¿Cómo funciona Luxflow con la Norma ISO 31000-2017?

Conceptos Generales sobre Riesgos La Norma se define riesgo como el efecto de la incertidumbre sobre los objetivos y destaca que con frecuencia, el riesgo se caracteriza por referencia a potenciales eventos y consecuencias, o a una combinación de ambos. Por su parte, en el Marco Integrado de Control Interno, es el riesgo se define como la posibilidad (probabilidad) de que un acontecimiento ocurra y afecte (consecuencia o impacto) negativamente a la consecución de los objetivos. La evaluación del riesgo implica un proceso dinámico e iterativo para identificar y evaluar los riesgos de cara a la consecución de los objetivos. Dichos riesgos deben evaluarse en relación a unos niveles preestablecidos de tolerancia. De este modo, la evaluación de riesgos constituye la base para determinar cómo se gestionarán. Una condición previa a dicha evaluación es el establecimiento de objetivos asociados a los diferentes niveles de la entidad. El Marco Integrado de Control Interno – incluye adicionalmente a los atributos clásicos de evaluación de riesgos: probabilidad y consecuencia o impacto, dos nuevos elementos a tener en cuenta; específicamente se incluye el concepto de velocidad y el de persistencia de los riesgos:

• La velocidad de riesgo se refiere a la rapidez con la que impacta un riesgo en la entidad, es decir, se refiere al ritmo con el que se espera que la entidad experimente el impacto.
• La persistencia de un riesgo hace referencia a la duración del impacto en la entidad después de que el riesgo se haya materializado.

En forma complementaria, el documento Risk Assessment in Practice Thought Paper, de la organización  emitido el año 2012, incluye en la evaluación del riesgo los elementos de velocidad de ocurrencia y vulnerabilidad, cuyo concepto corresponde a la incapacidad de resistencia cuando se presenta un fenómeno amenazante, o la incapacidad para reponerse después de que haya ocurrido un desastre. Sin perjuicio de lo previamente señalado, y en consideración a que estos conceptos son aún muy preliminares en teoría de riesgos, la evaluación del nivel de severidad del riesgo en el modelo metodológico que se presenta más adelante en este documento, se realizará en base a los criterios clásicos, es decir, en base a la probabilidad de ocurrencia e impacto del riesgo.  

Conceptos Generales sobre Gestión de Riesgos Como se señaló, las tendencias en materias de administración están dirigidas a la creación y mantenimiento de Gobiernos Corporativos fuertes que propendan a la transparencia en el quehacer de las entidades, a la responsabilidad y probidad de los integrantes del Directorio y los administradores y a la creación de valor para los interesados o stakeholders, en este caso, para el ciudadano. Para lograr todo ello, la alta dirección cuenta con herramientas como la gestión de riesgos y el control interno. La primera como un proceso para identificar, evaluar, manejar y controlar acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento razonable respecto del alcance de los objetivos de la organización; y el segundo, entendido como un sistema de acciones y medidas asumidas por quienes toman las decisiones para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidas. 4 Normas Generales de Auditoría Interna y de Gestión del Colegio de Contadores de Chile y Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna – THEIIA. 5 NCh-ISO 31000:2012. 6 Cfr. Marco Integrado de Gestión de Riesgos – COSO II. En el ámbito de la gestión de riesgos, organizaciones de todos los tipos y tamaños se enfrentan a factores internos y externos que hacen incierto saber si y cuándo van a alcanzar sus objetivos. El efecto que esta incertidumbre tiene en los objetivos de una organización, se denomina riesgo. La Gestión de Riesgos es un proceso estructurado, consistente y continuo implementado a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos. Todos en la organización juegan un rol en el aseguramiento de éxito de la Gestión de Riesgos, pero la responsabilidad principal de la misma recae sobre la Dirección. La definición anterior se puede complementar con otros importantes elementos:

• La Gestión de Riesgos es un proceso iterativo que debe contribuir a la mejora organizacional a través del perfeccionamiento de los procesos.
• Puede ser aplicada a todos los niveles de una organización, es decir, en los niveles estratégicos, tácticos y operacionales.
• También puede ser aplicada a proyectos específicos, para sustentar decisiones específicas o para administrar áreas específicas de riesgo.
• Para cada fase del Proceso de Gestión de Riesgos deberían mantenerse registros adecuados, suficientes como para satisfacer a una auditoría externa o certificación independiente.
• No sólo considera la identificación y tratamiento de riesgos, sino que también las oportunidades que contribuyan al logro de los objetivos.
• La aplicación del marco teórico del Proceso de Gestión de Riesgos siempre debe adecuarse a la entidad y al sector que ésta pertenece.

