8 Tips para un sólido programa de gestión de riesgos
Por: Iván Rodríguez. Colaborador de Auditool
Una apropiada gestión de riesgos es crítica para todas las empresas, sin importar su tamaño puesto que contribuye a la protección de los activos, buen manejo de las finanzas y operaciones de la empresa, así como a un cumplimiento legal satisfactorio y mantener el gobierno corporativo. Una gestión eficaz del riesgo protegerá la reputación, la credibilidad y el estado de la empresa.
Es importante establecer, al interior de las organizaciones, una cultura de gestión de riesgos. Esto enfatiza la importancia de administrar el riesgo como parte de las actividades diarias de cada miembro del personal en todos los niveles de la empresa. El objetivo de crear una cultura de gestión de riesgos es lograr que los socios y el personal busquen instintivamente los riesgos y consideren sus impactos al tomar decisiones operativas efectivas. La implementación de un programa de gestión de riesgos contribuye a este propósito y proporciona muchos beneficios, que incluyen:
- Planificación estratégica más efectiva;
- Mejor control de costos a través de flujos de trabajo mejorados
- Evaluación de clientes
- Aumento de la rentabilidad a través de mejores controles de clientes y trabajos;
- Reducción de riesgos de litigios como consecuencia de procesos y planes de contingencia;
- Mayor conocimiento y comprensión de la exposición al riesgo;
- Un método sistemático, bien informado y completo de toma de decisiones;
- Menos interrupción y menos reprocesos; y
- Preparación del escenario para la mejora continua dentro de la empresa.
Ahora bien, para establecer un apropiado programa de gestión de riesgos, es conveniente tener en cuenta los siguientes elementos:
1. Implementar un marco de gestión de riesgos basado en la política de riesgos.
Al desarrollar el marco de gestión de riesgos de la empresa, se deben considerar los servicios ofrecidos, marketing y comunicación, temas de personal y recursos humanos, información y gestión de recursos, obligaciones regulatorias, problemas de TI y seguridad, planificación de la sucesión, aceptación y continuidad de clientes y gestión de flujos de efectivo, principalmente.
2. Establecer el contexto
Deben considerarse las metas y objetivos de la empresa y el entorno en el que opera (por ejemplo, cultural, legal y operacional). Identificar partes interesadas internas y externas (por ejemplo, clientes, personal, consultores, agentes, sistemas internos, terceros, proveedores, etc.).
3. Identificar riesgos
Es necesario identificar los riesgos existentes y potenciales, así como los controles existentes. Se sugiere clasificar los riesgos potenciales en categorías tales como riesgo de contrato, riesgo de aceptación o continuidad y riesgo de desempeño.
4. Analizar y evaluar riesgos
Esta es una actividad que debe ejecutarse de forma continua. Esto implica una comparación de los niveles de exposición con un nivel de tolerancia predeterminado, el grado de control, las pérdidas potenciales o reales y los beneficios y oportunidades que presenta el riesgo.
Al evaluar el nivel de riesgo e identificar los riesgos altos y bajos, el proceso debe incluir las diferentes áreas de la empresa; la composición, experiencia y pericia de la firma; los procedimientos de gestión y control interno; la probabilidad de ser demandado y el proceso para evaluar clientes nuevos y existentes. De otra parte, al evaluar el tipo de riesgos a los que está expuesta la empresa, es importante tener en cuenta tanto los riesgos internos como los externos. Los riesgos internos pueden incluir personal, locales comerciales y ubicación, amenazas a la buena voluntad y reputación y tecnología de la información. Los riesgos externos pueden incluir clientes y competidores actuales y potenciales.
5. Tratar y gestionar riesgos
Se requiere desarrollar estrategias para gestionar el riesgo identificado. Las opciones pueden incluir aceptar, evitar, transferir (en parte o en su totalidad), reducir la probabilidad y / o consecuencia y retener el riesgo. Los planes de acción se pueden desarrollar en función de los niveles actuales de exposición al riesgo, los beneficios de las acciones / controles, la duración del tiempo para implementar acciones y el presupuesto disponible.
En áreas identificadas como de alto riesgo, las acciones pueden incluir reconsiderar esa área y su desarrollo, volver a capacitar al personal y revisar el compromiso con los clientes. Los procedimientos de gestión de riesgos pueden incluir:
- Claridad en los términos del compromiso con el cliente;
- Obtener un seguro adecuado y controlar las reclamaciones una vez que han ocurrido;
- Mantener documentación precisa;
- Garantizar el cumplimiento de los compromisos;
- Actuar solo en aquellas áreas donde hay suficiente experiencia;
- Implementar estrictos criterios de selección para clientes y consultores o agentes utilizados.
6. Comunicar y consultar
Es necesario mantener apropiada comunicación y consulta con todas las áreas de la empresa, así como con terceros, para garantizar que todos estén bien informados. Por ejemplo, para mitigar la toma de riesgos del cliente, se debe informarle, por escrito, de las fechas y consecuencias relevantes en caso de que el cliente no actúe. Esto transferirá el riesgo de incumplimiento al cliente para que actúe y / o haga un seguimiento.
7. Monitorear y revisar
Es recomendable monitorear y revisar las estrategias de gestión de riesgos de forma continua. Con el tiempo, se crean nuevos riesgos, algunos de los riesgos existentes aumentan o disminuyen y otros ya no existen; la prioridad del riesgo puede cambiar o las estrategias de tratamiento del riesgo pueden dejar de ser efectivas. El monitoreo debe comprender entre otras acciones: supervisar los riesgos existentes, identificar nuevos riesgos, identificar cualquier punto problemático y evaluar la efectividad de las estrategias actuales de tratamiento de riesgos.
El monitoreo asegura que se introduzcan nuevas medidas para controlar los nuevos riesgos a medida que surjan. Se requiere una revisión continua para garantizar que las estrategias sigan siendo relevantes y que la posición general de control de riesgos sea relativa a los costos potenciales del riesgo.
8. Registrar:
Debe mantenerse un registro escrito de todas las políticas y procedimientos, incluida la documentación del proceso de evaluación, los principales riesgos identificados y las medidas diseñadas para reducir el impacto de estos riesgos principales. Si no se documentan las políticas, se pueden producir infracciones en el rendimiento debido a malentendidos o malas interpretaciones. Un conjunto escrito de declaraciones de políticas y de procedimientos documentados proporciona una referencia constante, una guía de acción y un marco para verificar que las operaciones se llevan a cabo de la manera prevista por la empresa.
Cualquiera otra medida encaminada a fortalecer la gestión de riesgos, que esté acorde con la actividad de la empresa y que pueda enmarcarse en la relación costo – beneficio, puede implementarse, de manera adicional a los elementos acá sugeridos.
El auditor, al evaluar el programa de gestión de riesgos puede apoyarse en el contenido antes planteado y de esta manera ofrecer valor agregado en su trabajo.
C.P. Iván Rodríguez – ivan.rodriguez@auditool.org
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá D.C, Colombia
Comentarios