Field notes

Cómo realizar una evaluación de riesgos que no aburra al consejo de administración

Si quiere que el consejo preste atención de verdad, y no que simplemente soporte sus diapositivas, necesita convertir la evaluación de riesgos en una conversación orientada a la toma de decisiones. Así es como se hace.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy4 min de lectura
How to Run a Risk Assessment that Doesn't Bore the Board

(Porque las diapositivas en rojo/amarillo/verde murieron en 2015.)

Seamos honestos.La mayoría de las revisiones de riesgos a nivel de consejo suenan así:

«Aquí está nuestra matriz de riesgos. Arriba a la derecha: ciberseguridad, cadena de suministro y terceros. Abajo a la izquierda: todo lo demás.»

Y llegan los asentimientos corteses. El CFO revisa el correo. El CEO dice: «Todo parece bien.»Reunión terminada. Nada cambia.

Eso no es gestión del riesgo. Es teatro del riesgo.

Si quiere que el consejo realmente se implique, no que simplemente soporte sus diapositivas, necesita convertir la evaluación de riesgos de un ritual de reporting en una conversación de decisiones.Así es cómo.

1. Empiece por lo que realmente le importa al consejo

Los directivos no se preocupan por la metodología de riesgo.Les preocupa la exposición del negocio, el dinero y el impulso.

Deje de abrir con escalas de probabilidad e impacto.Empiece con una sola diapositiva que diga:

«Estos son los 5 factores que podrían impedirnos alcanzar los objetivos de este año.»

Solo eso.Sin jerga, sin paleta de colores. Solo contexto y consecuencia.

Si no vincula su evaluación a los objetivos estratégicos, solo está dibujando diagramas bonitos.

2. Elimine el mapa de calor y cuente la historia

¿Conoce esa matriz con 20 puntos de colores?Al consejo le desagrada. No sabe qué significa cada punto, y no lo preguntará.

En su lugar, cuente historias.

«El trimestre pasado estuvimos a dos días de incumplir un SLA con un cliente porque un único proveedor falló.»«Por eso la resiliencia de proveedores es ahora el riesgo n.º 2, y esto es lo que estamos haciendo al respecto.»

Las historias hacen el riesgo tangible.Los mapas de calor lo hacen abstracto.

Use escenarios de riesgo, no tablas, para transmitir su punto.El cerebro humano entiende la narrativa, no los ejes.

3. Cuantifique, aunque sea de forma aproximada

En el momento en que añade un número, la atención se dispara.

«Si este riesgo se materializa, perdemos ~€1,2M y 10 días de producción.»

Ahora está hablando el idioma del consejo.

No necesita simulaciones de Monte Carlo; basta con rangos plausibles basados en impacto, coste o tiempo.

El consejo no puede priorizar rojo frente a naranja,pero sí puede priorizar «pérdida de €1,2M frente a retraso de €200K».

Traduzca el riesgo a dinero, minutos o titulares de prensa.

4. Convierta la «evaluación» en «opciones»

El consejo no quiere una lista de problemas; quiere decisiones.

Para cada riesgo principal, presente:

  1. En qué consiste.
  2. Por qué importa.
  3. Tres opciones de tratamiento con sus compromisos.

Ejemplo:

«Para reducir el riesgo de dependencia de proveedores, podemos:Diversificar proveedores (coste: €300K/año)Negociar SLAs más sólidos (coste: €0, entrega más lenta)Aceptar el riesgo (exposición: €1,2M).»

Así no solo reporta riesgos; está habilitando el gobierno corporativo.Para eso se paga al consejo.

5. Muestre avance, no perfección

Al consejo no le importa cuán detallado es su registro.Le importa el progreso.

Si cada trimestre su clasificación de riesgos parece idéntica, ha perdido credibilidad.

Muestre tendencias:

  • «3 riesgos cerrados este trimestre.»
  • «2 nuevos han emergido.»
  • «Exposición residual reducida un 15 %.»

El avance supera a la perfección.Incluso el progreso incremental transmite una historia de control.

6. Use los elementos visuales con propósito

Nada de semáforos.En su lugar:

  • Una diapositiva por riesgo principal.
  • Título: el escenario en lenguaje llano («Interrupción mayor por dependencia de un único proveedor cloud»).
  • Subtítulo: exposición cuantificada.
  • Un gráfico: evolución en el tiempo.
  • Un recuadro: decisiones tomadas o pendientes.

Si su presentación de riesgos parece un PowerPoint de los años 90, ha perdido antes de empezar.

Hágala parecer un cuadro de mando de negocio, no un informe de cumplimiento.

7. Incluya un logro

Nunca entre a una sesión del consejo solo con malas noticias.Destaque un caso de éxito: un riesgo mitigado, una respuesta de control más ágil, una prueba que funcionó.

El consejo también es humano; recuerda mejor los logros que las advertencias.Demuestre que la gestión del riesgo genera valor, no solo papeleo.

8. Conserve la metodología, elimine la clase magistral

Nadie en el consejo quiere una explicación de 10 minutos sobre ISO 31000 o FAIR.Téngalo en sus diapositivas de respaldo, claro, pero no lo ponga en primer plano.

Empiece con el impacto, termine con las decisiones.Mantenga los marcos invisibles, como la fontanería.Deben apoyar la historia, no protagonizarla.

9. Corrija el seguimiento

Aquí es donde fracasa el 90 % de las sesiones de riesgo: nadie registra lo que el consejo decidió.

Tres meses después, vuelve con la misma diapositiva.

Corríjalo:

  • Registre cada decisión (aceptar / mitigar / transferir).
  • Asigne un responsable.
  • Haga seguimiento del progreso en su próximo informe.

El consejo no necesita más reuniones; necesita cierre.

La conclusión

Una evaluación de riesgos que aburre al consejo es una oportunidad desaprovechada.Tiene su atención durante 20 minutos; haga que cuenten.

Su trabajo no es mostrar una matriz.Su trabajo es hacer que la organización se vea con claridad y actúe en consecuencia.

Cuando deja de presentar el riesgo como papeleo y empieza a presentarlo como estrategia, las personas dejan de tolerar su sesión y empiezan a depender de ella.

Convierta el riesgo en un lenguaje estratégico

Eso es lo que enseñamos en las formaciones ISO 31000 Lead Risk Manager:cómo hacer el riesgo visible, medible y significativo a nivel de liderazgo.

👉 Solicite su presupuesto y únase a la próxima edición

Porque el riesgo no es aburrido, a menos que usted lo haga así.

¿Quieres recibir la próxima nota de campo en tu bandeja de entrada?

El boletín The GRC Brief. Cinco enlaces y un análisis breve, cada lunes a las 8h CET. Tres minutos de lectura.