Marcos y modelos de gestión de riesgos empresariales

Obtenga plantillas de Smartsheet gratuitas
Get a Free Smartsheet Demo

By Andy Marker | 24 Marzo 2021 (actualizado 9 Febrero 2024)

Hemos compilado recursos sobre marcos y modelos de gestión de riesgos empresariales (ERM). Aprenderá a desarrollar un marco personalizado de ERM, obtendrá información sobre los criterios y componentes clave, y encontrará consejos de expertos sobre cómo ajustar el marco a las necesidades de sus clientes. 

Incluidos en esta página, encontrará una guía para desarrollar un marco de ERM personalizado, desgloses útiles de los principales modelos de marco de ERM y ejemplos populares de marcos de ERM por sector.

Marcos de gestión de riesgos empresariales

Los marcos de gestión de riesgos empresariales transmiten principios cruciales de la gestión de riesgos. Puede usar un marco de gestión de EMR como herramienta de comunicación para identificar, analizar, responder y controlar los riesgos internos y externos. Un marco de ERM proporciona comentarios y consejos estructurados sobre las unidades de negocios, la gerencia ejecutiva y los miembros de la junta que implementan y gestionan programas de ERM.  

Los marcos de ERM ayudan a establecer una cultura de gestión de riesgos coherente, independientemente de la rotación de empleados o los estándares del sector. Guían las funciones de gestión de riesgos y ayudan a las empresas a gestionar la complejidad, visualizar el riesgo, asignar la propiedad y definir la responsabilidad de evaluar y supervisar los controles de riesgos. Un marco de ERM personalizado ayuda a la empresa a integrar la gestión de riesgos en actividades y funciones empresariales significativas.

Tipos de marcos de gestión de riesgos empresariales

El marco estratégico que elija dependerá de su sector, los objetivos empresariales, la estructura organizativa, la infraestructura tecnológica y los recursos disponibles. Algunos marcos son más aplicables a las empresas de escala empresarial, mientras que otros ofrecen enfoques más personalizables y basados en escenarios para las necesidades específicas de ERM de una organización. 

También existe un subconjunto de marcos estratégicos de gestión de riesgos empresariales; por ejemplo, algunos pueden satisfacer mejor las necesidades de sectores altamente regulados, como las finanzas y la atención médica. Puede usar cualquiera de ellos como punto de partida para crear un marco de ERM personalizado.

Marco de ERM de Casualty Actuarial Society (CAS)

Casualty Actuarial Society (CAS) es una entidad internacional de acreditación y educación profesional. La organización se centra exclusivamente en los riesgos de propiedad y siniestros en la gestión de riesgos de seguros, reaseguros, finanzas y empresas. 

CAS, Society of Actuaries (SOA) y Canadian Institute of Actuaries (CIA) patrocinan un sitio web de gestión de riesgos con recursos educativos sobre ERM. El comité organiza el marco de ERM por tipo de riesgo y un proceso secuencial de gestión de riesgos. 

Los cuatro tipos de riesgo se definen de la siguiente manera:

  • Riesgos de peligro: Esta categoría contiene demandas de responsabilidad, daños a la propiedad, desastres naturales, crímenes, lesiones relacionadas con el trabajo e interrupción del negocio. 
  • Riesgos financieros: Esta categoría contiene el riesgo de precio, el riesgo de liquidez, el riesgo de crédito, el riesgo de inflación y el riesgo de cobertura.
  • Riesgos operativos: Esta categoría contiene el riesgo operativo, el riesgo de potenciación, el riesgo de TI, el riesgo de integridad y el riesgo de informes empresariales. 
  • Riesgos estratégicos: Esta categoría incluye la competencia, el riesgo del cliente, el riesgo demográfico y cultural, el riesgo de innovación, la disponibilidad de capital, la regulación y el riesgo político. 

El proceso de gestión de riesgos de CAS implica los siguientes siete pasos secuenciales:

  1. Establecer el contexto: El primer paso es establecer el contexto del riesgo en función de cómo opera actualmente la organización. Este paso incluye comprender el contexto interno y externo y el contexto de ERM (por ejemplo, el peligro para unidades de negocios específicas y el riesgo ambiental de la organización).
  2. Identificar los riesgos: Documente las amenazas que impiden que su organización alcance sus objetivos empresariales. Esta etapa también lo anima a definir cómo puede aprovechar el riesgo para obtener una ventaja competitiva.
  3. Analizar los riesgos: En este paso, analice los resultados de probabilidad de riesgo para cada riesgo y cuantifique el impacto.
  4. Integrar los riesgos: En este paso, combine las distribuciones de riesgos, teniendo en cuenta las correlaciones y los efectos del riesgo en las carteras. Mida esta etapa por el impacto en los indicadores clave de rendimiento (KPI).
  5. Priorizar los riesgos: Evalúe y priorice cada riesgo para determinar cómo se suma al perfil agregado de ERM.
  6. Aprovechar los riesgos: Este paso requiere desarrollar estrategias para usar varios riesgos en beneficio de la organización. 
  7. Supervisar los riesgos: El último paso se centra en realizar revisiones continuas del entorno de riesgos y el rendimiento general de ERM.

Los pasos del proceso de gestión de riesgos pueden aplicarse a cada riesgo de manera individual. La lista de verificación que se muestra a continuación se basa en la cuadrícula agregada del marco de ERM del comité.

Mockup CAS Risk Management Process Checklist

El marco integrado de ERM de COSO

En 2017, COSO publicó un marco de ERM actualizado, Gestión de riesgos empresariales: Integración con la estrategia y el rendimiento, para abordar la importancia de ERM en la planificación y el desempeño empresarial estratégico. Este modelo actualizado explica la mayor complejidad de los entornos empresariales modernos. 

Committee of Sponsoring Organizations of the Treadway Commission (COSO) es una iniciativa conjunta de cinco organizaciones del sector privado dedicadas a ofrecer liderazgo de pensamiento mediante el cultivo de marcos integrales y orientación sobre la gestión de riesgos empresariales, el control interno y la disuasión del fraude. A continuación, se presentan las organizaciones que patrocinan y financian la iniciativa del sector privado de COSO:

  • American Accounting Association
  • American Institute of Certified Public Accountants 
  • Financial Executives International
  • Institute of Management Accountants
  • The Institute of Internal Auditors

COSO incorporó la legislación de la Ley Sarbanes-Oxley (SOX) sobre directrices de gestión de riesgos en su marco de ERM. Esta integración hizo que el marco COSO sea popular entre las grandes corporaciones, bancos e instituciones financieras sujetos a extensos códigos legales y negocios de alto riesgo.

