En esta sesión Jorge Gómez, experto en riesgos, nos enseña modelos de gestión de riesgos, la diferencia entre ISO 31000 y COSO ERM, los primeros pasos para usar Pirani y una demostración desde la herramienta.

Modelos de gestión de riesgos

ISO 31000: este documento está dirigido a las personas que crean y protegen el valor en las organizaciones gestionando riesgos, tomando decisiones, estableciendo y logrando objetivos, para culminar con la mejora del desempeño. Las organizaciones de todos los tipos y tamaños se enfrentan a factores e influencias externas e internas que hacen incierto el logro de los objetivos.

COSO ERM: es un sistema de gestión de riesgo y control interno para cualquier organización. Se basa en un marco cuyo objetivo es diagnosticar problemas, generar los cambios necesarios para gestionarlos y evaluar la efectividad de los mismos.

Diferencias y semejanzas entre COSO ERM e ISO 31000

Semejanzas

• Estímulo a la gestión de riesgos
• Estándares no certificables
• Actualización reciente
• Gestión de riesgos en la toma de decisión

Diferencias

• Estructura
• Origen
• Público objetivo
• Enfoque
• Estructura y Procesos
• Apetito por riesgo
• Riesgos vs Alcance de los Objetivos
• COSO ERM se concentra en la gobernanza corporativa, ISO 31000 se concentra en el riesgo y lo incorpora al proceso de planificación estratégica.
• Aunque la versión de 2017 de COSO incentiva la “búsqueda” al riesgo o es centrada en el riesgo. El propósito de la gestión de riesgos es crear y proteger valor, no minimizar riesgos.
• La ISO 31000 coloca mayor énfasis en ayudar a la organización a alcanzar sus objetivos.

Primero pasos para usar Pirani

Pirani es una herramienta útil para toda empresa, le permite realizar todas las etapas de la gestión de riesgos, identificación, medición, control y monitoreo.

¿Qué se necesita identificar para gestionar riesgos con Pirani?

1. Contexto (proceso)
2. Riesgos y causa raíz
3. Frecuencia e impacto
4. Evaluación de riesgos
5. Controles
6. Tratamiento  

• Nivel de riesgo: es el valor que se determina a partir de combinar la probabilidad de ocurrencia de un evento potencialmente dañino y la magnitud del impacto que este evento traería sobre la capacidad institucional de alcanzar los objetivos.
• Apetito al riesgo: es el nivel de riesgo que la entidad puede aceptar en relación con sus objetivos, el marco legal y las disposiciones de la alta dirección. El apetito de riesgo puede ser diferente para los distintos tipos de riesgos que la entidad debe o desea gestionar.
• Tolerancia al riesgo: es el valor de la máxima desviación admisible del nivel de riesgo con respecto al valor del apetito de riesgo determinado por la entidad.
• Capacidad de riesgo: es el máximo valor del nivel de riesgo que una entidad puede soportar y a partir del cual la alta dirección consideran que no sería posible el logro de los objetivos de la entidad.

Contexto interno/organizacional

Se refiere a las condiciones dentro de la propia organización. También llamado contexto interno. Las organizaciones efectivas buscan crear un contexto organizacional que se articule con el contexto externo y que sea lo suficientemente flexible para cambiar ante nuevas condiciones. Dado que el entorno externo cambia constantemente, a menudo se requieren ajustes en el contexto interno.

Contexto externo

El ambiente externo contiene las condiciones locales (nacionales e internacionales) que se interrelacionan con una organización. Los elementos específicos del contexto externo son:

• Factores de riesgos
• Tipologías del riesgo
• Globalización económica
• Panorama político
• La dinámica de la industria
• Mercado de trabajo
• La cultura del país
• Las instituciones legales
• Los sindicatos

A pesar que el contexto externo claramente influencia como las organizaciones gestionan su plantilla, no determina completamente su enfoque.

Redacción de los Riesgos

Sustantivo + Verbo en participio + Adjetivo adverbio o complemento circunstancial negativo = RIESGO

En el caso de los riesgos de lavado de activos se deben tener en cuenta los riesgos asociados, como lo son el de Contagio, Reputacional, Legal y Operativo, que a su vez hacen las veces de reductores de subjetividad en el impacto. También juegan un papel importante los Factores de Riesgo y las Tipologías.

Tomado de SEFIRECU: https://aguascalientes.gob. mx/segob/PDF/Administrac ionRiesgos2017.pdf

Qué es el impacto

El impacto puede explicarse como el conjunto de consecuencias que origina la materialización de un riesgo, es decir, la afectación que éste causaría en la empresa, y pueden ser económicas, legales, reputacionales, entre otras.

• Insignificante: el impacto no representa un problema para la organización.
• Menor: el impacto que causa la materialización del riesgo en los objetivos de la empresa es mínimo.
• Moderado: la materialización del riesgo puede causar una pérdida momentánea.
• Mayor: genera retrasos importantes que afectan el cumplimiento de los objetivos.
• Catastrófico: puede detener la operación de la empresa, incluso, tener consecuencias como el cierre definitivo.

Qué es la frecuencia

Se conoce como la probabilidad de que ocurra un riesgo. En la matriz esta probabilidad puede determinarse a través de escalas de valores cualitativas y cuantitativas.

• Improbable: la probabilidad de que ocurra un riesgo, es decir, que se materialice, es demasiado baja, casi nula.
• Posible: la probabilidad de que ocurra es baja, aunque puede presentarse.
• Ocasional: el riesgo puede materializarse en cualquier momento.
• Probable: la materialización del riesgo es alta, de hecho, suele presentarse.
• Frecuente: es muy alta la probabilidad de ocurrencia del riesgo.

Definir los controles

• Automático
• Semiautomático
• Manual
• Preventivo
• Detectivo
• Correctivo