Gestión de Riesgos - Alan Santos.pdf
Short Description
Download Gestión de Riesgos - Alan Santos.pdf...
Description
Gestión de Riesgos Versión “Light” (Apto para todo público)
Alan Santos Cori©
Agradezco a: Irene, que me apoya en cada locura Gad, que me acompaña en cada aventura Mis hermanos, que han actuado como revisores y críticos Ma Isabel Casares San José-Martí, mi profe Christian Haindl, de quien he aprendido casi todo en estas materias
Prefacio
La Gestión de Riesgos es un proceso que diariamente todo ser viviente realiza en todo momento de su vida. En este texto no se pretende presentar una verdad única ni muchas verdades contrapuestas, simplemente se busca introducir el tema en aquellas mentes no iniciadas en la materia. Se mencionan y tratan muchos aspectos de la Gestión de Riesgos, pero todos ellos son referenciales. Lo único relevante es que para realizar un adecuado tratamiento de los riesgos, es necesario tener el interés y la voluntad de hacer algo al respecto. De lo contrario, todo esfuerzo es vano. Es mi deseo y objetivo, que este esfuerzo realizado para facilitar la comprensión del lector respecto de una materia tan vaga y difusa como la Gestión de Riesgos, le permita contar con una orientación, aunque sea inicial, respecto de cómo o por donde comenzar.
Todos los derechos reservados. Prohibidas su reproducción parcial y/o total sin autorización escrita previa. ©Alan Santos
INDICE
INTRODUCCIÓN .................................................................................................. 13 NORMAS Y BUENAS PRÁCTICAS ...................................................................... 21 ISO 31000 .......................................................................................................... 28 COSO III ............................................................................................................ 31 BASILEA ............................................................................................................ 35 SOX ................................................................................................................... 39 FORMALIZACIÓN DE UN MODELO DE GESTION DE RIESGOS (MGR) .......... 43 BUSINESS IMPACT ANALYSIS (BIA) .................................................................. 48 ANÁLISIS FODA ................................................................................................... 54 FACTORES DE RIESGO ...................................................................................... 57 CATEGORÍAS DE RIESGOS................................................................................ 60 DEFINICIONES Y CRITERIOS ............................................................................. 67 ESCALA ............................................................................................................. 68 MEDICIÓN NOMINAL..................................................................................... 68 MEDICIÓN ORDINAL ..................................................................................... 69 MEDICIÓN POR RAZONES ........................................................................... 69 MEDICIÓN POR INTERVALOS ..................................................................... 70 TRES NIVELES ........................................................................................... 70
CUATRO NIVELES ..................................................................................... 72 CINCO NIVELES ......................................................................................... 73 OTRAS ESCALAS....................................................................................... 74 PROBABILIDAD................................................................................................. 77 IMPACTO........................................................................................................... 81 IMPACTO FINANCIERO ................................................................................ 83 IMPACTO LEGAL ........................................................................................... 84 IMPACTO EN IMAGEN .................................................................................. 85 IMPACTO NORMATIVO ................................................................................. 85 IMPACTO NEGOCIO...................................................................................... 86 OTROS PARÁMETROS DEL IMPACTO ........................................................ 86 EXPOSICIÓN AL RIESGO ................................................................................ 89 CONTROLES ..................................................................................................... 91 VALORIZACIÓN DE LOS CONTROLES ........................................................ 95 CALIDAD ..................................................................................................... 96 EFICACIA .................................................................................................... 96 EFICIENCIA ................................................................................................ 97 MAGNITUD DEL RIESGO ................................................................................. 99 MAGNITUD DISCRETA.................................................................................. 99 MAGNITUD CONTINUA ............................................................................... 100
UMBRAL Y APETITO AL RIESGO .................................................................. 102 METODOLOGÍA DE CÁLCULO (LA LICUADORA) ......................................... 106 METODOLOGÍA DE ANÁLISIS .................................................................... 108 METODOLOGÍA BÁSICA ............................................................................. 108 METODOLOGÍA DE INTRODUCCIÓN ........................................................ 113 METODOLOGÍA CONTÍNUA ....................................................................... 116 EL FACTOR TIEMPO ................................................................................... 126 PROCESO DE GESTIÓN DE RIESGOS ............................................................ 129 LEVANTAMIENTO DE PROCESOS................................................................ 135 FLUJOGRAMA ............................................................................................. 137 IDENTIFICACIÓN DE FACTORES DE RIESGO (FR) ..................................... 141 IDENTIFICACIÓN DE RIESGOS ..................................................................... 144 ASOCIACION FACTOR DE RIESGO – RIESGO ............................................ 146 VALORACIÓN ..................................................................................................... 147 RIESGO .............................................................................................................. 150 INHERENTE O INICIAL ................................................................................... 150 RIESGO RESTANTE O RESIDUAL ................................................................ 152 MAPAS DE RIESGOS .................................................................................. 152 MAPA DE PROBABILIDAD x IMPACTO ................................................... 153 MAPA DE RIESGO RESTANTE ............................................................... 155
INFORMES ......................................................................................................... 157 ANÁLISIS COSTO BENEFICIO ....................................................................... 160 REGISTRO DE PÉRDIDAS ................................................................................ 162 GLOSARIO.......................................................................................................... 164 BIBLIOGRAFIA ................................................................................................... 171
INTRODUCCIÓN Un día, o tal vez una noche, sentí una serie de empujones. No entendía nada. Estaba acomodado en mi rincón, sin molestar a nadie. Un poco apretado nada más, pero muy tranquilo. Vi una luz y sentí la necesidad de ir a ella. Los empujones eran cada vez más fuerte. Había una pequeña abertura, pero no cabía. Trataba de salir pero no podía. Desde la luz entró algo como una cuchara y empujó mi cabeza. Calzaba justo en la abertura y partí. Al salir, hacía mucho frio, estaba todo seco, no sabía que hacer e instintivamente comencé a gritar. De mis narices saltaron líquidos varios. Me atoré cuando metieron unos tubos en mi garganta. Hacía mucho frio, tenía miedo, estaba incómodo. Lo único que quería era volver a donde estaba. Me envolvieron en unas telas, había luz, mucha luz, que molestaba mis ojos, voces y ruidos que no conocía. Entre ellos escuche una voz familiar, me pusieron contra su pecho y escuche el latir de su corazón, me tranquilizo, estaba con mi madre. El simple hecho de nacer, un acto primordial en la vida de todo ser viviente, es un acto riesgoso per se. Sin embargo, todos lo hemos sufrido y sobrevivido. El cordón umbilical puede estar como banda presidencial alrededor del pecho, o peor aún, alrededor del cuello. Dentro de los primeros minutos el recién nacido debe instintivamente aprender a controlar su temperatura corporal, aprender a respirar, debe ser protegido contra los riesgos de enfermedades tan simples como un resfrío u otras más complejas y graves. El único lugar donde se siente protegido, es cerca de donde siempre estuvo, escuchando lo que siempre escucho, el
corazón de su madre. ¿Por qué? ¿Por qué es necesario sentirse protegido? ¿Protegido de qué? Instintivamente, todos sentimos aversión a situaciones y elementos que nos puedan causar incomodidad, molestia, daño, dolor e incluso la muerte. Es por ello que en principio nuestras madres nos protegen, unas más que otras, y nos permiten crecer y desarrollarnos hasta lograr defendernos de los riesgos que enfrentamos diariamente. Riesgos que van desde un traspié o un simple raspón en la rodilla, hasta riesgos sociales al enamorarse y no ser correspondido, riesgos a la salud en general, llegar retrasados a un compromiso o no cumplir con alguna obligación, etc. En Chile existe una prenda de vestir denominada “chaleco”. Usualmente es un suéter grueso que ha sido tejido por las apasionadas y amorosas manos de nuestra madre o abuela. Su definición es esencialmente: “aquella prenda de vestir que tu madre te obliga a usar, cuando ella tiene frio”. En realidad, es una muestra de cómo ellas intentan controlar el entorno en el cual nos encontramos y continuar instintivamente protegiéndonos de los riesgos. Con las organizaciones, de cualquier tipo, por el simple hecho de ser hijas e hijos de las personas, y más aún por estar compuestas de personas, estas también se ven enfrentadas a riesgos y desafíos que se encuentran en su entorno. Una organización se puede enfermar si el virus de la corrupción la afecta. Incluso puede llegar a morir producto de éste insidioso virus. Una organización debe cumplir con la Ley y puede ser castigada por su incumplimiento. Una organización puede verse afectada por eventos de la naturaleza, quedar inválida o “cojear”. Una organización, indistinto de su origen, tamaño, industria o quehacer, siempre se
verá enfrentada a riesgos. Es por ello que es necesario, primero conocer cuáles son y luego gestionarlos o decidir qué hacer al respecto. Al analizar las conductas individuales de las personas, diariamente gestionan los riesgos, sea al elegir un producto que sea ecológico o no, si contiene sustancias nocivas, o se cruza en una esquina con luz roja o se detiene en un cruce ferroviario. Desde el momento en que se levanta, un persona está gestionando riesgos. El asearse diariamente tiene por objetivo mitigar la probabilidad de enfermar. El lavarse los dientes diariamente tiene por objetivo llegar a la tercera o cuarta edad y aún contar con todos los dientes, etc. Con las organizaciones sucede lo mismo. Las organizaciones deben gestionar sus riesgos en forma permanente, sean estos riesgos propios del negocio como comprar o vender o el riesgo de contratar a alguien que no sea adecuado, o que se inicie un incendio en las bodegas o la planta de producción, etc. Sin embargo, la organización no gestiona los riesgos simplemente por arte de magia. Las personas son la principal, aunque no la única, fuente de riesgo de una organización y la única forma de mitigar estos riesgos es con colaboradores consientes de la necesidad de gestionar permanentemente el riesgo. Esto no es una tarea fácil, por lo que es necesario sistematizar la Gestión de Riesgos en una organización mediante un Modelo de Gestión de Riesgos, similar en estructura o equivalente a un Sistema de Gestión de Calidad (ISO 9001) o un Sistema de Gestión de Seguridad de la Información (ISO 27001) o un Modelo de Prevención de Delitos Corporativos (Ley 20.393 de Chile) o tantos otros.
Incluso, al generalizar más los conceptos, se podría establecer que hoy en día, la Humanidad en forma íntegra, se ve enfrentada a diversos desafíos. El mayor de ellos es la subsistencia de la misma, producto del Cambio Climático. Sin embargo, existen diversos riesgos que permanentemente ponen en jaque el interés global y el de la mayoría de las personas que comparte este pequeño grano de arena que flota en la inmensidad del universo. Los riesgos de guerras, producto de la intolerancia e incomprensión o simplemente porque se puede; Los riesgos de enfermedades, muchas producidas o generadas por la misma humanidad; Los riesgos asociados a la naturaleza de nuestro universo y de nuestro planeta, que han provocado la desaparición de una innumerable cantidad de vida en este mismo planeta; sólo por mencionar algunos. En general, todo ser viviente en este planeta, inconscientemente está en forma permanente evaluando riesgos. Un venado evalúa la existencia de depredadores antes de acercarse a tomar agua en un bebedero. Quienes viven en una ciudad, evalúan cruzar o no una calle. Quienes viven en el campo, evalúan el riesgo de sembrar o plantar tal o cual fruto o cultivo. Todos están permanentemente evaluando riesgos.
La Gestión de Riesgos es un proceso complejo que formalmente nace con los comerciantes y banqueros. Los primeros Riegos en ser formalmente evaluados y considerados, fueron los riesgos asociados al Crédito. Esto es que la contraparte no devuelva o reintegre los fondos entregados a un plazo determinado. De allí nacieron las aseguradoras, otra industria con un alto nivel de conocimiento de la
Gestión de Riesgos, puesto que ese es su negocio. Con el advenimiento de la revolución industrial, comenzaron a considerarse formalmente los Riesgos del Negocio y/o Riesgos del Mercado. Estos riesgos tienen que ver directamente con el quehacer, si voy a importar un producto determinado, que no surja un producto alternativo, si la fecha de lanzamiento del producto es crítica, que exista disponibilidad en dicha fecha, si voy a vender trajes de baño, que no sea en Alaska o en invierno o en el desierto. Tras las Primera y Segunda guerras mundiales, surgió la necesidad de formalizar la evaluación de otro tipo de riesgo, como el Riesgo País o Político – Social. En este riesgo se evalúa la estabilidad política y social del mercado, la madurez de la economía y del marco jurídico, etc. Finalmente, hacia principios del nuevo milenio, una serie de escándalos que terminan por liquidar importantes organizaciones y desestabilizan los mercados internacionales hacen pensar que existen otros tipos de riesgos, por lo que nace un nuevo tipo de riesgo a ser considerado al momento de la toma de decisión, el Riesgo Operacional. Este tipo de riesgo considera los accidentes laborales, discontinuidades operacionales producto de procesos mal diseñados o ejecutados, de fallas en tecnologías, Fraudes internos y externos, etc. Además, hay quienes consideran en este tipo de riesgo, los ámbitos jurídicos y normativos que en algunos casos incluso pudieran llegar al cierre de la operación, con el correspondiente perjuicio.
“La Gestión de Riesgos corporativos es un proceso efectuado por todos los miembros de una organización, diseñado para identificar eventos negativos reales o potenciales que puedan afectar a la organización y coordinar la implementación de las medidas necesarias y suficientes tal que se mantenga un nivel de exposición dentro de lo aceptado, que aporte en la toma de decisión de la organización.” (ISABEL CASARES SAN JOSÉ-MARTI – Proceso de Gestión de Riesgos y Seguros en las empresas - 2013)
En este texto, se entregará una visión básica y genérica de cómo identificar, medir y evaluar los riesgos, así como establecer una orientación respecto de cómo se podría implementar un Modelo de Gestión de Riesgos en forma amplia, sin limitaciones de visión o de ámbito, permitiendo que cada institución, organización o persona pueda optar por una metodología según estime factible aplicar a la gestión de sus riesgos, indistinto del tipo de riesgo o del tipo y características de la organización a la que se aplique. Los conceptos y fórmulas planteados son meramente referenciales, pudiendo los interesados aplicarlas directamente o modificarlas, adaptándolas a su propia organización y realidad. No obstante, es indispensable conocer qué se puede hacer con los riesgos que se identifiquen. El cómo, se definirá en base a las características y recursos que la organización pueda disponer o considere relevantes para la gestión de sus riesgos.
Los riesgos solamente se pueden (TATE): 1. Transferir: Mediante la contratación de seguros o la subcontratación de bienes y/o servicios. Usualmente al traspasarse un riesgo, aparecen otros. 2. Aceptar: Asumiendo formalmente que los costos de mitigación son demasiado altos respecto del beneficio de dicha mitigación. 3. Tratar: Mediante la implementación de elementos de control y/o mitigación que reduzcan probabilidad o impacto de ocurrencia de un evento adverso. 4. Eliminar: Dejando de hacer las actividades que generan el riesgo. Es importante recordar, que peor que no hacer algo respecto de un riesgo conocido, es desconocer la existencia del mismo. Por tanto, el proceso de levantamiento e identificación de los riesgos requiere de un alto nivel de minuciosidad,
detalle
y
participación
de
todas
las
partes
involucradas,
especialmente de los dueños de proceso y quienes ejecutan directamente las actividades donde se pudieran presentar los riesgos. Sin embargo, desconocer un riesgo, es decir, hacer “la vista gorda” respecto de la mera existencia de uno, incluso pudiera configurarse como un delito. Es por ello que es mejor identificar todos los riesgos posibles y, en caso de decidir no tratar uno u otro, por cualquier motivo, declararlo formalmente, documentado, para evitar sorpresas. En esta declaración, para cada riesgo que no se tratará, sino que se acepta, es necesario hacer una pequeña explicación de no más de un par de líneas que justifique o de alguna forma explique porqué se acepta. Puede ser por un tema de costo, de simple relevancia o porque está fuera de las competencias de la organización. Sin
embargo, es evidencia que el riesgo se conoce y la organización está consciente de su existencia. En este texto se hará especial énfasis en intentar llevar apreciaciones subjetivas a resultados objetivos, involucrando fórmulas matemáticas como parte de una metodología para determinar lo más objetivamente la Magnitud del Riesgo al cual una organización se expone. Sin embargo, no hay ninguna metodología perfecta, ideal o desde el punto de vista opuesto, mala o siquiera errada. Existen tantas metodologías de Gestión de Riesgos, como profesionales y organizaciones que las aplican. De hecho existen más de una treintena de metodologías formales que pueden ser utilizadas para la Gestión de Riesgos. En este texto se utilizará la metodología de Matriz de Probabilidad x Impacto a objeto de representar gráficamente los resultados del proceso de Apreciación del Riesgo. El motivo por el cual se ha seleccionado esta metodología, es que ella es la más próxima a lo indicado en los estándares ISO, en todas aquellas instancias en las que se requiere evaluar algún tipo de riesgo, sea de seguridad, continuidad, medio ambiental, salud ocupacional, responsabilidad social, inocuidad alimentaria entre muchas otras. Ninguna Norma ISO especifica explícitamente que se debiera utilizar una matriz de Probabilidad x Impacto, sin embargo sí indica que es necesario, al momento de considerar el riesgo, conocer su Probabilidad y Consecuencia.
NORMAS Y BUENAS PRÁCTICAS
Al tratar de analizar los riesgos por primera vez, es necesario buscar referencias o parámetros para conocer cómo gestionarlos o simplemente cómo identificar el riesgo. Existen diversas normas internacionales y recomendaciones respecto de la gestión de riesgos específicos. Por mencionar algunas, sin ser una lista exhaustiva ni mucho menos detallada, se puede mencionar a: ISO 9001:2015 que busca gestionar los riesgos asociados a la calidad del producto/servicio; ISO 14001 que busca gestionar los riesgos medioambientales; OHSAS 18000 que busca gestionar los riesgos laborales; ISO 22001 que busca gestionar los riesgos relacionados a la inocuidad alimentaria; ISO 19600 que busca gestionar los riesgos relacionados con el cumplimiento o “compliance”; BASILEA I, II y III, que es una “recomendación” en el ámbito de la industria financiera, aunque en algunos países es una exigencia para la industria financiera; SOX, Ley norteamericana que busca hacer responsables a la alta dirección de conocer exactamente el origen, flujo y destino de los recursos que por ella transitan; COSO I, II y III, así como SAS, que también son “recomendaciones” que apuntan esencialmente a la información contable y financiera, aunque COSO III es bastante más amplia y se puede aplicar a otras instancias; la Directiva del Parlamento Europeo Solvencia I y II que regula en forma continental (Europa) la industria de los seguros; ITIL busca gestionar riesgos asociados específicamente al ámbito de servicios y tecnologías, al igual que ISO 20000; ISO 27001, que busca controlar los riesgos relacionados con la Seguridad de la Información; y la Guía ISO/CEI 73:2002 que proporciona
definiciones genéricas de términos relacionados con la Gestión de Riesgos. Todas las anteriores, sólo por mencionar algunas, son referencias válidas de reglas, definiciones o lineamientos de Gestión de Riesgos que pueden y debieran ser utilizadas como mínimo como un punto de referencia. Como se puede observar, existe un enorme universo de recomendaciones y normas que son específicas a temas puntuales. Sin embargo, del concepto más amplio de riesgo en forma genérica, del concepto de Gobierno Corporativo de la Gestión de Riesgos, aplicable a todo tipo de gestión de riesgos, se plasma en la norma ISO 31000, complementada con la norma ISO 31010 que establece técnicas de evaluación de los riesgos. Esta norma no es específica, puesto que la variedad de riesgos e Industrias hace que sea prácticamente imposible determinar un criterio único y uniforme. Sin embargo, sí es posible estandarizar algunos conceptos que sí son transversales a toda industria y proceso. Es justamente por ello que la Norma ISO 31000 no es certificable, las variantes son tantas en función de las infinitas características y particularidades de cada organización, que no se puede estandarizar. El mismo concepto de riesgo que para unos puede ser una cosa, para otros puede ser algo distinto.
Existen distintos tipos o categorías de riesgos, los que para efectos de este texto serán considerados los Ámbitos de Riesgo. Están los Riesgos de Crédito, que hacen esencialmente referencia al riesgo de no poder recuperar recursos entregados a otros. Por ejemplo, cuando se vende a crédito, existe un plazo en el cual el producto está entregado, posiblemente distribuido e incluso puede estar consumido, pero aún no se recibe el pago. Si durante ese plazo el cliente desaparece por cualquier motivo (quiebra, muerte, fraude, etc.), no es posible recuperar los recursos y por ende se genera una pérdida y un impacto negativo. Lo mismos es aplicable a la industria bancaria, cuando se otorga un crédito propiamente tal, al servicio público y empresas de bienes y/o servicios. Están los Riesgos de Mercado o Político - Sociales, que se asocian a las condiciones socio-económicas del mercado en que la organización realiza sus actividades. En este sentido se consideran posibles cambios en el mercado internos, estabilidad geopolítica del lugar de desarrollo de la actividad, estabilidad social, factores culturales, etc. Todos estos eventos pueden generar la materialización de riesgos y la pérdida de la totalidad de los ingresos e incluso de la misma propiedad de la organización. Sin embargo, son riesgos propios del lugar donde se realiza la actividad. También está el Riesgo de Negocio. Este es el riesgo propio de invertir en un área productiva o de servicio y que los resultados no sean los esperados o incluso negativos. Por ejemplo invertir en la adquisición de una cantidad de productos y no
lograr venderlos en los plazos definidos para generar una utilidad o rentabilidad adecuada, podría generar pérdidas de capital. Finalmente está el Riesgo Operacional. Este tipo de riesgo abarca toda aquella situación que, indistinto de su origen o causa raíz, pudiera directa o indirectamente afectar la operación o funcionamiento de una organización en su quehacer cotidiano. Así las cosas, el Riesgo Operacional abarca los riesgos legales, desde el punto de vista de la fiscalización, de la relación con clientes y proveedores, e incluso con los propios empleados o con terceras partes que pudieran estar involucradas, como un directorio o una junta de accionistas. También incluye los temas medio ambientales, seguridad de las personas, tecnologías, seguridad de la información, seguridad ante situaciones de emergencia, sea originadas por el hombre o la naturaleza, etc. El Riesgo Operacional abarca escencialmente aquellos riesgos que directa o indirectamente pudieran afectar la Calidad, Continuidad, Seguridad de la Información y eventualmente los aspectos legales. Es decir, todo lo que no está en los Ámbitos de Riesgo mencionados anteriormente. Particularmente, cuando se evalúa el Riesgo Operacional, dada su diversidad de ámbitos, es recomendable clasificar los riesgos en los ejes que corresponda. Así se tendrán riesgos asociados al Eje Calidad, al Eje Seguridad de la Información, al Eje Continuidad Operacional y al Eje Legal.
Dado lo anterior, la “familia” de las Normas ISO 31.000 es una buena guía que puede ser complementada con buenas prácticas al respecto, que pueden adoptarse o adaptarse según sea el caso, a casi cualquier organización. Nota: ISO 31.004 es la guía de implementación de ISO 31.000
Otra recomendación es Basilea II, la cual es el resultado de la segunda recomendación emitida por el Comité de Basilea o Comité de Supervisión Bancaria de Basilea , en el año 2004, la que pese a ser una norma orientada a la industria financiera, puede aplicarse efectivamente a cualquier industria, diferenciando pequeños matices, siendo la primera “recomendación” en que se identifican y tipifican los tres principales pilares de riesgo, los cuales tienen aproximadamente el mismo “peso” o relevancia en la Gestión de Riesgos y que no son propios de su quehacer (Riesgo de Negocio). Estos son el Riesgo de Crédito, Riesgo de Mercado y Riesgo Operacional antes mencionados.
Una pregunta frecuente es ¿Qué se entiende por “Buena Práctica”? Existen Normas, que pueden ser de reconocimiento nacional o internacional, orientadas a una industria, procesos específicos o genéricos a todo tipo de organización, que consisten en un conjunto de reglas y mandatos que la organización se auto impone como obligatorias; está la legislación de cada localidad, la Ley, que consiste de un conjunto de reglas y mandatos impuestos por un ente supervisor; existen las Recomendaciones, que consisten de un conjunto de elementos y reglas que pudieran ser implementadas o eventualmente asimiladas o adaptadas a la organización; y las Buenas Prácticas consisten en reglas, controles y en
general ciertas actividades comunes a múltiples organizaciones a nivel global que han dado resultados positivos similares y satisfactorios, transformándose así, en “Buenas Prácticas”. Por lo general el Ciclo de Denim o Ciclo PDCA (figura 1), ampliamente utilizado en todas las Normas ISO para representar el ciclo de mejora continua, es una excelente forma de explicar los aspectos generales del proceso de Gestión del Riesgo. Al compararlo con el flujo del Proceso de Gestión de Riesgos (figura 2) se puede observar la similitud. El Ciclo PDCA (por sus siglas en inglés Plan, Do, Check, Act) desde la perspectiva de la Gestión de Riesgo comienza por la identificación de los riesgos, producto de lo cual se establecen planes de acción. Una vez estos planes de acción han sido definidos (Planificar), se procede a su implementación u operativización (Hacer).
