(Primera Actualización 2006-09-12)
GESTION DE RIESGO
INTRODUCCION
La administración de Riesgos es una parte fundamental de la Gobernabilidad corporativa que busca contribuir eficientemente en la identificación, análisis, tratamiento, comunicación y monitoreo de los riesgos del negocio. La norma técnica Colombiana de gestión del riesgo 5254 es una traducción idéntica de la norma técnica Australiana AS/NZ 4360:2004 de amplia aceptación y reconocimiento a nivel mundial para la gestión de riesgos independiente de la industria o el negocio que desee emplearla. Allí también esta consignada una vital recomendación a los administradores de negocios: “La Gestión de riesgos debe formar parte de la cultura organizacional…quienes gestionan el riesgo de forma eficaz y eficiente tienen más probabilidad de alcanzar sus objetivos y hacerlo a menor costo”.
ALCANCE Y GENERALIDADES
Alcance y aplicación
Este Estándar provee una guía genérica para el establecimiento e implementación el proceso de administración de riesgos involucrando el establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos.
Objeto
Esta norma tiene como objeto proporcionar una guía para permitir a cualquier empresa el logro de:
• Mejor identificación de oportunidades y amenazas
• Tener una base rigurosa para la toma de decisiones y la planificación
• Gestión proactiva y no reactiva
• Mejorar la conformidad con la legislación pertinente
• Mejorar la gestión de incidentes y la reducción de las pérdidas y el costo del riesgo.
Definiciones
Para el propósito de esta norma se destacan las siguientes definiciones:
Análisis del riesgo. Proceso sistemático para entender la naturaleza del riesgo y deducir el nivel del riesgo.
Consecuencia. Resultado o impacto de un evento.
Control. Proceso, política, dispositivo, práctica u otra acción existente que actúa para minimizar el riesgo negativo o potenciar oportunidades positivas.
Evaluación del control. Revisión sistemática de los riesgos para garantizar que los controles aún son eficaces y adecuados.
Evento. Ocurrencia de un conjunto particular de circunstancias.
Frecuencia. Medición del número de ocurrencias por unidad de tiempo.
Posibilidad. Se usa como descripción general de la probabilidad o la frecuencia.
Monitorear. Verificar, supervisar o medir regularmente el progreso de una actividad, acción o sistema para identificar los cambios en el nivel de desempeño requerido.
Probabilidad. Medida de la oportunidad de ocurrencia expresada como un número entre 0 y 1.
Riesgo. La oportunidad que suceda algo que tendrá impacto en los objetivos.
Riesgo residual. Riesgo remanente después de la implementación del tratamiento del riesgo.
Valoración del riesgo. Proceso total de identificación, análisis y evaluación del riesgo.
Criterios del riesgo. Términos de referencia mediante los cuáles se evalúa la importancia del riesgo.
Reducción del riesgo. Acciones que se toman para reducir la posibilidad y consecuencias asociadas a un riesgo.
VISION GENERAL DEL PROCESO DE GESTIÓN DE RIESGO
Los principales elementos del proceso de gestión de riesgo, como se ilustra en la siguiente figura son:
Figura 1. Elementos que conforman el proceso de gestión del riesgo
a. Comunicación y consulta. Comunicar y consultar con interesados internos y externos según corresponda en cada etapa del proceso de administración de riesgos y concerniendo al proceso como un todo.
b. Establecer el contexto. Establecer el contexto interno y externo de la gestión del riesgo en el cuál tendrá lugar el resto del proceso.
c. Identificar riesgos. Identificar qué, por qué y cómo pueden surgir las cosas como base para análisis posterior.
d. Analizar riesgos. Determinar los controles existentes y analizar riesgos en términos de consecuencias y probabilidades en el contexto de esos controles. El análisis debería considerar el rango de consecuencias potenciales y cuán probable es que ocurran esas consecuencias. Consecuencias y probabilidades pueden ser combinadas para producir un nivel estimado de riesgo.
e. Evaluar riesgos. Comparar niveles estimados de riesgos contra los criterios preestablecidos. .
f. Tratar los riesgos. Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos, desarrollar e implementar un plan de administración específico que incluya consideraciones de fondeo, reduciendo pérdidas potenciales.
g. Monitoreo y revisión. Es necesario monitorear la eficacia de todas las etapas del proceso de gestión del riesgo. Esto es importante para la mejora continua.
