La Matriz de Riesgos, soporte de la gestión de riesgos.

Las modernas metodologías de gestión de riesgos promueven una cultura de controles internos y administración de riesgos para una adecuada gestión de los procesos que soportan los negocios de la organización. 

Dentro de esa gestión de riesgos, que es muy grande, muy abarcativa y que involucra a todos los participantes de la organización, incluso a las Auditorías, me voy a referir a un elemento muy importante y que soporta una buena parte de esa gestión: las matrices de riesgos de los procesos.

Si bien no se trata de la matriz de riesgos de la auditoría. Auditoría es usuaria de estas matrices y bien puede utilizarla como fuente para sus trabajos. 

Frecuentemente me solicitan modelos de matrices de riesgos o me piden referencias sobre sistemas de soporte con matrices de riesgos.

En esas oportunidades lo primero que hago es repreguntar lo siguiente:

      – qué están haciendo en su organización en materia de gestión de riesgos?

La mayoría de las veces me responden:

-          por ahora nada, estamos esperando contar con el sistema;  o bien

-          esperamos tener un buen modelo de matriz de riesgos para volcar los datos y comenzar a trabajar sobre los principales riesgos.

Este tipo de situaciones  me llevan a focalizar este artículo en la descripción de los conceptos necesarios para trabajar con matrices de riesgos, porque entiendo son necesidades previas a su instalación. 

Una vez entendidos estos conceptos estaremos en condiciones de seleccionar el sistema o el modelo que más se adecue a nuestra empresa. 

  1. El proceso de la gestión de riesgos.

El IRAM (Instituto Argentino de Normalización y Certificación) explica muy bien en su  Norma A-17.550 las actividades dentro de una gestión de riesgos.

Recomiendo al lector la lectura de esa norma. 

El siguiente cuadro de la A – 17.550 sobre el sistema de gestión de riesgos me resulta absolutamente didáctico:

 

Los procesos en los que cobra relevancia la matriz de riesgos son aquéllos incluídos en el área sombreada: identificación, análisis y evaluación de los riesgos que también se relaciona con “establecer el contexto” (o fase táctica de la gestión de riesgo), con “tratar los riesgos” (o respuesta al riesgo) y con “comunicar y consultar” (o monitoreo y reporte).

En este artículo me referiré sólo a los primeros, a los del área sombreada. 

  1. El proceso de identificar riesgos.

-          Ok, manos a la obra, a registrar riesgos se ha dicho!  

Exclaman entusiastas las personas que, recuerdan, estaban esperando el sistema o el modelo de matriz para comenzar a trabajar, una vez que los consiguen. 

Ese loable impulso, se verá rápidamente frenado por algunas cuestiones que les surgirán antes de registrar el riesgo que surge, claramente, como el más básico de cualquier proceso bajo análisis. 

La primera definición que necesitamos es saber a qué nivel de procesos vamos a relacionar nuestras matrices de riesgos. 

Si estuviéramos analizando el proceso de una Gestión de insumos en una empresa fabril, podríamos armar una jerarquía o niveles de procesos (subprocesos, actividades, operaciones, etc.) y tendríamos la siguiente jerarquía de procesos:

 

Para el ejemplo seguimos una línea recta descendente sin considerar las actividades del mismo nivel que corren en forma paralela. Así, al mismo nivel de Compras podríamos ubicar la Administración del stock de insumos, con sus actividades de recepción, inventario físico y registros, despacho a planta, etc. Y así seguiríamos descendiendo en la jerarquía. 

Resulta preocupante imaginar el tamaño que puede tomar el detalle de todos los riesgos hasta el nivel de la operación más simple. 

Conclusión: determinar un nivel de detalle de los procesos que permita la administración lógica y eficiente de la gestión y que asegure que los principales riesgos están siendo evaluados es fundamental porque si se pretende llegar a un nivel exhaustivo de análisis se corre el riesgo de perder foco en lo verdaderamente importante.

Una mera orientación: el nivel de Subproceso, Compras en el ejemplo, normalmente es el adecuado. Pero hay que verificar esa validez para cada caso. 

Ninguna empresa es igual a otra. Indudablemente debemos entender todos los procesos para armar un inventario o una arquitectura de procesos de la organización. 

Luego de algunos relevamientos y unas cuantas reuniones con algunos sabihondos, seguramente conseguiremos armar el rompecabezas y tendremos una idea más o menos clara de los procesos de la organización. 

- Muy bien! Ahora sí, a registrar los riesgos!  

- Pero, cuáles riesgos? 

Muy sencillo: ya tenemos los procesos identificados y hasta descriptos. Pues bien, cómo sabemos, los riesgos que nos interesan son aquéllos que pueden afectar la consecución de los objetivos de estos procesos. 

Necesitamos, por lo tanto,  conocer claramente los objetivos de cada proceso.  

Ahora bien, pregunto al lector si en su organización:  

  • Están claramente definidos los objetivos de cada proceso?
  • Esos objetivos están alineados con los objetivos estratégicos?
  • Las personas responsables por la ejecución de las distintas actividades dentro de los procesos, conocen esos objetivos?
  • Esos objetivos y sus metas son razonables?

