GRC - Gestión de riesgos corporativos
El software t-Risk se desarrolló para ayudar a los gerentes de riesgos de seguridad corporativos en su análisis de riesgos integrados y planificación de seguridad. Es una herramienta analítica que ayuda en la identificación, análisis y evaluación de riesgos. Es decir, cubre todo el proceso que ocurre entre la recopilación de datos y la planificación de la gestión de riesgos.
El software t-Risk utiliza un método deconstructivo, ya que transforma un problema grande y difícil en problemas pequeños. Le ayudará a encontrar soluciones que armonicen la seguridad corporativa con el desarrollo empresarial, actuando para reducir las vulnerabilidades que afectan los factores críticos de éxito y los objetivos de su organización o empresa cliente.
Al hacer clic en uno de los proyectos, el usuario encontrará los menús de los grandes bloques de trabajo:
Clientes, Parámetros, Evaluación de Riesgos y Configuración.
En el bloque Clientes, se registran los datos del cliente y sus proyectos. El sistema muestra la comparación actualizada de los indicadores de desempeño.
En el bloque de Parámetros, el usuario proporciona información sobre facturación mensual, número de empleados, controles (recursos) existentes, etc. Siguiendo las instrucciones, el usuario define el perfil de riesgo de la organización, los perfiles de los evaluadores y el peso que tendrá cada uno en la atribución de valores.
Estos dos bloques, Clientes y Parámetros, recopilan los datos para establecer el contexto. Se les informa, por ejemplo, los Factores Críticos de Éxito del Sistema de Referencia (empresa u organización) y el perfil de tolerancia al riesgo obtenido del cliente. En un paso posterior, el sistema mostrará si los controles dejarán el Sistema de Referencia (empresa u organización) dentro del perfil de tolerancia al riesgo indicado por el cliente.
El bloque de Evaluación de Riesgos está dedicado a identificar, analizar y evaluar el estado del Sistema de Referencia, en relación con la seguridad, y definir los controles de seguridad adecuados. Al completar los datos, el usuario completará los siguientes módulos de evaluación: Nivel de riesgo; Riesgo x matriz de riesgo; Matriz de factores críticos de éxito; Control existente x Control necesario; Reducción de la pérdida esperada; Matriz SWOT; Plan de acción; e Informe final.
Clicando em um dos projetos, o usuário encontrará os menus dos grandes blocos de trabalho:
Clientes, Parâmetros, Avaliação de riscos e Configurações.
No bloco Clientes, são cadastrados os dados dos clientes e seus projetos. O sistema mostra o comparativo atualizado dos indicadores de desempenho.
No bloco Parâmetros, o usuário fornece informações sobre faturamento mensal, número de empregados, controles (recursos) existentes etc. Seguindo as instruções, o usuário define o perfil de risco da organização, os perfis dos avaliadores e o peso que cada um terá na atribuição de valores.
Esses dois blocos, Clientes e Parâmetros, reúnem os dados para o estabelecimento do contexto. Neles são informados, por exemplo, os Fatores Críticos de Sucesso do Sistema de Referência (empresa ou organização) e o perfil de tolerância ao risco, obtido junto ao cliente. Em etapa posterior, o sistema mostrará se os controles deixarão o Sistema de Referência (empresa ou organização) dentro do perfil de tolerância ao risco indicado pelo cliente.
O bloco Avaliação de riscos é dedicado a identificar, analisar e avaliar o estado do Sistema de Referência, em relação à segurança patrimonial, e definir os controles de segurança adequados. Preenchendo os dados, o usuário completará os seguintes módulos da avaliação: Nível de risco; Matriz Risco x Risco; Matriz Fatores críticos de sucesso; Controle existente x Controle necessário; Redução da perda esperada; Matriz SWOT; Plano de ação; e Relatório de conclusão.
Nivel de riesgo
El establecimiento del nivel de riesgo comienza con el método Mosler, que trata los factores implicados en un riesgo determinado con la menor subjetividad posible. El método de Mosler parte de seis criterios, a los que se asignan ponderaciones de 1 a 5, según el grado de influencia. Estos son los criterios: función, sustitución, profundidad, extensión, probabilidad e impacto financiero. Los tutoriales sobre t-Risk proporcionan más detalles.
