¿Qué fue primero el huevo o la gallina?

Jesús Aisa Díez.

Permítanme enunciar esta metáfora, y en base a ella abrir un pequeño debate sobre la secuencia de las hojas de ruta a considerar para la implementación de los Sistemas de Gestión de Riesgos, que espero pueda ser de utilidad para aquellas organizaciones que estén iniciando la puesta en marcha de este tipo de proyectos, con los que conseguir: (i) la identificación de los eventos potenciales que pudieran afectar a los objetivos de la organización y (ii) administrar los riesgos dentro de su apetito, al objeto de proveer una seguridad razonable respecto del logro de las metas establecidas por la institución".

Es muy probable que, siguiendo la secuencia que se recoge en el denominado familiarmente COSO II, que es uno de los protocolos mayoritariamente tomado como referencia para implementar este tipo de procesos, los pasos a realizar se enumeren según la cronología de las actividades del propio Marco. Es decir:

1º) Identificación de los objetivos empresariales.

2º) Determinación de los eventos con incidencia en dichos objetivos.

3º) Evaluación de riesgos.

4º) Confección del mapa de riesgos.

5º) Concreción de los apetitos al riesgo coherentes con los objetivos.

6ª) Decidir las respuestas a los riesgos fuera de la zona de tolerancia.

7º) Implementación de las medidas de control.

8º) Supervisión de los resultados.

De donde podríamos concluir que en la implantación de un Sistema de Gestión de Riesgos Empresariales (ERM por sus siglas en inglés), primero determinaremos los riesgos inherentes relevantes con incidencia en los objetivos empresariales y, una vez conocidos estos, pasaríamos a valorar el nivel de los riesgos residuales existentes en los procesos donde estos se manifiesten. Es decir, conocidos los riesgos, pasamos a interrelacionarlos con los procesos. Tal y como se refleja en forma gráfica en el siguiente esquema:

Pero de aplicar esta secuencia, que es perfectamente factible y válida, en mi opinión no estaríamos consiguiendo la necesaria eficiencia del procedimiento utilizado, puesto que, de los riesgos identificados, pasaríamos a buscar aquellos procesos en los que dichos riesgos se pudieran materializar, de los cuales, al poder ser múltiples, habrá que ordenar por su importancia a fin de aparcar aquellos procesos que no tuvieran una repercusión significativa o trascendente en la consecución de los objetivos que se pretendan garantizar.

Otra forma de actuar, y que nos gustaría sugerir, pues vemos en ella algunas ventajas sobre la anterior, es que, partiendo de los objetivos a conseguir, procedamos primero a la identificación y jerarquización de los procesos que estén más vinculados con las metas de la empresa (para ello podríamos emplear técnicas tipo workshop en la que participen los distintos responsables gerenciales opinando sobre todos los procesos de la organización), que si bien debemos reconocer es un método subjetivo de actuación, también lo es suficientemente razonado.

Esta forma alternativa de actuar nos permitirá adicionalmente fijar desde un primer momento nuestra atención solo en aquel número de procesos que estemos en condiciones de atender en base a nuestra limitada capacidad de gestión; siendo recomendable que iniciemos la implementación de estos Sistemas de Gestión con no más de 10 ó 15 procesos, eso sí los más relevantes. Ampliando posteriormente su número según vayamos adquiriendo experiencia y mayores habilidades en el gestión de los riesgos.

Empezar por conocer los procesos y vincular estos con los riesgos que los amenacen, en vez de hacerlo en forma contraria, entendemos que es la más oportuna, ya que, como sabemos, la importancia de los riesgos se mide a través de dos atributos: impacto y probabilidad, lo que no puede hacerse en forma abstracta, dado que precisa que concretemos en qué fase o actividad de la organización nos estamos refiriendo. Permítaseme poner un sencillo ejemplo:

Un riesgo inherente que resultará habitual en las empresas es el “Fraude”, bien interno o externo, pero su cuantificación, tanto del impacto, como de la probabilidad de ocurrencia, requiere que podamos centrarnos en el proceso en que éste pueda presentarse. No tendrá la misma la importancia este riesgo si nos referimos a la Gestión de tesorería, que si lo hacemos al de Aprovisionamiento de bienes y servicios, o al de Nóminas, pues aunque en los tres exista este riesgo, su importancia será diferente, dependiendo ello de múltiples circunstancias, que serán las que habrá que valorar. Por ello reiteramos que entendemos más oportuno actuar de la forma que recoge el siguiente esquema:

Por lo anterior, creo que ya podemos dar respuesta a la metáfora del comienzo de estas líneas. Desde mi perspectiva no hay dudas, LOS PROCESOS.

                       

Complementariamente a lo anterior, veamos qué nos puede suceder cuando intentemos elaborar el mapa de riesgos de la organización. Cuando representemos el mapa de calor de los riesgos inherentes, no debieran existir demasiadas dificultades para que sea consolidado, es decir contemplando la organización en su conjunto, reflejando en él la posición de las distintas amenazas según su importancia teórica en la operativa global de la empresa; sin embargo, cuando pasemos a la elaboración del mapa de riesgos residuales, aquí ya deberíamos ser más precisos y referirnos individualmente a los procesos en que cada riesgo se puede materializar, valorando los controles aplicados en ellos, y deduciendo así su posible impacto y probabilidad, lo que nos obligará a situar en el mapa el riesgo estimado que exista sobre cada uno de estos procesos, es decir, siguiendo con el ejemplo del riesgo de FRAUDE citado anteriormente, en el mapa aparecería tres posiciones para el riesgo de FRAUDE residual, según nos estemos refiriendo al proceso de Nóminas, al de Tesorería o al de Aprovisionamiento de bienes y servicios.

De compartir este planteamiento, el mapa de riesgos residuales debe entenderse vinculado con los procesos en los que se manifiesten, puesto que su valoración dependerá del grado de control que en cada caso estemos ya aplicando. Por ello, la relación entre riesgo inherente y residuales no será unívoca, ya que los elementos origen tendrán dos o más imágenes, por lo que esquemas como el que se refleja en el siguiente figura, son más bien didácticos.

En resumen, la implantación eficiente de un Sistema de Gestión de Riesgos aconseja que empecemos por identificar los procesos más significativos de la organización, para de ahí pasar a averiguar cuáles son las amenazas que pueden afectarlos, y conocidas estas, valorar el impacto y la probabilidad de ocurrencia que entendamos se podría producir dada la situación de los controles ya existentes en cada uno de esos procesos; comparando su “situación” en el “mapa de riesgos” con la hayamos previamente establecido como apetito al riego.

Por último aclaremos el entrecomillado de “situación” y “mapa de riesgo” del párrafo anterior, ya que con ello lo que queremos señalar que el mapa de riesgos es una expresión conceptual plenamente válida, pero que desde la perspectiva operativa, su existencia y elaboración, como tal gráfico, es dudosa, pasando a ser sustituido por fichas como la que a continuación reproducimos, las cuales permitirán reflejar para cada proceso seleccionado, los riesgos que les afectan, y su evolución después de aplicar las medidas correctoras que se entiendan pertinentes.

Jesús Aisa Díez. Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.

¿Te ha gustado el post? ¡Dejamos saber tu opinión a través de un comentario!