Administrar el Riesgo

Un mundo lleno de riesgos. Los riesgos de negocios vienen disfrazados en una cantidad de maneras riesgo crediticio, riesgo financiero, riesgo geopoltico, riesgo operacional y riesgo reputacional para nombrar algunos. Por supuesto, su negocio se puede ajustar a estos riesgos a travs de una variedad de mecanismos y estrategias convencionales, pero no hay nada certero. De hecho, algunas estrategias de gestin de riesgos generan nuevos riesgos no intencionales La administracin del riesgo ha cobrado relevancia en los aos recientes. Ejecutivos y juntas directas se han vuelto mas preocupadas con asegurar que los equipos gerenciales que les reportan tengan procesos de gestin de riesgos hechos para su propsito. Cero fallas es imposible, si no; demasiado costoso de lograr. Sin embargo, la expectativa es que los perfiles de riesgo sean conocidos y los procesos para mitigar estos riesgos estn en sitio para dar una comodidad razonable sobre los posibles resultados e impactos. La administracin de riesgos es ahora vista como un componente integral de como las organizaciones son gobernadas y de como cumplen con leyes y reglas externas de los sectores y territorios donde hacen negocios. Embeber la administracin del riesgo en las operaciones comunes del negocio, es de lejos el elemento mas complejo de lograr la gestin empresarial de riesgos - enterprise-wide risk management pero hacerlo de manera correcta brinda los beneficios esperados. Nuestro equipo de administracin de riesgos puede evaluar riesgos y controles en toda una organizacin, incluyendo las operaciones, la gerencia, la gobernabilidad, tecnologa y el estado del negocio comparado con sus objetivos y estrategias. Trabajamos con nuestros clientes para crear un marco de referencia de gestin empresarial de riesgos que cumpla con los requerimientos de negocio. Con un marco robusto en sitio, los clientes estn mejor habilitados para determinar el nivel de riesgo que pueden o quieren aceptar, a medida que buscan construir valor para sus accionistas. Estos son algunos ejemplos de retos de administracin de riesgos en los cuales ayudamos a nuestros clientes:

Necesidad de tomar decisiones informadas basadas en procesos de planeacin corporativa relacionados con riesgos Necesidad de conducir pruebas de riesgos estratgicos y anlisis del nivel de riesgo asociado con estrategias y objetivos claves del negocio Necesidad de responder a cdigos o regulaciones de gestin de riesgos y requerimientos de conformidad La organizacin est sujeta a exposicin a riesgo de mercado, crediticio y operacional y requiere crear un sistema de administracin de riesgos que cubra estas exposiciones y monitoree los resultados Se enfrentan retos de riesgo regulatorio significativos o aquellos hallados por entidades regulatorias no son de mejor prctica

Sistema de Gestin del Riesgo

La Gestin del Riesgo es una de las actividades contenidas en el modelo de control COSO, y se entiende que es una de las mejores prcticas que actualmente se llevan a cabo en todo tipo de organizaciones a lo largo y ancho del mundo entero. Su finalidad es que las organizaciones gestionen los riesgos tanto de su ambiente exterior o interior, con el fin de que de una parte, mitiguen todos aquellos eventos que puedan impactar negativamente el logro de sus objetivos y/o que potencialicen aquellos eventos que puedan impactar positivamente el logro de los mismos. En la Administracin Pblica colombiana hay algunos antecedentes cercanos de la gestin del riesgo, anteriores al Modelo Estndar de Control Interno y al Sistema de Gestin de la Calidad. Con el Decreto 1537 de 2001, el Estado colombiano haba ordenado la prctica de la gestin del riesgo en las entidades pblicas colombianas. As mismo, en el marco del Sistema Obligatorio de Garanta de la Calidad que rige la prestacin de los servicios de salud, estn presentes los indicadores para la gestin del riesgo en el proceso de habilitacin y acreditacin en salud , orientadas a las Instituciones Prestadoras de Servicios de Salud y a las Entidades Promotoras de Salud, tal como ocurre con el Estndar No. 9 para habilitar servicios: ?Seguimiento a riesgos en la prestacin de servicios?. El Instituto Nacional de Cancerologa ESE declar formalmente su compromiso con la gestin del riesgo como una buena prctica de gobierno corporativo, por medio de la poltica contenida en el Cdigo de Buen Gobierno, la cual fue definida en el artculo 39 del Cdigo de Buen Gobierno, documento aprobado mediante Resolucin No. 398 de 2008. Con el fin de dar cumplimiento a lo establecido en el marco normativo legal vigente, en el Instituto Nacional de Cancerologa ESE se empez a aplicar el estndar australiano y neocelands AS/NZS 4360:2004 para la Gestin de Riesgos, el cual fue adoptado en Colombia por el ICONTEC mediante la Norma Tcnica de Calidad 5254:2004 ICONTEC, y en el cual se fundament el documento Gua de Administracin del Riesgo elaborada por el Departamento Administrativo de la Funcin Pblica DAFP.

