RESPUESTA AL RIESGO

images (16)

“El bloque de granito que fue un obstáculo en el sendero del débil se convierte en un escalón en el sendero del fuerte.”  Thomas Carlyle

En el artículo anterior consideramos la Evaluación de Riesgo (eventos) de la Gestión de Riesgo Empresarial (ERM) [1], en sus siglas en inglés), esto es, según definido y recomendado por el Comité de   Organizaciones Patrocinadoras de la Comisión Treadway (COSO 1992, 2004).”

De igual forma, vamos a considerar la función de la Respuesta [2] al Riesgo como el quinto componente del control interno interrelacionado con la gestión de riesgo empresarial. No obstante, cuando la dirección haya identificado y evaluado los riesgos significativos, entonces deberá determinar la forma correcta para atenderlos.

Por consiguiente, la respuesta a los riesgos identificados y evaluados, conlleva un proceso de la ponderación de las distintas opciones para atender aquellas situaciones que puedan afectar los objetivos relacionados con las operaciones, la administración, la información financiera y el cumplimiento de las leyes, regulaciones o normas, teniendo en cuenta el entorno en el que opera la organización y su situación económica. Esto puede impedir que ésta alcance sus metas ya establecidas.

Por lo tanto, la dirección debe considerar:

  • Identificar las diferentes opciones disponibles para atender los riesgos.
  • Seleccionar las opciones más  prácticas  basadas en determinaciones de prioridades para atender los riesgos.
  • Aplicación de la opción seleccionada.

Por otro lado, la dirección clasificará los riesgos basados en el impacto y la probabilidad de ocurrencia, para poder responder adecuadamente a los tipos de riesgos, por ejemplo:

  • Riesgo Insignificante: No se requiere acción específica.
  • Riesgo Tolerable: No se necesita mejorar la acción preventiva. Sin embargo, se debe considerar soluciones más beneficiosas o mejoras que no supongan una carga económica importante. Se requiere evaluaciones continuas para asegurar que se mantiene la eficacia y eficiencias de las medidas de control.
  • Riesgo Moderado: Se debe hacer esfuerzos para reducir el riesgo, considerando los costos necesarios. Las medidas para reducir el riesgo deben implantarse en un período determinado.

Cuando el riesgo moderado está asociado con consecuencias extremadamente dañinas, se precisará una acción posterior para establecer, con más precisión, la probabilidad de daño como base para determinar la necesidad de mejoras de las medidas de control.

  • Riesgo Significativo: No debe comenzar el trabajo hasta que se haya reducido el riesgo. Puede que se necesiten recursos considerables para controlar el riesgo.

Cuando el riesgo corresponda a un trabajo que se está realizando, se debe remediar el problema en un tiempo menor al de los riesgos moderados.

  • Riesgo Intolerable: No debe comenzar ni continuar el trabajo hasta que se reduzca el riesgo. Si no es posible reducir el riesgo, incluso con recursos ilimitados, debe prohibirse el trabajo.

Luego, que la dirección determine la clasificación del riesgo, basado en el impacto y probabilidad de ocurrencia entonces, deberá considerar las siguientes respuestas al riesgo, la cual se clasifican en cuatro categorías:

  • Evasión del riesgo: Es la eliminación o finalización  de las actividades que dan origen al riesgo. La evasión del riesgo puede implicar la eliminación de un servicio o el rechazo de una expansión.
  • Reducción del riesgo: Es la medida para reducir la probalidad o el impacto del riesgo, o ambos. Por lo general, esto implican implantación de controles.
  • Gestión compartida del riesgo: Es la medida para reducir la probalidad o el impacto del riesgo, o ambos, mediante transferencia del riesgo, como ejemplo compra de un seguro o la privatización de una actividad.
  • Aceptación del riesgo: No se toma ninguna medida para afectar la probabilidad o el impacto del riesgo. La compañía esta dispuesta a aceptar el riesgo.

La dirección tiene la responsabilidad de evaluar el impacto y la probabilidad del evento. Además, debe considerar el   costo y los beneficios, y los efectos que pueda provocar la selección de una respuesta equivocada.

 

Por Manuel A. Gutierrez, CIA, CRMA, CBM, CFS


 

Referencias: The Institute of Internal Auditors, USA, The Committee of Sponsoring Organizations (COSO, 1992, 2004), Fundación de Investigaciones de IIA.

[1] La Gestión de Riesgo Empresarial (ERM) es un proceso estructurado, consistente y continuo implementado a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos. The Institute of Internal Auditors.

[2] Respuesta al riesgo – una vez evaluados los riesgos relevantes, la dirección determinará como responderá.

Advertisements

About Manuel A. Gutierrez, CIA, CRMA, CBM, CFS

Certified Internal Auditor(CIA) - Certified Risk Management Assurance(CRMA) - Certified Business Manager(CBM) Certified Fraud Specialist(CFS) - Vice Presidente de la Junta de Gobierno del Instituto de Auditores Internos Inc. - Capítulo de Puerto Rico
This entry was posted in Auditoria, Control Interno, Gerencia, Riesgo and tagged . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s