• No se han encontrado resultados

Gestión de Riesgos - Alan Santos.pdf

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Gestión de Riesgos - Alan Santos.pdf"

Copied!
168
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 168 página )

Texto completo

(1)

Gestión de

Riesgos

Versión “Light”

(Apto para todo público)

(2)

Agradezco a:

Irene, que me apoya en cada locura Gad, que me acompaña en cada aventura

Mis hermanos, que han actuado como revisores y críticos Ma Isabel Casares San José-Martí, mi profe

(3)

Prefacio

La Gestión de Riesgos es un proceso que diariamente todo ser viviente

realiza en todo momento de su vida. En este texto no se pretende

presentar una verdad única ni muchas verdades contrapuestas,

simplemente se busca introducir el tema en aquellas mentes no iniciadas

en la materia.

Se mencionan y tratan muchos aspectos de la Gestión de Riesgos, pero

todos ellos son referenciales. Lo único relevante es que para realizar un

adecuado tratamiento de los riesgos, es necesario tener el interés y la

voluntad de hacer algo al respecto. De lo contrario, todo esfuerzo es

vano.

Es mi deseo y objetivo, que este esfuerzo realizado para facilitar la

comprensión del lector respecto de una materia tan vaga y difusa como

la Gestión de Riesgos, le permita contar con una orientación, aunque

sea inicial, respecto de cómo o por donde comenzar.

(4)

Todos los derechos reservados. Prohibidas su reproducción parcial y/o total sin autorización escrita previa. ©Alan Santos

(5)

I N D I C E

INTRODUCCIÓN ... 13

NORMAS Y BUENAS PRÁCTICAS ... 21

ISO 31000 ... 28

COSO III ... 31

BASILEA ... 35

SOX ... 39

FORMALIZACIÓN DE UN MODELO DE GESTION DE RIESGOS (MGR) ... 43

BUSINESS IMPACT ANALYSIS (BIA) ... 48

ANÁLISIS FODA ... 54 FACTORES DE RIESGO ... 57 CATEGORÍAS DE RIESGOS ... 60 DEFINICIONES Y CRITERIOS ... 67 ESCALA ... 68 MEDICIÓN NOMINAL ... 68 MEDICIÓN ORDINAL ... 69

MEDICIÓN POR RAZONES ... 69

MEDICIÓN POR INTERVALOS ... 70

(6)

CUATRO NIVELES ... 72 CINCO NIVELES ... 73 OTRAS ESCALAS ... 74 PROBABILIDAD... 77 IMPACTO ... 81 IMPACTO FINANCIERO ... 83 IMPACTO LEGAL ... 84 IMPACTO EN IMAGEN ... 85 IMPACTO NORMATIVO ... 85 IMPACTO NEGOCIO... 86

OTROS PARÁMETROS DEL IMPACTO ... 86

EXPOSICIÓN AL RIESGO ... 89

CONTROLES ... 91

VALORIZACIÓN DE LOS CONTROLES ... 95

CALIDAD ... 96

EFICACIA ... 96

EFICIENCIA ... 97

MAGNITUD DEL RIESGO ... 99

MAGNITUD DISCRETA ... 99

(7)

UMBRAL Y APETITO AL RIESGO ... 102

METODOLOGÍA DE CÁLCULO (LA LICUADORA) ... 106

METODOLOGÍA DE ANÁLISIS ... 108

METODOLOGÍA BÁSICA ... 108

METODOLOGÍA DE INTRODUCCIÓN ... 113

METODOLOGÍA CONTÍNUA ... 116

EL FACTOR TIEMPO ... 126

PROCESO DE GESTIÓN DE RIESGOS ... 129

LEVANTAMIENTO DE PROCESOS ... 135

FLUJOGRAMA ... 137

IDENTIFICACIÓN DE FACTORES DE RIESGO (FR) ... 141

IDENTIFICACIÓN DE RIESGOS ... 144

ASOCIACION FACTOR DE RIESGO – RIESGO ... 146

VALORACIÓN ... 147

RIESGO ... 150

INHERENTE O INICIAL ... 150

RIESGO RESTANTE O RESIDUAL ... 152

MAPAS DE RIESGOS ... 152

MAPA DE PROBABILIDAD x IMPACTO ... 153

(8)

INFORMES ... 157

ANÁLISIS COSTO BENEFICIO ... 160

REGISTRO DE PÉRDIDAS ... 162

GLOSARIO ... 164

(9)

INTRODUCCIÓN

Un día, o tal vez una noche, sentí una serie de empujones. No entendía nada. Estaba acomodado en mi rincón, sin molestar a nadie. Un poco apretado nada más, pero muy tranquilo. Vi una luz y sentí la necesidad de ir a ella. Los empujones eran cada vez más fuerte. Había una pequeña abertura, pero no cabía. Trataba de salir pero no podía. Desde la luz entró algo como una cuchara y empujó mi cabeza. Calzaba justo en la abertura y partí. Al salir, hacía mucho frio, estaba todo seco, no sabía que hacer e instintivamente comencé a gritar. De mis narices saltaron líquidos varios. Me atoré cuando metieron unos tubos en mi garganta. Hacía mucho frio, tenía miedo, estaba incómodo. Lo único que quería era volver a donde estaba. Me envolvieron en unas telas, había luz, mucha luz, que molestaba mis ojos, voces y ruidos que no conocía. Entre ellos escuche una voz familiar, me pusieron contra su pecho y escuche el latir de su corazón, me tranquilizo, estaba con mi madre.

El simple hecho de nacer, un acto primordial en la vida de todo ser viviente, es un acto riesgoso per se. Sin embargo, todos lo hemos sufrido y sobrevivido. El cordón umbilical puede estar como banda presidencial alrededor del pecho, o peor aún, alrededor del cuello. Dentro de los primeros minutos el recién nacido debe instintivamente aprender a controlar su temperatura corporal, aprender a respirar, debe ser protegido contra los riesgos de enfermedades tan simples como un resfrío u otras más complejas y graves. El único lugar donde se siente protegido, es cerca de donde siempre estuvo, escuchando lo que siempre escucho, el

(10)

corazón de su madre. ¿Por qué? ¿Por qué es necesario sentirse protegido? ¿Protegido de qué?

Instintivamente, todos sentimos aversión a situaciones y elementos que nos puedan causar incomodidad, molestia, daño, dolor e incluso la muerte. Es por ello que en principio nuestras madres nos protegen, unas más que otras, y nos permiten crecer y desarrollarnos hasta lograr defendernos de los riesgos que enfrentamos diariamente. Riesgos que van desde un traspié o un simple raspón en la rodilla, hasta riesgos sociales al enamorarse y no ser correspondido, riesgos a la salud en general, llegar retrasados a un compromiso o no cumplir con alguna obligación, etc. En Chile existe una prenda de vestir denominada “chaleco”. Usualmente es un suéter grueso que ha sido tejido por las apasionadas y amorosas manos de nuestra madre o abuela. Su definición es esencialmente: “aquella prenda de vestir que tu madre te obliga a usar, cuando ella tiene frio”. En realidad, es una muestra de cómo ellas intentan controlar el entorno en el cual nos encontramos y continuar instintivamente protegiéndonos de los riesgos.

Con las organizaciones, de cualquier tipo, por el simple hecho de ser hijas e hijos de las personas, y más aún por estar compuestas de personas, estas también se ven enfrentadas a riesgos y desafíos que se encuentran en su entorno. Una organización se puede enfermar si el virus de la corrupción la afecta. Incluso puede llegar a morir producto de éste insidioso virus. Una organización debe cumplir con la Ley y puede ser castigada por su incumplimiento. Una organización puede verse afectada por eventos de la naturaleza, quedar inválida o “cojear”. Una organización, indistinto de su origen, tamaño, industria o quehacer, siempre se

(11)

verá enfrentada a riesgos. Es por ello que es necesario, primero conocer cuáles son y luego gestionarlos o decidir qué hacer al respecto.

Al analizar las conductas individuales de las personas, diariamente gestionan los riesgos, sea al elegir un producto que sea ecológico o no, si contiene sustancias nocivas, o se cruza en una esquina con luz roja o se detiene en un cruce ferroviario. Desde el momento en que se levanta, un persona está gestionando riesgos. El asearse diariamente tiene por objetivo mitigar la probabilidad de enfermar. El lavarse los dientes diariamente tiene por objetivo llegar a la tercera o cuarta edad y aún contar con todos los dientes, etc.

