guía modulo implantación de un modelo de gestión de riesgos corporativos

Implantación de un Modelo de Gestión de Riesgos Corporativos

Guía de Apoyo

Autor: www.auditool.org

Autor: Jesús Aisa Díez Implantación de un Modelo de Gestión de Riesgos Corporativos En nombre del equipo Auditool, les damos la bienvenida al curso virtual, Implantación de un Modelo de Gestión de Riesgos Corporativos. El autor del presente curso es don Jesús Aisa Diez, Ex Subdirector Corporativo de Auditoría Interna de Telefónica S.A., Director de la Revista del Instituto de Auditores Internos de España y colaborador en las evaluaciones de calidad, ponente de diversos cursos y workshops sobre materias relacionadas con el control interno. Asesor en control interno, tutor de cursos on-line y articulista frecuente en la revista de la Institución en la Asociación Hispanoamericana de Centros de Investigación y Empresas de Telecomunicaciones (AHCIET). Ponente y conferencista en diversos eventos internacionales, tanto en España, como Iberoamérica. Para todos los profesionales que nos dedicamos a la actividad de auditoría interna existe una gran preocupación: que la función no sea percibida como un costo para las Organizaciones, sino como un proceso rentable, en cuyo caso el valor aportado debe superar los desembolsos que su operativa requiera. Conseguir este objetivo dependerá de varios factores, entre ellos, y de forma prioritaria, acertando en la selección de los trabajos de auditoría a acometer, incidiendo en lo verdaderamente importante, o lo que es lo mimo centrando nuestra atención en las amenazas que afecten, o puedan afectar, a la consecución de los objetivos empresariales más significativos. Para lo cual se hace imprescindible dirigir nuestros esfuerzos hacia el análisis y supervisión de aquellos procesos en los que puedan materializarse riesgos capaces de impedir los resultados deseados. Aunque la adecuada selección de los trabajos no será suficiente para conseguir el aporte de valor que se nos requiere, sí que es una condición necesaria, sin la cual ya podremos ser todo lo eficaces que resulte posible, que si no actuamos sobre lo que las necesidades de la Organización aconsejen en cada momento, no conseguiremos ser eficientes. En este contexto, el objetivo del presente curso es cubrir los siguientes dos escenarios: 1.

2.

Instruir a los participantes en el manejo de las técnicas más avanzadas sobre gestión de riesgos para evaluar de forma objetiva y competente el nivel del control interno de las organizaciones. Capacitar a los participantes para que puedan apoyar a la alta dirección y a los Directorios en el diseño e implementación de procesos de administración de riesgos con los cuales conseguir los objetivos empresariales.

Para ello vamos a dividir su desarrollo en dos módulos, el primero de ellos, que es en el que nos encontramos, a su vez lo subdividiremos en los siguientes apartados:     

1

Recordar el concepto de riesgo empresarial. Pronunciamiento del Institute of Internal Auditors sobre la Gestión de Riesgos por parte de Auditoría. Cuáles son los conceptos a manejar y a emplear. Cómo elaborar los mapas de riesgos, y finalmente, El rol de Auditoría Interna en el proceso de su levantamiento.

www.auditool.org

Autor: Jesús Aisa Díez Consideraciones Previas Lo que resulta obvio es que cualquier actividad humana, las empresariales entre ellas, están sometidas siempre a riesgos, entendiendo estos como aquellas circunstancias que pueden impedir que los acontecimientos se desarrollen, por causas ajenas a nuestra voluntad, según estaban diseñados, afectando a los objetivos y expectativas marcadas. La única forma existente para que los riesgos externos nos afecten lo menos posible, sería estándonos quietos, no haciendo nada; pero como dictaminó Bertrand Russell, uno de los filósofos más influyentes del siglo XX: “Una vida sin riesgo es una vida gris, pero una vida sin control probablemente será una vida corta”. Expresión que viene ya a anticiparnos la solución que debemos emplear ante las amenazas que representan los riesgos. LOS CONTROLES. Por lo que nos ha enseñado el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO, por sus siglas en inglés), y los demás protocolos sobre gestión de riesgos existentes, sabemos que siempre que existen riesgos aparecen también oportunidades, pero lo contrario también es cierto; cuando intentemos aprovechar una oportunidad, tenemos que considerar los riesgos que la misma comporte. Esto podemos observarlo claramente en la situación que refleja la fotografía del joven soldado de 19 años de la Alemania comunista, Jans Konrad Schuman, cuando el 15 de agosto de 1961 aprovecha la oportunidad de pasarse al lado occidental. Para ello debió asumir unos ciertos riesgos, como que se tropezara y cayera, que se le detuviese, etcétera, pero en su caso entendió que, a pesar de ellos, valían la pena asumirlos, pues el riesgo venía acompañado de una gran oportunidad, LA LIBERTAD.

2

www.auditool.org

Autor: Jesús Aisa Díez Lo importante de esta pequeña historia es que nos permite visualizar como en cualquier situación que, tanto los riesgos, como las oportunidades, siempre vienen acompañados de situaciones de efectos contrarios, que son los que debemos intentar identificar, y en la medida de lo posible, controlar, administrar o, en su caso, aprovechar.

Qué es el riesgo empresarial Todas las empresas están sometidas a los efectos de diversos eventos, tales como fases de inflación, bonanza económica, aumento de la competencia, agentes meteorológicos (sequias, inundaciones,…), etcétera, los cuales, unas veces tendrán repercusiones positivas, que entonces denominaremos “oportunidades” y otras veces efectos negativos respecto a la consecución de los objetivos, en cuyo caso denominaremos “riesgos”. Estas amenazas normalmente resultan inevitables, pues no dependen, en muchas ocasiones, de la voluntad de la empresa. Pero, siendo totalmente cierto que estos hechos pueden resultar inevitables, esto no nos conduce necesariamente a la conclusión de que también lo serán sus efectos, pues eso dependerá de cómo hayamos decidido gestionarlos. Pongamos como ejemplo un caso extremo, el riesgo de sismo, el cual resulta inevitable poder impedirlo, pero sí está en nuestra capacidad de decisión el tipo de construcción que apliquemos a las instalaciones de nuestra empresas a fin de minimizar los daños, como también lo serán los seguros que podamos suscribir con los cuales compensar los perjuicios que finalmente hayamos sufrido. Por consiguiente, lo importante serán las medidas que adoptemos para gestionar, administrar o minorar los riesgos que se puedan presentar. Como acertadamente señaló Suzanne Lagarbe, Jefa de Riesgos del Royal Bank of Canadá: El riesgo en sí mismo no es malo; lo que es malo es que el riesgo esté mal administrado, mal interpretado, mal calculado, o lo que es lo mismo, que no esté bien comprendido.

