo con posibles fallas

Todos los planes tienen la posibilidad de fallar. Los de contingencia o de continuidad del negocio, dadas las condiciones en las que se ponen a prueba, son especialmente prolijos en fallas.

Las estrategias que buscan la resiliencia operativa también pueden fallar. Lo interesante es anticiparse a las fallas, y crear un plan B, para lo que fue diseñado para atender un evento disruptivo. Algunas ideas son:

• Revisar los informes históricos sobre lo que ha fallado en el pasado y cómo logró subsanarse el error. La experiencia ajena también es valiosa en este paso.
• Evaluar las estrategias con un grupo amplio de personas provenientes de diferentes áreas. La diversidad de enfoques enriquece la teoría y ayuda a blindar las estrategias con planes de contingencia alternativos.
• Considerar el apetito de riesgo para los planes alternativos.
• Comprobar la alineación de las nuevas estrategias con los objetivos de negocio de la organización.
• Validar la contribución que las estrategias aportan a la recuperación.
• Realizar escenarios teóricos y ejercicios de prueba. En lo posible, también simulacros.
• Identificar puntos débiles en el plan y en las estrategias.

5. Documentar el plan, comunicarlo y debatirlo con las partes interesadas

El plan no lo será hasta que no forme parte de un informe escrito, revisado y comunicado a todos los que tengan algún interés en él. La comunicación, y la forma en que se haga, son elementos importantes para el éxito de la estrategia.

Para lograr el objetivo es importante:

• Identificar las partes interesadas, internas y externas. Empleados, organismos estatales, proveedores de servicios esenciales, sustitutos alternativos, todos ellos forman parte de la estrategia y todos necesitan conocerla.
• Suministrar evidencia sobre la práctica de pruebas, exámenes y simulacros, y sobre los resultados que arrojaron.
• Documentar todo y mantenerlo disponible para consulta de los interesados.

Software ISO 37301 de ISOTools

Los planes de continuidad del negocio y las estrategias de resiliencia operativa necesitan ser una práctica sistemática en la organización. Para que esto sea así, es preciso procesar grandes cantidades de datos e información. El Software ISO 37301 de ISOTools es la herramienta ideal para afrontar el desafío.

La plataforma, basada en la nube, incorpora elementos de Inteligencia Artificial y Big Data, para garantizar el cumplimiento, pero también para diseñar estrategias realmente efectivas de resiliencia operativa. Todo lo haces con esta funcional solución.

La entrada Guía práctica para desarrollar una estrategia de resiliencia operativa se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Al considerar los riesgos de la cadena de suministro, es importante anotar que la mayoría de ellos son externos. Eso implica que no se tiene el control absoluto sobre ellos, pero no significa que no se puedan tratar con efectividad desde el interior de la organización.

De hecho, la gestión de riesgos de la cadena de suministro se integra, o forma parte, de la gestión de riesgos generales de la empresa. Una cadena de suministro segura, vigilada y monitoreada, representa una ventaja competitiva importante para una organización.

Antes de entrar a desglosar los principales riesgos de la cadena de suministro, y la mejor forma para gestionarlos, vale la pena anotar que en este milenio la cadena de suministro es cada vez más digital, y por ello, más proclive a ataques e intromisiones desde la red, lo que convierte a la tecnología en un recurso esencial para el tratamiento de este tipo de amenazas.

¿Qué es la gestión de riesgos de la cadena de suministro?

La gestión de riesgos de la cadena de suministro es el proceso que permite a profesionales especializados en el área, identificar, evaluar, categorizar y tratar circunstancias, condiciones o eventos que puedan, en un momento determinado, interrumpir el suministro de insumos, materias primas u otro tipo de recursos vitales para la producción de un bien o un servicio.

Visto de esta forma, la cadena de suministro puede ser extensa y difícil de rastrear y controlar desde el origen. Pensemos que la interrupción del suministro a un pequeño proveedor que está al inicio de la cadena, probablemente en otro país u otro continente, puede afectar la operación de una gran organización en nuestro continente.

Pero además de los riesgos tradicionales – bloqueos de carreteras, quiebre financiero, robos o asalto a camiones…-, la gestión de riesgos de la cadena de suministro moderna encuentra un verdadero reto en el aumento de ataques cibernéticos.

Organizaciones de todo tipo tienen una mayor dependencia de proveedores y suministros que operan desde la Red. Este tipo de riesgo tiene la capacidad de impedir el suministro y cortar la cadena, pero también de exponer datos de usuarios y clientes, y, además, afectar la reputación de las organizaciones involucradas.

