fbpx

¿Qué es el análisis de riesgos? El contenido del análisis de riesgos

Posted in Gestión de riesgos on abril 19, 2024
Share 0
Tweet 0
Share 0
1 72

¿Qué es el análisis de riesgos? Las organizaciones pueden llevar a cabo un análisis de riesgos para comprender la posible interrelación de los riesgos con otros y el potencial de esos riesgos para crear interrupciones operativas y empresariales. El análisis de riesgos requiere la evaluación de los mismos teniendo en cuenta diferentes enfoques, como el cualitativo, el cuantitativo o una combinación de ambos. Los riesgos identificados e incluidos en el inventario de riesgos de una entidad se analizan para comprender la gravedad de cada uno de ellos para la consecución de la estrategia y los objetivos empresariales de la entidad.

Análisis De Riesgos

Análisis de riesgos

El análisis de riesgos informa la selección de las respuestas al riesgo. Teniendo en cuenta la gravedad de los riesgos identificados, la dirección decide los recursos y capacidades que deben desplegarse para que el riesgo se mantenga dentro del apetito de riesgo de la entidad.

La gravedad de un riesgo se analiza a múltiples niveles (entre divisiones, funciones y unidades operativas) en función de los objetivos empresariales que pueda afectar. Puede ocurrir que los riesgos considerados importantes a nivel de unidad operativa, por ejemplo, sean menos importantes a nivel de división o entidad. En los niveles más altos de la entidad, es probable que los riesgos tengan un mayor impacto en la reputación, la marca y la confianza. El uso de una terminología y unas categorías de riesgo estandarizadas ayuda a evaluar los riesgos en todos los niveles de la organización.

Los enfoques de evaluación cualitativa, como las entrevistas, los talleres, las encuestas y la evaluación comparativa, suelen utilizarse cuando no es factible ni rentable obtener datos suficientes para la cuantificación. Este tipo de evaluación es más eficiente de completar; sin embargo, hay limitaciones en la capacidad de identificar correlaciones o realizar un análisis de coste-beneficio.

Sin embargo, los enfoques de evaluación cuantitativa, como la modelización, los árboles de decisión y las simulaciones de Montecarlo, entre otros, permiten aumentar la granularidad y la precisión y respaldan un análisis de costes y beneficios. En consecuencia, los enfoques cuantitativos suelen utilizarse en actividades complejas y sofisticadas para complementar la técnica cualitativa

Ejemplos de enfoque cuantitativo

Un ejemplo de enfoque cuantitativo son los modelos de probabilidad, como el valor en riesgo, el flujo de caja en riesgo y las distribuciones de pérdidas operativas) que asocian una serie de eventos y el impacto resultante con la probabilidad de esos eventos basándose en determinados supuestos. Entender cómo podría variar cada factor de riesgo y afectar al flujo de caja, por ejemplo, permite a la dirección medir y gestionar mejor el riesgo.

Otro ejemplo son los modelos no probabilísticos (por ejemplo, el análisis de sensibilidad, el análisis de escenarios) que utilizan suposiciones subjetivas para estimar el impacto de los eventos sin cuantificar una probabilidad asociada en un objetivo empresarial. Por ejemplo, el análisis de escenarios permite a la dirección comprender el impacto en un objetivo empresarial para aumentar la rentabilidad en diferentes escenarios, como el lanzamiento de un nuevo producto por parte de un competidor, una interrupción en la cadena de suministro o un aumento de los costes del producto…

Dependiendo de la complejidad y la madurez de la entidad, la dirección puede basarse en un juicio y una experiencia particulares a la hora de realizar la modelización. Independientemente del enfoque que se utilice, cualquier hipótesis debe indicarse claramente.

Cuando la gravedad prevista del riesgo puede influir en el tipo de enfoque utilizado. Para evaluar los riesgos que podrían tener impactos extremos, la dirección puede utilizar el análisis de escenarios. Sin embargo, cuando se evalúan los efectos de múltiples eventos, la dirección puede encontrar más útiles las simulaciones (por ejemplo, las pruebas de estrés). Por el contrario, los riesgos de alta frecuencia y bajo impacto pueden ser más adecuados para el seguimiento de datos y la computación cognitiva. Para llegar a un consenso sobre la gravedad del riesgo, las organizaciones pueden emplear el mismo enfoque que utilizaron en la identificación del riesgo.