Evolución de la Gestión de Riesgos Si observamos cual es la evolución que se ha producido en el ámbito empresarial respecto de la forma de gestionar los riesgos, podremos concluir que los cambios han sido muy significativos. Puesto que:      

3

En el pasado: El monitoreo de los riesgos era una función secundaria adscrita a auditoría interna; ahora es una responsabilidad del máximo responsable ejecutivo, el CEO (Chief Executive Officer) Antes la gestión de riesgos solo contemplaba la parte negativa, actualmente también debemos considerar las oportunidades que su presencia nos ofrezca. Inicialmente el riesgo se trataba de forma aislada, hoy es un proceso integral. El tratamiento de los riesgos estaba situado en los niveles bajos del organigrama, actualmente la responsabilidad principal de su gestión corresponde a la alta dirección. De medir los riesgos de forma subjetiva, hemos pasado incluso a modelos de cuantificación sofisticados empleando técnicas econométricas complejas en algunos casos. En el pasado, la gestión de los riesgos era intuitiva, y no estaba estructurada y procedimentada; hoy en día sí.

www.auditool.org

Autor: Jesús Aisa Díez Pronunciamiento del IIA sobre la Gestión de Riesgos Esta permanente coexistencia de los riesgos con las decisiones empresariales es reconocida de forma reiterada por el Institute of Internal Auditors (IIA), pues incluso ya desde la propia definición de la función de Auditoría Interna, se nos indica que uno de los objetivos de la actividad auditora es la correspondiente a la mejora del proceso de la gestión de riesgos. Asímismo, se nos aconseja que los planes anuales deben elaborarse por parte del Director de Auditoría Interna teniendo en consideración el entorno de riesgos en el que se desenvuelve la actividad de la Organización, centrándose en aquellos que sean más importantes, o lo que es lo mismo, los que estén más presentes en los procesos críticos de la empresa. Norma 2010. Por último el Instituto de Auditores Internos también señala que si la Organización ha aceptado convivir con un nivel del riesgo que resulte incompatible con la evolución normal de la actividad empresarial, lo que significaría que estamos actuando en un ambiente de riesgos inadecuado con la consecución de los objetivos, el Director de Auditoría Interna debe denunciar esta situación a las partes apropiadas. Norma 2600. Pero no solo el Instituto se pronuncia sobre los aspectos que deben guiar la actividad de auditoría interna con base a los riesgos, sino que también describe de forma muy detallada cuál debe ser el proceso a seguir para establecer el Plan anual de Auditoría de acuerdo a los riesgos. En este sentido el Consejo para la Práctica 2010-2 (CP.2010-2), describe pormenorizadamente la forma de cómo el Plan Anual debe estar basado en riesgos. Señalando que:   

Auditoría Interna debe identificar áreas de alto riesgo inherente, alto riesgo residual y los sistemas de control claves en los que se sustenta la Organización. Si se identifican áreas de riesgo residuales inaceptables, el Director de Auditoria Interna debe notificarlo. Auditoría Interna analizará la adecuación y eficacia de los sistemas de control y ofrecerá seguridad razonable de que los controles funcionan y que los riesgos son gestionados de manera efectiva.

En tanto que el Consejo para la Práctica 2120-1 establece la conveniencia de que Auditoría Interna evalúe la adecuación de los procesos de Gestión de Riesgos, es decir si la forma en que la empresa se pronuncia en lo que se refiere al modelo de gestión/administración de los riesgos empresariales es el adecuado, o lo está enfocando equivocadamente, aconsejando, a partir de ahí, los cambios que sean pertinentes. Puesto que:    

Los objetivos de la organización han de estar alineados con la misión de la empresa. Los riesgos significativos deben ser identificados y evaluados. Se han de seleccionar respuestas apropiadas a los riesgos de forma que estén en un entorno de aceptación. Se debe obtener oportuna información significativa sobre los riesgos críticos.

Una adecuada planificación del trabajo que se estime pertinente deba ser desarrollado por la Unidad de Auditoría Interna, conlleva una serie de importantes ventajas, de las que destacaríamos:  

4

Facilitar la identificación y ordenación de las actividades de auditoría, con las cuales conseguir los objetivos esperados. Focalizar las actuaciones en la identificación y evaluación de lo importante.

www.auditool.org

Autor: Jesús Aisa Díez   

Contribuir a la racionalización de los recursos humanos, técnicos y financieros. Guiar la obtención de evidencias de auditorías adecuadas y suficientes para respaldar el contenido de los informes. Justificar la labor del auditor frente a cuestionamientos externos.