La asignación de pesos puede requerir el trabajo de un consultor junto con personas que conozcan en profundidad la empresa. En tales casos, se recomienda la conformación de un pequeño comité con representantes de diferentes áreas de la empresa cliente. Cuanto más diversos sean los perfiles, más equilibrados serán los pesos. Los pesos dados por el consultor pueden valer dos o tres veces más que los demás. Se recomienda que haya uno o más evaluadores por cada 500 empleados (propios y subcontratados). T-Risk registra e indica el grado de confiabilidad de la evaluación de Mosler.
Aún utilizando el método Mosler, el sistema crea cuatro nuevas columnas en la tabla: importancia del éxito, daño causado, magnitud del riesgo, pérdida esperada y evolución del riesgo.
La evolución del riesgo (ER) conduce a la clasificación de riesgos en orden de importancia para los objetivos de la organización y Factores Críticos de Éxito.
Luego, t-Risk muestra la matriz de Nivel de Riesgo, de cuatro celdas, con la relación entre los factores de riesgo y sus consecuencias.
Esta matriz conduce a dos tablas: la primera proporciona recomendaciones de tratamiento y la segunda muestra cómo se vería la clasificación de riesgo con los tratamientos indicados.
Matriz Riesgo x Riesgo
En este bloque, el usuario asigna ponderaciones al grado de influencia que cada riesgo tiene sobre los demás. T-Risk calcula la motricidad de un riesgo para impulsar otros riesgos y la dependencia de cada uno. Tutoriales y tablas explicativas guían paso a paso para que el usuario llegue a la matriz Riesgo x Riesgo, un elemento importante de análisis.
Matriz de factores críticos de éxito
Para cuantificar el grado de influencia de cada riesgo en los Factores Críticos de Éxito, el usuario asigna pesos que van desde cero (sin influencia) a cuatro (alta influencia). A cambio, el sistema produce tablas y gráficos que demuestran la vulnerabilidad de cada factor crítico de éxito enumerado.
Control existente y control necesario
El usuario asigna puntos para reducir cada riesgo en presencia de los controles. Los puntos van desde menos 10 (gran reducción) a cero (sin cambios). El sistema emite un informe sobre la eficiencia del manejo de riesgos, con tablas y gráficos. Los resultados forman la base para el siguiente paso, que es la clasificación de los controles en niveles.
El sistema genera un gráfico altamente informativo comparando los controles existentes con los controles necesarios.
Una tabla con controles de seguridad, en sus tres modalidades (humana, organizativa y técnica) orienta al usuario en cuanto a las recomendaciones que debe hacer a su cliente.
Reducción de la pérdida esperada
La nueva tabla informa la pérdida esperada en efectivo, que proporciona una estimación del volumen de esfuerzo y dinero que se invertirá en los controles para cada riesgo en particular.
En el siguiente paso, se obtienen los valores esperados de reducción de pérdidas luego de la implementación de los controles recomendados. T-Risk detalla las prioridades de inversión, con valores en efectivo. La disminución de la pérdida esperada permite al cliente razonar sobre el ROI (retorno de la inversión) en la mitigación de riesgos.
Matriz SWOT
Una matriz SWOT ayuda al usuario a ver las mejores formas de presentar el proyecto con controles de seguridad, definir líneas de inversión y puntos de atención para el día de la presentación del proyecto.
Plan de acción
En este paso, el usuario aplica su experiencia para hacer sus recomendaciones sobre las acciones a tomar. Barreras físicas externas, sistema de alarma, circuito cerrado de televisión, control de acceso, políticas, estándares, procedimientos, vigilancia, controlador de acceso, sistemas electrónicos son algunos de los controles de seguridad más eficientes que se conocen.
Los primeros riesgos a tratar pueden ser los riesgos de motricidad muy altas y una dependencia muy alta. El destino de las inversiones, sin embargo, lo decidirá el cliente.
Por muy bueno que sea el plan de acción, siempre habrá riesgos residuales. Para eliminar el riesgo para siempre, sería necesario eliminar la actividad generadora.
Informe final
Después de completar la evaluación de riesgos, el sistema emite automáticamente un informe
Casos de Uso
Director de Seguridad Corporativa (Contratista)
- Las empresas necesitan contratar consultores para proporcionar una evaluación de riesgos de seguridad corporativa o actualizar evaluaciones antiguas.
- Por lo general, se pierde mucho tiempo en reuniones para informar las necesidades de la empresa y qué métodos utilizar.
- Les dices lo que quieres y no tienes idea de cómo será el informe final, ya que cada consultor tiene su propio enfoque y patrón de informes.
