La matriz de riesgo es una herramienta que permite la gestión del riesgo operativo relacionado a cada sistema: crédito, liquidez, mercado, operativo y de lavado de activos y financiación del terrorismo.
La matriz de riesgo se fundamenta en una metodología sistémica que cuantifica el riesgo a partir de la identificación de eventos de riesgo a los que se encuentra expuesta la entidad.
Entendiendo que el objetivo es disminuir la probabilidad de materialización del evento o disminuir la afectación que puede tener el evento en caso de materialización, la gestión del riesgo se debe realizar sobre las causas que pueden materializar el evento, y estas causas deben estar relacionadas a un proceso dentro de la organización.
La metodología sistémica de la matriz establece la cuantificación de riesgo de exposición a partir del Riesgo Inherente, entendiéndose este como la probabilidad de ocurrencia y el impacto que puede tener la materialización del evento, previo a los controles que desarrolla la entidad.
Es importante resaltar un hecho que muchas veces se pasa por alto y es que la metodología de matriz por sí misma no disminuye la exposición al riesgo, son los controles que se ejecutan dentro de los procesos operativos de la entidad, los que determinan la exposición real al riesgo.
Con la cuantificación del riesgo inherente, sigue el turno para evaluar la eficacia, eficiencia y oportunidad de los controles, con lo cual se obtiene el Riesgo Residual, entendiéndose este como la exposición al riesgo que permanece después de la labor de control que ejecuta la entidad.
Esta etapa de la metodología es la más importante y conlleva en su gestión la generación de valor a partir del desarrollo de controles efectivos, eficientes y oportunos.
La valoración de los controles puede diferir de acuerdo con la metodología sobre la cual se desarrollan la matriz de riesgo, sin embargo, el principio es el mismo, valorar cada control de acuerdo con unos criterios preestablecidos que permitan definir la efectividad del control.
Cabe anotar que los controles por su naturaleza sólo pueden tener incidencia en la probabilidad de materialización o en el impacto, pero no pueden tener simultáneamente incidencia sobre ambos. A modo de ejemplo, podemos considerar como evento de riesgo un incendio, los controles que existen para este evento pueden ser: letreros de prohibido fumar, extintores, aspersores de agua, alarmas de incendio, seguros de incendio, entre otros. En este caso el único control que evita la materialización del evento es el letrero de prohibido fumar, es decir es un control preventivo que tiene incidencia en la probabilidad de ocurrencia, los demás controles por su naturaleza tienen incidencia sobre el impacto, es decir buscan disminuir la afectación en caso de materialización del evento.
Es muy importante tener claridad respecto de la naturaleza del control, ya que esta incide significativamente en su relación costo beneficio al momento de decidir sobre su implementación.
Con este punto aclarado, el cálculo del riesgo residual es más simple de interpretar. Supongamos nuevamente el evento del incendio y consideremos nuevamente los controles del ejemplo. La valoración de cada control a partir de la valoración de los criterios va a determinar la efectividad de cada control. Suponiendo que el control que llamamos “letrero de prohibido fumar”, tiene una alta efectividad, es decir evita la materialización del incendio, el riesgo residual va a ser la probabilidad inherente multiplicada por la exposición al riesgo después del control, es decir, si el control tiene una efectividad del 97%, el 3% restante es la exposición al riesgo que permanece después del control. Si la probabilidad inherente era 5, la probabilidad residual será 5 multiplicada por el 3%. Es decir que la probabilidad residual será 0,15.
En este punto toma relevancia el apetito de riesgo de la entidad, una vez cuantificado el riesgo residual, es la entidad quien decide si asume el riesgo o si mejora, desarrolla o adopta nuevos controles para disminuir la exposición al riesgo.
Contáctate con el equipo de consultoría de Garantías Comunitarias para que juntos cuantifiquemos el impacto de esta actualización de norma.
