Ningún marco de gestión del riesgo operativo está completo sin la Autoevaluación de Riesgos y Controles (RCSA). Esta poderosa técnica, utilizada por personal de todos los niveles y en una amplia gama de organizaciones para identificar los riesgos y evaluar los controles asociados y su eficacia, se desarrolló en 1987. Hoy en día, se sigue considerando una forma poderosa de ofrecer garantías a los órganos de gobierno y a los reguladores de que se cumplirán todos los objetivos. También se han identificado una serie de beneficios «más suaves»: el personal adquirirá una comprensión más profunda de las operaciones empresariales, una mayor conciencia de la gestión del riesgo operativo y estará mejor equipado para impulsar un programa de gobierno más estricto. El libro blanco del Instituto del Riesgo (IOR), «Control del riesgo y autoevaluación», detalla cómo las RCSA ayudan a las organizaciones a priorizar las exposiciones al riesgo, identificar las deficiencias y lagunas de control, y supervisar las medidas adoptadas para solucionarlas. Parece que existe una delgada línea para lograr el equilibrio adecuado; un RCSA bien ejecutado e implementado debería ayudar a integrar la gestión del riesgo operativo en toda la empresa y mejorar la cultura general del riesgo. Si se hace demasiado compleja, puede reforzarse la idea de que la gestión del riesgo operacional es burocrática y está orientada al cumplimiento. Las directrices hacen hincapié en que, al tiempo que ayudan a evaluar las exposiciones al riesgo operativo, las RCSA también tienen un papel que desempeñar a la hora de poner el riesgo operativo sobre la mesa y hacer que la gente hable de él. La idea es que las organizaciones que discutan los riesgos operativos y la eficacia de sus controles asociados estarán mejor situadas para hacer frente a «lo que depara el futuro»: riesgos nuevos y emergentes. Sin duda, un RCSA eficaz ayudará a respaldar las actividades de gobierno corporativo y cumplimiento normativo. Según el IOR, «los resultados de una RCSA ofrecen garantías al órgano de gobierno y a los reguladores de que una organización dispone de un sistema sólido para la gestión de los riesgos operativos. Del mismo modo, las RCSA pueden respaldar el trabajo de los auditores internos y externos, ayudándoles a priorizar la atención de las auditorías y a estructurarlas». Otra ventaja digna de mención es la mejora de la eficacia empresarial. Las deficiencias o lagunas en los controles pueden aumentar la probabilidad de fallos en los sistemas y procesos y el impacto de acontecimientos externos, todo lo cual incrementa los costes y las posibilidades de interrupción. En el otro extremo de la balanza, «un nivel excesivo de control puede ralentizar innecesariamente los sistemas y procesos». Para ayudar a las organizaciones a alcanzar el equilibrio adecuado, el libro blanco «Autoevaluación de Riesgos y Controles» ofrece información detallada sobre cómo diseñar y aplicar una RCSA que se ajuste lo mejor posible a la escala y complejidad de las actividades y también a la cultura de riesgo de una organización.

 

Desde los fundamentos del RCSA hasta la integración del marco

Entre los aspectos más destacados de los capítulos se incluyen:

  • Fundamentos RCSA

«Un enfoque totalmente exhaustivo no es necesariamente lo mejor, sobre todo si da lugar a una sobrecarga de información y requiere una cantidad excesiva de tiempo y esfuerzo para completarlo. Los RCSA sólo deben utilizarse cuando aporten valor añadido».

  • Diseñar un RCSA

«La mayoría de las organizaciones diseñarán RCSA descendentes y ascendentes. La ventaja de un enfoque descendente es que los riesgos de nivel estratégico pueden descender en cascada y alinearse con los riesgos, controles y acciones identificados en las evaluaciones de departamentos, divisiones o funciones. Esto puede ayudar a mejorar la gobernanza del riesgo operativo y garantizar que las prioridades de toda la organización y las locales están alineadas. «La ventaja de una evaluación ascendente es que los responsables locales pueden centrarse en los riesgos y controles relevantes para su área».

  • Realización de una RSCA – Enfoques y técnicas

«Los cuestionarios pueden utilizarse para recoger parte o toda la información necesaria para una RCSA. Los cuestionarios pueden utilizarse como sustitutos de un taller, para ahorrar tiempo y recursos. Son más eficaces cuando se combinan con talleres… Esto debería reducir la posibilidad de que se omitan riesgos o controles y ayudar a controlar los sesgos individuales.»

  • Integración de un RCSA en el Marco de Gestión del Riesgo Operativo

«Los resultados de la RCSA son una valiosa fuente de información para el desarrollo de planes de acción contra el riesgo operativo. Dichos planes pueden incluir la mejora de la eficacia de los controles existentes, la eliminación de controles obsoletos o la introducción de nuevos controles para subsanar deficiencias. Las acciones deben justificarse siempre por razones de coste/beneficio». En su conclusión, el libro blanco refuerza el mensaje de que los gestores del riesgo operativo deben tener siempre presente que los RCSA deben apoyar la toma de decisiones empresariales.