5 componentes interrelacionados del marco de ERM de COSO

El marco actualizado de COSO incluye cinco componentes interrelacionados de gestión de riesgos empresariales. Estos componentes incluyen 20 principios que abarcan prácticas desde la gestión hasta la supervisión, independientemente de la escala empresarial, la industria o el tipo de organización. 

Los siguientes componentes del marco de ERM ampliamente utilizado se adaptan a los modelos de negocios, no a procesos independientes de gestión de riesgos:

  • Gobernanza y cultura: Este componente incorpora cinco principios, incluidos el riesgo y la supervisión de la junta, las estructuras operativas, la definición de la cultura, el compromiso con los valores básicos y las prácticas de recursos humanos para reclutar, desarrollar y retener a las personas. 
  • Estrategia y definición de objetivos: Este componente abarca cuatro principios: análisis del contexto empresarial, definición del apetito de riesgo, estrategias alternativas y objetivos empresariales. 
  • Rendimiento: Este componente contiene cinco principios, que incluyen la identificación de riesgos, la evaluación de la gravedad del riesgo, la prioridad del riesgo, la implementación de la respuesta al riesgo y el desarrollo de la cartera. 
  • Evaluación y revisión: Este componente aborda tres principios: evaluación de cambios sustanciales, revisiones de riesgos y desempeño, y búsqueda de la mejora de ERM. 
  • Información, comunicación e informes: Esta sección incluye el uso de la TI, la comunicación de riesgos y los informes sobre la cultura y el rendimiento de los riesgos. 

En la siguiente tabla se resumen los componentes y principios actualizados de control del marco de ERM de COSO.

Mockup COSO ERM Integrated Framework

El marco de ERM ISO 31000

El marco de ERM de la Organización Internacional de Normalización (ISO) 31000:2018 es un proceso de gestión de riesgos cíclico que incorpora la integración, el diseño, la implementación, la evaluación y la mejora del proceso de ERM.

Mockup ISO 31000 ERM Framework

El modelo ISO 31000 se revisa cada cinco años para contabilizar la evolución del mercado y los cambios en la complejidad del negocio. Este marco abarca varios riesgos y es personalizable para las organizaciones, independientemente de su tamaño, industria o sector. Para obtener más información sobre este modelo y descargar plantillas y matrices gratuitas, lea “ISO 31000: Matrices, listas de verificación, registros y plantillas”.

 

El modelo de ERM ISO/IEC 27001
La norma de seguridad ISO/IEC 27001 proporciona requisitos para los sistemas de gestión de seguridad de la información (SGSI). Más de una docena de estándares de seguridad proporcionan controles de gestión de riesgos de información física y técnica para los programas de ERM. Las empresas digitales de varios sectores adoptan la ISO 27001 para gestionar la seguridad de las finanzas, la propiedad intelectual y los datos internos.

El marco de ERM de COBIT

COBIT (2019) es un marco flexible de gobernanza y gestión de TI creado por Information Systems Audit and Control Association (ISACA). El marco conceptual es una opción popular para gestionar el riesgo en un entorno empresarial digitalizado. 

COBIT proporciona un modelo de gestión de riesgos para las capacidades de grandes empresas y un modelo para adaptarse a áreas específicas de pequeñas y medianas empresas. La gestión del riesgo de la información y la tecnología ya no se limita al departamento de TI, debido a la integración de TI en todos los aspectos de las operaciones empresariales modernas.

“Pensamos en COBIT y COSO a un nivel descendente mientras armamos nuestro programa”, afirma Michael Fraser, director ejecutivo y arquitecto principal de Refactr, una empresa emergente con sede en Seattle que proporciona una plataforma de automatización de DevSecOps que ofrece servicios de TI como código y funciones aptas para DevOps diseñadas para la ciberseguridad. “También estamos viendo cómo se asignan a cada control que observamos en esos marcos. ¿Es algo que podemos automatizar internamente? ¿Es algo que requiere un proceso manual? Desarrollamos ese contenido para nuestros clientes y nos aseguramos de que se trata de un programa dinámico que funcione para nosotros y para el cliente”, afirma. 

COBIT es un marco general flexible para crear un marco de ERM con procesos que alinean los objetivos empresariales y de TI para evitar los silos de gestión de riesgos en toda una empresa. El marco identifica los tres principios básicos siguientes para crear un marco de gobernanza y gestión: 

  • Conceptual: Un marco de gobernanza debe identificar los componentes críticos y sus relaciones para maximizar la coherencia y potenciar la automatización. 
  • Agile: Un marco de gobernanza debe ser abierto y flexible a los nuevos contenidos y abordar los problemas que surjan con agilidad, integridad y coherencia. 
  • Alineado: Un marco de gobernanza debe alinearse con diferentes estándares, otros marcos y requisitos normativos. 

También hay seis requisitos básicos para un sistema de gobernanza de TI empresarial que una organización puede adaptar y diseñar para que se ajusten a un marco de ERM: 

  • Valiosa: Debe satisfacer a las partes interesadas entre los miembros de la junta, el liderazgo ejecutivo y la gerencia. 
  • Holístico: El marco de trabajo de ERM se basa en componentes que trabajan juntos para lograr un enfoque integral de la gestión de riesgos y la gobernanza. 
  • Dinámico: El marco debe reaccionar a los cambios en los factores de diseño del programa de ERM y considerar el impacto de cada cambio.
  • Distintivo: El marco debe distinguir claramente las actividades de gestión y gobernanza.
  • Personalizado: El marco debe estar hecho a medida utilizando factores de diseño para optimizar la gobernanza y la gestión de riesgos. 
  • Integral: El marco debe proporcionar cobertura integral de ERM para las funciones de TI y el procesamiento de información y tecnología en toda la empresa.
Mockup COBIT ERM Framework

El marco de ERM de NIST

El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia gubernamental federal de los Estados Unidos (Departamento de Comercio de los Estados Unidos). El marco de NIST es un marco de ciberseguridad utilizado por empresas privadas que hacen negocios con las agencias gubernamentales de Estados Unidos, como el Departamento de Defensa (DoD).  

El modelo del marco de NIST se centra en el uso de impulsores de negocios para guiar las actividades de ciberseguridad y la gestión de riesgos con tres componentes:

  • Núcleo del marco: Se trata de un conjunto de cinco resultados de ciberseguridad, con subcategorías, actividades y referencias informativas comunes a la mayoría de los sectores empresariales y a la infraestructura crítica de TI. 
    • Identificación: Gestión de activos, entorno de negocios, gobernanza, evaluación de riesgos y estrategia de gestión de riesgos
    • Protección: Gestión de identidades, control de acceso, seguridad de datos, tecnología de protección y mantenimiento 
    • Detección: Anomalías y eventos, procesos de detección y monitoreo continuo 
    • Respuesta: Planificación de respuestas, comunicaciones, análisis, mitigación y mejoras 
    • Recuperación: Planificación, mejoras y comunicaciones de recuperación
  • Niveles de implementación: Este es un mecanismo que ayuda a las organizaciones a priorizar y alcanzar los objetivos de ciberseguridad para gestionar el riesgo de ciberseguridad.
  • Perfiles del marco: Aquí, utilice los elementos básicos del marco para desarrollar perfiles organizativos y alinear las actividades de ciberseguridad con la misión, la tolerancia al riesgo y los recursos disponibles. 

