Para poder identificar un Riesgo, es necesario tener claro qué es un Riesgo. Cada especialista en Gestión de Riesgo tendrá sus matices respecto de dicha definición, por lo que también es un aspecto de la Gestión de Riesgos que se encuentra aún en un ámbito etéreo y gris.
Para algunos, el Riesgo de cruzar un puente puede ser alto, mientras que para otros puede ser bajo e incluso rutinario.
Para algunos una actividad deportiva puede ser un Riesgo “controlado” mientras que para otros es un riesgo demasiado alto como para siquiera pensar en dicha actividad.
En algunas culturas existe un Riesgo que se debe asumir por temas de tradición y preservación cultural.
En general, el ser humano tiene cierta aversión al Riesgo y especialmente a aquellos Riesgos que pudieran generar un impacto en el que el dolor y eventualmente la muerte pudieran ser el resultado.
Dada esta diversidad de conceptos de Riesgo, es que el tema es tan vago y amplio. Sin embargo, para efectos de consensuar algún criterio básico sobre el cual poder desarrollar la Gestión de Riesgos, comenzaremos por orientarnos con la fuente del idioma.
Según la RAE, Riesgo es:
1. m. Contingencia o proximidad de un daño.
2. m. Cada una de las contingencias que pueden ser objeto de un contrato de seguro.
Fuente: www.rae.es
Adaptando estas definiciones a la Gestión de Riesgos, hay quienes consideran que un Riesgo es “la probabilidad de ocurrencia de un incidente que afecte a la organización (en forma positiva o negativa)”.
Sin embargo, para otros es “una combinación de parámetros de Probabilidad e Impacto respecto de la materialización de un evento específico que afecte a la organización o su desarrollo cotidiano”.
Algunos más puristas en materias del lenguaje, simplemente adoptan la primera acepción del diccionario, dejando en claro que el Riesgo siempre estará asociado a una contingencia y por su efecto a un daño a la organización.
Se vio que Basilea II tiene una definición de Riesgo que esencialmente es un matiz de lo anterior. Sin embargo, según se defina qué es un Riesgo para la organización, se podrán definir criterios y parámetros adecuados para su gestión.
Es difícil separar la identificación de los Riesgos de la identificación de Factores de Riesgos. Muchas veces un Factor de Riesgo es “disfrazado” de Riesgo. Por ejemplo: “que se produzca un asalto” suena a FR, pero en realidad es un Riesgo “disfrazado”, puesto que el Riesgo es “Robo, Hurto”. El que se produzca un robo puede deberse a planificación de ruta con errores, uso excesivo de efectivo, u otros. Luego los FR de este Riesgo serían del tipo: “Que la ruta planificada para el traslado de efectivo sea pública” o “Que se mueva físicamente grandes cantidades de dinero” o “que el dinero esté visible”, etc. Se podría decir que los Riesgos surgen de la agrupación racional de los FR.
Existen básicamente dos tendencias filosóficas o pensamientos respecto de cómo evaluar el Riesgo. Poner un número o determinar una magnitud a algo tan subjetivo y etéreo como un Riesgo ha sido un debate de mucho tiempo. La buena práctica, aquella más diversificada y que ha dado resultados razonablemente acertados, es definir la Magnitud del Riesgo como el producto de la Probabilidad y el Impacto. El resultado de este producto puede ser corregido por otros parámetros asociados a la Severidad del impacto, tales como la Velocidad del Impacto, la Persistencia del Impacto o la frecuencia en que se ejecuta la actividad asociada al FR o su Nivel de Exposición.
Sin embargo, existe una visión disidente que establece que, pese a que la Probabilidad y el Impacto Inherente o Inicial son variables independientes, el
Impacto Residual o Restante no lo es, sino que depende de la Probabilidad Residual o Restante. Quienes argumentan a favor de este concepto, consideran que cuando la probabilidad es mitigada o reducida, el impacto también lo es, como un efecto secundario. Esta misma filosofía de Gestión de Riesgos establece que no sólo puede darse un Riesgo de magnitud cero, sino que incluso se puede generar un Riesgo de Magnitud negativa. ¿Qué significa una Magnitud de Riesgo negativa? Básicamente es una oportunidad que aporta beneficios al negocio. Una Magnitud negativa implica un impacto doblemente negativo y desde el punto de vista matemático, un beneficio. De hecho, durante la revisión de la Norma ISO 31000, uno de los aspectos que se ha estudiado es justamente qué sucede con un Riesgo negativo, es decir cuando el Riesgo se transforma en una Oportunidad.
En general, los riesgos se pueden agrupar en grandes Categorías según el proceso, el tipo de negocio, si existe normativa de referencia, etc. Por ejemplo, a nivel de industrias productivas se podrían clasificar en: Servir Mal; No Servir; Producir Mal; No Producir; Medioambiente y Entorno; y Legal. En industrias más normadas es necesario referirse a las especificaciones indicadas por las normas. Por ejemplo, la industria bancaria y financiera en general, se rige por las recomendaciones de BASILEA II y/o por legislación como SOX. La principal diferencia entre BASILEA II y las otras normas y recomendaciones existentes, es que en ella se especifican 7 categorías de Riesgos, que serían: Fraude Interno; Fraude Externo; Relaciones Laborales y Seguridad en el Trabajo; Clientes, Productos y Prácticas Empresariales; Daños a Activos Materiales (eventos de la naturaleza, sociales, país); Incidencias en el Negocio y Fallas de Sistemas; y
Ejecución, Entrega y Gestión de Procesos. Existen otras recomendaciones y estándares industriales que establecen sus propias categorías y criterios tales como COSO II o incluso SOX. Sin embargo, en ninguna de ellas se explicita y por ende orienta, con una categorización específica que oriente respecto de qué y por donde hay que buscar.