Con las organizaciones sucede lo mismo. Las organizaciones deben gestionar sus riesgos en forma permanente, sean estos riesgos propios del negocio como comprar o vender o el riesgo de contratar a alguien que no sea adecuado, o que se inicie un incendio en las bodegas o la planta de producción, etc. Sin embargo, la organización no gestiona los riesgos simplemente por arte de magia. Las personas son la principal, aunque no la única, fuente de riesgo de una organización y la única forma de mitigar estos riesgos es con colaboradores consientes de la necesidad de gestionar permanentemente el riesgo. Esto no es una tarea fácil, por lo que es necesario sistematizar la Gestión de Riesgos en una organización mediante un Modelo de Gestión de Riesgos, similar en estructura o equivalente a un Sistema de Gestión de Calidad (ISO 9001) o un Sistema de Gestión de Seguridad de la Información (ISO 27001) o un Modelo de Prevención de Delitos Corporativos (Ley 20.393 de Chile) o tantos otros.

(12)

Incluso, al generalizar más los conceptos, se podría establecer que hoy en día, la Humanidad en forma íntegra, se ve enfrentada a diversos desafíos. El mayor de ellos es la subsistencia de la misma, producto del Cambio Climático. Sin embargo, existen diversos riesgos que permanentemente ponen en jaque el interés global y el de la mayoría de las personas que comparte este pequeño grano de arena que flota en la inmensidad del universo. Los riesgos de guerras, producto de la intolerancia e incomprensión o simplemente porque se puede; Los riesgos de enfermedades, muchas producidas o generadas por la misma humanidad; Los riesgos asociados a la naturaleza de nuestro universo y de nuestro planeta, que han provocado la desaparición de una innumerable cantidad de vida en este mismo planeta; sólo por mencionar algunos.

En general, todo ser viviente en este planeta, inconscientemente está en forma permanente evaluando riesgos. Un venado evalúa la existencia de depredadores antes de acercarse a tomar agua en un bebedero. Quienes viven en una ciudad, evalúan cruzar o no una calle. Quienes viven en el campo, evalúan el riesgo de sembrar o plantar tal o cual fruto o cultivo. Todos están permanentemente evaluando riesgos.

La Gestión de Riesgos es un proceso complejo que formalmente nace con los comerciantes y banqueros. Los primeros Riegos en ser formalmente evaluados y considerados, fueron los riesgos asociados al Crédito. Esto es que la contraparte no devuelva o reintegre los fondos entregados a un plazo determinado. De allí nacieron las aseguradoras, otra industria con un alto nivel de conocimiento de la

(13)

Gestión de Riesgos, puesto que ese es su negocio. Con el advenimiento de la revolución industrial, comenzaron a considerarse formalmente los Riesgos del Negocio y/o Riesgos del Mercado. Estos riesgos tienen que ver directamente con el quehacer, si voy a importar un producto determinado, que no surja un producto alternativo, si la fecha de lanzamiento del producto es crítica, que exista disponibilidad en dicha fecha, si voy a vender trajes de baño, que no sea en Alaska o en invierno o en el desierto.

Tras las Primera y Segunda guerras mundiales, surgió la necesidad de formalizar la evaluación de otro tipo de riesgo, como el Riesgo País o Político – Social. En este riesgo se evalúa la estabilidad política y social del mercado, la madurez de la economía y del marco jurídico, etc. Finalmente, hacia principios del nuevo milenio, una serie de escándalos que terminan por liquidar importantes organizaciones y desestabilizan los mercados internacionales hacen pensar que existen otros tipos de riesgos, por lo que nace un nuevo tipo de riesgo a ser considerado al momento de la toma de decisión, el Riesgo Operacional. Este tipo de riesgo considera los accidentes laborales, discontinuidades operacionales producto de procesos mal diseñados o ejecutados, de fallas en tecnologías, Fraudes internos y externos, etc. Además, hay quienes consideran en este tipo de riesgo, los ámbitos jurídicos y normativos que en algunos casos incluso pudieran llegar al cierre de la operación, con el correspondiente perjuicio.

(14)

“La Gestión de Riesgos corporativos es un proceso efectuado por todos los miembros de una organización, diseñado para identificar eventos negativos reales o potenciales que puedan afectar a la organización y coordinar la implementación de las medidas necesarias y suficientes tal que se mantenga un nivel de exposición dentro de lo aceptado, que aporte en la toma de decisión de la organización.” (ISABEL CASARES SAN JOSÉ-MARTI – Proceso

de Gestión de Riesgos y Seguros en las empresas - 2013)

En este texto, se entregará una visión básica y genérica de cómo identificar, medir y evaluar los riesgos, así como establecer una orientación respecto de cómo se podría implementar un Modelo de Gestión de Riesgos en forma amplia, sin limitaciones de visión o de ámbito, permitiendo que cada institución, organización o persona pueda optar por una metodología según estime factible aplicar a la gestión de sus riesgos, indistinto del tipo de riesgo o del tipo y características de la organización a la que se aplique. Los conceptos y fórmulas planteados son meramente referenciales, pudiendo los interesados aplicarlas directamente o modificarlas, adaptándolas a su propia organización y realidad.

No obstante, es indispensable conocer qué se puede hacer con los riesgos que se identifiquen. El cómo, se definirá en base a las características y recursos que la organización pueda disponer o considere relevantes para la gestión de sus riesgos.

(15)

Los riesgos solamente se pueden (TATE):

1. Transferir: Mediante la contratación de seguros o la subcontratación de bienes y/o servicios. Usualmente al traspasarse un riesgo, aparecen otros. 2. Aceptar: Asumiendo formalmente que los costos de mitigación son

demasiado altos respecto del beneficio de dicha mitigación.

3. Tratar: Mediante la implementación de elementos de control y/o mitigación que reduzcan probabilidad o impacto de ocurrencia de un evento adverso. 4. Eliminar: Dejando de hacer las actividades que generan el riesgo.

Es importante recordar, que peor que no hacer algo respecto de un riesgo conocido, es desconocer la existencia del mismo. Por tanto, el proceso de levantamiento e identificación de los riesgos requiere de un alto nivel de minuciosidad, detalle y participación de todas las partes involucradas, especialmente de los dueños de proceso y quienes ejecutan directamente las actividades donde se pudieran presentar los riesgos. Sin embargo, desconocer un riesgo, es decir, hacer “la vista gorda” respecto de la mera existencia de uno, incluso pudiera configurarse como un delito. Es por ello que es mejor identificar todos los riesgos posibles y, en caso de decidir no tratar uno u otro, por cualquier motivo, declararlo formalmente, documentado, para evitar sorpresas. En esta declaración, para cada riesgo que no se tratará, sino que se acepta, es necesario hacer una pequeña explicación de no más de un par de líneas que justifique o de alguna forma explique porqué se acepta. Puede ser por un tema de costo, de simple relevancia o porque está fuera de las competencias de la organización. Sin

(16)

embargo, es evidencia que el riesgo se conoce y la organización está consciente de su existencia.

En este texto se hará especial énfasis en intentar llevar apreciaciones subjetivas a resultados objetivos, involucrando fórmulas matemáticas como parte de una metodología para determinar lo más objetivamente la Magnitud del Riesgo al cual una organización se expone. Sin embargo, no hay ninguna metodología

perfecta, ideal o desde el punto de vista opuesto, mala o siquiera errada.

Existen tantas metodologías de Gestión de Riesgos, como profesionales y organizaciones que las aplican. De hecho existen más de una treintena de metodologías formales que pueden ser utilizadas para la Gestión de Riesgos.

En este texto se utilizará la metodología de Matriz de Probabilidad x Impacto a objeto de representar gráficamente los resultados del proceso de Apreciación del Riesgo. El motivo por el cual se ha seleccionado esta metodología, es que ella es la más próxima a lo indicado en los estándares ISO, en todas aquellas instancias en las que se requiere evaluar algún tipo de riesgo, sea de seguridad, continuidad, medio ambiental, salud ocupacional, responsabilidad social, inocuidad alimentaria entre muchas otras. Ninguna Norma ISO especifica explícitamente que se debiera utilizar una matriz de Probabilidad x Impacto, sin embargo sí indica que es necesario, al momento de considerar el riesgo, conocer su Probabilidad y Consecuencia.