 

Beneficios Potenciales de la Aplicación de la Gestión de Riesgos

• Mejora las posibilidades de alcanzar los objetivos en la organización.
• Incrementa el entendimiento de riesgos claves y sus implicaciones en la organización.
• Se identifica y comparte la responsabilidad de la administración de los riesgos del negocio.
• Genera y fortalece el enfoque en asuntos que realmente importan a la organización.
• Contribuye a disminuir las sorpresas y crisis en la organización.
• Incrementa la posibilidad de que cambios e iniciativas de proyectos puedan ser logrados en mejor forma.
• Mejora las capacidades de tomar mayor riesgo por mayores recompensas sociales y económicas.
• Genera mayor información y con más transparencia sobre los riesgos identificados, tomados y las decisiones realizadas.

La gestión de riesgos debe considerar al definir los criterios de riesgo, el “Apetito del Riesgo” de la organización gubernamental. Este concepto se ha definido en algunos marcos de control interno y de gestión de riesgos como: la cantidad de riesgo, desde un punto de vista amplio, que una organización está dispuesta o desea aceptar en la persecución de valor; el riesgo que se está dispuesto a aceptar en la búsqueda de la misión/visión de la entidad o la cantidad y tipo de riesgo que una organización desea retener o perseguir. Esto es, cuanto riesgo se puede aceptar para dar cumplimiento a su misión institucional, objetivos estratégicos y entregar un servicio de calidad, agregando valor a los usuarios, beneficiarios o a la comunidad toda. El apetito de riesgo debe ser revisado por la Dirección por lo menos una vez al año, junto con la estrategia de la organización y los procesos de planificación. También hay que considerar el concepto de “Tolerancia al Riesgo”, que es el nivel aceptable de la variación alrededor del logro de un objetivo de negocio específico, el que debe alinearse con el apetito del riesgo de una organización. Este considera cuánta variación puede aceptarse en el cumplimiento de los objetivos y la atención a los ciudadanos. Dicho de otra forma, la tolerancia al riesgo es la cantidad máxima de un riesgo que una organización gubernamental está dispuesta a aceptar para lograr sus objetivos. Otro concepto importante que se debe considerar al definir los criterios, es la “Capacidad de Riesgo”, que hace referencia a la cantidad y tipo de riesgo máximo que una organización pública es capaz de soportar en la persecución de sus objetivos. Los conceptos antes señalados deben ser considerados al implementar el Proceso de Gestión de Riesgos, especialmente cuando las organizaciones gubernamentales formulen y presenten para su aprobación al Consejo de Auditoría, un modelo adaptado a sus características y necesidades específicas. Lo anterior, teniendo en cuenta que hay organizaciones gubernamentales que manejan un riesgo mayor que otras (por ejemplo, las entidades de apoyo social potencialmente son más riesgosas por el tipo de usuario vulnerable) y cada una tiene niveles distintos de tolerancia y capacidad de riesgos.

Modelos para la Gestión de Riesgos 

Si bien existe una diversidad de modelos o framework para la gestión de riesgos, en principio su concepto global es el mismo, con fundamentos financieros, matemáticos o analíticos quizá distintos. En este contexto, es necesario realizar un breve comentario sobre la Norma NCh-ISO 31000:2012.

Esta norma recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco cuyo objetivo es integrar el proceso de gestión de riesgos en general en la gobernanza de la organización, la estrategia y la planificación, la gestión, los procesos de información, las políticas, los valores y la cultura, de manera que sea un proceso integrado en toda la entidad.

La gestión de riesgos puede aplicarse a toda una organización, en sus áreas y niveles, en cualquier momento, así como a las funciones específicas, proyectos y actividades.

