27/03/13

Mapas de riesgos multidimensionales?

Mapas de riesgos multidimensionales?

Recientemente he tenido la oportunidad de asistir a la 17 Jornadas de Auditora Interna promovidas por el Instituto de Auditores Internos de Espaa, celebradas los pasados das 21 y 22 de Noviembre en Madrid, en las que tuve ocasin de escuchar diversas ponencias relacionadas con el ejercicio de nuestra profesin, todas ellas muy interesantes y con enfoques fundamentalmente orientados a la mejora de la eficiencia de la actividad. De ellas, quizs la que ms me impact fue la desarrollada por PWC, titulada COSO 3. Principales novedades en el Marco de Control Interno actualizado. A travs de la cual se expusieron los cambios que se pretenden introducir en este protocolo, cuya nueva edicin se espera aparezca en el primer trimestre del prximo ao. Los cuales se identificaron con: 1) Establecer los objetivos del negocio como condicin previa a fijacin de los objetivos de Control Interno. 2) Ampliacin del objetivo de reporting, que ya no se limitar exclusivamente a los financieros. 3) El nuevo Marco actualizado introducir 17 principios a los que se asocian determinados puntos de enfoque, con los que se producirn cambios en sus 5 componentes, a saber: (i) ambiente de control, (ii) evaluacin de riesgos, (iii) actividades de control, (iv) informacin y comunicaciones y (v) monitorizacin, que se mantienen cuantitativamente como en la primera versin, aunque anecdticamente modificndose el cubo que representa el modelo COSO I, ya que el ambiente de control se encuentra ahora situado en el nivel ms alto del paraleleppedo que lo representa. Por todo ello lo primero que se puede observar, desde mi perspectiva, es que hay una evidente retroalimentacin de ERM, tambin llamado COSO II, hacia el conocido como COSO I. Lo cual no es de extraar, ya que esto estaba en el propio ADN de ambos protocolos, dado que ERM se entenda que no anulaba al COSO I, sino que lo ampliaba y perfeccionaba. Por todo ello, si ahora procede modificar COSO I, denominndolo por los ponentes de PWC que nos lo describieron, como COSO 3, sera de esperar que los cambios que en l se produzcan den pi a una nueva versin del ERM, Podramos llamarla COSO IV?. Pero veamos qu cambios se incluyen en COSO 3 que no sean consecuencia de COSO II, y que, por consiguiente, podran inducir a una prxima versin del protocolo ERM/COSO II, el que anteriormente me he permitido la licencia de aventurar su calificacin como COSO IV. De ellos los que podran ser ms significativos son los que afectan a la Evaluacin de riesgos recogidos en el principio n 7, el cual seala que, en lo sucesivo debe tenerse en consideracin, aparte de los atributos del impacto y probabilidad, los de la velocidad de expansin de las amenazas, as como su persistencia, ya que estas nuevas caractersticas de los riesgos permitirn una mejor evaluacin de los mismos, dado que, por ejemplo, no debera ser evaluado de la misma forma el riesgo de incendio de un almacn a travs exclusivamente de sus atributos de impacto y probabilidad, dado que si estamos frente a la posibilidad de que se produzca el incendio en un almacn de productos terminados de ndole agrcola, o si este se produce en un almacn de productos inflamables, dado que la capacidad de reaccin es diferente en ambos casos, aunque coincidan las consecuencias estimadas y la probabilidad de ocurrencia. Por ello, si lo que se modifica en este sentido en COSO I, debiera trasladase a ERM, es de esperar que en breve este protocolo tenga la necesidad de actualizarse recogiendo los cambios conceptuales que se hayan incorporado en el Marco sobre el Control Interno. En este sentido es de esperar que los mapas de riesgo no deberan tener solo dos dimensiones (impacto y probabilidad), sino que habra que pasar al menos a tres: Impacto, probabilidad y velocidad de ocurrencia. Con lo que se habr introducido una enorme complejidad en la elaboracin e interpretacin de los mapas de riesgos, que pasaran a ser tridimensiones, lo cual no resultar sencillo de representar, ni de interpretar.

www.auditool.org/index.php?view=article&catid=39%3Atrip-deals&id=1494%3Aimapas-de-riesgos-multidimensionales&tmpl=component&print=1&layout=defaul

1/3

27/03/13

Mapas de riesgos multidimensionales?

