Cómo elaborar una matriz para un sistema integral de riesgos en las Fintech
Geraldin Ariza, experta en riesgos de Pirani, nos enseña los pasos para poder elaborar una matriz de riesgos, su implementación y monitoreo en las Fintech.
Definición
Una matriz de riesgos es una herramienta útil para toda empresa, que le permite identificar los riesgos (quién dijo que la matriz identifica) a los que está expuesta.
¿Qué nos permite?
Administrar un sistema:
- Riesgos
- Cuantificar
- controlar
- Transferir o mitigarlos
¿Para qué sirve una matriz de riesgos?
Lo primero que debes tener en cuenta es que una matriz de riesgos además de permitirte ubicar los riesgos referenciando las probabilidades de ocurrencia y los impactos al negocio, te sirve para ver, analizar y monitorear otros elementos:
- Nivel de riesgo: es la magnitud que resulta al combinar la probabilidad y el impacto de un riesgo, por ejemplo, supongamos que en tu empresa identifica entre sus riesgos un riesgo de crédito, que es la posibilidad de que un proveedor no reciba el pago de un préstamo o que lo haga fuera del tiempo establecido, y determinan que la probabilidad de que este ocurra es de 3 y que su impacto también es de 3. Así, al multiplicar estos dos elementos el nivel de este riesgo para la empresa es de 9, esto es lo que te permite identificar el cuadrante en el que estará ubicado el riesgo para su ciclo de vida y de acuerdo a los criterios definidos podrás saber si es crítico o no.
- Apetito al riesgo: cantidad de riesgo que tu empresa está dispuesta a asumir para lograr sus objetivos, en otras palabras, qué tanto de un determinado riesgo acepta.
- Tolerancia al riesgo: se define como los límites de exposición de los riesgos de tu empresa a través del tiempo. En la matriz se puede ver en lo que está entre la zona de color verde y la de color rojo.
Características
- Es una guía visual (la matriz o el mapa de calor)
- Debe ser sencilla (la matriz o el mapa de calor)
- Debe ser flexible (la matriz o el mapa de calor)
- Que permita hacer comparaciones (la matriz o el mapa de calor)
- Debe permitir realizar un diagnóstico (la matriz o el mapa de calor)
¿Qué es la frecuencia?
Se conoce como la probabilidad de que ocurra un riesgo. En la matriz esta probabilidad puede determinarse a través de escalas de valores cualitativas y cuantitativas.
- Improbable: la probabilidad de que ocurra un riesgo, es decir, que se materialice, es demasiado baja, casi nula.
- Posible: la probabilidad de que ocurra es baja, aunque puede presentarse.
- Ocasional: el riesgo puede materializarse en cualquier momento.
- Probable: la materialización del riesgo es alta, de hecho, suele presentarse.
- Frecuente: es muy alta la probabilidad de ocurrencia del riesgo.
¿Qué es el impacto?
El impacto puede explicarse como el conjunto de consecuencias que origina la materialización de un riesgo, es decir, la afectación que éste causaría en la empresa, y pueden ser económicas, legales, reputacionales, entre otras.
- Insignificante: el impacto no representa un problema para la organización.
- Menor: el impacto que causa la materialización del riesgo en los objetivos de la empresa es mínimo.
- Moderado: la materialización del riesgo puede causar una pérdida momentánea.
- Mayor: genera retrasos importantes que afectan el cumplimiento de los objetivos.
- Catastrófico: puede detener la operación de la empresa, incluso, tener consecuencias como el cierre definitivo.
Definir el mapa de calor
Debe estar compuesta por:
- un eje vertical (Y) Valores de frecuencia
- un eje horizontal (X) Valores del impacto
- Las matrices pueden ser de 3x3, 4x4, 5x5 (las más usadas).
¡Sus elementos esenciales son Frecuencia e Impacto!
¿Qué se necesita identificar para elaborar una matriz de riesgos?
- Contexto (proceso)
- Identificación de riesgos
- Evaluación de riesgos (Impacto y frecuencia)
- Controles
- Tratamiento
Ejemplo
- Proceso: Activo (Persona que realiza la actividad)
- Riesgo: Inadecuado almacenamiento de datos
- Causa: Mal manejo de contraseñas
- Consecuencia: Ordenador sin contraseñas
- Control: Almacenamiento cifrado - Política SI
¿Por qué es importante el monitoreo?
Hoy en día las compañías se caracterizan por ser competitivas y cambiantes, por eso, es imprescindible la identificación y evaluación de riesgos y controles, de hecho, es uno de los elementos de mayor relevancia para su gestión.
¿Qué permite esto?
- Anticiparse y gestionar los riesgos de manera adecuada.
- Aminorar las pérdidas
- Adoptar medidas para controlar el riesgo cuando las consecuencias superan los límites.
Participar en el ciclo
Participación de las áreas involucradas fortaleciendo la organización y la cultura empresarial.