Ningún marco de gestión de riesgo operativo está completo sin la Autoevaluación de Riesgos y Controles (RCSA, por sus siglas en inglés). Esta técnica empoderada, utilizada por el personal en todos los niveles y en una amplia gama de organizaciones para identificar riesgos y evaluar los controles asociados y su eficacia, fue desarrollada en 1987. Hoy en día, aún se considera una forma poderosa de proporcionar garantías a los órganos de gobierno y reguladores de que se cumplirán todos los objetivos. También se han identificado una serie de beneficios “más sutiles”: el personal obtendrá una comprensión más profunda de las operaciones comerciales, una mayor conciencia de la gestión del riesgo operativo y estará mejor equipado para impulsar un programa de gobernanza más estricto.
El libro blanco del Instituto de Riesgo (IOR), “Autoevaluación de Riesgos y Controles” detalla cómo las RCSA ayudan a las organizaciones a priorizar las exposiciones al riesgo, identificar debilidades y brechas en los controles, y monitorear las acciones tomadas para abordarlas.
Parece haber una delgada línea para lograr el equilibrio adecuado; una RCSA bien ejecutada e implementada debería ayudar a integrar la gestión del riesgo operativo en toda la empresa y mejorar la cultura general de riesgo. Si se vuelve excesivamente compleja, puede reforzarse la noción de que la gestión del riesgo operativo es burocrática y está dirigida al cumplimiento.
La guía enfatiza que, si bien ayudan a evaluar las exposiciones al riesgo operativo, las RCSA también tienen un papel que desempeñar en poner el riesgo operativo sobre la mesa y hacer que las personas hablen de ello. La idea es que aquellas organizaciones que discuten los riesgos operativos y la eficacia de sus controles asociados estarán mejor posicionadas para enfrentar “lo que depare el futuro” – riesgos nuevos y emergentes.
Sin duda, una RCSA eficaz ayudará a respaldar las actividades de gobierno corporativo y cumplimiento. Según el IOR, “Los resultados de una RCSA proporcionan garantías al órgano de gobierno y a los reguladores de que una organización cuenta con un sistema sólido para la gestión de los riesgos operativos. De igual manera, las RCSA pueden apoyar el trabajo de los auditores internos y externos, ayudándoles a priorizar la atención de la auditoría y estructurar las auditorías.”
Otro beneficio que vale la pena mencionar es la mejora de la eficiencia empresarial. Las debilidades o brechas en los controles pueden aumentar la probabilidad de fallos en los sistemas y procesos y el impacto de eventos externos, todo lo cual incrementa los costos y el alcance de la disrupción. En el otro extremo de la escala, “un nivel excesivo de control puede ralentizar innecesariamente los sistemas y procesos.”
Para ayudar a las organizaciones a alcanzar el equilibrio adecuado, el libro blanco sobre “Autoevaluación de Riesgos y Controles” establece información detallada sobre cómo diseñar e implementar una RCSA que se adapte mejor a la escala y complejidad de las actividades y a la cultura de riesgo de una organización.
Desde los fundamentos del RCSA hasta la integración del marco
Entre los aspectos más destacados de los capítulos se incluyen:
- Fundamentos RCSA
«Un enfoque totalmente exhaustivo no es necesariamente lo mejor, sobre todo si da lugar a una sobrecarga de información y requiere una cantidad excesiva de tiempo y esfuerzo para completarlo. Los RCSA sólo deben utilizarse cuando aporten valor añadido».
- Diseñar un RCSA
«La mayoría de las organizaciones diseñarán RCSA de arriba hacia abajo y de abajo hacia arriba. La ventaja de un enfoque de arriba hacia abajo es que los riesgos a nivel estratégico pueden ser cascadeados hacia abajo y alineados con los riesgos, controles y acciones identificados en las evaluaciones de departamentos, divisiones o funciones. Esto puede ayudar a mejorar la gobernanza del riesgo operativo y asegurar que las prioridades de toda la organización y las locales estén alineadas.
“La ventaja de una evaluación de abajo hacia arriba es que los gerentes locales pueden centrarse en los riesgos y controles que son relevantes para su área.”
- Realización de una RSCA – Enfoques y técnicas
«Los cuestionarios pueden utilizarse para recoger parte o toda la información necesaria para una RCSA. Los cuestionarios pueden utilizarse como sustitutos de un taller, para ahorrar tiempo y recursos. Son más eficaces cuando se combinan con talleres… Esto debería reducir la posibilidad de que se omitan riesgos o controles y ayudar a controlar los sesgos individuales.»
- Integración de un RCSA en el Marco de Gestión del Riesgo Operativo
“”Los resultados de las RCSA son una valiosa fuente de información para el desarrollo de planes de acción de riesgo operativo. Dichos planes podrían incluir mejorar la eficacia de los controles existentes, eliminar controles obsoletos o introducir nuevos controles para abordar las brechas. Las acciones siempre deben justificarse en términos de costo/beneficio.
En su conclusión, el libro blanco refuerza el mensaje de que los gestores de riesgo operativo siempre deben tener en cuenta que las RCSA deben apoyar la toma de decisiones empresariales.
