Siga los 5 pasos del proceso de gestión de riesgos para desarrollar un plan para su negocio

Informes de FEMA que el 40-60% de las pequeñas empresas nunca vuelven a abrir después de un desastre natural. Informes del índice de ciberamenazas empresariales de AppRiver que el 48% de las pequeñas y medianas empresas dicen que una violación de datos importante probablemente cerraría su negocio para siempre.

Cosas de miedo.

Pero si estás listo, no estás condenado. Un plan de gestión de riesgos sólido puede ayudar a su empresa a mitigar y planificar esos riesgos y mantenerlo al otro lado de esas estadísticas.

Y no tienes que estar estresado para crear este plan. El proceso de gestión de riesgos no tiene que ser realizado por un costoso gestor de riesgos o consultor de gestión de riesgos. Puede crear un plan informado y sólido siguiendo los pasos que se describen a continuación.

En este artículo, repasaremos los cinco pasos del proceso de gestión de riesgos y explicaremos el propósito de cada uno, sugeriremos preguntas para comenzar y compartiremos consejos. Esta es una descripción general de alto nivel, destinada a ayudarlo a crear un plan simple de administración de riesgos para su pequeña empresa.

Nota: La gestión de riesgos puede volverse extremadamente compleja con ejercicios como cálculos de impacto avanzados y análisis de causa raíz en profundidad. Si tiene una empresa grande, trabaja en una industria de alto riesgo, como las finanzas, o es una empresa que cotiza en bolsa, es posible que necesite un software de gestión de riesgos empresariales solución para gestionar una estrategia madura de gestión de riesgos.

¿Qué es la gestión de riesgos?

Antes de sumergirnos en el proceso, retrocedamos un poco y definamos la gestión de riesgos: la gestión de riesgos se trata de identificar, evaluar, planificar y, en última instancia, responder a las amenazas a su negocio. El objetivo es estar preparado para lo que pueda suceder y tener un plan para responder adecuadamente.

Si es nuevo en las prácticas de gestión de riesgos o necesita un repaso, le recomendamos que consulte «Por qué es importante la gestión de riesgos y cómo puede ayudarle el software». En este documento, explicamos exactamente qué es un plan de gestión de riesgos y le mostramos un ejemplo del propietario de una empresa que desarrolla un registro y un plan de riesgos.

¿Cuáles son los cinco pasos del proceso de gestión de riesgos?

Los cinco pasos del proceso de gestión de riesgos son identificar, evaluar, mitigar, monitorear y reportar los riesgos. Siguiendo los pasos que se describen a continuación, podrá crear un plan básico de gestión de riesgos para su empresa.

Estos son los cinco pasos de un proceso de gestión de riesgos:

Adaptado del Manual de procesos de gestión de riesgos de Gartner para 2020 (reporte completo disponibles para los clientes de Gartner)

Paso 1: Identificación de riesgos

Para comenzar este proceso, enumere todos los eventos que afectarían negativamente su negocio. Espere agregar riesgos a su lista durante días, tal vez incluso semanas, y sepa que no pensará en todos los riesgos posibles.

Asegúrese de pedir a los gerentes de otros departamentos que también identifiquen los riesgos. Desea que su plan sea lo más holístico y completo posible.

Aquí hay algunas preguntas que debe hacerse para ayudarlo a identificar los riesgos:

  • ¿Existen leyes legales y/o de cumplimiento nuevas o actualizadas recientemente que debamos estar preparados para enfrentar?
  • ¿Este riesgo afecta a otras partes del negocio? (Si es así, asegúrese de incluir los riesgos de este servicio).
  • ¿Qué eventos nos tomaron por sorpresa en el pasado?
Punto: Dése un tiempo para identificar los riesgos, de lo contrario quedará atrapado en la parálisis del análisis y nunca pasará a los siguientes pasos. Tenga en cuenta que todo este proceso es continuo, por lo que seguirá aumentando el riesgo con el tiempo.

