Redefiniendo el Riesgo Inherente: Un Enfoque Coherente para la Gestión de Riesgos y Cumplimiento


En el libro Diez errores filosóficos, Mortimer Adler analiza errores que en su momento pasaron desapercibidos y que luego tuvieron vastas implicaciones.

El concepto de riesgo inherente, tal como se aplica actualmente en la gestión de riesgos, creo que es uno de esos errores conceptuales que podríamos haber evitado y que aún podemos reorientar.

Este artículo propone su reemplazo por un concepto coherente con temas largamente estudiados en el pensamiento contemporáneo, y la incorporación de un vocabulario más moderno y apropiado que facilite la convergencia entre la gestión de riesgos y de cumplimiento para optimizar recursos, mejorar la comunicación y permitir una evaluación más precisa de los riesgos organizacionales.

I. Empecemos por el principio: ¿En qué consiste la esencia de la manzana?

En artículos anteriores he explorado el concepto de riesgo en varios contextos y el más relevante para el tema de hoy, “¿Que queremos decir realmente cuando hablamos de Riesgo?” lo puedes encontrar aquí. Hoy nos centraremos específicamente en el término “inherente.”

Desde Aristóteles hasta Locke, se distingue entre:

- Atributos esenciales (inherentes): Definen la esencia de algo; sin ellos, ese algo deja de ser lo que es.

- Atributos accidentales: Pueden cambiar sin alterar la naturaleza esencial.

Por ejemplo, el rojo no es inherente a una manzana, ya que existen manzanas de diversos colores.  Luego, el color no forma parte de su esencia, como tampoco su tamaño, o su sabor.

Similar significado de inherente puede encontrarse en los diccionarios más reputados del inglés, el francés, el alemán y el español (OED, LGD, Duden, RAE).

En el ámbito financiero, el riesgo de crédito es inherente a un préstamo, ya que la posibilidad de impago es inevitable por naturaleza. Aunque se pueden reducir las probabilidades de impago o las pérdidas en caso de incumplimiento, el riesgo de crédito siempre estará presente. En contraste, el riesgo de lavado de activos depende de las características de la operación, puede o no existir, y, por tanto, es accidental; se requiere un tipo de crédito con características adicionales al que puedan asociarse otros tipos de riesgo en condición de inherentes.

Por definición, el riesgo inherente, entendido como una combinación de probabilidad y severidad, puede mitigarse, pero no eliminarse, ya que es una condición intrínseca.  A este tipo de riesgo, que es por definición, un atributo esencial de lo que estamos examinando, creo podríamos llamarlo con propiedad riesgo inherente en el sentido propiamente dicho (R0).

El concepto de riesgo inherente ha sido ampliamente utilizado en diversos marcos de control y de auditoría, pero como veremos a continuación, en un sentido distinto al que acabamos de examinar.

R1. El Riesgo Inherente Antes de Controles

La definición más problemática de riesgo inherente lo describe como el riesgo que existe antes de controles. Este enfoque tiende a sobreestimar la exposición al riesgo, reduciéndola drásticamente al considerar los controles existentes o nuevos.

No queda del todo claro como llegamos a esta definición; aunque puede ser una derivación de los conceptos utilizados en la auditoría financiera de mediados del siglo XX donde se diferencia entre el riesgo inherente (la posibilidad de error material de una opinión sin considerar controles) y el riesgo de control (que estos no prevengan o eliminen errores).

Un estudio realizado por la Financial Services Authority en 2011 mostró que, en el contexto de lavado de activos, los riesgos inherentes eran evaluados como muy altos, mientras que los riesgos residuales resultaban bajos o muy bajos. Ello es algo que podría reproducirse sin dificultad en otras jurisdicciones.

Resulta irreal imaginar escenarios sin algún nivel de control. Por ejemplo, evaluar el riesgo de asalto bancario ignorando la presencia de barreras físicas, sistemas de seguridad y un marco legislativo, judicial, y de cumplimiento, conduciría a estimaciones alejadas de la realidad.

En Perú, el riesgo histórico de asalto bancario es bajo gracias a diversos controles integrados en el sistema de prevención, respuesta y cobertura, pero si no las tomáramos en cuenta, el riesgo de asalto bancario sería muy alto al considerar tanto la posibilidad como la severidad ante la ausencia de controles. Evaluar riesgos periódicamente sin considerar estas condiciones existentes resulta inadecuado y poco práctico.

