Establecer si las evaluaciones de riesgos son adecuadas y suficientes es una de las responsabilidades del auditor de riesgos. Realizar evaluaciones de riesgos efectivas resulta esencial para la supervivencia y el crecimiento de la organización.
No obstante la importancia de la tarea, son muchas las organizaciones que se equivocan al emprenderla. Pero esto, que sucede con mayor frecuencia de lo que pensamos, no es tan grave si tenemos un auditor de riesgos que encienda la alarma a tiempo y advierta sobre la insuficiencia de las evaluaciones de riesgos o la práctica inadecuada de ellas.
Pero, ¿cómo puede el auditor de riesgos determinar si las evaluaciones de riesgos son adecuadas y suficientes?
Auditor de riesgos – ¿Por qué puede ser inadecuada e insuficiente una evaluación de riesgos?
La expresión “adecuada y suficiente” no está contenida en ninguna legislación ni en ningún estándar internacional. Pero sí que hace parte del argot utilizado en el área de gestión de riesgos. Y los profesionales en esta especialidad saben qué alcance tiene y cuál es su importancia, entre ellos por supuesto, el auditor de riesgos.
De las razones por las que son tan frecuentes las evaluaciones de riesgos inadecuadas e insuficientes, podemos deducir algunas señales que ayudan a identificarlas. Algunas de esta son:
Falta de competencia y formación de quien realiza la evaluación
La competencia, el conocimiento, la experiencia y la formación del profesional son elementos necesarios para la correcta realización de evaluaciones de riesgos. Alguien que no posea el conocimiento, puede no identificar todas las amenazas relevantes. La persona que realiza una evaluación de riesgos, o califica la calidad de la misma, como el auditor de riesgos, debe ser competente para hacerlo.
Cuanto más compleja sea la evaluación más competente debe ser el evaluador. Y la competencia está directamente relacionada con la formación.
No se siguieron todos los pasos para una evaluación eficaz
No basta enumerar riesgos con base en una lluvia de ideas. Esta, que es una buena forma de encontrar amenazas, debe ser sólo una entre varias opciones. La evaluación adecuada y suficiente requiere seguir algunos pasos, y si se olvida alguno de ellos el resultado puede no ser el esperado. Los pasos mínimos son:
- Considerar riesgos basados en la historia y la estadística.
- Pensar en quién podría verse afectado y cómo.
- Consultar riesgos a los que se exponen o han sido afectadas organizaciones similares.
- Complementar la lista de riegos con base en observación directa e inspecciones, así como entrevistas con empleados, socios, proveedores, clientes y otras partes interesadas.
- Utiliza matrices de riesgos y métodos cuya eficiencia ya ha sido probada.
- Categorizar los riesgos de acuerdo con su gravedad y su probabilidad de ocurrencia.
- Registrar los hallazgos y producir los informes de riesgos.
- Revisar las evaluaciones de riesgos de forma periódica o siempre que se presenten cambios en el entorno o el contexto de la organización.
No consultar a las personas relevantes
Aunque está incluido en uno de los puntos mencionados en el apartado anterior, este es un tema que requiere que nos detengamos un momento sobre él. Preguntar a un miembro de la Alta Dirección sobre los peligros a los que está expuesto el operario de una máquina en una ubicación remota, puede no ser la mejor idea. Cada empleado de la organización sabe a qué riesgos reales está expuesto a diario.
La evaluación de riesgos no garantiza que el riesgo residual sea admisible
Cuando se realiza una evaluación de riesgos, se recopila información mediante la observación y la investigación. Información que debe ser suficiente para reducir los riesgos hasta donde sea razonablemente posible. Nunca será posible eliminar todos los riesgos, y el grado de tolerancia lo determina el apetito de riego de la organización.
Esto está relacionado con el concepto de lo que es razonable y de cuánto podemos aceptar sin comprometer la operación y la capacidad para alcanzar los objetivos comerciales.
Una de las responsabiliddes del #AuditorRiesgos es garantizar que las evaluaciones de riesgos son adecuadas y suficientes ¿Cómo lo hacen? Apréndelo aquí. #ISO31000 #RiskManager Share on X¿Cómo saber que las evaluaciones de riesgos son adecuadas y suficientes?
Por supuesto, la concurrencia de las causas que hemos enumerado indicaría que las evaluaciones de riegos no pueden ser calificadas como adecuadas y suficientes. Pero el auditor de riesgos aún puede realizar algunas preguntas de control, que, de obtener respuesta positiva, indicarían sin lugar a dudas que se realizan evaluaciones de riesgos eficaces:
- ¿La evaluación ha incluido todos los pasos que requiere el proceso?
- ¿Se enfoca en la prevención?
- ¿Considera el contexto real de la organización a nivel interno y externo?
- ¿Se consultó a todas las partes interesadas, desde la Alta Dirección hasta los empleados y sus representantes?
- ¿Se involucraron todas las áreas de la organización?
- ¿Se escucharon sugerencias, consejos y cometarios sobre la posible solución de los problemas?
- ¿Se documentó y registró de forma adecuada la tarea?
- ¿Se contó con información suficiente recaudada en evaluaciones anteriores?
- ¿Se comunicaron los resultados de la evaluación de riesgos?
- ¿Las acciones propuestas son practicables y sus resultados pueden ser medidos y comprobados?
- ¿Se proporcionó documentación suficiente para demostrar que se ha ejecutado cada etapa del proceso y que se implementarán las acciones recomendadas?
Formación como Risk Manager y Auditor de Riesgos
Como ya lo advertimos, una de las razones por las que encontramos evaluaciones de riesgos ineficaces, inadecuadas e insuficientes, es la falta de conocimiento de los profesionales que las efectúan.
Existen muchos programas de formación en el área de gestión de riesgos, pero muchos de ellos no están diseñados para suplir las necesidades de las organizaciones modernas. El Diplomado Risk Manager de la Escuela Europea de Excelencia, es un programa de Alto Nivel, integral, que forma profesionales capaces de participar de forma activa en la gestión de gobierno, riesgos y cumplimiento en sus organizaciones, pero que también pueden diseñar, desarrollar y ejecutar planes integrales de gestión de riesgos.
Este Diplomado tiene un valor agregado excepcional: ofrece una triple titulación, de la EEE, de ERCA y de ISOTools. Así es que aquí encuentras una gran oportunidad para vincularte a grandes organizaciones.
De forma paralela, con el objetivo de complementar la formación de los profesionales encargados de Sistemas de Gestión, en Escuela Europea de Excelencia estamos implementando un nuevo programa especializado en la función de Auditor de Riesgos. Consulta la próxima convocatoria aquí.