Para que la gestión del riesgo sea eficaz, las organizaciones deberían cumplir en todos sus niveles con los principios siguientes: a) La gestión del riesgo crea y protege el valor La gestión del riesgo contribuye al logro demostrable de los objetivos y a la mejora del desempeño. Por ejemplo, en lo referente a la salud y seguridad de las personas, al cumplimiento de los requisitos legales y reglamentarios, a la aceptación por el público, a la protección ambiental, a la calidad del producto, a la gestión del proyecto, a la eficiencia en las operaciones, y a su gobernanza y reputación. b) La gestión del riesgo es una parte integral de todos los procesos de la organización La gestión del riesgo no es una actividad independiente separada de las actividades y procesos principales de la organización. La gestión del riesgo es parte de las responsabilidades de gestión y una parte integral de todos los procesos de la organización, incluyendo la planificación estratégica y todos los procesos de la gestión de proyectos y de cambios. c) La gestión del riesgo es parte de la toma de decisiones La gestión del riesgo ayuda a quienes toman las decisiones a seleccionar opciones informadas, a priorizar las acciones y a distinguir entre planes de acción alternativos. d) La gestión del riesgo trata explícitamente la incertidumbre La gestión del riesgo tiene en cuenta explícitamente la incertidumbre, la naturaleza de esa incertidumbre, y la manera en que se puede tratar. e) La gestión del riesgo es sistémica, estructurada y oportuna Un enfoque sistemático, oportuno y estructurado de la gestión del riesgo contribuye a la eficiencia y a resultados coherentes, comparables y fiables. f) La gestión del riesgo se basa en la mejor información disponible Los elementos de entrada del proceso de gestión del riesgo se basan en fuentes de información tales como datos históricos, experiencia, retroalimentación de las partes interesadas, observación, pronósticos y juicios de expertos. No obstante, quienes toman las decisiones deberían informarse y tener en cuenta todas las limitaciones de los datos o modelos utilizados, así como las posibles divergencias entre expertos. g) La gestión del riesgo se adapta La gestión del riesgo se alinea con el contexto externo e interno de la organización y con el perfil del riesgo. h) La gestión del riesgo integra los factores humanos y culturales La gestión del riesgo permite identificar las capacidades, las percepciones y las intenciones de las personas externas e internas que pueden facilitar u obstruir el logro de los objetivos de la organización. i) La gestión del riesgo es transparente y participativa El involucramiento apropiado y oportuno de las partes interesadas y, en particular, aquellos que toman decisiones en todos los niveles de la organización, asegura que la gestión del riesgo se mantenga pertinente y actualizada. El involucramiento también permite a las partes interesadas estar correctamente representadas y que sus opiniones se consideren en la determinación de los criterios de riesgo. j) La gestión del riesgo es dinámica, iterativa, y responde a los cambios La gestión del riesgo está continuamente percibiendo los cambios y respondiendo a ellos. Mientras ocurren eventos externos e internos, cambian el contexto y los conocimientos, se realiza el monitoreo y la revisión de riesgos, surgen nuevos riesgos, algunos cambian y otros desaparecen. k) La gestión del riesgo facilita la mejora continua de la organización Las organizaciones deberían desarrollar e implementar estrategias para mejorar su madurez en la gestión del riesgo junto a los demás aspectos de la organización.  

Marco de Trabajo de la Norma NCh-ISO 31000:2012 El éxito de la gestión de riesgos dependerá de la efectividad del marco para manejar los riesgos, que provee las bases y fundamentos que traspasa la organización en todos sus niveles. El marco colabora en la gestión efectiva de los riesgos, a través de procesos de administración de riesgos en varios escenarios y contextos de la organización gubernamental. El marco asegura que la información derivada de ese proceso sea adecuadamente comunicada y se utilice como una base para la toma de decisiones por parte de la autoridad y para la rendición de cuentas o accountability de las mismas. El marco de trabajo no pretende prescribir un sistema de gestión, sino más bien ayudar a la organización a integrar la gestión del riesgo en su sistema de gestión global. Por ello, las organizaciones deberían adaptar los componentes del marco de trabajo a sus necesidades específicas. Si las prácticas y procesos de gestión existentes en una organización incluyen componentes de gestión del riesgo, o si la organización ya ha adoptado un proceso formal de gestión del riesgo para tipos o situaciones particulares de riesgo, entonces éstos se deberían revisar y evaluar de forma crítica de acuerdo con esta norma, a fin de determinar si la gestión de riesgos ha sido adecuada y eficaz. El marco describe los elementos necesarios para la gestión de riesgos y la forma cómo estos componentes se interrelacionan entre sí.     Se presenta el Esquema representativo del proceso de Gestión de Riesgos.