PLANIFICAR
HACER
ACTUAR
VERIFICAR
OPERACION
RIESGOS
GESTIÓN DE RIESGOS
Fig 1 Ciclo PDCA Fuente: Estándares ISO
Fig 2 Proceso de Gestión de Riesgos Fuente: ISO 31000:2009
Una vez implementados los planes de acción, es necesario verificar la efectividad de ellos, mediante una nueva medición de los riesgos (Verificar) y en función de los resultados, es necesario tomar acciones adecuadas (Actuar), para lo cual se procede a planificar… y así se va generando la mejora continua, la mitigación de los riesgos y estos a su vez caen a niveles aceptables o a un punto en que pueden ser traspasables a otras organizaciones tales como empresas de seguro o proveedores estratégicos. En este punto, es importante recordar que no importa cuánto se mitigue un riesgo o un Factor de Riesgo específico, se puede gastar infinitos recursos, pero nunca el riesgo será eliminado, excepto cuando se elimine la actividad o el conjunto de actividades que generan dicho riesgo. Usualmente, la eliminación de una actividad para eliminar un riesgo, conlleva el surgimiento de otros riesgos que antes no existían. Por ejemplo, la única forma de eliminar de raíz el riesgo de sufrir un ataque cibernético, es simplemente desconectar completamente a la organización de todo equipo o quehacer relacionado con Internet. Una situación tan extrema como esta podría presentar otros desafíos y generar otros riesgos o aumentar la probabilidad de ocurrencia o el impacto de riesgos existentes, como pudiera ser un “error de digitación” o “ilegibilidad del registro”, si los registros se realizan con lápiz y papel.
ISO 31000 Pese a que no existe ningún estándar certificable que pueda definir un criterio u orientación única para una adecuada Gestión de Riesgos, ISO (International Standards Organization), dada su vasta experiencia en materias relacionadas, es un referente importante que hay que considerar. Particularmente, y al darse cuenta que todas sus normas de una u otra forma incorporan a la Gestión de Riesgos específicos, la ISO decidió desarrollar una “Recomendación” o Guía para la implementación de la Gestión del Riesgo. Es importante hacer notar que ISO en ningún momento recomienda un Modelo o Sistema de Gestión del Riesgo basado en algo parecido a lo planteado en otras normas tales como la ISO 9001, ISO 14001 u otras, pese a que implícitamente en cada una de las normas ISO demanda una adecuada identificación y Gestión de Riesgos asociados a dichas normas. De hecho, la revisión de ISO 9001:2015 incorporó explícitamente la obligación de gestionar los riesgos y particularmente tomar en consideración la probabilidad y consecuencia de los riesgos identificados. En éste documento sólo se mencionará algunos de los aspectos de la norma, puesto que entrar en su detalle corresponde a otro documento, con un análisis más en profundidad de ella.
ISO 31000 trata del Gobierno Corporativo, de cómo la organización en forma integral puede gestionar sus riesgos y cuáles son los pasos que pudiera seguir para ello. En su versión 2009 (actualmente en etapa de revisión), la Norma se enfoca en los siguientes ámbitos: 0. Introducción 1. Alcance 2. Términos y Definiciones 3. Principios 4. Marco de Acción 5. Procesos En los Términos y Definiciones, ISO 31000 define lo que el estándar entiende por 29 conceptos específicos. Complementariamente en la Guía 73 se incluye una serie de definiciones que aplican a todas las normas ISO. El objetivo es que cualquiera que implemente en base a estas guías, entienda lo mismo para el mismo concepto. Los principios de la Gestión de Riesgos de la guía ISO 31.000 son 11 y se enumeran a continuación: a. Crear Valor b. Está integrada en los procesos de la organización c. Forma parte de la toma de decisiones d. Trata explícitamente la incertidumbre e. Es sistemática, estructurada y adecuada f. Está basada en la mejor información disponible
g. Está hecha a medida h. Tiene en cuenta factores humanos y culturales i.
Es transparente e inclusiva
j.
Es dinámica, iterativa y sensible al cambio
k. Facilita la mejora continua de la organización Fuente: ISO 31000:2009
No se entrará a analizar cada uno en detalle, existe suficiente literatura en el mercado y en Internet como para profundizar cada uno de estos Principios. Actualmente la guía ISO 31000:2009 se encuentra en revisión, siendo que el diagrama adjunto mostraría los principales ámbitos de cambios en la norma. Estos básicamente profundizan en mayor detalle algunos aspectos abarcados por la versión 2009. Relación general entre las secciones de ISO 310000:20XX y el estándar existente
Procesos
ISO 31000:20xx
ISO 31000:2009
Introducción
Introducción
1. Alcance
1. Alcance
2.- Conceptos Clave y Definiciones
2.- Términos y definiciones (29)
3.- Proceso de toma de decisiones en organizaciones
3.- Principios
4.- Proceso de consideración de la incertidumbre en la toma de decisiones
4.- Marco de trabajo
5.- Proceso de consideración de la incertidumbre cuando han existido cambios sucesivos
5.- Procesos
6.- Estructura organizacional y capacidades
Anexo A
7.- Criterios de rendimiento
Bibliografía
Anexos A. Expresiones comunes (contemporáneas y legadas) B. Aplicación a otros estándares C. Aplicación a requisitos de aproximación basada en riesgo D. Aplicación en ambientes ISO 31000:2009
El esquema esta diseñado para mostrar donde los conceptos en el estándar existente serán principalmente considerados en el borrador del nuevo estándar
Fuente: Traducción desde Draft Design Specification for the revision of ISO 31000
COSO III La recomendación del Committee of Sponsoring Organizations of the Treadway Commission (COSO) es bastante extensa, por lo que no corresponde su análisis detallado en este documento. No obstante, es importante hacer mención de algunos aspectos relevantes. El objetivo principal del informe COSO es establecer una definición de control interno que sea común para todas las entidades y que ayude a las organizaciones a evaluar de mejor manera sus sistemas de control y en definitiva mejorar su proceso de toma decisiones. Particularmente COSO III define que la Gestión de Riesgos corporativos como el proceso que incluye las siguientes capacidades:
Alinear el riesgo aceptado y la estrategia: En su evaluación de alternativas estratégicas, la dirección debiera considerar el riesgo aceptado por la entidad, estableciendo los objetivos correspondientes y desarrollando mecanismos para gestionar los riesgos asociados.
Mejorar las decisiones de respuesta a los riesgos: La gestión de riesgos corporativos proporciona rigor para identificar los riesgos y seleccionar entre las posibles alternativas de respuesta a ellos: evitar, reducir, compartir o aceptar.
Reducir las sorpresas y pérdidas operativas: Las entidades consiguen mejorar su capacidad para identificar los eventos potenciales y establecer respuestas, reduciendo las sorpresas y los costes o pérdidas asociados.
Identificar y gestionar la diversidad de riesgos para toda la entidad: Cada entidad se enfrenta a múltiples riesgos que afectan a las distintas partes de la organización y la gestión de riesgos corporativos facilita respuestas eficaces e integradas a los impactos interrelacionados de dichos riesgos.
Aprovechar las oportunidades: Mediante la consideración de una amplia gama de potenciales eventos, la dirección está en posición de identificar y aprovechar las oportunidades de modo proactivo.
Mejorar la dotación de capital: La obtención de información sólida sobre el riesgo permite a la dirección evaluar eficazmente las necesidades globales de capital y mejorar su asignación.
Contando con estas capacidades, COSO define que:
El entorno de control: Marca la pauta del funcionamiento de una organización e influye en la concienciación de sus empleados respecto al control. Es la base de todos los demás componentes del control interno. Principio 1: Demuestra compromiso con la integridad y los valores éticos Principio 2: Ejerce responsabilidad de supervisión Principio 3: Establece estructura, autoridad, y responsabilidad Principio 4: Demuestra compromiso para la competencia Principio 5: Hace cumplir con la responsabilidad
La Evaluación de los riesgos: consiste en la identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, y sirve de base para determinar cómo han de ser gestionados los riesgos. Principio 6: Especifica objetivos relevantes Principio 7: Identifica y analiza los riesgos Principio 8: Evalúa el riesgo de fraude Principio 9: Identifica y analiza cambios importantes
Las Actividades de control: las actividades de control son las políticas y los procedimientos que llevan a cabo las instrucciones de la dirección. Hay actividades de control en toda la organización, a todos los niveles y en todas las funciones; en éstas incluyen aprobaciones, autorizaciones, verificaciones, conciliaciones, y otras. Principio 10: Selecciona y desarrolla actividades de control Principio 11: Selecciona y desarrolla controles generales sobre tecnología Principio 12: Se implementa a través de políticas y procedimientos Principio 13: Usa información Relevante
La Información y comunicación: hay que identificar, recopilar y comunicar información pertinente en forma y plazo que permitan cumplir a cada empleado con sus responsabilidades.
Principio 14: Comunica internamente Principio 15: Comunica externamente
Supervisión: los sistemas de control requieren de un proceso que comprueba que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo; esto se consigue mediante supervisión controlada, evaluaciones periódicas o ambas. Principio 16: Conduce evaluaciones continuas y/o independientes Principio 17: Evalúa y comunica deficiencias
Fuente: Informe COSO III - 2013
En resumen, COSO se parece mucho al modelo PDCA que usa ISO, donde se desarrolla un Ambiente de Control, sobre el cual se desarrolla la Evaluación de Riesgos,
que
controlada
debe
ser
mediante
Actividades
de
Control,
producto de lo cual se genera
información
y
comunicación, la cual debe ser
monitoreada
para
adecuar el Ambiente de Control. Fuente: Informe COSO II - 2004
BASILEA Se le conoce como Basilea I, Basilea II y Basilea III, pero esencialmente son informes y “recomendaciones” del Comité de Basilea o Comité de Supervisión Bancaria de Basilea.
Estas son normas para las instituciones financieras que
directa o indirectamente participan o de alguna forma son supervisadas por organismos relacionados a la banca mundial. La principal característica de Basilea II fue la de reconocer la existencia de un tipo de riesgo distinto a los conocidos a la fecha, Riesgo de Crédito y Riesgo de Mercado. El Riesgo del Negocio está implícito en el Riesgo de Crédito, el principal negocio de las instituciones financieras, por lo que no se considera. Sin embargo, se definió por primera vez la existencia de un Riesgo Operacional. Esto es que existe riesgo para mi organización, producto de la misma organización, su funcionamiento y operación y/o sus colaboradores, infraestructura o tecnologías involucradas. De esta forma, Basilea reconoce la necesidad de gestionar específicamente los riesgos operacionales respecto de las siguientes 7 categorías: CATEGORIA FRAUDE INTERNO
DEFINICIÓN Riesgos derivados de algún tipo de actuación orientada a cometer fraude, apropiarse de bienes (robo) o soslayar la legislación (informes adulterados) en los que se encuentran involucrados, al menos, una persona perteneciente al grupo.
CATEGORIA FRAUDE EXTERNO
DEFINICIÓN Riesgos derivados de algún tipo de actuación orientada a cometer fraude, apropiarse de bienes o soslayar la legislación por parte de terceros ajenos a la compañía.
RELACIONES
Riesgos derivados de actuaciones incompatibles con
LABORALES Y
la legislación o acuerdos laborales sobre empleo
SEGURIDAD EN EL
(despido injustificado) y seguridad laboral, así como
TRABAJO
las derivadas de reclamos por daños personales (físicos o síquicos), incluidas las relativas a acoso y discriminación.
CLIENTES,
Riesgos derivados del incumplimiento involuntario,
PRODUCTOS Y
negligente o doloso de una obligación frente a los
PRÁCTICAS
clientes, que pueden generar, como por ejemplo,
EMPRESARIALES
costos y responsabilidad civil asociada con temas de idoneidad, incumplimiento de obligaciones fiduciarias (obligación de actuar lo mejor posible en beneficio de los intereses de otra parte) y prácticas de venta.
DAÑOS A ACTIVOS
Riesgos derivados de daños o perjuicios a activos
MATERIALES
materiales o inmateriales, como consecuencia de desastres naturales u otros eventos causados por la mano
del hombre
terroristas, etc).
(Protestas, paros,
atentados
CATEGORIA
DEFINICIÓN
INCIDENCIAS EN EL
Riesgos derivados de interrupciones inesperadas de
NEGOCIO Y FALLOS
la actividad y/o de la prestación de servicios,
EN LOS SISTEMAS
provocadas por fallas en los sistemas (problemas de software, hardware o telecomunicaciones u otras tecnologías).
EJECUCIÓN, ENTREGA Riesgos derivados de errores en el procesamiento de Y GESTIÓN DE
operaciones
PROCESOS
interna), así como de relaciones con contrapartes comerciales
o en la gestión de procesos (gestión
y
proveedores.
Podría
incluir
los
asociados a temas legales. Fuente: Informe Basilea II - 2004
Lo anterior, sin dejar de lado las gestiones realizadas respecto de los Riesgos de Crédito y Riesgos de Mercado ya conocidos con anterioridad. Cómo se puede observar, desde el punto de vista operacional, los riesgos o Categorías de Riesgos especificados por Basilea son bastante transversales a todo tipo de organización, indistinto que esté o no relacionada a la industria financiera o específicamente a la banca. A diferencia de las otras normas y recomendaciones, Basilea es la única que especifica y agrupa de alguna forma los riesgos.
Adicionalmente, Basilea ha generado una definición de riesgo bastante interesante y adaptable a los conceptos de Gestión de Riesgo. Así ha definido el Riesgo Operacional como:
“El riesgo de pérdidas resultantes de la falta de adecuación o fallas en los procesos internos, de la actuación del personal o de los sistemas o bien aquellas que sean producto de eventos externos.” Fuente: Informe Basilea II – Banco Mundial
En definitiva, el riesgo de pérdidas resultante de… cualquier situación o evento adverso que ocurra.
SOX Sox es una legislación norteamericana que nace a principios del milenio (2002) como respuesta a una serie de situaciones financieras de grandes empresas y conglomerados que afectaron la economía global. Al consultar a cualquier entendido en la materia, cuál es el punto más relevante de la legislación, todos responderán, con un 100% de certeza, que la sección 404 de la Ley. “ SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS. (a) RULES REQUIRED.—The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall— (1) state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and (2) contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting. (b) INTERNAL CONTROL EVALUATION AND REPORTING .—With respect to the internal control assessment required by subsection (a), each registered public accounting firm that prepares or issues the audit report for the issuer shall attest to, and report on, the assessment made by the management of the issuer. An attestation made under this subsection shall be made in accordance with standards for attestation engagements issued or adopted by the Board. Any such attestation shall not be the subject of a separate engagement.” Fuente: Sabarnes-Oxley Law – Biblioteca del Congreso de EEUU - 2002
"SEC. 404. Evaluación de la Dirección respecto de los controles internos. (A) NORMAS REQUERIDAS.-La Comisión debiera fijar las reglas que requieren cada informe anual requerido por el artículo 13 (a) o 15 (d) de la Ley de Valores de 1934 (15 USC 78m 78o o (d)) para contener un control interno informe, que deberá: (1) precisar la responsabilidad de la administración para establecer y mantener una estructura de control interno adecuado y procedimientos para la presentación de informes financieros; y (2) contener una evaluación, a partir de finales del año fiscal más reciente del emisor, de la eficacia de la estructura y los procedimientos del emisor de la información financiera de control interno. (B) CONTROL INTERNO DE EVALUACIÓN Y NOTIFICACIÓN.-Con respecto a la evaluación del control interno requerido por el inciso (a), cada firma de contabilidad pública registrada que prepare o expida el informe de auditoría para el emisor, deberá dar fe e informar sobre la evaluación hecha por la administración del emisor. Una certificación hecha bajo esta sección deberá hacerse de acuerdo con las normas para las certificaciones emitidas o adoptadas por el Consejo. Dicha certificación no será objeto de un compromiso por separado". Fuente: Traducción Sabarnes-Oxley Law – Biblioteca del Congreso de EEUU – 2002
Otros artículos de la Ley que son relevantes, son: Sec. 302. Responsabilidad corporativa por reportes financieros Sec. 303. Influencia inapropiada en la conducción de auditorías Sec. 401. Revelaciones en reportes periódicos Sec. 802. Penalidades criminales por alterar documentos
En buen español, lo que esta Ley establece es que es responsabilidad de los dueños y directores y todo aquel con facultades de administración, la disposición de información detallada y fidedigna de los movimientos de los recursos de la organización, particularmente los financieros, así como todo acto que intente engañar las fiscalizaciones. Los estados financieros deberán ser auditados por un tercero que acreditara la veracidad de los datos. El punto más relevante de ello es que sea FIDEDIGNA. En definitiva, busca de alguna forma salvaguardar la fe pública. En resumidas palabras, la ley SOX establece la pena de presidio para quienes incumplan la obligación de contar y entregar información financiera fidedigna. Dado lo anterior, se entiende porqué el nivel de preocupación de los empresarios norteamericanos respecto de esta Ley. Hasta la promulgación de la misma, no existían penas de cárcel para quienes realizaban desfalcos a las compañías en las cuales se desempeñaban, particularmente sociedades anónimas donde la responsabilidad final recae en los accionistas, limitada a la cantidad de acciones que cada uno representa. Con esta legislación, adicionalmente, se hizo responsables a todos quienes tuvieran algún nivel de capacidad de administración de recursos financieros, debiendo responder en cualquier momento con información suficiente y fidedigna, como para poder identificar con absoluta certeza qué dinero entró, por donde pasó y en qué se gastó. Por otro lado, existe un tema de alcance. En general las distintas legislaciones aplican territorialmente. Sin embargo, esta ley aplica a toda empresa norteamericana o que tenga algún grado de participación de una empresa
norteamericana. Esto es, si una empresa de origen norteamericano es dueña de una acción de una compañía de cualquier otro lugar del mundo, los fiscalizadores pueden hacer responsables a los directivos connacionales responsables por información falsa o no fidedigna respecto de la empresa que no es norteamericana y cuyos resultados deben declarar para efectos impositivos.
FORMALIZACIÓN DE UN MODELO DE GESTION DE RIESGOS (MGR)
No es posible implementar un Modelo de Gestión estandarizado en todas las organizaciones del tipo establecido en las normas ISO, pero para efectos de Gestión de Riesgos es posible incorporar en la organización una cultura de su gestión y un “sistema” o “modelo” que opere en forma permanente para garantizar en algún grado su correcta adopción y operación. Una vez definido por las máximas autoridades de la organización, que se requiere identificar, evaluar, tratar y gestionar sus Riesgos mediante un MGR, una de las primeras acciones es la de generar conciencia y responsabilidad en toda la organización. Esta acción puede desarrollarse en paralelo a otras acciones también necesarias, como las definiciones respecto del MGR, metodología, etc. Para generar conciencia organizacional es necesario se cumplan varios requisitos y formalismos. Para comenzar, es necesario definir, formalizar e informar a la organización, cuáles serán los objetivos del MGR, los que debieran estar alineados con los objetivos estratégicos de la organización. Por ejemplo, un adecuado MGR podría aumentar el valor de las acciones de una empresa, facilitar la gestión de riesgos relacionados con normativas y regulaciones, abrir mercados que antes no estaban al alcance, reducir accidentes de personal y por ende mejorar las características de los seguros, etc. La organización debe definir una estructura organizacional que pueda administrar adecuadamente los Riesgos e informar a las autoridades correspondientes para que, con la debida diligencia respecto de los eventos que pudieran materializar
Riesgos, se ejecuten acciones de mitigación y se tomen acciones de mejora para evitar o reducir la probabilidad de una nueva ocurrencia o el impacto de la misma. En este sentido, se puede definir un Comité de Riesgos o un comité existente designarlo como tal. Este comité tendrá por principal función generar un seguimiento permanente a las Políticas de Gestión de Riesgos y a los Riesgos específicos identificados y deberá mantener informado periódicamente a las máximas autoridades de la organización, sean estas el dueño, el directorio, la Junta de Accionistas, o quien corresponda. Además, es necesario definir un responsable único o un equipo de trabajo liderado por él, que tenga dedicación, a lo menos prioritaria a estos temas, pudiendo combinarlos con temas tales como Seguridad de la Información (OSI), Oficial de Cumplimiento o Compliance, Oficial de Riesgo, Auditoría, u otros modelos de gestión (del tipo requerido por los estándares ISO), etc.
DIRECTORIO
Comité de Riesgo
Gerencia General
Gerencia 1
Gerencia 2
Staff
Gerencia N
Fig 3 Organigrama tipo
En la figura 3 se muestra un organigrama tipo donde el Comité de Administración de Riesgos puede estar relacionado directamente con la Gerencia General o directamente con el Directorio o Dueños de la empresa. Eventualmente, puede
estar también bajo el alero de una Contraloría o Jurídico, aunque dependiendo del giro de la empresa, en la mayoría de los casos, no es recomendable que estén en el ámbito legal, puesto que se tiende a minimizar los Riesgos relacionados con otros factores, como el Operacional. El Comité de Administración de Riesgos necesariamente debe estar fuera de las áreas de negocio y aquellas que generan Riesgo. La razón es evidente, no se puede evaluar objetivamente una situación de la cual se es parte. Igualmente, el Comité de Riesgos debe incorporar a todas las áreas que generan y son “dueñas” de los procesos donde existen los Riesgos, presidido por el Gerente General o el Contralor de la empresa. En esta instancia se deberá informar regularmente el estado de la gestión de los riesgos, tomar decisiones respecto de mejoras y tratamiento de los Riesgos, así como definir y estructurar informes para el Directorio o Dueño. Adicionalmente, dado que el principal Riesgo en toda organización tiene que ver directamente con el “Error humano”, es necesario especificar e incorporar dentro de la reglamentación interna, perfiles de cargo y/o los propios contratos de trabajo, cláusulas específicas respecto de la Gestión de Riesgos que individualmente cada colaborador debe realizar en sus actividades dentro de los procesos del negocio, sean estas esporádicas o cotidianas. Una forma de difundir esta propuesta es la capacitación. Sin embargo, si se combina con campañas lúdicas se puede mantener el interés por identificar y gestionar los riesgos. Por ejemplo, hacer una “cacería de riesgos” con un premio para quien identifique el riesgo más relevante no identificado anteriormente, o una “búsqueda del mitigador perdido” donde se premie a quien proponga controles o
mitigadores efectivos que pudieran reducir costos o reducir impacto o probabilidad o una combinación de ellos, etc. Los premios no necesitan ser costosas joyas, vehículos de lujo o viajes paradisiacos, pero sí puede ser una cena familiar en algún lugar al cual habitualmente los trabajadores no tendrán acceso por los costos que ellos significa, un par de días libres, entradas para el cine o un concierto de música, entradas para un parque de diversiones, obras de teatro, un fin de semana en algún hotel o resort cercano, etc. De hecho, la misma campaña es un mitigador, puesto que toda la organización estará atenta a los Riesgos y los gestionará e informará a objeto de postular a obtener algún premio. El MGR debe necesariamente ser revisado y actualizado regularmente por la unidad encargada de la Gestión de Riesgos y adicionalmente, cada vez que se produzca un cambio estructural o de proceso, una nueva evaluación específica debe realizarse. El resultado de estas evaluaciones y su evolución respecto de períodos anteriores debe ser informado al Comité de Riesgos o aquel que cumpla con sus funciones, para que a su vez, de considerarlo relevante, el Comité informe a las autoridades superiores para una toma de conocimiento y posterior definición de acciones de mitigación cuando correspondan. No obstante, periódicamente es necesario mantener informadas a las autoridades de la organización, puesto que dicha información pudiera ser relevante en las tomas de decisiones que se realicen. Por ejemplo, decisiones estratégicas tales como la venta, compra o fusión de la organización, salida a mercado de valores, etc. Adicionalmente, la estructura, políticas y principales aspectos del MGR deben ser revisados
periódicamente por el Comité de Riesgos y sus resultados y decisiones tomadas, deben ser informadas y ratificadas por el Directorio o Dueños. En organizaciones muy grandes para que sólo una persona gestione los riesgos, se puede definir “responsables” sectoriales o de cada área o gerencia de la organización. Cada uno de estos tendrá la responsabilidad parcial de supervisar y controlar la operación y funcionamiento del MGR en el área o unidad a la cual se le asigna. De igual forma, cuando la organización es mediana o grande, es necesario contar con “especialistas” en Riesgos. Estos especialistas apoyarán al Comité de Riesgo para evaluar determinados riesgos específicos. Por ejemplo un especialista en riesgos tecnológicos, otro en temas legales, otro en temas contables, etc. Estos especialistas colaboran con la identificación de riesgos, su valorización y con la capacitación a los colaboradores en la gestión de controles y mitigadores que ataquen estos riesgos. Probablemente lo más difícil para un modelo de gestión de cualquier tipo, es justamente mantenerlo vigente, activo y consciente. Particularmente respecto de un MGR, es necesario realizar las actividades suficientes para llegar al punto en que los colaboradores inconscientemente comiencen a gestionar sus Riesgos, simplemente porque es buen negocio para todos hacerlo.
