Hace muchos años, allá por los años 70 del siglo pasado, cuando empecé a trabajar en estos temas de auditoría, mi primer jefe, del que, como de todos los que después he tenido, aprendí mucho, en algunas ocasiones me corregía lo que le presentaba, señalándome lo que aparece en el título de este artículo, pero sin interrogantes, ya que era una expresión plenamente afirmativa, pues él estaba convencido de que: rizar el rizo puede ser contraproducente.
Desde entonces
siempre he pretendido tenerlo presente, pues creo que es algo importante que
debemos considerar en nuestras actividades, donde las recomendaciones sobre las
oportunidades de mejora a introducir en los procesos, es algo que está asociado
con nuestro trabajo.
He
recordado esta expresión, dado que, entre los nuevos cambios que se han
producido en COSO I, están los correspondientes a los nuevos atributos a
considerar a la hora de ponderar los riesgos; que siendo hasta ahora dos los
atributos que se debían estimar, el impacto y la probabilidad. A partir de
ahora, y dada la interrelación que existe entre COSO I y COSO II, los cambios
introducidos en el Marco sobre Control Interno, el denominado I, repercutirán
en el II, el correspondiente a la Gestión Empresarial de Riesgos.
Motivo
por el que los mapas de riesgos deberán ser, como ya hemos comentado
anteriormente en estas mismas páginas, a cuatro dimensiones, ya que a los dos
habituales ya citados (impacto y probabilidad) habrá que incorporar los correspondientes
a la velocidad a la que impacta el riesgo en la organización una
vez este se ha materializado, es decir, el ritmo con el que se espera que la
entidad experimente el impacto; así como también la persistencia del riesgo,
o sea la duración del impacto después de que el riesgo se haya desencadenado.
Aparte de
las dificultades de representación que ello conllevará, pues a más de tres
dimensiones no estamos acostumbrados a hacer representaciones, creo que,
además, lo que se nos propone amerita una reflexión.
Hasta
ahora, los dos atributos, el impacto y la probabilidad, eran los dos
aspectos que debían ser debidamente administrados para controlar los riesgos.
En el primer caso reduciendo las consecuencias de los daños que se podrían
materializar si se producía la amenaza, a través de determinadas medidas
(los controles), como por ejemplo: el mantener menos efectivo en la caja por si
nos atracaban, suscribiendo pólizas de seguros con los que paliar el
perjuicio que nos produciría tener un accidente con el coche, etcétera,
etcétera.
En el
ámbito de la probabilidad de ocurrencia también estamos acostumbrados a
identificar medidas con las que reducirla. Cruzar la calle cuando el semáforo
está abierto para los viandantes, no hacer ostentación cuando circulamos por
zonas conflictivas, vacunándonos para evitar enfermedades, y así miles de
ejemplos.
Es decir,
estos dos atributos de los riesgos son los elementos sobre los que estamos
habituados a actuar, aplicando los controles que estimemos necesarios, para
reducir su agresividad, bien disminuyendo su impacto y/o probabilidad de
ocurrencia.
Con los
cambios el problema de gestionar los riesgos se amplía, puesto que si los
controles son las medidas con las que influimos en sus componentes, tendremos
que pensar que controles implementaremos para administrar el componente
velocidad de ocurrencia y el de persistencia. Personalmente no lo veo fácil.
En lo que
se refiere a la velocidad de ocurrencia, supongamos que viajamos en un avión,
está claro que el impacto es importante, nuestra vida; la probabilidad de
ocurrencia también está claramente definida, dependerá de las labores de
mantenimiento que se hayan aplicado, así como de la pericia de la tripulación y
de las condiciones atmosféricas en las que realizar el viaje, entre otras. Pero
todas ellas controlables.