Paso 2: Evaluación de riesgos

Ahora que tiene una lista de amenazas y riesgos potenciales o existentes, es hora de evaluar la probabilidad de que ocurra el evento y el nivel de impacto. Este análisis de riesgo ayuda a determinar los niveles de prioridad de cada riesgo para no sobreasignar o subasignar recursos para la mitigación en la siguiente etapa.

Su evaluación se puede hacer utilizando una matriz como la siguiente. Para cada riesgo identificado, determine tanto la probabilidad de que ocurra como el nivel de impacto negativo que tendría en su negocio. Ingrese cada riesgo en la casilla correspondiente. Este ejercicio también se realiza mejor en colaboración con los jefes de cada departamento.

ejemplo de una matriz de evaluación de riesgos

Punto: Su primera matriz debe ser un documento de trabajo. Use un formato que facilite el cambio de riesgo. Una pizarra virtual o un documento compartido funciona bien. Es posible que los eventos de riesgo deban moverse a través de la matriz a medida que aprende más sobre su impacto o probabilidad en función de los comentarios de otros administradores de servicios.

Paso 3: Mitigación de riesgos

La mitigación de riesgos es donde creará y comenzará a implementar el plan sobre la mejor manera de reducir la probabilidad y/o el impacto de cada riesgo. Es posible que no pueda elaborar un plan de mitigación para cada riesgo, pero es importante tratar de identificar los cambios en sus procesos actuales que se pueden ajustar para reducir el riesgo.

Comience con los riesgos que colocó en las casillas rojas de su matriz de evaluación. Cree un documento de plan de mitigación donde nombre un propietario para cada riesgo y describa los pasos a seguir si ocurre el evento de riesgo. Hará esto para cada riesgo.

Aquí hay algunas preguntas a considerar al desarrollar el plan de mitigación:

  • ¿Cómo podemos implementar medidas de mitigación en nuestros sistemas y procesos comerciales?
  • ¿El plan está claramente detallado para que todos en el negocio puedan entender qué acción se debe tomar para cada evento de riesgo?
  • ¿Es este plan de acción un nivel de respuesta adaptado a este riesgo?

Como este paso es bastante complejo, tomemos el consultorio de un médico como ejemplo de los esfuerzos de mitigación de riesgos:

Riesgo Plan de mitigación
Los pacientes enfermos podían contagiar a los pacientes sanos mientras estaban juntos en la sala de espera. Tener una sala de espera separada para pacientes enfermos.
El personal puede confundir a los pacientes con el mismo nombre. Establezca una regla para que todo el personal siempre confirme el nombre completo y la fecha de nacimiento de cada paciente cada vez que interactúen.
Un paciente puede tener un episodio médico grave, como un ataque al corazón o un derrame cerebral, mientras está en la oficina. Asóciese con un hospital cercano para tener un proceso de transferencia de emergencia.

Diseñe sus planes de mitigación de riesgos para que sean una parte natural de las operaciones comerciales siempre que sea posible. Para hacer esto, trabaje con otros líderes en su negocio para coordinar los esfuerzos de mitigación de la mejor manera posible en las operaciones diarias y las reuniones de planificación estratégica.

Punto: Es fácil priorizar en exceso los planes de mitigación a expensas de las operaciones comerciales en curso. No podrá implementar todos los planes inmediatamente. Trate de equilibrar la forma en que implementa los planes de mitigación con la garantía de que la carga de la gestión de riesgos no afecte las operaciones. Tampoco desea forzar una revisión de todo un proceso solo para mitigar un riesgo que ha colocado en la zona verde de la matriz. Sería exagerado.

Paso 4: Monitoreo de riesgos

Ahora que ha identificado, evaluado y desarrollado un plan de mitigación, necesita monitorear tanto la efectividad de su plan como la ocurrencia de eventos de riesgo. Monitorear el estado de los riesgos, monitorear la efectividad de los planes de mitigación implementados y consultar con las partes interesadas clave son todos parte del paso de monitoreo de riesgos. El monitoreo de riesgos debe llevarse a cabo durante todo el proceso de gestión de riesgos.