O lo que es lo mismo, posibilitando conseguir una eficiente labor auditora, pues estaríamos enfocando la actividad exclusivamente en los aspectos significativos, abandonando aquellos otros que no sean objetivamente susceptibles de análisis. Citaremos como ejemplo lo regulado por la Superintendencia de Banca y Seguros Peruana (SBS), lo cual obviamente sólo tendrá aplicación en las entidades del sector financiero que desarrollen su actividad en ese país, pero entendemos que lo recogido en su circular nº 37 del año 2008, puede considerarse como una buena práctica, la cual creemos conveniente compartir. En forma resumida lo legislado se refiere a: 1) Es objetivo de la Superintendencia que las empresas supervisadas cuenten con una Gestión Integral de Riesgos adecuada a su tamaño y a la complejidad de sus operaciones y servicios. 2) Dichas empresas deberán establecer los sistemas apropiados que faciliten la oportuna denuncia e investigación de actividades ilícitas o fraudulentas, identificadas por cualquier trabajador o persona que interactúe con ellas (Canal de denuncias). 3) Es responsabilidad del Directorio conocer los principales riesgos afrontados por la entidad, estableciendo adecuados niveles de tolerancia y apetito al riesgo (Toma de decisión). 4) La Gerencia General tiene la responsabilidad de implementar la Gestión Integral de Riesgos conforme a las disposiciones del Directorio. 5) Resultará obligatoria la constitución de un Comité de Auditoría y un Comité de Riesgos. Las responsabilidades que, de acuerdo con lo regulado por la Superintendencia peruana, han de asumir los distintos órganos de gestión y de control con los que deben contar las instituciones financieras afectadas. Serían: Comité de Riesgos (al menos uno de sus miembros ha de provenir del Directorio):    

Aprobar las políticas y la organización para la Gestión Integral de Riesgos. Definir la tolerancia y el grado de exposición al riesgo. Decidir las acciones necesarias para la implementación de las acciones correctivas requeridas, en caso de existir desviaciones respecto a los niveles de tolerancia a los riesgos asumidos. Proponer mejoras en la Gestión Integral de Riesgos.

En tanto que el Comité de Auditoría (mínimo tres miembros del Directorio, uno de ellos independiente), debe:    

5

Vigilar el adecuado funcionamiento del sistema de control interno. Informar al Directorio sobre la existencia de limitaciones en la fiabilidad de la información. Supervisar el cumplimiento de las políticas y procedimientos internos del control interno. Definir los criterios en la selección y contratación del auditor interno y sus principales colaboradores, sus remuneraciones y sobre su evaluación del desempeño, e incentivos monetarios (salvo que lo asuma el Comité de la casa matriz, previa autorización expresa de la SBS).

www.auditool.org

Autor: Jesús Aisa Díez El esquema de relaciones y dependencias entre las diferentes unidades orgánicas, es el que se refleja en el gráfico del Slide. Los diversos roles a desempeñar por cada uno de estos intervinientes en el proceso los describiremos en los siguientes slides:

Responsabilidades Directorio: Responsable de definir el proceso de Gestión Integral de Riesgos, así como de propiciar un ambiente interno adecuado y de aprobar los recursos necesarios para ello. Gerencia General: Encargada de implementar la Gestión Integral de Riesgos conforme a las disposiciones del

6

www.auditool.org

Autor: Jesús Aisa Díez Directorio:

Podrá

constituir

Comités

para

el

cumplimiento

de

sus

responsabilidades.

Gestores de Riesgos: Coordinar, facilitar y transmitir la cultura de riesgos dentro de su área de competencia. Gestionar e informar acerca de los riesgos de la misma y promover la mejora continua en la gestión de sus procesos. Gerencias de Área: Los gerentes de las unidades organizativas de negocios o de apoyo, en su ámbito de acción, tienen la responsabilidad de administrar los riesgos relacionados al logro de los objetivos de sus respectivas unidades. Gerencia de Riesgos: Responsable de apoyar y asistir a las demás unidades de la entidad en la realización de una buena gestión de riesgos en sus correspondientes áreas de responsabilidad. Unidad de Auditoría Interna: Desempeña un rol independiente a la gestión, vigilando la adecuación de la Gestión Integral de Riesgos, debiendo sujetarse a las disposiciones específicas que regulan su actividad en el Reglamento de Auditoría Interna.

Protocolos existentes sobre Gestión de Riesgos Cuando nos hemos referido en plural a los protocolos que guían a las organizaciones en la implantación de un modelo de gestión de riesgos, lo hacemos porque no estamos ante una única forma de actuar, ya que las formas de proceder son múltiples; aunque eso sí, básicamente obedeciendo todas ellas a dos hitos fundamentales:  

El establecimiento de una base sólida sobre la cual se sustente el proceso de gestión de riesgos, y Contar con un modelo operacional basado en una metodología robusta y adecuadamente implementada.

De todos ellos, quizás, el que tiene un mayor reconocimiento es el denominado COSO II (ERM por sus siglas en inglés), siendo por ello en el que nos vamos a apoyar, dado que, por otra parte, las diferencias metodológicas no son tan importantes como para que lo dicho con base a COSO, sea invalidado por los otros protocolos. Por nuestra parte destacaríamos, aparte de Basilea, Solvencia, SOX, los siguientes:  

ASNZ (Australian and New Zealand Standard on Risk Management), ISO 31000, recientemente, por ejemplo.

COSO II

Aunque en el curso no pretendemos describir COSO II, ya que lo consideramos suficientemente conocido, sí haremos alguna mención a determinados aspectos que nos permitan avanzar en el objetivo del seminario en forma ágil. Como por ejemplo, dada su relevancia, la definición que el propio Committee entendió oportuno elaborar para describir la administración de los riesgos corporativos. Considerándola:

7

www.auditool.org

Autor: Jesús Aisa Díez “Un proceso efectuado por el directorio, la administración y las personas de la organización; aplicado desde la definición estratégica hasta las actividades del día a día, diseñado para identificar eventos potenciales que pueden afectar a la organización y administrar los riesgos dentro de su apetito, a objeto de proveer una seguridad razonable respecto del logro de los objetivos de la organización”. Existen una serie de premisas, circunstancias o aspectos que son de aplicación generalizada en la administración de los riesgos, y son los que determinarán, en gran medida, la forma de actuar. Como por ejemplo:    

La principal es que todas las entidades, con o sin fines de lucro, existen para “crear valor a sus grupos de interés”. Todas ellas enfrentan incertidumbres. Las incertidumbres provienen de fuentes internas y externas, y éstas se pueden presentar como un riesgo o una oportunidad, con el potencial de destruir o generar valor, respectivamente. La gestión de riesgos corporativos permite manejar esas incertidumbres, su riesgo u oportunidad asociada y, en consecuencia, incrementar la capacidad de crear valor. La INCERTIDUMBRE equivale a DUDA o INSEGURIDAD. El problema es saber ¿cuánta incertidumbre estamos dispuestos a aceptar?