BUSINESS IMPACT ANALYSIS (BIA)
Una forma de introducir a una organización en los conceptos relacionados a la Gestión de Riesgos y su relevancia para el quehacer de la misma, es mediante el desarrollo de un Análisis de Impacto en el Negocio o BIA (por su sigla en inglés). El motivo es simple, con un análisis de alto nivel como un BIA, se puede sensibilizar y eventualmente convencer a las autoridades y particularmente a los mandos medios, que la Gestión de Riesgos genera un aporte relevante para la organización y que es necesaria. El peor de todos los Riesgos, es aquel que se desconoce. Se desconoce por donde puede llegar, se desconoce cómo puede llegar y se desconoce cuánto va a “doler” su materialización. Justamente estos tres conceptos son la base inicial para justificar el desarrollo de un BIA. En el BIA se busca evaluar el impacto que pudiera tener en la organización uno o un conjunto de eventuales incidentes que pudieran afectar los procesos críticos de la organización y producto de este análisis, determinar las acciones preventivas que pudieran mitigar el impacto de la materialización de dichos incidentes. Este impacto pudiera ser de tipo monetario, el más evidente, pero también pudiera ser de tipo inmaterial como la imagen o incluso de tipo jurídico o normativo el que no necesariamente termina en un costo directamente monetario. Eventualmente, pudiera incluso generar la disolución de la sociedad. Considerando que es una primera herramienta para identificar escenarios y eventos que pudieran materializarse y en base a ello definir un BCP o un DRP, su principal valor para la Gestión de Riesgos es la información que se debe levantar para poder desarrollar
este análisis y la sensibilización respecto de los Riesgos que afecta a quienes realizan la toma de decisión y la gestión diaria de ellos. Cuando se realiza un BIA, lo primero es definir cuáles son los procesos críticos de la organización. Es común que se piense que son los procesos de producción o venta, pero usualmente no son los únicos. En este primer paso es donde la organización comienza a tomar conciencia de cuáles son sus procesos críticos reales. Por ejemplo, una empresa productiva, considerará el proceso de producción como crítico. Sin embargo, el proceso de recepción de materias primas puede ser tanto o más crítico, al igual que el proceso de despacho o distribución, o el de mantención de equipamiento tecnológico utilizado en la producción. Para poder identificar los procesos críticos es necesario tomar una referencia y entender qué es un proceso crítico. Un proceso crítico es aquel sin el cual la organización no puede hacer su negocio. Suena absurdo y demasiado evidente, pero tendemos a olvidar o a dejar de lado lo evidente y concentrarnos en lo que no lo es. En el caso de una fábrica de algo, es evidente que el proceso productivo es crítico, pero si no hay un proceso de adquisiciones y otro de logística y recepción de insumos, el primero no sirve de nada. Una forma fácil para identificar los procesos críticos es hacer un “mapa” o un diagrama general de la interacción de los procesos y luego ir sacando uno a uno y observar si el negocio puede seguir funcionando. Usualmente los procesos de recursos humanos no son críticos, al igual que la contabilidad y eventualmente incluso bodegaje o almacenaje. Pero consideremos una organización que presta servicios. Digamos una empresa de transporte. Para efectos del ejemplo da lo mismo que el tipo de
transporte sea de carga, personas, valores, animales vivos, u otros. Las empresas de transporte, en general, tienen esencialmente un proceso de retiro o carga de lo que se transportará, uno de logística o transporte y uno de despacho o entrega. Sin embargo, si el camión, bus o avión no tiene combustible, el servicio no se puede prestar. Luego, el proceso de carga de combustible es crítico. Por otro lado, la mantención periódica de los vehículos, el retraso en un par de días o una semana no impide prestar el servicio, indistinto que los riesgos relacionados a la mantención aumenten, por tanto no es un proceso crítico. En general, toda organización depende de las personas, del “recurso humano”. Sin embargo, salvo casos contados, los procesos de contratación, asignación de beneficios, pago de remuneraciones, etc., relacionados con las personas o procesos de recursos humanos, usualmente no son críticos. Veamos otro ejemplo. Una empresa que produce productos intravenosos tales como sueros, productos oncológicos u otros. Estos producen productos específicos, diseñados para cada paciente individual en función de una receta médica. Si se produce un error en su elaboración, personas pueden morir. Evidentemente, el proceso de producción es extremadamente sensible. Sin embargo, si no se entrega a tiempo, el paciente podría también morir. Luego la logística de despacho también es un tema crítico. Por otro lado, en todo el mundo se conoce cómo es la letra de los médicos, especialmente cuando se trata de recetas. ¿Qué sucedería cuando se recibe la receta en forma illegible? Tenemos otro proceso crítico.
Una vez identificados los procesos críticos, es necesario priorizarlos. Todos son críticos, pero habrá unos más críticos que otros. Puede usarse cualquier criterio, pero es indispensable priorizarlos de alguna forma. Usualmente, los procesos críticos más evidentes se les consideran más críticos. Por ejemplo, en una universidad, el proceso de “Admisión y Matrícula” es evidentemente el más importante. En caso que dicho proceso se vea afectado, se corre el riesgo de afectar los ingresos por un largo período de tiempo. No obstante, el proceso de “Toma de Ramos” también es crítico, pero no tanto como la Admisión y Matrícula. Identificados y priorizados los procesos, es necesario identificar los componentes críticos de cada uno de ellos. Nuevamente, un componente crítico es aquel cuya ausencia provoca que el proceso no funcione o se vea interrumpido. Los componentes se
ordenan
en
tres categorías:
Recursos Humanos,
Infraestructura y Tecnologías. Estos componentes del proceso son los que se combinan para transformar los elementos de entrada del proceso (insumos) en elementos de salida (producto o sub-producto). Nuevamente, se requiere hacer un diagrama del proceso crítico identificando los componentes y hacer el ejercicio de sacar individualmente cada componente de cada actividad y evaluar si el proceso se interrumpe. Cuando ello ocurra, se habrá identificado un componente crítico. Es recomendable asignar un valor a los componentes críticos. Por ejemplo, un componente crítico cuya ausencia o falla afecta a varios procesos críticos es más relevante que uno que afecta sólo a uno. Por otro lado, un componente crítico del proceso más crítico es más relevante que un conjunto de componentes críticos de otros procesos menos críticos. ¿Cómo priorizar los componentes? Una forma es
asignar un valor a los procesos según su criticidad. En sentido inverso, el proceso más crítico tendrá el valor más alto. Luego, a los componentes se les asigna un valor equivalente a la suma de los valores de los procesos en que éste participa. Así por ejemplo, un componente crítico, cuya ausencia afecta los proceso crítico 4 de 5 y 5 de 5 tendrá un “valor” de 1 + 2 = 3, mientras un componente crítico cuya ausencia afecta únicamente el proceso más crítico de todos, el proceso crítico 1 de 5, tendrá un “valor” 5. Si un componente afecta a los dos procesos más críticos, ese componente es más importante que otro que pudiera afectar únicamente a uno u otro proceso. Cuando se analizan estos componentes, se determinan escenarios que los pudieran afectar, identificando Factores de Riesgo (FR) que pudieran afectar el proceso crítico. Sin embargo, a estas alturas es necesario identificar también los RPO y RTO. El RPO o Recovery Point Objective, es la cantidad de datos o procesos que la organización considera tolerable o aceptable perder antes de considerarlo una interrupción del proceso. El RTO o Recovery Time Objective es la cantidad de tiempo que un proceso puede estar detenido hasta que éste se reactiva sin ser considerado crítico. Por ejemplo, un banco puede definir que su RPO no debe ser más de un segundo, puesto que una transacción de miles o millones de dólares puede ocurrir justamente en ese instante. Por otro lado, su RTO puede definirse como un par de horas. Esto es que una vez que ocurre el incidente, pueden demorarse hasta dos horas antes de determinar que ha ocurrido una interrupción de un servicio crítico. ¿Cuántas veces hemos ido al banco y nos encontramos con la excusa “es que no hay sistema”? Para el banco un par de
horas puede ser grave, pero no crítico, mientras que más de eso ya pasa a ser color de hormiga. El proceso de Análisis del Impacto en el Negocio o BIA, identificará situaciones de impacto severo o máximo que afectarán a la organización y permitirán establecer planes de contingencia organizados en un BCP o incluso planes ante situaciones de desastre que se configurarán en un DRP. Sin embargo, para efectos de la Gestión de Riesgos, el BIA nos aporta información relevante, en función de la metodología de Gestión de Riesgos que se utilice. Los escenarios planteados en el BIA, la identificación de procesos críticos y de sus componentes, así como de los principales Factores de Riesgo o situaciones puntuales que pudieran ocurrir y el impacto que estas pudieran tener sobre la organización, los RTO y RPO de los procesos y de las actividades puntuales,
son
un
importante
insumo
a
considerar.
Adicionalmente,
la
implementación de un Plan de Continuidad de Negocio o BCP e incluso un DRP, son mitigadores de impacto que deben ser valorados y considerados al momento de determinar los niveles de riesgo restante de las situaciones puntuales en las cuales se activan estos planes. A diferencia del proceso inicial de Gestión de Riesgo, en que se asume existe una Probabilidad y un Impacto, para efectos del BIA se asume una probabilidad 100%. Esto es un evento que se ha materializado. Lo que un Modelo de Gestión de Riesgos permite, es racionalizar y priorizar las inversiones y costos asociados a las respuestas necesarias para hacer frente a los eventos detectados en un BIA.
ANÁLISIS FODA Otra forma de introducir a la organización en la Gestión de Riesgos, es mediante la realización de un detallado análisis FODA o análisis de Fortalezas y Debilidades (Fortalezas, Oportunidades, Debilidades, Amenazas). El proceso de análisis de las Fortalezas y Oportunidades permitirá identificar los niveles de Riesgo Aceptables o controlados por la organización, así como los controles y mitigadores implementados, mientras las Debilidades y Amenazas permitirán identificar Riesgos. Esencialmente, el proceso es el siguiente. Se prepara 4 cuadros, uno para cada componente del FODA y luego se analizan individualmente. Usualmente cada Fortaleza está asociada a una Oportunidad, aunque ello no es estrictamente obligatorio y cada Debilidad muestra una Amenaza consistente en la explotación de dicha debilidad. Se analiza componente a componente y se listan los aspectos de la empresa, la organización o el entorno que correspondan. Al realizar el análisis se define con cierta certeza el nivel de aceptación de ciertos Riesgos, se pueden identificar algunos riesgos específicos y se puede comparar y ajustar las definiciones de los criterios de impacto. Este resultado de las expectativas de la organización se cruza con las declaraciones de misión, visión y objetivos del negocio, lo cual permitirá identificar no sólo el “apetito” al Riesgo, sino eventualmente dará algunas luces respecto de las prioridades que se deben atender.
Por ejemplo, la empresa tiene dentro de sus objetivos la externalización de la organización hacia mercados nuevos. Dentro de las oportunidades, como resultado del análisis, surge la posibilidad de expandir el mercado objetivo hacia los mercados externos y particularmente un determinado país, probablemente fronterizo. Sin embargo, existe un Riesgo adicional al del negocio propiamente tal, el que estaría relacionado con las fluctuaciones en el tipo de cambio entre una moneda y la otra. Se puede definir que una variación de un 5% del tipo de cambio no afectará la política de precios y por ende se considerará para este riesgo en particular como de impacto Bajo. Sin embargo, un cambio de un 50% en el tipo de cambio, que afecta la factibilidad de continuar exportando a ese mercado, se define como un Impacto Extremo. Como resultado se define un Nivel de Tolerancia o Apetito al Riesgo, para este Riesgo en particular, de tipo Bajo, en que se acepta variaciones del tipo de cambio abruptas de hasta un 15%. Si se tiene una variación de hasta un 30%, se considerará de tipo Medio; sobre un 30% hasta un 45% se considerará un Riesgo Alto; y sobre ese valor se considerará Extremo. Claramente, para este Riesgo en particular, un Nivel de Riesgos “Alto” o “Medio” no es aceptable y algo hay que hacer al respecto. En el mismo caso, se identifica como una Amenaza el hecho que la infraestructura de producción esté al 90% de su capacidad, por lo que sería insuficiente para abarcar la producción necesaria para la exportación. Aquí la amenaza es “no poder cumplir con el mercado”. Lo que representa un problema que pudiera traducirse en un Riesgo Operacional. La oportunidad es la “mejora de los equipamientos” y/o “adquisición de nueva infraestructura”, para cumplir con
nuevos requerimientos, reduciendo el Riesgo de “no poder cumplir con el mercado”. En definitiva, el Apetito al Riesgo o Riesgo Aceptable, es el punto en el cual necesitamos se levanten alertas extremas que nos permitan reaccionar a tiempo para controlar o mitigar Riesgos que están en niveles inaceptables para la organización, dadas su misión, visión y objetivos estratégicos. Por otro lado, la Tolerancia al Riesgo es el error que puede existir en torno al Apetito al Riesgo. Por ejemplo, el Apetito al Riesgo se ha definido en un nivel valorizado como 3, y la tolerancia al Riesgo se ha valorizado con 0,5. Esto se puede interpretar como que los Riesgos que se encuentren entre 3 y 3,5, pueden ser no aceptables, pero son tolerables. Es decir, es necesario hacer algo para controlar o mitigar sus efectos ante una materialización, pero no son prioritarios y podemos convivir con ese pequeño margen de error. Hay quienes plantean que el Riesgo Aceptable y la Tolerancia al Riesgo son equivalentes y las utilizan indistintamente para referirse al mismo concepto. Es absolutamente válido y aceptable, en la medida que toda la organización así lo entienda.
FACTORES DE RIESGO
Dada mi experiencia personal, la mejor forma de explicar la diferencia entre un Riesgo y un Factor de Riesgo es con el concepto de un accidente vehicular. El conductor se sube al vehículo y corre el Riesgo de tener “un accidente vehicular”. Sin embargo, este accidente puede ser porque el conductor estaba bebido, sufrió un infarto, el vehículo presentaba fatiga de materiales, no contaba con insumos necesarios, hubo elementos de distracción, etc. Cada uno de estos elementos puede ser la causa raíz de la materialización de un Riesgo y por ello se denomina Factor de Riesgo (FR). Una forma de identificar los FR es describiéndolos de la forma que suceda algo o que no suceda algo. En el ejemplo del accidente vehicular, tenemos “que el conductor esté bebido”, “que se produzca un desperfecto mecánico”, “que el automóvil no tenga combustible”, etc. Sin embargo, igual como un Riesgo puede tener varios Factores de Riesgo o motivos que provocan la materialización del Riesgo, un Factor de Riesgo podría materializar distintos Riegos. Volviendo al tema vehicular, “que el conductor esté bebido” puede materializar el Riesgo de un accidente de tránsito (que es lo más evidente), pero también puede materializar una Violación a la Ley de Tránsito, Generar Antecedentes Policiales, provocar la Muerte propia o de terceros, o la Pérdida del Vehículo, por mencionar algunos. Consideremos otro ejemplo. La organización se encuentra dispersa en la ciudad y a veces es necesario enviar documentos físicos de carácter crítico de un lugar a otro. Existe el FR “que el mensajero se accidente”. Sin embargo, producto del
accidente podría materializarse el Riesgo “Indisponibilidad de Personal”, “Pérdida de documentos” o “Atraso / Incumplimiento” u otros. Cuando se comienza a identificar Factores de Riesgos, es importante no abusar del lenguaje y generar miles de FR diferenciados simplemente por matices. Para efectos prácticos “que el suelo tenga una capa de 1 cm de agua”, “que el suelo tenga una capa de 5 cm de agua” o “que el suelo tenga una capa de 30 cm de agua”, da lo mismo, es un anegamiento o inundación, que inutiliza el espacio físico y afecta la continuidad de un proceso. Siempre se corre el Riesgo de hilar demasiado fino, por lo que es necesario controlarse. A su vez, hay que tener cuidado con la redacción, puesto que puede escribirse un mismo FR de distinta forma y por ello ser considerado otro FR cuando no los es. Por ejemplo: “Que se enferme el 10%+ del personal crítico” o “Indisponibilidad de personal Crítico”. El matiz existe, pero para efectos prácticos de Gestión de Riesgo, son exactamente el mismo FR, sólo diferenciado por un tema de redacción. Otra situación con la cual se debe tener cuidado, es con los controles. La falta de un control no es un FR. Sin embargo usualmente se cae en FR del tipo, que el control no opere, que no esté disponible el control, etc. Por ejemplo, “Que no se realice la revisión técnica del vehículo”, siendo que la revisión técnica es justamente un control. Otro ejemplo, “que los frenos no funcionen” suena razonable a FR, pero los frenos son un control y lo que se indica es que el control no funcione. Luego, no es un FR válido. Las características del control deben considerar o valorizar de alguna forma el hecho que el control no funcione, se deteriore o simplemente no cumpla su función. Si un control requiere de mantenciones regulares, se puede valorizar
algún parámetro respecto de las mantenciones, e incorporarlo en la valorización del control mismo. Como referencia, una organización cualquiera podrá identificar entre 150 y 300 Factores de Riesgo individuales y específicos dado un proceso en particular, los que estarán asociados a un rango entre 20 y 80 Riesgos. Cualquier cosa que exceda estos rangos, es necesario re-evaluarlo, puesto que es factible existan Factores de Riesgo duplicados expresados de distinta forma o un conjunto de ellos que sean matices unos de otros. Al considerar 300 Factores de Riesgo, a un promedio de 5 FR por Riesgo, significa que se deberá valorizar 1500 Factores de Riesgo – Riesgo (FRxR), lo cual es tremendamente excesivo. Una cantidad en el límite de los humanamente razonable, y medianamente manejable con una planilla electrónica, es de 1000 a 1200 FRxR que deberán ser analizados individualmente. En caso de ser necesario manejar un mayor número de Riesgos y/o Factores de Riesgo, es recomendable avanzar con algún desarrollo con bases de datos más industrializadas que una planilla o incluso la adquisición de algún sistema de Gestión de Riesgos.
CATEGORÍAS DE RIESGOS
Para poder identificar un Riesgo, es necesario tener claro qué es un Riesgo. Cada especialista en Gestión de Riesgo tendrá sus matices respecto de dicha definición, por lo que también es un aspecto de la Gestión de Riesgos que se encuentra aún en un ámbito etéreo y gris. Para algunos, el Riesgo de cruzar un puente puede ser alto, mientras que para otros puede ser bajo e incluso rutinario. Para algunos una actividad deportiva puede ser un Riesgo “controlado” mientras que para otros es un riesgo demasiado alto como para siquiera pensar en dicha actividad.
En algunas culturas existe un Riesgo que se debe asumir por temas de tradición y preservación cultural.
En general, el ser humano tiene cierta aversión al Riesgo y especialmente a aquellos Riesgos que pudieran generar un impacto en el que el dolor y eventualmente la muerte pudieran ser el resultado. Dada esta diversidad de conceptos de Riesgo, es que el tema es tan vago y amplio. Sin embargo, para efectos de consensuar algún criterio básico sobre el cual poder desarrollar la Gestión de Riesgos, comenzaremos por orientarnos con la fuente del idioma. Según la RAE, Riesgo es: 1. m. Contingencia o proximidad de un daño. 2. m. Cada una de las contingencias que pueden ser objeto de un contrato de seguro. Fuente: www.rae.es
Adaptando estas definiciones a la Gestión de Riesgos, hay quienes consideran que un Riesgo es “la probabilidad de ocurrencia de un incidente que afecte a la organización (en forma positiva o negativa)”. Sin embargo, para otros es “una combinación de parámetros de Probabilidad e Impacto respecto de la materialización de un evento específico que afecte a la organización o su desarrollo cotidiano”. Algunos más puristas en materias del lenguaje, simplemente adoptan la primera acepción del diccionario, dejando en claro que el Riesgo siempre estará asociado a una contingencia y por su efecto a un daño a la organización.
Se vio que Basilea II tiene una definición de Riesgo que esencialmente es un matiz de lo anterior. Sin embargo, según se defina qué es un Riesgo para la organización, se podrán definir criterios y parámetros adecuados para su gestión. Es difícil separar la identificación de los Riesgos de la identificación de Factores de Riesgos. Muchas veces un Factor de Riesgo es “disfrazado” de Riesgo. Por ejemplo: “que se produzca un asalto” suena a FR, pero en realidad es un Riesgo “disfrazado”, puesto que el Riesgo es “Robo, Hurto”. El que se produzca un robo puede deberse a planificación de ruta con errores, uso excesivo de efectivo, u otros. Luego los FR de este Riesgo serían del tipo: “Que la ruta planificada para el traslado de efectivo sea pública” o “Que se mueva físicamente grandes cantidades de dinero” o “que el dinero esté visible”, etc. Se podría decir que los Riesgos surgen de la agrupación racional de los FR. Existen básicamente dos tendencias filosóficas o pensamientos respecto de cómo evaluar el Riesgo. Poner un número o determinar una magnitud a algo tan subjetivo y etéreo como un Riesgo ha sido un debate de mucho tiempo. La buena práctica, aquella más diversificada y que ha dado resultados razonablemente acertados, es definir la Magnitud del Riesgo como el producto de la Probabilidad y el Impacto. El resultado de este producto puede ser corregido por otros parámetros asociados a la Severidad del impacto, tales como la Velocidad del Impacto, la Persistencia del Impacto o la frecuencia en que se ejecuta la actividad asociada al FR o su Nivel de Exposición. Sin embargo, existe una visión disidente que establece que, pese a que la Probabilidad y el Impacto Inherente o Inicial son variables independientes, el
Impacto Residual o Restante no lo es, sino que depende de la Probabilidad Residual o Restante. Quienes argumentan a favor de este concepto, consideran que cuando la probabilidad es mitigada o reducida, el impacto también lo es, como un efecto secundario. Esta misma filosofía de Gestión de Riesgos establece que no sólo puede darse un Riesgo de magnitud cero, sino que incluso se puede generar un Riesgo de Magnitud negativa. ¿Qué significa una Magnitud de Riesgo negativa? Básicamente es una oportunidad que aporta beneficios al negocio. Una Magnitud negativa implica un impacto doblemente negativo y desde el punto de vista matemático, un beneficio. De hecho, durante la revisión de la Norma ISO 31000, uno de los aspectos que se ha estudiado es justamente qué sucede con un Riesgo negativo, es decir cuando el Riesgo se transforma en una Oportunidad. En general, los riesgos se pueden agrupar en grandes Categorías según el proceso, el tipo de negocio, si existe normativa de referencia, etc. Por ejemplo, a nivel de industrias productivas se podrían clasificar en: Servir Mal; No Servir; Producir Mal; No Producir; Medioambiente y Entorno; y Legal. En industrias más normadas es necesario referirse a las especificaciones indicadas por las normas. Por ejemplo, la industria bancaria y financiera en general, se rige por las recomendaciones de BASILEA II y/o por legislación como SOX. La principal diferencia entre BASILEA II y las otras normas y recomendaciones existentes, es que en ella se especifican 7 categorías de Riesgos, que serían: Fraude Interno; Fraude Externo; Relaciones Laborales y Seguridad en el Trabajo; Clientes, Productos y Prácticas Empresariales; Daños a Activos Materiales (eventos de la naturaleza, sociales, país); Incidencias en el Negocio y Fallas de Sistemas; y
Ejecución, Entrega y Gestión de Procesos. Existen otras recomendaciones y estándares industriales que establecen sus propias categorías y criterios tales como COSO II o incluso SOX. Sin embargo, en ninguna de ellas se explicita y por ende orienta, con una categorización específica que oriente respecto de qué y por donde hay que buscar. La ventaja de categorizar los Riesgos es que permite una mejor visualización de ellos. Por ejemplo, se puede tener un número entre 1 y 20 Riesgos asociados a una categoría en particular y luego una cantidad de 1 a 150 FR asociados a un Riesgo específico. ¿Se imagina un gráfico de calor con todos esos puntos (20 x 150 = 3000)? Probablemente no se vería el gráfico, sino una enorme nube de
Mapa de Riesgos por Categoría Basilea
MAPA DE RIESGOS R46FR55 R14FR03R42FR123 R37FR122 R35FR122 R34FR122 R38FR123
R39FR123 R36FR122
R04FR03 R02FR03 R15FR03
R75FR175 R63FR223
R45FR55
R67FR223
CP R43FR112 R25FR159 R16FR43
Nivel de Exposición
FI
FE
GP
R09FR142 R53FR67
DA
R13FR35 R10FR35 R05FR35
R65FR37
R79FR231 R40FR01 R48FR152 R68FR181 R01FR202 R29FR107
RL
R60FR207 R66FR173 R62FR154 R44FR212 R06FR160 R56FR54 R64FR240 R59FR154 R07FR121R71FR08 R28FR241 R24FR163 R61FR196 R33FR15 R51FR28 R58FR66 R31FR17 R47FR131 R74FR111 R72FR112 R12FR138 R49FR242 R23FR106 R30FR106 R76FR242 R03FR148 R26FR106 R41FR101
IN
R27FR230 R08FR32 R77FR63 R19FR188 R54FR162 R32FR16 R73FR188 R20FR188
R18FR135 R69FR135 R22FR135 R78FR237 R70FR135 R55FR237
R52FR135 R21FR237 R57FR237
R17FR20 R50FR108
R11
Categorías
Fig 4 Mapa de Riesgos por Categorías
Fig 5 Mapa de 80 Riesgos
puntos y sus respectivas etiquetas. Además, las personas tendemos a entender gráficos (nubes de puntos) con un máximo de unos 40 a 50 puntos (Fig 5). Sobre eso, ya es un desorden que cuesta entender. Si se utiliza otro tipo de gráficos, como el de burbujas (Fig 4), puede que se complique la explicación del mismo a
las autoridades de la organización, pero es evidentemente menos caótico y más visual. Luego, para poder comprender adecuadamente donde potencialmente le “duele el zapato” a la organización, se puede hacer un gráfico de primer nivel con las Categorías. En el ejemplo de la figura 4, cada categoría está en la máxima Magnitud del Riesgo de alguno de los Riesgos de ella e indica cuál es ese nivel. Su tamaño refleja cuantos Riesgos están en esa categoría. Así, se puede observar que una Categoría de Riesgo que tiene pocos Riesgos, puede tener una Magnitud del Riesgo mayor que otra que tiene muchos Riesgos. Para contar con una visión general, pero más detallada, se puede graficar sólo el FR de mayor Magnitud de Riesgo para cada Riesgo. Al considerar un máximo de 80 a 100 Riesgos, son muchos puntos para entender el
NIVEL DE RIESGO RESIDUAL CATEGORIA 1
mapa (Fig 5).
