Gestión de riesgos en 2024. Cómo abordarla y qué aplicaciones usar

Persona calculando riesgos en ordenador

Índice

    icon newsletter
    El mejor contenido en tu bandeja de entrada

    La gestión de riesgos, en inglés risk management, es uno de los principales retos que enfrentan actualmente las compañías. En cualquier negocio, la planificación es la clave ya no sólo del crecimiento, sino de la sostenibilidad y, en muchas ocasiones, la supervivencia del mismo.

    Entender los riesgos como medida de magnitud de daños en cualquier circunstancia concreta nos ayudará a prevenir contratiempos o, en caso de ser inevitables, poder reaccionar a ellos para mitigar sus efectos. Abordar su gestión desde una perspectiva profesionalizada dotará tanto a nuestra organización como a nuestros clientes clientes seguridad y garantías.

    Establecer procesos empresariales estructurados y con base en estándares profesionales y testados es la única forma de asegurar la consecución de los objetivos propuestos. De esta forma, gracias a una gestión del riesgo adecuada, podremos garantizar la operativa del negocio, sus operaciones y, con ello, su sostenibilidad.

    Qué es la gestión de riesgos

    La gestión de riesgos es un conjunto de procedimientos, estándares y metodologías ejecutadas en la operativa de una organización o negocio para hacer frente a las posibles amenazas y eventualidades que sucedan derivadas del desarrollo de sus actividades.

    Independientemente de la actividad a la que se dedique un negocio, al igual que sin importar su tamaño o industria, cualquier empresa está expuesta a riesgos al realizar las operaciones que le permiten estar activa. La gestión de riesgos trata de identificar los riesgos para hacer un seguimiento y evaluación de ellos. 

    También conocida como “Administración de Riesgo Empresarial” (ARE), del inglés ERM (Enterprise Risk Management), esta área ya constituye en muchas empresas un departamento individual o un subdepartamento integrado dentro de las áreas de compliance / jurídico o de las direcciones de operaciones.

    Objetivos y pasos

    Abordar este cometido desde una perspectiva profesionalizada obliga a establecer pautas concretas y definidas alrededor de los riesgos. En los sistemas de gestión de riesgos, por norma general, se dan las siguientes fases básicas:

