Indicadores Clave de Riesgo, Cuadro de Mando y Plantilla

Una perspectiva práctica sobre la gestión de riesgos en la planificación estratégica utilizando la norma ISO 31000 como guía.

Introducción: Definiendo el riesgo más allá de la probabilidad y el impacto

La norma guía en el dominio de la gestión de riesgos es la ISO 31000. Es intrigante observar la evolución de la definición de riesgo de la norma a lo largo del tiempo:

• La definición anterior de riesgo según la ISO: «Una posibilidad o probabilidad de pérdida.»
• La definición según la ISO 31000:2018: «El efecto de la incertidumbre en los objetivos.»

¿Qué ha cambiado?

• La antigua definición mencionaba «pérdida«; la nueva emplea el término «efecto«. Este cambio implica posibles efectos positivos y negativos, así como resalta la importancia de los intangibles como la percepción del cliente.
• La antigua definición utilizaba «posibilidad» y «probabilidad» para describir la probabilidad de ocurrencias. En la definición moderna, encontramos el «efecto de la incertidumbre«, también explicado como el efecto del conocimiento incompleto. Este enfoque permite más flexibilidad en la definición de riesgos, extendiéndose más allá del modelo «probabilidad x impacto».
• La adición del término «objetivo» a la nueva definición resalta que los riesgos se definen dentro de un contexto específico, previniendo posibles desalineaciones con la estrategia general.

Vamos a explorar la aplicación práctica de la gestión de riesgos en la planificación estratégica utilizando los principios guía de la norma ISO.

1. Evaluación de riesgos: sistemática y consciente de las partes interesadas

Mapee los posibles riesgos a través del análisis sistemático de las fuerzas impulsoras y sus indicadores de signos tempranos en el contexto de la estrategia de la organización y los intereses de las partes interesadas.

La directriz general de la norma ISO enfatiza que la evaluación de riesgos debe ser sistemática y tener en cuenta las opiniones de las diferentes partes interesadas.

¿Qué significa esto en la práctica?

Evaluación de riesgos: sistemática

El concepto de evaluación de riesgos ‘sistemática’ varía entre las industrias. Esencialmente, implica seguir procesos y normas determinadas, tales como:

• Regularidad de la evaluación de riesgos
• Cuantificación del riesgo
• Asignación de individuos responsables

A continuación, discutimos cómo se puede implementar esto a nivel operativo.

Evaluación de riesgos: punto de vista de las partes interesadas

Similar a otros dominios empresariales (considere, por ejemplo, la directiva de informes de sostenibilidad), la norma ISO se centra en la definición de las partes interesadas y requiere tener en cuenta las opiniones de las partes interesadas al gestionar los riesgos.

En la práctica, esto significa que las organizaciones necesitan:

• Realizar un análisis de las partes interesadas para definir las partes interesadas involucradas.
• Tener en cuenta los intereses de las partes interesadas al crear un modelo de riesgo en el contexto de los objetivos.

Este requisito de la norma se alinea bien con el enfoque que respaldamos a través de nuestro sistema de implementación de estrategias.

Los usuarios de BSC Designer encontrarán la plantilla de análisis de las partes interesadas en sus cuentas.

• La lista de las partes interesadas se puede definir a través de Configuración > Organización > Estrategia.
• Las partes interesadas de la lista se incluirán en la lista de ‘Responsable’ y se pueden asignar a un objetivo, riesgo o plan de mitigación de riesgos.

Identificación de riesgos en el contexto de los objetivos

El siguiente paso de la evaluación de riesgos es nombrar el riesgo específico. La nueva norma ISO requiere que los riesgos se definan en el contexto de los objetivos. La aspiración de la norma es mejorar la alineación entre el riesgo y el contexto empresarial.

En la planificación estratégica, en lugar de tener un cuadro de mando de riesgo separado, integre los riesgos en los cuadros de mando de la estrategia.

Cuando realizamos la descomposición de la estrategia basada en el valor, desglosamos las ambiciones estratégicas de las partes interesadas en objetivos y subobjetivos más específicos. En este punto, cuantificamos los objetivos y definimos los riesgos para entender mejor el contexto empresarial con el que estamos tratando.

La mayoría de las herramientas que utilizamos para explorar el entorno empresarial (consulte el segmento de Análisis de Estrategia en el diagrama) ayudarán naturalmente con la identificación de riesgos.
Para definir un riesgo en BSC Designer:

• Seleccione cualquier objetivo o cree uno nuevo
• Haga clic en el botón de Iniciativas.

• Añada un nuevo elemento

• Cambie su tipo a Riesgo.

