Valoración, Tratamiento, Seguimiento y Revisión del Riesgo EALDE Business School Valoración, Tratamiento, Seguimiento y Revisión del Riesgo Índice 1. Valoración, Tratamiento, Seguimiento y Revisión Del Riesgo ......................... 2 Objetivos de la Clase .......................................................................................... 2 Conocimientos Previos ....................................................................................... 2 Abstract ............................................................................................................... 2 2. Introducción ..................................................................................................... 3 3. Valoración del Riesgo. Mapas de Calor y Dictámenes .................................... 4 4. Tratamiento del Riesgo. El Proceso de Decisión ........................................... 10 5. Medidas de Seguimiento y Control ................................................................ 14 6. Conceptos Básicos y Conclusiones ............................................................... 17 7. Bibliografía ..................................................................................................... 18 EALDE Business School Página 1 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo 1. Valoración, Tratamiento, Seguimiento y Revisión Del Riesgo Objetivos de la Clase El objetivo de esta clase es conocer y comprender las fases finales de cada iteración en la gestión del riesgo. Es decir, una vez establecido el contexto, fijados los criterios, determinados el apetito y la tolerancia, y realizadas las etapas del proceso correspondientes a la identificación y análisis, ya solo quedan los trabajos de valoración, tratamiento, seguimiento y control. Conocimientos Previos Para realizar esta clase es imprescindible que se hayan completado satisfactoriamente la clase sobre ISO 31000:2018, la clase relativa al apetito, tolerancia y capacidad y, por último, la clase de clasificación de riesgos. Abstract Todos los trabajos definidos en las clases anteriores se realizan en base a un fin. Actuar sobre los riesgos para reducir su frecuencia y mitigar sus consecuencias en caso de eventos con consecuencias negativas y para potenciar la frecuencia y obtener un mayor impacto, en el caso de las oportunidades. Pues bien, esta clase trata de cómo proceder para actuar sobre los riesgos. En primer lugar, comparando su nivel con los criterios, en segundo lugar, actuando con medidas de tratamiento sobre los que se haya considerado necesario actuar, y, en tercer lugar, estableciendo procesos de seguimiento y revisión. EALDE Business School Página 2 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo 2. Introducción En la clase anterior realizamos la matriz de riesgos en la que, para cada unidad de riesgo, fueron identificados eventos y asignadas probabilidades de ocurrencia y consecuencias. En este punto vuelve a ser importante entender que en estas clases estamos definiendo el esquema de trabajo, y que en las clases del siguiente curso se tratarán los pormenores de cada etapa. En concreto: Las unidades de riesgo y los mapas de procesos. Los eventos. Probabilidad y consecuencias Las técnicas de identificación, análisis y valoración del riesgo El concepto de modelo de madurez. Auditoría y asesoramiento externo Por tanto, con las clases de este curso lo que se prioriza es saber qué pasos seguir para llegar a lo que necesitamos, por encima de saber qué se debe hacer y cómo se debe actuar en cada paso (que será, como hemos visto, objeto de las siguientes cuatro clases) Dicho esto, podemos visualizar lo que se ha venido trabajando hasta esta clase, y lo que trabajaremos en las siguientes, a través de la siguiente figura: EALDE Business School Página 3 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo En líneas generales podemos decir que el curso Conceptos generales de la gestión del riesgo hace más referencia al “de qué va esto” y el curso Proceso de evaluación del riesgo al “cómo hago esto”. Pues bien, una vez centrado el tema, en esta clase vamos a trabajar los conceptos de valoración y tratamiento. Vamos a entender por valoración el ejercicio de comparación de los niveles con los criterios (Clase 1, curso Conceptos Generales de la Gestión del Riesgo) y por tratamiento, lo que decidimos hacer con los riesgos cuyos niveles, en base a nuestros criterios, obliguen a ser considerados. EALDE Business School Página 4 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo 3. Valoración del Riesgo. Mapas de