R2. El Riesgo Inherente Antes de Medidas Tomadas por la Gestión

La segunda acepción define el riesgo inherente como el riesgo que existe antes de que la organización tome medidas de gestión.

The Enterprise Risk Management Framework (2004), COSO, lo describe así:

“La administración considera tanto el riesgo inherente como el residual. El riesgo inherente es el riesgo al que está expuesta una entidad en ausencia de cualquier acción que la administración pueda tomar para modificar la probabilidad o el impacto del riesgo. El riesgo residual es el riesgo que permanece después de la respuesta de la administración.”

Esta versión reconoce la existencia de controles previos que son tomadas en cuenta al evaluar la exposición al riesgo. Sin embargo, este matiz no siempre es considerado en la práctica, lo que lleva a interpretaciones erróneas basadas en R1.

Esta perspectiva parece corregir los problemas derivados de la interpretación anterior (R1) pero sería de utilidad en una sola ocasión. Observemos con detenimiento lo que sucede luego de una primera evaluación y medidas de gestión: la empresa estaría expuesta a riesgos residuales; pero en una evaluación posterior, ya no podrían existir riesgos inherentes puesto que ya se produjeron medidas de gestión.

R3. El Riesgo Inherente en una Visión Macro

Organismos como el Financial Task Force (FATF / GAFI) abordan el riesgo inherente desde una perspectiva macro. Según el documento Money Laundering National Risk Guidance (FATF, 2024),

"El riesgo inherente es el nivel de riesgo presente sin considerar ninguna medida de mitigación; el riesgo residual, en cambio, toma en cuenta el impacto de las medidas de mitigación de un país.

El riesgo inherente se define como el nivel de riesgo existente antes de introducir cualquier medida de mitigación. Este debe ser el punto de partida para los países al realizar una evaluación de riesgos"

Aunque esta perspectiva se aplica a nivel país, guarda similitudes con la definición R1, ya que no considera controles o medidas preexistentes antes de implementar nuevas acciones de mitigación.

R4. El Riesgo Inherente Abierto a Interpretación

Es notable que el concepto de riesgo inherente sea utilizado ampliamente en guías y documentos por reguladores, gremios y consultores, sin ofrecer definiciones claras o adaptadas al ámbito profesional correspondiente. Esto genera confusión y aumenta las demandas innecesarias sobre las ya sobrecargadas funciones de riesgos y cumplimiento.

II. Posible dirección del cambio

Considero necesario redefinir el concepto de riesgo inherente para alinearlo con su significado natural en el lenguaje cotidiano, así como en la tradición filosófica.

El término "inherente" se refiere a aquello que es esencial a una entidad y que no puede separarse de ella. Aplicado al riesgo, esto implica que el riesgo inherente no es una variable medible ni una entidad sujeta a mitigación o reducción. En su lugar, representa un tipo de riesgo esencial y propio de un proceso o actividad. Son los riesgos los que tienen asociadas exposiciones y probabilidades.

Por ejemplo, en una operación de crédito:

  • Existe un riesgo de crédito inherente a la operación, ya que el acto mismo de otorgar crédito implica la posibilidad de incumplimiento.
  • También hay riesgos operacionales inherentes, pues toda operación de crédito involucra personas, sistemas, organizaciones y tecnología.
  • Sin embargo, esta operación podría estar expuesta a otros riesgos, como el riesgo de lavado de activos, dependiendo de su diseño y ejecución. Este riesgo no es inherente, sino una exposición derivada de ciertas características del producto o proceso.

Algunas metodologías de gobierno y gestión de riesgos han intentado capturar esta distinción con términos como riesgos primarios y secundarios, aunque considero que pensar en términos de si un riesgo es inherente (esencial, no separable) puede llevar a mejores identificaciones y taxonomías de riesgos.

Sin embargo, evaluar la exposición a los riesgos (en términos de posibilidad y severidad u otras variantes) no requiere del concepto de inherente o residual. Remover estos requerimientos permitiría que lo ya avanzado en la gestión de riesgo moderna, sobre todo en su enfoque cuantivativo, pueda utilizarse con ventaja en diversas disciplinas en las que el análisis inherente-residual es actualmente requerido.

III. Conclusión

La situación actual es producto de desarrollos independientes: una visión centrada en el control interno y auditoría, y otra enfocada en el gobierno y gestión de riesgos, ambas con instrumentos y definiciones que ya no son compatibles.

