1. Descripción de la Empresa En ella se observa qué tipo de organización es; la actividad que realiza; su ámbito de actuación, nacional o internacional. Se trata de obtener información de la compañía, relativa a su misión, visión, objetivos estratégicos y su organigrama. 2. Objetivos Se trata de establecer los objetivos estratégicos de la empresa y cuáles son los límites a los que ésta puede llegar. En este apartado entran los manuales y políticas de procedimientos, la normativa que aplica la empresa y le puede afectar; el apetito al riesgo, tolerancia y capacidad; o el riesgo que implican los servicios externalizados. 3 Identificación de riesgos En la identificación de los riesgos específicos de la empresa se tienen en cuenta riesgos producidos en organizaciones de características similares. Se consideran así riesgos legales, financieros, operacionales y reputacionales. En la identificación de riesgos se hace partícipe a toda la organización en la primera línea de defensa, necesaria para poder implementar el sistema de gestión de riesgos. 4. Evaluación de riesgos Una vez identificados los riesgos se procede a su evaluación tanto cuantitativa como cualitativa. La evaluación de riesgos se puede realizar a través de las 31 herramientas de evaluación que proporciona ISO 31010. A partir de ella se obtiene el riesgo inherente. 5. Controles Para saber cómo hacer un informe de riesgo han de tenerse en cuenta los controles a aplicar en función de las normativas, el plan de continuidad de negocio, etc. Aquí se consideran los controles financieros, planes de crisis, emergencias, etc. Todo ello con el fin de obtener el riesgo residual y saber cuánto de controlada está la empresa. 6. Riesgo residual Con el riesgo inherente y los controles establecidos dentro de la empresa, se obtiene un riesgo residual. Una vez obtenido, este riesgo pasa por el auditor interno de la organización. Consiste en el análisis del riesgo justificado y de los controles eficaces. El resultado de esta etapa es una matriz de riesgos en la que figura el riesgo inherente y el riesgo residual. 7. Toma de decisiones en risk management La toma de decisiones es otro paso fundamental a la hora de realizar un informe o reporte de gestión de riesgos. Se realiza por parte de la alta dirección y el consejo de administración, máximos responsables del proceso de gestión de riesgos en las empresas. Ante la toma de decisiones, se establecen los planes de acción, para la reducción de la probabilidad o del impacto. En esta fase, se establece cuál es el coste/beneficio que supone asumir, reducir, eliminar o transferir el riesgo. 8. Planes de acción Una vez que la alta dirección o consejo de administración se decanta por una opción, se debe realiza un análisis FODA o DAFO. Este debe contar con su parte positiva de fortalezas y oportunidades, por un lado; y su parte de debilidades y amenazas, por otro. Esto es trasladado a planes de acción, con los que se trata de reducir la probabilidad y los impactos de los riesgos. 9. La Auditoría Externa En los últimos puntos del informe de gestión de riesgos se contempla la supervisión y auditoría externa. Muchas empresas están obligadas a la implementación de la gestión de riesgos y, por tanto, tienen supervisores que revisan todo este proceso. 10. Conclusiones y recomendaciones El resumen final obtenido con el desarrollo del informe de gestión de riesgos es plasmado en unas conclusiones y recomendaciones. Estas han de ser trasladadas al Consejo de Administración de la compañía por parte del Área de Gestión de Riesgos o el Gerente de Riesgos.