    1. Definición de contextos: Las estrategias de gestión de riesgos deben pormenirzarse según el tipo de contexto y operación. La mejor forma de abordar la gestión de riesgos es desde una primera fase que analice por completo la organización y sus procesos, sin olvidar aspectos cruciales como fuentes de riesgo externas.
    2. Políticas y objetivos: A la hora de crear un sistema de gestión de riesgos no debemos lanzarnos a diseñar modelos que posteriormente no vamos a poder gestionar por falta de tiempo, recursos o capacidad. Establecer objetivos claros y marcar líneas generales de actuación para las políticas de riesgo garantizará un sistema eficaz, sostenible y que realmente cumple con lo que se propone. En esta fase es decisivo analizar la tecnología y herramientas digitales con las que contar de cara a la creación de los sistemas de prevención y gestión de riesgos. En la actualidad, la situación que acabamos de exponer no llega a darse en aquellas empresas que deciden utilizar herramientas digitales diseñadas y adaptadas a la gestión de riesgos, pudiendo establecer políticas y estrategias más ambiciosas y gracias a la mejor tecnología sin necesidad de invertir grandes sumas de recursos o destinar gran cantidad de equipos. De esta forma, si se decide contar con herramientas innovadoras y actualizadas, no hay limitaciones en cuanto a los objetivos planteados de, por ejemplo, capacidad de prevención del fraude y la mitigación completa de determinados tipos de riesgos.
    3. Definición y Detección: Una de las principales partes, sino la que más de entre estas fases, es la de la identificación de los riesgos susceptibles de ocurrir. Conocer y categorizar los diferentes riesgos potenciales a los que hará frente la empresa es la base para trabajar en la gestión de riesgos.
    4. Análisis y clasificación: Una vez detectados los riesgos, estos deben analizarse y clasificarse. Esta clasificación puede realizarse desde varios puntos de vista o perspectivas, aunque la más común suele ser por área operativa del negocio. Sin embargo, la más recomendable en la actualidad es aquella que categoriza los riesgos en función de la fase del customer journey en la que se encuentre el flow de actividad de la compañía. Del mismo modo, hay que tener en cuenta otros momentos como todas las operaciones corporativas y de posventa, así como todo el trabajo previo como por ejemplo las relaciones con proveedores.
    5. Valoración y evaluación: Una vez definidos, analizados y clasificados, llega el momento de valorar la escala que va a determinar la consecución de los objetivos y el cumplimiento de las políticas diseñadas en la fase 2. Aquí, se debe crear un mapa de riesgos valorando importancia e impacto (baja, alta, media) y la probabilidad de que el riesgo ocurra (posible, ocasional, constante). Tras esto, podrá elaborarse una guía de priorización que marque las políticas.
    6. Establecimiento de sistemas de prevención: La mejor estrategia de gestión de riesgos es aquella que los mitiga antes de que sucedan. Si bien hay ciertos tipos de riesgos que no pueden ser evitados (aunque sí previstos), la gran mayoría de riesgos en casi todos los sectores pueden ser mitigados sin que lleguen a tener lugar y consecuencias. En este sentido, como ya avanzábamos, contar con la mejor tecnología y los sistemas de prevención de riesgos más modernos asegurará una mejor defensa ante los potenciales eventos no deseados.
    7. Monitorización: La supervisión continuada del proceso de gestión de riesgos implica revisar todas las fases anteriores nuevamente de forma periódica para identificar nuevos eventos potenciales, reevaluar las probabilidades y alcance, conocer nuevas herramientas que ayuden a prevenir los ya existentes o los nuevos, así como el reajuste de las políticas y objetivos en función de los cambios regulatorios y normativos. Aquellos negocios que cuentan con un partner RegTech para suministrarles herramientas de gestión y prevención de riesgos suelen estar más liberadas de esta última tarea en la monitorización ya que estos actualizan sus soluciones en función de la evolución de la legislación o las dinámicas del mercado.
    8. Tratamiento: Dar solución a los riesgos que se han convertido en una realidad con rapidez y capacidad de respuesta es determinante para mitigar las consecuencias perjudiciales a muchos niveles: legal, operativo, de seguridad o, incluso, de continuidad. En esta fase es crucial haber establecido pautas de actuación concretas a realizar en cada caso y según la naturaleza del agravio cometido y contar con las herramientas pertinentes para ejecutarlas.

    Si bien en cada empresa, y según los distintos profesionales que desarrollan la gestión de riesgos, se establece un número diferente de fases o se eliminan algunas, consideramos que estas ocho son aquellas que dan como resultado un sistema completo y con una perspectiva integral

    Utilizar las herramientas adecuadas y metodologías ágiles de optimización conseguirá que una estrategia de gestión de riesgos más amplia y que abarca todos los aspectos necesarios sea incluso más sencilla que aquellas más tradicionales y con menos fases. Que este modelo de gestión incluya un mayor número de fases no es indicativo de un resultado más complejo y cargante para la organización, sino al contrario. Establecer estos ocho steps de la forma adecuada ayudará a lograr una gestión más ágil y concreta en el día a día gracias a la pormenorización de los procesos.

    Descubre las herramientas de prevención del fraude y riesgo escalables y ágiles de Tecalis

    Gestión de riesgos en el sector financiero, banca y seguros

    La gestión de riesgos empresariales en la industria BFSI (Banca, Servicios Financieros y Seguros) debe ser aún más exhaustiva que en otros sectores. Si bien todas las áreas de actividad deben establecer controles y políticas de riesgo decididas, esta industria es más delicada dada la cantidad de fraude e intentos de comisión de acciones ilícitas por parte de los usuarios.

