Componente 2: EVALUACIÓN DE RIESGOS

Una vez creado el ambiente de control se está en condiciones de proceder a una evaluación de los riesgos, pero, no se puede evaluar algo que previamente no haya identificado; por tanto, el proceso de identificación de los riesgos comienza paralelamente con el establecimiento del ambiente de control y del diseño de los canales de comunicación e información necesarios a lo largo y ancho del Instituto.

Debido a que las condiciones económicas, industriales, normativas y operacionales se modifican de forma continua, se hacen necesarios mecanismos para identificar y minimizar los riesgos específicos asociados con el cambio, por lo que cada vez es mayor la necesidad de evaluar los riesgos previo al establecimiento de objetivos en cada nivel de la organización.

Componentes esenciales de la definición de riesgo

Incertidumbre: El primer componente de la definición de riesgo es la incertidumbre, la cual puede ser entendida como la imposibilidad de predecir o pronosticar el resultado de una situación en un momento dado. Esta imposibilidad se debe principalmente al desconocimiento o insuficiencia de conocimiento sobre el futuro, independientemente de que este desconocimiento sea reconocido o no por los individuos. Si conociéramos con certeza lo que va a suceder no estaríamos corriendo ningún riesgo.

Probabilidad: Es la proporción de veces que un evento en particular ocurre en un tiempo determinado, asumiendo que las condiciones fundamentales permanecen constantes. Otra definición es: Estimado de que un suceso ocurra o no.

La idea de probabilidad se relaciona con la incertidumbre, estableciendo una tendencia en el resultado de un evento. La primera es una tendencia medible y la segunda nos determina la posibilidad de realización del hecho o no.

Otros componentes de la definición de riesgo

Nivel de riesgo: Como habíamos indicado anteriormente, aún conociendo la posibilidad de ocurrencia de un hecho siempre existe cierta incertidumbre acerca de cuántas veces y cuánto efecto podrá tener.

Estos dos factores se expresan mediante los conceptos de frecuencia y severidad de la ocurrencia de un riesgo.

Entendemos por frecuencia el número de ocurrencias en un período de tiempo definido y por severidad la magnitud de los efectos de la ocurrencia, es decir, el monto de daños o pérdidas ocasionadas por la misma.

La relación de frecuencia y severidad puede presentarse de forma diferente según el tipo de riesgo que estemos analizando.

Por ejemplo, los accidentes del tránsito tienen generalmente una relación de alta frecuencia y baja severidad, pues por cada accidente de proporciones considerables suceden decenas de pequeños accidentes.

Por el contrario, los accidentes de aviación presentan una relación totalmente inversa, siendo riesgos de baja frecuencia y alta severidad.

Peligro y azarosidad: Cuando revisábamos las diferentes acepciones de la definición de riesgo, veíamos que en ocasiones se utiliza este término para denotar la causa que da origen a una pérdida y en otras ocasiones a los factores que pueden influenciar en el resultado de una situación en un momento dado.

Por ejemplo, en nuestra ciudad, en la zona de Miramar las personas suelen decir: "Esa casa está expuesta al riesgo de inundación" o "La cercanía de esa casa al mar es un gran riesgo".

Realmente, de lo que se trata es que en la zona de Miramar existe el peligro de inundación y la cercanía de los bienes al mar sólo incrementa o disminuye la azarosidad de tales inundaciones.

En otras palabras, podemos definir el peligro como la causa primaria que da lugar a una pérdida en una situación dada, mientras que la azarosidad es el factor o los factores que influyen (incrementan o disminuyen) en el efecto provocado por la ocurrencia del peligro.

Factores físicos y factores morales: Los factores físicos son aquellos que tienen relación con las características físicas del riesgo: el tipo de construcción, la cercanía al mar, los sistemas automáticos de detección y extinción de incendio, los sistemas de protección, etc.

Clasificación de los riesgos: Para poder estudiar el riesgo, es necesario establecer la clasificación de éste; sin embargo, existen diferentes criterios al respecto. Nosotros solo comentaremos algunas de ellas:

Riesgos estáticos y dinámicos: Riesgos Estáticos: Están conectados con pérdidas causadas por la acción irregular de las fuerzas de la naturaleza o los errores y delitos del comportamiento humano y que resultan una pérdida para la sociedad.

