Los mapas de riesgo o mapas de calor son una herramienta poderosa para transmitir el mensaje del riesgo a los usuarios, estos permiten con una mirada rápida identificando cuáles son los principales riesgos de la entidad y cuáles estrategias son las más recomendables para los riesgos negativos (evitar, transferir, mitigar o aceptar) o para los riesgos positivos (explotar, compartir, mejorar o aceptar).
Estos mapas de riesgos acompañados de las adecuadas matrices, permitirán documentar los controles, su calificación, así como las acciones de remedición que sean requeridas.
Este tipo de mapas nos ayudarán en la construcción de los planes de contingencias, recuperación, emergencia y respuesta a los riesgos.
Hasta ahora, muchos de nosotros nos encontraremos en la primera línea de gestión de riesgos, ¿Pero… realmente es suficiente? ¿Estamos haciendo todo lo necesario en las áreas de gestión de riesgos para colaborar con una verdadera gestión integral de los riesgos de la empresa?.
Algunos lectores consideran que este es un primer paso dentro del camino de la gestión de los riesgos del negocio,el cual deben seguir, aun asi existen otros que son muy importantes que responden las siguientes preguntas:
- ¿Cómo se correlacionan los riesgos?
- ¿Cuál es el valor en riesgo de la empresa?
- ¿Cuáles son los escenarios más probables?
- ¿Cuáles son los escenarios más críticos?
Para esto las empresas pueden utilizar la herramienta denominada modelo de riesgo, la cual debe:
- Estar alineado con el apetito de riesgo de la entidad.
- Proveer los riesgos potenciales a los que se ve expuesta la entidad como resultado de nuevos productos, procesos, sistemas, aliados estratégicos y proveedores.
- Establecer procedimientos para su evaluación y mitigación.
- Establecer procedimientos para la reevaluación periódica de los riesgos más relevantes y potenciales.
- Establecer las medidas de mitigación en cada caso mencionado en el item anterior.
- Identificar, analizar y cuantificar los cisnes negros.
Con esto, la entidad efectuará una evaluación de su exposición, midiendo las consecuencias y correlaciones de los riesgos.
Para realizar la alineación del apetito del riesgo con la exposición de la empresa es necesario definir los parámetros de gestión de las distintas clases a las que se enfrenta la entidad en sus operaciones. Estos parámetros deben ser incorporados en indicadores tanto cuantitativos como cualitativos que permitan evaluar periódicamente el riesgo que enfrenta la compañía.
Con esta metodología la entidad puede anticipar los riesgos potenciales a los que se puede exponer por cambios en el entorno o las decisiones propias, y asegurar que la implementación de estas solo se llevan a cabo una vez adoptadas las medidas de mitigación correspondientes.
No obstante, es bien conocido que la gestión de modelos tiene desventajas que deben mantenerse bajo control, por ejemplo:
El modelo como tal tiene el denominado “Riesgo del Modelo” que se define como: pérdida potencial que se puede incurrir como consecuencia de las decisiones que podrían basarse principalmente en el modelo de riesgo, debido a errores en su desarrollo o implementación de este.
Por lo que es necesario:
- Organización y gobernanza del modelo: la junta directiva debe participar en la aprobación del modelo y la función de riesgos, debe reportar directamente al comité de riesgos.
- El modelo debe ser sometido a procedimientos de aseguramiento por entes independientes (sea auditoría externa o interna).
- Cuantificar el riesgo del modelo con respecto a la sensibilidad a los errores en los datos o su ausencia, estimaciones y usos.
- Gestionar el ciclo de vida del modelo lo que incluye, el desarrollo, documentación, uso y hasta su desmantelamiento.
- Procesos y tecnología: el modelo debe tener el adecuado respaldo de procesos y plataformas de tecnología.
- Seguimiento o monitoreo.
Una descripción de las responsabilidades del modelo de riesgo visto desde las tres líneas se observa a continuación:
- Primera línea : responsable por el desarrollo y uso del modelo.
- Segunda línea: responsable de la validación y control del modelo.
- Tercera línea: responsable de la auditoria del modelo.