miércoles, 4 de septiembre de 2013

Riesgo inherente versus riesgo residual. Cómo se evalúan.

Jesús Aisa Díez
Hace unos días recibía en mi correo electrónico una pregunta que me parece muy oportuna compartir, pues creo que la duda que planteaba podría repetirse entre algunos auditores que estén interesados en la aplicación de modelos de gestión de riesgos. La pregunta concreta se refería a si existía alguna diferencia en la forma de evaluar los riesgos inherentes y los residuales.

La respuesta es negativa. No existe ninguna diferencia en la forma de cuantificar la importancia de los riesgos, aplicándose, según los modelos tradicionales recogidos por COSO, ISO 31.000, AS/NZ 4360, e innumerables otros protocolos de uso generalizado,  a través de dos de sus atributos: la probabilidad de ocurrencia y el impacto.

Y ello es así porque ambos tipos de riesgos solo se diferencian en el nivel de control que pueda estar aplicándose en los procesos en los que estos se visualizan, pues mientras que la valoración del riesgo residual pretende estimar la importancia efectiva de la gravedad de la amenaza que estemos cuantificando, de acuerdo con las medidas correctoras que ya se estén aplicando; en la evaluación del riesgo inherente lo que se pretende es apreciar la importancia de las hipotéticas amenazas en ausencia de cualquier tipo de control. Es por tanto una valoración que no se corresponde con una situación existente, sino una simulación de la misma si no hubiésemos aplicado los controles que estemos aplicando.

Entendida la diferencia entre ambos conceptos, surge ahora una nueva pregunta. Si el riesgo inherente no responde a situaciones reales, ¿cuál es su utilidad, para qué sirve?

Desde mi punto de vista, creo que el incidir sobre los riesgos inherentes pretende objetivar la identificación de las distintas amenazas que puedan afectar a las metas empresariales, pero de la forma más exhaustiva y extensa posible, y desde una perspectiva teórica, de manera que en el mapa de riesgos que construyamos estén representados todos aquellos peligros que pudieran afectar a los procesos empresariales. Es decir, lo que se derivaría del análisis de los riesgos inherentes es la seguridad de que estemos contemplando todas las amenazas que podrían interferir en el resultado de los objetivos empresariales. Amenazas que deben estar debidamente gestionadas, para lo cual resultará necesario dar un salto y pasar a  estimar la situación real de estos riesgos, a través de la cuantificación de los riesgos residuales en los procesos empresariales. 

Para ello, una vez identificados y valorados todos los riesgos inherentes, debemos ubicarlos en los procesos donde se puedan materializar, pero, ahora sí, considerando los controles ya existentes, lo que nos permitirá recalcular el impacto y la probabilidad de ocurrencia esperada por dichos riesgos en los procesos considerados, ordenándolos por su criticidad en función de su alejamiento respecto de la tolerancia al riesgo que se haya fijado, adoptando posteriormente las medidas correctoras que correspondan. 

Esta forma de proceder es fundamental para la actividad auditora, puesto que nos permitirá posicionarnos objetivamente, y sin la influencia de la opinión subjetiva de los gestores respecto de la situación por ellos estimados sobre los procesos,  decidiendo por nuestra parte cuales de ellos son los que debemos auditar para verificar que los controles realmente aplicados sitúan a los riesgos dentro de la zona de tolerancia que se haya establecido. 

En resumen, los riesgos inherentes reflejan una situación irreal, la que se derivaría de la inexistencia de cualquier tipo de control, lo que permite identificar en forma amplia todas las amenazas que, desde una visión teórica, podrían interferir en la consecución de los objetivos de la organización.

Artículo Publicado en el Blog: Auditoría Interna del Siglo XXI
http://auditoriainternasiglo21.blogspot.com.es/

Jesús Aisa Díez Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.
                                                                                                                                  
¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

4 comentarios:

  1. Unknown23 de marzo de 2017, 8:01

    EXCELENTE, COLEGA, INTERESANTE LA FORMA DE EVALUAR RIESGO INHERENTE Y RESIDUAL , LO QUE NO ME HA QUEDADO CLARO RESPECTO A SU CONCLUSION "RIESGO INHERENTE REFLEJA SITUACIONES IRREALES, EN TAL SENTIDO DERIVARIA DE LA INEXISTENCIA DE CUALQUIER TIPO DE CONTROL".
    TODA VEZ QUE A MI OPINIÓN RIESGO INHERENTE SE REFIERE A LAS SITUACIONES REALES QUE PUDIERA AFECTAR DENTRO DE LA ENTIDAD Y/ O ORGANIZACION Y QUE SE PODRIA CONTROLAR A TRAVÉS DE TRATAMIENTOS.
    SI NO FUERA TANTA MOLESTIA PUDIERA ACLARAR DE VUESTRA CONCLUSIÓN.
    SALUDOS CORDIALES

    ResponderEliminar
  2. Javier28 de abril de 2018, 6:43

    Yo he quedsdo confundido, pues mí entendimiento de riesgo inherente eran aquellos propios del negocio, país etc. Con independencia del marxo de control que la compania tenga.

    ResponderEliminar
    Respuestas
    1. Unknown16 de noviembre de 2018, 17:08

      El riesgo inherente es el que siempre esta presente "que puede fallar", que luego de hacer nuestra evaluación del riesgo inherente y riesgo determinaremos que procedimientos realizaremos para mitigar los riesgos identificados

      Eliminar
  3. Anónimo14 de junio de 2023, 4:50

    Es un tema de discusión algunos dicen porque considerar el Riesgo Inherente si todos sabemos que hay controles, pero sucede que muchas veces no es así, por eso es importante partir de una situación hipotética, cómo cuando planteamos las hipótesis de una tesis que luego validamos o descartamos

    ResponderEliminar