Riesgos Dinámicos: Están asociados con cambios de los requerimientos humanos y mejoramientos en la maquinaria y la organización.

Riesgos fundamentales y particulares: Riesgos fundamentales: Son aquellos que se originan por causas fuera del control de un individuo o grupo de individuos, y tienen un efecto catastrófico y extensivo sobre los mismos. Todos los riesgos de la naturaleza como son: huracanes, inundaciones, terremotos, etc., así como los acontecimientos políticos y sociales: guerras, intervenciones, etc. constituyen ejemplos de riesgos fundamentales.

Riesgos particulares: Los riesgos particulares son más personales en su causa y efecto, pues se originan por causas individuales como son: incendio, explosión, robo, etc. y afectan de manera particular a individuos. Podemos agregar que la ocurrencia de los mismos es en cierta forma controlable por los individuos.

Riesgos Financieros y No-Financieros: Riesgos Financieros: El riesgo es clasificado como financiero cuando es susceptible de valoración económica en términos monetarios. Por ejemplo, la pérdida de una casa, un automóvil, las pérdidas consecuenciales y hasta la responsabilidad civil pueden ser medidas en términos monetarios.

Riesgos No-Financieros: Aquellos riesgos que no pueden ser medidos estrictamente en términos monetarios son considerados riesgos no-financieros. Buenos ejemplos de esta última clasificación son los riesgos que se corren al contraer matrimonio, o tener niños, o escoger una carrera. En todos los casos pueden existir implicaciones financieras, pero el resultado final y real sólo puede ser valorado a través de las implicaciones humanas que conllevan estas decisiones.

Riesgos puros y especulativos: Riesgos Puros: Son aquellos que implican una posibilidad de pérdida y que en el mejor de los casos generen una situación donde no se gane, sino que se mantenga la situación inicial. Los riesgo de incendio en una casa, o de un accidente automovilístico, son riesgos puros.

Riesgos Especulativos: Como contraposición a la clasificación anterior existen riesgos especulativos, los cuales infieren la posibilidad de ganar algo en una situación dada. Ejemplos de lo anterior son los riesgos del negocio: el precio de los productos, la política de marketing y publicidad, decisiones sobre diversificación, expansión, compra de nuevos activos, etc.

Ejemplos de los primeros son los riesgos asegurables, cuya realización siempre es un daño o pérdida. Por otro lado, los especulativos son situaciones como una inversión, una apuesta, comprar acción en la bolsa de valores, etc.

Indicadores para Evaluar el Componente

Primera Norma: Identificación del riesgo.

La identificación de riesgos es la primera etapa del proceso y es sumamente importante, dado que ella nos permite determinar de una manera más exacta la exposición de una empresa o negocio a un riesgo o pérdida.

Para definir un riesgo es necesario conocer su causa, que es la que va a determinar la existencia de éste y si puede afectar a la empresa o no. Al considerar la identificación de riesgos, debemos asumir el punto de vista más amplio posible. Es necesario determinar no sólo aquellos riesgos que son susceptibles de asegurar o controlar; sino también, tratar de detallar todas las formas posibles en que los activos de la entidad pueden ser dañados y las formas en que su capacidad de generar ganancia pueda ser afectada. Es decir, debemos reconocer todas las posibilidades de pérdida de la entidad.

Esta tarea requiere de un conocimiento exhaustivo de todas las instalaciones y del proceso operativo de la entidad. Un inadecuado conocimiento de la entidad conlleva a una incorrecta identificación de los riesgos.

El gerente de riesgos debe ser capaz de analizar la actividad que se realiza en cada etapa del proceso operativo y determinar cómo cada actividad puede resultar potencialmente peligrosa para el resto del proceso. Asimismo, debe estudiar la interrelación de las actividades propias con la de entidades ajenas que influyen o pudieran influir en su empresa, ya sea por una relación comercial, la vecindad u otra causa.

