Autoevaluación de riesgos y controles: desmitificando la metodología

Sword GRC Blog

Autoevaluación de riesgos y controles: desmitificando la metodología

Ningún marco de gestión de riesgos operativos está completo sin la Autoevaluación de riesgos y control (RCSA). Esta técnica de empoderamiento, utilizada por el personal en todos los niveles y en una amplia gama de organizaciones para identificar riesgos y evaluar los controles asociados y su efectividad, se desarrolló en 1987. Hoy en día, todavía se considera una forma poderosa de brindar garantías a los órganos rectores y reguladores de que se cumplirán todos los objetivos. También se han identificado una serie de beneficios ‘más suaves’: el personal obtendrá una comprensión más profunda de las operaciones comerciales, una mayor conciencia de la gestión del riesgo operativo y estará mejor equipado para impulsar un programa de gobernanza más estricto.

El libro blanco del Instituto de Riesgos (IOR), Control de riesgos y autoevaluación detalla cómo las RCSA ayudan a las organizaciones a priorizar las exposiciones al riesgo, identificar las debilidades y brechas de control y monitorear las acciones tomadas para abordarlas.

Parece que hay una línea muy fina para lograr el equilibrio adecuado; una RCSA bien ejecutada e implementada debería ayudar a integrar la gestión del riesgo operativo en toda la empresa y mejorar la cultura general del riesgo. Si lo hace demasiado complejo, se puede reforzar la noción de que la gestión del riesgo operativo es burocrática y está basada en el cumplimiento.

La guía enfatiza que, si bien ayuda a evaluar las exposiciones al riesgo operativo, las RCSA también tienen un papel que desempeñar para poner el riesgo operativo sobre la mesa y hacer que la gente hable de él. La idea es que aquellas organizaciones que discutan los riesgos operativos y la eficacia de sus controles asociados estarán en una mejor posición para hacer frente a «lo que depara el futuro»: riesgos nuevos y emergentes.

Sin lugar a dudas, una RCSA eficaz ayudará a respaldar las actividades de cumplimiento y gobierno corporativo. Según el IOR, “Los resultados de una RCSA brindan seguridad al órgano de gobierno y reguladores de que una organización cuenta con un sistema sólido para la gestión de riesgos operativos. Del mismo modo, las RCSA pueden respaldar el trabajo de los auditores internos y externos, ayudándolos a priorizar la atención de la auditoría y estructurar las auditorías «.

Otro beneficio que vale la pena mencionar es la mejora de la eficiencia empresarial. Las debilidades o lagunas en los controles pueden aumentar la probabilidad de fallas en el sistema y el proceso y el impacto de eventos externos, todo lo cual aumenta los costos y el alcance de la interrupción. En el otro extremo de la escala, «un nivel excesivo de control puede ralentizar innecesariamente los sistemas y procesos».

Para ayudar a las organizaciones a lograr el equilibrio adecuado, el documento técnico ‘Autoevaluación de riesgos y controles’ establece información detallada sobre cómo diseñar e implementar una RCSA que se adapte mejor a la escala y complejidad de las actividades y también a la cultura de riesgo de una organización.

Desde los fundamentos de RCSA hasta la integración de marcos

Los aspectos más destacados de los capítulos incluyen:

  • Fundamentos de RCSA

“Un enfoque completamente integral no es necesariamente lo mejor, especialmente si resulta en una sobrecarga de información y requiere una cantidad excesiva de tiempo y esfuerzo para completar. Las RCSA solo deben usarse cuando agreguen valor ”.

  • Diseñar una RCSA

“La mayoría de las organizaciones diseñarán RCSA de arriba hacia abajo y de abajo hacia arriba. La ventaja de un enfoque de arriba hacia abajo es que los riesgos de nivel estratégico se pueden distribuir en cascada y alinear con los riesgos, controles y acciones identificados en departamentos, divisiones o evaluaciones de funciones. Esto puede ayudar a mejorar la gobernanza del riesgo operativo y garantizar que las prioridades locales y de toda la organización estén alineadas.

«La ventaja de una evaluación de abajo hacia arriba es que los gerentes locales pueden enfocarse en los riesgos y controles que son relevantes para su área».

  • Completar una RSCA: enfoques y técnicas

“Los cuestionarios se pueden utilizar para recopilar parte o toda la información requerida para una RCSA. Los cuestionarios pueden utilizarse como sustituto del taller w, para ayudar a ahorrar tiempo y recursos. Son más efectivos cuando se combinan con talleres … Esto debería reducir la posibilidad de que se omitan riesgos o controles y ayudar a controlar los sesgos individuales «.

  • Integración de una RCSA en el marco de gestión de riesgos operativos

« Los resultados de RCSA son una valiosa fuente de información para el desarrollo de planes de acción de riesgo operativo. Dichos planes pueden incluir mejorar la eficacia de los controles existentes, eliminar los controles obsoletos o introducir nuevos controles para abordar las deficiencias. Las acciones siempre deben estar justificadas por motivos de costo / beneficio ”.

En su conclusión, el libro blanco refuerza el mensaje de que los gerentes de riesgo operativo siempre deben tener en cuenta que las RCSA deben respaldar la toma de decisiones comerciales.

Si tiene la tarea de diseñar e implementar RCSA dentro de su organización, o simplemente desea obtener una mejor comprensión de la técnica y los beneficios comerciales que las RCSA pueden generar, descargue su copia gratuita del ‘ Autoevaluación de riesgos y controles orientación ahora.