(17)

NORMAS Y BUENAS PRÁCTICAS

Al tratar de analizar los riesgos por primera vez, es necesario buscar referencias o parámetros para conocer cómo gestionarlos o simplemente cómo identificar el riesgo. Existen diversas normas internacionales y recomendaciones respecto de la gestión de riesgos específicos. Por mencionar algunas, sin ser una lista exhaustiva ni mucho menos detallada, se puede mencionar a: ISO 9001:2015 que busca gestionar los riesgos asociados a la calidad del producto/servicio; ISO 14001 que busca gestionar los riesgos medioambientales; OHSAS 18000 que busca gestionar los riesgos laborales; ISO 22001 que busca gestionar los riesgos relacionados a la inocuidad alimentaria; ISO 19600 que busca gestionar los riesgos relacionados con el cumplimiento o “compliance”; BASILEA I, II y III, que es una “recomendación” en el ámbito de la industria financiera, aunque en algunos países es una exigencia para la industria financiera; SOX, Ley norteamericana que busca hacer responsables a la alta dirección de conocer exactamente el origen, flujo y destino de los recursos que por ella transitan; COSO I, II y III, así como SAS, que también son “recomendaciones” que apuntan esencialmente a la información contable y financiera, aunque COSO III es bastante más amplia y se puede aplicar a otras instancias; la Directiva del Parlamento Europeo Solvencia I y II que regula en forma continental (Europa) la industria de los seguros; ITIL busca gestionar riesgos asociados específicamente al ámbito de servicios y tecnologías, al igual que ISO 20000; ISO 27001, que busca controlar los riesgos relacionados con la Seguridad de la Información; y la Guía ISO/CEI 73:2002 que proporciona

(18)

definiciones genéricas de términos relacionados con la Gestión de Riesgos. Todas las anteriores, sólo por mencionar algunas, son referencias válidas de reglas, definiciones o lineamientos de Gestión de Riesgos que pueden y debieran ser utilizadas como mínimo como un punto de referencia.

Como se puede observar, existe un enorme universo de recomendaciones y normas que son específicas a temas puntuales. Sin embargo, del concepto más amplio de riesgo en forma genérica, del concepto de Gobierno Corporativo de la Gestión de Riesgos, aplicable a todo tipo de gestión de riesgos, se plasma en la norma ISO 31000, complementada con la norma ISO 31010 que establece técnicas de evaluación de los riesgos. Esta norma no es específica, puesto que la variedad de riesgos e Industrias hace que sea prácticamente imposible determinar un criterio único y uniforme. Sin embargo, sí es posible estandarizar algunos conceptos que sí son transversales a toda industria y proceso. Es justamente por ello que la Norma ISO 31000 no es certificable, las variantes son tantas en función de las infinitas características y particularidades de cada organización, que no se puede estandarizar. El mismo concepto de riesgo que para unos puede ser una cosa, para otros puede ser algo distinto.

(19)

Existen distintos tipos o categorías de riesgos, los que para efectos de este texto serán considerados los Ámbitos de Riesgo.

Están los Riesgos de Crédito, que hacen esencialmente referencia al riesgo de no poder recuperar recursos entregados a otros. Por ejemplo, cuando se vende a crédito, existe un plazo en el cual el producto está entregado, posiblemente distribuido e incluso puede estar consumido, pero aún no se recibe el pago. Si durante ese plazo el cliente desaparece por cualquier motivo (quiebra, muerte, fraude, etc.), no es posible recuperar los recursos y por ende se genera una pérdida y un impacto negativo. Lo mismos es aplicable a la industria bancaria, cuando se otorga un crédito propiamente tal, al servicio público y empresas de bienes y/o servicios.

Están los Riesgos de Mercado o Político - Sociales, que se asocian a las condiciones socio-económicas del mercado en que la organización realiza sus actividades. En este sentido se consideran posibles cambios en el mercado internos, estabilidad geopolítica del lugar de desarrollo de la actividad, estabilidad social, factores culturales, etc. Todos estos eventos pueden generar la materialización de riesgos y la pérdida de la totalidad de los ingresos e incluso de la misma propiedad de la organización. Sin embargo, son riesgos propios del lugar donde se realiza la actividad.

También está el Riesgo de Negocio. Este es el riesgo propio de invertir en un área productiva o de servicio y que los resultados no sean los esperados o incluso negativos. Por ejemplo invertir en la adquisición de una cantidad de productos y no

(20)

lograr venderlos en los plazos definidos para generar una utilidad o rentabilidad adecuada, podría generar pérdidas de capital.

Finalmente está el Riesgo Operacional. Este tipo de riesgo abarca toda aquella situación que, indistinto de su origen o causa raíz, pudiera directa o indirectamente afectar la operación o funcionamiento de una organización en su quehacer cotidiano. Así las cosas, el Riesgo Operacional abarca los riesgos legales, desde el punto de vista de la fiscalización, de la relación con clientes y proveedores, e incluso con los propios empleados o con terceras partes que pudieran estar involucradas, como un directorio o una junta de accionistas. También incluye los temas medio ambientales, seguridad de las personas, tecnologías, seguridad de la información, seguridad ante situaciones de emergencia, sea originadas por el hombre o la naturaleza, etc. El Riesgo Operacional abarca escencialmente aquellos riesgos que directa o indirectamente pudieran afectar la Calidad, Continuidad, Seguridad de la Información y eventualmente los aspectos legales. Es decir, todo lo que no está en los Ámbitos de Riesgo mencionados anteriormente.

Particularmente, cuando se evalúa el Riesgo Operacional, dada su diversidad de ámbitos, es recomendable clasificar los riesgos en los ejes que corresponda. Así se tendrán riesgos asociados al Eje Calidad, al Eje Seguridad de la Información, al Eje Continuidad Operacional y al Eje Legal.

(21)

Dado lo anterior, la “familia” de las Normas ISO 31.000 es una buena guía que puede ser complementada con buenas prácticas al respecto, que pueden adoptarse o adaptarse según sea el caso, a casi cualquier organización.

Nota: ISO 31.004 es la guía de implementación de ISO 31.000

Otra recomendación es Basilea II, la cual es el resultado de la segunda recomendación emitida por el Comité de Basilea o Comité de Supervisión Bancaria de Basilea , en el año 2004, la que pese a ser una norma orientada a la industria financiera, puede aplicarse efectivamente a cualquier industria, diferenciando pequeños matices, siendo la primera “recomendación” en que se identifican y tipifican los tres principales pilares de riesgo, los cuales tienen aproximadamente el mismo “peso” o relevancia en la Gestión de Riesgos y que no son propios de su quehacer (Riesgo de Negocio). Estos son el Riesgo de Crédito, Riesgo de Mercado y Riesgo Operacional antes mencionados.

Una pregunta frecuente es ¿Qué se entiende por “Buena Práctica”? Existen Normas, que pueden ser de reconocimiento nacional o internacional, orientadas a una industria, procesos específicos o genéricos a todo tipo de organización, que consisten en un conjunto de reglas y mandatos que la organización se auto impone como obligatorias; está la legislación de cada localidad, la Ley, que consiste de un conjunto de reglas y mandatos impuestos por un ente supervisor; existen las Recomendaciones, que consisten de un conjunto de elementos y reglas que pudieran ser implementadas o eventualmente asimiladas o adaptadas a la organización; y las Buenas Prácticas consisten en reglas, controles y en

(22)

Fig 2 Proceso de Gestión de Riesgos Fuente: ISO 31000:2009

Fig 1 Ciclo PDCA Fuente: Estándares ISO

RIESGO S PLANIFICAR HACER VERIFICAR ACTUAR GESTIÓN DE RIESGOS OPER AC IO N

general ciertas actividades comunes a múltiples organizaciones a nivel global que han dado resultados positivos similares y satisfactorios, transformándose así, en “Buenas Prácticas”.

