Riesgos a la velocidad de la luz, controles a la velocidad del…

Por: Javier Fernando Klus, MBA, CIA. Colaborador de Auditool.

El día de ayer estaba realizando mis rutinas diarias en el gimnasio, principalmente, cinta de correr, cuando escuché un grito y luego otro más al que le siguió alguien que corría. Cuando me di vuelta, vi a una persona que se había caído, pero ya había tres empleados del gimnasio: uno con lo que parecía ser una mini unidad RCP (reanimación cardiopulmonar), otro con un valija de primeros auxilios y un tercero que ya lo estaba asistiendo. Por suerte, la persona se levantó, empezó a conversar y luego fue llevada, seguramente, para su revisión. Todo daba la impresión de que se había tratado, simplemente, de presión arterial baja.

Todo lo que acabo de describir sucedió en, aproximadamente, 10 segundos. Esto me hizo pensar en lo importante que es la capacidad de reacción para los riesgos de la vida, los cuales ocurren (como lo pude ver) de forma imprevista y que pueden causar un daño catastrófico. En este caso, el riesgo puede incluso ser el perder la propia vida. Por lo tanto, la velocidad de reacción ante los riesgos es un elemento fundamental.

En ese momento, me hice dos preguntas:

• ¿Tienen las compañías similar nivel de riesgo?
• ¿Por qué una compañía no tendría esta rapidez de reacción?

Las empresas también tienen riesgos de vida, pues hay hechos que pueden comprometer el propio funcionamiento y supervivencia de la misma. De este modo, si estos hechos se presentan:

• ¿Por qué no tener protocolos de reacción?
• ¿Por qué no definir planes de contingencia o mecanismos de control que reaccionen a una velocidad igual a los riesgos que se intentan mitigar?

Indudablemente, esto representa un desafío para las empresas en la actualidad: su capacidad de reacción frente a los riesgos.

Una compañía, como dijimos, también tiene riesgos críticos, los riesgos relacionados con ciberseguridad o los riesgos relacionados con continuidad de negocio son un ejemplo de ello.

¿Qué sucedería si una empresa se ve expuesta a un robo o secuestro de información a través de un malware que imposibilite continuar con sus operaciones? ¿Tiene mecanismos de control que permitan lidiar con dichas situaciones? ¿Tiene mecanismos que permitan detectar una situación de instrucción en tiempo oportuno? ¿Cómo reacciona la compañía ante dicha situación? ¿Los responsables asignados a cada una de estas tareas se encuentran definidos? Y, más importante aún, ¿saben ellos que son los responsables?

En mi ejemplo inicial todas estas preguntas fueron respondidas con un «sí«, dado que, en 10 segundos, una persona corrió y buscó una unidad RCP, otra un maletín de primeros auxilios, otra se quedó con la persona que se desmayó y otra ya estaba llamando por teléfono.

Por último, resaltamos que de la capacidad de reacción dependía la vida de esa persona y que, de manera similar, algo parecido puede ocurrir en las empresas. Por ello, es importante tener individualizado qué riesgos de vida tiene una empresa. Asimismo, la empresa debe tener claridades acerca de que sus protocolos de control reaccionarán a la misma velocidad que el riesgo involucrado.

Javier Fernando Klus, MBA, CIA.

Javier Klus fue gerente de auditoría en PwC Argentina con más de 20 años de experiencia profesional trabajando en la evaluación de entornos de control interno para empresas líderes en la industria energética. Se ha especializado en la evaluación de riesgos y controles y en el diseño e implementación de controles para el ciclo de adquisiciones. También ha liderado compromisos importantes en las áreas de revisiones de sistemas de implementación previas y posteriores; diseño e implementación de políticas y procedimientos para el área financiera, evaluación de riesgos y control de ERP y proyectos de preparación de Sarbanes Oxley. Especialidades: Auditoría de Sistemas y Procesos, Gestión de Proyectos, Auditoría Interna, Cumplimiento SARBOX y AntiFraude. Colaborador de Auditool.