Veritas Online

Administración de Riesgos

Adopción práctica, Administración de Riesgos Corporativos (ERM)

Adopción práctica, Administración de Riesgos Corporativos (ERM)
febrero 01
2019

¿Cuál es la clave de las empresas que logran alcanzar sus objetivos estratégicos? ¿Qué tipo de herramientas utilizan estas empresas para monitorear los riesgos a los que están expuestas? ¿Cuál es la cultura organizacional en las empresas más rentables?

El Marco Integrado de Administración de Riesgos Corporativos (Enterprise Risk Management–ERM– Integrated Framework, por sus siglas en inglés) emitido por The Committee of Sponsoring Organizations of the Treadway Commission (conocido como COSO), es uno de los elementos clave que este tipo de empresas utiliza en el monitoreo de sus riesgos y como piedra angular para cumplir sus objetivos estratégicos.


COSO ha emitido Marcos de Referencia respecto del Control Interno (COSO 2013) y Administración de Riesgos (ERM), los cuales son buenas prácticas aceptadas a nivel global en la gestión de los negocios; otra referencia es el ISO 31000-Risk Management (International Organization for Standardization) que también es bien aceptada a nivel internacional. Las empresas públicas (listadas en bolsas de valores) en los mercados nacionales e internacionales adoptan este tipo de Marcos de Referencia para coadyuvar en la efectividad operativa. Pero estas buenas prácticas no son sólo aplicables a las empresas públicas, ya que las empresas privadas pueden tomar lo mejor de ellas para su beneficio. Las siguientes ideas están basadas en el ERM y los principales aspectos para una adopción práctica de un programa de Administración de Riesgos (o programa de ERM).


DESARROLLO Y ARGUMENTACIÓN
Antes de hablar de control interno es necesario hablar de riesgos, es decir, las barreras que impiden el cumplimiento de los objetivos; los controles internos son las medidas que se establecen para dar respuesta a los riesgos. Primeramente deben conocerse los objetivos, ya que en la medida en que se tengan alineados estos tres conceptos (objetivos, riesgos y controles), es más factible alcanzar los objetivos trazados por la empresa y mantener un equilibrio en la asignación de recursos para gestionar los riesgos.

Componente del Gobierno Corporativo de las empresas, la ERM ha evolucionado de ser un proceso ejecutado por el consejo de administración, la gerencia y otras personas involucradas en la ejecución de la estrategia de la empresa, para identificar eventos que potencialmente puedan afectar a la organización y administrar los riesgos con base en el apetito y tolerancia definida para la empresa (COSO–ERM-2004), a ser hoy la cultura, las capacidades y las prácticas integradas para el establecimiento de la estrategia y desempeño, en los cuales una organización se basa para administrar los riesgos y así crear, preservar y materializar valor (COSO-ERM-2017).

El establecimiento de un programa de Administración de Riesgos tiene por objetivo identificar y priorizan los riesgos a lo largo y ancho de la organización, sus aspectos de estrategia, de reporte (financiero y no financiero), de operación y de cumplimiento. Una vez que se identifican y priorizan los riesgos, se deben establecer medidas para reducir la posibilidad de que dichos riesgos se materialicen. La aplicación efectiva de este tipo de programas permite dar una seguridad razonable sobre el logro de los objetivos, ayudan a mantener sustentable el negocio a lo largo del tiempo, y a crear y mantener el valor de la empresa.

BENEFICIOS DE UN PROGRAMA DE ADMINISTRACIÓN DE RIESGOS: 
Incrementar el rango de oportunidades.
Incrementar ventajas y resultados positivos, mientras se reducen las sorpresas negativas.
Identificar y administrar los riesgos a lo largo de la organización.
Reducir las variaciones en el desempeño.
Mejorar la asignación de recursos.

Las empresas pueden tener funciones o departamentos encargados (control interno, proceso, riesgos y auditoría interna) y cada uno puede tener su propia percepción de cuáles son los riesgos de la empresa. El establecimiento de un programa de ERM ayuda a sintonizar de forma transversal en la organización, la percepción y criticidad de los riesgos.

De los retos que enfrentan las organizaciones al adoptar los marcos de referencia mencionados y establecer programas de Administración de Riesgos, uno de los más relevantes es definir el nivel de detalle o granularidad en el cual se desea ahondar. Puede ser muy exhaustivo o muy general, pero la idea es que se realice un análisis de costo beneficio en cuanto a la extensión del programa, considerando la complejidad de las operaciones del negocio, número de subsidiarias y empleados, dispersión geográfica, etc. Una buena práctica es tomar en cuenta el 80/20 (Pareto).

El análisis de los riesgos identificados debe hacerse de forma integral en la organización, incluso analizar si se debieran revisar los objetivos, o la estrategia misma de la empresa, en función de las circunstancias.