    Si hablamos de riesgo financiero, muchos asociarán este término con el valor económico fluctuante debido a las incertidumbres en el rendimiento de inversiones o la gestión patrimonial y de ahorros. Los más destacados en este sentido son el riesgo de crédito y el riesgo de mercado. El primero, como avanzábamos, se debe a las fluctuaciones de los mercados en relación al cambio o al tipo de interés mientras que el segundo es sobre la no-asunción de responsabilidades y obligaciones de cara a, por ejemplo, el pago de una hipoteca.

    Tipos de riesgo en el sector financiero

    Sin embargo, en la gestión de riesgos, de lo que realmente estamos hablando es del riesgo operativo. Esto se refiere a las pérdidas o perjuicios ocasionados debido a la inacción, la falta de adaptación o a errores en los procesos, las tareas de seguridad desarrolladas por los empleados o los sistemas internos y su forma de emplearnos de cara a acontecimientos externos. Es decir, riesgos producidos por el no cumplimiento con los estándares de seguridad exigidos y derivados de la naturaleza de las operaciones del sector y su forma de ser (dinámicas de interacción con los clientes o relación con proveedores, por ejemplo).

    A continuación exponemos varios de los riesgos que más están presentes en la industria financiera y la banca en la actualidad derivados de una mala gestión de riesgos operativos global de las distintas empresas e instituciones financieras:

    • Fraude de identidad: Comprobar que el cliente es quien dice ser en el momento del onboarding o la apertura de una nueva cuenta no es sólo un método para prevenir el fraude y mitigar el riesgo sino una obligación legal en prácticamente todos los mercados y países. El riesgo ocurre cuando la identificación de estos clientes no se realiza de la forma adecuada y no se utiliza tecnología potente capaz de impedir que posibles infractores se conviertan en clientes.
    • SIM Swapping y robo de cuentas: Si bien el SIM Swapping no es realmente un riesgo en el sector financiero, este fraude cometido a través de los fallos en los procesos de las teleoperadoras pone en jaque a la industria BFSI debido a las estrategias 2FA para cumplir con la norma PSD2 y los estándares SCA al realizar operaciones desde los portales de cliente. El uso de OTPs para autenticar usuarios y firmar operaciones en línea es una adición de seguridad con sentido, pero deja de ser útil cuando los infractores pueden acceder a estos códigos al haber realizado este tipo de fraude. Autenticar con biometría facial y crear estrategias MFA más completas con factores inherentes da solución a este problema.
    • Lavado de dinero: El blanqueo de capitales es uno de los mayores retos que enfrenta la industria. Así, las regulaciones en esta materia y la financiación del terrorismo están obligando a las empresas del sector financiero a establecer controles anti-fraude exhaustivos para evitar este tipo de prácticas.

    Así, este tipo de riesgos financieros están suponiendo gran parte de las estrategias de prevención de las compañías. El área de la banca, las finanzas y los seguros está expuesta sufrir intentos de fraude por parte de aquellos que usan sus productos y servicios, algo que ha aumentado exponencialmente al traspasar estas compañías al entorno digital. En cualquier caso, los líderes FinTech, WealthTech e InsurTech, están aprovechando la tecnología para paliarlos sin complicaciones y de una forma ágil y más sencilla de lo que pudiera parecer.

    Regulaciones vinculadas con el riesgo

    Normas como AML6 están dando respuesta a los riesgos de blanqueo de capitales en el sector financiero. En este sentido, las directivas anti-blanqueo están implementadas en la mayoría de estados y obligan a las empresas del sector financiero a establecer sistemas de gestión de riesgos que mitiguen o eliminen por completo la posibilidad de comisión de este tipo de delitos.

    Por otro lado, en relación al fraude de identidad, el marco eIDAS está protegiendo tanto a usuarios como a compañías de riesgos como el robo de cuentas o la suplantación de identidad.

    Los estándares ISO 31000/2018 son normas destinadas a enseñar a las compañías qué principios generales deben establecerse para realizar una gestión de riesgos mínima. Esta norma, junto al ERM Framework emitido por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) ha conseguido que la estandarización llegue a la gestión de riesgos con éxito. Este último hace una propuesta de marcos integrados de control y sobre la responsabilidad de las empresas en relación a la gestión de riesgos.