Recordemos que el Marco Integrado para la Gestión de Riesgos Empresariales, o COSO II, es:      

Un proceso continuo. Un medio para alcanzar un fin (los objetivos empresariales), no un fin en sí mismo. Efectuado por todo el personal de la empresa en todos sus niveles. Aplicado a partir de la definición de la estrategia. Desarrollado a lo largo de toda la organización (en cada nivel y unidad). Diseñado para identificar eventos potenciales y gestionar riesgos dentro del entorno del apetito al riesgo. Proveedor de seguridad razonable del logro de los objetivos: Estratégicos, Operacionales, Reporte y Cumplimiento. Y lo que quizás sea lo más importante: ES UN TRABAJO DE EQUIPO

En este slide exponemos las dos representaciones de COSO, la denominada COSO I y COSO II, no para desarrollar los conceptos que subyacen en ellas, sino solo para dejar constancia de que cuando estemos refiriéndonos al modelo de gestión de riesgos empresariales, también estamos hablando del Marco relativo al Control Interno, ya que este está inmerso en el anterior.

8

www.auditool.org

Autor: Jesús Aisa Díez

En opinión de más de 1.400 CEO’s recogidas en una encuesta de PWC, la Gestión de Riesgos Empresariales produce múltiples beneficios:     

Incrementa la capacidad objetiva para asumir los riesgos necesarios para ayudar a crear valor. Aporta claridad a la toma de decisiones y solvencia a las operaciones. Mejora el seguimiento del desempeño. Apoya el establecimiento de procedimientos de gobierno consistentes. Refuerza la reputación.

Pero también, aunque esto es ya nuestra opinión, normalmente:   

Han requerido un periodo de implementación amplio. Han necesitado apoyos de especialistas externos. El costo de la implementación ha resultado significativo.

Pudiendo concluir: Que lo complicado es hacer las cosas sencillas, por lo que se convierte en nuestro objetivo.

9

www.auditool.org

Autor: Jesús Aisa Díez Conceptos Los principales conceptos sobre los que vamos a ir trabajando a lo largo del curso son: Riesgo, Controles, Apetito al riesgo, Riesgo residual, Tolerancia al riesgo, Mapa de riesgos, pero también otros aspectos como: Distribución de responsabilidades, diferentes roles a desempeñar por los intervinientes en el proceso y evaluación de costos versus beneficios, que por ser ya viejos conocidos de todos nosotros no nos detendremos demasiado en ellos, aunque en su momento, sí en forma breve. Dado que estos son los que aplicaremos, tanto en la implementación del proceso de gestión de riesgos, como en la determinación del Plan Anual de Auditoría. Siendo el riesgo la posibilidad de que un evento ocurra y afecte adversamente a la consecución de los objetivos de una organización, su naturaleza puede ser muy variada y deberse a factores externos (económicos, medioambientales, políticos, sociales, catastróficos, etc.) o internos (infraestructura, personal, procesos y tecnología, etc.) La cuantificación de los riesgos, de acuerdo con lo establecido por COSO depende de sus dos atributos clásicos: el impacto y la probabilidad de ocurrencia. Sin embargo, como un poco más adelante veremos, actualmente se están incorporando algunas nuevas opiniones o teorías que incluyen otras variables adicionales para poder valorarlos adecuadamente, entre ellas la velocidad de ocurrencia y la vulnerabilidad. Aspecto que, aunque los vamos a describir, no lo tendremos plenamente en consideración en el desarrollo del curso, ya que entendemos que la propuesta no está demasiado bien soportada, por lo que entendemos que nos encontramos ante una moda pasajera. En cualquier caso, y al igual que a las personas se nos puede identificar por muchos atributos, en donde una forma clásica de evaluarlas es a través de su altura y peso; actuando de forma similar con los riesgos, pero refiriéndonos al impacto y a la probabilidad de ocurrencia.

10

www.auditool.org

Autor: Jesús Aisa Díez El atributo probabilidad mide la frecuencia con la que se estima se podría presentar la amenaza que se esté analizando. Estadísticamente sabemos que la probabilidad máxima de un fenómeno es igual a 100% y la mínima 0%. Pero frecuentemente también podremos emplear medidas de índole cualitativas, como: extrema, alta, media, norma, baja. En cuanto al impacto, también nos encontramos con otras dos forma de medirlo: (i) la cuantitativa con base a la estimación en unidades económicas del daño producido, y (ii) la cualitativa referida a la entidad del daño: Alto, medio o bajo, por ejemplo. Normalmente cuando se inicia la implementación de un Sistema de Gestión de Riesgos, los métodos de medición serán cualitativos, ya que no requieren de herramientas econométricas desarrolladas, sino solo sentido común y buen juicio. Una vez que ya disponemos de las valoraciones que subjetivamente hayamos considerado que corresponden al riesgo que estemos analizando, se hace imprescindible que a cada nivel del impacto y de la probabilidad estimada le asignemos un valor. Por ejemplo: PROBABILIDAD alta (valor 3), media (valor 2), baja (valor 1) IMPACTO alto (valor 3), medio (valor 2), bajo (valor 1)

11

www.auditool.org

Autor: Jesús Aisa Díez Posteriormente para poder cuantificar la importancia del riesgo debemos multiplicar el valor asignado a la probabilidad por el valor asignado al impacto estimado. En el ejemplo expuesto, los valores obtenidos serían: 9, 6, 4, 3, 2, 1. Pudiendo establecer que el resultado 1 y 2 corresponde con un riesgo tolerable, los valores 3 y 4 con un riesgo moderado, el valor 6 representaría una alta amenaza, mientras que la combinación que conduzca al 9 sería un riesgo crítico. En línea de lo que ya hemos comentado, recientemente el Committee of Sponsoring Organizations ha difundido una nueva versión del informe COSO I, en la que se incluyen dos nuevos elementos a tener en cuenta a la hora de evaluar los riesgos; específicamente se incluye el concepto de velocidad y el de persistencia de los riesgos, como criterios complementarios para evaluar también la criticidad de los mismos, y en donde se considera lo siguiente: o o

La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la Organización una vez este se ha materializado, es decir, hace referencia al ritmo con el que se espera que la entidad experimente el impacto. Por otro lado, la persistencia de un riesgo hace referencia a la duración del impacto después de que el riesgo se haya materializado.