¿Cuáles son los riesgos de la cadena de suministro para el 2024?

La cadena de suministro del siglo XXI es digital, pero también extensa e interconectada. Esto significa que no tiene fronteras geográficas y que no son exclusivas para ninguna industria. Un problema en la industria de la automoción afecta el suministro de alimentos o de hidrocarburos en cualquier lugar del mundo.

Hace pocos meses el mundo vivió la imprevista crisis de los contenedores con efectos devastadores para muchas industrias. Para el 2024, los principales riesgos de la cadena de suministro pueden ser:

• Cambio climático, que genera tormentas, inundaciones, sismos, destrucción o daños en infraestructura, puertos o almacenes y bodegas.
• Dependencia tecnológica, que ya en este año se generó una escasez de chips y circuitos integrados.
• Contexto geopolítico, que se materializan en guerras y conflictos. Muchas empresas en el mundo aún se ven afectadas por la disminución o suspensión de productos provenientes tradicionalmente de Ucrania, que es el mejor ejemplo de riesgo geopolítico.
• Trastornos macroeconómicos, que generan inflación o deflación a grandes niveles. Este tipo de fenómenos, incluida la recesión, tienen la capacidad para acabar con empresas que producen insumos vitales para otras que se encuentran más arriba en la cadena.

¿Cuáles son las mejores prácticas para la gestión de riesgos de la cadena de suministro?

La gestión de riesgos de la cadena de suministro no es muy diferente de la gestión de riesgos generales, o en otras áreas. Identificada la amenaza, es preciso buscar su origen y buscar la forma de eliminarla.

Por supuesto, de no ser posible, lo aconsejable es buscar acciones para minimizar el riesgo o el impacto. Compartirlo o tolerarlo, aprovechando una oportunidad, son también acciones que están en la bitácora de cualquier especialista en riesgos.

Así, algunas de las prácticas que resultan efectivas para cualquier industria, en 2024, son:

1. Contar con un amplio portafolio de proveedores

Contratar el suministro con el mayor número posible de proveedores atomiza el riesgo, sobre todo cuando estos proveedores se encuentran diseminados en diferentes regiones del globo.

La diversidad es la clave. Muchos proveedores aportan un beneficio adicional: es posible establecer una relación fructífera con otros países, generando condiciones para un futuro coloniaje comercial en esas áreas.

2. Diseñar una cadena con proveedores cercanos a los puntos de distribución

Considerando los riesgos de la cadena de suministro mencionados, es importante que los proveedores estén ubicados de forma estratégica, muy cerca de puntos de distribución masiva, como puertos o aeropuertos.

Eliminar, en la medida posible, carreteras o largos trayectos por ríos u otros canales de comunicación, disminuye buena parte de las amenazas mencionadas.

3. Aumentar el nivel de las existencias de inventarios

Mantener altas existencias de inventarios genera tranquilidad para la organización. Es, además, una forma efectiva de mejorar el precio de compra y reducir costes, particularmente para las organizaciones que cuentan con almacenamiento propio de grandes proporciones.

4. Aplicar la debida diligencia y la gestión de riesgos a los proveedores

Los fabricantes o las grandes industrias dependen de pequeños proveedores en cualquier lugar del mundo. Entonces, ¿por qué no preocuparse por ellos y por sus problemas? La debida diligencia y la gestión de riesgos de proveedores son dos herramientas que permiten establecer, con un alto grado de seguridad, que el proveedor es confiable.

5. Vigilar a los proveedores

Lo que hoy es válido y bueno, mañana puede no serlo. Por eso es importante mantener una vigilancia constante sobre todos los puntos de la cadena de suministro. Esto implica actualizar de forma periódica la información, enviar cuestionarios, mantener entrevistas, revisar indicadores de rendimiento y producción, enterarse de las noticias locales…

6. Esperar lo mejor, pero prepararse para lo peor

¿Qué pasaría si…? Es el inicio de un modelo predictivo de eventos catastróficos o disruptivos. Son ideales para desarrollar planes de respuesta inmediata y efectiva, que garanticen un grado medio de operabilidad. Es lo que se conoce como gestión de continuidad del negocio, que se puede aplicar con mucho éxito a la gestión de riesgos de la cadena de suministro.

7. Incorporar tecnología a la gestión

Algunas cadenas de suministro son muy extensas. Sus ramificaciones son de tal envergadura, que se extienden por todo el planeta, llegando a pequeñas poblaciones en numerosos y pequeños países, en los cinco continentes.

