El control interno brinda a la dirección o a la junta directiva, la garantía razonable de la consecución de los objetivos estratégicos. La organización puede presentar desde controles manuales a mecanizados, preventivos, detectivos y correctivos. Por lo que a cada riesgo se le asignan sus controles correspondientes. El riesgo residual ofrece la posibilidad de analizar si los controles planteados son realmente efectivos y si se han aplicado correctamente. El proceso íntegro de la gestión de riesgos en las empresas también está basado en la cultura y el gobierno corporativo.
Para entender un poco más el tema de Riesgo, PMBOK Guide, define al Riesgo como aquel “evento o condición incierta que, si se produce, tiene un efecto positivo o negativo en los objetivos de un proyecto”. Pero…¿Cuáles son sus objetivos, etapas y beneficios?
Objetivos: En este caso, la gestión de riesgos busca la disminución de las probabilidades de los impactos negativos y por el contrario busca aumentar las probabilidades de que se produzcan impactos positivos en esas actividades.
Etapas: El punto de partida sería el apetito al riesgo, la tolerancia y los límites, seguido de la identificación y evaluación de los riesgos. Las gestiones de estos riesgos están vinculadas en todo momento con los objetivos estratégicos del negocio, en los que hay una planificación de los recursos de capital humanos y tecnológicos.
Beneficios: Reconocer los posibles riesgos, así como la probabilidad de producirse, permite una planificación estratégica más efectiva. Lo que permite una mayor eficiencia, efectividad y, con ello menores costes asociados a esos imprevistos previamente identificados y controlados. Asimismo, la revisión periódica y comunicación de los datos propicia que todos los miembros cuenten con una visión global del proyecto y los riesgos que conlleva.
Diferencia entre Riesgos Residuales vs. Riesgos Secundarios
Los riesgos residuales, hacen referencia a aquel riesgo que permanece después de haber ejecutado las respuestas a los riesgos. En este punto es importante recordar que siempre va a existir un nivel de riesgo, por lo que la empresa deberá haber implementado determinados controles, creado planes de contingencia y planes alternativos. A pesar que el riesgo subsista, la organización ha de tratar de que ese nivel sea aceptable.
En el caso del riesgo residual, es aquel riesgo que aparece en el momento en el que la organización implanta una determinada respuesta a un riesgo. La empresa actúa de acuerdo a los riesgos que se le presentan para eliminarlos, mitigarlos o transferirlos, según su impacto y naturaleza. Es en este contexto en el que se presentan nuevos riesgos secundarios, como consecuencia de esas actuaciones. Este tipo de riesgos también ha de ser identificado y analizado, para su posterior control y gestión.
Niveles de Riesgo
En las organizaciones pueden existir diversos niveles de riesgo:
Nivel de riesgo alto: Se evalúan todas las actividades de control dentro de la organización, teniendo en cuenta el análisis coste-beneficio. Muchas veces poner unas medidas de control pueden suponer un coste mayor que el beneficio que nos puede reportar. Este análisis permite cuantificar si compensa o no adoptarlo.
Nivel de riesgo medio: Se hace evaluación y supervisión de controles, pero solo claves o relevantes en los que no se permiten que se vayan a una zona de no confort. Se trata de realizar controles para pasar al nivel de riesgo bajo.
Nivel de riesgo bajo: No se necesitan realizar actividades de control al tratarse de un riesgo del día a día caracterizado por la propia actividad de la empresa.
Niveles de Control:
Las empresas establecen el tipo de control a establecer, los que pueden ser:
Controles preventivos: Gracias al conocimiento de los riesgos propios de la empresa, la experiencia y en base al sector donde desempeña su actividad la empresa, se puede establecer este tipo de controles para anticiparse a los eventos no deseados antes de que sucedan. El objetivo es poner en práctica las medidas preventivas apuntadas por la compañía, para que no se produzcan.
Controles detectivos: Este tipo de control permite identificar los eventos en el momento en el que se presentan. Se trata de adoptar las medidas necesarias para que no vuelva a producirse.
Controles correctivos: Se caracterizan por la toma de acciones para prevenir eventos no deseados. Guardan relación con la toma de decisiones de la alta dirección, a la que se les traslada las opciones de asumir, eliminar o mitigar cada uno de ellos.
El Mapa de Riesgos:
Para la elaboración de un mapa de riesgos influyen las características y naturaleza de la empresa, así como los diferentes tipos de riesgos o amenazas. Este mapa de riesgos permite comprender las amenazas y facilitar la toma de decisiones a través de la prevención de los posibles riesgos Impacto. Las variables de probabilidad y de impacto cuantitativo y cualitativo permiten determinar un mapa de calor, que guarda relación con el apetito al riesgo, la tolerancia y los límites. Se trata de una representación gráfica de los objetivos estratégicos de la organización, donde se sitúan cada uno de los riesgos más representativos para la empresa y que afectan a su toma de decisiones.
Este tipo de representaciones gráficas contribuyen a que los presidentes de las empresas comprendan de un modo visual cuál es la situación la compañía. Las organizaciones asumen, reducen o transfieren esos riesgos dependiendo de la probabilidad de que se produzcan y de su impacto. En el mapa de riesgos también tienen cabida las tomas de decisiones planteadas por la empresa como respuesta a esos riesgos.
La Matriz de Riesgos
La matriz de riesgo permite a las empresas identificar cuáles son los productos o actividades más relevantes y los riesgos que conllevan cada uno de ellos, por lo que facilita el control sobre aquellos riesgos más críticos y la correcta gestión de los recursos para mitigar cada uno de ellos con determinadas actuaciones. Además, proporciona datos sobre la probabilidad de que se produzcan estos riesgos e incluso, posibilita la comparación de proyectos y de productos.
A través de la matriz, la empresa puede evaluar si la gestión de cada uno de esos riesgos está siendo efectiva, así como saber, el cómo afectan al cumplimiento de los objetivos estratégicos previamente planteados por la alta dirección. La efectividad de los controles establecidos determina la calidad de la gestión de riesgos realizada.
Este mecanismo se caracteriza por su flexibilidad, debido a que el apoyo de toda la organización es necesario en el control interno. La implicación de los diferentes miembros contribuye a la consecución de los objetivos estratégicos planteados por la compañía.
Fuente: Todosistemas