La gestión de riesgo se puede aplicar en muchos ámbitos de una organización. Se puede aplicar en los niveles estratégico, táctico y operacional. Se puede aplicar a proyectos, en la toma de decisiones específicas o para mejorar áreas reconocidas de riesgo.
PROCESO DE LA GESTIÓN DE RIESGO
Comunicación y consulta
Fuera de lo ya dicho para esta etapa, es importante desarrollar un plan de comunicación tanto para las partes involucradas internas como externas en las primeras etapas del proceso. Este plan debería abordar temas relacionados con el riesgo en sí y con el proceso para gestionarlo. Lo anterior se desarrolla con el objetivo de asegurar que los responsables de implementar la gestión del riesgo y los directamente interesados entiendan la base sobre la cuál se toman las decisiones y el porqué de las acciones particulares requeridas.
Es útil un enfoque de equipo consultivo para facilitar la definición adecuada del contexto, asegurar la eficaz identificación de los riesgos, para unir diferentes áreas de pericia para el análisis de los mismos y así asegurar que se tienen diferentes puntos de vista sobre ellos y la adecuada gestión durante su tratamiento.
Los registros de este proceso dependerán de factores tales como la escala y la sensibilidad de la actividad.
ESTABLECIMIENTO DEL CONTEXTO
Generalidades
El establecimiento del contexto es necesario para definir los parámetros básicos dentro de los cuales deben administrarse los riesgos y para proveer una guía para las decisiones dentro de estudios de administración de riesgos más detallados. Esto establece el alcance para el resto del proceso de administración de riesgos. Deben incluirse el ambiente interno y externo y sus interfaces correspondientes.
Establecimiento del contexto externo.
Esta etapa define el ambiente externo en el cuál funciona la organización, también la forma como se relacionan. Puede incluir por ejemplo:
a. Ambiente de negocio, social, reglamentario, cultural, competitivo, financiero y político.
b. Fortalezas, debilidades, oportunidades y amenazas de la organización.
c. Las partes externas involucradas.
d. Las directrices clave del negocio.
Es particularmente importante considerar las concepciones y los valores de las partes externas involucradas y establecer políticas para la comunicación de esas partes.
Esta etapa es importante porque con ello se puede asegurar que las partes involucradas y sus objetivos se tienen en cuenta cuando se desarrollan criterios para la gestión de riesgo y que las amenazas oportunidades y amenazas generadas externamente se consideran de forma adecuada.
Establecimiento del contexto interno.
Esta se debe realizar al antes de comenzar las actividades de gestión de riesgo para comprender la organización. Las áreas claves incluyen:
1. Cultura
2. Partes internas involucradas
3. Estructura
4. Capacidades en términos de recursos tales como personas, sistemas, procesos y capital.
5. Metas, objetivos y las estrategias establecidas para lograrlos.
Es importante establecer el contexto interno porque:
La gestión del riesgo tiene un lugar en el contexto de las metas y los objetivos de la organización.
Las políticas y las metas organizacionales, así como los intereses ayudan a definir la política de riesgo de la organización.
Definición de la estructura del resto del proceso
Implica subdividir la actividad, el proceso, el proyecto o el cambio en con juntos de elementos o pasos para proporcionar un marco lógico que ayude a garantizar que no se omitan riesgos significativos.
IDENTIFICACIÓN DE LOS RIESGOS
Generalidades
Esta fase busca identificar los riesgos que se han de gestionar, usando un proceso sistemático bien estructurado ya que un riesgo no identificado en esta etapa puede ser excluido de un análisis posterior.
