Riesgo inherente versus riesgo residual. Cómo se evalúan.

Hace unos días recibía en mi correo electrónico una pregunta que me parece muy oportuna compartir, pues creo que la duda que planteaba podría repetirse entre algunos auditores que estén interesados en la aplicación de modelos de gestión de riesgos. La pregunta concreta se refería a si existía alguna diferencia en la forma de evaluar los riesgos inherentes y los residuales.

La respuesta es negativa. No existe ninguna diferencia en la forma de cuantificar la importancia de los riesgos, aplicándose, según los modelos tradicionales recogidos por COSO, ISO 31.000, AS/NZ 4360, e innumerables otros protocolos de uso generalizado,  a través de dos de sus atributos: la probabilidad de ocurrencia y el impacto.

Y ello es así porque ambos tipos de riesgos solo se diferencian en el nivel de control que pueda estar aplicándose en los procesos en los que estos se visualizan, pues mientras que la valoración del riesgo residual pretende estimar la importancia efectiva de la gravedad de la amenaza que estemos cuantificando, de acuerdo con las medidas correctoras que ya se estén aplicando; en la evaluación del riesgo inherente lo que se pretende es apreciar la importancia de las hipotéticas amenazas en ausencia de cualquier tipo de control. Es por tanto una valoración que no se corresponde con una situación existente, sino una simulación de la misma si no hubiésemos aplicado los controles que estemos aplicando.

Entendida la diferencia entre ambos conceptos, surge ahora una nueva pregunta. Si el riesgo inherente no responde a situaciones reales, ¿cuál es su utilidad, para qué sirve?

Desde mi punto de vista, creo que el incidir sobre los riesgos inherentes pretende objetivar la identificación de las distintas amenazas que puedan afectar a las metas empresariales, pero de la forma más exhaustiva y extensa posible, y desde una perspectiva teórica, de manera que en el mapa de riesgos que construyamos estén representados todos aquellos peligros que pudieran afectar a los procesos empresariales. Es decir, lo que se derivaría del análisis de los riesgos inherentes es la seguridad de que estemos contemplando todas las amenazas que podrían interferir en el resultado de los objetivos empresariales. Amenazas que deben estar debidamente gestionadas, para lo cual resultará necesario dar un salto y pasar a  estimar la situación real de estos riesgos, a través de la cuantificación de los riesgos residuales en los procesos empresariales. 

Para ello, una vez identificados y valorados todos los riesgos inherentes, debemos ubicarlos en los procesos donde se puedan materializar, pero, ahora sí, considerando los controles ya existentes, lo que nos permitirá recalcular el impacto y la probabilidad de ocurrencia esperada por dichos riesgos en los procesos considerados, ordenándolos por su criticidad en función de su alejamiento respecto de la tolerancia al riesgo que se haya fijado, adoptando posteriormente las medidas correctoras que correspondan.  

Esta forma de proceder es fundamental para la actividad auditora, puesto que nos permitirá posicionarnos objetivamente, y sin la influencia de la opinión subjetiva de los gestores respecto de la situación por ellos estimados sobre los procesos,  decidiendo por nuestra parte cuales de ellos son los que debemos auditar para verificar que los controles realmente aplicados sitúan a los riesgos dentro de la zona de tolerancia que se haya establecido.  

En resumen, los riesgos inherentes reflejan una situación irreal, la que se derivaría de la inexistencia de cualquier tipo de control, lo que permite identificar en forma amplia todas las amenazas que, desde una visión teórica, podrían interferir en la consecución de los objetivos de la organización.

Jesús Aisa Díez

24 de agosto de 2013