La ventaja de categorizar los Riesgos es que permite una mejor visualización de ellos. Por ejemplo, se puede tener un número entre 1 y 20 Riesgos asociados a una categoría en particular y luego una cantidad de 1 a 150 FR asociados a un Riesgo específico. ¿Se imagina un gráfico de calor con todos esos puntos (20 x 150 = 3000)? Probablemente no se vería el gráfico, sino una enorme nube de
puntos y sus respectivas etiquetas. Además, las personas tendemos a entender gráficos (nubes de puntos) con un máximo de unos 40 a 50 puntos (Fig 5). Sobre eso, ya es un desorden que cuesta entender. Si se utiliza otro tipo de gráficos, como el de burbujas (Fig 4), puede que se complique la explicación del mismo a
Fig 4 Mapa de Riesgos por Categorías FI FE RL CP DA IN GP N iv e l d e E xp o si ci ó n Categorías
Mapa de Riesgos por Categoría Basilea
Fig 5 Mapa de 80 Riesgos
R01FR202 R02FR03 R03FR148 R04FR03 R05FR35 R06FR160 R07FR121 R08FR32 R09FR142 R10FR35 R11 R12FR138 R13FR35 R14FR03 R15FR03 R16FR43 R17FR20 R18FR135 R19FR188 R20FR188 R21FR237 R22FR135 R23FR106 R24FR163 R25FR159 R26FR106 R27FR230 R28FR241 R29FR107 R30FR106 R31FR17 R32FR16 R33FR15 R34FR122 R35FR122 R36FR122 R37FR122R38FR123 R39FR123 R40FR01 R41FR101 R42FR123 R43FR112 R44FR212 R45FR55 R46FR55 R47FR131 R48FR152 R49FR242 R50FR108 R51FR28 R52FR135 R53FR67 R54FR162 R55FR237 R56FR54 R57FR237 R58FR66 R59FR154 R60FR207 R61FR196 R62FR154 R63FR223 R64FR240 R65FR37 R66FR173 R67FR223 R68FR181 R69FR135 R70FR135 R71FR08 R72FR112 R73FR188 R74FR111 R75FR175 R76FR242 R77FR63 R78FR237 R79FR231 MAPA DE RIESGOS
las autoridades de la organización, pero es evidentemente menos caótico y más visual.
Luego, para poder comprender adecuadamente donde potencialmente le “duele el zapato” a la organización, se puede hacer un gráfico de primer nivel con las Categorías. En el ejemplo de la figura 4, cada categoría está en la máxima Magnitud del Riesgo de alguno de los Riesgos de ella e indica cuál es ese nivel. Su tamaño refleja cuantos Riesgos están en esa categoría. Así, se puede observar que una Categoría de Riesgo que tiene pocos Riesgos, puede tener una Magnitud del Riesgo mayor que otra que tiene muchos Riesgos. Para contar con una visión general, pero más detallada, se puede graficar sólo el FR de mayor Magnitud de Riesgo para cada Riesgo. Al considerar un máximo de 80 a 100 Riesgos, son muchos puntos para entender el
mapa (Fig 5).
La buena práctica recomienda que, para tener un segundo nivel de detalle, se haga un mapa por cada Categoría (Fig 6), tal que se visualice, para cada Categoría, la Magnitud del Riesgo de cada uno de los Riesgos en ella incluida. Esto
es un máximo de 20 a 30 puntos (Riesgos) por Categoría. Eventualmente se puede hacer un tercer nivel de detalle en el que se grafican los FR de cada Riesgo (Fig 7), lo que permitiría identificar en detalle aquellos que se encuentre con una
Fig 6 Mapa de Riesgo Residual de una Categoría
R13FR35 R14FR03 R15FR03 R16FR43 R17FR20 R18FR135 R19FR188 R20FR188 R21FR237 NIVEL DE RIESGO RESIDUAL CATEGORIA 1
mayor Magnitud del Riesgo, y según cómo se especifique un FR y los datos asociados al mismo, incluso se podría identificar la actividad en la cual dicho FR puede ocurrir. En este punto en particular, es recomendable exponer solamente los “TOP” 20 ó 30 y no la totalidad de 150 punto, puesto que muchos FR pudieran tener magnitudes de riesgo relativamente bajas o controladas y que no tienen sentido el ser destacados, cuando existen otros mucho más relevantes respecto de los cuales hay que hacer algo.
Fig 7 Mapas de Riesgo Inherente y Riesgo Residual de FRs del Riesgo R03
FR44 FR182 FR49 FR129 FR174 FR180 FR201 FR42 FR05 FR193 FR203 FR47FR181 FR45