Un NO como respuesta a cualesquiera de esas cuatro preguntas determinará numerosos riesgos directos sobre la eficiencia del proceso. El punto más claro es el caso del las metas excesivas que puede generar mayores costos por ventas ficticias (devoluciones, fletes, impuestos, comisiones mal pagadas, descuentos indebidos, créditos mal otorgados), ventas forzadas, conductas antiéticas, etc. 

Otro aspecto a tener en cuenta es: quién va a registrar los riesgos? 

Se requiere que el área responsable del proceso, que lo conoce exhaustivamente y ejecuta y resuelve el día a día, sea quien registre los riesgos

Aquí podemos encontrarnos con un problema adicional o varios. 

  • Hay personas que subestiman los riesgos, ya sea porque conscientemente no quieren llamar la atención en la organización o bien porque naturalmente tienden a subestimarlos.
  • De la misma manera hay quienes los sobrevaloran. Algunos Gerentes consideran que si su área es más riesgosa pueden conseguir mayores presupuestos para mitigar esos riesgos o creen que tendrán mayor importancia relativa dentro de la organización.
  • Puede haber también problemas de entendimiento del trabajo.

Si bien estos posibles errores no pueden reducirse a cero, el proceso es perfectible. Hay métodos que permiten asegurar un buen proceso de autoevaluación.  

Ya sabemos qué riesgos vamos a identificar, quiénes los van a registrar y hasta qué nivel lo haremos. Adelante entonces!!!

  1. Analizando los riesgos:

El análisis de un riesgo tiene básicamente dos dimensiones. 

  • La clasificación del riesgo, se refiere a su tipificación (de crédito, de mercado, operativo, de imagen, legal) y a sus subtipos.

Esta apertura permite resumir por tipo de riesgo, a la vez que facilita su tratamiento, si fuera necesario. 

  • La calificación del riesgo, nos permite valorizar de alguna manera el riesgo. Para ello hay que determinar la severidad, que es el impacto potencial que produciría la materialización del riesgo identificado; y, además, calcular la probabilidad de ocurrencia del hecho. La probabilidad se basa en la mayoría de los casos, en el historial (cuántas veces se produjo el hecho en un período de tiempo, en la organización o en el mercado).

Normalmente se abren varias categorías de severidad y de probabilidad y las distintas combinaciones entre esas categorías de una y otra, determinan el nivel de riesgo. 

Ese nivel de riesgo puede adoptar un valor cuantitativo ($), un valor meramente cualitativo (ej. elevado, bajo) o algún valor semicuantitativo (300; 250; 100) representado por números y no por $ que permiten realizar un ordenamiento por nivel de riesgos. 

Que las personas conozcan las distintas clasificaciones de los riesgos y que puedan darles una calificación adecuada, importa contar con un diccionario de riesgos para asegurar un lenguaje común dentro de la organización así como un intensivo entrenamiento en la materia para poder utilizar efectivamente estos conceptos. 

  1. Evaluando los controles:

Una vez determinado por alguno de los métodos antes descripto el nivel del riesgo, hay que calcular la exposición real de ese riesgo. El valor de exposición a riesgo surge de restar al nivel de riesgo explicado,  los controles existentes para mitigarlo.

Estamos agregando un componente importantísimo a la matriz: los controles

Los controles son todas aquéllas actividades diseñadas para mitigar los distintos riesgos. 

Las preguntas que debemos realizar cuando evaluamos un control son las siguientes: 

  • Esta erogación (por el costo del control) justifica el riesgo que está mitigando?

Sólo si la respuesta es afirmativa, se realizarán las evaluaciones de rutina: 

  • El control está bien diseñado? Es decir, realizará aquello para lo que fue planeado?
  • Es ejecutado de acuerdo al diseño? Prueba de cumplimiento del control.

Si el costo del control es mayor al riesgo que pretende mitigar, en principio habrá que analizar su posible retiro.

  1. Evaluando los riesgos

Como dijimos el valor de exposición a los riesgos puede obtenerse restando al nivel del riesgo el control mitigante. Obtendríamos así, un valor residual o la exposición a los riesgos. 

El proceso continúa con la comparación entre este valor de exposición y un valor definido como nivel aceptable de riesgo. Si el valor de riesgo es mayor al aceptable habrá que tratarlo generando una respuesta al riesgo distinta de la actual.  

  1. Criticidad de los procesos:

Otro aspecto a tener en cuenta cuando evaluamos los riesgos, especialmente cuando los riesgos no son cuantificados en $, es la diferencia de criticidad en cada proceso. Sabemos que hay procesos que contribuyen o pueden afectar en mayor medida la consecución de los objetivos de la organización. 

Esta distinción tiene sentido cuando queremos comparar riesgos de diferentes procesos. En otras palabras un riesgo elevado del proceso A puede tener mayor peso que un riesgo elevado del proceso B, simplemente porque el proceso A tiene mayor criticidad. Este análisis es importante a la hora de conformar el portafolio de riesgos del negocio. 