Aquí hay algunas preguntas que debe hacerse al monitorear el riesgo:

  • ¿Cómo puedo mantener a otros gerentes involucrados en el monitoreo de riesgos?
  • ¿Cómo puedo capacitar a mi equipo para identificar y escalar incidentes de riesgo?
  • ¿Ha habido algún cambio en el que se deba reducir un riesgo previamente evaluado como amenaza alta? ¿O viceversa?
Punto: No adopte un enfoque de ‘esperar y ver’ cuando se trata de monitorear el riesgo; es posible que no sepa exactamente cuándo ocurrió un evento de riesgo. Los eventos como los ciberataques y los cambios regulatorios a veces pueden ocurrir meses o incluso años después, a pesar de los controles de seguridad y el plan de control de riesgos vigentes. Asegúrese de que su plan de gestión de riesgos incluya un control continuo para que una auditoría fallida no lo sorprenda con la guardia baja cuando el control continuo podría haberlo ayudado a actuar antes.

Paso 5: Informe de riesgos

Debe documentar, analizar y compartir el progreso de su plan de gestión de riesgos. Los informes de riesgos tienen dos propósitos principales: lo ayudan a analizar y evaluar su plan de gestión de riesgos y ayudan a mantener a las partes interesadas involucradas en la mitigación de riesgos compartiendo el progreso.

Cuando comienza por primera vez, los informes se pueden realizar ingresando manualmente el estado de cada riesgo en su plan de mitigación de manera regular. Luego envíe el informe, o al menos los aspectos más destacados, a los demás jefes de departamento.

Los informes de riesgos es donde el software de gestión de riesgos realmente brilla porque puede reunir todos los puntos de datos y crear un panel de control fácil de leer. Si los informes de riesgo son un aspecto importante de la gestión de su riesgo, le recomendamos enfáticamente que considere invertir en software.

A continuación, se muestra cómo se ven los informes de riesgos en el sistema de gestión de riesgos empresariales (ERM), Essential ERM.

captura de pantalla del informe de riesgo en el software Essential ERM

Tablero de informes de riesgos en Essential ERM (La fuente)

Aquí hay algunas preguntas para ayudarlo a informar los riesgos:

  • ¿Son estos los indicadores correctos para entender el progreso del plan?
  • ¿Cuál es la mejor manera de difundir los informes de riesgo para que las partes interesadas estén informadas sin abrumarse con los datos?
  • ¿Con qué frecuencia debo compartir informes? ¿Trimestral? ¿Anualmente?
Punto: Para ganar apoyo y fomentar una cultura de gestión de riesgos, intente construir una narrativa sobre cómo la empresa gestiona los riesgos. Considere cómo combinar los informes de riesgos con otras funciones comerciales para contar una historia cohesiva. Lanzar un montón de estadísticas y cuadros de colores a las partes interesadas puede ser abrumador e intimidante. Pero a todos les encanta una historia, especialmente aquella de la que forman parte.

Reducir el riesgo de elegir un sistema inadecuado

Ahora que conoce los cinco pasos del proceso de gestión de riesgos (identificar, evaluar, mitigar, monitorear y reportar riesgos), debe sentirse seguro al desarrollar un plan de gestión de riesgos para su negocio.

Si está listo para llevar su plan de gestión de riesgos e informes al siguiente nivel, es hora de probar el software de gestión de riesgos.

Tenemos varios recursos gratuitos para ayudarlo a lo largo de su viaje de compra de software:

  • Lea reseñas de usuarios reales sobre herramientas populares de software de gestión de riesgos.
  • Obtenga más información sobre cómo comprar una solución de gestión de riesgos en nuestra Guía del comprador.
  • Inicie un chat en vivo o llámenos al (844) 687-6771 para hablar con un asesor de software.
  • Lea lo que dicen nuestros asesores sobre el tamaño y el tipo de empresas que compran software de gestión de riesgos.

Nota: Las aplicaciones que se muestran en este artículo son ejemplos para mostrar la funcionalidad en contexto y no pretenden ser patrocinios ni recomendaciones. Se obtuvieron de fuentes que se creían fiables en el momento de la publicación.

Deja un comentario

Tu dirección de correo electrónico no será publicada.