Es cierto que estos hechos diferenciales podrían determinar las características del riesgo con el que estemos trabajando, derivándose de ello los controles apropiados para combatirlos; pero esto no es ninguna novedad pues representa la forma que operamos en forma genérica con los riesgos, ya que los controles no solo se establecen en función del impacto y de la probabilidad de ocurrencia, sino también con base al resto de circunstancias que rodean los distintos factores de riesgo que puedan afectar a nuestros objetivos. Como ya iremos viendo. Partiendo de lo anterior, y adicional a la interrelación entre los dos COSO´s, (COSO I y COSO-ERM), también se tienen los conceptos incluidos en el documento Risk Assessment in Practice Thought Paper del 26 de Octubre del año 2012, en el que se incluye el elemento de la velocidad de ocurrencia, así como el de vulnerabilidad, cuyo concepto lo define el diccionario de la legua española como la incapacidad de resistencia cuando se presenta un fenómeno amenazante, o la incapacidad para reponerse después de que haya ocurrido un desastre.

Mapas de Riesgos Multidimensionales De no dejar aparcados los nuevos elementos a considerar en el momento de evaluar los riesgos, nos encontraríamos con la necesidad de ampliar la dimensión de los mapas de riesgo, que pasarían a ser multidimensionales, de momento 5 (impacto, probabilidad, velocidad, persistencia y vulnerabilidad). Por lo que habría que buscar soluciones imaginativas para poder hacer su representación en un soporte de dos dimensiones, como en el ejemplo que aparece en el Slide, donde el tamaño del punto refleja la velocidad de aparición. Pudiendo reservar la forma de los puntos para identificar la persistencia y el color, por ejemplo, para identificar su grado de vulnerabilidad.

12

www.auditool.org

Autor: Jesús Aisa Díez

La enorme complicación que en el momento de evaluar los riesgos se derivará de los cambios propuestos, y sobre todo por la dificultad que supondría en la elaboración de los mapas de riesgos, nos hacen reconsiderar la conveniencia de aplicarlos en lo que resta del curso, por lo que coincidimos con nuestra amiga Mafalda y, de momento, los dejaremos aparcados, aunque más adelante volveremos a tratarlos y exponer nuestra propia opinión respecto de estos nuevos atributos, pues hemos de señalar que no serán ignorados La gama de riesgos que pueden afectar al normal desenvolvimiento de los negocios es muy amplia, como podemos observar en el Slide, en el que hemos incorporado los que podríamos considerar más habituales, agrupándolos por características, tales como: Técnicas, Operativos, Recursos humanos, Tecnológicos, Control Interno, Naturales,…

13

www.auditool.org

Autor: Jesús Aisa Díez Ejemplo de Riesgos Empresariales

Debiendo señalar que no hay un modelo único, ni recomendable a ser aplicado en las Organizaciones empresariales, pues el más idóneo será aquel que contenga aquellos que puedan presentarse habitualmente en el desarrollo de la actividad. En el ejemplo que estamos describiendo, extrañamos, por ejemplo, los riesgos reputacionales, los medioambientales y los financieros contables. La identificación de las posibles amenazas es básica para una adecuada gestión de las mismas, debiendo analizar con sumo cuidado cuáles son estas, pero intentando no desagregar en exceso, puesto que trabajar con un modelo de riesgos excesivamente pormenorizado complicará su aplicación. En nuestra opinión no debiéramos trabajar inicialmente con un portafolio que supere los 50 o 60 riesgos. En cualquier caso, recordemos que los modelos de gestión de riesgos tipo ERM también consideran las oportunidades, es decir aquellas circunstancias que pueden afectar favorablemente al logro de los objetivos. Sería, por ejemplo el viento en un vuelo transoceánico de Europa a América, en cuyo caso es un riesgo pues disminuye la velocidad del avión, y hará que se consuma más combustible, pero si el itinerario es el inverso, de América a Europa, es un efecto favorable, pues al incidir sobre la cola de la aeronave aumentará su velocidad. Siendo esta la razón por los que los vuelos en este sentido, América- Europa, duran menos que los del sentido contrario.

14

www.auditool.org

Autor: Jesús Aisa Díez Una nueva clasificación de los riesgos es la que presentamos ahora, con la que tampoco hemos reseñado de forma exhaustiva toda la tipología de riesgos que pueden existir. Insistimos, lo que en cada momento habrá que esforzarse en identificar aquellos aspectos que realmente representen amenazas en la consecución de los objetivos perseguidos.

15

www.auditool.org

Autor: Jesús Aisa Díez Fuentes de Riesgos En la identificación de los posibles riesgos que incidan en la gestión de la empresa, quizá lo más importante es identificar las fuentes de los riesgos, o lo que es lo mismo la causa por la que se pueden producir los efectos adversos que afecten a la actividad.

Por ejemplo: en el riesgo de accidente en carretera existen muchas posible causas que los pueden provocar: mal estado de la carretera o de las ruedas, exceso de velocidad, la falta de pericia del conductor, etcétera. Que son los aspectos sobre los que habrá que incidir para controlar el riesgo de accidente, al menos desde la perspectiva de la probabilidad de ocurrencia. En la reproducción de la información recogida en la prensa respecto de la cronología de los hechos que concurrieron en el accidente de hace unos años en un vuelo de Air France en el Océano Atlántico, podemos leer la sucesión de acontecimientos en la parte izquierda del Slide, mientras que en la parte derecha podemos ver los factores de riesgos que se pudieron observar, y que no fueron debidamente gestionados.

16

www.auditool.org

Autor: Jesús Aisa Díez

Lo importante es entender que un riesgo, en este caso el de accidente del avión, normalmente tiene más de un factor o causa que lo materialice. Los modelos de gestión de riesgos empresariales manejan una serie de conceptos que ya hemos enumerado en algunos Slide anteriores, y que, para continuar, nos gustaría que recordásemos.