Cambie el tipo del elemento a Riesgo. Fuente: Plantilla de Gestión de Riesgos.

• Añada factores relevantes en el campo de descripción; use la sección de Documentos para subir documentos de apoyo.

Definición de Indicadores de Señal Temprana

La causa raíz del riesgo es lo que se refiere en ISO como el efecto de «conocimiento incompleto«.

¿Cómo podemos mejorar nuestros modelos de riesgo en el contexto de las fuerzas impulsoras?

Además de los indicadores de probabilidad, defina indicadores de señal temprana. Por ejemplo, estos podrían ser indicadores de advertencia temprana de crisis económicas o incluso guerras. Al traducir las fuerzas impulsoras generales en factores más específicos, aumentamos la posibilidad de encontrar un indicador de advertencia temprana confiable.

En la planificación estratégica, distinguimos estos indicadores predictivos/de actuación alineados con los factores de éxito de los indicadores que miden los resultados (indicadores rezagados).

Para crear un indicador de señal temprana predictivo en BSC Designer:

• Cree un nuevo indicador.
• Cambie a la pestaña Contexto.
• Cambie el tipo de indicador a «Actuación».

Cambiando el tipo de indicador a Actuación. Fuente: Plantilla de Gestión de Riesgos.

Este indicador no se tendrá en cuenta al calcular el rendimiento de su objetivo principal, pero podemos rastrearlo y usarlo para cuantificar las iniciativas de descubrimiento o mitigación de riesgos.

2. Análisis de Riesgo: Probabilidad, Impacto, Vulnerabilidad

Haga los riesgos más específicos cuantificando atributos como la probabilidad, el impacto y la vulnerabilidad.

El análisis de riesgos es una práctica amplia centrada en entender el riesgo y sus posibles efectos en la organización. A continuación, proporcionamos sugerencias para el análisis de riesgos en el contexto de la planificación estratégica.

Definir Indicador de Probabilidad/Posibilidad

El indicador de probabilidad se puede definir:

• Cualitativamente, por ejemplo, en la escala [Bajo, Medio, Alto] o
• Cuantitativamente, por ejemplo, en la escala de [0 a 100%].

La escala cuantitativa es adecuada para casos en los que el evento de riesgo tiene suficientes datos empíricos para estimar su probabilidad durante un cierto período de tiempo.

Los usuarios de BSC Designer pueden definir unidades de medida cualitativas (una escala personalizada de «Bajo» a «Alto») que el software puede convertir en valores específicos.

Indicador de Impacto del Riesgo

La forma más sencilla del indicador de impacto del riesgo es el valor en dólares del impacto estimado. La configuración del indicador para este caso incluye:

• Función de optimización: minimización

La función de optimización del indicador de Impacto del Riesgo está configurada para minimización. Fuente: Plantilla de Gestión de Riesgos.

• Unidades de medida: $
• Base: el impacto en el escenario de peor caso
• Objetivo: el impacto en el escenario de mejor caso
• Valor: la estimación actual del impacto esperado

Una base, objetivo y valor actual del indicador de Impacto del Riesgo. Fuente: Plantilla de Gestión de Riesgos.

El rendimiento calculado de tal indicador cuantificará los esfuerzos en el contexto de la optimización del impacto. Para casos más complejos, podemos construir un Índice de Impacto utilizando varios indicadores como:

• Pérdida directa [peso 50%] (impacto negativo)
• Pérdida intangible (efecto en la marca) [peso 30%]
• Multas regulatorias [peso 20%]

Si planeamos usar este índice de impacto en el cálculo del riesgo usando la fórmula «Probabilidad x Impacto», necesitaríamos asignar un valor en dólares a todos los indicadores en el índice.
Una opción alternativa sería utilizar varias unidades de medida para los indicadores en el índice y hacerlos comparables mediante la normalización. El Índice de Impacto final utilizará los valores normalizados. Todavía podremos calcular el riesgo como «Probabilidad x Índice de Impacto», pero los resultados de dicho cálculo no estarán en dólares, sino en %.

Indicador de Vulnerabilidad

La estimación de la probabilidad del riesgo y su posible impacto no considera la sensibilidad de la organización a este tipo de riesgo.

Al discutir los indicadores de señal temprana, cuantificamos aspectos del entorno empresarial que podrían predecir el desarrollo de ciertas fuerzas impulsoras. En el caso de la vulnerabilidad, realizamos un análisis similar pero nos enfocamos en la organización y su infraestructura.

