Por: Javier Fernando Klus, MBA, CIA. Colaborador de Auditool

Como hemos mencionado en otros artículos la gestión de riesgos es un elemento importante a tener en cuenta por cualquier organización y es una herramienta imprescindible para los auditores que tiene la misión de salvaguardar los intereses de la organización y sus accionistas.

Como primera aproximación a este temática haremos una definición de lo que entendemos por gestión de riesgos, “Los procesos de gestión de riesgos tiene como objetivo ayudar a la identificación y análisis de potenciales amenazadas, vulnerabilidades y oportunidades; acordar estrategias efectivas y proporcionar actualizaciones periódicas para confirmar que los riesgos se gestionan de manera efectiva”, como última definición importante debemos tener en cuenta que cualquier proceso de gestión de riesgos tiene que apoyar a los objetivos de la organización.

Dicho esto, ya podemos tener un primer entendimiento de lo importante que es para una organización el establecer un proceso de gestión de riesgos.  Para establecer un apropiada Gestión de Riesgos tenemos que definir un proceso el cual básicamente consta de las siguientes etapas:

  1. Establecer los objetivos
  2. Identificar los riesgos
  3. Analizar/Evaluar (los riesgos identificados anteriormente)
  4. Determinar la Respuesta
  5. Desarrollar/implementar un plan de mitigación
  6. Monitorear el plan y los riesgos emergentes
  7. Reportar

En este artículo estaremos viendo específicamente el punto 6 “Monitorear el plan y los riesgos emergentes”, dado que en esta parte de nuestro proceso de gestión, y según lo definido por la norma ISO 31000 “realizamos una verificación continua, supervisión y observación crítica o determinación del estado” o bien lo definido por el estándar COSO “realizamos un monitoreo continuo de actividades, evaluaciones separadas o bien una combinación de ambas”.  Por lo tanto, el monitoreo ayuda a mantener una efectiva gestión de riesgos, verificando el cumplimiento de los planes de mitigación y garantizando que el marco de control interno instrumentado se encuentre implementado y funcionando, así como verificando constantemente todo cambio ocurrido en el entorno de riesgos.

Y este último párrafo de nuestra explicación es importante, pues tenemos que tener en cuenta que los riesgos mapeados al inicio del proceso no se mantienen inalterables, vivimos en una dinámica que hace que las organizaciones se expongan a nuevos riesgos de forma permanente y por lo tanto desde el momento que determinamos nuestros riesgos y empezamos a tomar acciones sobre los mismos pueden surgir otros que es necesario también tener en consideración y a través de la etapa de        monitoreo realizamos las acciones para detectarlos.

Y todo otro riesgo que surge, no contemplado dentro del proceso anterior, lo denominaremos riesgo emergente.  En una definición más académica podemos referirnos a los riesgos emergentes como “Un nuevo riesgo que no es comprendido de forma completa y que todavía no se ha manifestado en su totalidad”.

Vivimos en una dinámica de la velocidad del riesgo “The speed of risk” como lo definió Richard Chambers, estamos en un entorno de riesgos que surgen a una velocidad que muchas veces es difícil gestionar con herramientas convencionales.  Tenemos que estar preparados para los mismos pues muchas veces este tipo de riesgos pueden impactar de forma más que significativa en una organización.

Para esto mencionaremos dos riesgos que ocurrieron, que son de dominio público y que terminaron afectando significativamente a una o varias organizaciones.

  1. El COVIT 19 fue un riesgo emergente de impacto global, las organizaciones no vieron venir el real impacto que significó para las mismas y muchas de estas organizaciones no supieron gestionarlo.
  2. En estos días se ha dado un caso muy representativo que es el riesgo de inocuidad alimentaria (en si sería el riesgo de ausencia de inocuidad alimentaria) en la empresa Ferrero Rocher y el impacto que significó tener que cerrar una planta y retirar importantes partidas de huevos de pascua una semana antes precisamente de las pascuas – https://www.telam.com.ar/notas/202204/588957-retiran-huevos-kinder-casos-salmonella.html

Estos dos ejemplos nos muestran la capacidad de impacto que pueden tener los riesgos emergente y aquí una pregunta que se deben hacer las organizaciones y los departamentos de auditoría interna ¿Están preparadas para los riesgos emergentes? ¿Tiene mecanismos que permiten detectar y gestionar los mismos? ¿Estamos preparados para poder dar respuestas a los mismos?

Por lo tanto, tenemos cada vez más que definir mecanismos que nos permitan responder a estos riesgos emergentes, ello significa tener definida las respuestas ante una crisis, establecer un mapa de riesgos dinámico y dentro de este mapa ir incorporando estos nuevos riesgos.  De hecho, respuestas a otros riesgos pueden de alguna forma ser utilizados para mitigar parcialmente los nuevos riesgos.  Esto nos muestra la importancia de tener este inventario de respuestas.

Como vemos, este marco dinámico en la gestión de riesgos está directamente relacionado con las metodologías ágiles que actualmente son utilizadas por muchas empresas y departamentos de auditoría.

Como resumen de este artículo podemos decir que las organizaciones y los propios departamentos de auditoría se sienten más “cómodos” gestionando riesgos conocidos en vez de riesgos emergentes.  La gestión de riesgos emergentes requiere respuestas rápidas, requiere mayor agilidad, requiere una estructura que constantemente busque lo “improbable” pero como hemos visto, lo “improbables” cada vez más se está volviendo “probable” y puede significar un impacto “catastrófico” para las organizaciones.  Los riesgos emergentes han venido para quedarse, así que actuemos en consecuencia.

Javier Fernando Klus, MBA, CIA.

Javier Klus fue gerente de auditoría en PwC Argentina con más de 20 años de experiencia profesional trabajando en la evaluación de entornos de control interno para empresas líderes en la industria energética. Se ha especializado en la evaluación de riesgos y controles y en el diseño e implementación de controles para el ciclo de adquisiciones. También ha liderado compromisos importantes en las áreas de revisiones de sistemas de implementación previas y posteriores; diseño e implementación de políticas y procedimientos para el área financiera, evaluación de riesgos y control de ERP y proyectos de preparación de Sarbanes Oxley. Especialidades:   Auditoría de Sistemas y Procesos, Gestión de Proyectos, Auditoría Interna, Cumplimiento SARBOX y AntiFraude. Colaborador de Auditool.