R14FR03 R15FR03
La buena práctica recomienda que,
R13FR35 R16FR43
para tener un segundo nivel de R18FR135 R19FR188
detalle, se haga un mapa por cada Categoría
(Fig
6),
tal
que
R20FR188
R21FR237
R17FR20
se
visualice, para cada Categoría, la Magnitud del Riesgo de cada uno de los Riesgos en ella incluida. Esto
Fig 6 Mapa de Riesgo Residual de una Categoría
es un máximo de 20 a 30 puntos (Riesgos) por Categoría. Eventualmente se puede hacer un tercer nivel de detalle en el que se grafican los FR de cada Riesgo (Fig 7), lo que permitiría identificar en detalle aquellos que se encuentre con una
mayor Magnitud del Riesgo, y según cómo se especifique un FR y los datos asociados al mismo, incluso se podría identificar la actividad en la cual dicho FR puede ocurrir. En este punto en particular, es recomendable exponer solamente los “TOP” 20 ó 30 y no la totalidad de 150 punto, puesto que muchos FR pudieran tener magnitudes de riesgo relativamente bajas o controladas y que no tienen sentido el ser destacados, cuando existen otros mucho más relevantes respecto de los cuales hay que hacer algo.
R03i
R03e FR44 FR182
FR129
FR44
FR49 FR180
FR180 FR174
FR201
FR181 FR47 FR203
FR182
FR129 FR201
FR42
FR42
FR193
FR193 FR45
FR49
FR174
FR05
FR47 FR203 FR181
FR05
FR45
Fig 7 Mapas de Riesgo Inherente y Riesgo Residual de FRs del Riesgo R03
DEFINICIONES Y CRITERIOS
Previo al inicio del levantamiento, identificación y valoración de Riesgos y su posterior gestión y mitigación, es necesario establecer algunos criterios y definiciones que permitan contar con una metodología estandarizada que mitigue de alguna forma los elementos subjetivos y juicios de valor que pudieran afectar los resultados del proceso de Gestión de Riesgos. En este sentido, las buenas prácticas establecen que los principales parámetros para determinar la Magnitud del Riesgo es una combinación de Probabilidad e Impacto (algunas normas y recomendaciones mencionan Severidad en vez de Impacto). Cómo se medirán, cuál será la escala de medida, cómo se relacionarán estos parámetros, etc, son parte de las definiciones y criterios que son necesarios establecer y en la medida de lo posible formalizar en toda organización. No obstante, las metodologías basadas 100% en aspectos subjetivos son tan válidas, certeras o no, como aquellas basadas estrictamente en datos históricos. Todas estas definiciones deben necesariamente ser consensuadas, con las máximas autoridades de la organización, puesto que esencialmente consisten de definiciones de un “idioma” particular de la organización y su proceso de Gestión del Riesgo, el que definitivamente apoyará la toma de decisiones estratégicas de la organización pudiendo eventualmente reducir costos o aumentar la certeza respecto de alguna acción. En algún momento, todos en la organización deberán entender lo mismo cuando se indique que un Riesgo tal o cual tiene una Magnitud de X o un Nivel de Exposición de Y.
ESCALA En este sentido, se debe comenzar por definir lo mínimo necesario para construir sobre ello. Es necesario definir diversas escalas de medición. En general, los especialistas en la materia están de acuerdo en que es necesario llevar una escala de impacto y otra de probabilidad, se debe definir otras escalas según la metodología y parámetros que se utilicen. Por ejemplo, si se define que se utilizará un Nivel de Riesgo Residual o la Severidad que se medirá en función de la Velocidad del Impacto y la Persistencia del Impacto, los controles y sus parámetros, etc. Cada parámetro deberá estar asociado a una escala determinada para entender exactamente en qué consiste cada parámetro. Existen básicamente cuatro formas de medición: nominal, ordinal, de intervalo y de razón. Se analizará brevemente cada una de ellas, pero se profundizará especialmente en la medición de intervalos.
MEDICIÓN NOMINAL Es la forma más sencilla de abordar el tema de la medición mediante la agrupación en categorías tales como económica, tecnológica o medioambiental, sin situar un acontecimiento específico por sobre otro. Los números asignados en la medición nominal únicamente tienen por objetivo la identificación de los riesgos. Al usar este tipo de medición, las evaluaciones son cualitativas y por ende se basan fuertemente en aspectos subjetivos que pudieran ocultar algunos riesgos o pudieran exponer riesgos que no son relevantes respecto de otros.
MEDICIÓN ORDINAL En este tipo de medición, los eventos se describen en orden de relevancia para la organización, con etiquetas del tipo Crítico, Indispensable o Relevante o clasificado con valores definidos en la escala. Por ejemplo, la dirección de una organización podría definir que la probabilidad de un error humano es muy baja, mientras que la probabilidad de una falla en los sistemas es muy alta, indistinto de la historia, datos estadísticos u otras formas de valorizar o definir. Al usar este tipo de medición, las evaluaciones son cualitativas y por ende se basan fuertemente en aspectos subjetivos que pudieran ocultar algunos riesgos o pudieran exponer riesgos que no son relevantes respecto de otros.
MEDICIÓN POR RAZONES Este tipo de medición permite concluir que si un evento tiene un impacto X y otro tiene un impacto 2X, el impacto del segundo evento es el doble que el del primero. Esto es absolutamente válido, pero dado que esta forma de medición incluye el cero, existe la posibilidad de tener una Magnitud del Riesgo cero, que podría prestarse para confusiones, asumiendo por ejemplo que el Riesgo ya no existe. Sin embargo, mientras se desarrolle la actividad o conjunto de actividades en las que el Riesgo esté presente, no importa la metodología o valoración, el Riesgo SIEMPRE EXISTE y por ende no puede tener un valor cero. Este tipo de medición se basa en datos “duros”, estadísticas cuando existen o eventos históricos reconocidos, y ecuaciones matemáticas.
MEDICIÓN POR INTERVALOS Este tipo de medición utiliza escalas numéricas equidistantes. Por ejemplo, para un evento el impacto es 1, para otro es 2 y para un tercero es 3, el salto de impacto desde el primero al segundo evento es igual al salto de impacto entre el segundo y el tercero. Sin embargo, esto no significa que el impacto del segundo evento sea necesariamente el doble del primer evento. Este tipo de medición se basa en datos “duros”, estadísticas cuando existen o eventos históricos reconocidos, y ecuaciones matemáticas. Uno de los requisitos de una escala por intervalos adecuada para la Gestión de Riesgos, es que exista un punto medio. Graficado, significa que el diagrama debiera ser simétrico por las diagonales. Otro de los requisitos, es que no existan coordenadas que generen inconsistencias. TRES NIVELES Hay quienes promueven una escala de tres valores, tanto para la Probabilidad como para el Impacto y su consecuente escala discontinua de tres niveles para el Riesgo. Ello es una condición válida, que se asocia a los colores del semáforo, por lo cual es más amigable y fácil de implementar, tiene varias deficiencias por lo que la buena práctica no la recomienda. Sus grandes problemas radican en que la mayoría de los riesgos tiende a caer en la zona media, la cual además, tiende a ser levemente mayor que los extremos. Si se grafica un Mapa de Riesgo con los colores del semáforo, como el de la fig 8.1 podemos ver cómo la mayoría de los Riesgos tenderá a caer en un nivel Medio, despreciando Riesgos que pudieran ser relevantes o desviando recursos a Riesgos que pudieran ser de menor relevancia.
Fig 8.1.-
Fig 8.2.-
Fig 8.3.-
Si la distribución de los rangos es equivalente y homogénea, se generan puntos de inconsistencia en donde se puede tener dos e incluso tres niveles en forma simultánea. Adicionalmente es necesario definir qué sucede cuando el punto está en el límite propiamente tal. Es necesario definir qué nivel tendrán estos puntos. Se puede optar por el nivel más alto o por el nivel más bajo. Ambas opciones son válidas. Sin embargo, nuevamente pensando en la buena práctica o lo más difundido y que ha dado buenos resultados, es usar el límite como parte del nivel más alto. Esto da mayor relevancia y visibilidad a los Riesgos que se encuentran en esta situación. Las formas verbales para expresar estos niveles pueden ser del tipo: Nivel 1
Nivel 2
Nivel 3
Bajo
Medio
Alto
Atendible
Urgente
Prioritario
Menor
Medio
Mayor
CUATRO NIVELES Muchas normas y guías que ayudan a gestionar los Riesgos, trabajan con escalas de 4 niveles. La alternativa de escalas pares y particularmente de una escala de 4 valores, genera varios problemas. El primer problema, como se puede observar en los esquemas de las figuras 9.1, 9.2 y 9.3, es la simetría en las diagonales, la cual simplemente no se puede lograr y motivo por el cual tampoco existe un punto medio.
Fig 9.1.-
Fig 9.2.-
Fig 9.3.-
Adicionalmente hay un claro problema al poder pasar un Riesgo de un nivel a otro sin pasar por un nivel intermedio. También en estos diagramas se producen puntos de intersección donde un Riesgo pudiera tener 3 niveles de riesgo simultáneos, lo que no es consistente. En el caso de la figura 9.3.- se eliminan los puntos inconsistentes y no existe forma de pasar de un nivel a otro sin pasar por uno intermedio, pero más del 40% de la superficie es considerada de magnitud mínima, mientras en contra partida, sólo un 6% es considerada como crítica. Claramente existe la tendencia a disminuir la importancia de los Riesgos graficados.
Las formas verbales como se pueden expresar estos niveles pueden ser del tipo: Nivel 1
Nivel 2
Nivel 3
Nivel 4
Malo
Regular
Aceptable
Bueno
Aceptado
Atendible
Urgente
Prioritario
Menor
Medio
Mayor
Extremo
CINCO NIVELES Otra alternativa de escala es la de cinco niveles (Figura 10). Su característica esencial es que siendo simétrica, es la escala más pequeña que cumple con los requerimientos de escalas. Estos son: 1.- Qué no presente posibles inconsistencias. 2.- Que exista un punto medio Adicionalmente a las características mínimas necesarias indicadas anteriormente, el tener un nivel de segregación de la escala de un 20%
Fig 10.- Mapa de 5 niveles
facilita contar con un mayor nivel de sensibilidad respecto de las Magnitudes de los Riesgos y por ende la discriminación respecto de cuales mitigar o controlar primero, con los siempre escasos recursos disponibles.
Las formas verbales como se pueden expresar estos niveles pueden ser del tipo: Nivel 1
Nivel 2
Nivel 3
Nivel 4
Nivel 5
Mínimo
Menor
Medio
Alto
Extremo
Controlado
Aceptado
Atendible
Urgente
Prioritario
Malo
Regular
Aceptable
Bueno
Muy bueno
OTRAS ESCALAS Otras escalas que se pueden utilizar son las relacionadas con los puntajes o escala de valoración utilizada en los países donde se aplicará la evaluación de los Riesgos. En este sentido, en algunos países de Sudamérica se usa una escala de 1 a 7 con un decimal, en Europa y Norteamérica se usan escalas de 5, 10 y 100, con hasta 4 decimales e incluso con letras. Todas estas escalas tiene el beneficio de la facilidad o reconocimiento por parte que los usuarios y dueños de procesos que deberán finalmente valorizar. Sin embargo, particularmente las escalas
pares
tienen
sus
inconvenientes. El primer problema es que siendo pares no tienen un nivel o punto medio claro, es un límite entre un punto y otro, una intersección de
Fig 11 Escala continua P x I
ejes. Por otro lado, es un nivel de segmentación muy detallado. Particularmente la segmentación en 100 niveles, pensando en porcentajes, requiere de un nivel de madurez de la Gestión de Riesgos y de capacidad de cálculo, que no hace recomendable adoptar estas escalas dentro de los primeros ciclos del proceso de Gestión de Riesgos. Ello no impide que en la medida que la organización madure respecto de su Gestión de Riesgos, se pueda redefinir y afinar con mayor detalle una escala o la metodología completa. Dado que las organizaciones en general no cuentan con información suficiente ni fidedigna, y que su involucramiento con la Gestión de Riesgos es relativamente incipiente o baja, es recomendable utilizar escalas discretas, tales que las Magnitudes de Riesgos o colores de la temperatura del Riesgo estén asociados a matrices discretas, más que a valores o rangos específicos. Cuando una organización se encuentra suficientemente madura respecto a los conceptos asociados a la Gestión de Riesgo, se puede considerar una escala continua que abarque rangos en degradé continuo desde el Azul oscuro hasta un rojo, pasando por un lila, amarillo y naranjo, representando de alguna forma la temperatura de las magnitudes de los riesgos. Estas escalas permiten dejar de lado la metodología discreta y enfocarse en valorización numérica de los Riesgos. Por ejemplo, se puede determinar la magnitud de un riesgo como la magnitud del vector cuyo origen están en la coordenada 1,1 y termina en las coordenadas del mapa correspondiente a la combinación de Probabilidad e Impacto restantes tras la aplicación de controles o exposición. A su vez, la urgencia o prioridad de
tratamiento del Riesgo estará dada por la “temperatura” de la coordenada de Probabilidad e Impacto, representada por el color de la matriz en dicho punto. Para complejizarlo un poco más, es factible establecer un gráfico tridimensional considerando como un tercer eje el Nivel de Exposición o el Tiempo transcurrido desde la materialización de un incidente, siendo la Magnitud del Riesgo, la magnitud del vector con origen en 1,1,1. Es importante recordar que cuando se definan escalas y estas se lleven a términos verbales, las expresiones utilizadas representen adecuadamente lo que se desea describir, evitando exageraciones en uno u otro sentido. Adicionalmente, es muy importante que los términos y expresiones no se repitan entre una escala y otra. Por ejemplo, al usar el término Mínimo para representar un rango de impacto, no se puede usar ese mismo término en la escala asociada a controles o riesgos, puesto que causará confusión y los resultados no serán los esperados. Finalmente, es necesario considerar que también existe la posibilidad de combinar las escalas y metodologías aquí mencionadas, o incluso desarrollar otras propias según la organización, procesos y características propias del “mundo” en el cual la organización se desempeña.
PROBABILIDAD Según el diccionario de la Real Academia de la Lengua Española: probabilidad.(Del lat. probabilĭtas, -ātis). 1. f. Verosimilitud o fundada apariencia de verdad. 2. f. Cualidad de probable, que puede suceder. 3. f. Mat. En un proceso aleatorio, razón entre el número de casos favorables y el número de casos posibles. Fuente: www.rae.es
Suponiendo se definirá una escala de probabilidad discreta, para efectos de su valoración, es necesario determinar una nomenclatura verbal que permita a los usuarios y dueños de procesos comprender el valor asociado que deberán asignar. En este sentido, para efectos de la Gestión de Riesgo, debemos entender por Probabilidad, “la frecuencia de veces que se materializa un evento respecto de la cantidad de veces que se ejecuta la acción en la cual el riesgo está presente” (RAE acepción 3). Por ejemplo, si diariamente se debe hacer un balance, como los bancos, y en las últimas 260 oportunidades que se ha ejecutado el proceso de hacer el Balance (1 año aproximadamente) se ha materializado el FR “Que se informe una Balance con errores” en 5 oportunidades, tendremos una probabilidad de ocurrencia o materialización de dicho Factor de Riesgo de 5 en 260 ó una probabilidad de 1,92%. Al definir discretamente la escala de la probabilidad, de la forma “si ocurre 5 veces en el año”, el valor podría ser el máximo en la escala. Sin embargo, lo usual en las organizaciones del mundo, de todo tipo, es que no existan registros de eventos de pérdida o de materialización de eventos de este
tipo. Usualmente, cuando se comienza a implementar un Modelo de Gestión de Riesgo se debe recurrir a la memoria de las personas que llevan más tiempo en la organización, con todo lo que ello puede implicar, pero es un punto de partida. Hay quienes proponen el uso de datos estadísticos de la industria cuando no existen datos históricos. Sin embargo, al evaluar la probabilidad de ocurrencia, por ejemplo, de un error tecnológico, el valor va a depender del tipo de tecnología, infraestructura, nivel de criticidad de la tecnología, actividades en las cuales esta es crítica, configuración, etc. Luego es en extremo “poco probable” obtener la información a nivel de industria respecto de situaciones del mismo tipo con la misma tecnología. Considerando que usualmente no hay datos, se asocian los niveles de probabilidad, según la escala definida, a la cantidad de veces que ha ocurrido en un tiempo determinado, usualmente uno o dos años, o cuando es una actividad que se realiza con muy poca frecuencia, en las últimas X oportunidades que se ha desarrollado la actividad en que un FR particular puede materializarse. Esto permite generar un primer impulso a la Gestión de Riesgos, consensuar los valores y en definitiva iniciar el proceso mediante el cual se colonizará la cultura de Gestión de Riesgos en la organización. Por ejemplo, durante un proceso productivo, la actividad “soldar izquierdo y derecho en una pieza” presenta el Factor de Riesgo “Que la soldadura presente problemas de sello”. Dado que se hacen varios cientos, miles o más en forma diaria, esta actividad se consideraría rutinaria y frecuente, por lo que si ocurre una cantidad de veces que el FR se materializa en un período de tiempo definido, se le
puede asignar un valor. Dicho valor sería del tipo “ha ocurrido YYY veces en un año”. Por otro lado, actividades como “Realizar mantenimiento de equipos”, en algunos casos requiere detener la producción de ese equipo por períodos de días o semanas. Los FR en este punto tienen que ver con un aumento no planificado de la duración de la mantención, provocando problemas de operación, o directamente con la imposibilidad de arrancar nuevamente, u otros. Dado lo anterior, este tipo de actividades se realizan muy poco en un período de un año o incluso dos, por lo que para determinar el valor de la Probabilidad de materialización de un FR sería en función de la cantidad de veces que la actividad se realiza. Dicho valor sería del tipo “ha ocurrido Z veces en las últimas N veces que se ha realizado la actividad.” Donde N es un parámetro fijo, predefinido como un criterio de referencia. Ambas formas de valoración de la Probabilidad son válidas y pueden utilizarse individualmente durante todo el proceso o alternar el criterio en función de la actividad en la cual se pudiera materializar el Factor de Riesgo. Sin embargo, cuando existe suficiente información de materialización de eventos (a lo menos un año de estadísticas), es recomendable modificar el criterio y ajustarlo de acuerdo a los nuevos resultados en base a datos más “duros”. De esta forma se logra refinar el criterio utilizado para definir o estimar la probabilidad. Otro aspecto de la Probabilidad que es conveniente tener en cuenta es que ella se describe en función de varios parámetros. Por ejemplo, la probabilidad que caiga
un rayo en determinado lugar dependerá de la cantidad de veces que se produce una tormenta eléctrica y la cantidad de rayos que se producen en cada tormenta. También, si se considera la Exposición, debemos considerar cuantas veces la organización se expone a ese Riesgo. Otro ejemplo. Antes de 1960, la probabilidad relacionada al riesgo de accidente en el espacio exterior era nula. Ello debido a que aún no era posible llegar allá y los elementos en el espacio exterior eran mínimos en cantidad. Hoy en día, para determinar la probabilidad, no basta con saber cuánta basura espacial existe dando vueltas a nuestro planeta, también debemos considerar la Exposición, es decir, cuantas veces nos exponemos a sufrir un accidente en el espacio exterior. Se puede comparar la situación con los vuelos comerciales. La probabilidad de sufrir un accidente aeronáutico está claramente relacionada a la cantidad de vuelos en un momento dado, pero también a la cantidad de veces que individualmente se participa de alguno de ellos, nuestra Exposición al Riesgo.
IMPACTO Cuando se analiza el Impacto hay varios elementos que se deben considerar. El Impacto se traduce en “cuanto puede llegar a doler a la organización la materialización de un Riesgo en particular”. En este “cuanto le puede llegar a doler“ hay que considerar no sólo los costos directos como el de una máquina, sino también los costos de reparación o reposición, los costos asociados a no poder operar, si hay heridos, los costos asociados a esas personas, etc.
El
impacto puede reducirse directa e indirectamente a valores financieros, pero es recomendable utilizar FLIN a objeto de tener una visión más amplia del Impacto. FLIN es un acrónimo que a lo largo del tiempo he acuñado y que representa las cuatro principales formas como se puede presentar el impacto que una organización puede percibir. Estos son: Impacto Financiero, el más evidente; Impacto Legal, se refiere a demandas laborales o comerciales en contra de la empresa. No considera las acciones que la organización emprenda contra otros; Impacto en Imagen o Percepción de la Marca, puede afectar el valor de una marca, más que el del producto que la lleva; e Impacto Normativo o regulatorio, el que se refiere a las distintas situaciones con reguladores y fiscalizadores como el Servicio de Impuestos, reguladores industriales, Inspección del Trabajo, superintendencias, municipios, representantes del estado en general, etc. Adicionalmente, se puede evaluar el efecto o Impacto en el Negocio propiamente, tales como efectos de surgimiento de productos alternativos, aparición de competencia agresiva o incluso competencia desleal, problemas con patentes industriales, colusión en contra de la empresa, etc.
Aplicando la escala que se defina, es necesario asociar a cada nivel una expresión o verbalización de dicho nivel que esté asociada de alguna forma al nivel y que permita facilitar la comprensión por parte de los usuarios y dueños de procesos. Sin embargo, la discriminación de los impacto por medio de FLIN o FLINN, permitirá identificar en forma más certera el origen del impacto y por donde hay que tratarlo. Por ejemplo, un Riesgo cuyo impacto en Imagen sea extremo requiere un tipo de tratamiento muy distinto que un impacto que desde el punto de vista Normativo tiene la misma magnitud. En el caso de un impacto en Imagen, se dispondrá de orientaciones para una comunicación adecuada con el público, clientes y proveedores, mientras que en el caso normativo, se mantendrá acuciosa vigilancia respecto de los aspectos normativos que pudieran verse afectados o respecto de los que pudiera existir alguna brecha o incumplimiento. Dicho lo anterior, y en el marco de la escala que se defina, para cada uno de los impactos FLIN es necesario establecer un criterio que estandarice la valorización en el marco de la misma escala definida para el Impacto. Es decir, los cuatro aspectos de FLIN deben ser valorizados con la misma escala, pero un mismo nivel significará distinto para un aspecto que para otro. A su vez, dado que el objetivo de la evaluación de Riesgos es exponer los Riesgos, para efectos de definición de cuál valor de los tipos de impactos se utilizara para realizar cálculos y gráficas, se recomienda que sea el valor más alto, es decir, el que potencialmente produce mayor dolor para la organización. Por ejemplo, en forma genérica se ha determinado que un nivel de Impacto mínimo, desde el punto de vista Financiero “representa menos de US$1000”;
mientras que desde el punto de vista Legal, “se resuelve directamente sin intervención de terceros”; desde el punto de vista Imagen, “es sólo de conocimiento del personal de la organización”; y desde el punto de vista Normativo, “se recibe sólo una observación o amonestación verbal”. IMPACTO FINANCIERO Cuando se define el impacto Financiero estamos hablando de dinero. Es así como una organización puede considerar en el nivel “mínimo” a cualquier materialización de un Riesgo cuyos costos asociados sea menor a US$1.000 ó a un 0,0001% de la utilidad de la empresa. También podría definirse como un monto menor al que se asigna como “Caja Chica”. La forma de definirlo puede variar según cada organización, sus criterios definidos previamente y la cultura de la misma. Por otro lado, un impacto financiero “extremo” podría definirse como sobre los US$50.000 ó sobre un 10% de la utilidad antes de impuestos. En este sentido, un Impacto financiero “mínimo” debe ser algo que se puede subsanar o resolver con recursos relativamente mínimos para la organización. Por el lado del nivel máximo, se puede considerar cualquier gastos o costo o combinación de ambos, que supere un monto o un orden de magnitud significativo para la organización o que pudiera incluso poner en riesgo la continuidad del negocio. Sin embargo, es importante recordar que los océanos se formaron a partir de pequeñas gotas, por lo que un evento con un impacto aparentemente menor no debe ser desechado por ese simple hecho. El hecho que un Riesgo esté bajo el Nivel de Aceptación del Riesgo, no significa que se pueda descuidar o
despreocupar la atención sobre el mismo. Es importante recordar que se está trabajando con riesgos. IMPACTO LEGAL Cuando se define el impacto Legal estamos ante situaciones que directa o indirectamente requieren de la intervención de abogados y del sistema judicial normal. Por ejemplo, que el Servicio de Protección al Consumidor presente una demanda por un producto defectuoso, o que un empleado presente una demanda por acoso laboral, o un proveedor que demande a la organización por incumplimiento de contrato, etc. En este aspecto del Impacto se define en base a una escala relativa a situaciones de tipo penal o comercial que pudieran llegar a ser resueltas mediante un proceso judicial. En general el nivel “mínimo” del impacto legal se puede definir como una solución directa entre los afectados, sin intervención del aparato Jurídico Legal. Por otro lado, el extremo superior del impacto se define como aquel en el cual tras un proceso legal se generó una sentencia condenatoria en contra de la organización. Esta sentencia podría requerir el cierre de una operación, cambios extremos en los procesos, pagos de multas e indemnizaciones onerosas, entre otras. Sin embargo, también hay que recordar las gotas en este caso. Una demanda laboral por un monto menor puede no ser relevante, pero cuando es un conjunto de demandas individuales que pudiera representar en su conjunto una cantidad de empleados o colaboradores representativos, podría considerarse de impacto mayor. Por tanto, también es necesario tener especial cuidado con los impactos menores.