    Proyectos

    La gestión de riesgos asociada a los proyectos es un tema recurrente en cualquier máster o formación especializada en project management. La gestión de riesgos de los proyectos no es muy diferente a la concepción tradicional que hemos definido sobre cómo la abordan las compañías de forma global de cara a su actividad y operaciones.

    Si bien es cierto que en la primera el objetivo es prevenir, mitigar y evitar eventos que puedan afectar a la actividad de la compañía, en la gestión de proyectos el riesgo se asocia a todo aquello que pueda afectar al éxito y fin de este

    Las ocho fases propuestas pueden aplicarse perfectamente y desarrollar una estrategia de gestión de riesgos para proyectos basada en estos pasos, aunque adaptando el análisis y el contexto a la naturaleza y características propias de un proyecto. Algunos ejemplos de asuntos a tener en cuenta en los proyectos y en los que se involucran determinados riesgos pueden ser:

    • Problemas de identidad al tratar con proveedores (se puede mitigar con controles Know Your Business) o la gestión de datos en relación
    • Problemas de incumplimiento (se puede prevenir con el uso de firma electrónica) de condiciones o de acuerdos entre partes.
    • Problemas de comunicación con proveedores, equipos destinados al proyecto o con el cliente (se puede solucionar con la utilización de comunicación certificada).
    • Riesgos financieros en proyectos donde la financiación está condicionada a los avances o resultados.
    • Amenazas de seguridad informática que hagan peligrar el proyecto.
    • Riesgo de retrasos debido a cuellos de botella en determinados procesos. En este sentido, el uso de RPA (Robot Process Automation) está demostrando impulsar la entrega rápida de proyectos al descargar a los equipos de tareas mecánicas y repetitivas para dedicarse a las de más valor.
    • Riesgo de que otra compañía lance, por ejemplo, un producto similar antes.

    Prevención del Fraude

    Como hemos podido observar, la prevención del fraude es uno de los asuntos principales que tratan los responsables de gestión del riesgo hoy en día. Sólo en Estados Unidos, entre el año 2008 y hasta 2020, ocurrieron once mil millones de robos de datos, cifra que sigue en aumento. El fraude de identidad casi se duplicó del año 2019 al 2020 con pérdidas cercanas a los diecisiete mil millones de dólares tan sólo ese año según un estudio de Javelin Strategy.

    Por otro lado, podemos ver cómo los robos de cuenta se incrementaron en más de un 72% en 2019 con respecto al 2018. Con estos datos, podemos atrevernos a decir sin lugar a dudas que el fraude de identidad es el riesgo más acuciante al que deben dar respuesta las compañías a través de sistemas de gestión de riesgos actualizados y potentes.

    En este sentido podemos ver cómo algunas empresas están aplicando sistemas de detección de fraude en lugar de aquellos destinados a la prevención. Así, la prevención del fraude debe abordarse antes de que el acto ilícito llegue a cometerse, no antes o durante, ya que el riesgo de que el intento termine convirtiéndose en una realidad es, en muchos casos, elevado.

    Tecnología para la gestión de riesgos

    Gracias a herramientas de aprendizaje automático y buenas prácticas en su aplicación, determinados proveedores de tecnología están ofreciendo a las empresas sistemas de controles anti-fraude solventes y escalables que sitúan el número de fraudes y de sanciones derivadas de su comisión en cero sin necesidad de inversión en grandes proyectos y con una integración ágil en los procesos y operaciones de negocio.

    Ahora, gracias a la mejor tecnología y la innovación, la gestión de determinados tipos de fraude, como hemos visto, puede realizarse con herramientas digitales que llevan al extremo la mitigación consiguiendo el objetivo de cero riesgo, cero fraude. Lo importante a la hora de elegir una aplicación es asegurar que esta es escalable y que se adapta al caso de uso de nuestro negocio que presenta un riesgo asociado. Del mismo modo, confirmar que el proveedor de esta tecnología está especializado en nuestra industria es crucial para que esta adaptación suceda sin tener que involucrar a otros equipos ni incurrir en transformaciones de procesos costosas y lentas que ralentice el ritmo de nuestro negocio.