La gestin del riesgo permite mejorar el gobierno corporativo de las organizaciones en donde se aplica, al pasar de una ?gestin riesgosa? a una gestin con un eficiente manejo del riesgo en sus operaciones. Este estndar concibe la gestin del riesgo como un proceso sistmico, sistemtico y cclico dentro de la organizacin, el cual est compuesto por cinco grandes partes, todas ellas interrelacionadas, tal como se observa en la grfica 1, todas ellas mediadas por procesos de comunicacin y consulta y monitoreo y revisin. 1. Establecer el contexto: Establece el contexto tanto interno como externo de la organizacin, en la cual finalmente ocurrir la gestin del riesgo. En esta parte del sistema se definen los criterios frente a los cuales se evaluar el riesgo y se define una estructura de anlisis. 2. Identificacin de los riesgos: Se identifica con precisin dnde, cundo, porqu, y cmo podran los eventos que afecten a la organizacin prevenir, degradar, retardar o potenciar el logro de los objetivos organizacionales. 3. Anlisis de los riesgos: Se identifican y evalan los controles existentes que mitigan los riesgos identificados. As mismo se determina la severidad de los riesgos, definidos a partir de la consecuencia y probabilidad de ocurrencia de cada riesgo.

Grfica 1 Proceso de Gestin del Riesgo segn la norma AN/NZS 4360:2004

4. Evaluacin del riesgo: Se comparan los niveles estimados de riesgo frente a los criterios preestablecidos de riesgo, haciendo un anlisis de beneficios potenciales contra resultados adversos.

5. Tratamiento del riesgo: Se desarrollan e implementan estrategias especficas y eficaces en cuestin de costos y planes de accin para incrementar los beneficios potenciales y reducir las prdidas potenciales. Aqu se incluye la Poltica de Gestin del Riesgo. 6. Comunicacin y Consulta: Se identifican las partes involucradas, internas y externas, y se procede a comunicar y consultarles, a lo largo de cada etapa del proceso. 7. Monitoreo y Revisin: Se monitorean los riesgos y las medidas tomadas para mitigar el riesgo.
1. Gestin del Riesgo: ?Cultura, procesos y estructuras dirigidas a obtener oportunidades potenciales mientras se administran los efectos adversos?. AS/NZS 4360:2004. La Gestin del Riesgo es sinnimo de Administracin del Riesgo. Tambin se llama Administracin o tratamiento de riesgos.

