Ingresa o regístrate acá para seguir este blog.

Auditool. Red Global de Conocimientos en Auditoría y Control Interno

Por: Alejandro Morales. Colaborador de www.auditool.org

Para hablar de administración de riesgos es preciso primero intentar una definición de RIESGO.

Riesgo se define como la posibilidad de que las expectativas positivas para un sistema orientado al logro de objetivos no se realicen.

En esta definición se encuentran los tres elementos esenciales del riesgo, como son:

  • La incertidumbre;
  • Las consecuencias indeseadas para un sistema;
  • El cambio en las circunstancias existentes. Si bien en algunas circunstancias el riesgo es totalmente inmanejable, por estar por completo fuera de nuestro control; es el hecho de que algo debe cambiar antes de que ocurra un desastre lo que hace posible la administración de riesgos, ya que de alguna manera es posible influenciar en aquellos factores que deben cambiar. Por ejemplo, nada podemos hacer para evitar que ocurra un terremoto, pero si podemos levantar construcciones más sólidas y seguras frente a la materialización de dicho fenómeno.

Según Peter Drucker, tratar de eliminar el riesgo en las empresas es algo inútil. El riesgo es algo inherente al hecho de comprometer recursos actuales en busca de resultados futuros. De hecho, el progreso económico se define como la habilidad de tomar riesgos.

La administración de riesgos se puede definir entonces como el proceso de identificación, medida y administración de los riesgos que amenazan la existencia, los activos, las ganancias o al personal de una organización, o los servicios que ésta provee.

El principal objetivo de la ciencia de la administración de riesgos debe ser el de permitirle a la organización tomar los riesgos adecuados, proveyendo el conocimiento y la comprensión de dichos riesgos, identificando los recursos y esfuerzos necesarios para alcanzar los resultados deseados, movilizando las energías necesarias para ello y midiendo los resultados contra las expectativas presupuestas; además de proveer los medios para la temprana detección y corrección de decisiones erradas o inadecuadas.

Tipos de Riesgos

La palabra riesgo ha sido utilizada de manera indistinta para referirse a varias situaciones diferentes. Para efectos del proceso de administración de riesgos es preciso diferenciar el concepto de riesgo y su definición básica, del concepto de AMENAZA, la cual se entiende como la percepción que se tiene de un peligro.

Los riesgos se clasifican según los diversos criterios aplicables a cada situación.

Riesgo Subjetivo: Es la percepción particular que una persona posee sobre un riesgo. Puede tener o no relación directa con la verdadera probabilidad de ocurrencia. Dicha percepción puede verse afectada por factores como:

  • La potencial severidad de sus consecuencias;
  • El grado de conocimiento de la persona respecto al riesgo;
  • La familiaridad con el riesgo
  • Factores sicológicos que predisponen;
  • El grado de aversión al riesgo.

Riesgo aceptable: Es el nivel de riesgo subjetivo que un individuo u organización están dispuestos a aceptar.

Riesgos puros: Son aquellos cuya materialización siempre representarán una pérdida, nunca una utilidad.

Riesgos especulativos: Pueden producir ganancias o pérdidas. La mayoría de los riesgos asumidos por las organizaciones son especulativos.

Los principios básicos de la administración de estos dos tipos de riesgos son esencialmente los mismos, pero las técnicas de administración de riesgos puros se han desarrollado en forma separada de las de administración de riesgos financieros y especulativos. Esto refleja la tendencia de muchas empresas que encuentran operacionalmente conveniente para la administración de cada tipo de riesgo su manejo por diferentes áreas. No obstante, la frontera entre los dos tipos de riesgos a veces no está claramente definida. Tal es el caso del riesgo político.

Riesgos estáticos: Son aquellos que siempre están presentes en un sistema ordenado. Los riesgos de rayo y otros fenómenos naturales son ejemplos de este tipo de riesgos; los cuales a su vez caen dentro de la categoría de riesgos puros.

Riesgos dinámicos: Son aquellos que cambian y se transforman al ritmo que cambia el sistema mismo. Los cambios económicos, políticos, sociales, legales, tecnológicos y ambientales pueden crear nuevos riesgos o modificar los existentes. Los riesgos dinámicos usualmente son también especulativos, pero incluyen además una categoría especial de riesgos puros: los riesgos de responsabilidad, los cuales dependen enteramente del desarrollo de la legislación.