Por ejemplo, podríamos evaluar las vulnerabilidades de ciberseguridad existentes a través de juegos de guerra o simulaciones de ataque. Se pueden encontrar ejemplos más específicos en el artículo de ciberseguridad.

La «vulnerabilidad» se puede cuantificar de acuerdo con el CVSS en la escala de 0 a 10 con la función de optimización «Minimización».

Seguimiento de Factores Temporales

El cambio constante de las fuerzas impulsoras, así como las iniciativas de prevención de riesgos, resultan en cambios en las estimaciones de riesgo.

Siga la evolución del riesgo con el tiempo y anote ideas relevantes para el ciclo de aprendizaje y mejora.

Para automatizar esto en BSC Designer:

• Establezca un intervalo de actualización para los indicadores de riesgo.

Intervalo de actualización para el indicador de Vulnerabilidad. Fuente: Plantilla de Gestión de Riesgos.

• Utilice el calendario de intervalos y el campo Valor para actualizar el indicador con datos frescos.
• Utilice el botón de comentario para agregar notas relevantes a la actualización.

Comentario sobre las actualizaciones de riesgo. Fuente: Plantilla de Gestión de Riesgos.

3. Tratamiento del Riesgo: Decidir Cómo Responder al Riesgo

Implemente planes de mitigación para los riesgos y siga el éxito de la implementación con los estados de las iniciativas e indicadores de mitigación de riesgos.

De acuerdo con los umbrales establecidos de riesgos aceptables y siguiendo los resultados del análisis de riesgos, los tomadores de decisiones formulan una estrategia de respuesta para el riesgo con posibles opciones como:

• Eliminar riesgos como no relevantes
• Monitorear dentro del modelo de riesgo existente
• Introducir un plan de tratamiento de riesgos
• Cuestionar el análisis de riesgo
• Cuestionar el contexto (objetivo o ambición de los interesados)

En BSC Designer:

• Asigne un indicador de «Mitigación de Riesgos» al riesgo para seguir el progreso de las iniciativas de mitigación de riesgos
• Utilice el campo de estado del riesgo para indicar su estado actual de acuerdo con el flujo de trabajo de gestión de riesgos aceptado

Seguimiento del estado de la iniciativa de mitigación de riesgos. Fuente: Plantilla de Gestión de Riesgos.

• Añada elementos adicionales a través del diálogo de Iniciativas (nuevos riesgos, iniciativas, fundamentos, hipótesis, resultados esperados)
• Añada datos relevantes para el tratamiento del riesgo, como presupuesto, cronograma, indicador de progreso, personas responsables
• Suba documentos de apoyo relevantes

4. Monitoreo de Riesgos: Una Nueva Mirada a la Exposición al Riesgo

Siga la evolución de la exposición al riesgo con el tiempo con indicadores clave de riesgo y paneles de control.

Los indicadores que utilizamos para definir los riesgos están configurados para un cierto intervalo de actualización. Los responsables asignados a los indicadores de riesgo recibirán notificaciones sobre los próximos intervalos de actualización y las actualizaciones perdidas.

También es posible visualizar en el panel de control los indicadores que no se actualizaron a tiempo.

Los detalles de todas las actualizaciones (persona que actualizó, cuándo se hizo la actualización, si se cambió el valor anterior) se pueden visualizar a través del registro de auditoría de los indicadores.

A nivel de el cuadro de mando de gobernanza, el análisis de riesgos regular puede ser cuantificado por un indicador dedicado:

• Añada el «Realizar evaluación sistemática de riesgos» al cuadro de mando de gobernanza.
• Configure el indicador para que se actualice trimestral o anualmente.
• Asigne a la persona/equipo responsable del análisis regular de riesgos como responsable de este indicador para tener recordatorios por correo electrónico sobre las próximas actualizaciones.
• Alinee este indicador con los indicadores correspondientes de niveles inferiores que cuantifican las evaluaciones de riesgos realizadas en áreas específicas.

Paneles de Control

Además de monitorear con indicadores que se actualizan regularmente, considere agregar un panel de control con diagramas relevantes:

• Un diagrama con una lista de los riesgos, sus estados, progreso del tratamiento, personas responsables
• Diagramas dedicados para los riesgos más críticos
• Diagramas para el índice de riesgo y su cambio a lo largo del tiempo.

Un panel de control con diagramas de riesgo. Fuente: Plantilla de Gestión de Riesgos.

