Gestión Integrada de Riesgos o IRM
La gestión integrada de riesgos (IRM) es un conjunto de prácticas proactivas para toda la empresa que contribuyen a la seguridad, el perfil de tolerancia al riesgo y las decisiones estratégicas de una organización. A diferencia de los enfoques de gestión de riesgos basados en el cumplimiento, IRM se centra en evaluar los riesgos en el contexto más amplio de la estrategia empresarial. Un programa de IRM debe ser colaborativo e involucrar tanto a líderes de TI como de negocios.
El término "gestión integrada de riesgos" fue acuñado por primera vez por Gartner en 2017, en respuesta a un panorama de riesgos más complejo provocado por el aumento de los procesos digitales, la globalización y una mayor dependencia de terceros. Como lo describe Gartner, un marco eficaz de gestión de riesgos integrados debe incluir una estrategia clara, una evaluación de riesgos detallada, un plan de respuesta a los riesgos, comunicación e informes, monitoreo de riesgos e implementación de una solución de IRM basada en software (IRMS).
Para 2021, Gartner proyecta que el 50% de las estrategias de gestión de riesgos empresariales dentro de las grandes organizaciones involucrará una solución de IRM, y que el mercado alcanzará los $8 mil millones de dólares anuales (teniendo en cuenta los costos de consultoría e implementación).
Cómo implementar una estrategia de gestión integrada de riesgos
En términos generales, hay cuatro pilares clave para implementar una estrategia de gestión integrada de riesgos (IRM):
- Alinear la estrategia de ciberseguridad con los resultados de la estrategia empresarial. La comunicación debe tener lugar entre los equipos de ciberseguridad de TI y los líderes empresariales para discutir la relación entre el negocio y las estrategias de ciberseguridad. La contextualización de los riesgos de seguridad de la información con la estrategia empresarial puede ayudar a los líderes empresariales no técnicos a comprender cómo sus decisiones influyen en el ecosistema de ciberseguridad más amplio.
- Construir una cultura comprometida y consciente de los riesgos. Cambiar la cultura organizacional de una empresa es una tarea abrumadora que debe abordarse de forma gradual y con paciencia. Un punto focal de este paso es construir aliados críticos de líderes influyentes dentro de la organización, quienes pueden ayudar a guiar a otros hacia una mentalidad informada y consciente del riesgo.
- Integrar el riesgo en las discusiones sobre estrategia empresarial. Es fundamental que los líderes de todos los departamentos de la organización comprendan la relación natural entre la estrategia comercial y el riesgo. La toma de nuevas decisiones estratégicas alterará el perfil de riesgo de la organización.
- Informar de forma eficaz. Establecer métricas basadas en objetivos para evaluar el desempeño de la gestión de riesgos es fundamental, de modo que las organizaciones puedan comprender qué enfoques funcionan y cuáles no. Varios proveedores ofrecen soluciones de IRM basadas en software para optimizar el proceso de generación de informes y recopilar información y análisis basados en riesgos en paneles de control fáciles de usar.
Qué incluir en un programa integrado de gestión de riesgos
Según Deloitte, un marco de gestión de riesgos integrado eficaz debe contener algunas secciones clave:
- Establecimiento de objetivos. Las organizaciones deben establecer de forma colaborativa objetivos primarios y secundarios. Todos los objetivos deben poder medirse y describirse dentro del contexto de las circunstancias.
- Identificación de riesgos. Los riesgos y las oportunidades deben identificarse e integrarse en el marco con un plan de seguimiento. Las imágenes y las matrices pueden ser herramientas útiles para organizar y presentar información.
- Consideración de riesgos. Los riesgos deben considerarse de forma individual, bilateral y en conjunto. Las organizaciones deben responder:
- ¿Qué riesgos materiales existen? ¿Cuán impactantes y probables son?
- ¿Cómo debería la organización priorizar cada riesgo?
- ¿Cómo afectan los riesgos a la organización individualmente?
- ¿Cómo afectan los riesgos a la organización en conjunto?
- ¿Cómo se comparan los riesgos con el apetito por el riesgo de la organización?
