Por: CP Iván Rodríguez. Colaborador de Auditool.
El actual entorno empresarial se ha caracterizado por la constante y rápida evolución de los negocios, lo que ha traído incertidumbre respecto de las decisiones que debe adoptar la alta dirección para obtener los resultados deseados. En ese sentido, la capacidad de anticipar y gestionar riesgos se ha constituido en una competencia esencial para las organizaciones de diferentes industrias. De ahí la importancia de la evaluación de riesgos, que opera como una herramienta fundamental para identificar, analizar y priorizar posibles amenazas, lo que facilita la toma de decisiones informadas y la implementación de estrategias efectivas para la mitigación de los riesgos. Esta evaluación es una de las labores habituales en el trabajo de un auditor, al analizar cualquier actividad o proyecto de la organización a la cual presta sus servicios.
El proceso de evaluación de riesgos, además de ayudar a las organizaciones a proteger sus activos y su reputación, contribuye a la mejora continua de la eficiencia operativa y a garantizar el cumplimiento normativo. Abarca desde la identificación inicial de riesgos hasta la implementación y supervisión de las medidas de control y se adelanta mediante una serie de pasos en los que participan diferentes partes interesadas. A continuación, se presentan los principales pasos del proceso de evaluación de riesgos, basados en la experiencia del autor y de conversaciones con colegas expertos en el tema:
1. Identificación de riesgos:
Este paso implica recolección de información; esto es, reunir datos relevantes sobre el entorno, las operaciones y los factores que podrían representar un riesgo. Se suelen emplear técnicas tales como la lluvia de ideas, el análisis DOFA (Debilidades, Oportunidades, Fortalezas y Amenazas), las entrevistas con expertos y la revisión de documentación previa, así como emplear listas de verificación y herramientas especializadas para identificar riesgos potenciales.
2. Análisis de riesgos:
Mediante evaluaciones de carácter cualitativo y cuantitativo se clasifican los riesgos en términos de probabilidad de ocurrencia y su impacto potencial. Para el efecto, se pueden emplear matrices de riesgo para visualizar y priorizar los riesgos, los cuales se miden por medio de datos numéricos y modelos matemáticos tales como análisis de sensibilidad, simulaciones de Monte Carlo y análisis de árbol de decisiones. Un apropiado complemento es la evaluación del contexto, en la que se consideran factores externos e internos que podrían influir en los riesgos, que pueden ser el entorno económico, regulatorio y tecnológico.
3. Evaluación y priorización de riesgos:
En este paso, se efectúa una comparación de riesgos en función de su probabilidad e impacto. Esto permite asignar prioridades y clasificar los riesgos en función de su criticidad; de esta manera se pueden enfocar los recursos y esfuerzos en los riesgos más significativos, además de determinar el nivel de riesgo que la organización está dispuesta a aceptar. Los riesgos que se ubican en la zona de alto impacto y alta probabilidad se abordan primero, ya que representan las mayores amenazas para el proyecto o trabajo.
4. Desarrollo de estrategias de respuesta a los riesgos:
Al gestionar riesgos, se busca cual es la mejor estrategia para reducirlos o eliminarlos. Entre ellas se cuentan:
- Evitar: Eliminar la causa del riesgo o la actividad que genera el riesgo.
- Mitigar: Reducir la probabilidad o el impacto del riesgo mediante acciones preventivas.
- Transferir: Desplazar el riesgo a una tercera parte, por ejemplo, mediante seguros o contratos.
- Aceptar: Reconocer el riesgo y decidir no tomar ninguna acción específica, aunque sí se efectúen acciones de supervisión.
5. Implementación de medidas de control y mitigación:
De manera similar a cualquier otra actividad de auditoría, la implementación de medidas de control y mitigación, se ejecutan de la siguiente manera:
- Planificación: En función del trabajo adelantado, se desarrollan planes detallados que permitan la implementación de las estrategias de respuesta a los riesgos. Por ejemplo, para mitigar un riesgo, se pueden implementar controles adicionales, asignar recursos adicionales o modificar el proyecto.
- Ejecución: Consiste en llevar a la práctica las medidas de control y mitigación de riesgos que previamente se han definido y convenido.
- Supervisión: Es importante evaluar regularmente la eficacia de las medidas implementadas y sobre la base de los resultados de esta evaluación, de ser necesario, se ajustan las estrategias, para que se obtengan los resultados esperados. Para el efecto, pueden establecerse indicadores clave de riesgo (Key risks indicatos - KRI) y puntos de control regulares para revisar y ajustar estrategias de gestión de riesgos. También es conveniente realizar revisiones periódicas para asegurar que los planes de respuesta estén siendo efectivos.
6. Comunicación y documentación:
Luego de llevar a cabo los anteriores pasos, es conveniente documentar los riesgos identificados, el análisis realizado, las estrategias de respuesta y las medidas de control implementadas, como evidencia del trabajo de auditoría ejecutado. También debe informarse a las personas interesadas en relación con los riesgos advertidos y las acciones tomadas para gestionarlos. Normalmente se emplean informes de progreso, reuniones regulares y herramientas de gestión de proyectos para comunicar el estado de los riesgos y las acciones tomadas.
Un buen proceso de evaluación de riesgos representa interesantes beneficios para la administración de la organización evaluada puesto que facilita las labores de identificar, analizar y gestionar los riesgos de manera proactiva. Algunos de los beneficios que pueden citarse son:
- Toma de decisiones estratégicas y operativas a partir de una base sólida e informada sobre el panorama de riesgos.
- Reducción de la incertidumbre al anticiparse y poder prepararse frente a eventos adversos y riesgos.
- Mejora de la eficiencia operativa al lograr una asignación efectiva de recursos en la gestión de riesgos.
- Cumplimiento normativo, toda vez que las evaluaciones contribuyen a atender en debida forma las regulaciones y normativas aplicables.
Este proceso ejecutado integralmente, por auditores competentes, contribuye de manera significativa a que la organización pueda alcanzar sus objetivos y enfrentar incertidumbres estratégicamente.
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.