El marco de NIST proporciona un estándar reconocido a nivel mundial para las directrices y prácticas recomendadas de ciberseguridad que se aplican a organizaciones de escala empresarial con infraestructura crítica que proteger. El marco es un modelo flexible para crear un marco de gestión de ERM para organizaciones que dependen de la tecnología, que se preocupan por la privacidad de los datos y que gestionan el riesgo asociado a las últimas tendencias digitales de la fuerza laboral. 

“Center for Internet Security asigna gran parte de su marco o puntos de referencia al NIST y a ISO y los asigna a un marco de ERM”, explica Fraser. “Todo está interconectado porque se trata de mitigar el riesgo. También se trata de marcar casillas para un escenario en particular, ya sea para una auditoría o para un cliente que quiere que practiquemos la debida diligencia para cumplir con sus estándares de gestión de riesgos”.

Marco de ERM del modelo de madurez de riesgos de RIMS

La evaluación del Modelo de Madurez de Riesgos (RMM) de la sociedad de gestión de riesgos (RIMS) sin fines de lucro consta de 68 indicadores de preparación que describen 25 impulsores de competencia para siete atributos críticos de ERM a fin de comparar a las organizaciones con sus pares del sector, realizar un seguimiento del progreso y ayudar a ejecutar un plan de acción.

7 atributos del marco de ERM de RIMS

El marco de RMM de RIMS identifica los siguientes siete atributos clave de la competencia de ERM:

  • Enfoque basado en ERM: Este atributo se centra en la cultura de riesgos empresariales y en el grado de compromiso del liderazgo ejecutivo y los miembros de la junta por adoptar un enfoque basado en ERM.
  • Gestión de procesos de ERM: Este atributo se centra en la cultura organizativa y en el nivel de integración entre procesos críticos de negocios para procesos de ERM explícitos y repetibles. 
  • Gestión del apetito de riesgos: Este atributo se centra en la responsabilidad del liderazgo y en el nivel de conciencia de la toma de decisiones sobre la tolerancia al riesgo y las brechas entre los riesgos percibidos y reales.
  • Disciplina de causa raíz: Este atributo hace hincapié en la búsqueda de las causas raíz de cada riesgo, incluida la clasificación de riesgos, el descubrimiento de los resultados del riesgo, la vinculación con las fuentes y la mejora de la respuesta y los controles del riesgo.
  • Detección de riesgos: Este atributo se refiere a la evaluación de riesgos, el análisis de fuentes de información y la documentación de los riesgos y las oportunidades.
  • Gestión del desempeño: Este atributo se centra en la visión, la misión y la estrategia de ERM, incluida la planificación, la comunicación, la ejecución y la medición de objetivos utilizando KPI cuantitativos y cualitativos.
  • Resiliencia y sostenibilidad del negocio: Este atributo evalúa la información de ERM utilizada para la planificación operativa, la planificación de la recuperación ante desastres y otros análisis de escenarios.

Evalúe cada atributo utilizando una escala de cinco niveles de madurez: inexistente, ad hoc (nivel uno), inicial (nivel dos), repetible (nivel tres), gestionado (nivel cuatro) y liderazgo (nivel cinco). El marco de RMM de RIMS es un modelo flexible que es compatible con marcos personalizados de ERM basados en la norma internacional ISO 31000:2018, el marco actualizado de ERM de COSO o el marco de COBIT.

El caso de los marcos de ERM personalizados

“No hay un marco único para todos, y empezará a darse cuenta de que necesita algo diferente”, dice Michael Fraser de Refactr. “Eso es lo que descubrimos en Refactr, pero somos únicos porque ayudamos a las organizaciones a crear la automatización que quieren usar para ayudarlos con estos marcos en particular”.

Michael Fraser

 

“Los marcos de gestión de riesgos que existen son guías que lo ayudan a comprender lo que debe hacer de manera estandarizada”, continúa Fraser. “Hay algo universal con lo que puede trabajar que otras personas entienden. [Los marcos estándar] están ahí para ayudarlo a crear su programa de seguridad y no para que haya un listón que nunca alcanza”.

Fraser aconseja preguntar si el marco es lo suficientemente bueno como para que su organización haga negocios con sus clientes objetivo. El consejo más crítico se reduce al por qué, es decir, “¿Por qué necesita un marco de gestión de riesgos empresariales?”

“Muchos de estos marcos de riesgos son anticuados”, afirma. “Con más gente trabajando desde casa, no necesariamente tiene las redes corporativas. ¿Y si nace en la nube o su empresa es 100% remota y nativa de la nube?”

Definición de objetivos para los marcos de ERM estratégicos

Sean Cordero

“La gestión de riesgos es la disciplina general de la ciberseguridad, y el enfoque tiende a estar en los aspectos tecnológicos. Pero, para la empresa, el enfoque está en cómo atraer y retener clientes rentables”, explica Sean Cordero, asesor de Refactr. “Una de las cosas que se pierde para algunas organizaciones es la explosión de los servicios entregados en la nube. La arquitectura de la nube permite una forma de hacer las cosas ahora que tiene poca o ninguna relevancia en la forma en que se hicieron las cosas en el pasado”.

Cordero aconseja abordar algunas preguntas difíciles antes de crear un marco de riesgos personalizado. Haga las siguientes preguntas: ¿Alguien va a usar este marco de ERM? ¿Ayudará a mover la aguja desde la perspectiva del sector? Dé un paso atrás y evalúe cuál es el riesgo y qué es lo importante, utilizando tres entradas simples para priorizar la gestión estratégica de riesgos, antes de implementar un marco de ERM personalizado. 

“Primero, observe lo que requiere la ley. En segundo lugar, identifique lo que sus clientes van a necesitar, lo que dependerá del tipo de organización”, dice Cordero. “Si mantiene datos confidenciales para sus clientes y ellos se preocupan por esos datos confidenciales, céntrese en los aspectos de confidencialidad, ya sea el cifrado u otras formas de asegurarla. Por último, determine lo que valora como organización. ¿Con qué está de acuerdo cuando contempla a sus clientes y a su negocio? Esta es una acción muy introspectiva que a veces no se realiza. Si lo hace, sabrá claramente dónde centrarse y, luego, podrá seleccionar el marco o enfoque adecuados para la gestión de riesgos”.