2. Para mayor desarrollo conceptual sobre el tema de riesgo asistencial, vase el documento: Ministerio de la Proteccin Social de la Repblica de Colombia, ?Lineamientos para la implementacin de la Poltica de Seguridad del Paciente?, Bogot D.C., noviembre de 2008. 3. Declaracin del Riesgo. Artculo 39. ?El Instituto Nacional de Cancerologa ESE declara que en el desarrollo de sus actividades ocurren riesgos, por lo cual se compromete a adoptar mecanismos y acciones necesarias para la gestin integral de los mismos, que permitan su adecuado manejo y las acciones necesarias que prevengan o minimicen su impacto. Para ello adoptar mecanismos que permitan identificar, valorar, revelar y administrar los riesgos propios de su actividad, acogiendo una autorregulacin prudencial. La Entidad determinar su nivel de exposicin concreta a los impactos de cada uno de los riesgos para priorizar su tratamiento, y estructurar criterios orientadores en la toma de decisiones respecto de los efectos de los mismos?. 4. Gobierno Corporativo: ?Generalmente hace referencia a los procesos mediante los cuales las organizaciones son dirigidas, controladas y asumen responsabilidades?. Manual Directrices de Gestin del Riesgo, ICONTEC, 2008.

QUE ES LA ADMINISTRACION DE RIESGOS?

En esta entrega nos pareci oportuno ilustrar sobre este tema que a menudo es soslayado o menospreciado en muchas de las organizaciones de nuestra regin.

La Administracin del Riesgo Empresarial (Enterprise Risk Management-ERM) es el proceso por el cual la direccin de una empresa u organizacin administra el amplio espectro de los riesgos a los cuales est expuesto (tanto sean de mercado como operacionales) de acuerdo al nivel de riesgo al cual estn dispuestos a exponerse segn sus objetivos estratgicos. As, ya en el terreno del impacto de la TI sobre este tema, la evaluacin de riesgos y vulnerabilidades ayuda a identificar y evaluar los riesgos operativos, poniendo nfasis en los activos de IT fsicos y lgicos, pudiendo incluir una revisin de las instalaciones y la seguridad de los elementos lgicos y fsicos. Uno de los desafos claves es recolectar y analizar numerosos datos (de acuerdo al rango de riesgos definido), as Riesgos, Conformidad a Normas y Funciones de TI enfrentan la paradoja de tener que disponer de mayor volumen de datos de los sistemas corporativos para contar con ms informacin dinmica y compleja, pero al mismo tiempo seguir manteniendo los costos de implementacin y los riesgos bajo control. De esta manera, se obtiene una mayor comprensin de las exposiciones que suponen los mayores riesgos en la interrupcin de su empresa, de modo que se puedan implementar las tcnicas de mitigacin apropiadas. Desafos A medida que dependen cada vez ms del continuo funcionamiento de los sistemas de informacin, las empresas actuales enfrentan una creciente exposicin a los riesgos informticos. En el mundo actual, hasta la mxima direccin est preocupada por los riesgos informticos, ya que la tecnologa informtica claramente sostiene cada proceso comercial de la empresa. Los riesgos informticos tpicos incluyen prdida de productividad o negocios debido al tiempo de inactividad, responsabilidad por brechas de seguridad que exponen la