- Cree un usuario en la plataforma t-Risk y solicite a los consultores que utilicen este proceso basado en ISO 31000. Al hacerlo, evita automáticamente que cambien su metodología y criterios. Incluso puede proporcionar una plantilla de evaluación (que ya se proporciona en el sistema) para mostrar el nivel de calidad que espera.
- t-Risk le permite crear evaluaciones que se pueden actualizar en cualquier momento.
- Programe una revisión periódica y solicite a los consultores que lo hagan en la Plataforma t-Risk.
- Gestionar, controlar y comparar la evolución de los Riesgos de forma centralizada a través del panel de gestión de indicadores de riesgo.
- Contratar consultores en función de su experiencia y adherirse siempre al método de análisis de riesgos t-Risk y al estándar de informes.
- Crear Risk Scorecard, brindando una visión ejecutiva de los Riesgos, incluyendo índices y métricas que faciliten el establecimiento de criterios y apoyen la toma de decisiones.
- Gestionar el tratamiento de los riesgos, priorizando los controles que tengan la mejor relación costo-beneficio.
- Gestionar amenazas, vulnerabilidades y controles de forma colaborativa y descentralizada, en un entorno web.
Proveedores de servicios y soluciones de seguridad de activos (empresa de vigilancia y seguridad electrónica)
- Sus clientes contratantes solicitan periódicamente evaluación de riesgos, el costo de preparación es alto, el equipo no es especializado y el método utilizado no es similar a los métodos de evaluación de riesgos utilizados por el contratante. Si su empresa atiende en varios estados y/o países, agrega complejidad ya que habrá múltiples analistas internos que utilizarán métodos y presentaciones divergentes.
- Otro hecho recurrente son los cobros por siniestros y daños ocurridos dentro de las instalaciones del cliente que son imputados al prestador del servicio. Muchas veces el cliente desconoce sus riesgos y su empresa es incapaz de presentar objetivamente los riesgos existentes en el cliente contratante. , los posibles impactos y la forma adecuada de enfrentar estos riesgos.
- Tus clientes indican que tu propuesta y forma de vender es demasiado comercial y poco técnica. Necesitas aumentar el nivel de convencimiento y argumentos de venta basados en riesgos reales e impactos potenciales.
- Cree estándares de evaluación de riesgos específicos para su empresa. Su equipo ahorrará hasta un 80 % de tiempo al crear una evaluación de riesgos completa con informes automáticos. Actualizar un informe es simple y muy rápido.
- Todo el equipo utilizará el mismo estándar de evaluación de riesgos basado en el estándar internacional ISO 31000 y el estándar de informes siempre será el mismo.
- Si su cliente tiene una reclamación que ya había sido identificada en su análisis de riesgo y no se implementaron los controles indicados, le será más fácil defenderse y evitar pérdidas innecesarias con reclamaciones derivadas de riesgos aceptados por el cliente.
- Elabora análisis preliminares de riesgos para sustentar su propuesta comercial e incrementar las ventas de manera fundamentada y defendible en base a los riesgos identificados en la empresa cliente.
- Sorprenda a sus clientes con propuestas comerciales basadas en los riesgos propios del cliente y aumente las ventas de servicios y tecnologías.
- Cree un Cuadro de Mando de Riesgos para que su cliente lo monitoree en tiempo real, brindando una visión ejecutiva de los Riesgos, incluyendo índices y métricas que facilitan el establecimiento de criterios y apoyan la toma de decisiones.
- Gestione amenazas, vulnerabilidades y controles de forma colaborativa y descentralizada, en un entorno web. Todo su equipo trabajará utilizando exactamente el mismo modelo de análisis de riesgos.
- Proporcione métricas comparativas y benchmarking de la evolución del proceso de gestión de riesgos de la organización de su cliente. Percibirán mucho más valor en su servicio, si se diferencia positivamente de la competencia.
Consultor de seguridad
- Sus clientes contratantes solicitan periódicamente evaluación de riesgos, el costo de preparación es alto, el equipo no es especializado y el método utilizado no es similar a los métodos de evaluación de riesgos utilizados por el contratante. Si su empresa atiende en varios estados y/o países, agrega complejidad ya que habrá múltiples analistas internos que utilizarán métodos y presentaciones divergentes.
- Otro hecho recurrente son los cobros por siniestros y daños ocurridos dentro de las instalaciones del cliente que son imputados al prestador del servicio. Muchas veces el cliente desconoce sus riesgos y su empresa es incapaz de presentar objetivamente los riesgos existentes en el cliente contratante. , los posibles impactos y la forma adecuada de enfrentar estos riesgos.