Cómo desarrollar un marco de gestión de riesgos empresariales personalizado

El desarrollo de un marco de gestión de ERM personalizado ayuda a implementar una estrategia de gestión de riesgos, alinear los objetivos empresariales y promover la toma de decisiones basada en el riesgo. Sin embargo, personalizar un marco de ERM para que se ajuste a los objetivos internos, las necesidades de los clientes, las regulaciones del sector, la gobernanza de TI y los estándares de auditoría interna no tiene por qué ser abrumador. 

La siguiente hoja de ruta para desarrollar un marco de ERM personalizado se basa en los marcos de gestión y riesgos operativos existentes, los modelos de ERM y los aportes de expertos del sector. Utilice este proceso paso a paso para desarrollar e implementar un programa de ERM personalizado. Para obtener más información sobre la implementación de ERM, consulte nuestra “Guía para la implementación de la gestión de riesgos empresariales”.

Mockup 5 Developments Stages for Custom ERM Framework

Etapa uno del marco de ERM: Crear un equipo de ERM interdisciplinario

Seleccione a las partes interesadas de diferentes unidades de negocios y gestión para el comité directivo de ERM. La efectividad general de un marco de ERM personalizado depende del apoyo de todos los niveles de gestión, en particular del liderazgo ejecutivo, la alta gerencia y la junta directiva. 

Cree un equipo de ERM interdisciplinario para impulsar la aceptación en varios niveles operativos e impactar en la cultura. El equipo de ERM establece los objetivos empresariales y desarrolla un perfil de riesgo y una declaración de apetito de riesgos (RAS) basados en las amenazas y oportunidades dentro de su experiencia. 

Preguntas de la Etapa uno:

  • ¿Quién debe incluirse en la creación de la estructura de gestión de riesgos? 
  • ¿Qué roles y responsabilidades asignará a cada parte interesada en el comité de riesgos?
  • ¿Los roles y las responsabilidades están claramente definidos (con descripciones)?
  • ¿El desarrollo del marco de ERM es independiente de las funciones empresariales específicas o favorece las áreas de influencia operativa? 
  • ¿Necesitamos establecer un comité de supervisión de la gestión de riesgos separado para los controles y balances?

Etapa dos del marco de ERM: Identificar el riesgo

Reconozca y planifique eventos de riesgo; amenazas y oportunidades internas y externas que crean dudas y pueden afectar los resultados empresariales. Utilice su perfil de riesgos y RAS para alinear la estrategia de negocios con la identificación de riesgos. 

El marco de ERM es el manual de estrategias para identificar y abordar los riesgos que amenazan los objetivos empresariales. Úselo como guía para distinguir las amenazas de riesgo de las oportunidades de riesgo que pueden ayudarlo a lograr los resultados deseados. Asigne los eventos de riesgo a las actividades de definición de objetivos de la Etapa uno e identifique los riesgos internos y externos. Asegúrese de incluir también la perspectiva de riesgo de su cliente. 

Aproveche las mejores prácticas del sector y la experiencia del comité directivo de ERM para guiar su análisis de las amenazas y oportunidades futuras. 

Preguntas de la Etapa dos:

  • ¿Identificamos el riesgo futuro o nuestro enfoque es demasiado limitado en las amenazas y oportunidades actuales? 
  • ¿Desarrollamos una metodología repetible para identificar eventos de riesgo con estándares y procedimientos claros que aprovechan la experiencia colectiva?
  • ¿Identificamos las oportunidades de riesgo que se asignan a la estrategia de negocios y ayudan a mitigar otras amenazas?
  • ¿Podemos clasificar el riesgo con precisión utilizando parámetros, como la probabilidad y la posible pérdida financiera?
  • ¿La etapa de identificación de riesgos del desarrollo del marco priorizó los eventos de riesgo para la respuesta y la mitigación?

Etapa tres del marco de ERM: Evaluar el riesgo

La evaluación de riesgos establece las bases para gestionar el riesgo y determinar su probabilidad. Esta etapa es la fase de análisis pesado del desarrollo del marco; en ella, se establece un marco integrado de evaluación de riesgos. 

Utilice herramientas de evaluación de riesgos y cumplimiento, como una matriz de evaluación de riesgos y autoevaluaciones de control de riesgos (RCSA) para planificar la metodología de evaluación. Los formularios de evaluación de riesgos son útiles para evaluar el riesgo y establecer controles de riesgos, que es la actividad principal de la Etapa cuatro. Para obtener más información sobre la planificación de una metodología personalizada de evaluación de riesgos, consulte nuestra guía de evaluación y análisis de riesgos empresariales. 

Preguntas de la Etapa tres:

  • ¿Establecemos los problemas y el impacto (financiero, operativo, interno, del cliente) para cada evento de riesgo potencial?
  • ¿La etapa de evaluación del desarrollo del marco demostró una comprensión basada en hechos del riesgo empresarial y las capacidades actuales de ERM?
  • ¿Usamos herramientas de evaluación de riesgos para identificar las brechas en las capacidades existentes de ERM y determinar un camino a seguir para abordar cada una de ellas?
  • ¿Cambió la fase de evaluación de riesgos del desarrollo la forma en que clasificamos y priorizamos los tipos de riesgo, en función de los parámetros de identificación de riesgos de la Etapa dos?

Etapa cuatro del marco de ERM: Tratar el riesgo

El tratamiento del riesgo es la fase de acción de un marco de ERM. Esta etapa implica el diseño y la implementación del entorno de control y la creación de un plan de acción de mitigación de riesgos que abarca cómo responder a cada tipo de evento de riesgo identificado en etapas anteriores.

Los propietarios de riesgos gestionan el entorno de control. Asigne roles y responsabilidades a los propietarios de riesgos para identificar cuándo y cómo responder. Determine qué unidades de negocios se ven afectadas y son responsables de los controles de riesgos específicos. 

Los controles internos son acciones específicas que los propietarios de riesgos toman para responder a las amenazas o aprovechar las oportunidades. Alinee los diferentes controles internos y externos en función de los objetivos empresariales, los requisitos del cliente, los requisitos legales y normativos del sector, los estándares de cumplimiento y las estructuras de gestión. 

Etapas de la respuesta al riesgo del marco de ERM

El marco de ERM lo ayuda a abordar varias etapas de la respuesta al riesgo y a determinar los controles adecuados. Su estrategia de respuesta y mitigación variará según el tipo de riesgo, el perfil de riesgo y la tolerancia al riesgo. Las etapas de la respuesta al riesgo incluyen las siguientes: 

  • Aceptar: Si cuesta más mitigar el riesgo, acepte el riesgo y supervise los resultados. 
  • Evitar: Esta es la mejor respuesta a las amenazas con una alta probabilidad de pérdidas financieras o resultados perjudiciales. 
  • Reducir: Si es probable que el riesgo ocurra, pero presenta una oportunidad que supera las pérdidas financieras mínimas u otros factores, mitigue las amenazas con controles del marco y supervíselas. 
  • Compartir: Transfiera los riesgos que conllevan amenazas más significativas y utilice seguros o técnicas de mitigación de terceros para protegerse contra pérdidas o resultados problemáticos. 

Preguntas de la Etapa cuatro:

  • ¿Nuestro entorno de control interno y nuestra estrategia de respuesta y mitigación a los riesgos tienen controles y balances adecuados que crean responsabilidad para los propietarios de riesgos?
  • ¿Tenemos una política y un procedimiento para revisar los controles de riesgos y la propiedad del riesgo?
  • ¿Con qué frecuencia supervisaremos y revisaremos los controles y controlaremos la propiedad?
  • ¿Establecemos la estrategia de respuesta y los controles adecuados frente a nuestra tolerancia al riesgo para tipos específicos de eventos?
  • ¿Tuvimos en cuenta los sistemas y las asociaciones controlados por proveedores externos con los controles internos de propiedad y respuesta?

Etapa cinco del marco de ERM: Optimizar el riesgo

La optimización de riesgos es la etapa final. Las herramientas específicas que necesita para optimizar el riesgo varían en función de los recursos y los objetivos generales. Consulte sus objetivos de ERM para elegir el conjunto de capacidades de análisis y tecnología de informes que necesita. No deben impulsar el tipo de marco de ERM que desarrolla. 

Supervise y revise el rendimiento del programa de ERM para crear un bucle de retroalimentación objetivo basado en datos. Este bucle iterativo fluye por toda la empresa en todos los niveles y en todas las direcciones para optimizar la gestión de riesgos. Luego, utilice esos datos para identificar áreas de oportunidad para revisar y mejorar el programa de ERM.

Aproveche las auditorías de cumplimiento que coincidan con las mejores prácticas de su sector y los requisitos de gestión. Cree un panel de informes de riesgos basado en roles para dar seguimiento e informar sobre los objetivos estratégicos de riesgos, las métricas de control y los KPI. Las plataformas de software modernas de ERM ofrecen paneles basados en la nube con inteligencia de negocios integrada y funciones de informes fáciles de usar. 

Preguntas de la Etapa cinco:

  • ¿Nuestros informes de monitoreo de riesgos y paneles de ERM permiten a la gestión adaptarse a los entornos de riesgos en tiempo real?
  • ¿Incorporamos las mejores prácticas de gobernanza de TI y ciberseguridad para optimizar los riesgos de seguridad y determinar si nuestra infraestructura de ERM cumple con los estándares de seguridad modernos y basados en la nube?
  • ¿Nuestra infraestructura y operaciones de ERM capacitan la supervisión, los informes y las comunicaciones de riesgos continuos utilizando prácticas de automatización e integración continua? 
  • ¿Cuál es la cadencia óptima para revisar y modificar nuestro marco de ERM en función del análisis de nuestra respuesta al riesgo y del entorno general de riesgos? 
  • ¿Nuestro marco personalizado fortalece la conciencia y la transparencia de los riesgos y desglosa los silos de riesgos?

Herramientas para desarrollar componentes del marco de ERM personalizado

Crear un marco de gestión de ERM personalizado implica aprovechar las prácticas recomendadas, las herramientas y la estrategia probada de gestión de riesgos. Incorpore las siguientes herramientas de gestión de riesgos para desarrollar componentes del marco de ERM personalizado que se adapten a las necesidades de la empresa y del cliente: 

  • Declaraciones de apetito de riesgos (RAS): Esta documentación define las consideraciones clave de riesgo para la respuesta y la mitigación del riesgo en conjunto, en función de los objetivos de la empresa y del perfil de riesgo general. 
  • Modelos de tolerancia al riesgo: Su marco de ERM personalizado debe describir el nivel en el que la empresa puede identificar, controlar y responder de manera segura a las amenazas y oportunidades. Para obtener plantillas de evaluación de riesgos descargables de forma gratuita, consulte “Plantillas y muestras gratuitas de formularios de evaluación de riesgos”.
  • Paneles de informes de riesgos: Las plataformas de gestión de riesgos tienen paneles de informes de riesgos. Diseñe paneles basados en roles en función de los miembros y las responsabilidades del comité directivo de ERM. Utilice los paneles de ERM para supervisar los indicadores de riesgo clave. Para obtener más información sobre las características y ventajas del software de gestión de riesgos, lea “Cómo elegir el software de gestión de riesgos adecuado”.
  • Análisis de datos de riesgos y KPI: Utilice los indicadores y las métricas de riesgos clave para supervisar y determinar los umbrales de riesgo y la responsabilidad. Los paneles de ERM son herramientas para supervisar e informar métricas de riesgos y KPI. 
  • Auditorías de cumplimiento interno: Aproveche las RCSA para cada unidad de negocios para evaluar la efectividad de los controles internos y medir los estándares de cumplimiento. Para obtener más información sobre las auditorías de cumplimiento, consulte “Introducción a la auditoría de cumplimiento: Tipos, regulaciones y procesos”.
  • Modelos de riesgo estocásticos: Modele el riesgo utilizando esta forma popular de modelado financiero para determinar las previsiones de riesgos. El método también identifica la probabilidad de amenazas inciertas y oportunidades de riesgo que ocurran al azar. 
  • Plantillas de plan de gestión de riesgos: Un plan de gestión de riesgos es un esquema dentro del marco de ERM que ayuda a especificar su enfoque de ERM. Utilice plantillas de plan de gestión de riesgos como registros de riesgos y una matriz de evaluación de riesgos para crear un marco de ERM personalizado. Para obtener más información sobre los planes de gestión de riesgos y encontrar plantillas descargables gratuitas, consulte “Plantillas gratuitas de plan de gestión de riesgos”.

Plantilla de matriz de evaluación de riesgos

Matriz de evaluación de riesgos

Descargar la matriz de evaluación de riesgos

Microsoft Excel | Microsoft Word | Adobe PDF

Utilice esta plantilla de matriz de evaluación de riesgos para obtener una descripción general rápida de la relación entre probabilidad de riesgo y gravedad. La sencilla combinación de colores de la plantilla distingue entre las diferentes clasificaciones de riesgos.

Criterios del marco de ERM personalizado

James Lam describe un conjunto de criterios estándar para su Modelo de ERM continuo en el libro Implementing Enterprise Risk Management. Combina los componentes de marcos de gestión estratégica bien conocidos en un marco de comunicación personalizable con los siguientes criterios:

  • Simple: Lam recomienda simplicidad a la hora de determinar los principios rectores de ERM. Utiliza el ejemplo de una hoja de ruta, que es lo suficientemente simple de seguir, pero lo suficientemente completa como para asegurarse de llegar al lugar deseado. Los componentes de su marco de trabajo deben ser siete o menos, el cual es el rango óptimo para la memoria humana. 
  • mutuamente excluyente y colectivamente exhaustivo (MECE): Un marco de ERM personalizado debe ser exclusivo de sus objetivos y recursos empresariales. Los componentes deben ser independientes sin superposición o redundancia. Dicho esto, Lam recomienda que las piezas sean lo suficientemente completas como para abarcar todos los niveles de su empresa y tener en cuenta todos los resultados. 
  • Equilibrado e integrado: El marco de ERM debe integrarse con toda la organización empresarial y el contexto del programa de gestión de riesgos. Lam utiliza el ejemplo de un motor de automóvil para resaltar su punto. El marco no debe hacer demasiado énfasis en ningún componente, sino que debe mantenerse equilibrado y en armonía, al igual que el motor y el volante de un vehículo.
  • Flexible: Los cambios en la dinámica de un negocio a escala empresarial, así como el rápido ritmo de la innovación tecnológica y el cambio del sector, hacen que sea fundamental que un marco de ERM personalizado sea flexible. Lam sugiere crear una plantilla de marco de trabajo que adopte los objetivos empresariales a largo plazo de su organización y, al mismo tiempo, que considere la naturaleza desconocida de un riesgo.
  • Efectivo: Lam explica que la efectividad de un marco depende de su implementación. Mida la efectividad mediante la integración de la gestión de riesgos en el proceso de toma de decisiones y los resultados empresariales. Para obtener más información sobre la implementación de programas de ERM, consulte nuestra “Guía para la implementación de la gestión de riesgos empresariales”.

Ejemplos de marcos de ERM populares por sector

Las empresas de todos los tipos y tamaños se enfrentan a riesgos externos e internos, independientemente del sector. Sin embargo, algunos marcos de ERM son más frecuentes en sectores específicos debido a las leyes de privacidad, las transacciones financieras, el entorno normativo y los requisitos de gobernanza para la tecnología y la infraestructura.

Marcos de ERM populares por sector

Este diagrama no es un conjunto de datos exhaustivo. En cambio, destaca los marcos y modelos de ERM populares que se analizan en este artículo y los sectores que los aprovechan para crear programas de ERM personalizados.

Mockup Popular ERM Frameworks by Industry

Marco de gestión de riesgos empresariales para la atención médica

Johnson & Johnson es una de las empresas de atención médica más grandes del mundo. La empresa creó un marco de ERM personalizado, guiado por el marco de ERM de COSO, para abordar los riesgos específicos de la atención médica, como la reducción de la vitalidad empresarial debido a la reforma de la atención médica.

El marco de ERM de Johnson & Johnson consta de los siguientes cinco componentes integrados:

  • Estrategia y objetivos: El comité ejecutivo establece objetivos estratégicos y objetivos financieros que se extienden a las unidades de negocios globales a través de la alta gerencia.
  • Rendimiento: Establecer respuestas a riesgos con el liderazgo, utilizar las funciones de gestión de riesgos para implementar políticas y controles, y desarrollar planes de acción. La empresa supervisa el rendimiento a lo largo del año utilizando evaluaciones de riesgos, análisis y encuestas. 
  • Revisión: El personal, independiente de la unidad de negocios que está revisando, prueba, audita y evalúa el desempeño de la respuesta al riesgo. Informan las actividades de mitigación de riesgos al liderazgo y revisan las métricas. 
  • Información, comunicación e informes: El personal de riesgos clave se reúne con la junta directiva, el comité ejecutivo y los líderes empresariales para garantizar la propiedad de los programas de ERM. Realizan capacitación e intercambio de conocimientos entre unidades de negocios. Utilizan la intranet de los empleados y la comunicación directa para difundir información. 
  • Gobernanza y supervisión: La junta directiva proporciona supervisión del riesgo y se reúne regularmente con el liderazgo. El comité ejecutivo establece objetivos estratégicos y supervisa las funciones de riesgo de los sectores empresariales. Varios comités comparten riesgos emergentes y prácticas estándar en todas las funciones básicas de riesgos, como el cumplimiento de la atención médica.

Marco de gestión de riesgos empresariales para TI

La popularidad de los servicios gestionados de TI, la tecnología de software como servicio (SaaS) y la computación en la nube ha creado una nueva dinámica para la empresa digital. Las filtraciones de datos y el cumplimiento de la seguridad de TI deben preocupar a todas las organizaciones, independientemente del sector o tamaño. 

COBIT de ISACA ayuda a guiar las decisiones de información y tecnología que respaldan y sostienen los objetivos empresariales. COBIT es integral y proporciona un marco de gobernanza y gestión para TI empresarial que agrega valor a toda la toma de decisiones de información y tecnología. 

El marco de COBIT ayuda a mantener el equilibrio entre la realización de beneficios, la optimización del riesgo y el uso de recursos de TI. Consta de un modelo de referencia de procesos, una serie de prácticas de gobernanza y gestión, y herramientas para habilitar la gobernanza de una organización.

El modelo de ERM de SOC 2 Tipo 2
SOC 2 Tipo 2 es un modelo de seguridad y cumplimiento de TI que garantiza que los proveedores de TI y SaaS (o cualquier proveedor de tecnología como servicio) administren los datos de manera segura. Este conjunto de criterios, compuesto por cinco principios, fue desarrollado por American Institute of CPAs (AICPA). Estos principios incluyen la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad.

Marcos de ciberseguridad receptivos

Sean Cordero ha observado el aumento de los estándares del sector y los organismos de certificación para satisfacer la demanda de una gestión de riesgos menos prescriptiva y más flexible. Ayuda a liderar el equipo de investigación principal para el desarrollo del control de riesgos con Cloud Security Alliance (CSA), una autoridad líder en seguridad en la nube. 

“Cuando hace este tipo de investigación, la hace porque quiere marcar la diferencia”, afirma. “Se vuelve extremadamente complejo empezar a hacer cambios a escala cuando empieza a hablar de estándares generales que pasan por varios organismos de certificación en los que tienen un programa de certificación y validación de terceros”.

Según Cordero, el proceso de certificación impide salir al mercado con un MVP o una solicitud de funciones de software.

