Modelo de Gestión del Riesgo Operacional Básico

Motivación del Modelo

Desde la revolución industrial, las organizaciones empresariales, han venido experimentando un importante desarrollo laboral, tecnológico y productivo. Cada vez, mas sofisticado en procesos, productos y servicios. Así pues, han visto elevadas las exigencias de calidad y destreza para gestionar los mercados y la globalización del consumo. Esto ha obligado a establecer nuevas reglas para la gestión de las organizaciones que llevan implícitas cautelas en seguridad industrial, prevención, aseguramiento, continuidad de abastecimiento y adecuación a normas impuestas, para garantizar un mayor y mejor control interno.

FASE DE IDENTIFICACIÓN Y VOLUMETRÍA DE LA ORGANIZACIÓN: en esta fase se propone revisar los bienes expuestos al riesgo desde un punto de vista tanto interno como externo. En esta etapa se valoran los activos propios y los activos del entorno a los que se les puede causar un perjuicio en el supuesto de materializarse un suceso contenido en el catálogo de gestión de riesgos que con posterioridad se analiza en el apartado correspondiente.

En este sentido el cuestionario analiza los siguientes conceptos:

  • Sector al que pertenece
  • Actividades económicas que se desarrollan y volumen de negocio
  • Medios humanos con los que se cuenta
  • Valoración de inmuebles
  • Valoración de bienes de equipo
  • Valoración de existencias
  • Valoración de otros activos de la organización

En las valoraciones generales se utiliza el sistema de apreciación o información obtenida en las reuniones de obtención de datos. De otra parte, las valoraciones de activos tienen tres conceptos de valoración diferentes, que permitirán establecer, los criterios que deberán regir en las futuras decisiones de aseguramiento:

  • Valor asignado: se trata de un valor contenido en los balances o informes de auditoria de la empresa y que forman parte de la imagen real de los activos y sus amortizaciones en el tiempo, sin tener en cuenta sus depreciaciones o apreciaciones por conceptos como incrementos de precios de mercado, depreciación tecnológica, obsolescencia etc….
  • Valor asegurado: se trata del valor que consta en las pólizas de seguro como valores asegurados y que determinan los límites máximos a los que la organización tendrá derecho de cobro en el supuesto del acaecimiento de un suceso.
  • Valor peritado: se trata del valor asignado por el estudio real, del valor los bienes de la empresa, bien este realizado por un perito tasador o por una persona cualificada para ello. Este valor y los porcentajes de seguridad,será el valor de referencia para establecer los nuevos criterios de perdida máxima en el informe.

Finalmente en el análisis de otros valores de la organización se analizan parámetros que pueden tener una importante repercusión tanto en la gestión de los riesgos analizados, como en las consecuencias de un suceso:

FASE DE IDENTIFICACIÓN Y EVALUACIÓN DE GESTIÓN DE RIESGOS Y GRUPOS DE RIESGO: esta fase de gestión de riesgos, está destinada a la identificación de los riesgos que afectan a la organización desde la presentación de un catalogo de mas de 300 riesgos clasificados a través de 17 grupos, valorando cada riesgo según los principios de:

  • Exposición: determina si estamos sometidos a un riesgo en alguno de los apartados o elementos de la organización y en qué medida ese sometimiento es de mayor o menor intensidad.
  • Intensidad o impacto: en este apartado se determina el impacto que un suceso podría tener en la organización siempre pensando en el peor de los escenarios y sin tener en cuenta las medidas de seguridad que se puedan implementar.
  • Frecuencia: este apartado establece criterios de repetición de ocurrencia de un suceso en un periodo de tiempo determinado.
  • Nivel de control: fija los elementos de protección, seguridad, aseguramiento y control interno implementados por la organización y que en suma forman parte de los principios paliativos, de protección y evitación con los que cuenta la empresa para evitar un suceso o las consecuencias de cada uno de los riesgos catalogados.

Las respuestas obtenidas por la contestación al catalogo de gestión de riesgos, son presentadas en el informe a través de una valoración por coeficientes. Esto, determina el valor del los riesgos individuales así como la métrica del riesgo por grupos homogéneos de gestión de riesgos.

FASE DE VALORACIÓN DE LOS RIESGOS: una vez obtenidos los coeficientes de gestión de riesgo, tanto por grupos de riesgo como por riesgo individual, se establecen los criterios.

  • Tolerancia al riesgo: se trata de la diferencia entre el riesgo que la organización está dispuesta a asumir y el riesgo que no es aceptable, en proporción al total de riesgo al que está expuesta.
  • Apetito al riesgo: se trata de la parte de riesgo que la organización está dispuesta a retener. A partir de este apetito, se establecen criterios de gestión de riesgos con el objetivo de controlarlo o transferirlo.

