Subido por aimacedom

Valoracion tratamiento seguimiento y revisió del riesgo

Anuncio
Valoración, Tratamiento,
Seguimiento y Revisión del Riesgo
EALDE Business School
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
Índice
1. Valoración, Tratamiento, Seguimiento y Revisión Del Riesgo ......................... 2
Objetivos de la Clase .......................................................................................... 2
Conocimientos Previos ....................................................................................... 2
Abstract ............................................................................................................... 2
2. Introducción ..................................................................................................... 3
3. Valoración del Riesgo. Mapas de Calor y Dictámenes .................................... 4
4. Tratamiento del Riesgo. El Proceso de Decisión ........................................... 10
5. Medidas de Seguimiento y Control ................................................................ 14
6. Conceptos Básicos y Conclusiones ............................................................... 17
7. Bibliografía ..................................................................................................... 18
EALDE Business School
Página 1
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
1. Valoración, Tratamiento, Seguimiento y Revisión Del
Riesgo
Objetivos de la Clase
El objetivo de esta clase es conocer y comprender las fases finales de cada
iteración en la gestión del riesgo. Es decir, una vez establecido el contexto, fijados
los criterios, determinados el apetito y la tolerancia, y realizadas las etapas del
proceso correspondientes a la identificación y análisis, ya solo quedan los trabajos
de valoración, tratamiento, seguimiento y control.
Conocimientos Previos
Para realizar esta clase es imprescindible que se hayan completado
satisfactoriamente la clase sobre ISO 31000:2018, la clase relativa al apetito,
tolerancia y capacidad y, por último, la clase de clasificación de riesgos.
Abstract
Todos los trabajos definidos en las clases anteriores se realizan en base a un fin.
Actuar sobre los riesgos para reducir su frecuencia y mitigar sus consecuencias en
caso de eventos con consecuencias negativas y para potenciar la frecuencia y
obtener un mayor impacto, en el caso de las oportunidades.
Pues bien, esta clase trata de cómo proceder para actuar sobre los riesgos. En
primer lugar, comparando su nivel con los criterios, en segundo lugar, actuando con
medidas de tratamiento sobre los que se haya considerado necesario actuar, y, en
tercer lugar, estableciendo procesos de seguimiento y revisión.
EALDE Business School
Página 2
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
2. Introducción
En la clase anterior realizamos la matriz de riesgos en la que, para cada unidad de
riesgo, fueron identificados eventos y asignadas probabilidades de ocurrencia y
consecuencias.
En este punto vuelve a ser importante entender que en estas clases estamos
definiendo el esquema de trabajo, y que en las clases del siguiente curso se tratarán
los pormenores de cada etapa. En concreto:
 Las unidades de riesgo y los mapas de procesos.
 Los eventos. Probabilidad y consecuencias
 Las técnicas de identificación, análisis y valoración del riesgo
 El concepto de modelo de madurez. Auditoría y asesoramiento externo
Por tanto, con las clases de este curso lo que se prioriza es saber qué pasos seguir
para llegar a lo que necesitamos, por encima de saber qué se debe hacer y cómo
se debe actuar en cada paso (que será, como hemos visto, objeto de las siguientes
cuatro clases)
Dicho esto, podemos visualizar lo que se ha venido trabajando hasta esta clase, y
lo que trabajaremos en las siguientes, a través de la siguiente figura:
EALDE Business School
Página 3
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
En líneas generales podemos decir que el curso Conceptos generales de la gestión
del riesgo hace más referencia al “de qué va esto” y el curso Proceso de evaluación
del riesgo al “cómo hago esto”.
Pues bien, una vez centrado el tema, en esta clase vamos a trabajar los
conceptos de valoración y tratamiento.
Vamos a entender por valoración el ejercicio de comparación de los niveles con
los criterios (Clase 1, curso Conceptos Generales de la Gestión del Riesgo) y por
tratamiento, lo que decidimos hacer con los riesgos cuyos niveles, en base a
nuestros criterios, obliguen a ser considerados.
EALDE Business School
Página 4
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
3. Valoración del Riesgo. Mapas de Calor y Dictámenes
La valoración del riesgo es considerada un ejercicio de comparación. Un trabajo en
el que se compara el valor obtenido en el análisis con los valores considerados en
la determinación de los criterios de riesgo.
Efectivamente, una mala definición de criterios o un mal proceso de análisis lleva
indefectiblemente a que el proceso de valoración pierda utilidad.