Calor y Dictámenes La valoración del riesgo es considerada un ejercicio de comparación. Un trabajo en el que se compara el valor obtenido en el análisis con los valores considerados en la determinación de los criterios de riesgo. Efectivamente, una mala definición de criterios o un mal proceso de análisis lleva indefectiblemente a que el proceso de valoración pierda utilidad. A su vez, esta comparación debe permitir tomar decisiones previamente parametrizadas, es decir, condiciona el tipo de actuación a emprender la relación entre criterios de riesgo y resultados del análisis. Y aquí entra el concepto de dictamen. Un concepto que la norma no trata explícitamente, pero que en la práctica resulta de mucha utilidad. Un dictamen es una frase que nos indica a qué tipo de riesgo nos enfrentamos en términos de decisión. Los diferentes niveles o categorías de dictamen también los fijamos nosotros y tienen, de forma clara, una estrecha relación con los conceptos de apetito, tolerancia y capacidad. Si, por ejemplo, hemos fijado un apetito al riesgo muy bajo, es decir, que los niveles de tolerancia inferior y superior están muy cercanos, entonces la mayoría de riesgos quedarán etiquetados con algún dictamen del tipo “crítico”, “intolerable”, “inasumible”, … Y como ya hemos comentado en clases anteriores, la gestión de riesgos, al margen de una cuestión de creencias y preferencias, es un ejercicio de gestión de recursos. Debemos ser MUY CONSCIENTES de que los recursos son limitados, y de que EALDE Business School Página 5 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo cualquier ejercicio encaminado a tomar decisiones debe estar asentado en esta premisa. Si tengo una extremada aversión al riesgo, y considero un apetito muy bajo, me veré obligado a actuar sobre todo riesgo identificado y, en la mayoría de los casos, no habrá recursos suficientes para mitigar, transferir, minimizar o eliminarlos todos. En opinión del autor de esta nota técnica, el verdadero valor de un buen gestor de riesgos se aporta en el momento en el que sabe comprender los contextos internos y externos, y fija los criterios de riesgo en consonancia con estos. Como vimos en clases anteriores, un riesgo se caracteriza estimando su probabilidad de ocurrencia y la magnitud de sus consecuencias. De momento nos vamos a quedar con la valoración cualitativa de ambos parámetros, es decir, de momento vamos a considerar que ambos se “evalúan” en términos de MUY ALTA/ALTA/MEDIA/BAJA/MUY BAJA. Con estos dos parámetros podemos construir una matriz de 5x5 con la que obtendremos 25 combinaciones de probabilidad x consecuencias. PROBABILIDAD Fijémonos en la siguiente figura: MUY ALTA ALTA MEDIA BAJA MUY BAJA MUY BAJA BAJA MEDIA ALTA CONSECUENCIAS MUY ALTA Obtenemos 25 casillas que hemos decidido colorear de esta manera, de forma que posteriormente podamos hacer dos cosas: EALDE Business School Página 6 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo 1. Posicionar cada riesgo dentro de esta matriz, en función de sus valores de probabilidad y consecuencia determinados en el análisis. 2. Obtener un dictamen de cómo clasificarlos una vez ubicados. Es decir, dependiendo del color en el que caiga el riesgo en cuestión, en base a la clasificación que utilicemos, quedará englobado en uno u otro grupo. Podemos haber definido una clasificación como la que sigue: IMPORTANTE: Ni los colores, ni las etiquetas de probabilidad y consecuencias, ni los dictámenes tienen un formato tipo y estándar. De hecho, uno de los grandes errores, que a mi entender se cometen, es no pensar en un mapa de calor personalizado y acorde a las necesidades y contextos de cada organización. PROBABILIDAD PROBABILIDAD Veamos el siguiente ejemplo y comparemos las siguientes dos matrices: MUY ALTA ALTA MEDIA BAJA MUY BAJA MUY BAJA BAJA MEDIA ALTA CONSECUENCIAS MUY ALTA MUY BAJA BAJA MEDIA ALTA CONSECUENCIAS MUY ALTA MUY ALTA ALTA MEDIA BAJA MUY BAJA EALDE Business School Página 7 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo Si nos fijamos, entre el primer mapa de riesgo y el segundo hay una gran diferencia. El segundo tiene muchas más casillas verdes y solo una roja. Si atendemos a los dictámenes vemos fácilmente que la mayoría de los riesgos que se analicen serán despreciables. ¿Y de qué podrían depender esas diferencias? Pues precisamente de los conceptos que ya hemos estudiado: apetito, tolerancia y capacidad; es decir, el segundo mapa de calor corresponde a una unidad de riesgo con mucho más apetito al riesgo que la primera. Este es el motivo por el que se