Este análisis tiene como objetivo determinar cada uno de los riesgos que pueda afectar la continuidad de un negocio o empresa, y con ello reconocer la posibilidad de una pérdida.

También es importante identificar todo bien o interés de la empresa, ya que los riesgos siempre se relacionan con éstos.

Una vez analizados los aspectos fundamentales de la etapa de Identificación podemos definir ésta como: Análisis, caracterización de los riesgos y establecimiento de las relaciones entre el riesgo y/o las causas que los originan.

Establecimiento de las herramientas que ayudarán a la identificación de los riesgos:

Para poder desarrollar la actividad de la identificación de riesgos existen herramientas, alguna de las cuales te relacionamos a continuación:

- Cuestionarios

- Organigramas

- Diagramas de flujo

- Estados financieros

- Manuales

- Inspecciones

- Entrevistas

- Contratos

- Proyectos.

- Inventarios.

Segunda Norma: Estimación del riesgo.

Esta etapa se define como: La cuantificación de las exposiciones a riesgo, basada en su impacto financiero en la entidad y expresada en términos monetarios.

Objetivos fundamentales:

1. Determinar la importancia relativa de los riesgos dentro de la estructura financiera de la entidad.

2. Obtener la información necesaria que nos ayudará a la mejor combinación de las herramientas de la Administración de Riesgos.

Si atendemos al 1er objetivo que hace referencia a la importancia relativa de los riesgos, se deben tener en cuenta todas las circunstancias que influyen sobre éstos, así como todos los aspectos cualitativos y cuantitativos que realmente sean relevantes para el riesgo que estamos evaluando. De esto se desprende que la información es clave para la evaluación de los riesgos y la toma de decisiones en cuanto a las herramientas a aplicar.

La etapa de evaluación de riesgos es muy importante, ya que te permite discriminar la información generada en la fase de identificación y contribuye a establecer las prioridades de solución.

Esta etapa es la conocida como análisis de riesgos. Una vez que los riesgos han sido identificados, debe ser determinado el impacto potencial que la ocurrencia de los mismos podría tener en la entidad, así como las probabilidades de tal ocurrencia.

De la propia importancia de la etapa se desprenden 2 acciones fundamentales que el Responsable de Riesgos debe llevar a cabo, como son: medir y jerarquizar los riesgos.

Se entiende por:

1. Medir: darle un valor al riesgo previamente identificado.

2. Jerarquizar: conociendo los recursos financieros de la empresa, establecer un orden de prioridad para la atención de los riesgos. De esta forma podremos determinar cuáles son los más importantes y urgentes que requieren de unas atenciones inmediatas y cuáles los de menor importancia y que podrían ser atendidos posteriormente.

Una vez medidos y jerarquizados los riesgos, el Responsable de los riesgos debe realizarse las siguientes preguntas:

- ¿Con qué frecuencia ocurren las pérdidas?

- ¿Cuánto pueden atentar contra la estabilidad económica de la empresa?

- ¿Qué tan graves pueden ser?

- ¿Qué se busca con este proceso de reflexión?

- ¿A qué dimensiones nos estamos refiriendo?

La evaluación de los riesgos se relaciona con la frecuencia y severidad de los mismos. Este trabajo se basa tanto en el estudio de las condiciones físicas del riesgo como en los datos estadísticos de experiencias previas o en análisis teóricos de probabilidades y será objeto de estudio más adelante.

En este proceso de reflexión el Responsable de los Riesgos se está refiriendo a 2 dimensiones fundamentales, que son: severidad y frecuencia.

Tercera Norma: Determinación de los objetivos de control.

Una vez que se han identificado, estimado y cuantificado los riesgos, la máxima dirección y los directivos de cada área deben diseñar los objetivos de control para minimizar los riesgos identificados como relevantes, y en dependencia del objetivo, determinar qué técnica(s) de control se utilizarán para implementarlo, siempre desde una evaluación de su costo-beneficio.