IMPACTO EN IMAGEN Al tratar el concepto de Imagen, estamos tratando con un bien valorado intangible como lo es la marca, el respeto que esta provoca, la confianza en la misma o su credibilidad. Hay marcas que, debido a un incidente mayor, han debido eliminarse y redefinirse, pese a que el producto final sigue siendo el mismo. En este sentido, se debe definir cada nivel en función del impacto negativo respecto de la imagen hacia el mercado que la organización quiere mostrar. Por ejemplo, una situación simple o menor, sería que se resuelva internamente sin conocimiento por parte de proveedores o cliente. Mientras, en el otro extremo, habría información en medios de comunicación masiva como radio, periódicos o televisión. IMPACTO NORMATIVO El impacto Normativo tiene que ver con los fiscalizadores y terceras partes interesadas, principalmente entidades del Estado. Por ejemplo, que se detecte un problema sanitario en una planta productora de alimentos, podría llegar hasta la clausura de la planta por dicha situación. También hay que considerar que una situación pequeña puede rápidamente escalar a una más compleja o incluso hasta el cierre de las operaciones. En este sentido, un impacto menor podría ser una visita de inspección con resultados desfavorables menores (observaciones o detección de brechas fácilmente enmendables), mientras en el otro extremo se tendría sanciones de diverso tipo que pudieran incluso incluir el cierre temporal o término definitivo, parcial o total de la operación.
IMPACTO NEGOCIO El impacto en el Negocio tiene que ver directamente con los resultados producto del giro de la Empresa. A diferencia del impacto Financiero, donde pudiera considerarse efectos en el flujo de caja o en cuentas contables específicas, éste se fija principalmente en los efectos sobre los resultados del ejercicios anual, las utilidades o beneficios. Aquí el impacto “menor” podría ser que no afecta los resultados de la organización, mientras un nivel “máximo” pudiera ser un ejercicio comercial con resultados negativos, equivalentes o superiores a 10% del ejercicio anterior. OTROS PARÁMETROS DEL IMPACTO Adicionalmente a las alternativas de FLINN para el impacto, existen otros parámetros que en algún momento debieran ser considerados. Por un lado está la Velocidad con que llega el impacto y por otro la Persistencia del impacto en el tiempo. Estos dos parámetros tienen que ver con la Severidad o cuan grave es el impacto. Cuando se menciona que el impacto ocurre en forma rápida, como producto de desastres de la naturaleza, estamos ante situaciones con determinadas características. Sin embargo, un nivel de impacto equivalente puede darse con un paro de actividades de los trabajadores, la cual podría venir incubándose con bastante tiempo y paulatinamente va afectando los procesos. Cuando se menciona la Persistencia de un impacto, nos referimos a como ese impacto se mantiene en el tiempo. Por ejemplo, el accidente en una central
nuclear como FUKUSHIMA o CHERNOBIL, ha demostrado que la catástrofe no fue solamente en forma inmediata. Varias años después, aún hay evidencia de efectos nocivos en la flora y fauna de la región, con mutaciones y serios problemas para la población. Mientras que los efectos del terremoto que causó los daños en Fukushima ya están subsanados desde el punto de vista de la infraestructura e incluso la planta ha vuelto a funcionar, el impacto del accidente en la planta nuclear se ha mantenido, persistiendo en el tiempo. Adicionalmente, es necesario considerar algunas situaciones o condiciones de borde. Por ejemplo, cuando la probabilidad es “mínima”, pero el impacto es el mayor posible. Hasta Septiembre de 2001, considerar que un avión choque contra un edificio era tema de chistes, risas y anécdotas. Producto de los eventos ocurridos con las torres gemelas en Estados Unidos el 11 de Septiembre de 2001, esa concepción cambió radicalmente. Para evitar pasar por alto estos casos de muy baja probabilidad pero muy alto impacto, la buena práctica recomienda que dado un impacto “máximo”, la probabilidad no debiera ser “mínima”, debiera ser a lo menos del segundo nivel, con el único objetivo de darle mayor visibilidad al Riesgo. Otro tipo de situación de borde, es aquella en que la probabilidad es certeza absoluta. Cuando se piensa que en Chile hay 3 movimientos sísmicos por día y es parte de una de las cadenas montañosas con la mayor cantidad de volcanes activos del mundo, y se plantea la posibilidad que un volcán haga erupción, muchos aún lo toman como broma. Sin embargo, considerando que las probabilidades de ocurrencia en un momento dado, por ejemplo hoy, son
absolutamente mínimas, cuando suceda, el impacto sería tal, que la organización simplemente podría desaparecer, como ha sucedido con poblados completos, sea por un terremoto o por una erupción volcánica. Puntualmente en el caso chileno, la pregunta no es si habrá una erupción volcánica o si habrá un terremoto catastrófico. Chile tiene el registro del terremoto más fuerte jamás registrado en la historia desde que existen registros (9.5 Richter, Valdivia, 22 de Mayo 1960). La pregunta es cuándo, y eso significa que el impacto máximo posible será real y no potencial, salvo que se tomen algunas consideraciones previas y la organización se prepare. En este ejemplo, la probabilidad de un terremoto siempre es de 100%. En el caso de Estados Unidos, por ejemplo, la probabilidad de un tornado en ciertas localidades y épocas del año también es 100% y en el Golfo de México la probabilidad de un huracán también es 100%. Hay lugares y eventos de la naturaleza que sabemos que ocurrirán, tarde o temprano, que son inevitables. Luego, su probabilidad es 100% y solamente se puede trabajar en reducir el impacto que dichos eventos producirán sobre la organización. Igualmente, la probabilidad de que nuestra vida termine es de un 100%, todos vamos a morir un día. Sin embargo, existen seguros de vida que buscan compensar los daños a la familia cuando ello ocurra. Eventualmente, la organización podría evaluar considerar otras formas de impacto, especificando impacto en el medio ambiente, impacto social, e incluso impacto políticos. En general los “flancos” por donde pudiera darse un impacto son los principales ejes de evaluación del Impacto que la organización debe llevar a
cabo. Con ello se tiene una visión integrada y de 360° respecto del origen del potencial impacto y de su magnitud esperada. EXPOSICIÓN AL RIESGO Es habitual que se confundan conceptos de Riesgo Residual o Restante y la Exposición al Riesgo. El Riesgos Restante o Residual es el Riesgo como resultado de la aplicación de controles y mitigadores. Sin embargo, el Nivel de Exposición al Riesgo tiene que ver con la cantidad de veces en un período dado en que la organización, producto de sus actividades y controles, se ve enfrentada o expuesta a un Riesgo en particular. Por ejemplo, una fábrica de productos en serie se ve expuesta a tener un producto fallido con una frecuencia bastante alta. Se podría decir, sin temor a error, que la empresa está expuesta a producir un producto fallido, en forma diaria. Sin embargo, un fabricante de vehículos motorizados a pedido, se ve expuesto al mismo riesgo, pero no con la misma frecuencia. Con mayor certeza, se ve expuesto al mismo riesgo cada vez que produce un nuevo vehículo a pedido y no en forma diaria. Otro ejemplo: Una fábrica de helados produce varios cientos de miles de helados en forma automatizada. Es casi seguro que a lo menos uno o dos de ellos tengan algún defecto, sea de forma, color, el palito no quedó al centro, etc. Es decir la organización se ve Expuesta al Riesgo en forma diaria. Por otro lado, se puede considerar el mismo producto, pero en esta oportunidad, la producción será artesanal. Aunque la producción es aproximadamente en serie, un día se hace una actividad del proceso, otro día se hace otra actividad y así sucesivamente, se logra completar un lote de producto en aproximadamente 5 días. En este caso, la
organización se ve expuesta al Factor de Riesgo “que el color no sea adecuado”, solamente en el día en que se aplica el color, lo que sucede solamente una vez cada 5 días y no en forma diaria. Por ello, su Exposición al Riesgo es 1 vez cada 5 días, mientras en el caso de la fábrica automatizada sería de 1ó 2 veces cada 1 día. Este es sólo un elemento a considerar para efectos de calcular o estimar el Riesgo. El impacto de un producto con falla es mucho mayor en el productor artesanal que en el productor industrial, pero eso es la componente de Impacto. Igualmente, existe otra Probabilidad, en que la probabilidad de un error en el proceso industrial es menor que en el proceso artesanal. Ello es válido al considerar el cálculo como la cantidad de fallas respecto de la cantidad total de producción. Las fallas en un proceso industrial serán más que las de un proceso artesanal. Sin embargo, la cantidad de unidades producidas industrialmente es muy superior a las producidas artesanalmente, por lo que finalmente la proporción es menor en el proceso industrializado.
CONTROLES Existen esencialmente tres tipos de controles. Están aquellos que controlan que un evento no suceda, estos reducen la probabilidad y se les denomina controles Preventivos. Existen otros controles que no previenen nada, pero permiten mejorar el nivel de reacción ante la materialización de un Riesgo, por lo que se les denomina Detectivos, dado que detectan que ha sucedido algo y generan una alerta que permite una reacción temprana, reduciendo los efectos negativos del evento. Finalmente están los controles que mitigan puramente el Impacto o Reactivos, es decir, cuando se ha materializado el Riesgo, estos controles permiten que la recuperación o el daño, sea mitigado. La mayoría de los Riesgos y particularmente los más evidentes, están mitigados o controlados. Ello es debido a que existen controles o mitigadores implementados. Por ejemplo, en Chile los movimientos sísmicos son frecuentes en todo el país. Por eso las empresas, por mandato judicial (está en la Ley), deben contar con un plan de evacuación y deben ejercitarlo a lo menos una vez al año. Por tanto, todos los trabajadores conocen qué hacer, en forma casi instintiva, ante un sismo fuerte y particularmente, ante la necesidad de un proceso de evacuación. Algunas localidades costeras incluso han implementado planes de evacuación masiva de la población en caso de existir cierto grado de certeza respecto de un TSUNAMI. En estos casos, el Plan de Evacuación es un mitigador de impacto y por ende es un mitigador Reactivo que afecta el impacto en la organización producto de la materialización de un Riesgo. En realidad no hay como evitar o reducir la probabilidad que se produzcan eventos de la naturaleza tales como terremotos,
huracanes o desastres naturales de cualquier índole. El mitigador de tipo reactivo se activa u opera una vez que ha ocurrido un incidente. Su objetivo es hacer un control sobre los potenciales daños que pudieran ocurrir a la organización producto de dicho incidente. Por otro lado, las auditorías, los monitoreos de sistemas, detectores de humos, sensores de movimiento, alarmas, antivirus y alertas en general, son elementos que permiten a la organización reaccionar en forma más eficiente ante la materialización de un Riesgo. Este tipo de controles que “detectan” cosas y alertan respecto de un evento, son denominados Detectivos. Dado que este tipo de controles permite una reacción más rápida, estos afectan en alguna proporción a la probabilidad y en otra al impacto. No obstante, se verá más adelante que dependiendo de los criterios y definiciones que se determinen, estos pueden definirse como que afectan únicamente la Probabilidad o el Impacto o que la proporción de mitigación de Probabilidad e Impacto no es la misma para todos los controles. Por ejemplo, los avisos de alerta emitidos por organismos de estado son mitigadores de impacto, puesto que permiten a la población que desconoce la amenaza inminente, reaccionar rápidamente y huir del lugar antes de la llegada de un tsunami. Con ello se mitiga el impacto en materias de pérdidas de vidas humanas producto de este tipo de evento. Al tratarse de sistemas tecnológicos, las alertas respecto de un virus, la falta de una actualización o el indicador de temperatura de un motor, permiten también reducir la probabilidad y el impacto de materialización de un incidente. Las alarmas antirrobo, pese a que por su nombre
supuestamente impiden el robo, en la práctica permiten una reacción oportuna o más eficiente por parte de quien resguarda la propiedad o el bien, afectando la probabilidad de materialización de un robo mayor y también el impacto del mismos. Siguiendo con el ejemplo de las alarmas, en las películas se ve que los delincuentes usan cronómetros, puesto que saben con anticipación cuanto demorará la policía en llegar al lugar del atraco. La alarma mitiga el impacto, puesto que podrán llevarse sólo lo que puedan sacar en ese “breve” momento entre la activación de la alarma y la llegada de guardias o policías. Los controles Preventivos particularmente buscan reducir la probabilidad de ocurrencia de un evento o de la materialización de un Riesgo. Por ejemplo, las mantenciones preventivas del sistema, de redes de datos, de motores y maquinarias, capacitaciones., las actualizaciones de sistemas operativos o plataformas tecnológicas de elementos específicos, las actualizaciones de los antivirus, en general las políticas y reglamentos internos, cláusulas específicas en contratos de trabajo, declaraciones juradas de proveedores, certificaciones de cumplimiento de normas, elementos disuasivos tales como carteles, cámara de vigilancia falsas o verdaderas, disparos al aire aleatorios, etc. Por ejemplo, cuando el antivirus salta con un mensaje que se ha detectado un virus, está mitigando la probabilidad de que el equipo se contagie con un virus. En un predio, cuando el guardia dispara al aire, está informando a los delincuentes que se les recibirá a tiros y de alguna manera reduce la intención de ataque. Las mantenciones preventivas a controles son controles de controles, los que serán evaluados dentro del control principal, puesto que son un aporte indirecto a
las características propias del control. Por ejemplo, los generadores de respaldo son un control de tipo reactivo que entran a operar cuando hay un corte de energía eléctrica. Sin embargo, las mantenciones a dichos equipos, el que cuenten con suficiente combustible y sus respectivos fluidos, el que el personal conozca como encenderlo, etc., son parte de un control sobre el control. Esto se evalúa cuando se analiza la calidad del control. A continuación algunos ejemplos de categorías de controles: Tipo de Control
Categoría de Control
Preventivos
Segregación de tarea o función
Preventivos
Configuración de seguridad de sistemas
Preventivos
Procedimientos
Preventivos
Políticas
Preventivos
Códigos internos (Ética, conducta u otros)
Preventivos
Reglamentos internos
Preventivos
Cláusulas contractuales
Preventivos
Control de acceso
Detectivo
Autorización
Detectivo
Alertas
Detectivo
Informes de gestión
Detectivo
Validaciones
Detectivo
Indicadores
Detectivo
Supervisión
Tipo de Control
Categoría de Control
Detectivo
Conciliaciones – Cuadraturas
Detectivo
Auditoria
Correctivos
Planes de contingencia (BCP + DRP)
Correctivos
Extintores
Correctivos
Respaldos Procedimientos
(de
evacuación,
de
Correctivos recuperación, u otros) Correctivos
Sanciones administrativas
Correctivos
Seguros
VALORIZACIÓN DE LOS CONTROLES La Gestión de Riesgos requiere valorizar los controles o mitigadores que en definitiva llevaran el nivel de Riesgo a un Nivel Aceptable o acorde al “Apetito” al Riesgo de la organización. En este contexto, cada control debe ser evaluado en cuanto a sus características individuales relevantes. Las características de un control son: Calidad, Eficacia y Eficiencia. Algunas organizaciones utilizan métodos estrictamente cualitativos, y les es indistinto el análisis de Calidad, Eficacia y Eficiencia de un control en particular, puesto que evalúan el conjunto de controles existentes que aplican a un Riesgo en particular, como si fuera un único control.
CALIDAD La calidad de un control debiera considerar los aspectos propios de un control, dejando de lado otras características relacionadas con la eficacia y/o eficiencia. Algunas características de Calidad de un control pueden ser su nivel de Formalidad, su Alcance, su Resiliencia, la frecuencia con que el control opera, el tipo de control (Preventivo, Reactivo, Detectivo), Fabricante, requerimientos de mantenciones y su frecuencia, costos de operación y mantención, etc. En general son características propias de un control. Por ejemplo, el extintor de Incendios. Obviando el simple hecho que estar presente no mitiga ningún Riesgo, se puede evaluar si el tamaño del mismo es el adecuado, si sus mantenciones son adecuadas, si el tipo de extintor es el adecuado, si su fecha de caducidad o vigencia está al día, si es de activación manual, semi-autimática o automática, etc. En general, las características de Calidad de un control se refieren a cuan confiable puede ser en cualquier momento y particularmente cuando se le necesite. Estas características también deben ser valorizadas de alguna forma tal que permita, en combinación con la eficiencia y eficacia del control, mitigar o controlar adecuadamente el o los FR a los que se asociará el mismo. EFICACIA La eficacia de un control tiene que ver con cuan bien opera el control. Por ejemplo, los bomberos pueden ser extremadamente eficaces, puesto que extinguen el fuego, pero si se demoran demasiado (eficiencia) en llegar, da lo mismo si llegan o no. Cuando se evalúa la Eficacia de un control se mide o valoriza “cuan bien”
opera sobre su alcance. Reiterando el ejemplo de los extintores de fuego, su alcance individual es relativamente restringido, digamos que un extintor medio, de unos 12 kilos, puede “controlar” una superficie de unos 30 mts a la redonda. Esto es que cada 60 mts debiera existir un extintor de estas características. De no contar con uno, entonces el más cercano no podrá apagar el amago de incendio antes que se transforme en un incendio declarado y este control claramente no será eficaz. En este ejemplo en particular, se debe hacer énfasis en que no se está evaluando a la persona que lo manipula, ni mucho menos el hecho que debe ser activado por una persona. Esos parámetros son propios de la calidad del control. Así, un sistema
de
extinción
de
incendios
automático,
combinado
con
sus
correspondientes detectores de calor y/o humo, es claramente más eficaz que un simple extintor. Sin embargo, los costos involucrados tanto en su mantenimiento, operación (una vez activado), y recuperación tras su activación, también son distintos, pero corresponden a características de Calidad del Control. EFICIENCIA La Eficiencia de un control busca identificar cuán rápido actúa. En este sentido, una buena referencia es determinar el RTO de cada proceso y definir, por ejemplo, que en caso que su activación demore menos del 50% del RTO es extremadamente eficiente, mientras si demora más del 200% del RTO es extremadamente ineficiente. Siguiendo con el extintor de incendios, sería extremadamente ineficiente, puesto que depende de un factor humano. Así, la eficiencia podría considerar parámetros tales como el nivel de automatización, el
tiempo que demora en ser efectivo el control respecto del RTO, etc. El RTO se puede obtener producto de un BIA o como resultado de alguna definición que sea consistente. (Ver capítulo BUSINESS IMPACT ANALYSIS (BIA)) NOTA: El RTO es el tiempo máximo que un proceso puede soportar una interrupción de su operación sin causar daño permanente.
La combinación de Calidad, Eficacia y Eficiencia se puede definir como la Efectividad del Control y en definitiva, será el parámetro que representará la capacidad del control de mitigar o controlar el FR al cual se asocie.
MAGNITUD DEL RIESGO Una vez definidos los aspectos anteriores respecto de las escalas y criterios de valoración de Probabilidad e Impacto, Exposición y Severidad, controles y mitigadores, es importante aclarar bajo qué escala y cómo se representará la Magnitud del Riesgo. MAGNITUD DISCRETA Una forma de representar el Riesgo es mediante colores los que están asociados a rangos de valores o coordenadas en un gráfico, tal que si un riesgo en particular cae en una coordenada de un color determinado, su nivel de Riesgo final o Residual estará dado por el color o coordenada en el cual se encuentra. Esta es una metodología válida y muy útil cuando los Modelos de Gestión de Riesgo se encuentran en una etapa inicial o insuficientemente maduros. También se puede definir que dado el valor de la magnitud del Riesgo está en determinado rango, tendrá determinado valor. Por otro lado, es importante considerar algunos aspectos relevantes respecto de la designación de colores y nomenclatura de la magnitud. Por ejemplo, no es recomendable usar el color verde dentro del rango de colores. El motivo es que al visualizarse, este se asocia a seguridad, “estamos bien”, siendo que en realidad estamos trabajando sobre un Riesgo, cuya probabilidad e impacto existen. El verde da tranquilidad y el hecho que un Riesgo esté en un nivel de este tipo, probablemente el más bajo de la escala, no significa que no se deba tratar o dejar de ocupar al equipo de Gestión de Riesgo. No significa estar pre-ocupado, pero si estar ocupado.
Respecto de la escala de la magnitud del Riesgo, es recomendable no ser extremista. Por ejemplo, en las verbalizaciones de los Niveles de Riesgo, Catastrófico como expresión del valor máximo de la magnitud de un riesgo tiende a ser catalogado de “exagerado” o “alharaco” con las consecuencias de la correspondiente desacreditación del trabajo que se realiza en esta materia. En el otro extremo, la expresión “Insignificante” para un nivel de Riesgo muy menor, tiende a despreciar dicho Riesgo. Sin embargo, el Riesgo persiste e incluso puede materializarse y causar un impacto adverso. Puede descuidarse la vigilancia y supervisión respecto de este Riesgo y a despacharlo por ser “insignificante” o “irrelevante”. Dados los ejemplos anteriores, es muy importante representar las magnitudes con elementos que generen las alertas correspondientes y que permitan priorizar la urgencia de atención, pero sin entrar en juicios de valor, exageraciones o descalificaciones hacia uno u otro lado de la escala. MAGNITUD CONTINUA Cuando el Modelo de Gestión de Riesgos está maduro, la organización está consciente de los Riesgos, se tiene registro de los incidentes y sus impactos reales, y existen la capacidad y herramientas adecuadas, se puede avanzar hacia escalas continuas, en reemplazo de las discretas. De esta manera, la Magnitud del Riesgo viene a ser la magnitud del vector que se origina en la base de la escala (1) y termina en la coordenada determinada del Riesgo. Hay que recordar que, bajo el criterio que se está trabajando sólo con Riesgos que generan un impacto negativo, NO EXISTE el Riesgo con probabilidad o impacto cero, por tanto las
escalas comienzan siempre en 1. En caso que se consideren Riesgos con impacto tanto positivo como negativo, existirá el Riesgo de magnitud cero. En la Figura 12 se observa como distintos vectores, de la misma magnitud, se pueden distribuir en el Mapa. Como se muestra en el gráfico de representación continua de colores, se tiene un arcoíris formando un cuarto de círculo iniciando con el color que representa la magnitud mínima y terminando con el que representa la magnitud máxima. Sin embargo, la magnitud máxima no será igual a magnitud máxima de la escala discreta. Por ejemplo, en la Figura 12 se muestra una escala continua de Impacto y Probabilidad con un valor mínimo de 1 y máximo de 5, el valor de magnitud máxima
de
una
combinación
de
Probabilidad e Impacto (Probabilidad=5 e Impacto =5) sería de 6,071… el tamaño de la discontinuidad estará dado por la cantidad de decimales que se use. Sin embargo, no cae en la misma escala de 5 valores que tienen
Fig. 12
el Impacto o Probabilidad. Es por ello que en caso de aplicar escalas continuas es necesario redefinir, en función de esta nueva escala, los criterios y parámetros anteriores. Eventualmente, se puede definir rangos de magnitudes en vez de coordenadas. De esta forma se podría definir, por ejemplo, que cualquier riesgo con magnitud 5
o superior es de tipo “Extremo”. Sin embargo, en la práctica, lo que nos interesa es todo Riesgo que se encuentre por sobre el Nivel Aceptable que la organización ha definido para ese Riesgo en particular.
UMBRAL Y APETITO AL RIESGO Una vez definidos los parámetros anteriores, es necesario definir el Umbral de mitigación y la Apetito al Riesgo. Al observar desde el punto de vista opuesto, en vez de Apetito al Riesgo, puede ser la Aversión al mismo. Es el Comité de Riesgo el responsable, en base a experiencias propias y a la colaboración de los “Especialistas”,
de
llegar
a
una
definición razonablemente aceptada por la organización respecto de estos parámetros. Se puede asumir que se cuenta con todos los recursos del universo para mitigar un Riesgo en particular. Llega un punto en que por más controles y Fig. 13 Nivel de Aceptación
mitigadores que se agreguen, no se
puede seguir mitigando. Es como el fuego de una parrilla, sólo se puede poner una cantidad de leña y carbón limitada y si se pone demasiado, puede que sea necesario sacar leña para que el fuego surja. En el caso de los controles sucede lo mismo, por lo que es necesario definir un Umbral o la cantidad máxima de mitigación que se podrá obtener implementando todos los controles posibles e
imposibles. Es importante recordar que no importa cuánto se mitigue un Riesgo, este nunca desaparece, sólo es controlado, asumido o traspasado, pero nunca desaparece, salvo que se deje de hacer la actividad en la cual existe el Riesgo. Por otro lado, es necesario definir el nivel de riesgo que la organización considerara aceptable. Usualmente este se encuentra bajo el 40% de la escala (Fig 13). Esto es que cualquier Riesgo cuya valoración se encuentre sobre este Nivel de Aceptación, deberá ser tratado o controlado de alguna forma adicional o complementario a como se controla actualmente, tal que permita mitigar ese Riesgo y llevar su Magnitud bajo el Nivel de Aceptación. Aquellos Riesgos que se encuentran bajo dicho nivel, se consideran como aceptados, puesto que el costo de invertir en mitigar aún más dichos Riegos puede ser demasiado alto respecto del beneficio de dicha mitigación, o puede ser traspasado a un tercero, como un seguro o una tercerización de una actividad, etc. Sin embargo, nunca deben olvidarse, puesto que por muy pequeña la Magnitud del Riesgo, salvo que se deje de ejecutar la tarea en que ese Riesgo puede materializarse, siempre estará presente el Riesgo. Este límite permite a la organización identificar y priorizar de manera objetiva, donde destinar los recursos disponibles y justificar su uso en tales o cuales actividades y controles en pos de reducir las Magnitudes de Riesgos Restante o Residual, que se encuentran sobre el Nivel de Aceptación. Por otra parte, la Tolerancia al Riesgo, en algunas organizaciones se trata indistintamente
como
el
Nivel
de
Aceptación.
