El mapa de riesgos es una herramienta que tiene por objeto mostrar gráficamente el diagnóstico del proceso de evaluación de riesgos en una fecha dada. Se determina mediante la interacción de la probabilidad o frecuencia por el impacto de los tipos de riesgos en los diferentes procesos, actividades o funciones de un negocio. En simultáneo, contribuye a realizar una revisión o diagnóstico del control interno que existe para mitigar los riesgos.
En realidad ayuda mediante sucesivas diagramaciones a conocer las diversas instancias por las que pasa una evaluación de riesgos hasta definir el tratamiento de los riesgos.
- Inicialmente proporciona el resultado de la evaluación de riesgos por los responsables de la gestión de riesgos.
- Contribuye a decidir los desplazamientos del resultados inicial para lograr un nuevo nivel una vez propuesto el tratamiento de los riesgos, este último respetando el límite de exposición al apetito al riesgo.
- Refleja el mapa de riesgos definitivo en la que se definió qué nivel del riesgo se desea aceptar, luego de decidir por asumir, prevenir, proteger o transferir parte del riesgo.
En auditoría el mapa de riesgos es quizá el más utilizado, pero es necesario recordar que existen otras herramientas a ser consultadas que proporcionan importante información para la realización de un efectivo trabajo de auditoría basada en riesgos.
El análisis de los mapas de riesgos contribuye a:
1. Verificar que la herramienta exista y se emplea en la evaluación de riesgos, independientemente de la decisión a que estos gráficos pueden obedecer a diversas denominaciones y escala de frecuencia e impacto. Ejemplo, pueden ser 3x3, 5x5, 7,x7 etc. Del mismo modo si su diseño es en físico, a colores o uso de diversos aplicativos.
2. Su existencia contribuye a identificar la ubicación de los controles establecidos para mitigar los riesgos, es decir conocer la brecha entre el riesgo inherente y residual.
3. Promueve entre los auditores a una reflexión crítica para determinar si los controles aplicados son fiables, efectivos o débiles para mitigar el tamaño de los riesgos.
4. Contribuye a dar solidez y minimiza la desconfianza en la oportunidad de mejora sugeridas por el auditor, al utilizar el mismo diagnóstico de los dueños de la gestión de riesgos.
5. Un mapa de riesgos actualizado permite priorizar las revisiones del inventario de materias auditables en la confección del plan anual de control, en forma conjunta con otros criterios de selección.
6. Su empleo como única herramienta mejora la comunicación en entrevistas que se haga a los responsables de los riesgos del proceso auditado.
7. Ante la ausencia de mapas de riesgos oficiales, es importante advertir las grandes limitaciones que tendría el auditor si decide elaborar por su cuenta estos mapas al carecer de la opinión importante de los dueños de los procesos operativos.
Existen otras herramientas prácticas que forman parte de la evaluación de riesgos, las mismas que deberían ser consultadas en simultáneo por los auditores. Estas son: autoevaluación o “Risk Control Self Assessment”, indicadores de riesgo, medidas de frecuencia y severidad, análisis de escenarios, entre otros.
El resultado de las autoevaluaciones permite recoger de los dueños de los procesos su percepción actualizada del estado de los riesgos y controles, así como oportunidades de mejora inmediata.
Los indicadores de riegos se definen cómo los datos estadísticos o métricas que permiten conocer la posición del riesgo en una entidad, sobre todo para conocer el nivel de riesgo inherente y residual. Son generalmente cuantitativos o pueden ser cualitativos, cuyos valores son calculados por lo general con base en datos históricos.
Las medidas de frecuencia y severidad suelen ser registros recogidos de incidentes históricos, mediante los cuales se puede tener una idea de la magnitud esperada ante la materialización de un determinado riesgo. Por lo general se grafican en escalas de niveles de frecuencia y nivel de impacto.
Finalmente, el análisis de escenarios permite conocer que tan bien se encuentra posicionada una entidad ante posibles eventos de vulnerabilidad, por lo general experimentados en el pasado. Estos análisis pueden ser históricos (se recoge tendencias), paramétricos (se asume la presencia de una situación o tipo de distribución) y Ad- Hoc (resulta de la combinación de las anteriores). Una herramienta similar es el Value at Risk (VaR), medida ampliamente utilizada al cuantificar el riesgos de mercado preferentemente.
Por: Juan Alberto Villanueva Chang
Artículo Publicado en el Blog de Nahun Frett - http://nahunfrett.blogspot.com/
Juan Alberto Villanueva Chang
Subgerente de Planeamiento de Auditoría del Banco Central de Reserva del Perú; cuenta con 38 años de experiencia en diversas áreas de la misma entidad. Estudió Economía en la Universidad Particular Inca Garcilaso de la Vega y cuenta con un Posgrado en Análisis Monetario en la Universidad Nacional de San Marcos.
Lima, Perú
Y luego Agregar a la pantalla de inicio.