Medición de riesgos: la probabilidad e impacto, riesgo inherente

El objetivo de esta etapa es la obtención del riesgo inherente de los eventos levantados. El riesgo inherente corresponde al riesgo intrínseco, es decir, el riesgo propio de una actividad sin considerar que se han incluido controles para mitigarlo.

El riesgo inherente se lo obtiene de la multiplicación de su probabilidad de ocurrencia del riesgo por su impacto o consecuencia.

Tipos de análisis

Análisis cualitativo: Usa palabras, es descriptivo, describe la magnitud de la probabilidad o del impacto.

Análisis semi cuantitativo: A las escalas cualitativas se les asigna valores, se les asigna números, permite ordenar prioridades de forma más detallada.

Análisis cuantitativo: Utiliza valores numéricos para las consecuencias y probabilidades (en lugar de las escalas descriptivas utilizadas en los análisis cualitativos y semicuantitativos).

Se puede realizar un análisis cualitativo, cuantitativo, semi cuantitativo o una combinación de estos. Las escalas deberán ajustarse acorde a las circunstancias propias de un sujeto obligado, se puede tomar como referencia las tablas de los estándares, pero no existe un formato único.

Valoración de la probabilidad e impacto:

La probabilidad hace referencia a la frecuencia esperada de un riesgo. La probabilidad puede ser expresada como la cantidad de veces que un riesgo podría ocurrir en la organización en un determinado tiempo. Podría expresarse también en porcentaje de veces que se es pera que ocurra el evento de riesgo.

El impacto hace referencia al grado de afectación de los objetivos de la organización, en caso de que el riesgo llegue a materializarse. El impacto se debería analizar y calificar a partir de las consecuencias identificadas en la etapa de identificación del riesgo.

Hay que considerar que el impacto no se refiere únicamente a una posible pérdida contable, sino a otros tipos de daños como multas, sanciones, de tipo reputacionales, etc.

Existen varias metodologías para valorar el impacto. En materia de lavado de activos, el impacto debería evaluarse en función a sus cuatro riesgos asociados: legal, reputacional, operativo y contagio.

Priorización del riesgo

En esta etapa la organización va a poder separar los riesgos bajos (aceptables) de los riesgos mayores.

Se debe validar si el resultado dentro del mapa de calor está de acuerdo a la realidad, es decir, si el riesgo se está reflejando adecuadamente. De no ser así, se debe volver a analizarlo y ajustarlo.

Con la evaluación de riesgos realizada en esta etapa, se obtiene la lista de riesgos priorizados, lo que permite cumplir con el enfoque basado en riesgos EBR. Se deben priorizan los riesgos con mayores niveles de impacto y probabilidad (riesgos altos y críticos) para la puesta en marcha de planes de acción inmediatos.

Los riesgos con niveles bajos y moderados deben ser monitoreados permanentemente para garantizar que se mantengan en esos niveles bajos.