LA GESTIÓN DE RIESGOS.

Por: Lic. Israel Barrantes Sánchez.

Auditor General.
Municipalidad de San José.
Experto Nacional en Riesgos

Sin duda alguna a partir de la promulgación de la Ley General de Control Interno, la

gestión de riesgos se promovió como un medio para convivir con situaciones que de una
forma u otra pudieran afectar el logro de los objetivos de nuestras organizaciones.

“Gerenciar” el riesgo implica evaluar las posibilidades de ocurrencia e impacto de hechos

futuros, las modernas metodologías de gestión de riesgos promueven una cultura de
controles internos para una adecuada gestión de los procesos que soportan las
operaciones de la organización.

La gestión de riesgos es sumamente extensa e involucra a todos los actores de las

instituciones incluyendo a las auditorías internas, en este orden de ideas es bien sabido
por todos que la ley y las directrices emitidas por el Órgano Contralor establecen las
responsabilidades de cada uno conforme a sus funciones.

En esta oportunidad, me voy a referir a uno los componentes de mayor importancia que
soportan esa gestión, las matrices de riesgos de los procesos, teniendo claramente
entendido que no se trata de la matriz de riesgos de la auditoria, sino de aquella en que la
auditoria más bien es usuaria como fuente de trabajo para sus estudios.

En primera instancia es importante señalar que debemos manejar los conceptos

elementales sobre valoración y gestión de riesgos previo a seleccionar o establecer el
modelo que más se adecue a nuestra organización, antes de ingresar los datos y
comenzar a trabajar sobre los principales riesgos identificados. Es así como se
recomienda al lector que se familiarice con conceptos tales como: apetito de riesgo,
probabilidad e impacto, administración del riesgo, nivel y tipos de riesgos entre otros.

El proceso de gestión de riesgos normalmente conlleva los siguientes pasos: 1- Identificar

los riesgos, 2-Analizar los Riesgos, 3-Evaluar los Riesgos, 4- Tratar los Riesgos.

1- Identificación de Riesgos:

Los riesgos que nos interesa identificar serian aquellos que de materializarse podrían
afectar la consecución de los objetivos organizacionales, para esta identificación es
necesario la determinación previa del nivel de los procesos con que vamos a trabajar,
resulta útil acá, establecer la jerarquía de estos procesos, subprocesos , actividades,
operaciones, con el fin de no perder el norte con un análisis muy exhaustivo que de pronto
no nos permita la evaluación de los principales riesgos. Necesitamos entonces conocer
los objetivos de cada proceso.
 2- Analizando los Riesgos:

Este análisis se realiza en dos áreas a saber, la clasificación (financiero, operativo, de

crédito, imagen, legal) y la calificación valorando su potencial impacto y la probabilidad de
ocurrencia, y puede adoptar un valor cuantitativo o un valor cualitativo.

3- Evaluar los Riesgos:

Para realizar una adecuada evaluación de riesgos habiendo establecido ya su

clasificación y calificación, se hace necesario calcular la exposición real del riesgo
identificado, esto se logra al restar al riesgo los controles existentes para mitigarlo, el
resultado obtenido seria entonces un valor residual o la verdadera exposición al riesgo.
Finalmente se debe realizar la comparación de este valor con el valor definido como el
apetito de riesgo; si este valor es mayor al apetito aceptado deberá tratarse con el fin de
que no afecte el logro de los objetivos. Asimismo y conscientes de que cada proceso o
subproceso puede afectar en mayor o menor medida el logro de los objetivos es
importante también comparar los riesgos de los diferentes procesos, puede ser que un
riesgo elevado de un proceso o subproceso tenga mayor incidencia que otro elevado de
otro proceso en la consecución de los objetivos trazados, a esto lo podemos denominar
áreas críticas y las debemos definir considerando los factores internos y externos que a
juicio del evaluador sean necesario considerar.

4-Tratar los riesgos

Existen varias opciones y metodologías para el tratamiento de los riesgos, estas

normalmente coinciden en las siguientes cuatro etapas:

 Reducción del riesgo

 Aceptación del riesgo
 Transferencia del riesgo
 Evitar el riesgo

La Reducción del riesgo consiste en la implementación de los procesos y controles

necesarios para disminuir los riesgos a los niveles de aceptación determinación por la
administración.

La Aceptación del Riesgo se da cuando en las organizaciones se presentan

circunstancias donde no se pueden implementar o establecer controles ni tampoco es
factible diseñarlos a un costo razonable, en donde el costo del control es mayor que las
consecuencias del riesgo. Se determina entonces que una decisión razonable es
inclinarse por la aceptación del riesgo.
La transferencia del riesgo consiste en una opción que tienen las organizaciones cuando
es muy difícil tanto técnica como económicamente llevar el riesgo a un nivel aceptable,
resultando viable transferir el riesgo a una aseguradora.

Evitar el riesgo consiste en cualquier acción, donde las actividades del negocio o las
maneras de conducir la gestión se modifican para evitar así la ocurrencia del riesgo,
siendo algunas opciones, dejar de realizar ciertas actividades desplazar activos de un
área a otra, o no procesar cierto tipo de información sino se consigue la protección
adecuada.

En conclusión, la matriz de riesgos de los procesos no es más que una descripción de sus
actividades, de sus riesgos y de sus controles debidamente organizados que permite el
gerenciamiento de estos riesgos.