Las evaluaciones también pueden ser realizadas en toda la entidad por diferentes equipos. En este caso, la organización establece un enfoque para revisar cualquier diferencia en los resultados de la evaluación. Por ejemplo, si un equipo califica determinados riesgos como «bajos», pero otro los califica como «medios», la dirección revisa los resultados para determinar si hay incoherencias en el enfoque, las hipótesis y las perspectivas de los objetivos o riesgos empresariales.

Por último, comprender las interdependencias que pueden existir entre los riesgos es un componente de la evaluación de riesgos. La interdependencia puede surgir cuando numerosos riesgos influyen en el mismo objetivo empresarial o cuando un riesgo provoca otro. Los riesgos pueden surgir de forma simultánea o secuencial. Para un desarrollador tecnológico, por ejemplo, un retraso en la introducción de nuevos productos conlleva una pérdida de cuota de mercado y una disminución del valor de la marca de la entidad. La comprensión de la interdependencia por parte de la dirección se reflejará en la evaluación de la gravedad.

Evaluación de los riesgos inherentes y residuales

Una organización sigue el proceso lógico de realizar una evaluación de riesgos en la que se realizan evaluaciones de los riesgos inherentes y residuales, para evaluar el impacto y la probabilidad de los riesgos identificados. Estos procesos se mencionan a continuación y comprenden cinco pasos:

  • Paso 1: Documentación de procesos, actividades y riesgos
  • Paso 2: Evaluación del impacto y la probabilidad
  • Paso 3: Evaluación de los riesgos
  • Paso 4: Mapa de controles y plan de mitigación
  • Paso 5: Revisión de la evaluación de riesgos

Paso 1: Documentación de procesos, actividades y riesgos

Para realizar la evaluación de riesgos, es necesario identificar los riesgos de todos los procesos y actividades de un departamento. Por ejemplo, para identificar los riesgos del departamento de finanzas, en primer lugar, se identificarán los procesos y actividades del departamento de finanzas, que pueden incluir el registro de las transacciones financieras; el mantenimiento de las cuentas bancarias; la realización de los pagos a los proveedores; la preparación de las conciliaciones bancarias; la preparación de los estados financieros; y el pago de los impuestos de la organización.

A la hora de identificar los riesgos relacionados con el departamento de finanzas, hay que conocer todos los procesos y actividades de los departamentos financieros mencionados anteriormente para que sean identificadores de riesgo. Del mismo modo, para todos los demás departamentos de una organización, se identifican los procesos y actividades pertinentes, para identificar los riesgos y realizar una evaluación de los mismos.

Todos los riesgos identificados deben documentarse en forma de declaraciones de riesgo. Estas declaraciones de riesgo se escriben de forma lógica y secuencial, en el registro de riesgos o en la base de datos de riesgos. Todas las declaraciones de riesgo deben estar vinculadas con una actividad, proceso o departamento en particular, como por ejemplo el riesgo relacionado con la preparación de los estados financieros de una empresa debe estar vinculado con el proceso de información financiera que se realiza en el departamento de finanzas, porque el departamento de finanzas es responsable de la preparación de los estados financieros de la organización.

Después de documentar las declaraciones de riesgo por proceso o actividad, cada declaración de riesgo documentada se clasifica en una categoría de riesgo adecuada.

Diferentes tipos de riesgos: Existen varios tipos de categorías de riesgo, entre ellas: operacional, financiero, de cumplimiento, de reputación, de salud y seguridad, estratégico, de crédito y de mercado.

Paso 2: Evaluación del impacto y la probabilidad

Tras la identificación de los procesos, las actividades y la documentación de los riesgos identificados, se realiza una evaluación del riesgo inherente. Durante la realización de la evaluación de los riesgos inherentes, se lleva a cabo la evaluación del «impacto y la probabilidad» de cada riesgo.

La evaluación del impacto requiere valorar la magnitud de la pérdida que un riesgo concreto puede suponer para el departamento o la organización.

La evaluación de la probabilidad consiste en valorar la probabilidad de que se produzca cada uno de los riesgos identificados.

La evaluación del impacto y la probabilidad requiere la asignación de puntuaciones o niveles de riesgo para cada uno de ellos, con el fin de obtener una puntuación global de riesgo inherente.

