El lenguaje de los riesgos

Un lenguaje de riesgo asegura que todos los miembros de la organización compartan un método común de comunicarse los riesgos.

La primera razón por la que se necesita un lenguaje de riesgos es consolidar la cultura de riesgo. En la organización todos poseen un rol protagónico en el proceso de administración de riesgos. Se necesita un lenguaje común para atravesar las capas jerárquicas (directores, gerentes, empleados) y para eliminar barreras entre las distintas áreas. Sin un lenguaje común, los responsables de administrar los riesgos perderán su tiempo en la traducción, en resolver problemas de comunicación, en lugar de dedicarse a su objetivo primario.

Desarrollar un lenguaje de riesgo también puede contribuir a mejorar el proceso de auditoría interna. Es necesario que el propietario del riesgo, el cliente de auditoría, participe para completar una evaluación de riesgos efectiva y crear un plan de auditoría con valor agregado. El grado con que se involucre dependerá del nivel de madurez de la cultura de riesgo de la empresa. Igualmente, no sucederá esta participación y la cultura de riesgo no se desarrollará, sin un lenguaje de riesgo común que auditor y auditado comprendan

Aquí se ofrecen cuatro consejos claves para desarrollar un lenguaje de riesgos.

1. Desarrollar el lenguaje para todos

Todos tienen un rol protagónico en la administración de riesgos pero generalmente sólo los expertos en riesgos o los auditores internos manejan el lenguaje de riesgo. El lenguaje de riesgo tiene que ser comprensible a través de toda la organización. Una manera de asegurar que el lenguaje sea comprensible es llevarlo a nivel de uso cotidiano. Explicar el riesgo con palabras comprensibles a personas ajenas a la organización o a esa área específica. Luego es necesario evaluar la comprensión de este lenguaje entre distintos grupos de empleados.

Al mismo tiempo es necesario ser bilingüe acerca de los riesgos. Algunos sectores de la organización necesitan su propio lenguaje para administrar sus riesgos y desempeñar sus roles. La gente en estos sectores tiene que estar en condiciones de manejar el lenguaje de riesgo común para poder comunicarse con otros. A su vez la unidad de administración de riesgos y los auditores internos tienen que estar en condiciones de hablar en todos los lenguajes.

2. Explicar los conceptos de manera simple y clara

La comunicación con los propietarios riesgos y los expertos en un tema o asunto determinado puede ser complicada y confusa. A veces la confusión se debe a la propia naturaleza del tema, pero otras veces los mismos expertos crean confusión por razones más turbias, como para encubrir un fraude o mantener fuera del sector ojos entrometidos. Otras veces los auditores internos confunden a sus clientes con terminología de riesgo complicada. Como decía el personaje interpretado por Denzel Washington en la película Philadelphia “Explíquemelo como si yo tuviera cuatro años de edad”. El lenguaje de riesgos se tiene que basar en este simple concepto si sus desarrolladores desean conectarse con toda la organización.

El IIA-International Standards for the Professional Practice of Internal Auditing define al riesgo como "la incertidumbre en la ocurrencia de un evento que pueda tener un impacto en el logro de los objetivos. El riesgo se mide en términos de impacto y probabilidad”. Algunas organizaciones combinaron cuatro palabras de esta definición para crear sus propios lenguajes de riesgos:

• Objetivo: una meta o resultado deseado.
• Evento: lo que puede fallar. Puede ser una amenaza o accidente.
• Impacto: el nivel posible de consecuencia del evento. Los factores de impacto pueden incluir pérdidas de dinero y en la reputación o daño a la imagen de marca.
• Probabilidad o incertidumbre: la posibilidad de que ocurra el evento. Los factores de probabilidad pueden incluir historia, probabilidades, tendencias y cambios, vulnerabilidad y efectividad del control.

En el desarrollo del lenguaje de riesgo común, los auditores internos deben recordar que los eventos también pueden tener impacto positivo en el logro de objetivos.

3. Utilizar ejemplos del mundo real

Si bien las definiciones simples son importante, mucha gente necesita ejemplos para sentirse cómoda con el lenguaje de riesgo y llevar a cabo sus responsabilidades. Los ejemplos del mundo real muestran como los términos clave se ajustan de manera tal que todos en la organización puedan entender.

Tome el ejemplo de cruzar la calle. Mi objetivo primario es estar del otro lado de la calle. Además tengo otros objetivos de respaldo: 1) cruzar rápido, 2) no violar la ley, 3) utilizar información confiable para llegar a salvo. Muchos eventos pueden impactar en estos objetivos, como un embotellamiento, no ver al policía y distraerse con una conversación en el teléfono celular. Estos eventos pueden tener varios niveles de impacto, desde inconvenientes menores hasta consecuencias permanentes. La probabilidad de ocurrencia del evento también dependerá de una variedad de factores que incluyen el lugar de la ciudad, hora del día y que tanto yo quiera cruzar la calle.

Los eventos de riesgo están interrelacionados. Un evento de riesgo puede causar otro evento, que puede causar otro evento. El resultado final de estos eventos acumulados puede ser catastrófico. Un ejemplo claro de esta interrelación es la hipotética serie de eventos que le suceden a un general de la guerra de independencia Americana. Comienza con la incrustación de un clavo en la herradura de su caballo, luego de la pérdida de la herradura le sigue la quebradura de la pata del animal, más tarde el general cae del caballo, se pierde la batalla. Los auditores internos y los administradores de riesgo pueden utilizar escenarios del mundo real para demostrar como un evento de riesgo que impacta en un pequeño sector de la organización puede causar eventos de riesgo en distintas partes de la organización.

4. Crear un glosario

Un glosario es una colección de términos claves que se utilizarán en talleres de riesgo y control y en entrevistas de evaluación de riesgos de auditoría interna. También le dará a los gerentes, auditores, directores y empleados de toda la organización una fuente de referencia común para terminología de riesgo. Hay muchos términos que pueden ser parte del glosario de una organización: riesgo inherente y residual, apetito y tolerancia al riesgo, tipos de controles (preventivo, detectivo, etc.), u otras reacciones de riesgo, las categorías de riesgo de la organización, impacto del riesgo y clasificación de las probabilidades.

No hay un proceso de administración de riesgo único, o glosario de riesgo que funcione en todas las organizaciones. Diferentes organizaciones pueden utilizar diferentes términos para cubrir el mismo concepto y definir los mismo términos de diferentes manera.

Finalmente

Utilizando estos cuatro consejos para crear un lenguaje de riesgo común, los auditores internos pueden alcanzar el requerimiento descripto en los estándares para “contribuir al mejoramiento de la administración de riesgos y sistemas de control.” Si una organización no posee un proceso de administración de riesgos sustentable, una contribución de la auditoría interna puede relacionarse al desarrollo de un lenguaje de riesgo como un primer paso para establecer ese proceso. Si ya se estableció un proceso de administración de riesgo, los auditores internos quizás deseen evaluar la efectividad del lenguaje de riesgo de la organización como parte de sus revisiones de aseguramiento.

Gran parte de del éxito del departamento de auditoría depende de la comunicación con el cliente acerca de los riesgos. Un lenguaje de riesgo efectivo puede ayudar a los auditores a conectarse con los clientes de auditoría así como puede ayudar a los clientes de auditoría a afrontar sus propias responsabilidades de riesgos y controles.