¿Qué puede suceder, dónde y cuándo?
El propósito es generar una lista de las fuentes de riesgos y de los eventos que pueden tener impacto en el logro de cada uno de los objetivos identificados en el contexto. Estos eventos pueden evitar, degradar retrasar o potenciar el logro de estos objetivos.
¿Por qué y cómo puede suceder?
Una vez identificado lo que pueda suceder, es necesario considerar las posibles causas. Ello a muchas formas en que un evento puede ocurrir.
Herramientas Técnicas
Los enfoques empleados para identificar los riesgos incluyen listas de verificación, juicios basados en la experiencia y los registros, diagramas de flujo, lluvia de ideas, análisis de sistemas, análisis de escenarios y técnicas de ingeniería de sistemas.
El enfoque utilizado dependerá de la naturaleza de las actividades que se revisa, los tipos de riesgos, el contexto organizacional y el propósito del estudio de gestión de riesgo.
ANÁLISIS DE LOS RIESGOS
Generalidades
El análisis del riesgo consiste en desarrollar el entendimiento del riesgo. Suministra una entrada para las decisiones sobre si es necesario tratar los riesgos y las estrategias de tratamiento del riesgo más adecuadas y eficaces en términos de costo. El análisis implica la consideración de las fuentes de riesgo, sus consecuencias positivas y negativas y la posibilidad de que dichas ocurrencias puedan ocurrir.
El riesgo se analiza combinando las consecuencias con su posibilidad.
Evaluación de los controles existentes
Identificar los procesos, dispositivos o prácticas existentes que puedan actuar para minimizar los riesgos negativos o para potenciar los riesgos positivos y evaluar sus fortalezas y debilidades.
Consecuencias y posibilidades
La magnitud de las consecuencias de un evento, si ocurriera, y la posibilidad del evento y sus consecuencias asociadas se evalúan en el contexto de la eficacia de las estrategias y controles existentes. Las consecuencias y la posibilidad se combinan para producir un nivel de riesgo. Las consecuencias y la posibilidad se pueden estimar utilizando análisis y cálculos estadísticos, igualmente se puede hacer una estimación subjetiva que refleje el grado de creencia de que se producirá un evento o resultado particular.
Se debería utilizar las fuentes de información y las técnicas más pertinentes en el análisis de las consecuencias y la posibilidad. Las fuentes de información pueden incluir las siguientes:
• Registros anteriores
• Experiencia práctica y pertinente
• Literatura pertinente publicada
• Investigación de mercado
• Resultados de consulta pública
• Experimentos y prototipos
• Modelos económicos, de ingeniería y otros
• Conceptos de especialistas y expertos
Las técnicas incluyen
• Entrevistas estructuradas
• Uso de grupos multidisciplinarios de expertos
• Evaluaciones individuales empleando cuestionarios
• Uso de modelos y simulaciones
Tipos de análisis
El análisis del riesgo se puede realizar con diversos grados de detalle dependiendo del riesgo, el propósito del análisis y la información datos y recursos disponibles. El análisis puede ser cualitativo, semicuantitativo, cuantitativo o una combinación de ellos. En la práctica, el análisis cualitativo con frecuencia se emplea primero para obtener una indicación general del nivel del riesgo y revelar los principales aspectos del riesgo. Posteriormente, puede ser necesario emprender un análisis más específico o cuantitativo sobre los principales aspectos de riesgo.
Los tipos de análisis son.
• Análisis cualitativo, utiliza palabras para describir la magnitud de las consecuencias potenciales y la posibilidad de que ocurran tales consecuencias.
El análisis cualitativo se puede usar en las siguientes situaciones.
o Como actividad de tamizado inicial para identificar los riesgos que requieren análisis mas detallados
o Cuando es adecuado para la toma de decisiones
o Cuando los datos numéricos o los recursos no son adecuados para el análisis cuantitativo.