Sin
embargo,
en
otras
organizaciones se define que la tolerancia es el “margen de error” aceptable. Por
ejemplo, dado un nivel de aceptación definido como 3, la tolerancia pudiera definirse como 0,2. Luego los Riesgos con nivel de residual entre 3 y 3,2 son “tolerables”, lo que no significa que son “aceptables”. También, la tolerancia se puede definir como el “margen de error” respecto de las valoraciones de los parámetros. Se podría decir que un Riesgo es de aproximadamente un magnitud determinada, con un error en la probabilidad de un valor y un error en el impacto de tal otra. Estos márgenes de error son la tolerancia. Por ejemplo, con una tolerancia de 0,2 ó de un 3% una probabilidad de 3,2, aun teniendo un error de un 3% (0,96) en uno u otro sentido, es aceptable respecto de la certeza y confiabilidad del dato. (Vease Variabilidad de Probabilidad y/o Impacto) Lo más práctico es definir un único Nivel de Aceptación para todos los Riesgos, tal que cualquier Nivel de Riesgo que sea superior a ésta definición debe necesariamente ser tratado. Igualmente, definir una Tolerancia única, sea que la organización defina utilizar indistintamente la expresión Aceptación y Tolerancia o que establezca un Nivel de Aceptación único para todos los Riesgos. Sin embargo, existen situaciones en las que llevar el Nivel de Riesgo Restante a un Nivel Aceptable o dentro de la Tolerancia es tan costoso, que el negocio decide asumir ese Riesgo y dejarlo hasta ese punto. El ejemplo de los Riesgos de eventos de la naturaleza es claro. Para un comerciante que tiene tres o cuatro tiendas en una ciudad, el costo de un huracán, una inundación de la ciudad o de un terremoto, puede ser catastrófico. Sin embargo, tampoco es mucho lo que
puede hacer para reducir o mitigar este Riesgo, salvo mitigar el impacto, lo cual también puede llegar hasta cierto punto únicamente. También es factible, en consideración de situaciones en que no es posible modificar alguno de los parámetros, definir niveles de tolerancia distintos según su Categoría o incluso para cada Riesgo. Por ejemplo, la Categoría de Riesgos “DAÑOS A ACTIVOS MATERIALES”, se podría definir un nivel de tolerancia mayor que la Categoría de Riesgos “FRAUDE INTERNO”. El motivo es simple y evidente. Contra el fraude interno puedo desarrollar actividades que controlen la probabilidad y/o mitiguen el impacto, pero contra eventos que están fuera de mi control, como los eventos de la naturaleza, o sublevaciones sociales, paros de servicios públicos, guerras, etc., no es mucho lo que se puede hacer para controlar la probabilidad, sólo se puede mitigar el impacto.
METODOLOGÍA DE CÁLCULO (LA LICUADORA) Probablemente una de las tareas más difíciles de la Gestión de Riesgo consiste en determinar una metodología o fórmula matemática que no se base en criterios subjetivos, juicios de valor o que no dependa de la persona de turno, que combine los parámetros de Probabilidad e Impacto inherente o iniciales, con los Controles, para generar una coordenada de Probabilidad e Impacto restante o residual, que permita determinar la Magnitud del Nivel de Riesgo Restante. Matemáticamente lo que buscamos es: f(Pi,Ii,C) = |(Pr,Ir)| donde, |(Pr,Ir)| = Magnitud del Riesgo Restante
En palabras más simples, responder a la siguiente pregunta: ¿Ya que se dispone de los valores “objetivos” de Probabilidad e Impacto Inherentes o Iniciales, de los Niveles de Exposición y Severidad, y de los Controles que los mitigan, cómo se hace para que interactúen? La necesidad de algún tipo de fórmula se hace indispensable a objeto de mitigar la subjetividad de las valoraciones individuales, lo que además, permitirá una única regla indistinta de otros aspectos y evitará distorsiones producto de juicios de valor.
La complejidad de la fórmula dependerá de varios factores, aunque principalmente de las habilidades de la persona que gestione los riesgos, del nivel de certeza que se requiera, del nivel de comprensión de la organización de los temas relacionados a la Gestión de Riesgo o el Nivel de Madurez que ésta tenga al respecto y de las herramientas que se tenga disponibles. Cada organización puede definir sus propios criterios y metodología, por lo que se señalan solamente algunas variantes a modo de ejemplo sobre las cuales se puede trabajar para definir una metodología propia, acorde a los requerimientos de la organización. Sin embargo, es necesario que la organización, particularmente el Comité de Riesgos, esté consiente y pueda justificar adecuadamente porqué se utiliza tal o cual metodología. La Gestión de Riesgos debe basarse en información lo más objetiva posible y nada más objetivo que los hechos evidenciados en el pasado. Sin embargo, además es necesario mitigar en la mayor medida de lo posible, la subjetividad de la evaluación, por lo que se recomienda tomar los datos históricos y procesarlos mediante algún tipo de “licuadora” que entregue un resultado más objetivo respecto de las proyecciones de probabilidad e impacto de futuros Riesgos. Finalmente, el resultado debe contrastarse necesariamente contra el más complejo e inusual parámetro existente. Lamentablemente no es posible ir al negocio de especialidad y conseguir un poco, es el “Sentido Común”.
METODOLOGÍA DE ANÁLISIS Muchas empresas y profesionales de la Gestión de Riesgos consideran que el proceso es tan complejo, que es difícil y engorroso utilizar fórmulas matemáticas que representen objetivamente los Niveles de Riesgo a los que está expuesta la organización y los niveles de control sobre los mismos. Es por ello que el proceso es de análisis detallado y, en función de ciertos criterios y de una metodología de análisis, se determina la prioridad o urgencia de tratar determinados Riesgos, los costos y características de los controles y mitigadores necesarios para tratar dichos Riesgos más relevantes o prioritarios. Este Análisis de Riesgos lo realiza una persona, o equipo de trabajo, que determinan ciertos criterios para definir cómo identificarán y medirán el Riesgo. Entre otras cosas, definirán los niveles de probabilidad e impacto y cómo los controles y mitigadores aplican y afectan al Riesgo. Como resultado de lo anterior generarán un listado de prioridad de los Riesgos a mitigar o controlar. Sin embargo, también son válidas metodologías que intentan “objetivizar” las aprensiones y juicios de valor de las personas y los valores inicialmente designados a fin de tener resultados que no dependan del criterio de las personas, sino como resultado de un proceso complejo. METODOLOGÍA BÁSICA La forma más simple de aplicar matemáticamente los controles, es dejando de lado todo tipo de matices. Para ello se puede comenzar por definir controles sólo de tipo Preventivo o Reactivo y se define que todos los controles de tipo Detectivo actúan únicamente sobre la Probabilidad o únicamente sobre el Impacto. Otra
alternativa es que algunos controles de tipo Detectivo se clasifiquen como Preventivos y otros se clasifiquen como Reactivos. Adicionalmente, se debe definir una escala, que para un nivel básico usualmente es de 3 ó 4 niveles, puesto que es más relevante mantener simple el Modelo de Gestión de Riesgos y que los usuarios comprendan rápida y fácilmente los conceptos, por sobre la exactitud o efectividad del modelo. Una vez clarificados estos aspectos, se puede determinar el valor de mitigación de un control únicamente en base a la calidad del mismo, o en forma intuitiva. Se puede considerar dos o tres parámetros de un control, como su formalidad, frecuencia de aplicación y/o calidad “subjetiva”, los que se ponderan y suman, determinando un valor de mitigación de ese control. Incluso, se puede utilizar un valor porcentual en base a un criterio tan simple como la moda entre un grupo de usuarios y directamente designar un valor de mitigación de ese control. Posteriormente se puede ir ajustando el valor de mitigación hasta que el resultado “haga sentido”. En este caso es importante tener una visión holística de la organización e idealmente el proceso debiera se emprendido por terceros, lo que permite controlar de alguna forma la subjetividad de quienes participan en los procesos evaluados y se aplica el “sentido común” que puede no haber sido desarrollado al interior de la organización. De esta forma se puede determinar el valor de la Probabilidad e Impacto inicial asociados a cada FR en particular.
Luego, es necesario determinar qué control aplica a qué FR. Por ejemplo, el extintor de incendios no sirve de mucho ante una intoxicación alimentaria o una epidemia. En este nivel se puede definir que cada FR que cuente con un control, será mitigado únicamente por el mejor control que aplique. Luego, si hay dos o tres controles que aplican, se determinará el nivel de control o mitigación del mejor y ese es el que se aplicará matemáticamente. Teniendo claro qué y a qué, es momento de tratar el cómo. Siendo que es una forma básica y simple, sería conveniente ordenar los controles que apliquen a un FR determinado y determinar cuál es el mejor respecto de sus características o su valor de mitigación. Sabiendo que es un control de tipo Preventivo, afectará únicamente a la Probabilidad y si es de tipo Reactivo afectará únicamente al Impacto. ¿Cuánto? Lo más simple es restando el valor entero, dividiendo o definiendo una proporción (menor que 1) que multiplique el valor inicial. Si el nivel de mitigación se expresa porcentualmente, se puede multiplicar directamente y se tendrá un resultado en la escala definida. La división, pese a que es muy utilizada, no es recomendada, puesto que no tiene una explicación racional y lógica consistente con la forma como el control se aplica o afecta. En el caso de la resta, es evidente que el control está “quitando” algo a la probabilidad o al impacto asociado a un Riesgo, mientras que en la multiplicación por un factor menor de 1 claramente sucede lo mismo, reduciendo proporcionalmente uno de los parámetros que determinará la Magnitud del Riesgo resultante o residual, para ese Riesgo en particular.
Por ejemplo, un FR cuyos parámetros de Probabilidad Inherente e Impacto Inherente son (3,4) respectivamente, con un Nivel de Riesgo de tipo “Alto” y aplicando un control de tipo Preventivo cuyo valor es 2, generaría el Nivel de Riesgo Residual en la coordenada (1,4). Dependiendo de la escala de Riesgo que se utilice, podrá cambiar de nivel o no. Repitiendo el ejercicio anterior, pero con un control de tipo preventivo cuya mitigación se ha definido como un 50%, se tendría que el Nivel de Riesgo Residual en la coordenada (1,5,4). En este punto se considera como mitigadores solamente el mejor control Preventivo y/o el mejor control Reactivo. De esta manera, se podría mitigar Probabilidad, Impacto o ambos.
Es decir, donde: Cr = Control Reactivo Cp = Control Preventivo Pi = Probabilidad Inicial Ii = Impacto Inicial Luego, f(Pi, Ii, Cr, Cp) = (Pi - Cp, Ii - Cr) = coordenadas del Riesgo restante si los controles tienen valores de la escala o
f(Pi, Ii, Cr, Cp) = (Pi *(1- Cp), Ii *(1- Cr)) = coordenadas del Riesgo restante si los controles tienen valores porcentuales
En función de estas nuevas coordenadas, se puede determinar, a partir del mapa de calor, la Magnitud Residual de ese Riesgo en particular. Esta combinación de controles que mitigan probabilidad e impacto de un riesgo, si bien es básica y simple, como todo lo básico, adolece de varias dificultades y problemas. El mayor de ellos que es, pese a ser una fórmula matemática que busca eliminar o reducir la subjetividad, en la práctica, esta se mitiga muy poco o nada. Los valores de los controles tienden a ser muy altos y los niveles de mitigación son lejos superiores a la realidad, llevando a un claro error en la mayoría de los casos. Esto provoca que muchos Riesgos sean “escondidos” bajo un falso nivel de control o sobre expuestos con una excesiva Magnitud del Riesgo Residual. Todo ello puede generar un falso sentido de seguridad en aspecto que no la tienen y un falso sentido de urgencia en aspectos que no la requieren. Adicionalmente, el uso de escalas menores a 5 generan los problemas de escala mencionados en el capítulo de Definiciones y Criterios.
METODOLOGÍA DE INTRODUCCIÓN Una forma que pudiera ser más certera al tratar el tema de la Gestión de Riesgo, respecto de la Metodología Básica, es establecer una escala de 5 valores y manejar un grupo de 5 a 6 parámetros que permitan determinar las características de los controles. En los controles se puede considerar un grupo de características que definan la “Calidad”, otro la “Eficacia” y otro la “Eficiencia”. Incluso puede que uno o dos de estos parámetros sean definidos lo más objetivamente posible, o subjetivamente y sus valores ingresados directamente y no como el resultado de un cálculo. A su vez, se combinan y normalizan estos valores. El resultado puede ser en la misma escala de 1 a 5 ó como un porcentaje de mitigación. Algunos ejemplos de variantes sobre el mismo tema: Sean, C = valor de calidad calculado, medido o asignado en escala 1 a 5 Ef1= valor de la eficiencia calculado, medido o asignado en escala 1 a 5 Ef2= valor de la eficacia calculada, medida o asignada en escala 1 a 5 Ej1(C + Ef1 + Ef2) /3 = Mitigación del Control (M1) ¿Por qué dividido por 3? Básicamente, es la forma de obtener una media.
Ej2-
C*Ef1*Ef2 / 125 = % Mitigación del Control (M2)
¿Por qué dividido por 125? El objetivo que es que sea un porcentaje y dado que todo está en la misma escala de 1 a 5, el valor máximo de la multiplicación de las características del control sería 125. Luego para obtener un porcentaje, el valor debe ser dividido por 125. Otra forma de valorizar los controles es darles un “peso” o ponderador a cada uno de los parámetros, tal que la suma de los ponderadores siempre sea 1. Luego la Calidad pudiera ser ponderada de una forma, la Eficacia de otra y la Eficiencia de otra. La suma ponderada se puede usar como valor o su proporción respecto del valor máximo de la escala o como un porcentaje de mitigación. Por ejemplo, manteniendo la escala de 1 a 5 se podría ponderar de la siguiente forma: Pc = Ponderador de la Calidad Pef1= Ponderador de la Eficiencia Pef2= Ponderador de la Eficacia Luego, la mitigación del Control seria: M = Pc * C + Pef1 * Ef1 + Pef2 * Ef2 ó %M = (Pc * C + Pef1 * Ef1 + Pef2 * Ef2) / 5
Nuevamente, por qué dividido por 5? Es porque la suma ponderada nos entrega un valor máximo de 5 y si se quiere un porcentaje, se debe dividir por este valor. En este punto, tanto el valor de la Calidad (C), como de la Eficiencia (Ef1) y Eficacia (Ef2) pueden ser calculados en base a parámetros o valorizados directamente. A su vez, estos porcentajes o niveles de mitigación se aplican según corresponda a los controles según su tipo (Reactivo, Detectivo, Preventivo), permitiendo que un conjunto de controles afecte tanto la Probabilidad como el Impacto en forma simultánea e independiente. Además es necesario definir si se utilizará solamente el mejor control o cómo se combinarán varios controles si hay más de uno que aplique al mismo parámetro para el mismo FR. Por ejemplo, en el ámbito de las tecnologías, ante situaciones de discontinuidad, se tienen respaldos de bases de datos y respaldos de equipos. Individualmente ambos mitigadores tiene sus características propias y ambos aplican al parámetro de Impacto, es decir, son Reactivos. Luego, cómo se combinan estos para mitigar el Riesgo? Claramente la suma de ambos valores debiera ser superior a cada uno individualmente. Pero ¿cuánto, cómo? Son temas que se deben definir.
METODOLOGÍA CONTÍNUA Cuando se trata de una metodología de este tipo, la discontinuidad está dada por la cantidad de decimales que se usen. Esto tiene directa relación con el nivel de detalle con que se traten las variables y parámetros del Modelo Gestión de Riesgos implementado. Es decir que la discontinuidad sea lo más pequeña posible, pero dentro de un rango razonable. Para efectos de considerar una función o fórmula continua que permita determinar la magnitud del Riesgo Restante, con dos o tres decimales puede ser razonable. Como mencionado anteriormente, hay organizaciones que definen el Impacto como una función de la Probabilidad. Usualmente, este tipo de funciones implican complejas ecuaciones que pudieran combinar raíces cuadradas, funciones trigonométricas y otro tipo de artilugios matemáticos. Sin embargo, en este sentido y según cómo se definan los parámetros, las fórmulas serán más complejas o menos. Claramente lo más simple dentro de las alternativas continuas es el uso de Pitágoras. Es decir: Dadas las coordenadas restantes de, Pr = Probabilidad Restante Ir = Impacto Restante Magnitud = |Raiz (Pr^2 + I^2)-1| Para llegar a ello, es necesario definir matemáticamente la Probabilidad y el Impacto restantes. Una forma sería: Pr = P i * C
e
Ir = Ii * (1 + Vi/10 – 0,1) * ( 1 + Pi/10 - 0,1) * C
ó, según sea el caso, Pr = P i / C e
Ir = Ii * (1 + Vi/10 – 0,1) * ( 1 + Pi/10 - 0,1) / C
Donde, Pr = Probabilidad Restante Pi = Probabilidad Inherente C = Mitigación de Control Ir = Impacto Residual Ii = Impacto Inherente Vi = Velocidad del Impacto Pi = Persistencia del Impacto
Donde el nivel de mitigación de los controles puede expresarse como un porcentaje (se usa la primera expresión) o como un valor en la misma escala de probabilidad e impacto (se usa la segunda expresión) Igualmente, es necesario definir cómo se determinará el nivel de mitigación y control de los Controles. Al trabajar en una modalidad continua de escala, se recomienda definir 2 a 4 parámetros para determinar la Calidad, Eficiencia y Eficacia. Estos pudieran ser valorizados en la misma escala de la Probabilidad e Impacto a objeto de mantener consistencias.
Algunos ejemplos de parámetros: Calidad
Eficiencia
Nivel de Formalidad
Frecuencia de Requerimientos de Mantención
Experiencias respecto del control
Seguridad en estado “Stand By”
Confiabilidad
Tiempo de Respuesta respecto del RTO de ese proceso o actividad
Eficacia
Complejidad de aplicación o ejecución del control
Certeza de su activación oportuna
Nivel de automatización
Alcance
Resultados conocidos/esperados de su aplicación
Certeza de los resultados
Desarrollo propio
Una vez definidos los parámetros a considerarse y definido cómo se combinarán estos valores para determinar el nivel de control o mitigación del Control o la Efectividad del mismo, se determina el nivel de control y mitigación del conjunto de controles que aplican. El siguiente paso es definir parte de la metodología de cálculo del Riesgos. Es necesario definir cómo se aplicarán estos valores, especialmente considerando
que para un FR puede existir un control y para otro FR puede existir ese mismo control más otros. En este sentido existen distintos criterios. La mayoría son subjetivos y valorizan como un paquete el conjunto de controles. Sin embargo, el nivel de subjetividad de dicha valoración pone en riesgo el resultado de la valoración de los Riesgos. La ventaja de trabajar con ecuaciones matemáticas, por muy simples que sean, es que se mitiga o reduce en alguna medida, los conceptos y juicios de valor que tergiversarán los resultados. La siguiente fórmula, ha sido perfeccionada en el tiempo en base a los resultados y experiencias de su aplicación. Esta fórmula genera un porcentaje de mitigación producto de la combinación priorizada de los controles según su efectividad individual. ∞
%𝑀 =
∞
%Mc(1) %Mc(n) %Mc(i) + (∑ ( )) ∗ (𝑢𝑚𝑏𝑟𝑎𝑙 − ∑ ( )) (id + 1) (id + 1) (id + 1) 𝑛=2
𝑖=1
Fuente: Desarrollo conjunto Ing. Alan Santos – Ing. Leopoldo Ponce
Donde, %Mc(1) = % de mitigación del control que más mitiga Id = posición relativa de la capacidad de mitigación del control que aplica %Mc(n) = % de mitigación de n-ésimo control que más mitiga Umbral = nivel máximo de mitigación asumiendo infinitos controles %Mc(i) = % de mitigación del i-ésimo control que más mitiga.
Básicamente, se asume que el mejor control, aquel que controla o mitiga más, opera mejor que los demás y en forma complementaria, los siguientes controles van aportando mayor mitigación. Ello genera una representación matemática que permite que la combinación de controles cuya capacidad de control y mitigación conjunta sea mayor a la del mejor control individual. El concepto se puede observar con mayor facilidad en el siguiente gráfico:
Fig 14 – Gráfico Aporte de Controles al % de Mitigación
Luego, es cuestión de definir en forma continua los límites entre un rango y otro. Por ejemplo, la probabilidad e impactos se definen en rangos de 1 a 5, pero las magnitudes del Riesgo no, solamente un nivel de tolerancia, puesto que la magnitud combinando los valores máximos de 5 niveles sería levemente superior a 6, en este ejemplo. En este sentido, se puede definir un par de niveles bajo el
nivel de tolerancia y otros 3 sobre dicho nivel, a objeto de generar las debidas alertas. Por ejemplo, si el Nivel de Aceptación se ha definido como una Magnitud de Riesgo 3, estamos estableciendo que todos aquellos Riesgos cuyas magnitudes sean menores a 3 se encuentran controlados. Luego es posible establecer que en el rango de 2 a 3 está “controlado” y en el rango menor a 2 está “muy controlado”. Luego para aquellos valores sobre el Nivel Aceptable, se puede decir que el rango de 3 a 4 tendrá un Nivel de Riesgo “Medio”, entre 4 y 5 un Nivel de Riesgo “Alto” y sobre 5 un Nivel de Riesgo “Extremo”. Sin embargo, estos tres niveles son inaceptables. Esta jerarquización permite identificar la prioridad con que se deben designar los siempre escasos recursos para mitigar los Riesgos según su Nivel. Sin embargo, al jerarquizar por rangos, lo que se está haciendo es llevar una Magnitud de Riesgo representado matemáticamente por una escala continua, a una escala discontinua representada por los rangos. Esto se hace únicamente con el fin de ofrecer a quienes no son entendidos en la materia y que en definitiva son los que deciden las acciones relevantes de la organización, una herramienta más digerible y fácil de comprender. Existen muchas fórmulas de valoración de Riesgos que entregan valores continuos. Por ejemplo: Riesgo = Pr*Ir*F*Vi*Pi C Fuente: Proceso de Gestión de Riesgos y Seguros, Isabel Cáceres San José-Marti
Donde: Pr es la Probabilidad Restante Ir es el Impacto Restante F es la frecuencia con que se ejecuta la actividad donde el FR se presenta Vi es la Velocidad con que se presenta el Impacto Pi es la Persistencia del Impacto C es la valoración de los controles y mitigadores En este caso, si se define que la Probabilidad, Impacto y Controles están en escalas de 1 a 5 y la Frecuencia, Velocidad del Impacto y Persistencia del Impacto son parámetros mayores a 0 y menores o iguales a 1, el resultado siempre será entre 0 y 5, existiendo la posibilidad de tener magnitudes de Riesgo menores a 1.
Otra fórmula la indica la Norma Europea Solvencia para los seguros: RSS = √∑∞ 𝑗,𝑘=1(𝐶𝑂𝑅𝑅(𝑗, 𝑘) ∗ 𝑅𝑆𝑆𝑗 ∗ 𝑅𝑆𝑆𝑘) Fuente: Directiva del Parlamento Europeo Solvencia 2009
Donde, RSS = Riesgo de Suscripción de Seguro CORR= es la combinatoria de los RSS j y k
La misma norma, mediante su Reglamento emitido en 2015 conocido como Solvencia II establece la siguiente fórmula para determinar el Margen de Riesgo de la cartera de seguros: 𝐶𝑆(𝑡)
MR = CoC * ∑𝑡>1 (1+𝑅(𝑡+1))𝑡+1 Fuente: Reglamento Delegado (UE) 2015/35 de la Comisión, Solvencia II
Donde, MR = Margen de Riesgo CoC = Tasa de Costo de Capital CS(t) = Capital de solvencia obligatorio al cabo de t años R(t+1) = tipo de interés sin riesgo básico correspondiente al vencimiento de t + 1 años
Para calcular el nivel de Riesgo Cardiovascular, se han identificado una serie de parámetros que aportan al riesgo.
Para cada uno de estos parámetros se
determina un aporte parcial y la suma total indicará el nivel de Riesgo Cardiovascular del individuo. De esta forma, el Riesgo Cardiovascular se determinará como: R.C. = f(Edad, Colesterol Total, Colesterol HDL, Antecedentes Familiares, tabaquismos, género, estilo de vida) Luego, para cada parámetro se puede determinar niveles de riesgo específicos o rangos.