Aunque es importante reconocer los avances logrados, el lenguaje actual de riesgos es más adecuado para integrar las necesidades del negocio y las exigencias regulatorias modernas.

Reorientar el concepto de riesgo inherente, en el sentido de esencial, puede resultar útil, pero el concepto actual inherente / residual debiera ser abandonado.

Las estrategias modernas de respuesta al riesgo (aceptar, evitar, transferir, reducir posibilidad o consecuencias, cubrir) ofrecen un enfoque más flexible que integra controles internos con la gestión estratégica, para tratar con la exposición al riesgo, y que no requieren de esos conceptos.

Creo necesario iniciar un diálogo entre las comunidades de riesgo y cumplimiento (en particular con los órganos reguladores antilavado y otros relacionados a estándares y de gobierno) para adoptar un vocabulario común que privilegie la claridad conceptual sobre la tradición, y las evaluaciones realistas sobre los ejercicios teóricos.

Al igual que los errores filosóficos identificados por Adler, el concepto de riesgo inherente, que inicialmente tuvo otros propósitos, se ha propagado de manera errónea y arraigado en la práctica profesional de gestión de riesgos. Estamos a tiempo de corregir el rumbo y construir una mejor disciplina de gestión sobre bases conceptuales más sólidas.

Fuente: Alejandro AM

Comentarios

Publicar un comentario

Entradas populares de este blog

La tendencia de transformar fotos al estilo Ghibli y los graves riesgos que implica

Imagen
Jefe de la Unidad de Ciberdelitos de la Policía advierte que estas prácticas podrían incluso permitir el acceso no autorizado a cuentas bancarias En los últimos días, una tendencia viral ha conquistado las redes sociales: l a transformación de fotos históricas, escenas de películas y memes en ilustraciones   con el inconfundible estilo visual de Studio Ghibli. (Te invitamos a leer: Así fue la captura de alias Momo, líder de los Águilas, vinculado al caso de Malvinas) Esta moda,   impulsada por herramientas de inteligencia artificial,   permite convertir imágenes reales en caricaturas detalladas, simulando la estética del famoso estudio de animación japonés. Sin embargo, detrás de esta aparente diversión, existen riesgos importantes que los usuarios deben considerar antes de compartir sus fotografías. Gonzalo García, jefe de la Unidad Nacional de Ciberdelitos de la Policía Nacional del Ecuador, advierte que aunque convertirnos en un personaje de Ghibli puede parecer ...
Leer más

Ransomware ataca ESXi a través de túneles SSH ocultos

Imagen
 Grupos de ransomware y actores de amenazas están utilizando técnicas de "vivir fuera de la tierra" y utilizando herramientas nativas como SSH para establecer un túnel SOCKS entre sus servidores C2 y el entorno comprometido. "Los dispositivos ESXi, que no están monitoreados, se explotan cada vez más como un mecanismo de persistencia y una puerta de acceso para acceder a las redes corporativas de forma generalizada" , dijeron los investigadores de Sygnia Aaron (Zhongyuan) Hau y Ren Jie Yow en un   informe publicado   la semana pasada. La idea es mezclar datos exfiltrados con el tráfico legítimo y establecer una persistencia a largo plazo en la red comprometida con poca o ninguna detección por parte de los controles de seguridad. La empresa de ciberseguridad Sygnia dijo que en muchos los incidentes analizado, los sistemas ESXi se vieron comprometidos ya sea mediante el uso de credenciales de administrador o aprovechando una vulnerabilidad de seguridad conocida para el...
Leer más

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Imagen
Anteriormente escribimos un artículo donde mostramos la manera de acceder a un sistema operativo Windows 10 usando metasploit de manera local o remotamente, puedes leer el artículo aquí:  Accediendo remotamente a Windows 10 con Metasploit . Hoy les vamos a mostrar cómo ofuscar el código malicioso para que sea indetectable a los antivirus. Los entusiastas de seguridad siempre buscan exploits de día cero que pueden eludir con éxito las características de seguridad de sistemas cómo Windows 10. Se han llevado a cabo numerosas investigaciones para crear malware indetectable y proyectos completos de GitHub dedicados a automatizar la creación de payloads indetectables como WinPayloads , Veil v3 y TheFatRat . Todo lo que se explicará en esta guía se hace con fines explícitamente educativos y bajo un laboratorio propiedad de Security Hack Labs , los usos que se le puedan dar a este tutorial depende del usuario y es absolutamente responsabilidad del él los daños...
Leer más