- Opciones de mitigación. También se denominan actividades de gestión de riesgos. El resultado del análisis de riesgos debe generar planes detallados de resultados aceptables y riesgos retenidos, y resultados inaceptables con la lista completa de opciones de mitigación concretas.
- La evaluación cuantitativa de las métricas debe definirse claramente, con planes de acción establecidos. La vigilancia es fundamental y la implementación del software IRMS puede ayudar a proporcionar vistas completas de información relevante.
Gestión de riesgos integrada frente a gobernanza, riesgo y cumplimiento
Una estrategia de gestión de riesgos integrada se centra en la creación de una cultura proactiva y consciente del riesgo, utilizando riesgos contextualizados para crear marcos basados en resultados. Una estrategia tradicional de gobierno, riesgo y cumplimiento (GRC) se centra en marcar casillas que son menos específicas del perfil de riesgo de una empresa individual.
Aunque los dos términos se superponen, difieren en su alcance y las funciones de GRC forman la base de una estrategia de gestión de riesgos integrada. Mientras que IRM constituye la estrategia empresarial general en relación con el riesgo, las funciones de GRC son las funciones concretas y más específicas que mejoran el perfil de riesgo. El enfoque de gestión de riesgos de GRC generalmente tiene un enfoque limitado en las desventajas técnicas u operativas; IRM amplía el enfoque para incluir una imagen más holística tanto de tácticas como de estrategia, que incluye oportunidades alcistas y riesgos estratégicos.
Beneficios de la gestión integrada de riesgos
Una estrategia de gestión de riesgos integrada une los aspectos funcionales entre las organizaciones, la cultura y los objetivos comerciales estratégicos. Se pueden obtener varios beneficios al adoptar una estrategia de gestión de riesgos integrada, en contraposición a un enfoque de alcance limitado:
- Mayor variedad de oportunidades. Las estrategias de gestión de riesgos integradas tienen como objetivo considerar la gama completa de posibilidades asociadas con cada aspecto de la estrategia empresarial, en lugar de centrarse simplemente en mitigar las desventajas. Las oportunidades de capitalizar las ventajas potenciales pueden surgir de una evaluación más completa de cada resultado comercial.
- Mejora de la identificación y gestión de riesgos. IRM contribuye a una imagen más realista del análisis de riesgos, a partir del cual los líderes de la organización pueden mejorar la toma de decisiones. Los riesgos se pueden identificar y comunicar entre el negocio y los equipos de TI de manera productiva. Con las respuestas adecuadas planificadas y los recursos establecidos, las organizaciones con estrategias basadas en IRM estarán más equipadas para hacer frente a los resultados adversos y probablemente sufrirán menos pérdidas financieras.
- Cultura organizacional madura en riesgos. Al adoptar un enfoque interdepartamental más amplio para la concienciación y la gestión de riesgos, el resultado es una cultura más proactiva. Las organizaciones comenzarán a ver el riesgo como una parte inherente de la estrategia comercial.
Productos de gestión de riesgos integrados
El software IRMS puede ayudar a simplificar, automatizar e integrar los procesos de gestión de riesgos en todas las organizaciones. IRMS se enfoca en brindar vistas integrales e integradas de las funciones y medidas relacionadas con el riesgo, al mismo tiempo que crea plataformas que facilitan la naturaleza colaborativa de las estrategias de IRM.
IRMS puede ayudar a las organizaciones con:
- Documentación y evaluación del control de riesgos.
- Administracion de incidentes.
- Planificación de acciones de mitigación de riesgos.
- Seguimiento y comunicación de riesgos.
- Cuantificación y análisis de riesgos.
El Cuadrante Mágico de Gartner, que detalla los escenarios competitivos específicos del mercado, evalúa a los siguientes proveedores de IRM: BWise, CAMMS, CURA Software, Dell Technologies (RSA), Galvanize (ACL/Rsam), IBM, Ideagen, Lockpath, LogicManager, MetricStream, Refinitiv, Resolver, Riskonnect, SAI Global, ServiceNow y SureCloud.