Los ejecutivos en las empresas que deciden adoptar este tipo de iniciativas deben mantener un alto compromiso y responsabilidad con las tareas asignadas, con una actitud proactiva de estar alerta sobre lo que puede salir mal en el negocio; no deben perder de vista que los riesgos pueden cambiar su criticidad y tipo durante la vida de la empresa, por lo que deben mantenerse atentos a nuevos riesgos que se presenten, y como nuevas regulaciones de la industria, leyes comerciales, ataques cibernéticos, etc.

La baja cultura de riesgo y controlen las empresas es un riesgo. Es por ello que en la adopción de un programa de ERM deben tomarse en cuenta actividades de gestión del cambio para sensibilizar a los ejecutivos que se involucren y en sí, a la organización. En un programa de ERM, una vez que los riesgos han sido identificados y priorizados, se deben establecer respuestas a cada uno de ellos para mitigarlos o prevenir que se materialicen. Dado que los recursos son finitos, es necesario asignar respuestas que sean efectivas evaluando costo-beneficio para reducir los riesgos a un nivel que sea aceptable para la empresa.

Un ejemplo simple: si el riesgo de conducir un auto es sufrir un accidente o que la unidad sea robada, el dueño tiene la opción de contratar un seguro con cobertura limitada, con cobertura amplia o simplemente correr el riesgo de no contratar ningún seguro.

En un contexto de empresa, ¿cuánto riesgo está dispuesta a aceptar la organización? Se requiere analizar escenarios con factores cuantitativos y cualitativos sobre los principales riesgos (el Top 10, 15, 20), así como tener claridad de quién y qué se debe hacer cuando no funcionen las respuestas establecidas para los riesgos o cuando los riesgos se materializaran.

Una vez establecidas las respuestas a los riesgos, es necesario medir el desempeño, lo cual representa monitorear y evaluar la efectividad de las medidas establecidas para reducir los riesgos.

Ejemplo de hoja de ruta a nivel alto para adoptar un programa de ERM:

  • Conocer el nivel de madurez de la organización respecto a riesgos.
  • Obtener el respaldo de más alto nivel de la empresa.
  • Establecer un plan de trabajo.
  • Sensibilizar y capacitara la organización.
  • Identificar al grupo de interés (ejecutivos a involucrar).
  • Identificar los riesgos.
  • Documentar el universo de riesgos.
  • Desarrollar y aplicar un criterio para evaluar (priorizar) los riesgos.
  • Asignar a un ejecutivo para la gestión de riesgos (Chief Risk Officer-CRO).
  • Definir respuestas y responsables de los riesgos identificados.
  • Realizar monitoreo y seguimiento.
  • Involucrar a especialistas en la industria y en riesgos.
  • Mantener un lenguaje simple.
  • Reportar hallazgos y avances.

Otras buenas prácticas para un programa de ERM:

  • Usar herramientas tecnológicas (Governance, Risk & Compliance-GRC y analíticos).
  • Considerar aspectos de administración del cambio.
  • Fomentar el compromiso y análisis de causa raíz de las circunstancias que generan los riesgos (contexto).
  • Comunicar de forma constante al consejo de administración, comité de auditoría y gerencia.
  • Coordinar esfuerzos entre las tres líneas de defensa.
  • Establecer formatos y líneas de comunicación.

Ejemplos de herramientas para programa de ERM:

  • Registro (universo) de riesgos.
  • Criterio de evaluación de riesgos.
  • Mapa de calor.
  • Matriz de riesgos.
  • Mapa de aseguramiento.
  • Mapa estratégico.
  • Política de administración de riesgos.
  • Reporte periódico sobre los riesgos identificados y la efectividad de las respuestas.

CONCLUSIONES
Hay que reconocer que los riesgos y las respuestas a éstos son responsabilidad de todos en la empresa y no sólo de aquellas personas que forman parte de los departamentos de riesgos, control interno y auditoría interna. Una buena práctica es ligar la efectividad de las medidas implementadas para responder a los riesgos y a la evaluación del desempeño de los ejecutivos.

Al vigilar la efectividad de las medidas establecidas para reducir los riesgos, se incrementa la posibilidad de cumplir con los objetivos (estrategia) establecidos por la empresa. Es crítico mantener una organización ágil y flexible al cambio para enfrentar los riesgos cambiantes que la empresa enfrenta.

La Administración de Riesgos no solo una función o un departamento, ni un checklist, es una cultura de cómo hacer las cosas en la empresa.

L.C.C., P.C.C.O., CRMA, MAAD Marcos Tussie Contreras
Socio de PwC–Risk Assurance, Especialistas en Administración de Riesgos, Control Interno y Auditoría Interna
marcos.tussie@pwc.com

Facebook Comments

Related Articles

Búsqueda

Twitter

Hoy Lunes 22 de Julio de 2019 el tipo de cambio promedio del dólar en México es de $18.80 Pesos vía https://t.co/FV2iYDjN8l

Encontrar talento que permita a las organizaciones descifrar sus datos y cuyo costo es elevado y los resultados inciertos; sobre todo si se considera que la fuga de talento es un riesgo latente. Un artículo de Jorge Ponga vía @VeritasOnlieMX.

Load More...
A %d blogueros les gusta esto: