¿Cuánto debe invertir una organización en gestión de riesgos?

Publicado por Equipo de Investigación ORCA el 13 de febrero de 2024

Si hay alguien sensible dentro de las organizaciones al ejercicio de los presupuestos, además del propio CFO, es precisamente la C-suite o directores de áreas. En GRC, un temor grande es no anticipar o gestionar los riesgos, ya que esto podría resultar en pérdidas financieras significativas o daño reputacional. Esa inversión y ese temor están íntimamente ligados.

Partamos de la preocupación para responder mejor la pregunta del título.

La pregunta de cuánto dinero debería invertirse  en gestión de riesgos, es como preguntar "¿Cuánto seguro es suficiente?" o "¿Cuánto debería estar ahorrando?"

La respuesta es un genérico e insatisfactorio, pero igualmente cierto, “depende”., ya que habríamos de contemplar objetivos para la jubilación, actividades o hábitos de riesgo, dependientes económicos, etc.

De la misma manera, hay una serie de factores que por ejemplo el director de Finanzas debe considerar antes de aprobar el presupuesto anual de gestión de riesgos. Entremos en materia…

 

Pregúntate mejor, ¿cuál sería el costo de no invertir en gestión de riesgos?

cuánto-invertir-organización-gestión-de-riesgos-1

Ante el reto de mantenerse al día con las cambiantes regulaciones y entornos de riesgo, se requiere una inversión inteligente y estratégica en gestión de riesgos. He aquí una oportunidad invaluable: utilizar métodos y procesos que incorporen consideraciones comerciales desde su diseño mismo, asegurando que la gestión de riesgos esté alineada con los objetivos estratégicos de la organización. Esto abre la puerta a mejorar las eficiencias operativas y adaptarse proactivamente a los riesgos emergentes.

Además de la pregunta sobre el costo de oportunidad (es decir, no invertir en un SaaS GRC), puede ser útil también considerar varias otras preguntas para adquirir panorama:

  • ¿En qué tipo de negocio estamos?
  • ¿Qué tipo de información personal identificable o datos sensibles manejamos?
  • ¿Cuál es el panorama regulatorio de nuestra industria?
  • ¿Qué tan complejos son nuestros riesgos?

 

¿Cuáles son las puntuaciones de probabilidad e impacto de nuestros riesgos, tanto individualmente como en conjunto? (para esto, lo más útil es recurrir a tu matriz de riesgos, esa que ya tienes… ¿verdad?)

Por supuesto, este es solo el inicio: toda gran iniciativa debe pasar la revisión financiera (y técnica, en el caso de implicar tecnología), y la presión para mostrar el ROI es inmensa. Sin embargo, la dificultad de cuantificar los retornos se debe a que típicamente los proyectos de gestión de riesgos no tienen fechas de finalización o métricas claras para medir el éxito o fracaso.

Con estas dificultades en mente, la pregunta más importante realmente se convierte en: "¿Cómo determinar cuánto gastar en gestión de riesgos?". Los métodos aquí son tan importantes como los resultados.

El proceso que las empresas emprenden para identificar y mitigar el riesgo debe incorporar consideraciones comerciales desde el principio, para que se pueda realizar un análisis adecuado del programa de gestión de riesgos y los recursos asociados.

Este paso puede comenzar con una revisión de los objetivos estratégicos, seguido por un análisis de cómo las tácticas de gestión de riesgos se vinculan a ellos. Los directores de riesgos deberían también pensar en los impactos comerciales reales si quieren calcular tanto costos como retornos anticipados de los proyectos que quieren emprender. Esta es la forma de mantener los gastos en línea con los objetivos del programa.

Este paso es crítico por la multiplicidad de factores que determinan la asignación de presupuesto en gestión de riesgos. El método necesita permitir flexibilidad: los riesgos surgirán, se expandirán, fluctuarán y desaparecerán, todo el tiempo. Las eficiencias operativas deberían mejorar con el tiempo también, pero la conclusión es que el esfuerzo y los recursos necesarios para mantenerse por delante del riesgo siempre serán objetivos móviles. Ahora, hay que sumergirnos unos pasos más…

 

Desarrolla un marco de trabajo

Convierte el método en un marco que guíe la inversión. Los creadores del marco podrían comenzar desglosando la gestión de riesgos en necesidades técnicas, políticas de procedimientos de cumplimiento y productos o servicios necesarios para la eficiencia, entre otras consideraciones pertinentes.

Una vez que se establece un marco base, incluye un monitoreo continuo de KPIs para asegurar que el programa funcione correctamente. Esto te ayudará a validar los beneficios previstos o realizar correcciones según resultados. También te permite ajustar el gasto para tener en cuenta niveles de exposición al riesgo que podrían estar fuera de lo que se considera aceptable.