Una vez se han establecido estos criterios de selección de riesgos, el sistema pasa a determinar una selección de riesgos que son tolerables y otra selección de riesgos que se encuentran por encima de la tolerancia al riesgo.

Los riesgos que se encuentran en coeficientes que superan la tolerancia son ajustados de nuevo por el valor seleccionado de apetito al riesgo, con el objetivo de que sean estos aspectos los que pasen a ser gestionados por la organización a través de la gestión de riesgos. En este sentido cabe destacar que la selección de riesgos para ser gestionados en base al apetito al riesgo, podrá estar dentro de la horquilla de coeficientes seleccionada para los valores de tolerancia o también, podrán ser seleccionados, coeficientes de apetito al riesgos por encima o inferiores a los valores de tolerancia. Así pues este concepto de apetito al riesgo servirá para incorporar control interno sobre la gestión de los riesgos seleccionados.

FASE DE ANÁLISIS DEL RIESGOS Y GESTIÓN DE RIESGOS: tan pronto se han valorado los riesgos y se establecen los criterios sobre los que se tomarán medidas para ser gestionados, se establece el análisis de los niveles de control y seguridad sobre los grupos de gestión de riesgos:

  • Valoración y análisis de transferencia o aseguramiento
  • Valoración y análisis de seguridad industrial
  • Valoración y análisis de control interno

Obtenidos los datos de control interno, seguridad y transferencia, estaremos en condición de valorar los escenarios de pérdidas de la organización:

  • V.M.E – Valor Máximo Expuesto: Determina los valores que la organización pone a disposición de las actividades para conseguir sus objetivos.
  • P.M.P — Perdida Máxima Posible: Establece la pérdida máxima a la que está expuesta la organización, con relación a sus propias características de dispersión o cúmulo, sin tener en cuenta las medidas de seguridad y control que se tengan implementadas.
  • S.M.P – Siniestro Máximo Probable: Fija los valores de un siniestro o perdida máxima, tras haber establecido criterios matemáticos de probabilidad en relación a los medios de control interno, protección, prevención, seguridad y transferencia, instaurados en la organización.

FASE DE CONCLUSIONES: la fase de conclusiones tiene como objetivo determinar los valores a tener en cuenta tanto para la gestión de riesgos de la organización, como de su correcto aseguramiento. También se establecen en ocasiones, algunos comentarios advertencias o consejos por parte de los técnicos que elaboran el informe.

FASE DE GESTIÓN DEL RIESGO: la fase de gestión del riesgo tiene como objetivo seleccionar las medidas que se deberán tomar con los riesgos que están por encima de los criterios de apetito para conseguir un control de los mismos. Así mismo se incluye en los informes de gestión de riesgos, un documento con el que iniciar los trabajos para la elaboración de planes de contingencia o continuidad.

Este modelo de riesgos operacionales contiene los siguientes informes de gestión de riesgos:

  • Informe de gestión de riesgos para control interno: dirigido a tomar medidas sobre los riesgos que han sido catalogados por encima de la tolerancia y apetito al riesgo de la organización.
  • Informe de gestión de riesgos para planes contingentes: dirigido a los riesgos que por su impacto en la organización podrían causar un colapso y deberían establecerse planes de contingencia o continuidad.
  • Informe de gestión de riesgos de frecuencia: dirigido a tomar medidas para limitar las pérdidas ocasionadas por riesgos que se materializan con cierta continuidad y que pueden ser gestionados por la organización.

Guía metodológica

No existe una guía metodológica de referencia que nos permita establecer conclusiones para determinar la gestión de riesgos operacionales. No obstante, hemos acudido a varias fuentes que nos han permitido consensuar un criterio homogéneo y comparable que permite cuantificar los aspectos cualitativos de la organización.

Introducción al modelo

El modelo de valoración y gestión del riesgo operacional, tiene como objetivo principal establecer los criterios lógicos de control interno y aseguramiento sobre la base de un profundo análisis de todos aquellos elementos generadores de sucesos que puedan poner en peligro a las personas, los activos empresariales o los objetivos de la organización.

En este sentido hemos partido de la base de que los riesgos operacionales, son todos aquellos que nacen de las personas, actividades y entorno. Estos afectan a los mercados, el patrimonio, el entorno y a la vida social de la organización. Los diversos escenarios bien merecen una clasificación lo más amplia y exhaustiva posible de los riesgos. Lo que nos permite, seleccionar aquellos a los que estamos sometidos, pero dentro de un estándar amplio y predeterminado que permita comparar la evolución de las medidas correctoras.

El método utilizado permite extraer para su gestión de riesgos los riesgos que por su naturaleza tienen un coeficiente elevado y merece la atención de los gestores. Además, también se obtienen, aquellos riesgos que por su naturaleza tienen un impacto devastador para la organización, mereciendo un análisis muy especial. Por último, los que por su frecuencia deben ser gestionados para evitar pérdidas continuadas, también son clasificados.

Juan Fort