informacin de los clientes, multas por violaciones de normas y la imposibilidad de defenderse de demandas debido a la conservacin inadecuada de registros. No todos los riesgos provienen de sucesos inevitables, como una inundacin o un terremoto. Muchos de los riesgos informticos son provocados por contratiempos operacionales, procesos inadecuados, mayores requisitos normativos u otros factores ms controlables. Soluciones Para evitar ello, es preciso combinar un conjunto de las mejores prcticas que se desprenden de numerosas organizaciones, grandes y complejas, para hacer frente a los riesgos informticos de sus entornos a los efectos de poner en marcha una administracin de riesgos informticos efectiva mediante priorizar y planificar opciones de mitigacin, calcular los impactos comerciales de los riesgos informticos, disear soluciones, alinear los riesgos informticos y los costos con la empresa para optimizar las inversiones y construir una capacidad unificada para administrar los riesgos informticos de manera continua. Beneficios Permite identificar los activos empresariales que estn en mximo riesgo, valuar las vulnerabilidades y los impactos potenciales, y proponer resguardos y tcticas de mitigacin, lo que permitir: Priorizar y establecer niveles de riesgo para sus procesos y recursos empresariales crticos. Pasar de un enfoque de mitigar el riesgo a prevenir proactivamente las fallas. Tomar decisiones ms informadas sobre cmo proteger su empresa. Evaluar las tcticas y los costos de la administracin de riesgos relacionados con los diferentes niveles de proteccin. Prepararse adecuadamente para las auditoras de las agencias de control Problemas que se atacan Identificar eventos o amenazas que podran tener impacto en la continuidad de las operaciones empresariales, en la imagen o en la reputacin de la marca, y la probabilidad de que ocurran. Realizar un anlisis detallado de amenazas o establecer planes de avance para mitigar riesgos. Determinar cmo las nuevas iniciativas empresariales o la nueva tecnologa tendrn impacto en la empresa. Establecer planes de avance para mitigar riesgos. Identificar las exposiciones con respecto al cumplimiento reglamentario. Un importante Estudio identifica los mitos comunes que contribuyen a las fallas de TI Symantec dio a conocer en enero su Informe de Administracin de Riesgos de TI, Volumen II, el cual revela que la administracin de riesgos de TI est cobrando ms importancia, pero tambin menciona que siguen existiendo algunos mitos sobre el tema. An cuando los resultados muestran que los profesionales estn adoptando un enfoque ms equilibrado que incluye riesgos de disponibilidad, seguridad, cumplimiento y desempeo, los malos entendidos de la administracin de riesgos de TI pueden producir fallas potenciales y, como consecuencia, impactar la continuidad del negocio. El informe tambin indica que los problemas en los procesos generan ms de la mitad de los incidentes de TI, mientras que el

departamento de TI generalmente da poca importancia a la frecuencia con que se presentan los incidentes de prdida de datos. El informe est basado en el anlisis de ms de 400 encuestas realizadas a profesionales de todo el mundo, en el que se identifican importantes aspectos, tendencias y anlisis al tiempo que disipa los cuatro mitos asociados a los riesgos de TI, entre los cuales estn: 1.- La administracin de riesgos de TI est enfocada slo en la seguridad Contrario a las percepciones tradicionales que generalmente asocian los riesgos de TI con los riesgos de seguridad, los resultados de la encuesta muestran el surgimiento de una visin ms amplia entre los profesionales de TI. Un 78% de los participantes calificaron los riesgos de disponibilidad como crticos o graves, mientras que los riesgos de seguridad, de desempeo y de cumplimientos obtuvieron una calificacin de 70, 68 y 63% respectivamente. 2.- La administracin de riesgos de TI es un proyecto El mito de que el control de riesgos de TI se puede realizar en un slo proyecto o incluso como una serie de ejercicios puntuales por periodos o aos de presupuestos, desconoce la naturaleza dinmica del entorno de riesgos internos y externos de TI. La administracin de riesgos debe verse como un proceso continuo para mantener la estabilidad ante el cambiante panorama que los negocios enfrentan actualmente. 3.- La tecnologa por s sola puede manejar los riesgos de TI Los incidentes de seguridad, cumplimiento, disponibilidad y desempeo de TI atacan a la organizacin moderna a una velocidad alarmante. El reporte muestra que las organizaciones ms efectivas tienen un enfoque ms integral. Sin embargo, muchas organizaciones parecen estar fallando en la implementacin de controles fundamentales de riesgos. 4.- La administracin de riesgos de TI se ha convertido en una disciplina formal El reporte deja claro que la administracin de riesgos de TI es una disciplina en evolucin, pues se basa en la experiencia acumulada de los individuos y las organizaciones que se van adaptando a los cambios en el ambiente de negocios y tecnologa. El informe revel una mayor comprensin entre los profesionales sobre cmo la administracin de riesgos de TI incorpora elementos de manejo de riesgos en la operacin, control de calidad y gobernabilidad de las mismas.