¿Hay manera de gestionar los riesgos sin documentación? Es decir, ¿este es un paso que nos podemos saltar? Sí, de hecho, hay empresas en las que se gestionan los riesgos de forma empírica. Pero es una mejor práctica crear, mantener y conservar información documentada, no solo para cumplir con alguna norma ISO o con las leyes, sino para aprovechar ese conocimiento empírico y dar respuesta eficaz a la gestión de riesgos. Recomendamos documentar porque con esto hacemos una gestión de riesgos consistente y comparable, además que nos permite actualizar los datos disponibles y comunicar de forma más eficaz. 

Los documentos, más que deberes que completamos por obligación, son un apoyo para que el conocimiento de los trabajadores se use de manera más segura y confiable. ¿En qué nos apoyamos cuando no existen documentos? En la memoria, que es frágil y no podrá registrar con exactitud los cambios del contexto, y de las personas, tanto las que se suman a los equipos de trabajo como quienes se van. Los documentos dan la ventaja de la continuidad y se modifican para dejar trazabilidad, según sea el caso. 

Mientras identificamos, analizamos, evaluamos y tratamos los riesgos, es de gran ayuda disponer de una base sólida de información documentada. A continuación, veremos los principales documentos que deben formar parte de una gestión de riesgos robusta:

Documentación esencial para una gestión de riesgos eficaz

1. Conformación del Comité de riesgos: ¿Quiénes son, ¿cuántos son? ¿cuándo se creó? ¿cuáles son sus funciones? Necesitamos un registro de la creación de este órgano profesional encargado de coordinar los esfuerzos para la identificación, análisis, evaluación y tratamiento de los riesgos. 
2. Actas de seguimiento del Comité: El documento debe dar cuenta de la gestión del Comité en cuanto a acciones, fechas, responsables y tareas pendientes. 
3. Política de gestión de riesgos: Es hora de establecer los principios, objetivos y compromisos de la organización en materia de gestión de riesgos. Aquí se define el alcance, roles, responsabilidades y procesos a seguir. Si no se plasma en un documento, cada persona podría asumir una versión diferente de lo que debe hacer. 
4. Registro de riesgos: Inventariamos todos los riesgos identificados. Incluimos una descripción del riesgo, la probabilidad de ocurrencia, el impacto potencial, el nivel de riesgo, el resultado de su evaluación y las medidas propuestas (mitigar, transferir o aceptar el riesgo). 
5. Evaluación de riesgos: Este documento especifica los métodos utilizados para evaluar los riesgos y finalmente obtener los resultados esperados.
6. Plan de tratamiento de riesgos: Describimos las acciones específicas que se llevarán a cabo para mitigar, transferir, aceptar o evitar cada riesgo identificado, así como los recursos, responsables, tiempos e inclusive prioridades por cada acción planteada.
7. Matriz de riesgos: Hacemos una representación visual que muestre la relación entre la probabilidad y el impacto de los riesgos, para priorizar las acciones a tomar.
8. Indicadores de riesgo: Plasmamos las métricas que nos dejarán monitorear los riesgos y detectar cambios en el perfil de riesgos de la organización.
9. Informes de riesgos: En estos documentos resumimos el estado actual de los riesgos, los avances en la implementación de las medidas de mitigación y las lecciones aprendidas.
10. Registros de incidentes: No queremos que ocurran incidentes, pero estos son inevitables. Y conviene dejar registro de los eventos adversos ocurridos, incluyendo las causas raíz y las acciones correctivas implementadas. Así sabremos cómo evitar la ocurrencia o qué hacer si se presenta de nuevo. Y es un input importante para la gestión de riesgos.
11. Plan de continuidad del negocio: Ocurrió un evento disruptivo y no podemos hacer nada para cambiarlo. Pero si contamos con este plan, sabremos cómo responderá y se recuperará la organización. Estar preparados siempre es beneficioso. También es un input para actualizar la gestión de riesgos de la empresa.
12. Plan estratégico: Un documento hecho por la alta dirección para la gestión estratégica y al que esta se remite cuando necesita guía y seguimiento, pues allí están las iniciativas y controles que le permitirán alcanzar sus objetivos. El plan estratégico alimenta al contexto y lineamientos para la gestión de riesgos.
13. Evaluación del contexto: Analicemos los contextos interno y externo de la organización para identificar qué factores influyen en su capacidad para alcanzar los objetivos y, por ende, a qué riesgos se enfrenta. Tomemos en cuenta aspectos legales, financieros, administrativos, legales, reputacionales, entre otros. La evaluación del contexto permite identificar los riesgos con mayor precisión
14. Registros de mejoras: Recopilemos información relacionada con las acciones implementadas para mejorar los procesos. Podemos describir qué acciones se implementaron y cuál fue el resultado, lecciones aprendidas…incluyendo los procesos de gestión de riesgos.
15. Procedimiento de comunicación y consulta: Incluyamos elementos clave que garanticen una difusión efectiva y correcto entendimiento de la información relacionada con la gestión de riesgos. Por ejemplo: alcance, objetivos, responsabilidades… Y tomemos en cuenta la frecuencia de las comunicaciones, canales, formatos y retroalimentación, para que el proceso sea eficaz.  
16. Planes de monitoreo y revisión de riesgos: Es vital que dejemos claro cómo se van a seguir los riesgos a lo largo del tiempo para detectar cualquier cambio o nuevo riesgo que pueda surgir. Para esto nos serviremos de métricas que permiten medir la probabilidad y el impacto de los riesgos y así modificarlos.
17. Informe de riesgos para el órgano de gobierno: Para tomar decisiones informadas, el órgano de gobierno requiere de este documento que resume la situación de riesgo de la organización y proporciona una visión general de los principales riesgos a los que se enfrenta la empresa.
18. Auditoría y evaluación de la eficacia de los controles de riesgos: Para hacer la auditoría que garantice que los mecanismos de control establecidos estén funcionando adecuadamente, necesitamos registrar cuál es el alcance de la auditoría, los objetivos, el método, los resultados de la auditoría, no conformidades, acciones correctivas y seguimiento. Igualmente, se debe evaluar la eficacia de los controles considerando el nivel de cumplimiento determinado en la auditoría.

Si no ves en la lista la Matriz IPER o la apreciación de riesgos de seguridad de la información es porque nos limitamos a enumerar los documentos generales y no los especificamos por disciplinas por razones de espacio. 

¿Qué se espera de la información documentada en la gestión de riesgos?

• Transparencia: tras consultar los documentos deberíamos tener una visión clara y detallada de los riesgos identificados, las evaluaciones hechas y las medidas de mitigación llevadas a cabo. Todo un registro que da cuenta de nuestras acciones y su evolución. 
• Comunicación: ¿Se hizo o no se hizo? Mejor nos remitimos a las pruebas. Los documentos facilitan la comunicación eficaz entre los colaboradores y los diferentes niveles de la organización. Así es más fácil llegar a acuerdos sobre los riesgos y las acciones a tomar. 
• Consistencia: Los registros contribuyen con resultados similares ante situaciones similares. Cuando las acciones tomadas están plasmadas en documentos es posible mantener un enfoque consistente en la gestión de riesgos a través del tiempo.
• Compliance: Estamos cumpliendo y lo podemos probar… O no… En cualquier caso, la documentación puede demostrar el cumplimiento de las normas y regulaciones aplicables.
• Aprendizaje: ¿Cómo mejorar? ¿Qué acciones no han resultado como esperábamos? ¿Qué aspectos reforzamos? Una revisión a los documentos permite analizar experiencias pasadas y mejorar continuamente el proceso de gestión de riesgos.