Por lo general el Ciclo de Denim o Ciclo PDCA (figura 1), ampliamente utilizado en todas las Normas ISO para representar el ciclo de mejora continua, es una excelente forma de explicar los aspectos generales del proceso de Gestión del Riesgo. Al compararlo con el flujo del Proceso de Gestión de Riesgos (figura 2) se puede observar la similitud.

El Ciclo PDCA (por sus siglas en inglés Plan, Do, Check, Act) desde la perspectiva de la Gestión de Riesgo comienza por la identificación de los riesgos, producto de lo cual se establecen planes de acción. Una vez estos planes de acción han sido definidos (Planificar), se procede a su implementación u operativización (Hacer).

(23)

Una vez implementados los planes de acción, es necesario verificar la efectividad de ellos, mediante una nueva medición de los riesgos (Verificar) y en función de los resultados, es necesario tomar acciones adecuadas (Actuar), para lo cual se procede a planificar… y así se va generando la mejora continua, la mitigación de los riesgos y estos a su vez caen a niveles aceptables o a un punto en que pueden ser traspasables a otras organizaciones tales como empresas de seguro o proveedores estratégicos.

En este punto, es importante recordar que no importa cuánto se mitigue un riesgo o un Factor de Riesgo específico, se puede gastar infinitos recursos, pero nunca el riesgo será eliminado, excepto cuando se elimine la actividad o el conjunto de actividades que generan dicho riesgo. Usualmente, la eliminación de una actividad para eliminar un riesgo, conlleva el surgimiento de otros riesgos que antes no existían.

Por ejemplo, la única forma de eliminar de raíz el riesgo de sufrir un ataque cibernético, es simplemente desconectar completamente a la organización de todo equipo o quehacer relacionado con Internet. Una situación tan extrema como esta podría presentar otros desafíos y generar otros riesgos o aumentar la probabilidad de ocurrencia o el impacto de riesgos existentes, como pudiera ser un “error de digitación” o “ilegibilidad del registro”, si los registros se realizan con lápiz y papel.

(24)

ISO 31000

Pese a que no existe ningún estándar certificable que pueda definir un criterio u orientación única para una adecuada Gestión de Riesgos, ISO (International

Standards Organization), dada su vasta experiencia en materias relacionadas, es

un referente importante que hay que considerar. Particularmente, y al darse cuenta que todas sus normas de una u otra forma incorporan a la Gestión de Riesgos específicos, la ISO decidió desarrollar una “Recomendación” o Guía para la implementación de la Gestión del Riesgo. Es importante hacer notar que ISO en ningún momento recomienda un Modelo o Sistema de Gestión del Riesgo basado en algo parecido a lo planteado en otras normas tales como la ISO 9001, ISO 14001 u otras, pese a que implícitamente en cada una de las normas ISO demanda una adecuada identificación y Gestión de Riesgos asociados a dichas normas. De hecho, la revisión de ISO 9001:2015 incorporó explícitamente la obligación de gestionar los riesgos y particularmente tomar en consideración la probabilidad y consecuencia de los riesgos identificados.

En éste documento sólo se mencionará algunos de los aspectos de la norma, puesto que entrar en su detalle corresponde a otro documento, con un análisis más en profundidad de ella.

(25)

ISO 31000 trata del Gobierno Corporativo, de cómo la organización en forma integral puede gestionar sus riesgos y cuáles son los pasos que pudiera seguir para ello. En su versión 2009 (actualmente en etapa de revisión), la Norma se enfoca en los siguientes ámbitos:

0. Introducción 1. Alcance 2. Términos y Definiciones 3. Principios 4. Marco de Acción 5. Procesos

En los Términos y Definiciones, ISO 31000 define lo que el estándar entiende por 29 conceptos específicos. Complementariamente en la Guía 73 se incluye una serie de definiciones que aplican a todas las normas ISO. El objetivo es que cualquiera que implemente en base a estas guías, entienda lo mismo para el mismo concepto.

Los principios de la Gestión de Riesgos de la guía ISO 31.000 son 11 y se enumeran a continuación:

a. Crear Valor

b. Está integrada en los procesos de la organización c. Forma parte de la toma de decisiones

d. Trata explícitamente la incertidumbre e. Es sistemática, estructurada y adecuada

(26)

g. Está hecha a medida

h. Tiene en cuenta factores humanos y culturales i. Es transparente e inclusiva

j. Es dinámica, iterativa y sensible al cambio k. Facilita la mejora continua de la organización Fuente: ISO 31000:2009

No se entrará a analizar cada uno en detalle, existe suficiente literatura en el mercado y en Internet como para profundizar cada uno de estos Principios. Actualmente la guía ISO 31000:2009 se encuentra en revisión, siendo que el diagrama adjunto mostraría los principales ámbitos de cambios en la norma. Estos básicamente profundizan en mayor detalle algunos aspectos abarcados por la versión 2009.

Relación general entre las secciones de ISO 310000:20XX y el estándar existente

Fuente: Traducción desde Draft Design Specification for the revision of ISO 31000

P ro ce sos ISO 31000:20xx ISO 31000:2009 Introducción Introducción 1. Alcance 1. Alcance

2.- Conceptos Clave y Definiciones 2.- Términos y definiciones (29)

3.- Principios 3.- Proceso de toma de decisiones en organizaciones

4.- Proceso de consideración de la incertidumbre en la toma de decisiones

5.- Proceso de consideración de la incertidumbre cuando han existido cambios sucesivos

4.- Marco de trabajo

5.- Procesos 6.- Estructura organizacional y capacidades

7.- Criterios de rendimiento

Anexo A Bibliografía Anexos

A. Expresiones comunes (contemporáneas y legadas) B. Aplicación a otros estándares

C. Aplicación a requisitos de aproximación basada en riesgo

D. Aplicación en ambientes ISO 31000:2009

El esquema esta diseñado para mostrar donde los conceptos en el estándar existente serán principalmente considerados en el borrador del

(27)

COSO III

La recomendación del Committee of Sponsoring Organizations of the Treadway Commission (COSO) es bastante extensa, por lo que no corresponde su análisis detallado en este documento. No obstante, es importante hacer mención de algunos aspectos relevantes.

El objetivo principal del informe COSO es establecer una definición de control interno que sea común para todas las entidades y que ayude a las organizaciones a evaluar de mejor manera sus sistemas de control y en definitiva mejorar su proceso de toma decisiones.

Particularmente COSO III define que la Gestión de Riesgos corporativos como el proceso que incluye las siguientes capacidades:

 Alinear el riesgo aceptado y la estrategia: En su evaluación de alternativas estratégicas, la dirección debiera considerar el riesgo aceptado por la entidad, estableciendo los objetivos correspondientes y desarrollando mecanismos para gestionar los riesgos asociados.

 Mejorar las decisiones de respuesta a los riesgos: La gestión de riesgos corporativos proporciona rigor para identificar los riesgos y seleccionar entre las posibles alternativas de respuesta a ellos: evitar, reducir, compartir o aceptar.

 Reducir las sorpresas y pérdidas operativas: Las entidades consiguen mejorar su capacidad para identificar los eventos potenciales y establecer respuestas, reduciendo las sorpresas y los costes o pérdidas asociados.

(28)

 Identificar y gestionar la diversidad de riesgos para toda la entidad: Cada entidad se enfrenta a múltiples riesgos que afectan a las distintas partes de la organización y la gestión de riesgos corporativos facilita respuestas eficaces e integradas a los impactos interrelacionados de dichos riesgos.  Aprovechar las oportunidades: Mediante la consideración de una amplia

gama de potenciales eventos, la dirección está en posición de identificar y aprovechar las oportunidades de modo proactivo.

 Mejorar la dotación de capital: La obtención de información sólida sobre el riesgo permite a la dirección evaluar eficazmente las necesidades globales de capital y mejorar su asignación.

Contando con estas capacidades, COSO define que:

 El entorno de control: Marca la pauta del funcionamiento de una organización e influye en la concienciación de sus empleados respecto al control. Es la base de todos los demás componentes del control interno.

Principio 1: Demuestra compromiso con la integridad y los valores éticos

Principio 2: Ejerce responsabilidad de supervisión

Principio 3: Establece estructura, autoridad, y responsabilidad

Principio 4: Demuestra compromiso para la competencia

(29)

 La Evaluación de los riesgos: consiste en la identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, y sirve de base para determinar cómo han de ser gestionados los riesgos.