insiste en esta nota que no es bueno estandarizar matrices, mapas, dictámenes y decisiones. Cada organización y, de hecho, cada unidad de riesgos tiene un apetito diferente. Veamos en la siguiente página una recopilación de mapas de calor y matrices seleccionadas de diferentes estudios y trabajos, relativos a diferentes tipos de riesgos. EALDE Business School Página 8 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo Es fácil observar que casi todos los mapas de calor tienen prácticamente la misma simetría. Podríamos inferir que todos los mapas de calor han sido elaborados bajo el presupuesto de un apetito al riesgo “neutro” y simétrico, tanto para los riesgos como para las oportunidades. Es destacable la primera figura (arriba a la izquierda) en el sentido de que presenta las líneas punteadas correspondientes a los niveles de tolerancia. Este modelo, a entender del autor de esta nota, es más útil y fiel a las directrices de la norma que los basados en matrices “cuadradas”. EALDE Business School Página 9 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo 4. Tratamiento del Riesgo. El Proceso de Decisión Como ya hemos visto, una vez analizados los riesgos, obteniendo su nivel al compararlo con los criterios, tendremos un dictamen. Este dictamen nos ofrece un primer nivel de decisión. Un nivel de decisión del tipo: • ACTUAR • ACTUAR Y VIGILAR • SOLO VIGILAR • IGNORAR Ahora pasamos al siguiente nivel en el que consideraremos: 1. Para el caso de ACTUAR Definir tratamiento 2. Para las opciones de VIGILAR Definir monitorización y control Dedicaremos este capítulo a las opciones de tratamiento, y el siguiente a la monitorización y control. ISO 31000:2018, en su punto 6.5.2, considera las siguientes opciones de tratamiento del riesgo: • evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo; • aceptar o aumentar el riesgo en busca de una oportunidad; • eliminar la fuente de riesgo; • modificar la probabilidad; • modificar las consecuencias; • compartir el riesgo (por ejemplo: a través de contratos o compra de seguros); • retener el riesgo con base en una decisión informada. EALDE Business School Página 10 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo Destacando que son opciones NO necesariamente excluyentes. En general, podemos determinar que todas las opciones de tratamiento planteadas por la norma pueden incluirse en alguno de los siguientes tres grupos: • Evitación • Minimización • Aceptación, retención o asunción de más riesgo Dentro de las estrategias de evitación, la norma plantea: Evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo. Un riesgo puede evitarse eliminando las condiciones que hacen viable la materialización de una fuente de riesgo. Eliminar la fuente de riesgo Eliminar la fuente es una concreción de la anterior y supone eliminar tareas o equipos concretos. No obstante, raramente se eliminan procesos o tareas sin ser sustituidos por otros de menor frecuencia e impacto. Dentro de las estrategias de minimización se consideran: Modificar la probabilidad y/o modificar las consecuencias Para modificar las probabilidades de ocurrencia las actividades de control son indispensables, y en un plano más actual el uso de modelos predictivos mediante técnicas de “Machine Learning” se hace indispensable. La mejor forma de actuar sobre un evento no deseado es conocer las causas de aquello que lo hace probable. Reducir la probabilidad implica actuar sobre las causas y para ello, además de tenerlas identificadas, es necesario tenerlas bien caracterizadas. Con las consecuencias sucede algo similar, aunque en este caso minimizar el impacto requiere de un estrecho conocimiento de la relación causa-efecto en términos de magnitud. EALDE Business School Página 11 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo Compartir el riesgo (por ejemplo: a través de contratos o compra de seguros) Compartir el riesgo implica diversificar el coste de las consecuencias y la forma más habitual de realizarlo es mediante contratos y compra de seguros. En este sentido cabe destacar que compartir implica un coste y, como tal, afecta a otras unidades de evaluación del riesgo. Es decir, no todo puede ser asegurado al 100% a un coste asumible. Todo ejercicio de diversificación tiene su coste y este debe ser evaluado y ponderado en su justa medida. Finalmente, dentro de las opciones de aceptación y retención se plantean: Aceptar o aumentar el riesgo en busca de una oportunidad y retener el riesgo en base a una decisión informada. Cuando la frecuencia y consecuencias de un riesgo pueden hacer