Por ejemplo, en el parámetro edad se podría establecer rangos como los siguientes: Rango Etario 0 - 10 10 - 20 20 - 40 40 - 60 60 +
Aporte al Cardiovascular 1 2 3 4 5
Riesgo
Igualmente, para cada parámetro se asignan rangos y valores de aporte, siendo que el Riesgo Cardiovascular se definirá como la suma de los resultados individuales de los factores que aportan riesgo. Particularmente, para efectos de medición del Riesgo Cardiovascular (CV), los médicos especialistas usan una serie de tablas de Riesgo basadas en los siguientes parámetros:
País, Étina, Edad, Género, Antecedentes personales de enfermedad CV, Antecedentes familiares de enfermedad CV: sólo cuando éstos han ocurrido en familiares de 1er grado. Tabaquismo, Hipertensión arterial, Diabetes, Dislipidemia, Obesidad abdominal, Sedentarismo, Colesterol HDL< 40 mg/dL, Triglicéridos >150 mg/dL
Estos son los parámetros utilizados en las Tablas de Framingham, las que se ven aproximadamente como muestra la figura.
Fig 15 – Ejemplo Tabla de Framingham de Riesgo Cardiovascular (RCV)
Como se puede observar de los anteriores ejemplos, se puede desarrollar las fórmulas que se estimen necesarias, con los parámetros adecuados a considerar según el objetivo al cual apunta la Gestión de Riesgos en cada caso específico. La principal ventaja de una escala continua, es que facilita la identificación y trabajo en base a rangos, cosa que no ocurre con las escalas discontinuas. Complementariamente, la ventaja de usar fórmulas, es que se elimina o de alguna forma se reduce el aspecto subjetivo de la evaluación, entregando información más certera.
EL FACTOR TIEMPO Indistinto de la metodología, escalas o criterios definidos, siempre existirá una pesadilla que rondará los rincones de nuestras mentes. Esta es cómo varía la Magnitud del Riesgo en el tiempo. Para analizar esta situación, es necesario definir cinco estados o puntos en el tiempo que son relevantes. Se definirá como T0 aquella instancia de tiempo en que no ocurre nada o desde la perspectiva de los parámetros de probabilidad e impacto, aquel momento en el cual la probabilidad existe y es menor que 100%. En el instante en que se materializa un incidente, ese preciso instante de tiempo en que la probabilidad pasa a ser 100%, puesto que se ha materializado el riesgo, se denominará T1. A partir de este punto, pasa un tiempo hasta el momento en que la organización detecta y se da cuenta que se ha materializado el riesgo. A este momento se le denominará T2. Entre T1 y T2 el impacto se va materializando y en la medida que el tiempo transcurre, el impacto aumenta y el servicio o proceso afectado se va degradando. En este punto (T2), la organización se prepara para reaccionar, basado en los controles existentes o la intuición, según sea el caso. Cuando efectivamente la organización comienza a reaccionar o los controles comienzan a operar, ese instante será T3. A partir de la reacción de la organización, se mitiga el impacto y este, en función lo la calidad de las respuesta, irá disminuyendo hasta retornar a los niveles normales equivalentes a los existentes en T0. Esto demorará el tiempo necesario para llegar a T4, el instante en que se ha declarado que la incidencia ha sido superada.
Para algunos casos, estos tiempos pueden tener distancias temporales de unos pocos segundos, mientras que para otros pudieran ser varios años, según sea el riesgo materializado. La figura 16 muestra estos tiempos en función del nivel de servicio que se ve deteriorado por la materialización de un Riesgo específico.
T0
T2
T4
T3 Nivel normal del Servicio
T1
Fig 16 – Representación gráfica e los efectos del tiempo Desarrollo propio
Como se observa, entre T1 y T2, la organización percibe el impacto inicial. La degradación del servicio dependerá de la velocidad con que el impacto se materializa y la velocidad con que la organización reaccionará. A partir de T2, pese a que se ha iniciado el proceso de activación de las respuestas y procesos de recuperación, el impacto sigue aumentando hasta llegar el punto T 3, donde los esfuerzos de mitigación están operando al 100% y comienzan a dar frutos. Es recién a partir de T3 que se comienza a mitigar el impacto, por lo que la duración del período entre T3 y T4 dependerá esencialmente de la persistencia del impacto y de las características de los mitigadores que operen.
Ejemplos: Un banco realiza transacciones en miles de millones de dólares en forma diaria. Se puede suponer el peor escenario posible, que justo cuando está realizando una de estas millonarias transacciones, se produce un incidente. El banco no puede darse el lujo de perder una transacción, menos aún si es por mucho dinero que no es de su propiedad. Por lo tanto, el tiempo entre T1 y T2 debe ser menor a 1 segundo. Igualmente, el tiempo entre T3 y T4 no puede ser significativo y a lo más será de unas horas. Por otro lado, se dan situaciones como las centrales eléctricas nucleares. El accidente de Chernobil, por ejemplo, tuvo un plazo entre T 1 y T2 de unos días. Mientras que el período entre T3 y T4 aún no se puede cuantificar después de ¡30 años!
PROCESO DE GESTIÓN DE RIESGOS El Proceso de Gestión de Riesgos, está definido por dos componentes. Por una parte, está la definición de Proceso y por otra la Gestión de Riesgos. La figura muestra gráficamente en qué consiste un Proceso. DEFINICIÓN DE PROCESO Elementos de Entrada Término
Transformación Inicio
Elementos de Salida
Desarrollo propio
La Gestión de Riesgos consiste en la identificación y tratamiento de los riesgos identificados, así como la aceptación de las consecuencias producto de la materialización de uno de ellos u otro no identificado. Luego, el Proceso de Gestión de Riesgos consiste en la transformación de datos relacionados a riesgos que enfrenta la organización, en acciones de mitigación y control de los mismos que permitan reducir las consecuencias de la materialización de un riesgo. En la figura 17 se muestra que el Proceso de Gestión de Riesgos se inicia con la determinación por parte de las máximas autoridades de una organización para iniciarlo. Suena sencillo, pero si las autoridades de la organización no están interesadas, nada se puede hacer o su implementación será tan compleja que
nadie participará y todo el trabajo irá a parar a la basura. Las máximas autoridades deben definir y designar los recursos necesarios y posteriormente establecer las definiciones y criterios bajo los cuales se realizará la Gestión de Riesgos. Con estas definiciones se tendrá un Marco de Trabajo de la Gestión de Riesgos. Dadas las definiciones y criterios establecidos, el ciclo de la Gestión de Riesgos comienza con el levantamiento, identificación, valorización y cálculo de las magnitudes de los Riesgos. Luego, estas deben se validadas con los usuarios “Dueños” de los procesos y se procede a evaluar la consistencia entre las magnitudes de riesgos resultantes y lo que el “sentido común” del dueño del proceso dice. Si existen ajustes, sean en los criterios o en las definiciones, estos se implementan y si no es necesario realizar ajustes, se procede a implementar controles y mitigadores, y el proceso se inicia nuevamente. Inicio
DEFINICIONES
LEVANTAMIENTO Y CÁLCULOS
REVISIÓN DE DEFINICIONES Y PARÁMETROS
SI
ACCIONES DE MITIGACIÓN
VALIDACIÓN
¿REQUIERE AJUSTES?
NO
Figura 17 Flujo de Levantamiento de Riesgos Desarrollo propio
En general, como se ha mencionado anteriormente, el Proceso de Gestión de Riesgos
requiere
de
ciertos
formalismos,
designación
de
responsables,
otorgamiento de facultades y autoridades, así como de recursos para realizar la tarea encomendada. En esta incipiente etapa, donde la Gestión de Riesgos se encuentra incubando en las mentes de las máximas autoridades de la organización y a penas germinada, es que se requiere tomar ciertas decisiones tales como definir el Comité de Riesgos, su funcionamiento y operación, así como el encargado de Riesgos, Oficial de Riesgos o Director de Riesgos, su estructura organizacional y los recursos necesarios para implementarla. En paralelo a la implementación de formalismos y designaciones, es factible iniciar el proceso de identificación de los riesgos, para lo cual la identificación de procesos críticos es recomendable y su posterior levantamiento o mapeo detallado es una herramienta muy importante para las etapas siguientes. Durante el levantamiento y mapeo de los procesos, para la debida Gestión de Riesgos, es recomendable incorporar la mayor cantidad de información posible, tales como las tecnologías involucradas, aspectos legales, documentos o informaciones que se intercambian en uno u otro sentido del proceso, unidades o áreas responsables, si hay infraestructuras específicas necesarias para desarrollar una actividad, interacción con fiscalizadores, etc. Una vez identificados los procesos, sus respectivas actividades, y sus respectivos Riesgos, se puede proceder a valorizar los parámetros de Probabilidad e Impacto de cada uno de los FR que generarían como consecuencia la materialización del
Riesgo evaluado. Si hay más parámetros, se evalúan y valorizan también en este punto. Luego, determinados los parámetros, es necesario conocer el Riesgo Inherente, esto es la Magnitud del Riesgo bajo el supuesto que no existiese ningún tipo de control o mitigador y siempre pensando en la peor situación. Una vez que el Riesgo Inherente se ha determinado, y se conocen los controles y mitigadores asociados a cada FR, se procede a determinar la Magnitud del Riesgo Residual o Restante. En la práctica, este es el parámetro que a todos interesa, puesto que es la situación actualizada de ese Riesgo. Siguiendo con el proceso, es necesario validar que los resultados sean consistentes y coherentes con la realidad, para lo cual, una forma, es generar reuniones de trabajo con los “Dueños” de procesos y actividades puntuales, exponer los resultados y validar en conjunto los parámetros y los resultados. Con ello, junto con validar, se está integrando a los colaboradores al Proceso de Gestión de Riesgos y a su vez, quienes deben administrar directamente los Riesgos, se involucran y reconocen los niveles de riesgo y los requerimientos de tratamiento específico identificado en sus casos. En este punto lo más relevante es que quienes activamente participan de las actividades donde existen riesgos, reconocen la existencia de los mismos y validan su magnitud. Existen situaciones en que los resultados no hacen sentido y en la gran mayoría de los casos, resulta que hay controles existentes que no han sido identificados anteriormente, por lo que complementariamente se depura el levantamiento realizado.
Finalmente, si se requieren de nuevos controles o mitigadores, si se identifican requerimientos de ajustes, se realizan y se revalidan. En su defecto, si se identifican nuevos requerimientos de mitigación, se modifican los controles y/o mitigadores existentes o se complementan con nuevos controles o mitigadores. La implementación de nuevos controles y mitigadores por lo general conlleva costos, tanto de implementación y puesta en marcha como de operación. Cuando se decide implementar nuevos tratamientos al Riesgo, es necesario evaluar la relación costo-beneficio. Se puede dar situaciones en que el costo de reducir un riesgo es tal que no se justifica por el escaso beneficio. En estas situaciones se puede considerar básicamente dos alternativas. Por un lado, se puede evaluar modificar los seguros existentes y, de no existir, tomar un seguro. Con ello se traspasa parcialmente el Riesgo a un tercero y se mitiga fuertemente el impacto. Por otro lado, se puede asumir que se convivirá con ese Nivel de Riesgo, el que será monitoreado en condiciones especiales con una frecuencia mayor. Si llegase a surgir una tecnología o elemento a costo razonable que permitiera tratar el Riesgo, esta será evaluada y eventualmente implementada. Una tercera opción a evaluar es la de traspasar la actividad en la cual se genera el Riesgo a un externo para que la desarrolle en beneficio de la organización, haciéndose responsable de dicho Riesgo. Sin embargo, en este último caso, surgirán nuevos Riesgos. Finalmente, en forma regular y sistemática, se valida la operación, funcionamiento y adecuación del Modelo de Gestión de Riesgos, sus controles y mitigadores, su cumplimiento y especialmente el registro de eventos, con lo que se procede a reevaluar y a afinar el resultado, permitiendo a la organización mejorar la calidad de
información respecto de sus riesgos y por ende una mejor calidad de información para la toma de decisiones.
LEVANTAMIENTO DE PROCESOS Para poder iniciar el levantamiento e identificación de los Riesgos, es necesaria una comprensión detallada del proceso que se evaluará. La forma más práctica de hacerlo es mediante un conjunto de documentos. Por un lado, un diagrama de flujo que detalle las actividades, agrupadas en sub-procesos, si existieren, y en el que cada toma de decisión y cada actividad, ya sea interna o externa, debiera estar codificada y asociada a un área o unidad responsable de dicha tarea. El segundo documento debiera ser una descripción operacional de cada una de las actividades, indicando los elementos de entrada de dicha actividad, la actividad propiamente tal y los elementos de salida. Además, en ambos documentos es necesario indicar las tecnologías involucradas. En este sentido es importante reconocer que una corchetera (engrapadora) o un lápiz pueden ser tan importantes como una base de datos digital o un sistema informático de gestión. Por ejemplo, en una actividad en particular se usan corchetes (grapas) para unir importantes documentos, como un cheque y su respectivo documento de autorización. Si no hay disponible una corchetera o siquiera corchetes que permitan efectivamente unir ambos documentos para evitar el extravío de alguno de ellos, la probabilidad de materialización de un FR del tipo “que se extravíe un cheque” aumenta significativamente. Para evitar esta situación, se puede considerar como mitigador, tener un pequeño stock de corchetes o clips disponibles. En un banco pequeño, el dueño es el único autorizado para firmar documentos valorados sobre determinado monto. Hay un importante documento que debe ser
firmado con tinta azul, por un aspecto legal. Justo cuando va a firmar, no hay tinta azul, solo negra y pese a que hay otras personas, solo hay lápices de tinta negra, verde o roja o de cualquier color menos azul… ¿qué hacemos? Ambos ejemplos anteriores son hechos reales que han sido observados en distintas organizaciones y que efectivamente han causado impacto en las organizaciones. Los detalles, usualmente los menos evidentes, son aquellos de los que hay que preocuparse, del resto, sólo hay que ocuparse.
FLUJOGRAMA Cuando se trabaja con flujogramas, en general, es necesario conocer algunos aspectos básicos de los mismos. Para la documentación de los flujos se recomienda el uso del método de notación BPMN (Business Process Modeling Notation – ISO 19510:2013), el que consiste de una notación gráfica estandarizada para el modelado de los procesos de negocio. Su principal objetivo es: Resolver las dificultades de comunicación que tiene el lenguaje común Proporciona un método normalizado para representar procesos de negocio Facilita su entendimiento debido a la poca complejidad de su notación Proporciona un lenguaje común entre los usuarios de negocio y los técnicos Facilita la diagramación de los procesos de negocio Algunas reglas o buenas prácticas mencionan lo siguiente: 1. Por lo general existe a lo menos un punto de inicio y un punto final del proceso. 2. Una actividad específica puede gatillar varias actividades subsecuentes paralelas. 3. Una actividad específica puede ser gatillada por una o varias actividades. 4. Una decisión sólo tiene dos salidas, esto es que se cumple o no se cumple una condición. 5. La línea de unión de dos figuras debe indicar hacia donde se dirige el flujo.
6. En el caso de las líneas de salida de una decisión, deben indicar si esa ruta corresponde a una confirmación de la condición o a una negación de la misma.
Es recomendable que con cada actividad, adicionalmente se identifiquen: 1. Documentos o comunicaciones de entrada y/o salida de la actividad. 2. Tecnologías utilizadas para recepción y/o transmisión de insumos a la actividad, procesamiento de la actividad y entrega o despacho de los resultados de la actividad. 3. Infraestructura relevante utilizada en esa actividad. 4. Un código único que permita identificar la actividad o toma de decisión en forma específica.
Fig. 18.- Ejemplo de Flujograma de Sub-Procesos Desarrollo propio
Fig. 19.- Ejemplo se Flujograma en detalle Desarrollo propio
En la figura 19 se puede observar que las
actividades
específicas
y
las
decisiones se encuentran codificadas y que algunas de estas actividades tienen varias figuras numeradas en torno
a
las
actividades
o
sub-
procesos. Estas corresponden, según sea el caso, a herramientas digitales o
Figura 20 Ejemplo de Simbología de Flujos
en papel, cuyo número se asocia a una tecnología en particular o un tipo de documento que se ha definido y documentado en otra sección del gráfico, generando un diccionario o glosario de figuras y numeraciones necesarias para poder comprender el detalle del flujo.
Es importante contar con algún tipo de descriptor de la simbología, tal que permita conocer el significado de cada uno de ellos.
IDENTIFICACIÓN DE FACTORES DE RIESGO (FR) Identificados los Procesos Críticos y sus respectivas actividades debidamente documentadas y descritas, la infraestructura y tecnologías necesarias, se debe evaluar en detalle cada una de las actividades y tomas de decisión del proceso. Producto de este análisis es necesario identificar la mayor cantidad de posibles situaciones que pudieran generar la materialización de un incidente que pudiera afectar el proceso o sus componentes. Particularmente es necesario considerar aquellas situaciones que pudieran afectar los diversos recursos utilizados en cada actividad, lo que permitiría identificar los distintos FR que potencialmente afectarían dicha actividad específica. Por ejemplo, si una actividad es desarrollada por personas, es válido preguntarse “¿qué sucede cuando se enferman?”, lo cual es una de las tantas metodologías de Gestión del Riesgo. Si el proceso se interrumpe o es necesario contar con una persona que lo reemplace, significa que existe un FR. Igualmente, si la actividad es automática, es válido preguntarse “¿qué sucede cuando se corta la luz?”. Si la actividad requiere del uso de tecnologías, es válido preguntarse qué sucede si esa tecnología no está disponible, presenta fallas o genera errores. Igualmente hay que considerar las fallas que pudieran generarse producto de los elementos de entrada a la actividad. Por ejemplo, si el informe llega ilegible o el archivo no se puede abrir, podría afectar el proceso y es necesario evaluar su impacto y probabilidad. Se debe recorrer completamente el flujo de cada proceso, analizar cada actividad y cada toma de decisión y documentar todos los FR identificados. Es tentador
generar Factores de Riesgo con la falta de controles del tipo “¿Qué no funcione el generador?”. En este caso, el FR indica que no funcione el control, lo que no es un FR, sino debe ser evaluado y considerado al momento de asignar una calidad al control. Igualmente es tentador definir varios FR del tipo “Que se enferme la Recepcionista” y luego “Que se enferme el Gerente XXXX”, etc. En realidad lo que se está identificando es “Que no se disponga del RRHH necesario en el momento adecuado” o “Que no se disponga de RRHH Críticos”. Con ello se analiza sólo un FR y se cubren todas las alternativas, incluyendo las variantes de que se enfermen o renuncien o simplemente que no estén disponibles porque fueron a un evento en el colegio de su hijo. Obviamente se debe intentar evaluar aquellas alternativas más críticas. Por ejemplo, el efecto que se puede tener producto que la secretaria-recepcionista se enferme puede ser muy distinto del efecto que el administrador de la base de datos que se explota diariamente se enferme, o que el Gerente que firma los cheques se enferme. Son Riesgos distintos, de probabilidad e impacto distintos, pero el FR es el mismo, que la persona que realiza la actividad se enferme o que el 10% de los RRHH de la empresa se enferme en un mismo instante, etc. Muchos considerarán que evaluar que el 10% del RRHH se enferme simultáneamente es demasiado exagerado. Sin embargo cuando se producen pandemias como la gripe aviar o la gripe porcina, efectivamente es posible y de hecho sucedió, que más del 10% de los RRHH de diversas organizaciones no pudieron ir a trabajar. Se recurrió a planes de emergencia y tecnologías que permitieron el trabajo remoto, pero eso es un mitigador del Riesgo.
Otro ejemplo similar es con las inundaciones. Están aquellos que tienden a matizar “que se inunde con 1 cm de agua”, “que se inunde con 5 cm de agua”, etc. Son matices, en la práctica es “que se rompa una cañería”, lo cual es válido incluso en pisos altos. Sin embargo, también se puede producir una inundación porque en la oficina de arriba se produjo una filtración o se rompió una cañería. Luego todas estas variantes están incluidas en el FR “Que se rompa una cañería provocando una inundación”, dado que lo importante es la consecuencia o impacto y no la variante de la causa específica.
IDENTIFICACIÓN DE RIESGOS Teniendo identificados los FR específicos e individuales, que no son fallas o faltas de controles, se pueden agrupar en variados criterios. Usualmente las normas relacionadas a la Gestión de Riesgo indican una serie de categoría y es cuestión de analizarlas e ir asociando los FR a los Riesgos especificados. Por ejemplo, Basilea II especifica 7 categorías señaladas anteriormente. Estas categorías son válidas para cualquier tipo de organización, indistinto que fueran concebidas originalmente para la industria financiera. Obviamente existen Riesgos específicos que se enmarcan en cada una de estas categorías. Por ejemplo: “Accidente Laboral”; “Acoso”; “Discriminación”; etc, son Riesgos específicos asociados a “Relaciones Laborales Y Seguridad En El Trabajo”. Complementariamente, si se considera necesario se puede abrir otras categorías como por ejemplo Legales o Político – Sociales. Luego, estos Riesgos específicos agrupan distintas formas como se puede materializar. Por ejemplo, el Riesgo “Acoso” incluye “Que se solicite favores extralaborales a un subalterno con fines laborales”; “Que un supervisor genere cargas de trabajo desproporcionadas respecto de sus supervisados”; “Que una autoridad exija favores sexuales a cambio de mejoras de evaluaciones, remuneraciones o simplemente para mantener el trabajo u otras condiciones”; etc. Todos estos FR son distintos, pero todos están asociados al concepto de ACOSO, por lo que se agrupan en ese Riesgo. Eventualmente pueden existir Riesgos mencionados en normativas o guías de referencia que no aplican a la organización y en dicho caso, no deben ser considerados. Sin embargo, usualmente la gran mayoría de las
categorías y Riesgos mencionados en las normas y recomendaciones aplican a cualquier organización, indistinto del tamaño, giro, complejidad, tipo, etc. No obstante, es importante recordar que el Riesgo más relevante no es el más crítico y usualmente el de mayor impacto, es aquel que no conocemos o el cual no consideramos como factible. Por mencionar tan solo un ejemplo, cuando el WTC en Nueva York fue atacado y destruido por terroristas, uno de los Directores de la compañía de seguros que ostentaba los seguros correspondientes se declaró inmediatamente en quiebra. Eventualmente pudieron llegar a esa situación, pero una adecuada Gestión de Riesgos interno de la compañía les permitió traspasar gran parte de sus costos a Re-aseguradoras que terminaron por responder con los pagos correspondientes.
ASOCIACION FACTOR DE RIESGO – RIESGO Una vez identificados los FR y definidos los Riesgos, es necesario relacionar de alguna forma estos elementos. Ello es necesario dado que un mismo FR puede materializar distintos Riesgos y a la inversa, un mismo Riesgo puede tener varios FR. Por ejemplo, el Riesgo de Accidente Laboral tiene asociado el FR “Que se accidente el mensajero”. Sin embargo, ese mismo FR “Que se accidente el mensajero” también puede materializar un Riesgo de “Pérdida de documentos jurídicos”. Las asociaciones de unos con otros pueden ser infinitas. Sin embargo, a objeto de no volverse demasiado exagerado, se sugiere que un Riesgo no tenga más de 40 ó 50 FR asociados y a su vez, que un FR no se asocie a más de 8 ó 10 Riesgos. El promedio ideal es de 5 a 6 FR por Riesgo, pero como todo lo utópico, es extremadamente improbable. A su vez, es muy importante una adecuada codificación. En este sentido, una forma que garantiza una codificación única de la forma Rxx, donde xx es un número secuencial o aleatorio, pero único y los FR, también debidamente codificados, por ejemplo FRyyy donde yyy es un número único. La combinación de estos, generará un código único para la relación FR – Riesgo, lo que será muy útil al momento de identificar los FR más relevantes dentro de un Riesgo en particular.
VALORACIÓN
Una vez identificados los FR, definidos los criterios y la metodología que se utilizará, comienza el trabajo de valorizar cada uno de los parámetros para cada uno de los FR y de los controles. Lo peor que se puede hacer, es que a puerta cerrada, entre un grupo de colaboradores que en ningún momento se encuentra involucrado con las actividades o procesos donde se genera el FR, se valorice en función del “criterio” de cada uno. Lamentablemente, el “criterio” no se puede comprar en el negocio de la esquina o en supermercado de su rubro. Es por ello que es indispensable estandarizar e integrar a los involucrados en las actividades específicas. Una forma que ha demostrado dar buenos resultados, es reunir a todos quienes están involucrados en el proceso, desde el auxiliar que reparte la correspondencia hasta el director general, si participan en el proceso. Se hace una pequeña introducción explicando la actividad a desarrollar, la metodología y los resultados esperados. La metodología básicamente consiste en primero evaluar los parámetros de Probabilidad para cada uno de los FR identificados. Esta situación permite concretar varios aspectos relevantes, puesto que primero se valida por los propios usuarios, en forma pública, que los FR identificados efectivamente son válidos y eventualmente incluso pueden surgir nuevos. Adicionalmente, se está capacitando a los asistentes en la Gestión de Riesgos y por último, se genera conciencia de los niveles de relevancia de mitigar los FR en forma permanente. La idea es que para
cada valoración se dé un espacio para conversar respecto del nivel de probabilidad e intentar llegar a un consenso al respecto. Si no es posible un consenso, se puede aplicar la MODA, esto es la valoración con mayor cantidad de adeptos. En caso que aun así no sea posible concretar un valor, se puede usar un promedio redondeado. El promedio es recomendable hacer lo posible por evitarlo, puesto que no es precisamente una buena salida, dado que justamente elimina los extremos. Sin embargo, cuando no hay solución en el debate y el tiempo apremia, es una alternativa válida. El motivo de comenzar por valorizar la Probabilidad, es que dados criterios estandarizados, es más fácil identificar las probabilidades de ocurrencia y la frecuencia con que una actividad expone a la organización a un Riesgo en particular. Una vez recorridos todos los FR y valorizados todos los parámetros de Probabilidad para cada uno de ellos, se procede a valorizar los parámetros del impacto. Se ocultan los valores de los parámetros de probabilidad evaluados previamente, pudiendo incluso realizar esta segunda etapa de valoración en una segunda reunión de trabajo, con el objeto de evitar “subjetivisar” el impacto. La ventaja de trabajar únicamente sobre estos parámetros es que se plantea que indistinto del evento y de su probabilidad, se considera que el incidente efectivamente sucedió. La organización se ve efectivamente enfrentada a una situación que le genera un impacto negativo.
