Otra forma de mostrar gráficamente la Magnitud de los Riesgos es directamente utilizando las escala de riesgos. Así el tamaño de la figura indicará la cantidad de Riegos asociados a una Categoría en particular, el eje vertical indicará la mayor Magnitud de Riesgo Residual de alguno de los Riesgos de dicha Categoría y el horizontal la Categoría. El resultado se muestra en la figura 23, lo cual permite un primer nivel de información ejecutiva.
Fig 23 Magnitud del Riesgo por Categoría Desarrollo propio
En general, cuando un Riesgo se encuentra con una “Alta” Probabilidad y es de “Alto” Impacto, debe ser tratado inmediatamente. Cuando es solamente la
25 32 45 17 29 12 39
Probabilidad la que se puede afectar, es necesario implementar planes de control tales como capacitaciones, dobles controles u otras medidas que permitan reducir dicho parámetro. Cuando lo único que se puede mitigar es el impacto, es recomendable implementar planes de continuidad operacional y evaluar seguros complementarios que mitiguen a lo menos el impacto financiero para la organización.
INFORMES
Con cada ciclo de Gestión de Riesgos, donde se ha evaluado cada uno de los FR y se ha determinado los niveles de exposición de cada Riesgos y su relación con sus respectivos Niveles de Tolerancia o Aversión al Riesgo, es necesario informar a las máximas autoridades de la organización el estado del arte o la situación vigente de los Riesgos. Esta información es muy importante para la toma de decisiones y particularmente aquellas que tengan que ver con temas estratégicos o con enfrentar situaciones de desmedro.
Por ejemplo, las compañías de seguro cobrarán menor prima si el nivel de accidentalidad es nulo o bajo. En la medida que se apliquen controles adecuados, el nivel de accidentabilidad bajará, las primas bajarán y todos estarán felices. Por otro lado, es importante para la autoridad organizacional conocer estos factores, puesto que se podría estar estudiando la fusión de la organización con otra y el tener niveles bajos de accidentabilidad pudiera ser un factor preponderante en las negociaciones y particularmente el precio. En el sentido opuesto, dada una situación de mercado que se contrae, es posible que sea necesario realizar recortes presupuestarios. El hecho de tener una baja accidentabilidad es una fortaleza que permitirá que los recortes no estén por ese lado.
En general, el informe debe comenzar con una breve reseña de la situación anterior. Breve, de no más de un párrafo o dos, sumando no más de unas 10 líneas. El informe debe ser ejecutivo, breve, conciso, sin rodeos, directo a la materia. Luego una reseña de la situación actual, no más larga que la anterior y
finalmente una reseña de lo que se está haciendo para mejorar la situación actual. Cada uno de estos puntos no debe extenderse significativamente, puesto que se complementará con información en detalle en el resto del informe. Todo esto debe estar en una única página del informe, puesto que es EJECUTIVO y no en detalle.
La siguiente sección del informe deberá profundizar un nivel mostrando gráficos de cada Categoría de Riesgo, el comparativo del ciclo anterior y el actual. Ello permitirá mostrar en forma resumida la evolución de la Gestión de Riesgos a nivel de Categoría.
La siguiente sección profundiza aún más, y debe indicar los Factores de Riesgos específicos más riesgosos o peligrosos, indicando en primer lugar aquellos de mayor prioridad y paulatinamente llegar hasta los de Magnitud del Riesgo medio o bajo, según sea el caso, hasta los cuales tengan una Magnitud del Riesgo sobre el Nivel de Aceptación definido, pero por muy poco. De esta forma se facilita la priorización de la asignación de los recursos y facilita la generación de proyectos necesarios para implementar nuevos controles.
En algunos casos, pudiera ser necesario especificar la situación particular de alguno de ellos, incluso cuando un Riesgo está bajo el nivel de tolerancia, por motivos de cumplimiento legal. Usualmente, estos Riesgos específicos tienen que ver con la probabilidad de comisión de algún delito por parte de la organización o que esta sea utilizada por clientes o proveedores para cometer ilícitos. Es por ello que pudiera ser tan relevante tratar estos Riesgos específicos en sesiones de Directorio o reuniones de las máximas autoridades de la organización.
Luego de este informe de la situación vigente, se debe indicar el seguimiento realizado a los indicadores de Riesgo. En general, estos indicadores no debieran ser más de 10, los que se informan, indistinto de que el área o unidad a cargo de la Gestión de Riesgos pueda tener varios más. La idea es escoger los principales indicadores que den el mayor valor posible a la visualización de la relevancia de los Riesgos y requerimientos de la Gestión de Riesgos, así como el mayor aporte a la toma de decisiones. Al igual que con los Riesgos, es necesario indicar la situación comparada de cada indicador respecto del ciclo anterior y agregar alguna pequeña descripción que justifique la variación en uno u otro sentido.
Por ejemplo, el número de caídas de sistemas podría ser un indicador. En el período anterior era 0 y para este período es 1. Se puede explicar que hubo una situación no prevista de cortes de energía en el proveedor de los sistemas, lo que afectó por aproximadamente xx minutos a nuestra organización. Se aplicarán las multas establecidas en el contrato y se está evaluando el costo de cambiar de proveedor o de implementar un sistema de respaldos más complejo y seguro.
Finalmente, el informe debe indicar los proyectos asociados a la Gestión de Riesgos, y todos los respectivos parámetros del proyecto, tales como responsable, nivel de avance, problemáticas puntuales, presupuesto, gasto real, etc.
Un informe con estas 5 secciones, se puede entregar en una reunión de directorio o un Comité de Directores, y su presentación no debe durar más de 15 a 20 minutos, salvo que existan dudas de los asistentes. Este informe debiera ser fácilmente entendido por un Directorio o una Alta Gerencia para incorporarlo en los procesos de toma de decisión de la organización.