Administrar el Riesgo – riesgo crediticio, riesgo financiero, r iesgo geopolítico, Un mundo lleno de riesgos. Los riesgos de negocios vienen disfrazados en una cantidad de maneras – riesgo riesgo operacional y riesgo reputacional para nombrar algunos. Por supuesto, su negocio se puede ajustar a estos riesgos a través de una variedad de mecanismos y estrategias convencionales, pero no hay nada certero. De hecho, algunas estrategias de gestión de riesgos generan nuevos ri esgos no intencionales La administración del riesgo ha cobrado relevancia relevancia en los años recientes. Ejecutivos y juntas directas se han vuelto mas preocupadas con asegurar que los equipos gerenciales que les reportan tengan procesos procesos de gestión de riesgos hechos para su propósito. Cero fallas es imposible, si no; demasiado costoso de lograr. Sin embargo, la expectativa expectativa es que los perfiles de riesgo sean conocidos y los procesos para mitigar estos riesgos estén en sitio para dar una comodidad razonable razonable sobre los posibles r esultados e impactos. La administración de riesgos es ahora vista como un componente integral de como las organizaciones son gobernadas y de como cumplen con leyes y reglas externas de los sectores y territorios donde hacen negocios. Embeber la administración del riesgo en las operaciones comunes del negocio, es de lejos el elemento mas complejo de lograr la gestión empresarial de riesgos - enterprise-wide risk management – management – pero pero hacerlo de manera correcta brinda los beneficios esperados. Nuestro equipo de administración de riesgos puede evaluar riesgos y controles en toda una organización, organización, incluyendo las operaciones, la gerencia, la gobernabilidad, gobernabilidad, tecnología y el estado del negocio comparado con sus objetivos y estrategias. Trabajamos con nuestros clientes para crear un marco de referencia de gestión empresarial de riesgos que cumpla con los requerimientos requerimientos de negocio. Con un marco robusto en sitio, los clientes están mejor habilitados para determinar el nivel de riesgo que pueden o quieren aceptar, a medida que buscan construir valor para sus accionistas. Estos son algunos ejemplos de retos de administración de riesgos en los cuales ayudamos a nuestros clientes:
Necesidad de tomar decisiones informadas basadas en procesos de planeación corporativa relacionados con riesgos Necesidad de conducir pruebas de riesgos estratégicos y análisis del nivel de riesgo asociado con estrategias y objetivos claves del negocio Necesidad de responder a códigos o regulaciones de gestión de riesgos y requerimientos de conformidad La organización está sujeta a exposición a riesgo de mercado, crediticio y operacional y requiere crear un sistema de administración de riesgos que cubra estas exposiciones y monitoree los resultados Se enfrentan retos de riesgo regulatorio significativos o aquellos hallados por entidades regulatorias no son de mejor práctica
Sistema de Gestión del Riesgo
La Gestión del Riesgo es una de las actividades contenidas en el modelo de control COSO, y se entiende que es una de las mejores prácticas que actualmente se llevan a cabo en todo tipo de organizaciones a lo largo y ancho del mundo entero. Su finalidad es que las organizaciones gestionen los riesgos tanto de su ambiente exterior o interior, con el fin de que de una parte, mitiguen todos aquellos eventos que puedan impactar negativamente el logro de sus objetivos y/o que potencialicen aquellos eventos que puedan impactar positivamente el logro de los mismos. En la Administración Pública colombiana hay algunos antecedentes cercanos de la gestión del riesgo, anteriores al Modelo Estándar de Control Interno y al Sistema de Gestión de la Calidad. Con el Decreto 1537 de 2001, el Estado colombiano había ordenado la práctica de la gestión del riesgo en las entidades públicas colombianas. Así mismo, en el marco del Sistema Obligatorio de Garantía de la Calidad que rige la prestación de los servicios de salud, están presentes los indicadores para la gestión del riesgo en el proceso de habilitación y acreditación en salud , orientadas a las Instituciones Prestadoras de Servicios de Salud y a las Entidades Promotoras de Salud, tal como ocurre con el Estándar No. 9 para habilitar servicios: ?Seguimiento a riesgos en la prestación de servicios?. El Instituto Nacional de Cancerología ESE declaró formalmente su compromiso con la gestión del riesgo como una buena práctica de gobierno corporativo, por medio de la política contenida en el Código de Buen Gobierno, la cual fue definida en el artículo 39 del Código de Buen Gobierno, documento aprobado mediante Resolución No. 398 de 2008. Con el fin de dar cumplimiento a lo establecido en el marco normativo legal vigente, en el Instituto Nacional de Cancerología ESE se empezó a aplicar el estándar australiano y neocelandés AS/NZS 4360:2004 para la Gestión de Riesgos, el cual fue adoptado en Colombia por el ICONTEC mediante la Norma Técnica de Calidad 5254:2004 ICONTEC, y en el cual se fundamentó el documento Guía de Administración del Riesgo elaborada por el Departamento Administrativo de la Función Pública DAFP.
