LA GESTIÓN DE RIESGOS. Por: Lic. Israel Barrantes Sánchez
Transcripción
LA GESTIÓN DE RIESGOS. Por: Lic. Israel Barrantes Sánchez
LA GESTIÓN DE RIESGOS. Por: Lic. Israel Barrantes Sánchez. Auditor General. Municipalidad de San José. Experto Nacional en Riesgos Sin duda alguna a partir de la promulgación de la Ley General de Control Interno, la gestión de riesgos se promovió como un medio para convivir con situaciones que de una forma u otra pudieran afectar el logro de los objetivos de nuestras organizaciones. “Gerenciar” el riesgo implica evaluar las posibilidades de ocurrencia e impacto de hechos futuros, las modernas metodologías de gestión de riesgos promueven una cultura de controles internos para una adecuada gestión de los procesos que soportan las operaciones de la organización. La gestión de riesgos es sumamente extensa e involucra a todos los actores de las instituciones incluyendo a las auditorías internas, en este orden de ideas es bien sabido por todos que la ley y las directrices emitidas por el Órgano Contralor establecen las responsabilidades de cada uno conforme a sus funciones. En esta oportunidad, me voy a referir a uno los componentes de mayor importancia que soportan esa gestión, las matrices de riesgos de los procesos, teniendo claramente entendido que no se trata de la matriz de riesgos de la auditoria, sino de aquella en que la auditoria más bien es usuaria como fuente de trabajo para sus estudios. En primera instancia es importante señalar que debemos manejar los conceptos elementales sobre valoración y gestión de riesgos previo a seleccionar o establecer el modelo que más se adecue a nuestra organización, antes de ingresar los datos y comenzar a trabajar sobre los principales riesgos identificados. Es así como se recomienda al lector que se familiarice con conceptos tales como: apetito de riesgo, probabilidad e impacto, administración del riesgo, nivel y tipos de riesgos entre otros. El proceso de gestión de riesgos normalmente conlleva los siguientes pasos: 1- Identificar los riesgos, 2-Analizar los Riesgos, 3-Evaluar los Riesgos, 4- Tratar los Riesgos. 1- Identificación de Riesgos: Los riesgos que nos interesa identificar serian aquellos que de materializarse podrían afectar la consecución de los objetivos organizacionales, para esta identificación es necesario la determinación previa del nivel de los procesos con que vamos a trabajar, resulta útil acá, establecer la jerarquía de estos procesos, subprocesos , actividades, operaciones, con el fin de no perder el norte con un análisis muy exhaustivo que de pronto no nos permita la evaluación de los principales riesgos. Necesitamos entonces conocer los objetivos de cada proceso. 2- Analizando los Riesgos: Este análisis se realiza en dos áreas a saber, la clasificación (financiero, operativo, de crédito, imagen, legal) y la calificación valorando su potencial impacto y la probabilidad de ocurrencia, y puede adoptar un valor cuantitativo o un valor cualitativo. 3- Evaluar los Riesgos: Para realizar una adecuada evaluación de riesgos habiendo establecido ya su clasificación y calificación, se hace necesario calcular la exposición real del riesgo identificado, esto se logra al restar al riesgo los controles existentes para mitigarlo, el resultado obtenido seria entonces un valor residual o la verdadera exposición al riesgo. Finalmente se debe realizar la comparación de este valor con el valor definido como el apetito de riesgo; si este valor es mayor al apetito aceptado deberá tratarse con el fin de que no afecte el logro de los objetivos. Asimismo y conscientes de que cada proceso o subproceso puede afectar en mayor o menor medida el logro de los objetivos es importante también comparar los riesgos de los diferentes procesos, puede ser que un riesgo elevado de un proceso o subproceso tenga mayor incidencia que otro elevado de otro proceso en la consecución de los objetivos trazados, a esto lo podemos denominar áreas críticas y las debemos definir considerando los factores internos y externos que a juicio del evaluador sean necesario considerar. 4-Tratar los riesgos Existen varias opciones y metodologías para el tratamiento de los riesgos, estas normalmente coinciden en las siguientes cuatro etapas: Reducción del riesgo Aceptación del riesgo Transferencia del riesgo Evitar el riesgo La Reducción del riesgo consiste en la implementación de los procesos y controles necesarios para disminuir los riesgos a los niveles de aceptación determinación por la administración. La Aceptación del Riesgo se da cuando en las organizaciones se presentan circunstancias donde no se pueden implementar o establecer controles ni tampoco es factible diseñarlos a un costo razonable, en donde el costo del control es mayor que las consecuencias del riesgo. Se determina entonces que una decisión razonable es inclinarse por la aceptación del riesgo. La transferencia del riesgo consiste en una opción que tienen las organizaciones cuando es muy difícil tanto técnica como económicamente llevar el riesgo a un nivel aceptable, resultando viable transferir el riesgo a una aseguradora. Evitar el riesgo consiste en cualquier acción, donde las actividades del negocio o las maneras de conducir la gestión se modifican para evitar así la ocurrencia del riesgo, siendo algunas opciones, dejar de realizar ciertas actividades desplazar activos de un área a otra, o no procesar cierto tipo de información sino se consigue la protección adecuada. En conclusión, la matriz de riesgos de los procesos no es más que una descripción de sus actividades, de sus riesgos y de sus controles debidamente organizados que permite el gerenciamiento de estos riesgos.