Paso 3: Evaluación del riesgo

A partir de la evaluación del riesgo inherente realizada para cada riesgo, se lleva a cabo la evaluación del riesgo, lo que significa identificar aquellos riesgos que se consideran críticos o no críticos. Normalmente, para la evaluación de los riesgos se consideran los de nivel alto o crítico, los de nivel medio o no crítico y los de nivel bajo o insignificante.

Titularidad de los riesgos y plan de mitigación.

Se definen los propietarios de los riesgos y se introducen en la base de datos de riesgos. Los departamentos o las personas que trabajan en determinados departamentos pueden ser propietarios del riesgo. La asignación de la propiedad del riesgo ayuda a la coordinación de la retroalimentación del riesgo y el control con los departamentos y empleados pertinentes.

Los propietarios de los riesgos deben mantener actualizada su base de datos o inventario de riesgos, estar al tanto de los riesgos nuevos y en desarrollo, y ser responsables de la aplicación de los controles internos para minimizar sus riesgos.

Desarrollo de la respuesta al riesgo y evaluación de las actividades de control.

Otra etapa del proceso de gestión de riesgos es la gestión de los mismos. La dirección selecciona una serie de acciones para alinear los riesgos con el apetito de riesgo de la organización y los niveles de tolerancia al riesgo para reducir el impacto financiero potencial del riesgo en caso de que ocurra y/o para reducir la frecuencia esperada de su ocurrencia. Las posibles respuestas al riesgo incluyen evitar, aceptar, reducir o compartir los riesgos.

Tipos de respuesta al riesgo

Evitar el riesgo, retirarse de las actividades en las que la gestión del riesgo adicional no es rentable y los rendimientos son atractivos respecto a los riesgos que se afrontan.

Aceptación del riesgo, aceptar el riesgo cuando la gestión del riesgo adicional no es rentable, pero los rendimientos potenciales son atractivos respecto a los riesgos afrontados.

La reducción del riesgo, que se refiere a las actividades y medidas destinadas a reducir la probabilidad de que el riesgo cristalice y/o a minimizar la gravedad de su impacto en caso de que cristalice (por ejemplo, cobertura, reaseguro, prevención de pérdidas, gestión de crisis, planificación de la continuidad de la actividad, gestión de la calidad).

El reparto de riesgos, que se refiere a las actividades y medidas destinadas a transferir a un tercero la responsabilidad de la gestión del riesgo y/o la responsabilidad por las consecuencias financieras del riesgo en caso de que éste se materialice.

Siguiendo las funciones y responsabilidades definidas, los departamentos operativos son responsables de aplicar un tratamiento de riesgos suficiente para gestionar los riesgos a un nivel aceptable. En caso necesario, el Comité de Riesgos puede orientar el desarrollo y la aplicación de las medidas de gestión de riesgos.

Deben establecerse controles adecuados y sistemas de seguimiento continuo que permitan notificar rápidamente los cambios fundamentales en los riesgos o en las estrategias de gestión de riesgos. Dado que los contextos internos y externos en los que trabaja la organización cambian constantemente, el enfoque de gestión de riesgos debe ser lo suficientemente ágil como para adaptarse a los nuevos escenarios que vayan surgiendo. Las respuestas efectivas anteriores al riesgo pueden quedar obsoletas, las actividades de control pueden perder eficacia o dejar de existir, o los objetivos de la entidad pueden cambiar. Ante estos acontecimientos, la dirección debe determinar si el sistema de gestión de riesgos sigue siendo eficaz desde el punto de vista operativo.

Los informes sobre riesgos constan de una descripción de los principales riesgos y oportunidades de cada departamento, una clasificación de los riesgos basada en el impacto y la probabilidad de que se produzcan, una descripción de las principales medidas de gestión de los riesgos, incluido el impacto de dichas medidas, y una declaración de los riesgos materializados.

Reflexiones finales

El proceso de identificar y analizar los posibles problemas que podrían tener un impacto negativo en las iniciativas o proyectos clave de la empresa se conoce como análisis de riesgos. Este procedimiento se lleva a cabo para ayudar a las organizaciones a evitar o mitigar los riesgos.

Un análisis de riesgos incluye la consideración de la posibilidad de eventos adversos causados por procesos naturales como tormentas severas, terremotos o inundaciones, así como eventos adversos causados por actividades humanas maliciosas o inadvertidas. Una parte importante del análisis de riesgos es identificar el potencial de daño de estos eventos, así como la probabilidad de que ocurran.

 Previous
Next