Análisis de Riesgos

Una vez que tenemos el listado de riesgos, organizados ya sea por procesos, por producto, por cualquier otro ente agrupador, procedemos a conocer un poco más de ellos, es decir es la etapa de analizarlos para conocerlos un poco más.

Reúnase con el dueño del proceso donde está el riesgo, y empiece con la documentación de cada riesgo, los datos que debe reunir son los siguientes:

• Nombre del riesgo
• Descripción del riesgo
• Tipo de riesgo (operacional, de crédito, de mercado, etc)
• Categoría (por ejemplo si es riesgo operacional se habren las categorías de basilea, como son:Fraude Interno, Fraude Externo; Relaciones laborales y seguridad en el puesto de trabajo; Clientes, productos y prácticas empresariales; Daños a activos materiales; Incidencias en el negocio y fallas en los sistemas; Ejecución, entrega y gestión de procesos); sin embargo en los demás riesgos también puede abrir categorías si lo necesita.
  
• Responsable de su administración
• Fuentes de riesgos
• Areas de impacto
• Procesos contra los que impacta
• Objetivos corpotaivos comprometidos
• Causa principal
• Demás causas (trate de hacer un esquema de espina de pescado)
• Cuándo, cómo dónde podría ocurrir.

Esta información se consigue de manera iterativa, a medida que se avanza en el conocimiento del mismo.

Comparto un listado de algunas áreas de impactos:

• Activos y recursos (activos, pasivos, capital, tangibles e intangibles de TI, empleados, etc)
• Costos (tanto directos, como indirectos, sanciones, indemninzaciones, reposiciones, reconstrucción y otras multas de diferentes fuentes)
• Desempeño (tanto en la productividad, como en la calidad y rendimiento del capital)
• Intangibles (Seguridad, solidez, confianza, reputación, conocimiento, inteligencia de negocios y del sector)
• Ingresos y otros derechos (Intereses, patentes, propiedad industrial, regalías, comisiones, etc)
• Clima organizacional (Valores éticos, Idoneidad, Moral de los empleados, Estabilidad, etc)
• Emprendimientos y actividades (lanzamiento de nuevos productos, gestión del cambio tecnológico, inversiones de oportunidad y expanción del negocio)
• Comunidad y entorno (Vecinos, medio ambiente, clima, país, sociedad, etc)

Las fuentes son diversas, entre ellas destacan:

• Las personas de la empresa y externas (malas conductas, avaricia, soberbia, despidos y venganzas, hackers, crakers, etc)
  
• Entorno geográfico, político, social, cultural, etc.
• Los mismos sistemas al interior de la empresa constituyen fuente de riesgos
• Los procesos mal ejecutados o con fallas en sus deficiones, o mal documentados son fuente de riesgos.
• Muchas otras.

Consulte los diagramas de Ishikawa, diagrama causa efecto, para ayudarse a documentar las causas.

IDENTIFICACIÓN DE RIESGOS

Una vez establecidos los objetivos, es momento de identificar los riesgos que atentan al cumplimiento de los mismos.
Para ello existen varias técinas, por ejemplo:

• Análisis de flujos de procesos
• Cuestionarios a los empleados
• Inventario de eventos pasados con los dueños de los procesos
• Entrevistas con Auditoría Interna y demás auditorías externas, allí pueden existir documentación de riesgos.
• Trabajos en grupo de diversas áreas.
• Otras

Si opta por ejemplo por uso del análisis de flujos de procesos, podrá identificar las actividades dentro del proceso y hacer la pregunta ¿qué podría salir mal?, luego podría hacer una lista de posibles eventos. Como se habrá percatado, necesitamos el mapeo de todos los procesos de negocio, que sea actual, y que estén debidamente estandarizados y documentados de manera adecuada. Esta técnica es ampliamente usada, pues además permite la gerencia por procesos.

Si empleamos los cuestionarios a los empleados, podremos abordar preguntas respecto a todos los componentes de la gestión de riesgos y analizar las brechas que posee la empresa en cultura de riesgos y poder obtener un listado de posibles eventos causados por decisiones ineficientes de las personas.

Quien mejor que los dueños de los procesos, para inventariar los problemas que tiene o ha tenido durante su gestión, estos problemas pueden constituir eventos riesgosos.

Auditoría Interna y otras auditorías, también son fuente para inventariar eventos de riesgos. Pues son las fuentes oficialmente de deficiencias, reclamos o denuncias al interior del negocio y que han llevado una investigación aceptable y profesional, además de ser orientados a sus principales clientes, el Directorio de la empresa.

Usamos el término de identificación de riesgos, porque sólo estamos considerando los eventos riesgosos, y no todos los eventos. Debemos aclarar que la nueva norma ISO de riesgos (año 2009) menciona que el riesgo es el efecto conjunto sobre los objetivos, ello implica tanto consecuencias positivas o negativas, pero por ahora para nosotros riesgo es impacto negativo en los objetivos, ya que metdológicamente la gestión de los eventos de oprtunidades corresponden un poco con la planificación estratégica de crecimiento del negocio. La gestión de oportunidades ya se hace en cierta forma, ello se explica por ejemplo por las cuotas de mercado, salida de un competidor, etc.

También el Estandar Australiano, le puede servir como documento de consulta, pues tiene un método de identificación de riesgos, mediente las matrices de fuentes de riesgos y áreas de impacto. Las fuentes de riesgos, alineadas con Basilea, son las personas, los procesos, los sistemas y eventos externos. Las áreas de impacto son los recursos que apoyan al logro de los objetivos, como son Activos corrientes, activos fijos, pasivos, otros exigibles, patrimonio, costos, etc. Tomando como apoyo los estados fnancieros, como el balance, pero también el estado de resultados, para analizar el impacto total de las pérdidas por riesgo operacional dentro de la rentabilidad del negocio, esto permite elaborar ratios de rentabilidad/riesgo.

Los riesgos deben de clasificarse por tipos de riesgos. Debemos aclarar que usando los marcos COSO ERM, AS/NZS, ISO, tratan de la gestión integral de riesgos, tanto como lo dice Basilea, debemos de tener una metodología estándar en la empresa para todos los tipos de riesgos, de crédito, de mercado, operacional; sin embargo también puede aplicar para los demás riesgos como de liquidez, reputacional, estratégico, etc. Obviamente cada tipo de riesgo puede tener sus propias personalizaciones con la metodología.

La identificación de riesgos debe darse para los procesos, proyectos (además es parte de PMBOK, del PMI), cambios importantes en el negocio, sistemas, procesos, personas, y otros factores que pueden ser generadores de riesgos.

Seguramente que para implementar un sistema de gestión de la calidad como ISO 9001:2000, también le servirá, al momento de implementar puntos de control o inspecciones, antes debieron de identificarse qué podría salir mal o qué aspecto no debe fallar para lograr la calidad total. Vea cómo se van integrado todas las herramientas de gestión.