- Tus clientes indican que tu propuesta y forma de vender es demasiado comercial y poco técnica. Necesitas aumentar el nivel de convencimiento y argumentos de venta basados en riesgos reales e impactos potenciales.
- Cree estándares de evaluación de riesgos específicos para su empresa. Su equipo ahorrará hasta un 80 % de tiempo al crear una evaluación de riesgos completa con informes automáticos. Actualizar un informe es simple y muy rápido.
- Todo el equipo utilizará el mismo estándar de evaluación de riesgos basado en el estándar internacional ISO 31000 y el estándar de informes siempre será el mismo.
- Si su cliente tiene una reclamación que ya había sido identificada en su análisis de riesgo y no se implementaron los controles indicados, le será más fácil defenderse y evitar pérdidas innecesarias con reclamaciones derivadas de riesgos aceptados por el cliente.
- Elabora análisis preliminares de riesgos para sustentar su propuesta comercial e incrementar las ventas de manera fundamentada y defendible en base a los riesgos identificados en la empresa cliente.
- Sorprenda a sus clientes con propuestas comerciales basadas en los riesgos propios del cliente y aumente las ventas de servicios y tecnologías.
- Cree un Cuadro de Mando de Riesgos para que su cliente lo monitoree en tiempo real, brindando una visión ejecutiva de los Riesgos, incluyendo índices y métricas que facilitan el establecimiento de criterios y apoyan la toma de decisiones.
- Gestione amenazas, vulnerabilidades y controles de forma colaborativa y descentralizada, en un entorno web. Todo su equipo trabajará utilizando exactamente el mismo modelo de análisis de riesgos.
- Proporcione métricas comparativas y benchmarking de la evolución del proceso de gestión de riesgos de la organización de su cliente. Percibirán mucho más valor en su servicio, si se diferencia positivamente de la competencia.
Proveedores (Cadena de Suministro y Terceras Empresas)
- Sus proveedores están obligados contractualmente a evaluar sus riesgos, emitir informes periódicos y no tienen la capacidad ni el conocimiento para cumplir con esta obligación.
- Hacen una evaluación de riesgos para cumplir con las obligaciones contractuales, pero utilizan criterios diferentes a los de su empresa. Lo que su empresa considera de alto riesgo puede ser de bajo riesgo para ellos. Por lo tanto, es posible que no tengan que informar cierto riesgo a su empresa o administrarlo como lo requiere el contrato.
- Como sus proveedores no tienen la capacidad de realizar evaluaciones de riesgo, su empresa necesita contratar consultores para realizar evaluaciones de riesgo en las empresas que conforman su cadena de suministro.
- Define tus criterios de riesgo para que tus proveedores sigan el proceso definido en la Plataforma t-Risk.
- Mantener registros y evidencias en un único punto de control, reuniendo toda la información útil en una misma base de datos.
- Cree una evaluación de riesgo modelo y defina las áreas que desea que los proveedores aborden (estándar mínimo).
- Evaluar resultados en tiempo real, solicitar evidencias y explicaciones de amenazas, impactos, vulnerabilidades, probabilidades y controles de riesgo.
- Haga que sus proveedores actualicen periódica y rápidamente las evaluaciones anteriores dentro del plazo definido por su empresa.
- Siga la evolución de los riesgos de su cadena de suministro.
- Proporcione evaluación comparativa y evaluación comparativa de la evolución del riesgo y el proceso de gestión de riesgos para toda su cadena de suministro.
- Unifique todos los informes y paneles comparativos de su cadena de suministro para respaldar la gestión y la toma de decisiones de su organización.
- Evaluaciones de riesgos de seguridad de terceros estructuradas y estandarizadas que identifican rápidamente y le permiten priorizar el tratamiento de riesgos.
- Haga que los proveedores completen sus propias evaluaciones de riesgos de seguridad y le permitan revisarlas en tiempo real, liberando a su personal para otras actividades esenciales.
- Estandarizar las evaluaciones de riesgos de acuerdo con la norma internacional ISO 31000 asegurando que sean defendibles.
- Más garantías de que las obligaciones contractuales relacionadas con los riesgos de la cadena de suministro se están abordando adecuadamente, disminuyendo los riesgos residuales de su propia organización.
- Compare los indicadores de riesgo de su cadena de suministro con su propio perfil de riesgo.
Profesor y Formador de Gestión de Riesgos de Seguridad
- Tiene mucho conocimiento y experiencia en varias áreas de seguridad de propiedad privada, seguridad corporativa, pero no tiene un método consolidado para analizar y evaluar riesgos. Es posible que nunca haya necesitado preparar evaluaciones de riesgos.