La gestión eficaz y efectiva de riesgos no puede prescindir de la tecnología. El uso de una plataforma diseñada para gestionar este tipo de amenazas, ofrece un panorama y una visión completa, actualizada, en todo momento, lo que mejora las posibilidades de reacción ante un evento inesperado.

Software ISO 37301 de ISOTools

La digitalización y la automatización de la gestión de riesgos de la cadena de suministro, es posible de forma muy fácil, utilizando una herramienta como el Software ISO 37301 de ISOTools.

Esta plataforma ha sido creada para asumir los retos que propone el siglo XXI. Se trata de una herramienta basada en la nube, que incorpora funcionalidades avanzadas para el análisis y evaluación de la gestión. Obtenla aquí.

La entrada Riesgos de la cadena de suministro: buenas prácticas de gestión corporativa se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Habitualmente, la Gestión de Riesgos Empresariales funciona como un departamento agregado, pero independiente, de la Gestión de Riesgos General. Por ello, utiliza algunas estrategias comunes y adopta las mejores prácticas para el diseño e implementación de controles internos.

La Gestión de Riesgos Empresariales, históricamente, aparece al final de la década de los años 20, del siglo pasado. La Gran Depresión de 1929 condujo a muchos empresarios a diseñar estrategias para enfrentar amenazas de este tipo.

Así, estas estrategias han evolucionado en un siglo convulso, marcado por la aparición de tecnologías innovadoras y fenómenos de globalización que definen la Gestión de Riesgos Empresariales moderna.

La Gestión de Riesgos Empresariales, en el siglo XXI, considera riesgos operacionales, de TI, de proyectos específicos e incluso, los que amenacen a socios comerciales en la cadena de suministro.

¿Cuáles son los componentes esenciales en la Gestión de Riesgos Empresariales?

Las organizaciones adoptan diferentes marcos o modelos de Gestión de Riesgos Empresariales. Las empresas que optan por un enfoque GRC, necesitan cumplir con requisitos y exigencias regulatorias adicionales, especialmente en lo relacionado con informes sobre Gestión de Riesgos.

Aunque existen diferentes marcos de operación, los elementos esenciales en la Gestión de Riesgos Empresariales son:

1. Contexto interno de la organización

El contexto interno de la organización lo conforman la cultura, la gobernanza y los valores. Son importantes para la Gestión de Riesgos Empresariales porque inciden de forma directa en la creación de políticas, el diseño de procedimientos y el establecimiento de códigos de comportamiento y conducta.

Políticas, procedimientos y códigos incluyen las normas y las directrices que moldean el comportamiento de los empleados. Así, el liderazgo y el tono de la Alta Dirección contribuye al objetivo de generar una cultura sólida de Gestión de Riesgos.

2. Planificación estratégica

La Gestión de Riesgos Empresariales necesita definir objetivos. Y para alcanzarlos, necesita elaborar planes estratégicos. El enfoque de la Gestión es de arriba hacia abajo. Es, en consecuencia, la Alta Dirección el órgano encargado de establecer el apetito de riesgo de la organización, definir objetivos generales y orientar la estrategia que será desarrollada por los profesionales especializados en el área.

El nivel de detalle con que intervenga la Alta Dirección dependerá del tamaño, la complejidad y el grado de regulación al que está sometida la organización. En pequeñas empresas es común que la Alta Dirección asuma funciones de Gestión de Riesgos de forma integral, sin delegar a equipos especializados.

3. Ciclo de Gestión de Riesgos

Retomando una idea expresada en la introducción sobre “la Gestión de Riesgos Empresariales utiliza herramientas, estrategias y modelos que son comunes a la Gestión en General”, el ciclo de Gestión de Riesgos es uno de esos elementos comunes:

• Identificación de riesgos, haciendo uso de modelos como la lluvia de ideas, los informes sobre incidentes, las experiencias de industrias del sector o el análisis de indicadores e informes financieros y contables.
• Evaluación de riesgos, que permite categorizar los riesgos y elaborar una lista priorizada.
• Cuantificación de los factores relevantes, que son el impacto y la probabilidad. Es común en esta etapa el uso de una Matriz de Evaluación del Riesgo.
• Categorizar los riesgos, ubicándolos en cada uno de los tipos de Riesgos Empresariales. Algunos de ellos son:
  • Estratégicos.
  • Financieros.
  • Operacionales.
  • De Calidad.
  • De Cumplimiento.
  • De Seguridad de la Información.
  • Reputacional.
  • Externos.
• Acciones para tratar los riesgos, que conformarán la Estrategia de Gestión considerando en orden de relevancia:
  • Eliminar.
  • Mitigar.
  • Transferir.
  • Tolerar.
• Supervisar y controlar el resultado de las acciones implementadas, verificar su efectividad y, de acuerdo con el comportamiento, reiniciar el ciclo.