Probablemente lo más complicado, es que los colaboradores no consideren los controles ya existentes. Por ejemplo, si la organización se ve afectada por un incendio, no se debe considerar los seguros para efectos de valorizar el Impacto, puesto que posteriormente, aplicando la fórmula que corresponda y en función de las características de los seguros, estos mitigarán el impacto del incidente generando una valoración “objetiva” del Nivel de Exposición al cual la organización está expuesta, producto de la inexistencia de seguros o de seguros que no cubren la totalidad de los requerimiento, etc. Luego, es necesario valorizar los Controles. En una tercera etapa o reunión, con el mismo grupo se procede a valorizar los parámetros asociados a cada uno de los controles en forma individual, indistinto del FR al que apliquen o la metodología que se utilice. Finalmente, se procede a asociar cada control el/los FR que mitiga.
RIESGO INHERENTE O INICIAL Producto del análisis detallado y la valoración individual de los FR asociados a cada Riesgo, se calcula un primer nivel de exposición denominado Riesgo Inherente. Este consiste con el cálculo de la Magnitud del Riesgo, pero sin considerar los controles, podríamos decir que se evalúa el Riesgo “tal cual Dios lo trajo al mundo”, desnudo. Este cálculo matemático entregará un valor asociado al Riesgo Inherente o propio de la actividad para cada FR. Dado lo anterior, es necesario identificar, para cada Riesgo, cual es el FR, asociado a ese Riesgo en particular, que tiene la mayor exposición y por ende es el que lleva al Riesgo a su mayor nivel. En general es bastante evidente, pero hay ciertas condiciones de borde que deben ser consideradas y tratadas. Supongamos que tanto la probabilidad como el impacto están en escala de 1 a 5. La metodología o fórmula para calcular el Riesgo será P * I. Qué sucede cuando tenemos un FR con Probabilidad = 4 e Impacto = 5 y lo comparamos contra otro de Probabilidad = 5 e Impacto = 4. Al aplicar nuestra fórmula, en ambos casos tenemos el mismo valor, 20. Cuál de los dos es más relevante? Es necesario definir un criterio que permita discriminar cuál de los dos es más relevante. Cuando ocurren estas situaciones medias extrañas, es recomendable considerar como más relevante aquel FR cuyo Impacto es mayor. El motivo es que al comparar dos situaciones, se presume que ambas han ocurrido, luego el Impacto es la variable que manda para diferencia la prioridad de uno sobre el otro.
Un elemento interesante a destacar en este punto, es que usualmente el FR que lleva el Riesgo a su máximo Nivel de Exposición es el más evidente y a su vez el más controlado. A su vez, en la mayoría de los Riesgos, sucederá que una vez aplicados los controles sobre un Riego en particular, será otro el FR que llevará el Riesgo a su máximo Nivel de Exposición, pero aun así, será menor que el inherente.
RIESGO RESTANTE O RESIDUAL El Nivel de Riesgo Restante o Residual es el resultado del tratamiento del Riesgo mediante controles y mitigadores que se aplican en determinadas actividades en las que surgen los FR que pueden materializar distintos Riesgo. En otras palabras, es el resultado de aplicar los controles y mitigadores disponibles a los FR identificados y es el Nivel de Riesgo al cual la actividad está expuesta pese a que se aplican los controles identificados. Si el Nivel de Riesgo Residual de un Riesgo en particular es superior al Nivel de Aceptable, significa que es necesario tomar medidas suficientes para reducir dicho Nivel bajo el nivel aceptable o eventualmente, con conocimiento y debidamente documentado, decidir traspasar dicho Riesgo a una aseguradora o simplemente asumir dicho Riesgo. MAPAS DE RIESGOS El Mapa de Riesgos no es más que una representación gráfica de los resultados de la evaluación de Riesgos y debe ser relativamente fácil de comprender por parte de personas que no son entendidas en la materia, tales como altos directivos de la compañía y Directores de la misma. En este sentido, existen distintas formas de representación. No hay unas más correctas que otras, sino que simplemente son distintas en función de lo que se pretende enfatizar.
MAPA DE PROBABILIDAD x IMPACTO Estándar El Mapa de Riesgos estándar basado en Probabilidad e Impacto, considera que cada Riesgo es representado por un punto dado por la coordenada generada de los resultados de la Probabilidad (eje X) y el Impacto o Severidad (eje Y) (también se usan los ejes invertidos, donde el Impacto es el eje X y la Probabilidad el eje Y). En este Mapa la Magnitud del Riesgo está dada por la magnitud del vector de origen en el punto de intersección de los ejes que termina en la coordenada del Riesgo. Eventualmente la magnitud puede estar dada por el color resultante por la posición relativa en la matriz de colores y determinando su nivel de riesgo de esta forma.
R04e
5
FR03
4 I M P A 3 C T O 2
FR142 FR212
FR244 FR190
1 1
2
3
4
5
PROBA BI L I DA D
Fig 21.1 Mapa de Riesgos estándar P x I
Fig 21.2 Mapa de Riesgos estándar P x I
Variabilidad de Probabilidad y/o Impacto Un Mapa de Riesgos del tipo P x I con variabilidad de Probabilidad y/o Impacto representa, adicionalmente a la coordenada del Riesgo, su margen de error respecto de la Probabilidad e Impacto representados. En este sentido, pudiera un Riesgo tener una Probabilidad 2 con una variación de un 10% por tanto en realidad estaría entre 1.8 y 2.2. Lo mismo sucede si existe un margen de error conocido respecto del impacto potencial.
FR160
FR212
FR22
FR161
Fig 22 Mapa de Riesgos de tipo P x I con variabilidad de Probabilidad e Impacto Desarrollo propio
MAPA DE RIESGO RESTANTE Otra forma de mostrar gráficamente la Magnitud de los Riesgos es directamente utilizando las escala de riesgos. Así el tamaño de la figura indicará la cantidad de Riegos asociados a una Categoría en particular, el eje vertical indicará la mayor Magnitud de Riesgo Residual de alguno de los Riesgos de dicha Categoría y el horizontal la Categoría. El resultado se muestra en la figura 23, lo cual permite un primer nivel de información ejecutiva.
Magnitud del Riesgo por Categoría de Riesgo 45
39 32 29
25 17 12
Fig 23 Magnitud del Riesgo por Categoría Desarrollo propio
En general, cuando un Riesgo se encuentra con una “Alta” Probabilidad y es de “Alto” Impacto, debe ser tratado inmediatamente. Cuando es solamente la
Probabilidad la que se puede afectar, es necesario implementar planes de control tales como capacitaciones, dobles controles u otras medidas que permitan reducir dicho parámetro. Cuando lo único que se puede mitigar es el impacto, es recomendable implementar planes de continuidad operacional y evaluar seguros complementarios que mitiguen a lo menos el impacto financiero para la organización.
INFORMES
Con cada ciclo de Gestión de Riesgos, donde se ha evaluado cada uno de los FR y se ha determinado los niveles de exposición de cada Riesgos y su relación con sus respectivos Niveles de Tolerancia o Aversión al Riesgo, es necesario informar a las máximas autoridades de la organización el estado del arte o la situación vigente de los Riesgos. Esta información es muy importante para la toma de decisiones y particularmente aquellas que tengan que ver con temas estratégicos o con enfrentar situaciones de desmedro. Por ejemplo, las compañías de seguro cobrarán menor prima si el nivel de accidentalidad es nulo o bajo. En la medida que se apliquen controles adecuados, el nivel de accidentabilidad bajará, las primas bajarán y todos estarán felices. Por otro lado, es importante para la autoridad organizacional conocer estos factores, puesto que se podría estar estudiando la fusión de la organización con otra y el tener niveles bajos de accidentabilidad pudiera ser un factor preponderante en las negociaciones y particularmente el precio. En el sentido opuesto, dada una situación de mercado que se contrae, es posible que sea necesario realizar recortes presupuestarios. El hecho de tener una baja accidentabilidad es una fortaleza que permitirá que los recortes no estén por ese lado. En general, el informe debe comenzar con una breve reseña de la situación anterior. Breve, de no más de un párrafo o dos, sumando no más de unas 10 líneas. El informe debe ser ejecutivo, breve, conciso, sin rodeos, directo a la materia. Luego una reseña de la situación actual, no más larga que la anterior y
finalmente una reseña de lo que se está haciendo para mejorar la situación actual. Cada uno de estos puntos no debe extenderse significativamente, puesto que se complementará con información en detalle en el resto del informe. Todo esto debe estar en una única página del informe, puesto que es EJECUTIVO y no en detalle. La siguiente sección del informe deberá profundizar un nivel mostrando gráficos de cada Categoría de Riesgo, el comparativo del ciclo anterior y el actual. Ello permitirá mostrar en forma resumida la evolución de la Gestión de Riesgos a nivel de Categoría. La siguiente sección profundiza aún más, y debe indicar los Factores de Riesgos específicos más riesgosos o peligrosos, indicando en primer lugar aquellos de mayor prioridad y paulatinamente llegar hasta los de Magnitud del Riesgo medio o bajo, según sea el caso, hasta los cuales tengan una Magnitud del Riesgo sobre el Nivel de Aceptación definido, pero por muy poco. De esta forma se facilita la priorización de la asignación de los recursos y facilita la generación de proyectos necesarios para implementar nuevos controles. En algunos casos, pudiera ser necesario especificar la situación particular de alguno de ellos, incluso cuando un Riesgo está bajo el nivel de tolerancia, por motivos de cumplimiento legal. Usualmente, estos Riesgos específicos tienen que ver con la probabilidad de comisión de algún delito por parte de la organización o que esta sea utilizada por clientes o proveedores para cometer ilícitos. Es por ello que pudiera ser tan relevante tratar estos Riesgos específicos en sesiones de Directorio o reuniones de las máximas autoridades de la organización.
Luego de este informe de la situación vigente, se debe indicar el seguimiento realizado a los indicadores de Riesgo. En general, estos indicadores no debieran ser más de 10, los que se informan, indistinto de que el área o unidad a cargo de la Gestión de Riesgos pueda tener varios más. La idea es escoger los principales indicadores que den el mayor valor posible a la visualización de la relevancia de los Riesgos y requerimientos de la Gestión de Riesgos, así como el mayor aporte a la toma de decisiones. Al igual que con los Riesgos, es necesario indicar la situación comparada de cada indicador respecto del ciclo anterior y agregar alguna pequeña descripción que justifique la variación en uno u otro sentido. Por ejemplo, el número de caídas de sistemas podría ser un indicador. En el período anterior era 0 y para este período es 1. Se puede explicar que hubo una situación no prevista de cortes de energía en el proveedor de los sistemas, lo que afectó por aproximadamente xx minutos a nuestra organización. Se aplicarán las multas establecidas en el contrato y se está evaluando el costo de cambiar de proveedor o de implementar un sistema de respaldos más complejo y seguro. Finalmente, el informe debe indicar los proyectos asociados a la Gestión de Riesgos, y todos los respectivos parámetros del proyecto, tales como responsable, nivel de avance, problemáticas puntuales, presupuesto, gasto real, etc. Un informe con estas 5 secciones, se puede entregar en una reunión de directorio o un Comité de Directores, y su presentación no debe durar más de 15 a 20 minutos, salvo que existan dudas de los asistentes. Este informe debiera ser fácilmente entendido por un Directorio o una Alta Gerencia para incorporarlo en los procesos de toma de decisión de la organización.
ANÁLISIS COSTO BENEFICIO La Gestión de Riesgos no implica únicamente identificar la Magnitud del Riesgo Restante de la organización a un Riesgo en particular, sino que además requiere que se determine qué hacer con él. Sin embargo, solamente el qué hacer no basta, puesto que los costos involucrados pudieran no justificar el beneficio de controlar el Riesgo. Por ejemplo, si la infraestructura tiene un costo de 100 y mitigar el riesgo de pérdida de ella significa una inversión de 200, el costo es muy superior al beneficio y tal vez es mejor simplemente aceptar el Riesgo. Es por lo anterior que, adicionalmente al informe ejecutivo, una adecuada Gestión de Riesgos hace necesario entregar a las máximas autoridades de la organización un análisis de los costos involucrados en la mitigación de los Riesgos versus los beneficios esperados de dicha inversión. En general, los costos son bastante claros y tienen que ver con bienes y servicios específicos, tales como servicios de monitoreo y vigilancia o bienes como extintores y sistemas automáticos de extinción de incendios o primas de seguros, etc. Sin embargo, la parte difícil de justificar es el beneficio y su mayor proporción respecto del costo. Por ejemplo, el costo de instalar un sistema de extinción de incendios puede ser del orden de US$1.000.000 en una bodega. Sin embargo, el costo de los productos en dicha bodega, superan en 10 veces dicho valor. A eso es necesario considerar pérdidas de mercado producto de un evento de esta naturaleza, juicios y demandas de vecinos y terceros afectados, además de la propia producción que no se puede generar.
Cuando el resultado de la proporción entre invertir en mitigadores y el costo resultante es casi 1, es decir son casi iguales, es necesario evaluar dos alternativas. Por un lado, según el monto involucrado, decidir asumir dicho costo en caso de materialización de un evento. La otra alternativa es evaluar seguros a los cuales poder traspasar a lo menos el impacto financiero de un evento de dicha naturaleza. Una tercera alternativa sería asumir el Riesgo.
REGISTRO DE PÉRDIDAS
Usualmente, cuando se inicia el proceso de Gestión de Riesgos, no hay disponibles registros o estadísticas respecto de las probabilidades o de los impactos reales de todos los eventos. Es por ello que es indispensable, junto con el inicio del proceso de Gestión de Riesgos, generar un modelo de base de datos que permita registrar y contabilizar las pérdidas y en definitiva los impactos. Este registro debe contener la mayor cantidad posible de información, tal que permita hacer un análisis y como resultado del mismo se puedan implementar mejoras. Por ejemplo, cuándo sucedió, qué sucedió y cómo sucedió. El cuándo es bastante evidente, se debe indicar no sólo la fecha, sino también la hora y el lugar. El qué, debe ser una descripción más que de los eventos, de la percepción de la situación, del contexto general en que se dio el incidente y el cómo debe indicar el análisis de causa raíz y sus conclusiones. Adicionalmente, es necesario detallar los efectos en la infraestructura, la tecnología, la producción, las personas, el negocio como tal, si los seguros operaron adecuadamente, si se detectaron falencias en planes de evacuación, planes de contingencia, etc. En la medida que se disponga de mayor cantidad y calidad de información, mejor será la evaluación de los riesgos, la comprensión de los requerimientos de mitigación y más certero el análisis de costo – beneficio de los controles implementados.
Por ejemplo, en las industrias manufactureras es común ver carteles que indican la cantidad de días transcurridos desde el último accidente. Un accidente en una industria donde la mano de obra es intensa, tiene un costo que va más allá de la o las personas accidentadas, con el costo que significa el tratamiento de las lesiones, los costos de recuperación y eventualmente capacitación. También hay que considerar los costos de despido y los costos de reemplazo, sólo desde el punto de vista del recurso humano. Adicionalmente, están los costos de la producción propiamente tal. Si el proceso productivo se detuvo durante varias horas o eventualmente días, existe un costo relevante en la materia, la reposición de componentes o maquinarias dañadas producto del accidente, el impacto en la moral y la eficiencia de los colaboradores que vieron el accidente o participaron indirectamente, amigos y colegas. Complementariamente, subirá la prima de accidentes, y en el peor de los casos puede incluso surgir demandas laborales o descontento general. Directamente, todo lo anterior debe valorizarse en dinero, necesariamente, puesto que ello se comparará con el costo de implementar una o un conjunto de medidas con el objetivo que el incidente no se repita y a que si llegase a ocurrir, el impacto del mismo sea el menor posible.
GLOSARIO
Amenaza: Causa potencia de un evento no deseado, que puede resultar en daños o perjuicios a los sistemas o la organización. Análisis de Riesgo: Proceso de comprender la naturaleza del riesgo y determinar el Nivel de Riesgo. Apetito de Riesgo: a) Magnitud del Riesgo que se está dispuesto a aceptar en búsqueda de resultados acordes con los objetivos de la organización. (Nivel de Aceptación). b) Decisión informada de asumir un determinado Riesgo. Apreciación del Riesgo: Es el proceso global de identificación, de análisis y de evaluación del Riesgo. Auditoría: Proceso sistemático, independiente y documentado para obtener evidencia y evaluarla objetivamente para determinar el nivel de cumplimiento de los criterios de auditoría. Alcance de la Auditoría: Extensión y límites de una auditoría. Alta Dirección: Persona o grupo de personas que dirigen y controlan una organización a su más alto nivel. Aversión al Riesgo: Actitud de alejarse del Riesgo. BCP: Sigla del inglés Business Continuity Plan o Plan de Continuidad de Negocio. Su objetivo es contar con procedimientos claros y estructurados que permitan
proteger a las personas y continuar con la operación o restablecerla a la brevedad posible. BIA: Sigla del inglés Business Impact Analysis o Análisis de Impacto al Negocio. Su principal objetivo es identificar aquellas situaciones que de materializarse generarían un mayor impacto negativo en la organización, tal que la misma pueda preparar acciones o controles que reduzcan la probabilidad que ocurran estos eventos o que en caso de ocurrir, el impacto sea menor al considerado originalmente. (véase el punto BIA) Buena Práctica: Conjunto de criterios y/o actividades que han sido probadas en diversas organizaciones de diversas características, que han dado resultados positivos. Capacidad de Riesgo: Máxima Magnitud de Riesgo Restante que la organización es capaz de soportar en caso de materialización de el/los Riesgos. Criterio: Término de referencia contra el cual se realiza una evaluación. Crítico: Característica de un elemento, actividad, sub-proceso o proceso, sin el cual la organización no puede continuar su operación usual. Control: Proceso, elemento o acción, que permite controlar y/o mitigar, identificar o reaccionar ante la materialización de un Riesgo. Controlar: Acción que reduce de alguna manera la Probabilidad de la materialización de un Riesgo. Consecuencia: Resultado de un evento que afecta objetivos.
Descripción del Riesgo: Declaración estructurada del Riesgo que usualmente contiene cuatro elementos: fuentes, eventos, causas y consecuencias. Dueño del Riesgo: Persona o entidad que tiene la responsabilidad y autoridad para gestionar el Riesgo. DRP: Sigla de inglés Disaster Recovery Plan o Plan de Recuperación de Desastres. Cuando el BCP no logra controlar la situación y se declara que ha ocurrido un desastre, este conjunto de planes e instrucciones establecen los mecanismos para recuperar a la organización de una situación de esta naturaleza. Efectividad: Se refiere a las capacidades de un control de operar en calidad, tiempo y alcance de acuerdo a sus características propias. Eficacia: Característica relacionada a “cuán bien” opera o se ejecuta una actividad, proceso o control. Eficiencia: Característica relacionada a “cuán rápido” opera o se ejecuta una actividad, proceso o control. Escala: Conjunto de valores ordenados, continuos o discretos, o conjunto de categorías a los cuales un parámetro hace referencia. Evaluación del Riesgo: Proceso de comparación de los resultados del Análisis de Riesgos con Criterios de Riesgo y/o el Nivel de Aceptación o Tolerancia al Riesgo. Evento: a) Algo que sucede en la organización fuera de lo establecido en los procedimientos y procesos usuales de la misma. b) Cambio en un conjunto particular de circunstancias.
Factor de Riesgo (FR): Causa raíz o incidente que materializa un Riesgo en particular. Fuente de Riesgo: Elemento que por sí solo o en combinación con otros tiene potencial intrínseco de materializar un Riesgo. Gestión de Riesgos: Actividades coordinadas para administrar, dirigir y controlar una organización respecto de los Riesgos. Identificación de Riesgos: Proceso de detección, reconocimiento y descripción de Riesgos. (Véase el punto Identificación de Riesgos) Impacto: Resultado negativo sobre la organización dada la materialización de un Riesgo. (Véase el punto Impacto) Incidente: Evento de connotación negativa para la organización. Incertidumbre: Estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad. Indicador: Medida que provee una estimación, valoración o referencia de una variable, una actividad, o un proceso, como resultado de un proceso de análisis. Matriz de Riesgos: Herramienta que permite ordenar y priorizar Riesgos, mediante la definición de rangos de parámetros tales como Probabilidad o Impacto u otros. Mapa de Riesgo: Representación gráfica de los resultados del tratamiento de los Riesgos reflejados en la Matriz de Riesgos Residual o Restante.
Medición: Proceso para determinar un valor. Mitigar: Acción que reduce de alguna manera el Impacto de la materialización de un Riesgo. Monitoreo: Proceso de determinación del estado de un proceso o actividad específica en un momento dado. Nivel de Aceptación: a) Magnitud del Riesgo que la organización está dispuesta a correr, pudiendo afectar negativamente los resultados financieros de la organización. b) Magnitud del Riesgo considerada aceptable y dentro del Apetito al Riesgo. Nivel de Exposición: Cantidad o Nivel de veces en que la organización se ve “expuesta” a la materialización de un Riesgo en particular. Nivel de Riesgo: Magnitud del Riesgo, resultante de la Apreciación del Riesgo, representada como el resultado de una combinación de variables. Percepción del Riesgo: Visión que las partes interesadas tienen del Riesgo. Política: Expresión formal de intención y dirección de una organización por parte de la Alta Dirección. Probabilidad: Frecuencia de veces que se materializa un evento respecto de la cantidad de veces que se ejecuta la acción en la cual el riesgo está presente. (Véase el punto Probabilidad) Proceso: Transformación de elementos de Entrada en elementos de Salida.
Resiliencia: a) Capacidad adaptativa de una organización en un ambiente complejo y cambiante. b) Resistencia. Riesgo: a) Combinación de parámetros de Probabilidad e Impacto respecto de la materialización de un evento específico que afecte a la organización o su desarrollo cotidiano. b) Contingencia o proximidad de un daño. c) Efecto de la incertidumbre en los objetivos. Riesgo Residual: Riesgo restante. Riesgo Restante: a) Resultado de la combinación de la evaluación de Probabilidad, Impacto y Controles que indica la prioridad y nivel de efecto de un Riesgo en particular. b) Magnitud del Riesgo luego de aplicar un tratamiento al Riesgo. RPO: Sigla del inglés Recovery Point Objective o Punto Objetivo de Recuperación, es la cantidad de datos o procesos que la organización considera tolerable o aceptable perder antes de considerarlo una interrupción del proceso. RTO: Sigla del inglés Recovery Time Objective o Tiempo Objetivo de Recuperación, es la cantidad de tiempo que se considera aceptable que un proceso pueda estar detenido hasta que éste se reactiva sin ser considerado crítico. Tratamiento al Riesgo: a) Combinación de controles que tienden a reducir el impacto y/o probabilidad de materialización de un Riesgo. b) Proceso para modificar el Riesgo.
Tolerancia al Riesgo: Rango de error aceptable para considerar un parámetro de Riesgo como confiable. Vulnerabilidad: Debilidad de un activo o control que potencialmente puede ser explotada por una o más amenazas.
BIBLIOGRAFIA
Guía 73 - Risk management – Vocabulary - ISO NCH ISO 19600: 2015 - Sistemas de gestión de Compliance – Directrices - INN ISO 31000:2009 - Risk management – ISO ISO 31010:2009 - Risk assessment techniques - ISO ISO 27001:2013 - Information technology -- Security techniques -- Information security management systems – Requirements – ISO ISO 22301:2012 - Societal security — Business continuity management systems — Requirements – ISO ISO 19510:2013 - Information technology - Object Management Group Business Process Model and Notation - ISO
ISO/TC 176/SC2 – Documento N°1222, Julio 2014 Risk Taking: A Corporate Governance Perspective – IFC World Bank Group Proceso de gestión de riesgos y seguros en las empresas - Mª ISABEL CASARES SAN JOSÉ-MARTÍ, Madrid 2013. “Implementación de la Gestión Integral de Riesgos en el Sector Asegurador bajo la norma ISO 31000” - - Mª ISABEL CASARES SAN JOSÉ-MARTÍ, Madrid 2014 Recomendación Basilea II – Banco Mundial
COSO I - Internal Control Integrated Framework – 1992 COSO II - Internal Control Integrated Framework – 2004 COSO III - Internal Control Integrated Framework – 2013 Directiva del Parlamento Europeo Solvencia 2009 Reglamento Delegado (UE) 2015/35 de la Comisión, Solvencia II Diccionario de la Real Academia de la Lengua Española Cálculo del Nivel de Riesgo Cardiovascular – UNED - Facultad de Ciencias Nutrición
y
Dietética
-
FERNANDO
MARTÍN
FERNÁNDEZ
-
http://www2.uned.es/pea-nutricion-y-dietetica-I/guia/PDF/ Programa_Calculo_Riesgo_Cardiovascular _UNED.pdf Nuevas Tablas Para La Evaluación Del Riesgo Coronarios En Chile - Dra. Carolina Echegoyen Inzunza http://medicinafamiliar.uc.cl/html/articulos/240.html
View more...
Comments