A su vez, esta comparación debe permitir tomar decisiones previamente
parametrizadas, es decir, condiciona el tipo de actuación a emprender la relación
entre criterios de riesgo y resultados del análisis.
Y aquí entra el concepto de dictamen. Un concepto que la norma no trata
explícitamente, pero que en la práctica resulta de mucha utilidad.
Un dictamen es una frase que nos indica a qué tipo de riesgo nos enfrentamos en
términos de decisión.
Los diferentes niveles o categorías de dictamen también los fijamos nosotros y
tienen, de forma clara, una estrecha relación con los conceptos de apetito,
tolerancia y capacidad.
Si, por ejemplo, hemos fijado un apetito al riesgo muy bajo, es decir, que los niveles
de tolerancia inferior y superior están muy cercanos, entonces la mayoría de riesgos
quedarán etiquetados con algún dictamen del tipo “crítico”, “intolerable”,
“inasumible”, …
Y como ya hemos comentado en clases anteriores, la gestión de riesgos, al margen
de una cuestión de creencias y preferencias, es un ejercicio de gestión de recursos.
Debemos ser MUY CONSCIENTES de que los recursos son limitados, y de que
EALDE Business School
Página 5
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
cualquier ejercicio encaminado a tomar decisiones debe estar asentado en esta
premisa.
Si tengo una extremada aversión al riesgo, y considero un apetito muy bajo, me
veré obligado a actuar sobre todo riesgo identificado y, en la mayoría de los casos,
no habrá recursos suficientes para mitigar, transferir, minimizar o eliminarlos todos.
En opinión del autor de esta nota técnica, el verdadero valor de un buen gestor de
riesgos se aporta en el momento en el que sabe comprender los contextos internos
y externos, y fija los criterios de riesgo en consonancia con estos.
Como vimos en clases anteriores, un riesgo se caracteriza estimando su
probabilidad de ocurrencia y la magnitud de sus consecuencias. De momento nos
vamos a quedar con la valoración cualitativa de ambos parámetros, es decir, de
momento vamos a considerar que ambos se “evalúan” en términos de MUY
ALTA/ALTA/MEDIA/BAJA/MUY BAJA.
Con estos dos parámetros podemos construir una matriz de 5x5 con la que
obtendremos 25 combinaciones de probabilidad x consecuencias.
PROBABILIDAD
Fijémonos en la siguiente figura:
MUY ALTA
ALTA
MEDIA
BAJA
MUY BAJA
MUY BAJA
BAJA
MEDIA
ALTA
CONSECUENCIAS
MUY ALTA
Obtenemos 25 casillas que hemos decidido colorear de esta manera, de forma
que posteriormente podamos hacer dos cosas:
EALDE Business School
Página 6
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
1. Posicionar cada riesgo dentro de esta matriz, en función de sus valores
de probabilidad y consecuencia determinados en el análisis.
2. Obtener un dictamen de cómo clasificarlos una vez ubicados. Es decir,
dependiendo del color en el que caiga el riesgo en cuestión, en base a la
clasificación que utilicemos, quedará englobado en uno u otro grupo.
Podemos haber definido una clasificación como la que sigue:
IMPORTANTE: Ni los colores, ni las etiquetas de probabilidad y consecuencias, ni
los dictámenes tienen un formato tipo y estándar. De hecho, uno de los grandes
errores, que a mi entender se cometen, es no pensar en un mapa de calor
personalizado y acorde a las necesidades y contextos de cada organización.
PROBABILIDAD
PROBABILIDAD
Veamos el siguiente ejemplo y comparemos las siguientes dos matrices:
MUY ALTA
ALTA
MEDIA
BAJA
MUY BAJA
MUY BAJA
BAJA
MEDIA
ALTA
CONSECUENCIAS
MUY ALTA
MUY BAJA
BAJA
MEDIA
ALTA
CONSECUENCIAS
MUY ALTA
MUY ALTA
ALTA
MEDIA
BAJA
MUY BAJA
EALDE Business School
Página 7
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
Si nos fijamos, entre el primer mapa de riesgo y el segundo hay una gran diferencia.
El segundo tiene muchas más casillas verdes y solo una roja. Si atendemos a los
dictámenes vemos fácilmente que la mayoría de los riesgos que se analicen serán
despreciables.
¿Y de qué podrían depender esas diferencias? Pues precisamente de los
conceptos que ya hemos estudiado: apetito, tolerancia y capacidad; es decir, el
segundo mapa de calor corresponde a una unidad de riesgo con mucho más apetito
al riesgo que la primera.
