Academia cero control lavado de activos

Guía para realizar la evaluación del riesgo

Contar con un proceso de evaluación de riesgos exitoso es la clave para identificar las amenazas que pueden obstaculizar el cumplimiento de los objetivos de la organización.  

cover_pagina_pilar_guia_evaluiacion_riesgos

Introducción

La evaluación de riesgos le permite a las empresas la adopción de medidas y la toma de decisiones enfocadas en cumplir a cabalidad con los objetivos establecidos. 

Este es un proceso interno fundamental, ya que da la posibilidad de detectar los riesgos que se podrían materializar, y de qué manera estos afectarían el normal desarrollo de las actividades. 

Su objetivo se basa en conocer las características de la amenaza y su origen, teniendo en cuenta la probabilidad de ocurrencia, nivel de impacto y escenarios en los que se pueda presentar.

En el siguiente eBook usted encontrará toda la información relacionada acerca de cuáles son las etapas y procesos que debe llevar a cabo para realizar una adecuada evaluación de los riesgos que se pueden presentar dentro de su compañía. 

¿Cómo utilizar esta guía? 

Esta guía se desarrolló con el fin de brindarle información general acerca de la importancia de la evaluación de riesgos dentro de un sistema de gestión.

Acá tocamos los aspectos más importantes que debe tener en cuenta para lograr un adecuado análisis dando a conocer los pasos y aspectos que debe seguir para poder ejecutarlo de manera adecuada.

Está dividida en ocho ítems que le darán pautas para la evaluación de los riesgos de su organización.

La puede usar durante el proceso de gestión de riesgos. 

¿Cómo realizar la evaluación del riesgo? 

01_PP_guia_evaluiacion_riesgos

Teniendo como referente la norma internacional ISO 31000, existen cuatro pasos básicos que se deben seguir para llevar a cabo la evaluación de los riesgos. 

Identificación de riesgos

Como su nombre lo indica, en esta etapa se deben identificar los posibles riesgos a los que está enfrentada la empresa tanto internos como externos. Estos deben ser vistos como algo positivo en la manera que pueden contribuir al mejoramiento de ciertas actividades o negativo, ya que puede afectar de manera directa el cumplimiento de los objetivos. Para esto se debe contar con toda la información necesaria y actualizada de la empresa.

Una vez se cuenten con todos los recursos se procede a llevar a cabo el análisis de todos los escenarios para comenzar a reconocer las amenazas que se pueden presentar. 

Se deben tener en cuenta los siguientes aspectos:

  • ¿Qué genera el riesgo? Ya sea tangible o intangible.
  • Causas y los eventos.
  • DOFA (debilidades, oportunidades, fortalezas y amenazas). 
  • Contexto interno y externo.
  • Cambios que se pueden generar.
  • Indicadores de cada riesgo.
  • Activos y recursos de la empresa
  • Acceso a la información.
  • Mitos, sesgos y suposiciones de las partes interesadas.

Análisis de riesgos

Este análisis se puede realizar teniendo en cuenta diferentes grados de detalle y complejidad. Esto depende de qué es lo que se quiera lograr con el análisis; por otro lado es importante tener en cuenta la disponibilidad, confiabilidad de la información y los recursos. Comúnmente se recurre a aplicar técnicas  cualitativas, cuantitativas o la unión de las mismas, esto ya depende de cada empresa directamente.

Para esto se debe tener en cuenta lo siguiente:

  • Probabilidad de que pueda ocurrir y la consecuencias que traería. 
  • Origen e impacto de las consecuencias.
  • Complejidad e interconexión. 
  • Eficacia y eficiencia de los controles establecidos.
  • Nivel de sensibilidad y confianza.

Valoración de riesgos 

Este paso es fundamental, ya que contribuye de manera directa en la toma de decisiones. Cuando hablamos de valoración nos referimos a la comparación que se hace con los resultados obtenidos por parte del análisis y los criterios que se establecieron para cada riesgo con el fin de determinar cuándo se necesita poner en marcha un plan adicional. 

Las decisiones que esto pueden llevar son:

  • Optar por no hacer nada más.
  • Llevar a cabo un nuevo análisis para entender más a fondo el riesgo.
  • Continuar implementando los controles ya establecidos.
  • Redefinir los objetivos.

Solicite el demo gratis

Tratamiento de riesgos 

Elegir las mejores opciones para el tratamiento de los riesgos depende del balance que se haga entre los beneficios que se generan por el logro de objetivos frente a costos, esfuerzos y desventajas. 