La gestión del riesgo permite mejorar el gobierno corporativo de las organizaciones en donde se aplica, al pasar de una ?gestión riesgosa? a una gestión con un eficiente manejo del riesgo en sus operaciones. Este estándar concibe la gestión del riesgo como un proceso sistémico, sistemático y cíclico dentro de la organización, el cual está compuesto por cinco grandes partes, todas ellas interrelacionadas, tal como se observa en la gráfica 1, todas ellas mediadas por procesos de comunicación y consulta y monitoreo y revisión. 1. Establecer el contexto: Establece el contexto tanto interno como externo de la organización, en la cual finalmente ocurrirá la gestión del riesgo. En esta parte del sistema se definen los criterios frente a los cuales se evaluará el riesgo y se define una estructura de análisis. 2. Identificación de los riesgos: Se identifica con precisión dónde, cuándo, porqué, y cómo podrían los eventos que afecten a la organización prevenir, degradar, retardar o potenciar el logro de los objetivos organizacionales.
Gráfica 1 Proceso de Gestión del Riesgo según la norma AN/NZS 4360:2004
3. Análisis de los riesgos: Se identifican y evalúan los controles existentes que mitigan los riesgos identificados. Así mismo se determina la severidad de los riesgos, definidos a partir de la consecuencia y probabilidad de ocurrencia de cada riesgo.
4. Evaluación del riesgo: Se comparan los niveles estimados de riesgo frente a los criterios preestablecidos de riesgo, haciendo un análisis de beneficios potenciales contra resultados adversos.
5. Tratamiento del riesgo: Se desarrollan e implementan estrategias específicas y eficaces en cuestión de costos y planes de acción para incrementar los beneficios potenciales y reducir las pérdidas potenciales. Aquí se incluye la Política de Gestión del Riesgo. 6. Comunicación y Consulta: Se identifican las partes involucradas, internas y externas, y se procede a comunicar y consultarles, a lo largo de cada etapa del proceso. 7. Monitoreo y Revisión: Se monitorean los riesgos y las medidas tomadas para mitigar el riesgo. 1. Gestión del Riesgo: ?Cultura, procesos y estructuras dirigidas a obtener oportunidades potenciales mientras se administran los efectos adversos?. AS/NZS 4360:2004. La Gestión del Riesgo es sinónimo de Administración del Riesgo. También se llama Administración o tratamiento de riesgos.