Índice de Riesgo Ponderado

Uno de los medios populares para informar incidentes de riesgo es utilizando un índice de riesgo ponderado. Un índice simple podría verse así:

• Eventos de bajo impacto (peso = 5%)
• Eventos de impacto medio (peso = 15%)
• Eventos de alto impacto (peso = 30%)
• Eventos críticos (peso = 50%)

El uso del índice ayuda a prevenir la manipulación del indicador al enmascarar eventos de alto valor con soluciones de bajo valor.

Un ejemplo de índice de riesgo ponderado. Fuente: Plantilla de Gestión de Riesgos.

En BSC Designer:

• Utilice el botón Agregar para crear una estructura jerárquica de indicadores.
• Utilice la propiedad Peso en la pestaña Rendimiento para asignar un peso relevante a los indicadores.

Plantilla de Gestión de Riesgos

Automatice la gestión de riesgos utilizando modelos de estimación de riesgos ligeros o complejos.

En la plantilla de gestión de riesgos, encontrará varias técnicas que uno puede usar para definir riesgos en sus cuadros de mando.

• Copie y pegue los elementos de la plantilla en sus cuadros de mando estratégicos.

Caso 1. Definición de Riesgo Ligero

Una definición de riesgo simple con un plan de mitigación de riesgos e indicadores. Fuente: Plantilla de Gestión de Riesgos.

El «Objetivo 1» es un ejemplo de una definición de riesgo simple:

• Hay un riesgo definido para el objetivo.
• La definición de riesgo incluye un plan de mitigación de riesgos.
• El riesgo incluye la propiedad ‘Estado’ para seguir el estado actual de la respuesta al riesgo.
• El riesgo está alineado con el «Indicador de Mitigación de Riesgos» que debería mostrar el progreso de la iniciativa de mitigación de riesgos.

Caso 2. Indicador de Señal Temprana + Riesgo como Probabilidad x Impacto

La estimación de riesgo como probabilidad multiplicada por impacto. Fuente: Plantilla de Gestión de Riesgos.

El Objetivo 2 sirve como ilustración de una definición de riesgo más específica. El indicador de Estimación de Riesgo incluye un indicador de actuación y dos indicadores rezagados:

• El Indicador de Señal Temprana, un indicador de actuación, sirve para proporcionar advertencias tempranas de riesgos en escalada.
• La estimación de riesgo se calcula como Probabilidad x Impacto, utilizando valores no normalizados.

Caso 3. Probabilidad x Impacto x Vulnerabilidad

Riesgo estimado como Probabilidad x Impacto x Vulnerabilidad. Fuente: Plantilla de Gestión de Riesgos.

El Objetivo 3 es similar al Objetivo 2; además, incluye la Vulnerabilidad en la estimación del riesgo.

• La Estimación de Riesgo se calcula como Probabilidad x Impacto x Vulnerabilidad.
• El software utiliza valores absolutos para la Probabilidad, el Impacto y la Vulnerabilidad.
• La Vulnerabilidad se calcula según la escala CVSS en la escala de 0…10.

La Estimación de Riesgo se calcula como Probabilidad x Impacto x Vulnerabilidad. Fuente: Plantilla de Gestión de Riesgos.

El símbolo [.] en la fórmula instruye al software a buscar indicadores dentro del contenedor de Estimación de Riesgo. Configurado de esta manera, el modelo de estimación de riesgo se vuelve fácil de copiar y reutilizar en otros cuadros de mando.

Informes de Incidentes: Índice de Riesgo Ponderado

El «Índice de Riesgo Ponderado» es un ejemplo de cómo se pueden cuantificar y reportar eventos de riesgo de naturaleza similar.

El índice de impacto de riesgo incluye indicadores del número de riesgos de diferentes tipos ponderados según la gravedad del incidente.

El seguimiento del número de incidentes de esta manera ayuda a prevenir la manipulación del sistema de medición de riesgos, donde el posible mal desempeño en términos de prevención de eventos críticos se enmascara con el buen desempeño de gestionar un gran número de eventos menores.

Conclusión: Integración del Riesgo en la Planificación Estratégica

Ya no estamos hablando de disciplinas separadas de gestión de riesgos, cumplimiento, y gobierno. El entorno empresarial en rápida evolución obliga a las organizaciones a buscar un marco de GRC integrado.

Como se describe en nuestro Sistema de Implementación de Estrategias, la implementación práctica incluye:

• Desglosar problemas complejos en áreas específicas, gestionadas por cuadros de mando de estrategia y función dedicados.
• Formular objetivos con definiciones de riesgo apropiadas, indicadores e iniciativas.
• Centrar los cuadros de mando en áreas de interés, como el cumplimiento, la ciberseguridad o la cadena de suministro.

Más ejemplos del Cuadro de Mando Integral