4. Mejora continua

Con base en la supervisión y control de los riesgos detectados, la organización adopta un modelo de Gestión de Riesgos cíclico, que busca la mejora continua. La mejora continua requiere que se actualice de forma periódica la lista de riesgos, el perfil y el apetito de riesgo. La auditoría del Sistema, basada en información confiable y oportuna entregada por una plataforma que automatice las herramientas GRC, es un elemento diferencial importante para la mejora continua y sostenida.

5. Informes y comunicación

La capacidad para producir informes transparentes, relevantes y comunicarlos de forma asertiva y acertada, es el último elemento esencial de la gestión de riesgos corporativa. La información y los informes deben fluir con facilidad hacia las partes interesadas, iniciando con la Alta Dirección.

Software ISO 37301 de ISOTools

El Software ISO 37301 de ISOTools es una solución informática eficaz, diseñada para apoyar la Gestión de Riesgos de Cumplimiento, Operacionales, Financiero y de orden Empresarial.

Esta herramienta basada en la nube permite diseñar flujos de trabajo, supervisar tareas asignadas, automatizar funciones, informar sobre retrasos o incumplimiento, generar mapas de riesgos, y, entre otras muchas funcionalidades, obtener información total útil para gestionar riesgos y para tomar las mejores decisiones. Infórmate aquí.

La entrada Gestión de riesgos empresariales: los 5 componentes esenciales para una gestión efectiva se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.

Pero también pueden predecir amenazas emergentes internas o de terceros y preparar a la organización para el futuro. Los indicadores clave de riesgo de permiten actuar en tiempo real y gestionar riesgos incipientes antes de que alcancen su máximo poder lesivo.

Sin embargo, es importante elegir y utilizar los indicadores clave de riesgo adecuados. ¿Cuáles son y cómo desarrollarlos?

¿Qué son los indicadores clave de riesgo?

Un indicador es una cifra, un dato o una condición que, como su nombre lo sugiere, indica algo. Los indicadores hacen ver al analista o al evaluador que algo está sucediendo o puede suceder en un futuro próximo.

Es una forma de monitorear la actividad y establecer si los controles han sido efectivos o si su efectividad está próxima a caducar. Los indicadores emiten alertas tempranas que facilitan actuar sobre riesgos o amenazas que sucederán muy pronto, o están actuando en el momento.

Un indicador clave de riesgo, por ejemplo, puede ser el número de comunicaciones reportadas en una línea dedicada o canal de denuncias. Los indicadores cumplen una función esencial en la gestión de compliance y anticorrupción. Entre otros, permite lograr objetivos como:

• Identificar nuevos riesgos o la variación en el comportamiento de uno ya evaluado (probabilidad o impacto).
• Establecer el impacto real de un riesgo en términos financieros o reputacionales.
• Elaborar comparativos de cifras periódicas, que permitan conformar una tendencia.
• Obtener un panorama real e inmediato sobre la gestión anticorrupción.
• Verificar la eficacia de los controles implementados.
• Fijar nuevos objetivos para la gestión.

¿Cómo establecer indicadores clave de riesgo adecuados?

Los indicadores de riesgo deben ser adecuados a la gestión, al nivel de exposición de riesgo de la organización, a los antecedentes históricos, al grado de regulación y control, entre otros factores para considerar.

Para establecer indicadores clave de riesgo es preciso seguir un proceso que inicia por:

1. Reunir el equipo de gestión de riesgos

Al igual que otras tareas en el área de gestión de riesgos, la definición de los indicadores clave de riesgo es una tarea de equipo. Es importante que todos aporten y que se conforme un marco de operación en el que todos actúen bajo las mismas directrices tras un objetivo común.

2. Dividir la tarea por áreas o por unidades de negocio

Identificar problemas de cumplimiento y corrupción puede requerir una dinámica diferente en el área de Recursos Humanos y otra en Adquisiciones o en Servicios Generales. Los KRI que resultan interesantes o efectivos en un punto, pueden ser irrelevantes o inocuos en otro.

3. Revisar el comportamiento de los KRI actuales

Cada uno de los grupos de trabajo establecidos revisa los indicadores de uso común en el momento, su comportamiento y su aporte a la gestión.

4. Analizar la evaluación del riesgo asociado al KRI

Los indicadores clave de riesgo, incumplimiento, fraude y soborno, son definidos como tales por el aporte que entregan a la gestión. Si se invierte tiempo y recursos en obtener una métrica es porque el resultado final lo amerita. Cada métrica se toma para descubrir si un riesgo está ocurriendo, se mantiene o deja de ocurrir. Un indicador asociado a un riesgo que cada día tiene mayor incidencia y mayor impacto, es un indicador no adecuado.