17



Riesgo inherente: El que existe en ausencia de acciones para alterar o reducir su probabilidad de ocurrencia o impacto.



Apetito al riesgo: Cuantía que se está dispuesto a asumir para realizar la misión, al ser compatible con los objetivos.



Riesgo residual: Remanente después de que se hayan llevado a cabo las acciones para modificar la probabilidad y/o el impacto de un riesgo.



Tolerancia al riesgo: El margen asumido como válido entre el Riesgo Residual y el Apetito al Riesgo



Controles: Medidas adoptadas para mitigar el impacto y/o reducir la probabilidad de ocurrencia de los riesgos.



Mapa de riesgos: Representación cartesiana de la importancia de los riesgos

www.auditool.org

Autor: Jesús Aisa Díez Gestión de Riesgos La gestión de riesgos debemos entenderla cómo la actividad empresarial, y humana también, que nos permite convivir con las amenazas que puedan afectar a los objetivos establecidos, impidiendo que estas se materialicen, o de hacerlo se minimicen los impactos que puedan producir. Por ello: La gestión de riesgos consiste en la identificación, evaluación y control de los acontecimientos que, potencialmente, pueden poner en peligro los objetivos y metas. Veamos con cierto detenimiento la siguiente fotografía; observamos que dos operarios están manejando lo que parece ser material inflamable. El riesgo es evidente, un accidente laboral, la razón, que entre en ignición alguno de los bidones, o que uno de los bidones le caiga sobre una mano o un pié a los operarios. El objetivo a conseguir: mover los bidones sin que existan accidentes.

Si recordamos los riesgos se evalúan con base a dos atributos, el impacto (el daño producido) y la probabilidad de que este ocurra. En el caso de la foto, no apreciamos nada que pueda conducirnos a una menor probabilidad de una deflagración, salvo que ninguno de los dos operarios está fumando, ni se manipulan los bidones cerca de ninguna fuente de energía, por lo que la posibilidad de que ocurra el accidente no estaría alterada. Pero sin embargo, la dotación que llevan estos operarios da la impresión de ser ignífuga, por lo que si algún bidón se incendia, las consecuencias de las quemaduras que pueden sufrir serán menos importantes que si no llevaran esa protección. El control impuesto a la operación está incidiendo en el IMPACTO. En el mismo sentido puede apreciarse que ambos llevan guantes y calzado apropiado, lo que mitigaría las consecuencias de una caída del bidón. Recordemos que COSO II señala respecto a las actividades de control, que son: “Las políticas y procedimientos que ayudan a asegurar que se llevan a cabo las respuestas de la dirección a los riesgos”

18

www.auditool.org

Autor: Jesús Aisa Díez Las respuestas a los riesgos pueden ser de varios tipos: las que los evitan, las que los mitigan, las que los comparten, pero también la de aceptarlos. Evitarlos sería cuando, por ejemplo, el riesgo de sismos que amenaza a una empresa se corrige trasladando la industria o el almacén a un lugar donde no exista esa amenaza. Sería mitigándolos, siguiendo con el mismo ejemplo, cuando se refuerza la estructura de la edificación, incluyendo elementos antisísmicos. Sería compartirlos, cuando se suscribiese una póliza de seguros que compensase los daños sufridos por el terremoto. Y finalmente sería aceptarlos, cuando no se toman medidas para minimizar el riesgo inherente, ya que en la zona no se estima que se produzcan estos accidentes. La forma de elegir uno u otro procedimiento dependerá de varias circunstancias, pero entre ellas que el costo que suponga la implementación de las medidas decididas, versus los beneficios obtenidos. Adicionalmente los controles deben ser elegidos también en coherencia con el apetitito al riesgo que se haya fijado por la Organización como el nivel de riesgo compatible con los objetivos perseguidos. Como podemos ver de forma gráfica los controles intervienen en momentos diferentes del proceso, según sean estos detectivos, preventivos o correctivos.

19

www.auditool.org

Autor: Jesús Aisa Díez Dado que los controles no son excluyentes, podremos tener en un mismo proceso distintos tipos de controles. De su elección dependerá en buena medida la eficacia y la eficiencia del proceso de gestión de riesgos. Pero también podemos clasificarlos por otros tipos de características, como por ejemplo: la periodicidad en su aplicación, o la forma de ejercerse, bien sea manual o automática.

La forma elegida dependerá como ya hemos comentado anteriormente, de la relación costo / beneficio que se obtenga de su implementación, por lo que debemos tener siempre presente que: “lo mejor suele ser enemigo de lo bueno”, lo que nos recomienda que seamos pragmáticos al momento de elegir los controles que vayamos a utilizar.

20

www.auditool.org

Autor: Jesús Aisa Díez Para relajarnos un poco de los temas tan serios con los que estamos tratando, permitámonos una pequeña licencia: averigüemos el tipo de controles que se emplean en la granja avícola que se presenta en el Slide.

Podríamos contestar que son controles manuales y de tipo correctivos, incidiendo sobre el impacto, no sobre la probabilidad de ocurrencia; lo cual sería correcto, pero lo que de verdad calificaría al control empleado, es la de ser INEFICAZ, pues la rotura de los huevos es prácticamente segura.

Mapas de Riesgos Los mapas de riesgos son la representación gráfica de la probabilidad e impacto estimada de los riesgos. Pueden adoptar la forma de mapas de color o diagramas de proceso que trazan estimaciones cuantitativas o cualitativas de la probabilidad e impacto de cada uno de los riesgos.