2. Para mayor desarrollo conceptual sobre el tema de riesgo asistencial, véase el documento: Ministerio de la Protección Social de la República de Colombia, ?Lineamientos para la implementación de la Política de Seguridad del Paciente?, Bogotá D.C., noviembre de 2008. 3. Declaración del Riesgo. Artículo 39. ?El Instituto Nacional de Cancerología ESE declara que en el desarrollo de sus actividades ocurren riesgos, por lo cual se compromete a adoptar mecanismos y acciones necesarias para la gestión integral de los mismos, que permitan su adecuado manejo y las acciones necesarias que prevengan o minimicen su impacto. Para ello adoptará mecanismos que permitan identificar, valorar, revelar y administrar los riesgos propios de su actividad, acogiendo una autorregulación prudencial. La Entidad determinará su nivel de exposición concreta a los impactos de cada uno de los riesgos para priorizar su tratamiento, y estructurará criterios orientadores en la toma de decisiones respecto de los efectos de los mismos?. 4. Gobierno Corporativo: ?Generalmente hace referencia a los procesos mediante los cuales las organizaciones son dirigidas, controladas y asumen responsabilidades?. Manual Directrices de Gestión del Riesgo, ICONTEC, 2008.
¿QUE ES LA ADMINISTRACION DE RIESGOS? En esta entrega nos pareció oportuno ilustrar sobre este tema que a menudo es soslayado o menospreciado en muchas de las organizaciones de nuestra región.
La Administración del Riesgo Empresarial (Enterprise Risk Management-ERM) es el proceso por el cual la dirección de una empresa u organización administra el amplio espectro de los riesgos a lo s cuales está expuesto (tanto sean de mercado como operacionales) de acuerdo al nivel de riesgo al cual están dispuestos a exponerse según sus objetivos estratégicos. Así, ya en el terreno del impacto de la TI sobre este tema, la evaluación de riesgos y vulnerabilidades ayuda a identificar y evaluar los riesgos operativos, poniendo énfasis en los activos de IT físicos y lógicos, pudiendo incluir una revisión de las instalaciones y la seguridad de los elementos lógicos y físicos. Uno de los desafíos claves es recolectar y analizar numerosos datos (de acuerdo al rango de riesgos definido), así Riesgos, Conformidad a Normas y Funciones de TI enfrentan la paradoja de tener que disponer de mayor volumen de datos de los sistemas corporativos para contar con más información dinámica y compleja, pero al mismo tiempo seguir manteniendo los costos de implementación y los riesgos bajo control. De esta manera, se obtiene una mayor comprensión de las exposiciones que suponen los mayores riesgos en la interrupción de su empresa, de modo que se puedan implementar las técnicas de mitigación apropiadas. Desafíos A medida que dependen cada vez más del continuo funcionamiento de los sistemas de información, las empresas actuales enfrentan una creciente exposición a los riesgos informáticos. En el mundo actual, hasta la máxima dirección está preocupada por los riesgos informáticos, ya que la tecnología informática claramente sostiene cada proceso comercial de la empresa. Los riesgos informáticos típicos incluyen pérdida de productividad o negocios debido al tiempo de inactividad, responsabilidad por brechas de seguridad que exponen la
información de los clientes, multas por violaciones de normas y la imposibilidad de defenderse de demandas debido a la conservación inadecuada de registros. No todos los riesgos provienen de sucesos inevitables, como una inundación o un terremoto. Muchos de los riesgos informáticos son provocados por contratiempos operacionales, procesos inadecuados, mayores requisitos normativos u otros factores más controlables. Soluciones Para evitar ello, es preciso combinar un conjunto de las mejores prácticas que se desprenden de numerosas organizaciones, grandes y complejas, para hacer frente a los riesgos informáticos de sus entornos a los efectos de poner en marcha una administración de riesgos informáticos efectiva mediante priorizar y planificar opciones de mitigación, calcular los impactos comerciales de los riesgos informáticos, diseñar soluciones, alinear los riesgos informáticos y los costos con la empresa para optimizar las inversiones y construir una capacidad unificada para administrar los riesgos informáticos de manera continua. Beneficios