Hasta donde me ha sido posible conocer, esta previsible interrelacin y retroalimentacin bidireccional entre los protocolos COSOs relativos a control interno (COSO I) y el correspondiente a la Gestin de Riesgos Empresariales (ERM-COSO II), ya se ha visto materializada en un nuevo documento del Committee of Sponsoring Organizations of the Treadway Commission, de fecha Octubre 2012, denominado Risk assessment in practice, en el que, con la participacin ahora de Deloitte & Touche, se concluye que en el desarrollo de los criterios de evaluacin de los riesgos deben considerarse tambin otras caractersticas como por ejemplo: la vulnerabilidad ante las amenazas y la velocidad de inicio de las mismas. Por todo ello, dicho estudio concluye entre otras interesantes recomendaciones, como nos temamos, que la evaluacin de los riesgos no es solo dependiente del impacto y la probabilidad, sino que intervienen otras cuestiones, como, por ejemplo: la vulnerabilidad y la velocidad de aparicin, as como todas otras variables que determinen el rango de los riesgos Segn el citado documento se entiende por vulnerabilidad la susceptibilidad de la entidad ante un evento de riesgo en trminos relacionados con la preparacin de la misma ante la amenaza, su agilidad y adaptabilidad. Cuanto ms vulnerable sea la entidad al riesgo, mayor ser el impacto si el evento ocurre. Si las respuestas al riesgo, incluyendo los controles no estn en su lugar y no resultan operativos segn lo diseado, entonces la probabilidad de ocurrencia de los eventos estar en aumento. La evaluacin de la vulnerabilidad permite a las entidades medir qu tan bien se estn controlando los riesgos. Aspecto este ltimo que me gustara subrayar ya que entiendo es bsico para la conclusin final de mis reflexiones. Incluyndose como recomendable el levantamiento del mapa de riesgos segn el esquema que seguidamente se reproduce de manera literal:

Sugiriendo que la velocidad de aparicin se represente en los mapas dando una adecuada dimensin a los puntos que reflejan los riesgos en una representacin de dos dimensiones, de forma que su mayor superficie sea entendida como una mayor correlacin con la velocidad de aparicin estimada. Sin embargo no se ofrece alternativa aplicable a la vulnerabilidad estimada, que se nos ocurre se podra asociar a la forma asignada al smbolo que represente al riesgo (cuadrada, rectangular, elipsoidal, hexagonal, etc) segn el convenio previamente establecido, y as sucesivamente de hacer participar en la evaluacin de los riesgos otras caractersticas. Admitiendo la incidencia que estas nuevas variables tienen en una adecuada gestin de los riesgos, modestamente opinamos que estas no deberan ser contempladas en la etapa de Evaluacin de los riesgos, puesto que, si volvemos la vista a atrs, y recordamos los cambios en los elementos que componen COSO I y COSO II, hemos de observar que en COSO II la Evaluacin de riesgos se complementa incluyendo el correspondiente aIdentificacin de eventos y Respuestas al riesgo, siendo en este ltimo elemento (Respuesta a los riesgos) en dnde debera tenerse en consideracin las nuevas variables citadas (Vulnerabilidad y velocidad de aparicin), ya que sern las que validen como apropiadas las medidas de control que se habiliten. Por lo tanto, estimamos como un gran avance que la gestin/administracin de los riesgos contemplen las otras
www.auditool.org/index.php?view=article&catid=39%3Atrip-deals&id=1494%3Aimapas-de-riesgos-multidimensionales&tmpl=component&print=1&layout=defaul 2/3

27/03/13

Mapas de riesgos multidimensionales?

caractersticas que los definen, de forma que estas puedan ser tenidas en consideracin en la determinacin de los controles que se consideren pertinentes u oportunos en base a las caractersticas de todo tipo que definirn los riesgos, pero sin que las mismas se hagan intervenir de forma directa en la confeccin o priorizacin de los riesgos, puesto que, como no recuerdo quin lo dijo: lo mejor enemigo de lo bueno, y las mejoras que podramos obtener con este cambio de metodologa en la forma de levantar los mapas de riesgos, vendra amortiguada por la dificultad de su confeccin y su posterior interpretacin. Resumiendo, un s rotundo a que en la determinacin de los controles a implementar se consideren las distintas variables que permitan calificar de forma adecuada a las amenazas que se prevea puedan afectar a los objetivos empresariales, pero que ello no modifique la forma de valorarlas, que sugerimos seguir hacindolo en base a su impacto y probabilidad, aunque se puedan posteriormente tipificar adecuadamente con las dems caractersticas que los definen. Esta posicin no es nueva, ya que es evidente que cuando actualmente nos decantamos por un tipo de control, previamente habremos considerado, por ejemplo, cual es el medio en el que tengamos que desenvolvernos, pues no ser lo mismo atender a un riesgo en un medio terrestre que otro martimo. Siendo en ambos casos diferentes las medidas de control que en cada caso adoptemos.

Por: Jess Aisa Dez

Artculo Publicado en el Blog de Nahun Frett - http://nahunfrett.blogspot.com/

NAHUN FRETT:

Es un reconocido conferencista especializado en temas sobre auditora interna, gestin de riesgo, gobierno corporativo, cambio organizacional, liderazgo y auto-evaluacin de control. Motivador nato de equipos multidisciplinarios de auditora interna, ampliamente solicitado para dictar conferencias y proveer capacitacin en cursos, talleres y seminarios.

Add a comment...

Comment using... Sonia Flores Dieguez Johnson Controls Pregunta : No me queda claro la diferencia entre La velocidad de aparicion y la probabilidad de ocurrencia? no es lo mismo. Reply Like December 18, 2012 at 2:38am
F acebook social plugin

www.auditool.org/index.php?view=article&catid=39%3Atrip-deals&id=1494%3Aimapas-de-riesgos-multidimensionales&tmpl=component&print=1&layout=defaul

3/3