Servicios Tecnológicos sector empresarial

¿Verificas la mitigación en la gestión de riesgos?

Escrito por Eliseo Martín | 11-dic-2018 8:15:00

La verificación de la mitigación es una de las mejores formas de comprobar que nuestro modelo de cumplimiento funciona correctamente. 

El modelado de riesgos se basa habitualmente en una estructura de tres niveles, donde:

  • Normas: identifican el origen del riesgo.
  • Riesgos: identifican los elementos evaluados, destacando los de mayor riesgo_inherente relacionados con una misma norma.
  • Controles: identifican al conjunto de elementos necesarios para eliminar o mitigar alguno de los riesgos. Así, para cada riesgo, con su conjunto de controles se puede calcular la mitigación y como consecuencia el valor del riesgo_residual al que tiene que enfrentarse la entidad.

Y así muchos podríais estar de acuerdo con este modelo, si además lo unimos a una política de actualización de estos tres elementos de al menos una vez al año.

¿Pero, …admite este planteamiento alguna crítica?

Según mi punto de vista personal, tiene al menos tres críticas relevantes:

  • Falta de Objetividad: El valor de “mitigación» obtenido es una estimación con un alto grado de subjetividad, que se estima en base a 1, 2,… y hasta 6 atributos asociados a cada uno de los controles del riesgo, dependiendo de la metodología utilizada. 
  • Falta de Comprobación: Este modelo no incluye cómo averiguar si las medidas, creadas a la luz de estos controles, funcionan correctamente o no, para dar por bueno el valor de la mitigación estimada. 
  • Escasa Frecuencia: En el mundo en el que nos ha tocado vivir y a la velocidad con la que cambian las cosas, ¿no os parece poco sólo una actualización al año?.

 

¿Cómo podríamos resolver estas carencias?

Ante estas tres carencias, nuestra propuesta consiste en:

  • Aumentar la frecuencia y hacer una “foto” del estado del cumplimiento al menos una vez al mes.
  • Facilitar la medida de la realidad objetiva de la eficacia de las medidas para que confirmar la mitigación estimada es válida.

Muchos podéis pensar que si ya lo tenemos complicado para llevar a cabo las tareas actuales, si ahora además, tenemos que hacer frente a más de una actualización al año, la realización de los informes para la dirección, los informes para terceros,… ¿cómo vamos a hacer ahora más tareas y con más frecuencia sin aumentar el equipo de cumplimiento?

 ¿Qué propuesta podemos ofreceros?

Nuestra propuesta es para facilitar y automatizar aquellas tareas repetitivas y de poco valor añadido, proporcionándoos tiempo extra para las tareas más delicadas.

Consiste en dos puntos básicos:

1- Mejorando el control, añadiendo un cuarto nivel, al modelo inicial de tres pisos, para la medición de la eficacia de las medidas, que hemos denominado “Indicadores de eficacia de las medidas”. 

Con qué objetivo:
  • Proporcionar un nuevo valor del riesgo residual, que llamaremos riesgo_residual_corregido, ajustado con la eficacia de la mitigación.
  • Calcular el % de la eficacia real de las medidas a partir de fórmulas a aplicar a los datos recogidos.
  • Añadir objetividad en base recoger datos/evidencias reales de la entidad, proporcionados directamente por quienes tienen responsabilidad sobre ellos.

2- Automatizando y/o eliminando tareas repetitivas

¡No todo va a ser complicaros la vida!. Proponemos un sistema que os asista en la formulación del cálculo de la eficacia de las medidas para obtener la eficacia individual y colectiva a nivel de cada control.

Este cálculo requiere la recogida de datos y evidencias directamente desde las fuentes y su valoración objetiva. Además, y en función del peso de cada control, se obtendrá la estimación del valor corrector (eficacia) para así poder calcular el nuevo valor de riesgo_residual_corregido.

3-Aumentando el riesgo si no hay control. En el caso de que haya riesgos para los que no se implante la comprobación en sus controles la verificación de la eficacia de las medidas, se propone corregir la mitigación con un valor de eficacia del 50%, para rebajar la mitigación a la mitad.

Conclusiones

Entiendo que este enfoque es mucho más conservador que el tradicional, discutible e incluso criticable, y que puede y debe ser mejorado, pero mi intención es intentar mejorar la calidad de la función de control del cumplimiento y objetivarla lo más posible. Estoy abierto a recibir aquellas críticas y comentarios que sumen en esa dirección.