Principio 6: Especifica objetivos relevantes

Principio 7: Identifica y analiza los riesgos

Principio 8: Evalúa el riesgo de fraude

Principio 9: Identifica y analiza cambios importantes

 Las Actividades de control: las actividades de control son las políticas y los procedimientos que llevan a cabo las instrucciones de la dirección. Hay actividades de control en toda la organización, a todos los niveles y en todas las funciones; en éstas incluyen aprobaciones, autorizaciones, verificaciones, conciliaciones, y otras.

Principio 10: Selecciona y desarrolla actividades de control

Principio 11: Selecciona y desarrolla controles generales sobre tecnología

Principio 12: Se implementa a través de políticas y procedimientos

Principio 13: Usa información Relevante

 La Información y comunicación: hay que identificar, recopilar y comunicar información pertinente en forma y plazo que permitan cumplir a cada empleado con sus responsabilidades.

(30)

Principio 14: Comunica internamente

Principio 15: Comunica externamente

 Supervisión: los sistemas de control requieren de un proceso que comprueba que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo; esto se consigue mediante supervisión controlada, evaluaciones periódicas o ambas.

Principio 16: Conduce evaluaciones continuas y/o independientes

Principio 17: Evalúa y comunica deficiencias

Fuente: Informe COSO III - 2013

En resumen, COSO se parece mucho al modelo PDCA que usa ISO, donde se desarrolla un Ambiente de Control, sobre el cual se desarrolla la Evaluación de Riesgos, que debe ser

controlada mediante Actividades de Control, producto de lo cual se genera información y comunicación, la cual debe ser monitoreada para adecuar el Ambiente de Control.

(31)

BASILEA

Se le conoce como Basilea I, Basilea II y Basilea III, pero esencialmente son informes y “recomendaciones” del Comité de Basilea o Comité de Supervisión Bancaria de Basilea. Estas son normas para las instituciones financieras que directa o indirectamente participan o de alguna forma son supervisadas por organismos relacionados a la banca mundial. La principal característica de Basilea II fue la de reconocer la existencia de un tipo de riesgo distinto a los conocidos a la fecha, Riesgo de Crédito y Riesgo de Mercado. El Riesgo del Negocio está implícito en el Riesgo de Crédito, el principal negocio de las instituciones financieras, por lo que no se considera. Sin embargo, se definió por primera vez la existencia de un Riesgo Operacional. Esto es que existe riesgo para mi organización, producto de la misma organización, su funcionamiento y operación y/o sus colaboradores, infraestructura o tecnologías involucradas.

De esta forma, Basilea reconoce la necesidad de gestionar específicamente los riesgos operacionales respecto de las siguientes 7 categorías:

CATEGORIA DEFINICIÓN

FRAUDE INTERNO Riesgos derivados de algún tipo de actuación

orientada a cometer fraude, apropiarse de bienes (robo) o soslayar la legislación (informes adulterados) en los que se encuentran involucrados, al menos, una persona perteneciente al grupo.

(32)

CATEGORIA DEFINICIÓN

FRAUDE EXTERNO Riesgos derivados de algún tipo de actuación

orientada a cometer fraude, apropiarse de bienes o soslayar la legislación por parte de terceros ajenos a la compañía.

RELACIONES LABORALES Y SEGURIDAD EN EL TRABAJO

Riesgos derivados de actuaciones incompatibles con la legislación o acuerdos laborales sobre empleo (despido injustificado) y seguridad laboral, así como las derivadas de reclamos por daños personales (físicos o síquicos), incluidas las relativas a acoso y discriminación.

CLIENTES, PRODUCTOS Y PRÁCTICAS EMPRESARIALES

Riesgos derivados del incumplimiento involuntario, negligente o doloso de una obligación frente a los clientes, que pueden generar, como por ejemplo, costos y responsabilidad civil asociada con temas de idoneidad, incumplimiento de obligaciones fiduciarias (obligación de actuar lo mejor posible en beneficio de los intereses de otra parte) y prácticas de venta.

DAÑOS A ACTIVOS MATERIALES

Riesgos derivados de daños o perjuicios a activos materiales o inmateriales, como consecuencia de desastres naturales u otros eventos causados por la mano del hombre (Protestas, paros, atentados terroristas, etc).

(33)

CATEGORIA DEFINICIÓN INCIDENCIAS EN EL

NEGOCIO Y FALLOS EN LOS SISTEMAS

Riesgos derivados de interrupciones inesperadas de la actividad y/o de la prestación de servicios, provocadas por fallas en los sistemas (problemas de software, hardware o telecomunicaciones u otras tecnologías).

EJECUCIÓN, ENTREGA Y GESTIÓN DE

PROCESOS

Riesgos derivados de errores en el procesamiento de operaciones o en la gestión de procesos (gestión interna), así como de relaciones con contrapartes comerciales y proveedores. Podría incluir los asociados a temas legales.

Fuente: Informe Basilea II - 2004

Lo anterior, sin dejar de lado las gestiones realizadas respecto de los Riesgos de Crédito y Riesgos de Mercado ya conocidos con anterioridad.

Cómo se puede observar, desde el punto de vista operacional, los riesgos o Categorías de Riesgos especificados por Basilea son bastante transversales a todo tipo de organización, indistinto que esté o no relacionada a la industria financiera o específicamente a la banca. A diferencia de las otras normas y recomendaciones, Basilea es la única que especifica y agrupa de alguna forma los riesgos.

(34)

Adicionalmente, Basilea ha generado una definición de riesgo bastante interesante y adaptable a los conceptos de Gestión de Riesgo. Así ha definido el Riesgo Operacional como:

“El riesgo de pérdidas resultantes de la falta de adecuación o fallas en los procesos internos, de la actuación del personal o de los sistemas o bien aquellas que sean producto de eventos externos.” Fuente: Informe Basilea II – Banco Mundial

En definitiva, el riesgo de pérdidas resultante de… cualquier situación o evento adverso que ocurra.

(35)

SOX

Sox es una legislación norteamericana que nace a principios del milenio (2002) como respuesta a una serie de situaciones financieras de grandes empresas y conglomerados que afectaron la economía global. Al consultar a cualquier entendido en la materia, cuál es el punto más relevante de la legislación, todos responderán, con un 100% de certeza, que la sección 404 de la Ley.

“ SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS.

(a) RULES REQUIRED.—The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall— (1) state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and (2) contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting.

(b) INTERNAL CONTROL EVALUATION AND REPORTING .—With respect to the internal control assessment required by subsection (a), each registered public accounting firm that prepares or issues the audit report for the issuer shall attest to, and report on, the assessment made by the management of the issuer. An attestation made under this subsection shall be made in accordance with standards for attestation engagements issued or adopted by the Board. Any such attestation shall not be the subject of a separate engagement.”

(36)

"SEC. 404. Evaluación de la Dirección respecto de los controles internos.

(A) NORMAS REQUERIDAS.-La Comisión debiera fijar las reglas que requieren cada informe anual requerido por el artículo 13 (a) o 15 (d) de la Ley de Valores de 1934 (15 USC 78m 78o o (d)) para contener un control interno informe, que deberá: (1) precisar la responsabilidad de la administración para establecer y mantener una estructura de control interno adecuado y procedimientos para la presentación de informes financieros; y (2) contener una evaluación, a partir de finales del año fiscal más reciente del emisor, de la eficacia de la estructura y los procedimientos del emisor de la información financiera de control interno.

(B) CONTROL INTERNO DE EVALUACIÓN Y NOTIFICACIÓN.-Con respecto a la evaluación del control interno requerido por el inciso (a), cada firma de contabilidad pública registrada que prepare o expida el informe de auditoría para el emisor, deberá dar fe e informar sobre la evaluación hecha por la administración del emisor. Una certificación hecha bajo esta sección deberá hacerse de acuerdo con las normas para las certificaciones emitidas o adoptadas por el Consejo. Dicha certificación no será objeto de un compromiso por separado".