La combinación de estándares rezagados sin actualizaciones frecuentes, cambios en los procesos de seguridad y tecnologías y herramientas de seguridad desactualizadas (por ejemplo, escáneres de vulnerabilidad) crea preguntas que los marcos de ERM más receptivos podrían abordar. 

Marcos flexibles de TI
“Estamos en un punto de inflexión interesante en la industria de la seguridad”, afirma Cordero. “¿Es esto un fracaso de los estándares, o un fracaso de la tecnología, o es ambas cosas? Debido a la inflexibilidad de ciertos marcos de riesgos, o marcos de control, y a la tecnología existente superpuesta sobre ambos, es casi imposible aplicar la mayoría de los estándares de control existentes”.  

Cordero sabe de primera mano que hay un movimiento en los marcos de gestión de riesgos y control de seguridad para ser menos prescriptivos y proporcionar más orientación de implementación a través de su trabajo de investigación con Cloud Security Alliance.

“Ya no decimos: 'Debe hacer estas 15 cosas o no cumple con este requisito'”, explica. “En cambio, decimos: 'Debe usar el cifrado validado por la industria para la información confidencial de los negocios y del cliente'. No definimos qué es ‘sensible al negocio’. Eso lo decide usted”. 

Cordero también señala que los estándares de control siguen proporcionando valor. Dicho esto, aquellos que acaban de integrarse en los marcos existentes no son sostenibles en un mundo donde la nube es prioridad, ya que estaban diseñados para un mundo y un enfoque diferentes.

En cuanto a los marcos de gestión de riesgos y el enfoque de gestión de riesgos para el sector en su conjunto, Cordero cree que una de las cosas que siempre ha sido un problema es la idea de personalizar un marco o un control. 

“En última instancia, es solo un paso pequeño del proceso de gestión de riesgos”, afirma. “El marco puede proporcionar validación o información en términos del tiempo, el dinero y los recursos invertidos. Aconsejaría a las empresas que piensen en el hecho de que pueden volverse locos intentando tomar un marco de control y descubrir cómo implementar todas estas cosas”.

Marco de ERM para cooperativas de crédito, bancos e instituciones financieras

La gestión de riesgos es una parte esencial del funcionamiento de una cooperativa de crédito a escala empresarial. La sección 704.21 de las reglas y regulaciones de National Credit Union Administration (NCUA) requiere que las cooperativas de ahorro y crédito desarrollen y sigan una política (de ERM).

Los marcos de ERM como COSO permiten una visión holística de los riesgos empresariales para que las instituciones financieras y las cooperativas de crédito midan y analicen los riesgos que afectan a varias funciones. Un marco de ERM bien diseñado proporciona a la junta directiva corporativa y a los directivos sénior un proceso para determinar lo siguiente:

  • La cantidad de exposición al riesgo
  • Los niveles máximos de apetito de riesgo
  • Cómo cambian las exposiciones al riesgo y los controles de riesgos adecuados para gestionar el cambio

El marco de ERM de Barclays

El marco de ERM de COSO fue adaptado por destacadas instituciones financieras empresariales como Barclays, un banco internacional, y personalizado para aprovechar los componentes de ERM que impulsan el valor del negocio y cumplen con los estándares de cumplimiento normativo. Barclays utiliza su marco de ERM para administrar los siguientes tipos de riesgos:

Mockup The Barclays ERM Framework Risk Types

El Comité de Riesgos de la Junta de Barclays es un grupo de directores no ejecutivos que emiten un informe anual basado en el marco de ERM de Barclays, los códigos de gobernanza financiera y las reglas de orientación de divulgación y transparencia de los organismos reguladores financieros en los que operan. El comité es responsable de recomendar el apetito de riesgos a la junta, supervisar el perfil de riesgo financiero, operativo y legal de Barclays, y proporcionar comentarios sobre las amenazas y oportunidades financieras y operativas.

El marco de ERM legal de Deloitte

En 2018, el conglomerado internacional de consultoría Deloitte creó un marco de gestión de riesgos legales. El marco de ERM legal de Deloitte se desarrolló en respuesta a un aumento de las expectativas de gestión de riesgos. El marco ofrece a Deloitte una ventaja competitiva porque controla los riesgos legales en todas las operaciones empresariales.

El marco de ERM legal de Deloitte tiene los cuatro componentes siguientes: 

  • Identificar: Definir el riesgo legal, comprender el universo de riesgos legales y garantizar la propiedad del riesgo legal entre las unidades de negocios funcionales, como el cumplimiento. 
  • Evaluar: Establecer el umbral legal de apetito de riesgos, definirlo e insertar un proceso de evaluación de riesgos legales para determinar la exposición al riesgo en función de un conjunto de factores legales. 
  • Controlar: Incrustar un marco de control basado en el apetito de riesgos legales, y crear controles basados en la tecnología para el control de riesgos legales.
  • Supervisar e informar: Utilizar una metodología definida para evaluar la efectividad de los controles de riesgos legales, informar sobre los perfiles de riesgos legales y controlar el éxito del entorno a las partes interesadas designadas.
Mockup Deloitte Legal ERM Framework

Marco de gestión de riesgos empresariales para las aseguradoras

El sector de los seguros todavía está empezando a adoptar marcos de ERM integrales que hacen más que cumplir con los estándares. La mayoría de las aseguradoras utilizan una política interna de evaluación de riesgos y solvencia (ORSA) para cumplir con las regulaciones y los requisitos de gobernanza de los Estados Unidos. 

ORSA ayuda a las aseguradoras a evaluar las capacidades de gestión de riesgos y a evaluar el riesgo de mercado, el riesgo de crédito y evaluación, el riesgo de liquidez y el riesgo operativo. Sin embargo, ORSA se limita a un programa de gestión de riesgos en etapas tempranas para el cumplimiento estándar en comparación con los marcos de ERM integrales, como los marcos de ERM de CAS y COSO. 

Estos marcos proporcionan estrategias y herramientas sistemáticas de optimización del retorno del riesgo que se alinean con los objetivos empresariales y aportan valor para la aseguradora y sus clientes. Las aseguradoras que adoptan marcos de ERM como COSO crean modelos integrales de capital de riesgo que apoyan la gestión de riesgos como una valiosa estrategia de negocios. 

Modelo de ERM para las aseguradoras 
Los modelos de capital de riesgo miden la cantidad de capital que necesita una organización para cumplir con los objetivos empresariales, dado su perfil de riesgo. Puede usarlos para desarrollar estrategias de riesgo y comparar las evaluaciones internas del riesgo. También pueden calificar a las agencias y los requisitos normativos para el capital de riesgo para determinar los perfiles de riesgo.

