«Tomado y adaptado por Katherine Madrid Restrepo (Gerente de K&D) de la Guía para la Administración del Riesgo y el diseño de controles en entidades públicas. DAFP, Versión 6»
La gestión de riegos en las organizaciones parte del conocimiento de la planeación estratégica por parte de todos los clientes internos de la misma donde se formulan las metas de largo plazo, tangibles, medibles, audaces y coherentes con los problemas y necesidades que deben atender o satisfacer, evitando proposiciones genéricas que no permitan su cuantificación y definiendo los posibles riesgos asociados al cumplimiento de las prioridades. En este sentido, es claro que la identificación y valoración de riesgos se integra en el desarrollo de la estrategia, la formulación de los objetivos estratégicos de una organización y la implementación de esos objetivos a través de la toma de decisiones cotidiana en cada uno de los procesos.
Este desarrollo se da en los diferentes niveles de la organización, por lo que cada entidad, de acuerdo con su esquema de direccionamiento estratégico, procesos, procedimientos, políticas de operación, sistemas de información, tendrá insumos esenciales para iniciar con la aplicación de la metodología propuesta para la administración del riesgo. En la Figura 1 se puede observar esta interrelación.
Figura 1. Conocimiento y análisis de la organización.
Es importante tener en cuenta que los objetivos de los procesos de la organización, son el punto de partida para gestionar los riesgos ya que a través de ellos se cumple la misión y la visión de las entidades. Es por ello que los objetivos deben ser medibles y realistas.
Una vez determinados estos lineamientos básicos, es preciso analizar el contexto general de la organización para establecer su complejidad, procesos y planeación institucional, entre otros aspectos, esto permite conocer y entender la entidad y su entorno, lo que determinará el análisis de riesgos y la aplicación de la metodología en general.
Considerando que la gestión del riesgo es un proceso efectuado por la alta dirección de las organizaciones y por todo el personal con el propósito de proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos, los principales beneficios para la entidad son los siguientes:
- Apoyo a la toma de decisiones
- Garantizar la operación normal de la organización
- Minimizar la probabilidad e impacto de los riesgos
- Mejoramiento en la calidad de procesos y sus servidores (calidad va de la mano con riesgos)
- Fortalecimiento de la cultura de control de la organización
- Incrementa la capacidad de la entidad para alcanzar sus objetivos
- Dota a la entidad de herramientas y controles para hacer una administración más eficaz y eficiente
Acorde a lo anterior, K &D pone a disposición de las entidades sus profesionales técnicos para dar asesorarlos y capacitarlos en la metodología para la administración del riesgo asada en la ISO 31.000. La metodología para la administración del riesgo requiere de un análisis inicial relacionado con el estado actual de la estructura de riesgos y su gestión en la entidad, además del conocimiento de esta desde un punto de vista estratégico de la aplicación de los tres (3) pasos básicos para su desarrollo y, finalmente, de la definición e implantación de estrategias de comunicación transversales a toda la entidad para que su efectividad pueda ser evidenciada. A continuación se puede observar la estructura completa con sus desarrollos básicos:
Figura 1. Metodología para la administración del riesgo.
En la metodología se ejecuta el paso a paso para la gestión del riesgo (Identificación, análisis y valoración). Adicionalmente las organizaciones deben contar con una política de gestión de riesgos.
Atendiendo lo anterior y dando inicio a la estructura metodológica, en el paso 1: “Política de administración de riesgos”, se deben definir lineamientos para su elaboración, teniendo en cuenta que se trata de un paso esencial en cabeza de la alta dirección de las entidades, en tanto se constituye en la base para la gestión del riesgo en todos los niveles organizacionales; en el paso 2: “Identificación del riesgo”, se propone una estructura para la redacción adecuada del riesgo, lo que facilita el análisis de la causa raíz y se proponen una serie de premisas básicas para evitar errores o generalizaciones del riesgo que dificultan la aplicación de los pasos siguientes definidos en la metodología. En este mismo paso se precisan los factores de riesgo y su relación con las tipologías de riesgo.
En el paso 3: “Valoración del riesgo”, se establecen los criterios para el análisis de probabilidad e impacto del riesgo identificado y su respectivo nivel de severidad, en este paso se propone la tabla para el análisis de probabilidad con un enfoque en la exposición al riesgo, análisis que le permite a los líderes de proceso contar con elementos objetivos para su definición; en cuanto a la tabla de impacto, se consideran la afectación económica y reputacional como aspectos principales frente a la posible materialización de los riesgos, en tal sentido, se ajusta el mapa de calor de acuerdo con la escala de severidad definida en 5 zonas (baja, moderada, alta y extrema), elementos que, en su conjunto, plantean un análisis más ácido, es decir de mayor profundidad y estricto, teniendo en cuenta el entorno cambiante en el cual se desenvuelven las organizaciones.
En el paso 2 también se analizan los controles, los cuales se deben diseñar, redactar acorde a la estructura metodológica. Además de poder establecer la eficiencia de los controles identificados, lo que le facilita a los responsables su aplicación, así como el seguimiento y evaluación por parte de las oficinas de control interno y de los organismos de control.
Las organizaciones también deben definir un tratamiento del riesgo y los indicadores clave de riesgo, estos últimos como herramienta para la toma de decisiones y para determinar la efectividad en la gestión del riesgo.
