Auditoria Financiera

La Matriz de Riesgos, soporte de la gestión de riesgos.

Las modernas metodologías de gestión de riesgos promueven una cultura de controles internos y administración de riesgos para una adecuada gestión de los procesos que soportan los negocios de la organización.

Dentro de esa gestión de riesgos, que es muy grande, muy abarcativa y que involucra a todos los participantes de la organización, incluso a las Auditorías, me voy a referir a un elemento muy importante y que soporta una buena parte de esa gestión: las matrices de riesgos de los procesos.

Si bien no se trata de la matriz de riesgos de la auditoría. Auditoría es usuaria de estas matrices y bien puede utilizarla como fuente para sus trabajos.

Frecuentemente me solicitan modelos de matrices de riesgos o me piden referencias sobre sistemas de soporte con matrices de riesgos.

En esas oportunidades lo primero que hago es repreguntar lo siguiente:

- qué están haciendo en su organización en materia de gestión de riesgos?

La mayoría de las veces me responden:

- por ahora nada, estamos esperando contar con el sistema; o bien

- esperamos tener un buen modelo de matriz de riesgos para volcar los datos y comenzar a trabajar sobre los principales riesgos.

Este tipo de situaciones me llevan a focalizar este artículo en la descripción de los conceptos necesarios para trabajar con matrices de riesgos, porque entiendo son necesidades previas a su instalación.

Una vez entendidos estos conceptos estaremos en condiciones de seleccionar el sistema o el modelo que más se adecue a nuestra empresa.

1. El proceso de la gestión de riesgos.

El IRAM (Instituto Argentino de Normalización y Certificación) explica muy bien en su Norma A-17.550 las actividades dentro de una gestión de riesgos.

Recomiendo al lector la lectura de esa norma.

El siguiente cuadro de la A - 17.550 sobre el sistema de gestión de riesgos me resulta absolutamente didáctico:

Los procesos en los que cobra relevancia la matriz de riesgos son aquéllos incluídos en el área sombreada: identificación, análisis y evaluación de los riesgos que también se relaciona con “establecer el contexto” (o fase táctica de la gestión de riesgo), con “tratar los riesgos” (o respuesta al riesgo) y con “comunicar y consultar” (o monitoreo y reporte).

En este artículo me referiré sólo a los primeros, a los del área sombreada.

2. El proceso de identificar riesgos.

- Ok, manos a la obra, a registrar riesgos se ha dicho!

Exclaman entusiastas las personas que, recuerdan, estaban esperando el sistema o el modelo de matriz para comenzar a trabajar, una vez que los consiguen.

Ese loable impulso, se verá rápidamente frenado por algunas cuestiones que les surgirán antes de registrar el riesgo que surge, claramente, como el más básico de cualquier proceso bajo análisis.

La primera definición que necesitamos es saber a qué nivel de procesos vamos a relacionar nuestras matrices de riesgos.

Si estuviéramos analizando el proceso de una Gestión de insumos en una empresa fabril, podríamos armar una jerarquía o niveles de procesos (subprocesos, actividades, operaciones, etc.) y tendríamos la siguiente jerarquía de procesos:

Para el ejemplo seguimos una línea recta descendente sin considerar las actividades del mismo nivel que corren en forma paralela. Así, al mismo nivel de Compras podríamos ubicar la Administración del stock de insumos, con sus actividades de recepción, inventario físico y registros, despacho a planta, etc. Y así seguiríamos descendiendo en la jerarquía.

Resulta preocupante imaginar el tamaño que puede tomar el detalle de todos los riesgos hasta el nivel de la operación más simple.

Conclusión: determinar un nivel de detalle de los procesos que permita la administración lógica y eficiente de la gestión y que asegure que los principales riesgos están siendo evaluados es fundamental porque si se pretende llegar a un nivel exhaustivo de análisis se corre el riesgo de perder foco en lo verdaderamente importante.

Una mera orientación: el nivel de Subproceso, Compras en el ejemplo, normalmente es el adecuado. Pero hay que verificar esa validez para cada caso.

Ninguna empresa es igual a otra. Indudablemente debemos entender todos los procesos para armar un inventario o una arquitectura de procesos de la organización.

Luego de algunos relevamientos y unas cuantas reuniones con algunos sabihondos, seguramente conseguiremos armar el rompecabezas y tendremos una idea más o menos clara de los procesos de la organización.

- Muy bien! Ahora sí, a registrar los riesgos!

- Pero, cuáles riesgos?

Muy sencillo: ya tenemos los procesos identificados y hasta descriptos. Pues bien, cómo sabemos, los riesgos que nos interesan son aquéllos que pueden afectar la consecución de los objetivos de estos procesos.

Necesitamos, por lo tanto, conocer claramente los objetivos de cada proceso.

Ahora bien, pregunto al lector si en su organización:

• Están claramente definidos los objetivos de cada proceso?

• Esos objetivos están alineados con los objetivos estratégicos?

• Las personas responsables por la ejecución de las distintas actividades dentro de los procesos, conocen esos objetivos?

• Esos objetivos y sus metas son razonables?

Un NO como respuesta a cualesquiera de esas cuatro preguntas determinará numerosos riesgos directos sobre la eficiencia del proceso. El punto más claro es el caso del las metas excesivas que puede generar mayores costos por ventas ficticias (devoluciones, fletes, impuestos, comisiones mal pagadas, descuentos indebidos, créditos mal otorgados), ventas forzadas, conductas antiéticas, etc.

Otro aspecto a tener en cuenta es: quién va a registrar los riesgos?

Se

...