21

www.auditool.org

Autor: Jesús Aisa Díez Normalmente los riesgos se representan de manera que los más significativos, lo que tienen mayor probabilidad y/o impacto resalten, diferenciándolos de los de menor importancia, asignándoles el color rojo, el color amarillo para los intermedios y el color verde para los no preocupantes, en forma similar a los colores de un semáforo. Los mapas sirven para poder tener una imagen de las amenazas que afecten a la organización, de su importancia, y de lo cerca o alejados que estén de la situación deseada, que es la que se deriva de considerar los apetitos al riesgo en cada una de estas amenazas. Para poder situar adecuadamente los diferentes riesgos en el correspondiente mapa, se hace imprescindible la cuantificación o evaluación de los dos atributos, su impacto y su probabilidad de ocurrencia. Modelación de las Variables a Considerar:

Esta evaluación, como ya hemos comentado, puede hacerse a través de métodos cuantitativos o cualitativos; si bien en los momentos iniciales de implementación de los Sistemas de Gestión de Riesgos lo habitual es el empleo de métodos cualitativos, ya que no requieren disponer de importantes volúmenes de datos, y son intuitivos y de fácil estimación, aunque no disponen de una gran precisión, lo cual no es ningún inconveniente para recomendar su empleo.

22

www.auditool.org

Autor: Jesús Aisa Díez En el ejemplo que reproducimos, tanto la probabilidad de ocurrencia, como el impacto los hemos subdividido en cinco clases, de acuerdo con la escala previamente definida. Resultado

23

www.auditool.org

Autor: Jesús Aisa Díez Asignando a cada uno de estos cinco niveles un valor numérico representativo de su grado de impacto o probabilidad, el valor 5 para los niveles más significativos, en tanto que el 1 es para los más bajos, por lo cual tendríamos las siguientes posibilidades: Probabilidad

Impacto

Casi certeza……………………… 5

Catastróficas……………………… 5

Probable………………………….. 4

Mayores…………………………… 4

Moderado………………………… 3

Moderadas………………………... 3

Improbable……………………….. 2

Menores…………………………… 2

Muy Improbable…………………. 1

Insignificantes…………………….. 1

Multiplicando los valores asignados a cada uno de estos elementos obtendremos la importancia estimada de cada riesgo en función de la estimación de cada uno de sus elementos. Obtenida la evaluación de cada uno de los dos atributos de los distintos riesgos que hayamos considerado pueden afectar a los procesos que estemos gestionando, la ubicación de dichos riesgos en unas coordenadas cartesianas nos permitirá visualizar la representación gráfica de los riesgos en su correspondiente mapa, así:

Pero invitemos a Mafalda a que nos comente su opinión sobre la oportunidad de ampliar los atributos que debemos evaluar para tener una idea rigurosa del tipo de riesgo que nos pueden amenazar, ya que algunos expertos se inclinan en incorporar los correspondientes a la velocidad de ocurrencia, la persistencia y la vulnerabilidad.

24

www.auditool.org

Autor: Jesús Aisa Díez Empecemos por la velocidad. Es cierto que la velocidad de ocurrencia influye en la tipología del riesgo que estemos analizando. Un incendio, un sismo, una tormenta con granizo, un atraco, etcétera, son ejemplos claros de situaciones que, de producirse, se manifiestan con gran rapidez, y que es un aspecto independiente a la probabilidad de ocurrencia, pero no del impacto, pues la capacidad de reacción de que dispongamos determinará en gran medida el daño finalmente producido, por ello sí consideramos oportuno tener en consideración esta característica de los riesgos, pero fundamentalmente para determinar los controles específicos que en cada caso corresponda. En el ejemplo del incendio, instalando circuitos cortafuegos de actuación automática; en la tormenta por granizo protegiendo las cosechas con toldos y en los atracos protegiendo nuestras instalaciones con cristales blindados, o con dispositivos de apertura de las cajas fuertes, o alarmas. En lo que se refiere a la variable persistencia, creo que aquí la vinculación de esta característica con el impacto es evidente, pensemos por ejemplo en una crisis económica o en una sequía continuada. Su mayor o menor continuidad determinará los daños que puedan producirse. Y por último la vulnerabilidad, entendida como la predisposición para ser afectado por alguna circunstancia, por ejemplo a los españoles que visitamos México, lo que suele denominarse la venganza de Moctezuma, es decir los padecimientos diarreicos causados a los turistas. Lo cual no es más que un factor con el que incrementar la probabilidad de ocurrencia, que podremos controlar evitando comer y beber determinados artículos. A mayor abundamiento de lo que hemos comentado, creo que puede ser ilustrativo comentar el caso de una desgracia ocurrida recientemente en un espacio público en la noche de Halloween en Madrid, en donde se concentraron miles de jóvenes que se vieron sorprendidos por una gran avalancha humana en la que perecieron varios jóvenes. La rapidez de la avalancha fue tremenda, cuestión de minutos; pero eso no fue lo determinante de la tragedia, sino que las puertas de desalojo estaban bloqueadas (los controles previstos no funcionaron), y que en el botiquín habilitado solo estaba un facultativo de 80 años con un equipo insuficiente e inadecuado para atender paradas cardiovasculares (nuevamente los controles fallaron). En el mismo sentido y respecto a la vulnerabilidad, estamos acostumbrados a escuchar la expresión de “poblaciones de riesgo” como aquellas que están expuestas a determinadas amenazas, virus VIH, aficionados al tabaco respecto de cáncer de pulmón, etcétera, que lo que nos están es identificando colectivos en los que la probabilidad de que se materialicen las amenazas es muy superior a la de otros colectivos. Por lo tanto: VULNERABILIDAD es igual a MAYOR PROBABILIDAD. Nuestra tesis es que estos nuevos atributos que se entiende conveniente considerar a la hora de determinar la relevancia de los riesgos, no determinan la importancia o relevancia de los mismos, sino las características propias de cada amenaza, las cuales sí deben ser consideradas para seleccionar el tipo de controles que en cada caso corresponda aplicar. La forma de actuar dependerá de muchos factores, entre ellos: a) El medio natural en el que se producen: Maremotos versus terremotos. b) Los daños producidos: Materiales, personas, hábitat,…. c) El origen de los mismos: Infecciones, virus, bacterias,….. d) El lugar dónde se materialice el riesgo: En el hogar, en la calle, en un aeropuerto, en el avión,…

25

www.auditool.org

Autor: Jesús Aisa Díez Todos estos aspectos deben ser tenidos en consideración al momento de determinar el tipo de controles que debemos aplicar en cada caso, puesto que estarán determinado el impacto o la probabilidad, pero sobre todo la empleabilidad del control seleccionado.