Riesgos fundamentales: Son aquellos que pueden afectar a la totalidad o a la mayor parte de una sociedad, como son los desastres naturales o factores económicos o políticos de amplio espectro, como las guerras o la recesión. Las organizaciones usualmente tienen poco control sobre este tipo de riesgos y su administración se concentra en reducir sus efectos.

Riesgos particulares: Son aquellos que de manera directa pueden afectar a una organización, los cuales pueden ser controlables en alguna medida.

De acuerdo con el tipo de amenaza que puede materializarse, se tiene la siguiente clasificación:

  • Riesgos físicos: incluyen las lesiones o muerte de personas y todas las formas de pérdida o daño de propiedades. Las causas de pérdidas físicas son usualmente el resultado de la materialización de peligros comunes, como incendio, explosión, terremoto, colisión, contaminación, rayo. Etc.; pero también puede ser el resultado del incendio intencional, robo, actos mal intencionados o daños causados por error humano.—
  • Riesgos de responsabilidad: Los riesgos de responsabilidad pueden provenir de reclamaciones de los empleados, de los clientes o proveedores y del público en general. Si bien dichas reclamaciones pueden resultar de factores mencionados en la clasificación anterior, también pueden relacionarse con los productos o servicios que presta la empresa, los efectos de la responsabilidad contractual con los clientes, proveedores u otros y el efecto de regulaciones nacionales o internacionales. —
  • Riesgos de interrupción de negocios: Fenómenos de esta naturaleza suelen seguir a la materialización de los riesgos físicos de responsabilidad antes descritos. Aquí es necesario considerar el efecto de potenciales pérdidas debido a factores externos, tales como falta de suministros, dependencia de sistemas electrónicos, especialmente en operaciones altamente sistematizadas; además de las interrupciones forzadas por decisiones de tipo legal (por ejemplo debido a la contaminación). Otra causa de interrupción de negocios podría ser la pérdida de mercado.
  • Riesgos sociales: El efecto de los cambios sociales es una amenaza creciente para las organizaciones. Esta categoría incluye los cambios en los hábitos de consumo, el desempleo, la recesión, el vandalismo y todas las manifestaciones de fraude.
  • Riesgos políticos: Los cambios bruscos en las políticas gubernamentales, las nuevas legislaciones, las decisiones proteccionistas, los efectos de la inflación, los cambios bruscos en la política monetaria, la imposición de nuevos aranceles de importación y en general, todo cambio en las reglas de juego del sector.
  • Riesgos ambientales: La identificación de los riesgos ambientales implica el reconocimiento de cambios en el medio ambiente con cierta anticipación. Deberán considerarse los efectos del clima, el agotamiento de los recursos, la necesidad de elegir fuentes alternativas de energéticos y la posible necesidad de un cambio en la tecnología.
  • Riesgos de administración: Una administración deficiente puede tener un efecto catastrófico en las organizaciones, aunque su costo muchas veces permanezca oculto hasta que los resultados de una pobre administración se hacen evidentes en los resultados generales de la organización. Una administración inadecuada se traducirá en desperdicios, mala planeación, fallas en almacenamiento, errores en la selección y políticas de personal, etc. Una planeación inadecuada puede determinar la imposibilidad de la empresa para mantenerse al día con los cambios tecnológicos y administrativos y un errado desarrollo de nuevos productos, servicios y alternativas, lo cual puede determinar una irremediable pérdida de mercado.

 ALCANCES DEL PROCESO DE ADMINISTRACIÓN DE RIESGOS

La mayoría de los riesgos descritos anteriormente pueden ser identificados y administrados. Puede decirse que los riesgos físicos, de responsabilidad, de interrupción de negocios y administrativos pueden ser directamente manejados por una organización. Los riesgos sociales, políticos y ambientales rara vez pueden ser manejados desde el interior de una empresa. Sin embargo, si es posible identificar y anticipar las consecuencias de estos riesgos y tomar algunos cursos de acción para reducir la Vulnerabilidad de la organización en sus áreas más sensibles.

