Según mi experiencia en conversaciones con gestores de riesgos, temas como la cultura del riesgo y la aceptación del sistema de gestión de riesgos suelen ser sus principales preocupaciones.
Las preguntas más frecuentes incluyen:
- «¿Cómo puedo lograr evaluaciones de riesgos plausibles y precisas y no solo la publicación urgente dos días después de la fecha límite?»
- «¿Cómo puedo realizar un seguimiento del estado de implementación de las medidas acordadas?»
- «¿Cómo puedo informar de mis riesgos a la junta directiva sin parecer portador de malas noticias?»
La reciente revisión de la norma de auditoría IDW PS 340 ha suscitado un acalorado debate en torno a temas como la capacidad de asumir riesgos y la agregación de riesgos. En pocas palabras, estos debates se centran en la metodología del sistema de gestión de riesgos y el grado de importancia de utilizar enfoques cuantitativos.
La publicación de la norma IDW PS 340 n.F. a finales de junio tendrá una serie de repercusiones en los sistemas de alerta temprana existentes previamente certificados por el auditor. La mayoría de las empresas se enfrentarán a cambios en su metodología, ya que la frase clave «amenaza para la continuidad de la empresa» marca una diferencia fundamental.
La capacidad para llegar a una conclusión al respecto y realizar análisis periódicos requiere una conciliación entre la capacidad de asumir riesgos y la exposición global actual al riesgo. Otro aspecto importante en este contexto es la agregación de riesgos más allá de la agrupación de tipos de riesgos. Además, debe reforzarse el seguimiento de las medidas de mitigación definidas.
Un estudio recientemente publicado estudio de Deloitte confirma la necesidad de tomar medidas dentro de las empresas, ya que más de un tercio de los participantes en el estudio no comprendían completamente los cambios resultantes. De hecho, solo alrededor de la mitad de los encuestados considera que sus procedimientos actuales ya cumplen los nuevos requisitos.
Las opiniones de los expertos sugieren que existe cierta discrepancia entre estos requisitos, los enfoques científicos en los que se basan y el grado de implementación de estos conceptos en las empresas. El plazo es todo un reto: las empresas que comiencen su ejercicio financiero el 1 de enero de 2021 deberán someter su sistema de alerta temprana a una auditoría basada en la norma de auditoría revisada.
Alyne ofrece un paquete versátil que facilita la realización de los ajustes necesarios:
- Inventario holístico de riesgos generales: Una amplia biblioteca de controles, plantillas listas para usar plantillas listas para usar, requisitos de control y riesgos interrelacionados están disponibles en Alyne. Con estas plantillas, se puede realizar fácilmente un análisis de deficiencias en las áreas temáticas pertinentes . Según los resultados, los riesgos se reflejan por criticidad y, a continuación, pueden seguir el proceso de gestión de riesgos. Existen diversas opciones de evaluación, así como el popular mapa de calor, para obtener una visión general rápida de los riesgos.
- Evaluaciones de riesgos cualitativas y cuantitativas: Las evaluaciones de riesgos pueden realizarse basándose en escalas cualitativas (por ejemplo, impacto crítico/entrada casi segura), con la opción de registrar una evaluación financiera por separado. La calculadora de estimación de pérdidas por riesgos de Alyne guía a los responsables de los riesgos con mayor precisión en la estimación de las pérdidas por riesgos, planteando una serie de preguntas para cuantificar el riesgo, basadas en el modelo FAIR, y devolviendo una estimación de las pérdidas financieras a partir de las respuestas proporcionadas.
- Consideración de la capacidad de asumir riesgos/apetito de riesgo:
Como elemento central, se muestran gráficos en tiempo real para representar tanto la propensión al riesgo (que suele derivarse de la capacidad de asumir riesgos) como la exposición global actual al riesgo. Estas representaciones gráficas tienen en cuenta las medidas de mitigación, ilustradas a lo largo de una línea temporal que refleja las fechas de vencimiento de las medidas. - Documentación y seguimiento de medidas: Hay dos formas de registrar las medidas de mitigación: pueden registrarse libremente o crearse a partir de un control de la biblioteca de controles de Alyne. Además, se registran las responsabilidades y los plazos, y es posible incluir actividades detalladas que pueden marcarse individualmente como completadas. Se puede configurar cualquier número de recordatorios automáticos con la posibilidad de alertar a los usuarios individuales en cualquier momento. Dependiendo del grado de implementación, la reducción del riesgo de la medida afecta a la situación general de riesgo.
- Determinación de la exposición global al riesgo mediante agregación: Aprovechando la simulación Monte Carlo integrada de Alyne, los valores de los riesgos individuales aprobados se agregan a una posición global, lo que le permite visualizar los resultados en cuestión de segundos. Gracias a una infraestructura sin servidor altamente escalable, la representación gráfica muestra la distribución de la pérdida potencial por riesgo y muestra el valor en riesgo (VaR), el número de iteraciones y la función de distribución seleccionada.
Los clientes de Alyne están bien equipados para cumplir con los nuevos requisitos. En general, queda por ver en qué medida los cambios en los sistemas de gestión de riesgos, impulsados por la IDW PS 340 n.F., darán buenos resultados en el sentido de las cuestiones mencionadas al principio. Sin embargo, una evaluación y agregación comprensible y coherente de los riesgos, así como la incorporación de la idea de la capacidad de asumir riesgos en los mecanismos de gobernanza de la empresa, solo pueden contribuir a una mayor aceptación de los esfuerzos de los gestores de riesgos.
