Del análisis a la evaluación de la incertidumbre

Fuente de la imagen: mvc archivo propio

En “Método, lógica y razón en la identificación”[1] te he refrescado lo concerniente a la identificación de riesgos en el marco del cumplimiento normativo y esta mañana he pensado reforzarte lo relativo al análisis y evaluación de la incertidumbre detectada, tipificada y clasificada en la fase identificativa. Para ello me apoyaré en dos textos editados en el sitio Compliance. El primero bajo el explícito título “Análisis de riesgos”[2]. Conforme a la doctrina fijada por el Ministerio de Hacienda y Administraciones Públicas del Gobierno de España (MHyAAPP)[3], el análisis de riesgos permite determinar cómo es, cuánto vale y cómo de protegido se encuentra el sistema. En coordinación con los objetivos, estrategia y política de la organización, las actividades de tratamiento de los riesgos permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que acepta la entidad jurídica. Al conjunto de estas actividades se le denomina Proceso de Gestión de Riesgos (PGR), que se utiliza para analizar las posibilidades y consecuencias de cada situación riesgosa detectada en el proceso de identificación de riesgos, determinando qué componentes de riesgos pueden afectar en mayor medida a la entidad y, por derivación, deben ser tenidos en cuenta de manera especial. Al igual que con la identificación de riesgos, en el análisis de riesgos debe utilizarse una metodología previamente definida y consensuada o aprobada por la dirección. Existen distintos métodos que la doctrina los clasifica en cualitativos, cuantitativos y mixtos.

Los métodos cualitativos se basan en la experiencia, el conocimiento y la percepción o intuición y son los más utilizados por las personas jurídicas. Las herramientas de campo que se manejan en esta tipología van desde informes y dictámenes de expertos o peritos en la materia objeto de análisis, hasta entrevistas personales, cuestionarios o las tradicionales tormentas de ideas. Por el contrario, los cuantitativos se basan en el cálculo de riesgo mediante la asignación previa de valores[4]. Finalmente, los mixtos se conforman mediante un “coupage” de los cualitativos y cuantitativos[5]. El procedimiento de análisis de riesgos dependerá de la envergadura del proyecto, así como de los recursos puestos a disposición, pero existen unos hitos básicos que conforman el proceso general. Una vez reconocidos y tipificados o clasificados los riesgos en la fase de identificación propiamente dicha, se procede a la conformación de una respuesta o soluciones para cada riesgo, que posibilite un amortiguamiento, moderación o mitigación de la incertidumbre. De forma paralela, se va apreciando aquellas situaciones que, por el contrario, pueden generar un incremento de que el riesgo se produzca, que aceleren su materialización. A partir de aquí, supuestamente se poseerá un enfoque más cercano a la realidad, nueva perspectiva que probablemente afecta a la clasificación y calificación previamente realizada, por lo que habrá de proceder al recálculo de riesgos conforme a las herramientas cualitativas o cuantitativas utilizadas.

En cuanto a la evaluación de riesgos, en el segundo texto, “Evaluación de riesgos”[6], apuntaba que después del proceso de análisis de riesgos[7], a continuación, se describe lo que entendemos por evaluación de riesgos en el marco del compliance. Identificados los riesgos y tamizados estos, es decir, acercados a la realidad de la institución y estimados, trabajo realizado en la fase de análisis, el siguiente paso consiste en valorar qué acciones aplicamos para reducir aquellos riesgos inherentes hasta márgenes tolerables[8]. Dependiendo de la estrategia de atenuación o reducción del valor del riesgo, este se deberá reducir hasta el margen de lo tolerable o residual. De entre los caminos decisorios, se encuentra la aceptación del riesgo tal y como es, asumiendo las consecuencias en caso de que se materialice esa incertidumbre ¿Por qué? Por ejemplo, porque no exista un “antídoto” que lo atenúe o si existe no puede ser asumido por causas económicas. En caso de que no exista antídoto[9], sugiero a la entidad jurídica que se valore la posibilidad de eliminar la actividad, proceso o tarea que origina esa incertidumbre y, caso de que no pueda ser anulada, entonces evaluar otras opciones. Otra vía podría ser cubrir el riesgo con una póliza de seguro, de forma que, si se registra la incidencia, se active la cobertura contratada con la compañía de seguros. Igualmente, la entidad puede incorporar ajustes, correcciones…[10] La finalidad de las estrategias de evaluación de riesgos no es otra que la ubicación de los riesgos inherentes en la zona de los tolerables, mediante efectivas medidas de gestión y control de riesgos.

____________________

[1] Velasco Carretero, Manuel. Método, lógica y razón en la identificación. 2022. Sitio visitado el 11/12/2022.

[2] Velasco Carretero, Manuel. Análisis de riesgos. 2013. Sitio Compliance. Visitado el 11/12/2022.

[3] Amutio Gómez, Miguel Ángel y otros. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Ed. Centro de Publicaciones del Ministerio de Hacienda y Administraciones Públicas. 2012.

[4] Numerales, ratios, probabilidades…

[5] Por ejemplo, asignar a cualidades subjetivas valoraciones de alto, medio o bajo.

[6] Velasco Carretero, Manuel. Evaluación de riesgos. 2013. Sitio Compliance. Visitado el 11/12/2022.

[7] Apoyándonos en las orientaciones de la ISO 31000:2009. Gestión de Riesgos.

[8] Conocido también como zona donde habitan los riesgos residuales.

[9]  O no se pueda sumir económicamente el “arreglo”.

[10] en definitiva, motu proprio medidas que atenúen el valor de ese riesgo alto o medio y lo trasladen a niveles tolerables o residuales.