Metodologías de gestión de riesgos operativos han evolucionado desde su comienzo derivado de los requerimientos normativos por parte de los entes reguladores, migrando desde el enfoque inicial, que se concentraba en obtener el inventario completo de los procesos, riesgos y controles de la organización, hacia objetivos de mayor impacto en la gestión de riesgos.

Nuevos Objetivos de los Modelos de gestión de riesgo:

• Reducción de la subjetividad.

•Descentralización de la identificación de los riesgos.

• Estandarización del modelo: tener un modelo definido y difundido a través de toda la organización, que identifique claramente los responsables y facilitadores a la hora de identificar y medir los riesgos, de tal manera que los responsables se sientan comprometidos con la organización y con la responsabilidad que implica el gestionar los riesgos

• Proveer resultados que apoyen la toma de decisiones.

• Retorno de inversión en el esfuerzo de gestión -> Reducción de pérdidas.

Siendo este artículo limitado en extensión se concentrará alrededor la primera parte del objetivo de reducción de la subjetividad y más puntualmente alrededor de la pregunta: ¿Cómo reducir la subjetividad al momento de calificar los riesgos y controles?

La base para reducir la subjetividad, es reducirla en todas las etapas del proceso de gestión:

1ro en la identificación de los riesgos

Para apuntar al objetivo desde la identificación, se debe contar con técnicas formales, el personal debe estar capacitado en dichas técnicas y deben ser guiados por un experto. Algunas herramientas formales a considerar son:

Herramientas

• Revisión en flowchart y documentación de procesos.

Técnica Delphi

• Entrevistas

• Análisis causa raíz (ishikawa). Diagrama causa efecto

• Análisis DOFA (SWOT)

Contar con las herramientas adecuadas es solo el comienzo, pues deben ser escogidas adecuadamente con la metodología de la organización.

Otro paso para reducir la subjetividad persigue reducir la subjetividad al momento de calificar los riesgos en términos de sus atributos principales: Impacto y Frecuencia (o probabilidad según la metodología). Es crítico que los niveles cuenten con criterios de escogencia, que permitan clasificar sin lugar a dudas un riesgo en uno de los niveles. Además deben definirse no solo unos niveles cualitativos de frecuencia e impacto, sino, también asignar rangos de pesos porcentuales para cada nivel, permitiendo acercarse a un modelo más cuantitativo.

El siguiente paso se debe concentrar en calificar adecuadamente los controles en sí mismos antes de evaluar el nivel de mitigación que aporta a cada riesgo que mitiga.

Además de identificar y calificar los controles, es importante poder identificar y calificar los controles de acuerdo a unos criterios o variables estandarizadas que considere la organización se deben tener en cuenta para la implementación de un control.

En PRAGMA S.A. se recomiendan 12 variables para evaluar los controles, todas sin subjetividad o posible dualidad de calificación, buscando lograr que sin importar quién realice la evaluación, siempre que cuente con suficiente información logrue llegar a la misma calificación del control.

Además recomendamos asignar pesos porcentuales a cada variable y a cada opción, para usar calificación compuesta ponderada y lograr evaluar el control de manera semi-cuantitativa.

Ejemplo:

Naturaleza del control : si el control es automático, manual, semiautomático y más importante que esto, si es adecuado que tenga esa naturaleza, pues no todos los controles se puede automatizar.

Tipo de control : si el control es preventivo, correctivo o detectivo y si es adecuado que sea de ese tipo.

Responsable del control : se tiene asignado, no se tiene asignado.

Documentación del control : está documentado, no está documentado, o parcialmente.

Evidencia del control : Deja evidencia conservada, Deja evidencia no conservada, No deja evidencia.

El siguiente paso debería apuntar a reducir la subjetividad al momento de calificar el nivel de mitigación que aporta cada control a los riesgos que afecta. Para esto, PRAGMA S.A. recomienda varios métodos formales acorde a la madurez de la metodología y de los objetivos de la organización, los cuales por su extensión son tema de otra entrega de esta serie.

Como conclusión se debe recalcar que es solo mediante la reducción en la subjetividad de cada parte individual del modelo, que se logra reducir la subjetividad de la calificación total del perfil de riesgo de la organización.