• Análisis semicuantitativo, se dan en valores y el objetivo es producir una escala de clasificación más amplia que la que se obtiene usualmente en el análisis cualitativo, sin sugerir valores realistas para riesgos.
• Análisis cuantitativo, utiliza valores numéricos, tanto para las consecuencias como para la posibilidad, empleando datos provenientes de una variedad de fuentes. La calidad del análisis depende de la exactitud y cabalidad de los valores numéricos y de la validez de los modelos.
Análisis de sensibilidad
Debido a que de las estimaciones hechas en el análisis de riesgo son imprecisas, es conveniente realizar un análisis de sensibilidad para probar el efecto de la incertidumbre en los supuestos y los datos. El análisis de sensibilidad también es una forma de probar la idoneidad y eficacia de los controles potenciales.
EVALUACION DE LOS RIESGOS
El propósito de la evaluación del riesgo es tomar decisiones, basadas en los resultados del análisis del riesgo.
La evaluación del riesgo implica comparación del nivel de riego hallado durante el proceso de análisis con los criterios de riesgo establecidos al considerar el contexto.
TRATAMIENTO DE LOS RIESGOS
Generalidades
El tratamiento del riesgo implica la identificación de opciones para tratar los riesgos, la valoración de tales opciones y la preparación e implementación de los planes de tratamiento.
Identificación de las opciones para el tratamiento de los riesgos con resultados positivos
Las opciones de tratamiento para los riesgos que tienen resultados positivos (oportunidades), que no son necesariamente de exclusión mutua ni adecuados en todas las circunstancias, incluyen:
• Búsqueda activa de una oportunidad decidiendo empezar o continuar con una actividad que probablemente la cree o la mantenga.
• Cambiar la posibilidad de la oportunidad para potenciar la posibilidad de los resultados benéficos.
• Cambiar con las consecuencias para incrementar la extensión de las ganancias.
• Compartir la oportunidad.
• Retención de la oportunidad residual.
Identificación de las opciones para el tratamiento de los riesgos con resultados negativos
Las opciones de tratamiento para los riesgos que tienen resultados negativos son similares en concepto a aquellas para tratar los riesgos para tratar los riesgos positivos. Las opciones incluyen:
• Evitar el riesgo decidiendo no empezar ni continuar con la actividad que origina el riesgo.
• Cambiar la posibilidad del riesgo para reducir la posibilidad de resultados negativos.
• Cambiar las consecuencias para reducir la extensión de las perdidas.
• Compartir el riesgo.
• Retención del riesgo.
Valoración de las opciones para tratar el riesgo
La selección de las opciones más adecuadas implica el equilibrio de los costos de implementación de cada opción frente a los benéficos derivados de ella. Cuando de hacen dichos juicios de costo frente al beneficio, se debería tener en cuenta el contexto.
El análisis de sensibilidad es una forma de probar la eficacia de diferentes opciones para tratar el riesgo.
Las opciones del tratamiento del riesgo deberían considerar los valores y percepciones de las partes involucradas y las formas más adecuadas para comunicarse con ellas.
El tratamiento del riesgo puede introducir riesgos nuevos que es necesario identificar, valorar, tratar y monitorear.
Preparación e implementación de los planes de tratamiento
El propósito de los planes de tratamiento es documentar la forma en que se van a implementar las opciones elegidas. Los planes de tratamiento deben incluir:
• Acciones propuestas
• Requisitos de recursos
• Responsabilidades
• Cronograma
• Medidas del desempeño
• Requisitos de presentación de informes y monitoreos
MONITOREO Y REVISIÓN
La revisión continua es esencial para garantizar que el plan de gestión sigua siendo pertinente. El monitoreo y la revisión implica lecciones de aprendizaje debido a los procesos de gestión de riesgo, mediante la revisión de eventos, los planes de tratamiento y sus resultados.