Incluso podrías descubrir que podrían gastar menos y aun así mantener los mismos niveles de riesgo. El punto clave aquí es entender que el nivel de riesgo no será estático, entonces tu programa tampoco debería serlo.

cuánto-invertir-organización-gestión-de-riesgos-2

 

El benchmarking es útil, pero solo para contexto

Lo entendemos: es normal querer referencias para determinar el presupuesto; después de todo, lo último que quieres es quedarte atrás de la competencia y que se te materialice algún riesgo.

Sin embargo, investigaciones recientes proporcionan contexto en términos de cuánto están gastando realmente las organizaciones en seguridad y gestión de riesgos. Una encuesta State of the CIO, que encuestó a 683 ejecutivos en una amplia gama de industrias, determinó que casi un cuarto de las organizaciones (23%) están dedicando el 20% o más de su presupuesto de TI a la gestión de riesgos y medidas de seguridad.

Aunque estas cifras son específicas de Tecnologías de la Información, son ilustrativas de las tendencias más amplias en el gasto en gestión de riesgos.

El informe también revela los roles que juegan las influencias externas en las decisiones de gasto, que generalmente no están vinculadas a alguna fórmula de costo-beneficio. Entre los factores que determinaron el gasto están:

  • Mejores prácticas de la industria (74%)
  • Necesidades de cumplimiento (69%)
  • Responder a un incidente de seguridad en la propia organización (35%)
  • Orden de la junta directiva (33%); y
  • Responder a un incidente de seguridad que le ocurrió a otra organización (29%)

 

Antes de que te lances a querer aprovechar estas estadísticas, te advertimos que simplemente meter estos números en tu presupuesto de gestión de riesgos es una receta para el desastre.

Los CFOs consideran las circunstancias y objetivos propios, no los de la industria. Dicho esto, pocas organizaciones tienen el lujo de decidir qué gastar completamente por su cuenta. La mayoría de las empresas enfrentan requisitos regulatorios, expectativas de los clientes o demandas de los socios que dictan el gasto hasta cierto grado.

 

Saber cuándo es suficiente

cuánto-invertir-organización-gestión-de-riesgos-3

En algún punto, el gasto adicional producirá rendimientos decrecientes, y gastar más en gestión de riesgos, no hará nada para reducir la exposición al riesgo por sí mismo. Las organizaciones necesitan identificar el punto en el que los gastos adicionales producen un retorno marginal con respecto a la reducción de riesgos.

Para el director de riesgos, y por extensión para la organización, la inversión en gestión de riesgos no solo previene pérdidas financieras y protege la reputación, sino que también se traduce en un crecimiento sostenible y una ventaja competitiva.

Identificar el punto donde los gastos adicionales en gestión de riesgos ofrecen un retorno marginal es crucial, asegurando que cada peso (dólar, sol, real, etc.) gastado contribuye efectivamente a mitigar riesgos y promover los objetivos de negocio.

 

Como podrás ver, la respuesta a nuestro título está en ponderar los elementos adecuados con arreglo a la realidad exclusiva de tu organización. Sabemos que no es fácil, tanto la primera vez, como si ya pasaste por una implementación no del todo satisfactoria; así que, si deseas ayuda para mapear los elementos relevantes, haz clic debajo y…

 

Asesoría gratuita con un especialista

Suscríbete al blog

Publicaciones Recientes

Publicaciones por etiqueta

Ver todo
orcaBlanco

Producto

Descripción General del producto

Complementos

Casos de éxito

Precios

Software de Gestión de Riesgos

Software de Control de Cumplimiento normativo

Software de Control de Proveedores

Soluciones

Gestión de Riesgos

Control de Cumplimiento normativo

Control de Proveedores

Control de riesgos y cumplimiento medioambiental (ESG)

Digitalización del proceso de control de residuos

 


Automatización de Procesos de auditoría

Gestión de Incidentes

Automatización del Plan de continuidad de negocio

Gestión de la Seguridad de la información

Recursos

Blog

Guías gratuitas para la gestión y control de riesgos

Empresa

¿Por qué ORCA?

Premios y reconocimientos

Bolsa de Trabajo 

 

Certificaciones-2

 

Contacto

phone-call (1) Teléfono:
55 5234-2565
clock (3) Horario de oficina:
Lunes a Viernes de 9:00 a.m. - 6:00 p.m.

     
logoGCP

 

linkedin (1)   facebook    youtube

Aviso de privacidad

Copyright© 2024