Roles de Auditoría Interna en ERM Otro aspecto que entendemos imprescindible comentar antes de dar por terminada la fase conceptual, es la correspondiente al rol que deben y pueden realizar los departamentos de Auditoría Interna en la implantación y posterior desarrollo de los procesos de gestión de riesgos. Ya hemos comentado que este Proceso es multiparticipativo, dado que afecta a todos los miembros de la organización, por lo que debe existir una clara asignación de responsabilidades, ya que, de otra manera, se diluirían estas y no habría forma de identificar las medidas correctoras que pudieran en su caso aplicarse. Hemos visto como el Directorio debe asumir un papel protagonista, siendo el impulsor de su implementación, pero también decidiendo cuales son los objetivos estratégicos que deben guiar la marcha de la organización, así como también debe decidir sobre la tolerancia al riesgo que se entienda es compatible con esos objetivos. A las gerencias operativas les corresponderá la identificación y evaluación de los riesgos que afecten a los procesos de los que ellos sean responsables, pero también decidiendo qué medidas son las que deben aplicarse para que los riesgos observados se mantengan dentro del nivel de tolerancia decidido. Mientras que Auditoría Interna le corresponderían dos actividades: la del aseguramiento del proceso establecido y la de consultor en su diseño e implementación, pero ajustando su función a determinadas reglas. En el caso de las unidades de Auditoría Interna, dado que estas tiene su principal campo de actuación en el elemento de COSO correspondiente a la SUPERVISIÓN, o lo que es lo mismo monitorear, con lo cual pueden concluir sobre la eficacia y eficiencia de los procesos evaluados - en el de gestión de riesgos también - el propio Instituto de Auditores Internos definió, dentro de todas las actuaciones que pueden realizarse en un ERM, las que serían propias de Auditoría Interna, aquellas otras en las que no habría inconveniente en que pudiesen ser realizadas por Auditoría y, en último lugar, las que en modo alguno deben ser asumidas por la Dirección de Auditoría Interna. Su representación gráfica corresponde con el semicírculo que recoge el slide, el cual analizándolo de izquierda a derecha, refleja las tres situaciones que hemos comentado. Es destacable que el propio Instituto de Auditores Internos entiende conveniente que la Auditoría Interna pueda asumir el papel de impulsor de este proceso, pero marcando una “línea roja” que no debe traspasarse en ningún momento, como es la toma de decisiones respecto del nivel de riesgo asumible por la organización, ni la de decidir qué acciones deben realizarse para reconducir los riesgos a los entornos considerados aceptables. En este sentido, si en determinadas situaciones al Director de Auditoría Interna se le asigna la responsabilidad de Gestor de Riesgos, como prolongación de su rol de impulsor del proyecto, debemos señalar que esto no resulta del todo aceptable, pues sólo basta recordar en este sentido lo indicado por la Norma. 1130. A2, que señala que “Los trabajos de aseguramiento para funciones en las cuales el Director de Auditoría Interna tiene responsabilidades deben ser supervisadas por alguien fuera de la actividad de auditoría interna”. Es decir habría conflicto de intereses.

26

www.auditool.org

Autor: Jesús Aisa Díez Roles de la Auditoría Interna

En una encuesta realizada por el Institute of Internal Auditors, se observa que en la actualidad, el papel prioritario asumido por las Unidades de Auditoría Interna en el proceso de la gestión de riesgos es: el de proveer de orientaciones pertinentes a las organizaciones sobre la forma adecuada de gestionarlos (77%), seguido de involucrarse en la formación del proceso de gestión de riesgos (48%), y en tercer lugar en la participación en la implementación del programa de gestión de riesgos (45%). Pudiendo apreciarse que, entre las expectativas respecto a la actividad que se espera desarrollen las Unidades de Auditoría Interna, se encuentra la de proveer aseguramiento independiente sobre la gestión de riesgos; que es exactamente el rol que nos debe corresponder, una vez que el proceso de gestión de riesgos esté ya funcionando en la organización. Ya hemos comentado que el proceso de gestión de riesgos es un proceso de mejora continua, pero también de implementación progresiva, en cuyo caso el rol a desempeñar por las Unidades de Auditoría Interna dependerá del grado de desarrollo que tenga dicho proceso, que como se observará por lo indicado en el slide, en las primeras fases predomina la función consultora, en tanto que en las fases de consolidación se actúa en el ámbito del aseguramiento.

27

www.auditool.org

Autor: Jesús Aisa Díez Estado de Madurez ERM en una Organización

En resumen, el rol a desempeñar por Auditoría Interna en el proceso de gestión de riesgos dependerá del grado de madurez que el mismo tenga en el ámbito de la empresa. Siguiendo la secuencia que el propio COSO desarrolló en el Marco Integrado sobre el proceso ERM, esta se puede representar de forma gráfica tal cual la recogemos en el gráfico: su inicio debe efectuarse con una definición clara, comprometida y decidida por parte del Directorio en la existencia de un adecuado entorno o ambiente de control dentro de la organización, para pasar inmediatamente, y sin solución de continuidad, en la definición de la estrategia de la organización, de la que se derivarán los objetivos a alcanzar por las distintas áreas en las que esté dividida la organización, identificando para estos los procesos claves en los que se apoyan.

28

www.auditool.org

Autor: Jesús Aisa Díez

Después se han de identificar los acontecimientos que, de una forma positiva o negativa, puedan afectar a la consecución de las metas empresariales, evaluando su importancia, definiendo el apetito al riesgo que en cada caso corresponda, comparándolo con los niveles de los riesgos residuales que entendamos existen. De la diferencia que nos encontremos con la tolerancia al riesgo que hayamos establecido, se deben adoptar las medidas correctoras que procedan, concretando los controles que haya que implantar, para por último, y con una participación amplia de Auditoría Interna, realizar una supervisión de la eficacia del modelo implantado.

29

www.auditool.org