Este es el motivo por el que se insiste en esta nota que no es bueno estandarizar
matrices, mapas, dictámenes y decisiones. Cada organización y, de hecho, cada
unidad de riesgos tiene un apetito diferente.
Veamos en la siguiente página una recopilación de mapas de calor y matrices
seleccionadas de diferentes estudios y trabajos, relativos a diferentes tipos de
riesgos.
EALDE Business School
Página 8
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
Es fácil observar que casi todos los mapas de calor tienen prácticamente la misma
simetría. Podríamos inferir que todos los mapas de calor han sido elaborados bajo
el presupuesto de un apetito al riesgo “neutro” y simétrico, tanto para los riesgos
como para las oportunidades.
Es destacable la primera figura (arriba a la izquierda) en el sentido de que presenta
las líneas punteadas correspondientes a los niveles de tolerancia. Este modelo, a
entender del autor de esta nota, es más útil y fiel a las directrices de la norma que
los basados en matrices “cuadradas”.
EALDE Business School
Página 9
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
4. Tratamiento del Riesgo. El Proceso de Decisión
Como ya hemos visto, una vez analizados los riesgos, obteniendo su nivel al
compararlo con los criterios, tendremos un dictamen.
Este dictamen nos ofrece un primer nivel de decisión. Un nivel de decisión del tipo:
•
ACTUAR
•
ACTUAR Y VIGILAR
•
SOLO VIGILAR
•
IGNORAR
Ahora pasamos al siguiente nivel en el que consideraremos:
1. Para el caso de ACTUAR
Definir tratamiento
2. Para las opciones de VIGILAR
Definir monitorización y control
Dedicaremos este capítulo a las opciones de tratamiento, y el siguiente a la
monitorización y control.
ISO 31000:2018, en su punto 6.5.2, considera las siguientes opciones de
tratamiento del riesgo:
•
evitar el riesgo decidiendo no iniciar o continuar con la actividad que
genera el riesgo;
•
aceptar o aumentar el riesgo en busca de una oportunidad;
•
eliminar la fuente de riesgo;
•
modificar la probabilidad;
•
modificar las consecuencias;
•
compartir el riesgo (por ejemplo: a través de contratos o compra de
seguros);
•
retener el riesgo con base en una decisión informada.
EALDE Business School
Página 10
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
Destacando que son opciones NO necesariamente excluyentes.
En general, podemos determinar que todas las opciones de tratamiento planteadas
por la norma pueden incluirse en alguno de los siguientes tres grupos:
•
Evitación
•
Minimización
•
Aceptación, retención o asunción de más riesgo
Dentro de las estrategias de evitación, la norma plantea:
Evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo.
Un riesgo puede evitarse eliminando las condiciones que hacen viable la
materialización de una fuente de riesgo.
Eliminar la fuente de riesgo
Eliminar la fuente es una concreción de la anterior y supone eliminar tareas o
equipos concretos. No obstante, raramente se eliminan procesos o tareas sin ser
sustituidos por otros de menor frecuencia e impacto.
Dentro de las estrategias de minimización se consideran:
Modificar la probabilidad y/o modificar las consecuencias
Para modificar las probabilidades de ocurrencia las actividades de control son
indispensables, y en un plano más actual el uso de modelos predictivos mediante
técnicas de “Machine Learning” se hace indispensable. La mejor forma de actuar
sobre un evento no deseado es conocer las causas de aquello que lo hace
probable.
Reducir la probabilidad implica actuar sobre las causas y para ello, además de
tenerlas identificadas, es necesario tenerlas bien caracterizadas.
Con las consecuencias sucede algo similar, aunque en este caso minimizar el
impacto requiere de un estrecho conocimiento de la relación causa-efecto en
términos de magnitud.
EALDE Business School
Página 11
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
Compartir el riesgo (por ejemplo: a través de contratos o compra de seguros)
Compartir el riesgo implica diversificar el coste de las consecuencias y la forma más
habitual de realizarlo es mediante contratos y compra de seguros.
En este sentido cabe destacar que compartir implica un coste y, como tal, afecta a
otras unidades de evaluación del riesgo. Es decir, no todo puede ser asegurado al
100% a un coste asumible. Todo ejercicio de diversificación tiene su coste y este
debe ser evaluado y ponderado en su justa medida.
Finalmente, dentro de las opciones de aceptación y retención se plantean:
Aceptar o aumentar el riesgo en busca de una oportunidad y retener el riesgo en base a
una decisión informada.