desviar el resultado final del esperado, pero no llega a comprometer el objetivo, y además implementar cualquiera de las anteriores medidas de tratamiento puede suponer la introducción de más y peor riesgo, siempre que sea de forma informada, una muy buena opción es aceptarlo como inherente al sistema, controlarlo para que no se desvíe de los parámetros que a fecha del análisis lo caracterizan y, finalmente, aceptarlo o retenerlo. Vistas las diferentes opciones, es muy importante considerar que las seleccionadas sean de algún modo justificadas. Los criterios que se propone considerar según ISO 31000:2018 son, entre otras: • Que sea justificable en el campo económico • Que se analicen combinaciones de tratamientos y se determine cuál es la mejor • Que se consideren los valores, percepciones y potencial implicación de las partes interesadas y, en caso de que se les impacte, comunicar y consultar EALDE Business School Página 12 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo con esta dicha decisión. • Ser consciente de la introducción de consecuencias no intencionadas Y, una vez seleccionadas, el documento en el que se plasmarán todas las medidas (que podemos denominar informe de tratamiento, seguimiento y revisión) contendrá, al menos, los siguientes ítems: • Las razones para la selección y beneficios esperados • El dueño del riesgo, entendido como la persona asignada para rendir cuentas del plan y de las acciones individuales (Dueños del control). • La definición y descripción de las acciones propuestas, su tiempo y la manera en la que se integran en los procesos de gestión • La definición y descripción de los recursos requeridos, incluyendo los derivados de las eventuales contingencias. • La definición y descripción de las medidas de desempeño y constricciones asociadas a cada opción de tratamiento. • La definición y descripción de los tiempos y esquema • La identificación y caracterización de las consecuencias inesperadas (nuevos riesgos y modificación de los existentes) EALDE Business School Página 13 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo 5. Medidas de Seguimiento y Control En este capítulo debemos destacar que el seguimiento y control tiene un significado en ISO 31000:2018, a criterio del autor, algo restrictivo. Es decir, en su definición 3.8, la Norma establece: Control: medida que mantiene y/o modifica un riesgo Nota 1: Los controles incluyen, pero no se limitan a cualquier proceso, política, dispositivo, práctica, u otras condiciones y/o acciones que mantengan y/o modifiquen un riesgo. Nota 2: Los controles no siempre pueden producir el efecto de modificación previsto o asumido El control sí que persigue a corto, medio o largo plazo modificar los riesgos, pero su mera presencia no es siempre la que lo provoca. En ocasiones, los controles sirven para obtener información (datos) sobre un riesgo, lo que nos permite caracterizarlo con mayor precisión (por ejemplo, permitiéndonos obtener probabilidades de ocurrencia que antes no teníamos) pero que sin actuar sobre éste de forma directa. También es importante destacar que el control como tal, según ISO 31000:2018 y las definiciones de la Guía 73:2009, forma parte del seguimiento y la revisión. La Guía 73:2009, define estos dos términos como sigue: 3.8.2.1 seguimiento: verificación, supervisión, observación crítica o determinación del estado con objeto de identificar de una manera continua los cambios que se puedan producir en el nivel de desempeño requerido o previsto. NOTA: El seguimiento se puede aplicar a un marco de trabajo de la gestión del riesgo, a un proceso de gestión del riesgo, a un riesgo, o al control. 3.8.2.2 revisión: Actividad que se realiza para determinar la idoneidad, la adecuación y la eficacia del tema estudiado para conseguir los objetivos establecidos. NOTA: La revisión se puede aplicar a un marco de trabajo de la gestión del riesgo, a un proceso de gestión del riesgo, a un riesgo, o al control. Conocida entonces la definición que hace ISO 31000: 2018 del concepto de control, no muy clara a entender del autor, podemos atender a una visión un poco más práctica sobre este concepto basada, en este caso, en una normativa de Costa Rica sobre medidas de control interno, pero que también se puede interpretar de forma similar si cogemos otros modelos de control interno como COSO III. EALDE Business School Página 14 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo La Ley General de Control Interno de Costa Rica establece (en su artículo 2, inciso g), y define las actividades de control como: políticas y procedimientos que permiten obtener la seguridad de que se llevan a cabo las disposiciones emitidas por la CGR, por los jerarcas y los titulares subordinados para la consecución de los objetivos del sistema de control interno. Por otro lado, y en el mismo sentido, las Normas para el Control Interno en el sector público, también de este mismo país, establecen en el segundo párrafo del numeral 4.1 que: “[…] la gestión institucional y la operación del SCI (Sistema de Control Interno) deben contemplar, de acuerdo con los niveles de complejidad y riesgo involucrados, actividades de control de naturaleza previa, concomitante, posterior o una conjunción de ellas. Lo anterior, debe hacer posible la prevención, la detección y la corrección ante debilidades del SCI y respecto de los objetivos, así como ante indicios de la eventual materialización de un riesgo relevante”. Y el motivo por el que se muestra este párrafo es porque es la base del contenido de las siguientes clasificaciones que, a criterio del autor, son de mucha utilidad para entender la naturaleza de los diferentes tipos de control que debemos considerar en un proceso de gestión del riesgo. Así́, teniendo en cuenta el momento de su aplicación, las actividades de control serán: Previas: Que se realizan antes de que se lleve a cabo una actividad, proceso, transacción u operación. Concomitantes: Que se ejecutan durante el desarrollo de una actividad, proceso, transacción u operación. Posteriores: Que ocurren luego de que se ha concretado la actividad, proceso, transacción u operación con la cual se relacionan Y con base a su orientación se pueden distinguir: Preventivas: Que pretenden evitar que se den desviaciones de la actuación planeada o estipulada, así como paliar por anticipado las consecuencias de la eventual materialización de un riesgo. EALDE Business School Página 15 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo Detectivas: Orientadas a identificar eventuales desviaciones de la actuación planeada o estipulada, así como posibles cambios en los riesgos, que puedan traer consigo la necesidad de actuar de un modo determinado para corregir la situación. Preventivas y Detectivas a la vez: Que pretenden evitar que se den desviaciones de la actuación planeada o estipulada, así como paliar por anticipado las consecuencias de la eventual materialización de un riesgo, y a la vez identificar, en caso de que se presenten, tales desviaciones y cambios en los riesgos. A partir de estas definiciones tenemos claro qué puede entenderse por control y cuál es su utilidad. Ahora determinar qué tipo de control utilizar en cada caso dependerá de la naturaleza del proceso o riesgo tratado, habiendo tantos tipos de control como queramos imaginar. En este sentido es MUY IMPORTANTE destacar que la actividad de control es de enorme utilidad, pero, como toda actividad, está sujeta a costes de ejecución que pueden comprometer otros objetivos. Aunque prácticamente todo es controlable o parametrizable, no siempre tendremos los recursos para actuar, sobre todo. De esta manera, entender la relación coste/beneficio del control es igual de importante como entender la relación coste/beneficio del tratamiento. EALDE Business School Página 16 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo 6. Conceptos Básicos y Conclusiones Vamos a exponer las conclusiones y conceptos básicos en los siguientes 5 puntos: 1. Las etapas finales de cada ciclo de gestión del riesgo comprenden la valoración, el tratamiento y el seguimiento y control. 2. La valoración de un riesgo es el ejercicio de comparar su nivel con sus criterios. 3. Los mapas de calor son una buena herramienta de valoración, pero ojo: debemos ser conscientes de cuándo incorpora el concepto de apetito y cuándo no. 4. Definir qué tipo de tratamiento asignar a cada riesgo está condicionado por la relación coste/beneficio, pero no debería ser ni limitante ni excluyente. 5. El control sirve para actuar sobre el riesgo, pero también sirve para conocerlo mejor. EALDE Business School Página 17 Valoración, Tratamiento, Seguimiento y Revisión del Riesgo 7. Bibliografía Para esta clase, aparte de toda la bibliografía ya mencionada en clases anteriores, se recomienda: • Control interno y sistema de gestión de calidad. Guía para su implementación en empresas públicas y privadas 2ª edición. Ebook. Isaza serrano, Alejandro Tadeo • Gobierno Corporativo, Control de Riesgos y Auditoría Interna. Álvaro Arjona Canas; María del Pilar Yubero Hermos. Editorial Tirant Lo Blanch EALDE Business School Página 18