Antes de considerar métodos de identificación de riesgos en gran detalle, es de utilidad definir los propósitos básicos de dicho proceso:

  1. Obtener información acerca de los tipos de pérdidas que se pueden presentar en una organización;
  2. Comprender de manera cabal la filosofía de la empresa.

Mucho se ha discutido acerca de las dificultades de orden práctico que presentan los procesos de administración de riesgos. Esta dificultad se incrementa de manera notable por la necesidad de enmarcar esta actividad dentro de los límites de la relación aceptable costo/beneficio y la aceptación de los métodos de administración por parte de la alta gerencia y de los diferentes procesos. Si bien para efectos prácticos nos referiremos a la identificación, medida y administración de riesgos como tres actividades separadas, en realidad resulta muy difícil separarlas.

La mayoría de las técnicas usadas en administración de riesgos han sido adaptadas de otras áreas de la actividad industrial y comercial. Lo que resulta nuevo acerca del concepto de administración de riesgos es el uso integrado de las técnicas disponibles para identificar, medir y administrar los riesgos.

Un proceso típico de administración de riesgos consta de los siguientes pasos:

  1. Identificación: es el reconocimiento de las principales amenazas que se ciernen sobre una organización. Algunas de estas amenazas pueden ser obvias, en tanto que otras pueden permanecer ocultas o no ser fácilmente reconocibles.
  2. Habiendo identificado las principales amenazas, el siguiente paso consiste en cuantificarlas. Por cuantificación se entiende el proceso de establecer qué tan seria es la amenaza, en términos de frecuencia y severidad.
  3. Después de terminado el proceso de cuantificación, el siguiente paso es el de preparar un plan para el manejo económico de los riesgos. Ello puede incluir la determinación del mejor camino a tomar ante un riesgo: su eliminación o bien su administración. Si se decide administrarlo, deberán prepararse las siguientes estrategias:

Prevención: Orientada a reducir la probabilidad de ocurrencia de un evento indeseado. Ejemplos: manuales de procedimiento, políticas empresariales, capacitación.

Protección: Es el conjunto de acciones, elementos y equipos destinados a reducir las consecuencias de la materialización de un riesgo, tales como extintores, hidrantes, fosos de seguridad, rociadores automáticos.

Control: Son las acciones de combate del evento en su más temprana manifestación, tales como las brigadas de bomberos, los comités de crisis, etc.

Atención: Son aquellas acciones orientadas a recuperar los recursos afectados por un evento, con el fin de reducir las consecuencias; tales como planes de evacuación, primeros auxilios, remplazo de personal indispensable, etc.

Transferencia: Existen dos maneras de transferencia. La transferencia del riesgo, por ejemplo cuando se contrata el transporte de dinero y valores con una firma especializada; o cuando se transfiere el efecto económico de la materialización de un evento, como en el caso de la contratación de seguros. En la primera forma de transferencia, el riesgo queda a cargo de un tercero; en la segunda forma, se transfiere el efecto económico, pero la responsabilidad de administrar el riesgo físico continúa en cabeza de la organización.

Podemos describir la administración de riesgos como un método formal de planeación. Como tal es similar a una cantidad de otras técnicas de administración, incluyendo la administración por procesos, el control presupuestal y el análisis de rutas críticas. La administración de riesgos es el complemento de estas técnicas y a su vez puede servirse de ellas. Por ejemplo, los objetivos definidos en la administración por procesos pueden incluir elementos de administración de riesgos.

 

Alejandro Morales.

Colaborador de www.auditool.org 

NOTI INFORMATIVO DE ASR LTDA.

Medellín – Colombia

Del Autor: Contador Público de la Universidad de Medellín. Especialista en Análisis de Riesgos administrativos y de fraude, Maxima Group, Londres.  Becario del Proyecto Wide World de la Universidad de Harvard. Miembro de la Association of Certified Fraud Examiners (ACFE). Asesor especial de la Presidenta del Congreso de la República, en materia administrativa y financiera, durante el período comprendido entre agosto de 2005 y enero de 2006. Capacitador de Compañías de Seguros y Asesor de empresas del sector público y privado en temas relacionados con el análisis de riesgos operacionales y financieros. Profesor de posgrado y especializaciones en temas de análisis de riesgos, fraude, seguro y reaseguro. Colaborador de Auditool.

 

Compartir post