Fuente: Traducción Sabarnes-Oxley Law – Biblioteca del Congreso de EEUU – 2002

Otros artículos de la Ley que son relevantes, son:

Sec. 302. Responsabilidad corporativa por reportes financieros Sec. 303. Influencia inapropiada en la conducción de auditorías Sec. 401. Revelaciones en reportes periódicos

(37)

En buen español, lo que esta Ley establece es que es responsabilidad de los dueños y directores y todo aquel con facultades de administración, la disposición de información detallada y fidedigna de los movimientos de los recursos de la organización, particularmente los financieros, así como todo acto que intente engañar las fiscalizaciones. Los estados financieros deberán ser auditados por un tercero que acreditara la veracidad de los datos. El punto más relevante de ello es que sea FIDEDIGNA. En definitiva, busca de alguna forma salvaguardar la fe pública.

En resumidas palabras, la ley SOX establece la pena de presidio para quienes incumplan la obligación de contar y entregar información financiera fidedigna.

Dado lo anterior, se entiende porqué el nivel de preocupación de los empresarios norteamericanos respecto de esta Ley. Hasta la promulgación de la misma, no existían penas de cárcel para quienes realizaban desfalcos a las compañías en las cuales se desempeñaban, particularmente sociedades anónimas donde la responsabilidad final recae en los accionistas, limitada a la cantidad de acciones que cada uno representa. Con esta legislación, adicionalmente, se hizo responsables a todos quienes tuvieran algún nivel de capacidad de administración de recursos financieros, debiendo responder en cualquier momento con información suficiente y fidedigna, como para poder identificar con absoluta certeza qué dinero entró, por donde pasó y en qué se gastó.

Por otro lado, existe un tema de alcance. En general las distintas legislaciones aplican territorialmente. Sin embargo, esta ley aplica a toda empresa norteamericana o que tenga algún grado de participación de una empresa

(38)

norteamericana. Esto es, si una empresa de origen norteamericano es dueña de una acción de una compañía de cualquier otro lugar del mundo, los fiscalizadores pueden hacer responsables a los directivos connacionales responsables por información falsa o no fidedigna respecto de la empresa que no es norteamericana y cuyos resultados deben declarar para efectos impositivos.

(39)

FORMALIZACIÓN DE UN MODELO DE GESTION DE RIESGOS (MGR)

No es posible implementar un Modelo de Gestión estandarizado en todas las organizaciones del tipo establecido en las normas ISO, pero para efectos de Gestión de Riesgos es posible incorporar en la organización una cultura de su gestión y un “sistema” o “modelo” que opere en forma permanente para garantizar en algún grado su correcta adopción y operación.

Una vez definido por las máximas autoridades de la organización, que se requiere identificar, evaluar, tratar y gestionar sus Riesgos mediante un MGR, una de las primeras acciones es la de generar conciencia y responsabilidad en toda la organización. Esta acción puede desarrollarse en paralelo a otras acciones también necesarias, como las definiciones respecto del MGR, metodología, etc. Para generar conciencia organizacional es necesario se cumplan varios requisitos y formalismos. Para comenzar, es necesario definir, formalizar e informar a la organización, cuáles serán los objetivos del MGR, los que debieran estar alineados con los objetivos estratégicos de la organización. Por ejemplo, un adecuado MGR podría aumentar el valor de las acciones de una empresa, facilitar la gestión de riesgos relacionados con normativas y regulaciones, abrir mercados que antes no estaban al alcance, reducir accidentes de personal y por ende mejorar las características de los seguros, etc.

La organización debe definir una estructura organizacional que pueda administrar adecuadamente los Riesgos e informar a las autoridades correspondientes para que, con la debida diligencia respecto de los eventos que pudieran materializar

(40)

Riesgos, se ejecuten acciones de mitigación y se tomen acciones de mejora para evitar o reducir la probabilidad de una nueva ocurrencia o el impacto de la misma. En este sentido, se puede definir un Comité de Riesgos o un comité existente designarlo como tal. Este comité tendrá por principal función generar un seguimiento permanente a las Políticas de Gestión de Riesgos y a los Riesgos específicos identificados y deberá mantener informado periódicamente a las máximas autoridades de la organización, sean estas el dueño, el directorio, la Junta de Accionistas, o quien corresponda. Además, es necesario definir un responsable único o un equipo de trabajo liderado por él, que tenga dedicación, a lo menos prioritaria a estos temas, pudiendo combinarlos con temas tales como Seguridad de la Información (OSI), Oficial de Cumplimiento o Compliance, Oficial de Riesgo, Auditoría, u otros modelos de gestión (del tipo requerido por los estándares ISO), etc.

Fig 3 Organigrama tipo

En la figura 3 se muestra un organigrama tipo donde el Comité de Administración de Riesgos puede estar relacionado directamente con la Gerencia General o directamente con el Directorio o Dueños de la empresa. Eventualmente, puede

DIRECTORIO

Gerencia

General Staff Comité de

Riesgo

(41)

estar también bajo el alero de una Contraloría o Jurídico, aunque dependiendo del giro de la empresa, en la mayoría de los casos, no es recomendable que estén en el ámbito legal, puesto que se tiende a minimizar los Riesgos relacionados con otros factores, como el Operacional. El Comité de Administración de Riesgos necesariamente debe estar fuera de las áreas de negocio y aquellas que generan Riesgo. La razón es evidente, no se puede evaluar objetivamente una situación de la cual se es parte. Igualmente, el Comité de Riesgos debe incorporar a todas las áreas que generan y son “dueñas” de los procesos donde existen los Riesgos, presidido por el Gerente General o el Contralor de la empresa. En esta instancia se deberá informar regularmente el estado de la gestión de los riesgos, tomar decisiones respecto de mejoras y tratamiento de los Riesgos, así como definir y estructurar informes para el Directorio o Dueño.

Adicionalmente, dado que el principal Riesgo en toda organización tiene que ver directamente con el “Error humano”, es necesario especificar e incorporar dentro de la reglamentación interna, perfiles de cargo y/o los propios contratos de trabajo, cláusulas específicas respecto de la Gestión de Riesgos que individualmente cada colaborador debe realizar en sus actividades dentro de los procesos del negocio, sean estas esporádicas o cotidianas.

Una forma de difundir esta propuesta es la capacitación. Sin embargo, si se combina con campañas lúdicas se puede mantener el interés por identificar y gestionar los riesgos. Por ejemplo, hacer una “cacería de riesgos” con un premio para quien identifique el riesgo más relevante no identificado anteriormente, o una “búsqueda del mitigador perdido” donde se premie a quien proponga controles o

(42)

mitigadores efectivos que pudieran reducir costos o reducir impacto o probabilidad o una combinación de ellos, etc. Los premios no necesitan ser costosas joyas, vehículos de lujo o viajes paradisiacos, pero sí puede ser una cena familiar en algún lugar al cual habitualmente los trabajadores no tendrán acceso por los costos que ellos significa, un par de días libres, entradas para el cine o un concierto de música, entradas para un parque de diversiones, obras de teatro, un fin de semana en algún hotel o resort cercano, etc. De hecho, la misma campaña es un mitigador, puesto que toda la organización estará atenta a los Riesgos y los gestionará e informará a objeto de postular a obtener algún premio.

El MGR debe necesariamente ser revisado y actualizado regularmente por la unidad encargada de la Gestión de Riesgos y adicionalmente, cada vez que se produzca un cambio estructural o de proceso, una nueva evaluación específica debe realizarse. El resultado de estas evaluaciones y su evolución respecto de períodos anteriores debe ser informado al Comité de Riesgos o aquel que cumpla con sus funciones, para que a su vez, de considerarlo relevante, el Comité informe a las autoridades superiores para una toma de conocimiento y posterior definición de acciones de mitigación cuando correspondan. No obstante, periódicamente es necesario mantener informadas a las autoridades de la organización, puesto que dicha información pudiera ser relevante en las tomas de decisiones que se realicen. Por ejemplo, decisiones estratégicas tales como la venta, compra o fusión de la organización, salida a mercado de valores, etc. Adicionalmente, la estructura, políticas y principales aspectos del MGR deben ser revisados

(43)

periódicamente por el Comité de Riesgos y sus resultados y decisiones tomadas, deben ser informadas y ratificadas por el Directorio o Dueños.