Se debe considerar lo siguiente:

  • Tener en cuenta diferentes opciones para el tratamiento del riesgo.
  • Verificar la eficiencia y eficacia.
  • Confirmar si el riesgo residual es aceptable.
  • Si no es aceptable generar nuevas opciones de tratamiento. 

Métodos para la evaluación del riesgo

02_PP_guia_evaluiacion_riesgos

En la gestión de riesgo son conocidos tres tipos de métodos para su calificación y evaluación: el método cualitativo, semicualitativo y el cuantitativo. En este artículo le explicaremos en qué consisten ambos y sus principales ventajas y desventajas a la hora de medir el riesgo.

Método cualitativo

Este método debe su popularidad a que por lo general es el inicio de cualquier estudio de riesgos, y es muy utilizado cuando el tiempo y los recursos monetarios son escasos, dado que comparativamente con el método cuantitativo su inversión en ambos aspectos es menor.

En el método cualitativo el criterio y el conocimiento de expertos en el tema analizado es el imperante. Su principal ventaja se debe a su mayor facilidad de cálculo, al no implicar una valoración económica o de probabilidad.

El análisis cualitativo se construye bajo elementos que se relacionan entre sí: amenazas, vulnerabilidades, impacto y, en algunos casos, controles.

Amenazas: son los eventos identificados como aquellos que podrán afectar los objetivos del proyecto.

Vulnerabilidades: son aquellos factores o elementos que pueden aumentar el riesgo de que en el proyecto se materialice una amenaza.

Impactos: son las consecuencias de la materialización de las amenazas. Los impactos se asocian a un determinado nivel: alto, medio y bajo. Estos a su vez se asocian a ciertos factores, que pueden ser económicos, operativos, humanos o de pérdida de imagen.

Controles: son las medidas que pueden contrarrestar los eventos de riesgo. Entre los controles podemos encontrar:

  • Preventivos 
  • Correctivos
  • Detectivos 

Con el tiempo se han creado técnicas para intentar hacer más preciso el método y disminuir el grado de subjetividad que lo rodea. Sin embargo, dada la complejidad e importancia que han tomado los riesgos para las empresas en los últimos años, este método es complementado y ampliado con técnicas del método cuantitativo.

Método semicualitativo

Se construye bajo un sistema de índices, teniendo en cuenta las situaciones que fueron analizadas, con el fin de poder clasificar los riesgos que se puedan presentar, y a su vez contar con un plan de acción.

Es importante asignar tareas a los diferentes factores de riesgo que se puedan dar en determinadas situaciones, con el fin de adquirir el nivel del riesgos. Comúnmente se realizan cuestionarios de chequeo que permiten identificar los factores y su importancia. 

Hay que tener presente que los métodos pueden ser riesgos intrínseco, índice Dow y método Gretener.

03_PP_guia_evaluiacion_riesgos

Método cuantitativo 

El método cuantitativo en el análisis de riesgos es aquel que permite obtener una valoración numérica de la materialización de un evento, ya sea negativo o positivo, en términos de los criterios definidos, que pueden ser monetarios, operativos, técnicos, humanos, entre otros, lo que hace más tangible y objetivo el análisis. Sin embargo, hay autores que van más allá y lo definen como aquel método que permite asociar una probabilidad y su correspondiente distribución al evento de riesgo y las consecuencias que pueden ocasionar en los objetivos del proyecto.

Por lo general, el análisis cuantitativo se realiza después del análisis cualitativo, pero hay autores que indican que se pueden hacer por separado y de forma simultánea, mientras hay otros quienes piensan que este debe primar sobre el cualitativo. En todo caso, lo más recomendable es que uno sea complemento del otro para así sumar sinergias.

Para llevar a cabo un análisis de este tipo, es necesaria la utilización de técnicas matemáticas y estadísticas, las cuales exigen la recolección de datos. Entre las técnicas más destacadas y utilizadas se encuentran las siguientes:

  • Análisis de sensibilidad.
  • Valor esperado monetario.
  • Árboles de decisión.
  • Simulación de Monte Carlo.
  • Regresión lineal.
  • Regresión no lineal.
  • Series de tiempo.
  • Teoría de juegos.
  • ARC.

Ventajas del método cuantitativo:

  • Objetividad.
  • Generalización de los resultados.
  • Hace más tangible el resultado del riesgo.
  • Conceptos y teorías robustas, lo que les da mayor validez a los resultados.