    Descubre qué sistema de gestión de riesgos se ajusta al perfil de tu empresa

    Prevención de riesgos laborales (PRL)

    La prevención de riesgos laborales (PRL) aparece en muchas ocasiones junto a la gestión de riesgos global de las compañías. Si bien esta área es liderada habitualmente por los equipos y departamentos de recursos humanos y gestión del talento, algunas empresas optan por dar esta responsabilidad a los responsables de compliance o de operaciones.

    Al igual que los riesgos que pueden afectar a una empresa y su actividad son importantes, aquellos factores que pueden dañar la seguridad o salud de los trabajadores son vigilados igualmente y deben contar con una estrategia y sistema definido para prevenirlos. Sin embargo, la idiosincrasia de los trabajadores y la diferente forma de abordar las operaciones de negocio frente a sus tareas, hace que los métodos sean diferentes.

    Este ámbito está fuertemente regulado y los profesionales de prevención de riesgos laborales deben atenderlos y gestionarlos conforme a lo recogido en las leyes que los estados y regiones han desarrollado y ejecutado. Por ejemplo, en España, la ley 31/1995 de prevención de riesgos laborales tiene como objetivo promover la seguridad y la salud de los trabajadores aplicando medidas y ejecutando actividades concretas para prevenir los riesgos asociados a los distintos puestos de trabajo. 

    Esta ley de PRL fue modificada posteriormente y ampliada por la Ley 54/2003 que, sin embargo, insta a las empresas a considerar la prevención de riesgos laborales como un punto clave de los sistemas generales de gestión de riesgos de toda la empresa. A raíz de esto, la gestión de riesgos global y la PRL han convergido en muchas circunstancias haciendo uso de herramientas similares para determinados casos muy concretos.

    Etiquetas
    Newsletter icon

    El mejor contenido en tu bandeja de entrada

    Ft
    aifintech
    regtech
    etica
    techbehemoths
    finnovating
    ecija

    Servicios de confianza, identidad y automatización

    Tecalis crea producto digital disruptivo para hacer crecer y evolucionar a las empresas más innovadoras. Impulsamos procesos de crecimiento y transformación digital para llevar el futuro a las empresas hoy.
    Identidad

    Las soluciones y servicios KYC (Know Your Customer) de Verificación de Identidad por Vídeo, Onboarding Digital y Autenticación (MFA/2FA) permiten a nuestros clientes proporcionar a sus usuarios una experiencia ágil y segura.

    Nuestro software de automatización RPA (Robot Process Automation) permite crear modelos de negocio sostenibles, escalables, productivos y eficientes a través del BPM (Gestión por Procesos de Negocio) para crecer sin límites.

    Digitalización

    La Firma Electrónica Avanzada y Cualificada y los servicios de Comunicación Certificada (Burofax Electrónico) permiten que los procesos de adquisición de clientes, contratación y aceptación que antes tomaban días o semanas sean finalizados y aprobados en minutos o segundos.

    El Customer Onboarding (eKYC), los servicios de Firma Digital (eSignature) y la Prevención del Fraude Automatizada están haciendo posible a las compañías operar online y sin fronteras.

    Confianza

    Como Tercero de Confianza (Trust Services Provider) certificado por la UE y partner RegTech consolidado, ayudamos a las organizaciones a cumplir con los estándares normativos más exigentes de su sector y región, incluyendo las regulaciones AML (Anti-Money Laundering), eIDAS (Electronic IDentification, Authentication and etrust Services), GDPR (Reglamento General de Protección de Datos), SCA (Strong Customer Authentication) o PSD2 (Payment Services Directive) gracias a Controles Anti-Fraude y Verificación de Documentos Tecalis.