Hoy en día estamos expuestos a riesgos de manera permanente en los negocios: riesgos estratégicos, riesgos operativos, riesgos de salud y seguridad en el trabajo, riesgos anticorrupción, riesgos de ciberseguridad, riesgos laborales, riesgos financieros, y así la lista continúa, y más si nos encontramos en empresas con mayor nivel de regulación en los que la lista es aún más larga.
Esto se traduce finalmente en grandes matrices en Excel, donde a través de diversos atributos con escalas dependiendo del tipo, se evalúan y se les da tratamiento según el apetito de riesgo que cada empresa decide tener y está asociado al tratamiento a realizar: aceptar, mitigar, transferir o eliminar los riesgos.
Pero hasta ahí en términos reales, la gestión es realmente muy débil. Muchas veces se tiene información muy buena “para la foto” pero en términos prácticos muy poco efectiva.
Suele suceder que lograr que se cumpla lo que dice la matriz en el “campo” termina siendo una labor muy difícil de gestionar; dado que depende principalmente del conocimiento y la discrecionalidad de las personas que están en la dirección y operación del negocio, los también llamados “primera línea de defensa”.
En ese contexto, es importante tener en consideración 3 elementos clave que deben ser incorporados en la gestión de riesgos para que sea realmente efectiva:
1. Conocimiento efectivo
La empresa no puede pretender que todos los colaboradores conozcan los miles de riesgos y controles a ser aplicados en sus diversos procesos y operaciones. Debe contar con un sistema de “Gestión por Procesos Integrado a Riesgos”; que de forma automática y en función a la posición, al rol, procesos y actividades que realiza el colaborador en la empresa, le muestre los riesgos y controles que debe administrar en un tablero de mando personal. Este tablero debe actualizarse de forma dinámica y automática teniendo en cuenta cualquier ajuste en las matrices de riesgo respectivas y notificar de forma inmediata al colaborador y con confirmación de lectura de ser necesario.
2. Hyperautomatización
A fin de reducir al máximo posibles errores que pueden cometer los colaboradores se debe disminuir la discrecionalidad de decisión sobre actividades que pueden representar un riesgo significativo para la empresa. Se deben establecer la mayor cantidad de controles automáticos a través de sistemas de información y soluciones o “facilitadores” complementarios como los BPMS, RPA, IA, entre otros.
Tecnologías como las mencionadas, usualmente se utilizan para priorizar la eficiencia de las operaciones en la organización, buscando principalmente la reducción de costos y dejando de lado la aplicación de controles automáticos sobre riesgos que finalmente terminan materializándose en pérdidas importantes para las empresas.
3. Monitoreo continuo:
Para aquellos controles que no puedan ser automatizados por diversas razones, es necesario contar con un sistema de monitoreo continuo, que a través de la información generada por la empresa en diversas fuentes, se pueda ver a través de tableros, con reglas de negocio embebidas, que generen alertas en relación a las operaciones y permitan tomar acción de ser el caso.
Y tú, ¿estás gestionando de forma real y efectiva los riesgos de tu empresa?