Desventajas del método cuantitativo:

  • Complejidad en algunos cálculos.
  • Puede llegar a ser demasiado rígido por las técnicas estadísticas y matemáticas empleadas.
  • Demanda mayores recursos en tiempo y dinero. 

¿Qué es la evaluación del riesgo?

04_PP_guia_evaluiacion_riesgos

La evaluación del riesgo es fundamental dentro de la gestión. Esta se realiza antes de designar el plan de acción que se va a implementar para la prevención, hay que tener en cuenta que la evaluación se debe validar y registrar, una vez se haga esto se le debe comunicar a toda la organización.

Su principal función es introducir todos los elementos cualitativos y cuantitativos a la información que se obtuvo luego de realizar el análisis de los riesgos para establecer acciones y toma de decisiones en el tratamiento que se le va a dar.

Gracias a la evaluación se puede determinar el impacto que la materialización de uno de los riesgos pueda tener sobre la empresa. Este es el paso más importante dentro de la gestión y el que más dificultad genera, ya que hay una alta probabilidad de que se puedan cometer errores. 

Estrategia de administración de riesgo

Acá se debe llevar a cabo la vinculación del riesgo con los objetivos y la estrategia organizacional. 

05_PP_guia_evaluiacion_riesgos

Categorías de riesgos

06_PP_guia_evaluiacion_riesgos

Riesgo financiero

Se encuentra directamente relacionado a todo lo que tiene que ver con el sistema financiero de la compañía, operaciones, transacciones y movimientos, se pueden evidenciar los siguientes:

  • Riesgo de crédito
  • Riesgo de cambio
  • Riesgo de liquidez
  • Riesgo tasas de interés
  • Riesgo de mercado
  • Riesgo de gestión

Riesgo operativo

Riesgos que afectan las actividades de la organización impidiendo cumplir con los objetivos establecidos.

Riesgo de cumplimiento

Son los que no son compensados. Normalmente se enfocan en actividades para gestionar los riesgos empresariales. 

Nueva llamada a la acción

Procesos en la evaluación del riesgo

07_PP_guia_evaluiacion_riesgos

  • Lanzar evaluaciones de riesgos, para que las diferentes áreas o procesos puedan ingresar a calificar, los riesgos que tienen asignados.
  • Parametrizar la metodología de evaluación de los riesgos.
  • Calificar los riesgos por diferentes actores.
  • Manejar flujos de aprobación una vez se realice las calificaciones por los usuarios.
  • Conservar el histórico de las diferentes evaluaciones realizadas a los riesgos. 

ISO 31000

08_PP_guia_evaluiacion_riesgos

Se define como una guía o un referente internacional que ofrece directrices y principios para poner en marcha los sistemas de gestión de riesgos. Se publicó en noviembre del 2009 por la Organización Internacional de Normalización (ISO) con el fin de que las compañías puedan gestionar sus riesgos de una manera efectiva a través de procedimientos que les permitan cumplir sus objetivos.

La ISO 31000 cuenta con insumos globales que permiten realizar una adecuada y eficiente gestión de riesgos enfocados en operatividad, gobierno y confianza, además, esta norma brinda recomendaciones de mejores prácticas en la gestión de riesgos las cuales ofrecen técnicas apropiadas y seguridad en el lugar del trabajo.

Cabe resaltar que esta puede ser usada por cualquier tipo de entidad sin importar el sector al que pertenezca, ya que ofrece estrategias de decisión, operaciones, y procesos para los riesgos, ya que se ajusta a cualquier escenario. 

Es importante saber que la ISO 31000 no es certificable, sin embargo la implementación de esta minimiza a profundidad la amenaza al riesgo en cualquier momento que se encuentre y que la mayoría de los entes reguladores la toman como referencia para la promulgación de normas aplicables. 

Ventajas de la ISO 31000:

  • Contribuye a mejorar la eficacia operativa y la gobernanza.
  • Genera confianza ya que se utilizan métodos adecuados para la gestión de riesgo.
  • Aplica controles de sistema de gestión para analizar riesgos y de esta manera mitigar las posibles pérdidas.
  • Mejora la resiliencia de los sistemas de gestión.
  • Responde de manera eficiente a los cambios de forma eficiente protegiendo a la organización.
  • Se adapta a cualquier tipo de riesgos sin importar su naturaleza o causa. 

¿Qué está esperando para llevar la gestión de riesgos de su empresa a otro nivel?

 

Compártalo en sus redes sociales