Permite identificar los activos empresariales que están en máximo riesgo, valuar las vulnerabilidades y los impactos potenciales, y proponer resguardos y tácticas de mitigación, lo que permitirá: • Priorizar y establecer niveles de riesgo para sus procesos y recursos empresariales críticos. • Pasar de un enfoque de mitigar el riesgo a prevenir proactivamente las fallas. • Tomar decisiones más informadas sobre cómo proteger su empresa. • Evaluar las tácticas y los costos de la administración de riesgos relacionados con los diferentes niveles de protecció n. • Prepararse adecuadamente para las auditorías de las agencias de control Problemas que se atacan • Identificar eventos o amenazas que podrían tener impacto en la continuidad de las operaciones empresariales, en la imagen o en la reputación de la marca, y la probabilidad de que ocurran. • Realizar un análisis detallado de amenazas o establecer planes de avance para mitigar riesgos. • Determinar cómo las nuevas iniciativas empresariales o la nueva tecnología tendrán impacto en la empresa. • Establecer planes de avance para mitigar ri esgos. • Identificar las exposiciones con respecto al cumplimiento reglamentario. Un importante Estudio identifica los mitos comunes que contribuyen a las fallas de TI Symantec dio a conocer en enero su Informe de Administración de Riesgos de TI, Volumen II, el cual revela que la administración de riesgos de TI está cobrando más importancia, pero también menciona que siguen existiendo algunos mitos sobre el tema. Aún cuando los resultados muestran que los profesionales están adoptando un enfoque más equilibrado que incluye riesgos de disponibilidad, seguridad, cumplimiento y desempeño, los malos entendidos de la administración de riesgos de TI pueden produc ir fallas potenciales y, como consecuencia, impactar la continuidad del negocio. El informe también indica que los problemas en los procesos generan más de la mitad de los incidentes de TI , mientras que el
departamento de TI generalmente da poca importancia a la frecuencia con que se presentan los incidentes de pérdida de datos. El informe está basado en el análisis de más de 400 encuestas realizadas a profesionales de todo el mundo, en el que se identifican importantes aspectos, tendencias y análisis al tiempo que disipa los cuatro mitos asociados a los riesgos de TI, entre los cuales están: 1.- La administración de riesgos de TI está enfocada sólo en la seguridad Contrario a las percepciones tradicionales que generalmente asocian los riesgos de TI con los riesgos de seguridad, los resultados de la encuesta muestran el surgimiento de una visión más amplia entre los profesionales de TI. Un 78% de los participantes calificaron los riesgos de disponibilidad como “críticos” o “graves”, mientras que los riesgos de seguridad, de desempeńo y de cumplimientos obtuvieron una ca lificación de 70, 68 y 63% respectivamente. 2.- La administración de riesgos de TI es un proyecto El mito de que el control de riesgos de T I se puede realizar en un sólo proyecto o incluso como una serie de ejercicios puntuales por periodos o ańos de pres upuestos, desconoce la naturaleza dinámica del entorno de riesgos internos y externos de TI. La administración de riesgos debe verse como un proceso continuo para mantener la estabilidad ante el cambiante panorama que los n egocios enfrentan actualmente. 3.- La tecnología por sí sola puede manejar los riesgos de TI Los incidentes de seguridad, cumplimiento, disponibilidad y desempeño de TI atacan a la organización moderna a una velocidad alarmante. El reporte muestra que las organizaciones más efectivas tienen un enfoque más integral. Sin embargo, muchas organizaciones parecen estar fallando en la implementación de controles fundamentales de riesgos. 4.- La administración de riesgos de TI se ha convertido en una disciplina formal El reporte deja claro que la administración de riesgos de TI es una disciplina en evolución, pues se basa en la experiencia acumulada de los individuos y las organizaciones que se van adaptando a los cambios en el ambiente de negocios y tecnología. El informe reveló una mayor comprensión entre los profesionales sobre cómo la administración de riesgos de TI incorpora elementos de manejo de riesgos en la operación, control de calidad y gobernabilidad de las mismas.