Según el Instituto de Riesgos (IOR), «Una solución viable taxonomía de riesgos -a menudo denominada categorización de los riesgos- puede considerarse la base sobre la que se asienta una se construye el marco de gestión de riesgos. Sin este marco común de referencia para la información sobre riesgos, no habrá una base clara para la supervisión, la elaboración de informes o la adopción de medidas significativas.»
¿Cuáles son los principales tipos de riesgo?
En su libro blanco «Categorización del Riesgo Operativo», el IOR resume los tipos de riesgo clave a los que están expuestas las organizaciones como Crédito, Liquidez, Mercado, Operativo, Reputación y Estratégico. Su orientación afirma que estos riesgos existen en un contexto organizativo más amplio: las exposiciones y los acontecimientos pueden solaparse, y los acontecimientos en un tipo de riesgo pueden, en cadena, causar riesgo en otro.
¿Cuáles son las ventajas de clasificar los riesgos?
Poner los riesgos en categorías los delimita de otros tipos de riesgo y proporciona una forma útil de determinar dónde está la mayor concentración de amenazas. La categorización permite determinar las causas comunes de los riesgos. Y, lo que es más importante, puede ayudarte a desarrollar respuestas adecuadas a los riesgos. Las cuatro ventajas principales son Identificación – con un «menú» de posibles riesgos, una organización puede determinar cuáles son relevantes para sus departamentos o actividades, evitando así que se pasen por alto riesgos potenciales. Medición: la coherencia en los términos y las descripciones permite comparar los riesgos operativos y acumular datos. Supervisión e información – con un marco de referencia común, los resultados de un marco de gestión del riesgo operativo pueden analizarse mejor; pueden asignarse recursos a los riesgos operativos más significativos, comparar las exposiciones al riesgo en toda la empresa y establecer objetivos y umbrales adecuados. Control: las distintas categorías de riesgo pueden exigir respuestas de control muy diferentes. Con la categorización, pueden desarrollarse estrategias de control personalizadas.
¿Debe el personal de todos los niveles sentirse cómodo con la categorización de riesgos?
Sí, el personal de toda la organización debe ser capaz de entender las descripciones de categorización de riesgos utilizadas, y la categorización debe servirles de apoyo en sus funciones. Inicialmente, se recomienda un borrador de consulta, invitando a todos los implicados en el uso de la categorización a hacer comentarios.
¿Con qué frecuencia debe revisarse un marco de categorización?
Se aconseja una revisión periódica, ya que las operaciones empresariales y sus riesgos operativos asociados están sujetos a cambios. Pueden surgir nuevos riesgos y aparecer lagunas, por lo que, para garantizar su validez, se recomienda una revisión anual.
¿Es complejo diseñar un marco de categorización del riesgo operativo?
La guía explica que hay que tener mucho cuidado al considerar el diseño del marco, ya que los errores pueden dificultar su uso, hacerlo ineficaz o hacer que se pasen por alto los riesgos. Dado que los riesgos operativos son una combinación de causas, sucesos y efectos, un marco puede basarse en cualquiera de estas tres facetas, aunque la categorización basada en sucesos es la más habitual.
¿Tiene el IOR una opinión sobre cuál es la mejor base para la categorización?
El IOR favorece la categorización basada en sucesos, y recomienda que, siempre que sea posible, se utilicen subcategorizaciones de alto nivel para sus causas y efectos, como complemento de la categorización basada en sucesos. Esto permite a una organización vincular mejor las causas, los sucesos y los efectos, e identificar y mitigar los patrones potencialmente peligrosos.
¿Qué otros factores deben tenerse en cuenta en la fase de diseño del marco?
El consejo es garantizar que el diseño de la categorización sea adecuado, proporcionado y con una granularidad de nivel 1, como máximo de nivel 2. Debe haber coherencia y explicaciones claras e inequívocas para cada categoría de riesgo. El marco debe ser relevante para todas las partes de la operación y estar estructurado de forma coherente con las actividades y los objetivos. Y es mejor evitar incluir una categoría de «otros»; si surgiera una nueva categoría de riesgo, debería añadirse al marco.
¿Cuál es la mejor manera de ponerlo en práctica?
Con orientaciones que abarcan desde las funciones y responsabilidades de los usuarios primarios y los factores clave que deben tenerse en cuenta para implantar con éxito el marco, hasta los retos habituales que pueden surgir y cómo superarlos, el libro blanco es una lectura esencial.