Cuando la frecuencia y consecuencias de un riesgo pueden hacer desviar el
resultado final del esperado, pero no llega a comprometer el objetivo, y además
implementar cualquiera de las anteriores medidas de tratamiento puede suponer la
introducción de más y peor riesgo, siempre que sea de forma informada, una muy
buena opción es aceptarlo como inherente al sistema, controlarlo para que no se
desvíe de los parámetros que a fecha del análisis lo caracterizan y, finalmente,
aceptarlo o retenerlo.
Vistas las diferentes opciones, es muy importante considerar que las seleccionadas
sean de algún modo justificadas.
Los criterios que se propone considerar según ISO 31000:2018 son, entre otras:
•
Que sea justificable en el campo económico
•
Que se analicen combinaciones de tratamientos y se determine cuál es la
mejor
•
Que se consideren los valores, percepciones y potencial implicación de las
partes interesadas y, en caso de que se les impacte, comunicar y consultar
EALDE Business School
Página 12
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
con esta dicha decisión.
•
Ser consciente de la introducción de consecuencias no intencionadas
Y, una vez seleccionadas, el documento en el que se plasmarán todas las medidas
(que podemos denominar informe de tratamiento, seguimiento y revisión)
contendrá, al menos, los siguientes ítems:
•
Las razones para la selección y beneficios esperados
•
El dueño del riesgo, entendido como la persona asignada para rendir
cuentas del plan y de las acciones individuales (Dueños del control).
•
La definición y descripción de las acciones propuestas, su tiempo y la manera
en la que se integran en los procesos de gestión
•
La definición y descripción de los recursos requeridos, incluyendo los
derivados de las eventuales contingencias.
•
La definición y descripción de las medidas de desempeño y constricciones
asociadas a cada opción de tratamiento.
•
La definición y descripción de los tiempos y esquema
•
La identificación y caracterización de las consecuencias inesperadas
(nuevos riesgos y modificación de los existentes)
EALDE Business School
Página 13
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
5. Medidas de Seguimiento y Control
En este capítulo debemos destacar que el seguimiento y control tiene un
significado en ISO 31000:2018, a criterio del autor, algo restrictivo. Es decir, en
su definición 3.8, la Norma establece:
Control: medida que mantiene y/o modifica un riesgo
Nota 1: Los controles incluyen, pero no se limitan a cualquier proceso, política, dispositivo,
práctica, u otras condiciones y/o acciones que mantengan y/o modifiquen un riesgo.
Nota 2: Los controles no siempre pueden producir el efecto de modificación previsto o asumido
El control sí que persigue a corto, medio o largo plazo modificar los riesgos, pero
su mera presencia no es siempre la que lo provoca.
En ocasiones, los controles sirven para obtener información (datos) sobre un
riesgo, lo que nos permite caracterizarlo con mayor precisión (por ejemplo,
permitiéndonos obtener probabilidades de ocurrencia que antes no teníamos) pero
que sin actuar sobre éste de forma directa.
También es importante destacar que el control como tal, según ISO 31000:2018 y
las definiciones de la Guía 73:2009, forma parte del seguimiento y la revisión.
La Guía 73:2009, define estos dos términos como sigue:
3.8.2.1 seguimiento: verificación, supervisión, observación crítica o determinación del estado
con objeto de identificar de una manera continua los cambios que se puedan producir en el nivel
de desempeño requerido o previsto.
NOTA: El seguimiento se puede aplicar a un marco de trabajo de la gestión del riesgo, a un
proceso de gestión del riesgo, a un riesgo, o al control.
3.8.2.2 revisión: Actividad que se realiza para determinar la idoneidad, la adecuación y la
eficacia del tema estudiado para conseguir los objetivos establecidos.
NOTA: La revisión se puede aplicar a un marco de trabajo de la gestión del riesgo, a un proceso
de gestión del riesgo, a un riesgo, o al control.
Conocida entonces la definición que hace ISO 31000: 2018 del concepto de control,
no muy clara a entender del autor, podemos atender a una visión un poco más
práctica sobre este concepto basada, en este caso, en una normativa de Costa
Rica sobre medidas de control interno, pero que también se puede interpretar de
forma similar si cogemos otros modelos de control interno como COSO III.