5. Identificar procesos o cambios de procesos

Los indicadores de riesgo vinculados a un proceso pierden actualidad si el proceso desaparece o sufre una modificación estructural sustancial. Los cambios inadvertidos en procesos obligan a cambiar controles y, por supuesto, indicadores.

6. Priorizar los riesgos para establecer controles

El trabajo de definición y desarrollo de indicadores clave de riesgo, como cualquier actividad en gestión de riesgos, deben enfocarse de manera prioritaria en las amenazas que mayor impacto negativo representen, o mayor probabilidad de ocurrencia.

7. Analizar y procesar los datos

El análisis de la información recopilada debe realizarse de manera metódica, sistemática y automatizada. Los KRI necesitan ser medibles, comparables y comprobables. Para ello, especialmente cuando se trata con grandes volúmenes de datos, es preciso contar con una plataforma diseñada para esta función, y mejor si es creada para la gestión anticorrupción.

8. Establecer límites mínimos y máximos

Finalmente, es preciso establecer límites para la información que arrojan los KRI. Estos limites permiten disparar las alertas que son el objetivo principal de los indicadores. Estos umbrales también pueden ser fijados por un software que determine con alto grado de confiabilidad cuál es el punto que indica una situación crítica.

¿Qué tipos de indicadores clave de riesgo existen?

A nivel general aparecen diferentes tipos de indicadores. La forma en que expresan la información, el área en la que operan o el valor que representan, son los principales criterios de clasificación:

• Cuantitativos, cuando expresan el resultado en un valor numérico absoluto.
• Cualitativos, cuando indican una condición o una característica: alto, medio, bajo, suficiente, insuficiente, notable, escaso.
• Financieros, que son los que hacen referencia a un valor monetario.
• De Recursos Humanos, cuando se refieren a grupos de personas, empleados que cumplen con características comunes, o áreas en las que se presentan problemas o conductas atribuibles a los empleados.
• Operacionales, cuando se enfocan en la medición de los resultados de procesos, procedimientos o tareas específicas.
• Tecnológicos, que pueden expresarse en medidas como gigas, bites… pero también pueden ser incidentes o eventos que sugieran o indiquen la ocurrencia de delitos, fraudes u otros problemas de corrupción.

¿Cómo desarrollar indicadores clave de riesgo realmente efectivos?

Para que los indicadores realmente sean claves, relevantes y eficaces, es recomendable:

1. Enfocarse en riesgos relevantes

Los riesgos relevantes merecen controles e indicadores igualmente relevantes. Las amenazas menores, probablemente no requieran que se desplieguen todos los procedimientos mencionados.

2. Diseñar e implementar un proceso coherente y metódico

Si cada vez que se evalúan los indicadores, su efectividad o su actualidad, es preciso reinventar un proceso, a veces pasando por largas y desgastantes reuniones de consenso, es probable que la tarea se pueda realizar apenas una vez cada cinco años. El proceso debe establecerse para ser utilizado siempre, de forma coherente, metódica y, de ser posible, automatizada. Por supuesto, esto no implica que se pueda revisar y mejorar de forma periódica.

3. Documentar la tarea

El desarrollo de indicadores clave de riesgo es una de las tareas más constructivas y edificantes en el área de gestión de riesgos. En la gestión de cumplimiento y anticorrupción estas características son aún más notorias y relevantes. Para que este aprendizaje no se pierda, y, por el contrario, se convierta en un valor diferencial para la gestión en el futuro, es importante que todos los eventos se documenten, registren y almacenen. Una plataforma con funcionalidades de gestión documental es necesaria para alcanzar el objetivo.

Software ISO 37001 de ISOTools

La gestión de riesgos en el área de cumplimiento y anticorrupción encuentra un aliado excepcional en el Software ISO 37001 de ISOTools. Es una plataforma basada en la nube con funcionalidades eficaces para el procesamiento de altos volúmenes de datos e información, y control de documentos, desde la creación hasta su archivo definitivo.

Estadísticas, mapas de calor, informes inmediatos, son, entre otros, herramientas de gran valor para la gestión de cumplimiento y anticorrupción proactiva. Conócela aquí.

La entrada Cómo desarrollar indicadores clave de riesgo (KRI) para fortalecer la organización se publicó primero en Normas Compliance Antisoborno ISO 37001, ISO 37301 e ISO 19600.