El diseño de los objetivos de control tiene su base en la siguiente relación sistémica:

Al diseñar el objetivo de control, el propósito de cada departamento, unidad o sección, es poseer un reglamento sobre qué se necesita cumplir para evitar que las amenazas y los hechos no deseados ocurran o causen perjuicio. El objetivo se genera y enuncia tomando la versión negativa de la amenaza y convirtiéndola en una declaración positiva de deseo; es decir, analizando qué puede ocurrir incorrectamente y qué me propongo para que no ocurra.

El diseño del objetivo de control tiene un componente subjetivo motivado por la percepción que tenga la dirección sobre el riesgo a minimizar: Esta percepción es la base para decidir la estrategia a seguir. Una vez definida la estrategia (qué quiero hacer: prevenir, detectar, impedir, interactuar, corregir, segregar, etc.) estaremos en condiciones de analizar cuáles instrumentos me permiten llevar esta estrategia a vías de hecho.

Los instrumentos que la organización utiliza para hacer cumplir sus objetivos de control se conocen como las técnicas de control. Las técnicas de control son el conjunto de mecanismos diseñados para minimizar un riesgo y son actividades que tienen como finalidad la prevención, detección y corrección de errores o fraudes que pueden ocurrir en las actividades de la entidad. Son ejemplos clásicos de técnicas de control una norma, un procedimiento, un programa de computación, una cerca perimetral, un agente de seguridad y protección, una alarma, un extintor de incendio, etc.

Si la técnica de control no disminuye la exposición al riesgo es innecesaria a los efectos del sistema de Control Interno, y su utilización no tributará eficazmente al objetivo de control trazado.

Para comprobar y/o diagnosticar la situación en que se encuentra ésta norma, analizar las siguientes preguntas y/o aspectos:

• Verificar si se especifican los objetivos de control en función de los riesgos internos, externos y de actividad definidos.

• Los objetivos globales de la entidad proporcionan una descripción y orientación suficientemente amplias de las metas de la misma y son, además, lo bastante específicos respecto a la entidad en concreto.

• Los objetivos globales se comunican con efectividad a los trabajadores y al Consejo de Dirección.

• Existe relación y coherencia entre las estrategias y los objetivos globales.

Se garantiza la coherencia de los planes de negocios y los presupuestos con los objetivos globales, los planes estratégicos y las circunstancias actuales de la entidad.

Cuarta Norma: Detección del cambio.

En la Resolución No. 297/03 se consigna:

“Toda entidad debe disponer de procedimientos capaces de captar e informar oportunamente los cambios registrados o inminentes en el ambiente interno y externo, que puedan conspirar contra la posibilidad de alcanzar sus objetivos en las condiciones deseadas.”

“Una etapa fundamental del proceso de Evaluación del Riesgo es la identificación de los cambios en las condiciones del medio ambiente en que la entidad desarrolla su acción. Un sistema de control puede dejar de ser efectivo al cambiar las condiciones de dicho entorno.”

Por lo tanto, deben existir mecanismos para que puedan anticiparse y reaccionar ante los acontecimientos o cambios rutinarios que influyen en la consecución de los objetivos generales o específicos de la entidad, los que deben ser establecidos por los directivos y todo el personal responsable de una actividad determinada. Se debe establecer la forma de que los cambios que se van efectuando en el proceso tecnológico, del personal, de estructura, etc., se comuniquen a los trabajadores, se analice con aquellos afectados y el cambio se asuma como una transformación en el entorno de control que, necesariamente, propiciará nuevos riesgos.

Para comprobar y/o diagnosticar la situación en que se encuentra ésta norma, analizar las siguientes preguntas y/o aspectos:

• Existen los mecanismos para anticipar, identificar y reaccionar ante los acontecimientos o cambios rutinarios que influyen en la consecución de los objetivos específicos o globales.

• Existen mecanismos para detectar y reaccionar ante los cambios que pueden tener un efecto importante sobre la entidad y que, consecuentemente, requieran la atención de la alta dirección. Por ejemplo:

a) Cambio en el entorno de las operaciones.

b) Nuevos trabajadores.

c) Sistemas de información nuevos o modificados.

d) Crecimiento acelerado.

e) Nuevas tecnologías.

f) Líneas, productos, actividades y adquisiciones nuevas.

g) Reestructuración de la entidad.

h) Operaciones en el extranjero.