Muchas organizaciones de seguros dependen de algún tipo de modelo de capital de riesgo como una forma de ERM. El modelado de riesgos ayuda a definir el riesgo mediante la recopilación y el análisis de datos que proporcionan información sobre las interacciones o los riesgos y los objetivos empresariales. Los modelos de capital de riesgo ayudan a proporcionar un marco para respaldar el perfil de riesgos y el apetito de riesgo de una organización de seguros, y también ayudan a establecer una cultura de riesgos.

Marco de ERM integrado para organizaciones gubernamentales

Las agencias federales de Estados Unidos y sus líderes son responsables de gestionar las misiones a escala empresarial que afectan a varias industrias. Los marcos de ERM, como la certificación del modelo de madurez de ciberseguridad (CMMC) y FedRamp, ayudan a las agencias gubernamentales a evaluar el riesgo e identificar amenazas y oportunidades a través de programas de ERM que se alinean con las metas y los objetivos de la agencia. 

El Modelo de madurez de ERM de CMMC
es un marco de riesgos de ciberseguridad más reciente desarrollado por la Subsecretaría de Defensa para Adquisición y Mantenimiento, el Departamento de Defensa y otras partes interesadas para medir la madurez de la ciberseguridad de las agencias gubernamentales y organizaciones del sector que hacen negocios con el gobierno federal. El modelo proporciona procesos de madurez, prácticas recomendadas de ciberseguridad y aportes de la comunidad de seguridad y varios marcos y modelos del sector de la seguridad. 

El marco de CMMC utiliza los siguientes cinco niveles de procesos y prácticas para medir la madurez de la ciberseguridad:

  • Nivel uno de CMMC:
    • Procesos: Realizados
    • Prácticas: Ciberhigiene básica
  • Nivel dos de CMMC:
    • Procesos: Documentados
    • Prácticas: Ciberhigiene intermedia
  • Nivel tres de CMMC:
    • Procesos: Gestionados
    • Prácticas: Ciberhigiene adecuada 
  • Nivel cuatro de CMMC: 
    • Procesos: Revisados
    • Prácticas: Proactiva
  • Nivel cinco de CMMC: 
    • Procesos: Optimizados
    • Prácticas: Proactiva avanzada 

El Programa de FedRAMP
El Programa de administración federal de riesgos y autorizaciones (FedRAMP, por su sigla en inglés) proporciona un enfoque estandarizado a la evaluación, la autorización y el monitoreo continuos de la seguridad para los productos y servicios en la nube. FedRAMP hace hincapié en la seguridad en la nube y en la protección de la información federal cuando las agencias y socios empresariales adoptan soluciones en la nube. 

El programa respalda a los proveedores de servicios en la nube con un proceso de autorización y mantiene un repositorio de autorizaciones y paquetes de seguridad reutilizables de FedRAMP. El objetivo es facilitar la colaboración entre agencias gubernamentales con casos de uso, soluciones tácticas basadas en la nube y un mercado de contratistas.

Técnicas de aplicación del marco integrado de ERM

Refactr trabaja con el DoD y las agencias gubernamentales que requieren marcos de gestión de riesgos y prácticas de gestión estrictos. Michael Fraser identifica cómo se asigna la aplicación del marco de trabajo de ERM y los programas de seguridad de Refactr entre las asociaciones con el DoD y clientes de empresas privadas. 

“En cierto modo, el DoD es más estricto, pero dependiendo del tipo de cliente, como una empresa financiera, es posible que tenga requisitos que estén a la par con algunos de los requisitos del DoD”, explica Fraser. “Diferentes organizaciones gubernamentales reconocen diferentes marcos de ERM, incluidos NIST y COSO. Los marcos personalizados también pueden satisfacer sus estándares de cumplimiento de riesgos. 

“Ya sea la Fuerza Aérea o un proveedor de ciberseguridad, hay un conjunto de requisitos que debe poder proporcionar, con la información que entienden, que verifique que utiliza algún tipo de marco de riesgos. Un proveedor de ciberseguridad probablemente trabaje dentro de varios marcos diferentes. La clave es tener suficiente información para impartir la debida diligencia para un programa de seguridad, al tiempo que se trata de cumplir con las mejores prácticas del sector que se asignan a un marco de trabajo en particular”. 

Modelos de gestión continua de riesgos
Según Fraser, hay momentos durante las auditorías que utilizan marcos de cumplimiento (como FedRAMP y SOC 2 Tipo 2) cuando todo se basa en la integridad. 

“Ahí es donde entra en lugar la automatización”, afirma Fraser. “Para llegar a un cierto umbral de cobertura automatizada para un marco de trabajo en particular. Se trata de un proceso de diligencia debida suficiente y continuo, incluso si siempre habrá algunos pasos manuales dentro del marco de cumplimiento”.

Para Fraser, hay una diferencia entre intentar marcar todas las casillas de una auditoría de cumplimiento y tener un cierto porcentaje de cobertura de automatización continua dentro de su marco de gestión de riesgos y seguridad.

Fraser destaca la importancia de la flexibilidad y una perspectiva centrada en el cliente. Pregúntese: ¿Va por un estándar arduo como FedRAMP porque proporciona los más altos estándares de cumplimiento para una auditoría, o es suficiente con SOC 2 Tipo 2? “Los clientes dicen: 'Cumple con FedRAMP, genial'”, afirma. “Estoy dispuesto a comprometerme con usted, aunque no tenga SOC 2 Tipo 2, porque FedRAMP es más arduo, un listón más alto”.

Fraser recomienda que las empresas reutilicen un porcentaje de su marco de ERM personalizado para futuras necesidades internas y criterios de los clientes. “Saber lo que necesita a largo plazo es fundamental para que sepa lo que necesita en los próximos 30, 90 o 180 días”, afirma.

Realice un seguimiento y administre fácilmente los componentes del marco de ERM con Smartsheet

Empodere a sus empleados para que vayan más allá gracias a una plataforma flexible, diseñada para satisfacer las necesidades de su equipo y capaz de adaptarse cuando esas necesidades cambien. La plataforma Smartsheet facilita la planificación, la captura, la gestión y la creación de informes sobre el trabajo, desde cualquier lugar, lo que ayuda a su equipo a ser más eficiente y lograr más. Cree informes sobre las métricas claves y obtenga visibilidad en tiempo real acerca del trabajo en curso gracias a informes, paneles y flujos de trabajo automatizados diseñados para ayudar a su equipo a mantenerse conectado e informado. Cuando los equipos tienen claridad sobre el trabajo en curso, pueden lograr mucho más en el mismo tiempo. Pruebe Smartsheet gratis hoy mismo.

Descubra por qué más del 90% de las empresas de Fortune 100 confían en Smartsheet para realizar su trabajo.

Obtenga plantillas de Smartsheet gratuitas Get a Free Smartsheet Demo