FASE 2: DEFINIR EL PROCESO PARA LA GESTIÓN DEL RIESGO
El proceso para la Gestión Integral de Riesgo, se constituye como parte de la gestión, cultura y mejores prácticas aplicadas por la organización para la eficiente administración de su estrategia, servicios y procesos.
El proceso en mención, contempla las siguientes actividades de primer nivel:
1. Comunicación y consulta
Dentro de esta fase diseñaremos y estableceremos planes formales de comunicación y consulta con las partes interesadas tanto internas como externas, fomentando con esto la participación activa de los involucrados en cada fase del proceso, logrando con esto una mayor precisión en los resultados obtenidos dentro de las actividades definidas dentro de la metodología para la gestión de riesgos. Esta fase tendrá en cuenta planes de comunicación existentes en la organización, con ánimo de garantizar una integración en un solo proceso de aplicación general.
2. Establecimiento del contexto
Consideraremos la cultura organizacional que identifica a la empresa; así como sus procesos, servicios, misión, valores, principios, recursos, estructura y comportamientos; lo cual tendremos en cuenta para seleccionar las herramientas y técnicas que soporten la manera más rápida, íntegra y creativa para la implementación metodológica.
3. Valoración del riesgo
Para todos los propósitos de este proyecto metodológico de Gestión Integral de Riesgo, entenderemos como valoración, el proceso total de identificación, análisis y evaluación.
3.1 Identificación del riesgo: El objetivo de esta fase es identificar las fuentes de riesgo, sus causas y consecuencias potenciales, generando una lista de riesgos que podrían afectar los objetivos definidos para los productos y servicios ofrecidos por la organización.
Para tal efecto, partiremos del establecimiento de los objetivos del negocio identificando eventos que podrían influir en el cumplimiento de los mismos sobre este esquema lo que podría suceder y lo que sucedió con base en registros históricos confiables, juicio de expertos o información externa de organizaciones similares.
3.2 Análisis del Riesgo: El objetivo de esta fase es la comprensión y entendimiento del riesgo identificado, considerando las causas y fuentes de riesgo u otros atributos para definir la probabilidad de ocurrencia e impacto o consecuencias dentro de un marco de tiempo y así poder determinar el nivel de riesgo, considerando los controles existentes junto con su grado de efectividad. Contemplaremos la divergencia de opinión entre expertos o limitaciones frente a la disponibilidad, calidad y suficiencia de la información suministrada por la organización.
3.3 Evaluación del riesgo: El objetivo de esta fase es la toma de decisiones basada en el resultado del análisis de riesgo, determinando cuales riesgos requieren plan de tratamiento, junto con la prioridad para su implementación. La necesidad de tratamiento la estableceremos al comparar el nivel de riesgo determinado durante el proceso de análisis, con el nivel de tolerancia y los criterios de riesgos definidos por la organización.
4. Tratamiento del riesgo
Evaluaremos la selección de una o más opciones para modificar los riesgos y la implementación de tales opciones para el caso en que los niveles de riesgo de residual superen los límites tolerables del riesgo definido por la organización. Para el tratamiento del riesgo, consideraremos las siguientes opciones: Modificar la probabilidad, modificar las consecuencias, compartir, retener y evitar.
Para el análisis y evaluación de opciones de tratamiento, tendremos en cuenta los costos de implementación y mantenimiento frente a los beneficios obtenidos sujetos (en caso que aplique), al cumplimiento de las obligaciones legales y reglamentarias. Esta selección la comunicaremos y acordaremos con los principales involucrados.
En la fase de implementación de los planes de tratamiento, consideraremos su grado de prioridad, los efectos colaterales que podrían generar en los productos o servicios ofrecidos por la organización y el monitoreo permanente evaluando la eficacia de la medida implementada. Igualmente, complementaremos en caso necesario formatos elaborados por la organización o diseñaremos una plantilla que permita registrar el responsable, fechas acordadas, presupuesto estimado y los principales pasos para su implementación.
5. Monitoreo y revisión
Las actividades incluidas en esta fase, se fundamentan en asegurar que los controles siguen siendo eficaces y eficientes; analizar y aprender lecciones a partir de eventos de riesgo materializados o incidentes que pudieron generar pérdidas económicas e impacto negativo en la imagen de la organización; así como detectar cambios en el contexto que influyan en el desempeño del sistema de gestión de riesgos.
Como herramienta que apoya el monitoreo, se definirán indicadores de gestión, eficiencia y eficacia para el riesgo; siendo estos, uno de los principales insumos para generar los reportes tanto internos como externos. Se diseñaran formatos prácticos para registrar el resultado del monitoreo y la revisión.