Algunos de los factores más importantes que revelan la criticidad de un proceso son los siguientes:

    • Su nivel de relación con el cliente externo;
    • Su nivel de relación con entes reguladores;
    • Sus volúmenes transaccionados;
    • Su nivel de contribución con los resultados;
    • La complejidad de sus estructuras operativas o cambios importantes recientes en ellas;
    • La cantidad de personal que involucra;
    • El riesgo de imagen o reputacional relacionado
  1. Cuestiones finales:

Queda una última cuestión a resolver: qué hará que los Responsables registren los riesgos de los procesos que tienen a su cargo?

Desde ya, partimos de la base que tenemos el apoyo incondicional de la alta gerencia, pero no podemos esperar que la gente registre todo lo que pedimos sólo por obligación. La gente registra aquello que le conviene, que no le afecta demasiado o bien lo detectado por alguna Auditoría.

No alcanza, necesitamos identificar –y registrar- todos los riesgos importantes. 

Hay algo que hace que la gente gestione riesgos: cultura de riesgos y controles internos. No se compra ni se obtiene por mandato.

El cambio cultural es un proceso largo y continuo. Normalmente se habla de unos cinco años necesarios para un cambio deseado. Puede ser que en ese plazo se noten cambios importantes pero les aseguro que es un proceso que no termina nunca y al que hay que alimentar día a día mediante ejemplos y buenas prácticas de gestión.

A esta altura el lector se preguntará: entonces, tengo que esperar cinco años para comenzar a gestionar riesgos?

Definitivamente no. El cambio cultural hay que planearlo desde el primer día y ejecutarlo con acciones de capacitación, con divulgación y con acciones ejecutivas. La idea es curarse en salud. Hay que estar preparado para no tener la mejor gestión de riesgos en un inicio pero apuntar a su mejora continua. Les aseguro que la única forma es hacer camino al andar.

8.   Importantes beneficios:

Sabido es que las mejores prácticas recomiendan una adecuada gestión de los riesgos empresarios, más aún, algunos sectores altamente regulados obligados cada vez más a incorporar la gestión de riesgos a sus procesos de negocios. La norma IRAM mencionada es un claro ejemplo de mejor práctica.

Sin embargo, no es el mero cumplimiento normativo o de aplicación de best practices, el motivo que llevará a una organización a recorrer un camino efectivo hacia la gestión integral de sus riesgos.

Las organizaciones que realizan gestión de riesgos – de la cual la matriz de riesgos es sólo una parte, aunque fundamental –, están convencidas que de esta manera, se posicionan respecto a sus competidores de una manera ventajosa porque:

  • Disponen de información rica en conocimiento de sus procesos que en las otras organizaciones es dispersa, incoherente o carente;
  • Alinean sus procesos a los objetivos de los negocios, tornando a los negocios más seguros y, en consecuencia, más rentables;
  • Focalizan los esfuerzos en mitigar los riesgos más importantes logrando así una mayor eficiencia en los costos asignados a los controles;
  • Disminuyen la posibilidad de pérdidas porque identifican de una manera racional y abarcativa exposiciones a riesgos no aceptables y, brindan respuesta a las mismas.

 

9. Conclusión

La matriz de riesgo de un proceso, es una descripción organizada y calificada de sus actividades, de sus riesgos y de sus controles, que permite registrar los mismos en apoyo al gerenciamiento diario de los riesgos. 

Cobra real importancia cuando los datos a incorporar tienen un grado aceptable de confiabilidad, para ello hay que realizar algunos trabajos previos sobre:

  • La arquitectura de procesos y análisis de la criticidad de los mismos;
  • La revisión de los objetivos y metas de cada proceso;
  • La asignación de responsabilidades en el proceso;
  • El entrenamiento de los participantes;
  • Contar con un diccionario de riesgos para clasificarlos;
  • Contar con un método que permita calificarlos;
  • Evaluación de los controles mitigantes de cada riesgo
  • Nivel de apetito de riesgos.
  • Culturización en riesgos y controles internos

La matriz de riesgo por proceso, constituye un elemento de gestión muy importante para el responsable de ese proceso permitiéndole una visión clara y fácilmente actualizable de sus riesgos. 

Forma parte de la documentación de procesos, brindando a los usuarios un mayor conocimiento de los mismos, de sus actividades, riesgos y controles. 

Para el Auditor, es una fuente de información que le permitirá ahorrar muchas horas de trabajo, reconvirtiendo parte de sus tareas hacia funciones de mayor análisis y, obviamente mayor exigencia. Al mismo tiempo la revisión especializada del Auditor brinda el necesario monitoreo y posibilidad de mejoras de esta parte importante de la gestión de riesgos de la organización.

VERSIÓN COMPATIBLE CON IMPRESORA   

Autor:
Martín Svarzman

Contador Público y Licenciado en Administración (UBA)
Oficial de Controles Internos y Riesgos de Banco Itaú Buen Ayre.
Ex – Auditor Externo de KPMG,
Ex – Auditor Interno de Banco Itaú Buen Ayre.

 

About these ads