COSO 2013, introduce dos nuevas variables para evaluar los riesgos, la velocidad y la persistencia. El propósito de este documento es presentar reflexiones sobre dichas variables y como nos pueden ayudar a una mejor evaluación de los diferentes riesgos que enfrentamos.
Llama la atención la poca importancia que he observado en estas nuevas variables mencionadas y estoy seguro nos sirven para tener una mejor respuesta a los riesgos.
Repasemos los conceptos y veamos algunos aspectos interesantes:
Es el tiempo trascurrido desde que ocurre el evento causa del riesgo, hasta que los efectos del mismo comienzan a afectar la entidad, es decir cuando se siente el impacto.
Hay riesgos que tienen una mayor velocidad que otros, por ejemplo, un desastre informático, la interrupción de comunicaciones o la “caída del sistema”, tiene efecto inmediato en la entidad una vez que ocurre el evento. Otros riesgos tienen velocidad moderada, por ejemplo, un impago de un cliente de tarjeta de crédito o cartera de crédito, en la fecha de vencimiento, el evento ocurre en la fecha determinada para el pago, si el cliente no lo realiza, pero el impacto real, relacionado con la provisión no se materializa hasta tanto no hayan trascurrido treinta días. Otros riesgos pueden ocurrir, pero el impacto real no se sentirá hasta que ocurran otros hechos, por ejemplo, el hurto de mercancía en el almacén o cualquier tipo de fraude, pueden ocurrir en una fecha determinada y no afectar a la entidad hasta que las mercancías sean necesarias para ser usadas o vendidas.
La pregunta sería, ¿cómo medir la velocidad del riesgo?, sugerimos que la velocidad del riesgo sea medida en días, en el caso de impacto o afectación inmediata es cero (0) días, y puede estimarse el tiempo de afectación cuando no tenemos un tiempo determinado específico.
La propuesta de hacerlo en días es porque el método es sencillo y además cualquier efecto puede ser considerado en esos períodos, es inconveniente hacerlo en horas por la dificultad de medición y que no tiene ninguna diferencia en considerar un tiempo de 6, 8, 12 horas. Además, como tratamiento del riesgo o contramedidas no existe ninguna diferencia cuando la diferencia entre riesgos es menos de 24 horas.
En la evaluación que realizamos debemos considerar que tienen mayor importancia los riesgos con mayor velocidad, es decir aquellos en los cuales el impacto afecta más rápidamente a la entidad.
Para representar gráficamente este tema debemos recurrir a un mapa de riesgos que considere esta tercera variable, por ejemplo:
En este gráfico vemos la representación de los riesgos medidos en su probabilidad e impacto y también en su velocidad.
La velocidad está representada en el tamaño del círculo, el círculo más grande representa el riesgo de mayor velocidad (riesgo número 1), es decir, el riesgo que tarda menos días en afectar la entidad. El riesgo número 5 es el riesgo de menor velocidad, su tamaño es más pequeño y por consiguiente se tarda más tiempo en afectar la entidad.
Para determinar los tamaños de los círculos, debemos elaborar la matriz de riesgo y luego ver las diferentes velocidades estimadas para cada uno de los riesgos a fin de poder establecer los tamaños comparativos luego de establecer la escala de velocidades de riesgos en la matriz.
La persistencia del riesgo consiste en cuanto tiempo permanece el riesgo afectando la entidad una vez que ha ocurrido el evento que lo desencadena.
Siguiendo el mismo ejemplo anterior en un desastre informático de interrupción de comunicaciones o “caída del sistema”, la persistencia se mide en cuanto tiempo se tarda la entidad en recuperarse o en cuanto tiempo se ve afectada.
La persistencia del riesgo tiene que ver en cuanto tiempo podemos tomar medidas para mitigar los riesgos y que tan efectivas son estas medidas para normalizar la situación.
Dependiendo de cada riesgo es posible que algunos sean de manera permanente, es decir que una vez que ocurre sus efectos son irreversibles y por lo tanto las medidas que tomamos se relacionan más con mitigar los efectos de tal forma que el impacto sea menor.
Los riesgos más persistentes son los que deben ser considerados en nuestra evaluación como aquellos que debemos prestar mayor atención, debido a que son los aquellos que su efecto o impacto tienen más permanencia en el tiempo.
Esta variable la podemos representar gráficamente de la siguiente manera:
El riesgo 1 corresponde al riesgo de mayor persistencia, es decir el que tiene más duración en tiempo, el riesgo 5, es el que tiene menos persistencia, porque representamos con el tamaño del círculo la persistencia del riesgo.
Como sugerencia hemos pensado que el tiempo en persistencia puede ser cuantificado en semanas, porque el tiempo en días que utilizamos para medir la velocidad, puede no ser apropiado para medir persistencia. Por lo general las afectaciones podrían tener una duración de una semana o más. Aquellos que tengan menos de una semana pueden ser medidos como cero en semanas.
Para hacer la representación gráfica, debemos elaborar primero la matriz de riesgos y determinar la duración de los efectos o impactos de cada uno de los riesgos en la entidad, medido en semanas, a partir de allí establecemos los tamaños de los círculos, representando con el círculo mayor el riesgo cuyo efecto tenga mayor duración o persistencia.
La matriz de riesgos que vamos a elaborar tomando en cuenta estas nuevas variables van a incluir entonces dos nuevos aspectos para evaluar los riesgos y estas nuevas variables deben también ser consideradas en el momento de en el cual determinemos las acciones a tomar para mitigar los riesgos.
Las evaluaciones de riesgos que realicemos en el futuro tomarán en cuenta:
*Nelson Camargo
Contador Público
Consultor Asociado de rics manamegent
Experto en auditoría interna y control interno