EALDE Business School
Página 14
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
La Ley General de Control Interno de Costa Rica establece (en su artículo 2, inciso
g), y define las actividades de control como:
políticas y procedimientos que permiten obtener la seguridad de que se llevan a
cabo las disposiciones emitidas por la CGR, por los jerarcas y los titulares
subordinados para la consecución de los objetivos del sistema de control interno.
Por otro lado, y en el mismo sentido, las Normas para el Control Interno en el sector
público, también de este mismo país, establecen en el segundo párrafo del numeral
4.1 que:
“[…] la gestión institucional y la operación del SCI (Sistema de Control Interno)
deben contemplar, de acuerdo con los niveles de complejidad y riesgo
involucrados, actividades de control de naturaleza previa, concomitante, posterior
o una conjunción de ellas. Lo anterior, debe hacer posible la prevención, la
detección y la corrección ante debilidades del SCI y respecto de los objetivos, así
como ante indicios de la eventual materialización de un riesgo relevante”.
Y el motivo por el que se muestra este párrafo es porque es la base del contenido
de las siguientes clasificaciones que, a criterio del autor, son de mucha utilidad para
entender la naturaleza de los diferentes tipos de control que debemos considerar
en un proceso de gestión del riesgo.
Así́, teniendo en cuenta el momento de su aplicación, las actividades de control
serán:
Previas: Que se realizan antes de que se lleve a cabo una actividad, proceso, transacción u
operación.
Concomitantes: Que se ejecutan durante el desarrollo de una actividad, proceso, transacción
u operación.
Posteriores: Que ocurren luego de que se ha concretado la actividad, proceso, transacción u
operación con la cual se relacionan
Y con base a su orientación se pueden distinguir:
Preventivas: Que pretenden evitar que se den desviaciones de la actuación planeada o
estipulada, así como paliar por anticipado las consecuencias de la eventual materialización de
un riesgo.
EALDE Business School
Página 15
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
Detectivas: Orientadas a identificar eventuales desviaciones de la actuación planeada o
estipulada, así como posibles cambios en los riesgos, que puedan traer consigo la necesidad de
actuar de un modo determinado para corregir la situación.
Preventivas y Detectivas a la vez: Que pretenden evitar que se den desviaciones de la
actuación planeada o estipulada, así como paliar por anticipado las consecuencias de la eventual
materialización de un riesgo, y a la vez identificar, en caso de que se presenten, tales
desviaciones y cambios en los riesgos.
A partir de estas definiciones tenemos claro qué puede entenderse por control y
cuál es su utilidad. Ahora determinar qué tipo de control utilizar en cada caso
dependerá de la naturaleza del proceso o riesgo tratado, habiendo tantos tipos de
control como queramos imaginar.
En este sentido es MUY IMPORTANTE destacar que la actividad de control es de
enorme utilidad, pero, como toda actividad, está sujeta a costes de ejecución que
pueden comprometer otros objetivos.
Aunque prácticamente todo es controlable o parametrizable, no siempre tendremos
los recursos para actuar, sobre todo. De esta manera, entender la relación
coste/beneficio del control es igual de importante como entender la relación
coste/beneficio del tratamiento.
EALDE Business School
Página 16
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
6. Conceptos Básicos y Conclusiones
Vamos a exponer las conclusiones y conceptos básicos en los siguientes 5 puntos:
1. Las etapas finales de cada ciclo de gestión del riesgo comprenden la
valoración, el tratamiento y el seguimiento y control.
2. La valoración de un riesgo es el ejercicio de comparar su nivel con sus
criterios.
3. Los mapas de calor son una buena herramienta de valoración, pero ojo:
debemos ser conscientes de cuándo incorpora el concepto de apetito y
cuándo no.
4. Definir qué tipo de tratamiento asignar a cada riesgo está condicionado por
la relación coste/beneficio, pero no debería ser ni limitante ni excluyente.
5. El control sirve para actuar sobre el riesgo, pero también sirve para
conocerlo mejor.
EALDE Business School
Página 17
Valoración, Tratamiento, Seguimiento y
Revisión del Riesgo
7. Bibliografía
Para esta clase, aparte de toda la bibliografía ya mencionada en clases anteriores,
se recomienda:
•
Control interno y sistema de gestión de calidad. Guía para su
implementación en empresas públicas y privadas 2ª edición. Ebook. Isaza
serrano, Alejandro Tadeo
•
Gobierno Corporativo, Control de Riesgos y Auditoría Interna. Álvaro
Arjona Canas; María del Pilar Yubero Hermos. Editorial Tirant Lo Blanch
EALDE Business School
Página 18
Descargar