REGISTRO DEL PROCESO DE GESTIÓN DE RIESGO
Se debería registrar adecuadamente cada etapa del proceso de gestión de riesgo, así como los supuestos, los métodos, las fuentes de datos, los análisis, los resultados y los motivos para las decisiones.
En las decisiones relacionadas con la elaboración y la captura de registros se deberían tener en cuenta:
• Las necesidades legales y del negocio para los registros
• El costo de crear y mantener los registros
• Los beneficios de reutilizar la información.
ESTABLECIMIENTO DE UNA GESTIÓN EFICAZ DEL RIESGO
Propósito
El propósito es describir la forma en que se desarrolla, establece y sostiene la gestión sistemática del riesgo en una organización.
Evaluación de las necesidades y las prácticas existentes
En muchas organizaciones, las prácticas y los procesos de gestión existentes incluyen elementos de la gestión de riesgo.
Antes de empezar a desarrollar un plan de gestión de riesgo, la organización debería revisar y evaluar de manera crítica aquellos elementos de los procesos de gestión de riesgo que ya están establecidos.
PLANIFICIÓN DE LA GESTIÓN DE REISGO
Desarrollo de los planes de gestión de riesgo
El plan debe definir la manera en que se va a conducir la gestión de riesgo en toda la organización.
El propósito del plan de gestión de riesgo debe arraigar la gestión de riesgo en todas la prácticas y los procesos importantes del negocio de la organización de manera tal que sea pertinente, eficaz, eficiente y sostenida.
El plan de gestión de riesgo puede incluir secciones especificas para funciones, áreas, proyectos, actividades o procesos particulares.
Aseguramiento del apoyo
En importante que la alta dirección esté consciente y se comprometa con la gestión de riesgo. Ello se puede lograr con:
• La obtención del apoyo activo y continuo de los directores de la organización y los altos ejecutivos.
• La designación de un alto director.
• La obtención del compromiso y el apoyo de todos los altos directores para la ejecución del plan de riesgo.
Desarrollo y comunicación de la política de riesgo
La junta de la organización o su parte ejecutiva deben definir y documentar su política para la gestión de riesgo. La política puede incluir:
• Objetivos y motivos para la gestión del riesgo.
• Vínculos entre la política y los planes estratégicos de la organización.
• Extensión y tipos de riesgo que tomará la organización y las formas en que se equilibrará las amenazas y las oportunidades.
• Procesos que se han de utilizar para la gestión de riesgo.
• Responsabilidades por el manejo de riesgos particulares.
• Detalles del soporte y la pericia disponibles para ayudar a aquellos responsables de la gestión de los riesgos.
• Declaración de la forma en que se medirá e informará el desempeño de la gestión de riesgo.
Establecimiento de la responsabilidad y la autoridad
Los directores y los altos ejecutivos son los máximos responsables de la gestión de riesgo en la organización. Todo personal es responsable de la gestión de los riesgos en sus áreas de control.
Adaptación del Proceso de gestión de riesgo
El proceso de gestión de riesgo debe estar adaptado a la organización, sus políticas, procedimientos y cultura.
Asegurar los recursos adecuados
La organización debe identificar los requisitos de recursos para la gestión de riesgo. Ésta debe incluir:
• Personas y habilidades.
• Procesos y procedimientos documentados.
• Sistemas de información y bases de datos.
• Dinero y otros recursos para actividades de tratamiento de riesgos específicos.
Los sistemas de información de la gestión de riesgo pueden estar en capacidad de:
• Registrar detalles de los riesgos, controles y oportunidades y mostrar los cambios en ellos.
• Registrar los tratamientos del riesgo y los requisitos de recursos asociados.
• Registrar los detalles de los incidentes y los eventos de pérdida, así como las lecciones aprendidas.
• Rastrear la responsabilidad por los riesgos, controles y tratamientos.
• Rastrear el progreso y registrar la terminación de las acciones de tratamiento del riesgo.
• Desencadenar las actividades de monitoreo y aseguramiento.
No hay comentarios:
Publicar un comentario