En organizaciones muy grandes para que sólo una persona gestione los riesgos, se puede definir “responsables” sectoriales o de cada área o gerencia de la organización. Cada uno de estos tendrá la responsabilidad parcial de supervisar y controlar la operación y funcionamiento del MGR en el área o unidad a la cual se le asigna.

De igual forma, cuando la organización es mediana o grande, es necesario contar con “especialistas” en Riesgos. Estos especialistas apoyarán al Comité de Riesgo para evaluar determinados riesgos específicos. Por ejemplo un especialista en riesgos tecnológicos, otro en temas legales, otro en temas contables, etc. Estos especialistas colaboran con la identificación de riesgos, su valorización y con la capacitación a los colaboradores en la gestión de controles y mitigadores que ataquen estos riesgos.

Probablemente lo más difícil para un modelo de gestión de cualquier tipo, es justamente mantenerlo vigente, activo y consciente. Particularmente respecto de un MGR, es necesario realizar las actividades suficientes para llegar al punto en que los colaboradores inconscientemente comiencen a gestionar sus Riesgos, simplemente porque es buen negocio para todos hacerlo.

(44)

BUSINESS IMPACT ANALYSIS (BIA)

Una forma de introducir a una organización en los conceptos relacionados a la Gestión de Riesgos y su relevancia para el quehacer de la misma, es mediante el desarrollo de un Análisis de Impacto en el Negocio o BIA (por su sigla en inglés). El motivo es simple, con un análisis de alto nivel como un BIA, se puede sensibilizar y eventualmente convencer a las autoridades y particularmente a los mandos medios, que la Gestión de Riesgos genera un aporte relevante para la organización y que es necesaria. El peor de todos los Riesgos, es aquel que se

desconoce. Se desconoce por donde puede llegar, se desconoce cómo puede

llegar y se desconoce cuánto va a “doler” su materialización. Justamente estos tres conceptos son la base inicial para justificar el desarrollo de un BIA.

En el BIA se busca evaluar el impacto que pudiera tener en la organización uno o un conjunto de eventuales incidentes que pudieran afectar los procesos críticos de la organización y producto de este análisis, determinar las acciones preventivas que pudieran mitigar el impacto de la materialización de dichos incidentes. Este impacto pudiera ser de tipo monetario, el más evidente, pero también pudiera ser de tipo inmaterial como la imagen o incluso de tipo jurídico o normativo el que no necesariamente termina en un costo directamente monetario. Eventualmente, pudiera incluso generar la disolución de la sociedad. Considerando que es una primera herramienta para identificar escenarios y eventos que pudieran materializarse y en base a ello definir un BCP o un DRP, su principal valor para la Gestión de Riesgos es la información que se debe levantar para poder desarrollar

(45)

este análisis y la sensibilización respecto de los Riesgos que afecta a quienes realizan la toma de decisión y la gestión diaria de ellos.

Cuando se realiza un BIA, lo primero es definir cuáles son los procesos críticos de la organización. Es común que se piense que son los procesos de producción o venta, pero usualmente no son los únicos. En este primer paso es donde la organización comienza a tomar conciencia de cuáles son sus procesos críticos reales. Por ejemplo, una empresa productiva, considerará el proceso de producción como crítico. Sin embargo, el proceso de recepción de materias primas puede ser tanto o más crítico, al igual que el proceso de despacho o distribución, o el de mantención de equipamiento tecnológico utilizado en la producción.

Para poder identificar los procesos críticos es necesario tomar una referencia y entender qué es un proceso crítico. Un proceso crítico es aquel sin el cual la

organización no puede hacer su negocio. Suena absurdo y demasiado

evidente, pero tendemos a olvidar o a dejar de lado lo evidente y concentrarnos en lo que no lo es. En el caso de una fábrica de algo, es evidente que el proceso productivo es crítico, pero si no hay un proceso de adquisiciones y otro de logística y recepción de insumos, el primero no sirve de nada. Una forma fácil para identificar los procesos críticos es hacer un “mapa” o un diagrama general de la interacción de los procesos y luego ir sacando uno a uno y observar si el negocio puede seguir funcionando. Usualmente los procesos de recursos humanos no son críticos, al igual que la contabilidad y eventualmente incluso bodegaje o almacenaje. Pero consideremos una organización que presta servicios. Digamos una empresa de transporte. Para efectos del ejemplo da lo mismo que el tipo de

(46)

transporte sea de carga, personas, valores, animales vivos, u otros. Las empresas de transporte, en general, tienen esencialmente un proceso de retiro o carga de lo que se transportará, uno de logística o transporte y uno de despacho o entrega. Sin embargo, si el camión, bus o avión no tiene combustible, el servicio no se puede prestar. Luego, el proceso de carga de combustible es crítico. Por otro lado, la mantención periódica de los vehículos, el retraso en un par de días o una semana no impide prestar el servicio, indistinto que los riesgos relacionados a la mantención aumenten, por tanto no es un proceso crítico. En general, toda organización depende de las personas, del “recurso humano”. Sin embargo, salvo casos contados, los procesos de contratación, asignación de beneficios, pago de remuneraciones, etc., relacionados con las personas o procesos de recursos humanos, usualmente no son críticos.

Veamos otro ejemplo. Una empresa que produce productos intravenosos tales como sueros, productos oncológicos u otros. Estos producen productos específicos, diseñados para cada paciente individual en función de una receta médica. Si se produce un error en su elaboración, personas pueden morir. Evidentemente, el proceso de producción es extremadamente sensible. Sin embargo, si no se entrega a tiempo, el paciente podría también morir. Luego la logística de despacho también es un tema crítico. Por otro lado, en todo el mundo se conoce cómo es la letra de los médicos, especialmente cuando se trata de recetas. ¿Qué sucedería cuando se recibe la receta en forma illegible? Tenemos otro proceso crítico.

(47)

Una vez identificados los procesos críticos, es necesario priorizarlos. Todos son críticos, pero habrá unos más críticos que otros. Puede usarse cualquier criterio, pero es indispensable priorizarlos de alguna forma. Usualmente, los procesos críticos más evidentes se les consideran más críticos. Por ejemplo, en una universidad, el proceso de “Admisión y Matrícula” es evidentemente el más importante. En caso que dicho proceso se vea afectado, se corre el riesgo de afectar los ingresos por un largo período de tiempo. No obstante, el proceso de “Toma de Ramos” también es crítico, pero no tanto como la Admisión y Matrícula.

Identificados y priorizados los procesos, es necesario identificar los componentes críticos de cada uno de ellos. Nuevamente, un componente crítico es aquel

cuya ausencia provoca que el proceso no funcione o se vea interrumpido.

Los componentes se ordenan en tres categorías: Recursos Humanos, Infraestructura y Tecnologías. Estos componentes del proceso son los que se combinan para transformar los elementos de entrada del proceso (insumos) en elementos de salida (producto o sub-producto). Nuevamente, se requiere hacer un diagrama del proceso crítico identificando los componentes y hacer el ejercicio de sacar individualmente cada componente de cada actividad y evaluar si el proceso se interrumpe. Cuando ello ocurra, se habrá identificado un componente crítico. Es recomendable asignar un valor a los componentes críticos. Por ejemplo, un componente crítico cuya ausencia o falla afecta a varios procesos críticos es más relevante que uno que afecta sólo a uno. Por otro lado, un componente crítico del proceso más crítico es más relevante que un conjunto de componentes críticos de otros procesos menos críticos. ¿Cómo priorizar los componentes? Una forma es

(48)

asignar un valor a los procesos según su criticidad. En sentido inverso, el proceso más crítico tendrá el valor más alto. Luego, a los componentes se les asigna un valor equivalente a la suma de los valores de los procesos en que éste participa. Así por ejemplo, un componente crítico, cuya ausencia afecta los proceso crítico 4 de 5 y 5 de 5 tendrá un “valor” de 1 + 2 = 3, mientras un componente crítico cuya ausencia afecta únicamente el proceso más crítico de todos, el proceso crítico 1 de 5, tendrá un “valor” 5. Si un componente afecta a los dos procesos más críticos, ese componente es más importante que otro que pudiera afectar únicamente a uno u otro proceso.