- Prácticamente todas las materias de la disciplina o curso son de tu dominio, pero la gestión de riesgos es una nueva área de conocimiento en el sector de la seguridad corporativa y no tienes la experiencia metodológica para impartir esta materia.
- Considere utilizar la Plataforma t-Risk como método de análisis de riesgo en sus cursos o materias impartidas.
- Use la lógica t-Risk, que se basa en la Norma Internacional ISO 31000, para guiar a sus alumnos a través del proceso de gestión de riesgos de forma rápida, sencilla y sin costo, utilizando la versión gratuita para estudiantes y profesores.
- Utilice t-Risk junto con la propia norma ISO 31000 para aumentar aún más el nivel de satisfacción de sus alumnos.
- El proceso es tan simple y lógico que sus alumnos lo entenderán rápidamente.
- Aumenta la calidad de tu clase obteniendo mayores niveles de aprendizaje formando profesionales más calificados.
- Si también es un consultor de seguridad, puede ofrecer servicios utilizando t-Risk según el caso de uso del Consultor de seguridad anterior.
Estudiante y principiante en gestión de riesgos de seguridad
- Sin experiencia en gestión de riesgos de seguridad.
- No conoce métodos efectivos para evaluar riesgos profesionalmente.
- La forma tradicional (Word, Excel, Power Point y PDF) es mucho trabajo y toma mucho tiempo.
- Garantizar el rigor metodológico en todas las evaluaciones de riesgos, con procesos repetibles basados en la norma internacional ISO 31000.
- Utilice bibliotecas de datos para almacenar su propio contenido y cree modelos replicables para cada tipo de cliente o segmento de mercado, acelerando el proceso para todas las evaluaciones futuras.
- Use gráficos interactivos impresionantes y otras ayudas visuales para presentar informes e indicadores de riesgo a sus clientes, demostrando antigüedad y valorando su trabajo.
- Desarrolle sus habilidades en base a un estándar internacionalmente conocido: ISO 31000.
- Ahorre hasta un 80% de tiempo en comparación con la forma tradicional de preparar el análisis de riesgos.
- Su cliente podrá gestionar y controlar la evolución de los Riesgos a través de la web en tiempo real, aportando valor a su trabajo.
Mejores prácticas para gestionar riesgos
La plataforma t-Risk sigue las mejores prácticas internacionales para gestionar los riesgos de seguridad corporativa.
¿Qué es la norma internacional ISO 31000 y para qué sirve?
La Norma ISO 31000 es un conjunto de principios que se deben seguir para que la gestión de riesgos sea eficiente, coherente y eficaz. Es un documento de orientación para que las organizaciones implementen y desarrollen sistemas integrados de gestión de riesgos.
Fue diseñado para ser aplicado por cualquier tipo de organización (empresa privada, empresa pública, entidad comunitaria, asociación, grupo o incluso individual), en las más diversas acciones, como decisiones, estrategias, operaciones, procesos, funciones, proyectos, además de gestión de productos, servicios y activos.
Cada vez más, las empresas están estableciendo procesos formales de gestión de riesgos. Utilizar la ISO 31000 como base para el análisis de prácticas y procesos es gestionar los riesgos identificándolos, analizándolos y evaluándolos según los criterios de riesgo de la organización.
La aplicación de ISO 31000 trae beneficios directos e indirectos, ya que la gestión sistemática, transparente y confiable de los riesgos afecta el funcionamiento de toda la empresa. Los beneficios comienzan con el establecimiento del contexto, directamente vinculado a la comprensión de los objetivos organizacionales, los entornos internos y externos, las partes interesadas y lo que significa el riesgo para cada organización en particular.
La Norma ISO 31000 aborda directamente las necesidades de estas partes interesadas:
- los responsables de desarrollar la política de gestión de riesgos;
- los responsables de garantizar que los riesgos se gestionen de forma eficaz;
- aquellos que necesitan evaluar la efectividad de una organización en la gestión de riesgos;
- desarrolladores de estándares, guías, procedimientos y códigos de práctica.
La gestión de riesgos guiada por ISO 31000 permite a la organización solidificar la búsqueda de sus objetivos, inspirar una gestión proactiva, prestar atención a los riesgos en toda la organización, identificar mejor sus amenazas y oportunidades, adherirse a las normas internacionales y los requisitos regulatorios, mejorar su gobernanza, minimizar pérdidas y muchos otros beneficios.