Pero
tengo una duda, ¿qué controles estarían en nuestras manos establecer para
administrar/gestionar/ disminuir la velocidad de ocurrencia del accidente
aviación al que nos hemos referido?. Lo mismo podemos señalar con el nuevo
atributo de la persistencia del efecto perjudicial. Pongamos un ejemplo: Si se
desencadena una pandemia, lo que podemos hacer es tomar medidas para evitar sus
repercusiones, es decir reducir el impacto, así como reducir las probabilidades,
pero si esta estalla, ahí la tenemos, y durará lo que tenga que durar. En
España tenemos como bien sabemos una gran crisis, cómo luchamos para reducir su
permanencia. La respuesta sería: Estamos en ello, como
diría un antiguo presidente del gobierno, pero sin ninguna concreción, como de
hecho sucede.
En mi
opinión, la velocidad de ocurrencia y la persistencia son dos características
de los riesgos, que lo que definen es la variedad del riesgo al que nos
enfrentamos, y que deben ser tenidos en consideración a la hora de definir los
tipos de controles que debemos aplicar, lo mismo que ya hacemos cuando
analizamos un riesgo y este se evidencia en proceso desarrollado en un
ámbito terrestre o marítimo,………..
Me
explico, si estamos analizando los controles que podemos aplicar ante un caso
de incendio en unas instalaciones, deberíamos considerar su ubicación,
observando si el parque de bomberos está próximo o no, pues de ello dependerán
las medidas que apliquemos: Solo extintores y a esperar, o nos proveemos de
unas medidas propias que nos permitan actuar de forma adecuada hasta que
lleguen los profesionales, incorporando una pequeña dotación de bomberos
propios.
De la
misma manera, si lo que nos tememos es una crisis económica, lo que habrá que
hacer es tomar medidas para que ésta no se pueda presentar (probabilidad) o
minimizando su impacto, adoptando las medidas para sustituir el
consumos/inversión privada por la pública, tal como nos enseñó Keynes, hace ya
muchos años, y que algunos han olvidado.
En
resumen, los nuevos atributos incorporados en el COSO I, son dos
características que no negamos que debamos tenerse en consideración, pero para
decidir el tipo de controles que deberíamos aplicar, al igual que hacemos con
otras muchas características: ámbito de desarrollo, posibilidades de
propagación, infraestructuras afectadas, etc., pero que no creo afecten a la
importancia de los riesgos.
Llegado a
este punto no quisiera terminar sin comentar una anécdota vivida hace unos
cuantos años, exactamente 14; que espero se entienda el sentido con el que la
comento.
Los que
son de mi generación recordarán que llegando al fin del siglo pasado, hubo una
gran pregunta trasladada a las empresas: ¿Están Vdes. preparados para abordar
con sus sistemas informáticos al cambio de milenio?. La respuesta era. ¿Qué me
dice Vd.?
Se nos
comentó que los ordenadores sabían contar hasta 1999, es decir: 1995, 1996,
1997, 1998 y 1999. Pero ¿sabrían continuar con el 2000, 2001,…?, y así
sucesivamente. Bueno, pues manos a la obra, todas la organizaciones a
revisar los sofwares de sus aplicaciones. En resumen un coste adicional.
Bueno
hasta aquí normal. Pero realizadas las verificaciones aconsejadas y hechos los
cambios recomendados, hubo, al menos en mi empresa, una pregunta posterior.
¿Tienen Vdes. diseñado el plan de contingencias?, Respuesta fué: ¿Qué?.
Aclaración:
“No, mire Vd. como no estamos muy seguros de que lo que hemos hecho (y cobrado)
surta el efecto buscado, se hace necesario que tengan Vds. un plan de
emergencias por si acaso lo hecho no funciona”. Conclusión, nuevo proyecto y
más gastos.
Con esto
creo que estamos dando respuesta a la pregunta con la que encabezábamos estas
líneas. ¿Es lo mejor, enemigo de lo bueno?. Pues creo sinceramente que sí.
Conclusión:
consolidemos nuestros Sistemas de Gestión de Riesgos en la forma tradicional, y
dejemos las mejoras para cuando sea procedente.
Artículo Publicado en el Blog:
Auditoría Interna del Siglo XXI
http://auditoriainternasiglo21.blogspot.com.es/
Jesús Aisa Díez Ex-Subdirector
General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos
de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.
¿Te ha
gustado el post? ¡Compártelo con otro auditor interno!
No hay comentarios:
Publicar un comentario