Cuando se analizan estos componentes, se determinan escenarios que los pudieran afectar, identificando Factores de Riesgo (FR) que pudieran afectar el proceso crítico. Sin embargo, a estas alturas es necesario identificar también los RPO y RTO. El RPO o Recovery Point Objective, es la cantidad de datos o procesos que la organización considera tolerable o aceptable perder antes de considerarlo una interrupción del proceso. El RTO o Recovery Time Objective es la cantidad de tiempo que un proceso puede estar detenido hasta que éste se reactiva sin ser considerado crítico. Por ejemplo, un banco puede definir que su RPO no debe ser más de un segundo, puesto que una transacción de miles o millones de dólares puede ocurrir justamente en ese instante. Por otro lado, su RTO puede definirse como un par de horas. Esto es que una vez que ocurre el incidente, pueden demorarse hasta dos horas antes de determinar que ha ocurrido una interrupción de un servicio crítico. ¿Cuántas veces hemos ido al banco y nos encontramos con la excusa “es que no hay sistema”? Para el banco un par de

(49)

horas puede ser grave, pero no crítico, mientras que más de eso ya pasa a ser color de hormiga.

El proceso de Análisis del Impacto en el Negocio o BIA, identificará situaciones de impacto severo o máximo que afectarán a la organización y permitirán establecer planes de contingencia organizados en un BCP o incluso planes ante situaciones de desastre que se configurarán en un DRP.

Sin embargo, para efectos de la Gestión de Riesgos, el BIA nos aporta información relevante, en función de la metodología de Gestión de Riesgos que se utilice. Los escenarios planteados en el BIA, la identificación de procesos críticos y de sus componentes, así como de los principales Factores de Riesgo o situaciones puntuales que pudieran ocurrir y el impacto que estas pudieran tener sobre la organización, los RTO y RPO de los procesos y de las actividades puntuales, son un importante insumo a considerar. Adicionalmente, la implementación de un Plan de Continuidad de Negocio o BCP e incluso un DRP, son mitigadores de impacto que deben ser valorados y considerados al momento de determinar los niveles de riesgo restante de las situaciones puntuales en las cuales se activan estos planes.

A diferencia del proceso inicial de Gestión de Riesgo, en que se asume existe una Probabilidad y un Impacto, para efectos del BIA se asume una probabilidad 100%. Esto es un evento que se ha materializado. Lo que un Modelo de Gestión de Riesgos permite, es racionalizar y priorizar las inversiones y costos asociados a las respuestas necesarias para hacer frente a los eventos detectados en un BIA.

(50)

ANÁLISIS FODA

Otra forma de introducir a la organización en la Gestión de Riesgos, es mediante la realización de un detallado análisis FODA o análisis de Fortalezas y Debilidades (Fortalezas, Oportunidades, Debilidades, Amenazas).

El proceso de análisis de las Fortalezas y Oportunidades permitirá identificar los niveles de Riesgo Aceptables o controlados por la organización, así como los controles y mitigadores implementados, mientras las Debilidades y Amenazas permitirán identificar Riesgos.

Esencialmente, el proceso es el siguiente. Se prepara 4 cuadros, uno para cada componente del FODA y luego se analizan individualmente. Usualmente cada Fortaleza está asociada a una Oportunidad, aunque ello no es estrictamente obligatorio y cada Debilidad muestra una Amenaza consistente en la explotación de dicha debilidad. Se analiza componente a componente y se listan los aspectos de la empresa, la organización o el entorno que correspondan.

Al realizar el análisis se define con cierta certeza el nivel de aceptación de ciertos Riesgos, se pueden identificar algunos riesgos específicos y se puede comparar y ajustar las definiciones de los criterios de impacto. Este resultado de las expectativas de la organización se cruza con las declaraciones de misión, visión y objetivos del negocio, lo cual permitirá identificar no sólo el “apetito” al Riesgo, sino eventualmente dará algunas luces respecto de las prioridades que se deben atender.

(51)

Por ejemplo, la empresa tiene dentro de sus objetivos la externalización de la organización hacia mercados nuevos. Dentro de las oportunidades, como resultado del análisis, surge la posibilidad de expandir el mercado objetivo hacia los mercados externos y particularmente un determinado país, probablemente fronterizo. Sin embargo, existe un Riesgo adicional al del negocio propiamente tal, el que estaría relacionado con las fluctuaciones en el tipo de cambio entre una moneda y la otra. Se puede definir que una variación de un 5% del tipo de cambio no afectará la política de precios y por ende se considerará para este riesgo en particular como de impacto Bajo. Sin embargo, un cambio de un 50% en el tipo de cambio, que afecta la factibilidad de continuar exportando a ese mercado, se define como un Impacto Extremo. Como resultado se define un Nivel de Tolerancia o Apetito al Riesgo, para este Riesgo en particular, de tipo Bajo, en que se acepta variaciones del tipo de cambio abruptas de hasta un 15%. Si se tiene una variación de hasta un 30%, se considerará de tipo Medio; sobre un 30% hasta un 45% se considerará un Riesgo Alto; y sobre ese valor se considerará Extremo. Claramente, para este Riesgo en particular, un Nivel de Riesgos “Alto” o “Medio” no es aceptable y algo hay que hacer al respecto.

En el mismo caso, se identifica como una Amenaza el hecho que la infraestructura de producción esté al 90% de su capacidad, por lo que sería insuficiente para abarcar la producción necesaria para la exportación. Aquí la amenaza es “no poder cumplir con el mercado”. Lo que representa un problema que pudiera traducirse en un Riesgo Operacional. La oportunidad es la “mejora de los equipamientos” y/o “adquisición de nueva infraestructura”, para cumplir con

Referencias

Descargar ahora ( PDF - 168 página - 1.82 MB )

Outline

EJECUCIÓN, ENTREGA Y GESTIÓN DE FORMALIZACIÓN DE UN MODELO DE GESTION DE RIESGOS (MGR) BUSINESS IMPACT ANALYSIS (BIA) CATEGORÍAS DE RIESGOS OTRAS ESCALAS EXPOSICIÓN AL RIESGO METODOLOGÍA BÁSICA METODOLOGÍA CONTÍNUA ASOCIACION FACTOR DE RIESGO – RIESGO MAPA DE RIESGO RESTANTE

Documento similar

TITULO I GESTIÓN DE RIESGOS. Directrices Básicas de la Gestión Integral de Riesgos. Políticas y procedimientos para la gestion integral de riesgo

Informar al Comité de Gestión Integral de Riesgos y a las áreas de decisión correspondientes, sobre el nivel de exposición a los diferentes tipos de riesgo, así como su

Influencia de las partes interesadas en los riesgos del proyecto: Propuesta de modelo de gestión de riesgos, basada en la gestión de partes interesadas

El PMBOK® propone que un modelo de gestión de riesgos conste de cinco procesos: planificación de la gestión de riesgos, identificación los riesgos, realización de análisis

Taller 4 Gestión de Riesgos en Microfinanzas

 Gestión de riesgos (y/o comité): facilita y monitorea la implementación de prácticas efectivas de gestión de riesgos en la gerencia operativa y asiste a

Gestión de Riesgos Financieros

El contenido de la asignatura se resume como sigue: La “Medición, Gestión y Control de Riesgos en Entidades Financieras”, analiza las cinco grandes clases de riesgos a los que se

Impacto de la gestión de riesgos sobre la

De acuerdo con el ejercicio empírico, ma- yor nivel en la gestión de riesgos y mayor adecuación de capital, trae como resultado mejoras en los niveles de eficiencia; no obs- tante,

gestión de riesgos en infraestructuras

GESTIÓN DE RIESGOS EN INFRAESTRUCTURAS MÁSTER UNIVERSITARIO EN PLANIFICACIÓN Y GESTIÓN DE INFRAESTRUCTURAS - ETSIC- UPM 51  Tablas de Riesgo de deslizamiento y pavimento en mal

Picking Avanzado y Gestión de Riesgos

1 Lo esencial de la Manutención y el Almacenaje EMA 2 Primeros Automatismos en la Intralogistica PAI 3 Picking Avanzado y Gestión de Riesgos PAGR Puede cursar cada

Implementación de gestión de riesgos en una Corte Superior de Justicia constituida como Unidad Ejecutora

- Son cuatro las fases del ciclo de gestión de riesgos en una Corte Superior de Justicia constituida como Unidad Ejecutora siendo la planificación, hacer, mejorar