DISCUSSION, CONCLUSIONS, AND IMPLICATIONS

El Proceso de Gestión de Riesgos, está definido por dos componentes. Por una parte, está la definición de Proceso y por otra la Gestión de Riesgos. La figura muestra gráficamente en qué consiste un Proceso.

Desarrollo propio

La Gestión de Riesgos consiste en la identificación y tratamiento de los riesgos identificados, así como la aceptación de las consecuencias producto de la materialización de uno de ellos u otro no identificado.

Luego, el Proceso de Gestión de Riesgos consiste en la transformación de datos relacionados a riesgos que enfrenta la organización, en acciones de mitigación y control de los mismos que permitan reducir las consecuencias de la materialización de un riesgo.

En la figura 17 se muestra que el Proceso de Gestión de Riesgos se inicia con la determinación por parte de las máximas autoridades de una organización para iniciarlo. Suena sencillo, pero si las autoridades de la organización no están interesadas, nada se puede hacer o su implementación será tan compleja que

Elementos de Entrada Transformación Elementos de Salida DEFINICIÓN DE PROCESO Inicio Término

nadie participará y todo el trabajo irá a parar a la basura. Las máximas autoridades deben definir y designar los recursos necesarios y posteriormente establecer las definiciones y criterios bajo los cuales se realizará la Gestión de Riesgos. Con estas definiciones se tendrá un Marco de Trabajo de la Gestión de Riesgos.

Dadas las definiciones y criterios establecidos, el ciclo de la Gestión de Riesgos comienza con el levantamiento, identificación, valorización y cálculo de las magnitudes de los Riesgos. Luego, estas deben se validadas con los usuarios “Dueños” de los procesos y se procede a evaluar la consistencia entre las magnitudes de riesgos resultantes y lo que el “sentido común” del dueño del proceso dice. Si existen ajustes, sean en los criterios o en las definiciones, estos se implementan y si no es necesario realizar ajustes, se procede a implementar controles y mitigadores, y el proceso se inicia nuevamente.

DEFINICIONES Inicio LEVANTAMIENTO Y CÁLCULOS VALIDACIÓN ¿REQUIERE AJUSTES? NO REVISIÓN DE DEFINICIONES Y PARÁMETROS SI ACCIONES DE MITIGACIÓN

Figura 17 Flujo de Levantamiento de Riesgos Desarrollo propio

En general, como se ha mencionado anteriormente, el Proceso de Gestión de Riesgos requiere de ciertos formalismos, designación de responsables, otorgamiento de facultades y autoridades, así como de recursos para realizar la tarea encomendada. En esta incipiente etapa, donde la Gestión de Riesgos se encuentra incubando en las mentes de las máximas autoridades de la organización y a penas germinada, es que se requiere tomar ciertas decisiones tales como definir el Comité de Riesgos, su funcionamiento y operación, así como el encargado de Riesgos, Oficial de Riesgos o Director de Riesgos, su estructura organizacional y los recursos necesarios para implementarla.

En paralelo a la implementación de formalismos y designaciones, es factible iniciar el proceso de identificación de los riesgos, para lo cual la identificación de procesos críticos es recomendable y su posterior levantamiento o mapeo detallado es una herramienta muy importante para las etapas siguientes. Durante el levantamiento y mapeo de los procesos, para la debida Gestión de Riesgos, es recomendable incorporar la mayor cantidad de información posible, tales como las tecnologías involucradas, aspectos legales, documentos o informaciones que se intercambian en uno u otro sentido del proceso, unidades o áreas responsables, si hay infraestructuras específicas necesarias para desarrollar una actividad, interacción con fiscalizadores, etc.

Una vez identificados los procesos, sus respectivas actividades, y sus respectivos Riesgos, se puede proceder a valorizar los parámetros de Probabilidad e Impacto de cada uno de los FR que generarían como consecuencia la materialización del

Riesgo evaluado. Si hay más parámetros, se evalúan y valorizan también en este punto.

Luego, determinados los parámetros, es necesario conocer el Riesgo Inherente, esto es la Magnitud del Riesgo bajo el supuesto que no existiese ningún tipo de control o mitigador y siempre pensando en la peor situación. Una vez que el Riesgo Inherente se ha determinado, y se conocen los controles y mitigadores asociados a cada FR, se procede a determinar la Magnitud del Riesgo Residual o Restante. En la práctica, este es el parámetro que a todos interesa, puesto que es la situación actualizada de ese Riesgo.

Siguiendo con el proceso, es necesario validar que los resultados sean consistentes y coherentes con la realidad, para lo cual, una forma, es generar reuniones de trabajo con los “Dueños” de procesos y actividades puntuales, exponer los resultados y validar en conjunto los parámetros y los resultados. Con ello, junto con validar, se está integrando a los colaboradores al Proceso de Gestión de Riesgos y a su vez, quienes deben administrar directamente los Riesgos, se involucran y reconocen los niveles de riesgo y los requerimientos de tratamiento específico identificado en sus casos. En este punto lo más relevante es que quienes activamente participan de las actividades donde existen riesgos, reconocen la existencia de los mismos y validan su magnitud. Existen situaciones en que los resultados no hacen sentido y en la gran mayoría de los casos, resulta que hay controles existentes que no han sido identificados anteriormente, por lo que complementariamente se depura el levantamiento realizado.

Finalmente, si se requieren de nuevos controles o mitigadores, si se identifican requerimientos de ajustes, se realizan y se revalidan. En su defecto, si se identifican nuevos requerimientos de mitigación, se modifican los controles y/o mitigadores existentes o se complementan con nuevos controles o mitigadores.

La implementación de nuevos controles y mitigadores por lo general conlleva costos, tanto de implementación y puesta en marcha como de operación. Cuando se decide implementar nuevos tratamientos al Riesgo, es necesario evaluar la relación costo-beneficio. Se puede dar situaciones en que el costo de reducir un riesgo es tal que no se justifica por el escaso beneficio. En estas situaciones se puede considerar básicamente dos alternativas. Por un lado, se puede evaluar modificar los seguros existentes y, de no existir, tomar un seguro. Con ello se traspasa parcialmente el Riesgo a un tercero y se mitiga fuertemente el impacto. Por otro lado, se puede asumir que se convivirá con ese Nivel de Riesgo, el que será monitoreado en condiciones especiales con una frecuencia mayor. Si llegase a surgir una tecnología o elemento a costo razonable que permitiera tratar el Riesgo, esta será evaluada y eventualmente implementada. Una tercera opción a evaluar es la de traspasar la actividad en la cual se genera el Riesgo a un externo para que la desarrolle en beneficio de la organización, haciéndose responsable de dicho Riesgo. Sin embargo, en este último caso, surgirán nuevos Riesgos.

Finalmente, en forma regular y sistemática, se valida la operación, funcionamiento y adecuación del Modelo de Gestión de Riesgos, sus controles y mitigadores, su cumplimiento y especialmente el registro de eventos, con lo que se procede a re- evaluar y a afinar el resultado, permitiendo a la organización mejorar la calidad de

información respecto de sus riesgos y por ende una mejor calidad de información para la toma de decisiones.