La Gestión de Riesgos.

...

C.2.1. Identificación

Para cada objetivo del negocio de XXXXXX es necesaria la identificación de los Riesgos clave que puedan impedir su consecución. La identificación de Riesgos está instituida como elemento necesario en todos los procesos de negocio clave y en las operaciones del día a día. Por ejemplo, en la toma de decisiones relevantes para la Organización (a nivel de Dirección, en cada proceso de negocio, en nuevas inversiones, etc.); en los cambios organizativos, en los procesos o los sistemas, etc.

El proceso de identificación de Riesgos consiste en la búsqueda de aquellos eventos, asociados a factores internos o externos, que pueden dar lugar a amenazas u oportunidades con incidencia en la consecución al de los objetivos buscados. Todo ello en el contexto del ámbito global de la empresa, identificando asimismo los objetivos de negocio que se puedan ver afectados, bien favorable como desfavorablemente.

A tal fin se ha creado un Catálogo de 52 Riesgos, con el que se procederá a la identificación de los que puedan manifestarse en los procesos de la Organización, con el fin de identificarlos y actualizar de forma periódica el Catálogo identificando posibles Riesgos adicionales.

Habitualmente se reconocen las siguientes fuentes de origen de Riesgos, con independencia de otras muchas existentes. El objetivo es identificar rápidamente la fuente de origen del Riesgo para poder definir más fácilmente respuestas y responsabilidades:

- Dirección y toma de decisiones a nivel corporativo

- Influencia externa

- Recursos Humanos

- Sistemas de Información

- Regulaciones vigentes y aparición de nueva normativa

- Eventos naturales (Crecidas, cambio climático, etc.)

- Seguridad y salud en el trabajo

- Proveedores y subcontratistas

- Tecnología

- Procesos Internos (contratación, etc.)

Asimismo, cada Riesgo será clasificado en función de los cuatro grandes grupos de objetivos definidos en la propia metodología COSO II:

- Estratégicos

- Operacionales

- Reporting/Información

- Cumplimiento

C.2.2. Evaluación

Se deberán valorar todos los eventos identificados desde una doble perspectiva (probabilidad de ocurrencia e impacto). Los resultados positivos y negativos de los eventos potenciales se valoran en función de esta doble perspectiva (impacto y de su probabilidad), distribuyéndolos en función de la categoría de Riesgo a la que pertenezca (Estratégico, Operacional, Reporting y Cumplimiento).

El proceso de Evaluación de Riesgos recae sobre la Dirección, los Responsables de los procesos de negocio, y los Gestores de Riesgos, los cuales tendrán que autoevaluar los Riesgos identificados desde la perspectiva residual; es decir, después de la implantación de los Controles. Adoptando las medidas que se consideren precisas para reconducir los riesgos a los entornos de la tolerancia a la riesgo que se haya considerado viable con las metas de la organización.

La herramienta principal de evaluación de Riesgos es el Mapa de Riesgos. El proceso de evaluación consiste en la ubicación dentro del Mapa de Riesgos, de aquellos eventos que supongan una amenaza para los objetivos y/o reputación de las siguientes áreas funcionales:

- Empresa, en general

- Dirección

- Subdirección / Departamento

C.2.3. Gestión de Riesgo

Si el nivel de riesgo una vez considerado los controles y acciones (Riesgo Residual) que se llevan a cabo para su mitigación, no se encuentra en la zona de confort (cerca del apetito del riesgo de la Organización), se requiere una acción adicional (Plan de Acción) para bajar aún más el nivel de riesgo deseado (Riesgo Objetivo).

A continuación se exponen las opciones de Gestión de cada Riesgo y algunos ejemplos relevantes para cada una de ellas:

- Rechazar: Decisión adoptada con el fin de evitar los hechos indeseados. Algunos ejemplos podrían ser los siguientes:

- Decidir no emprender nuevas iniciativas/actividades que podrían dar lugar a Riesgos.

- Prescindir de una unidad de negocio, línea de producto o segmento geográfico.

- Compartir: Transferir el efecto de una posible pérdida a terceras partes. Algunos ejemplos podrían ser los siguientes:

- Externalizar procesos de negocio.

- Adoptar seguros contra pérdidas inesperadas significativas.

- Distribuir el Riesgo mediante acuerdos contractuales con clientes, proveedores u otros socios del negocio.

- Protegerse contra los Riesgos utilizando instrumentos del mercado de capital a largo plazo.

- Establecer acuerdos con otras empresas.

- Mitigar: Reducir la probabilidad de ocurrencia de un evento y/o el impacto. Algunos ejemplos podrían ser los siguientes:

- Establecer procesos de negocio eficaces.

- Establecer límites operativos.

- Aumentar la implicación de la Dirección en la toma de decisiones y el seguimiento.

- Reasignar el capital entre las unidades operativas.

- Aceptar: Decisión debidamente comunicada y soportada de aceptar el impacto y la probabilidad de un determinado evento. Por ejemplo:

- Confiar en las compensaciones naturales existentes dentro de una cartera.

El diseño de las respuestas a los Riesgos debe considerar un análisis coste-beneficio entre la trascendencia del Riesgo y las acciones a desarrollar para gestionarlo.

El proceso de análisis y diseño de las respuestas a los Riesgos