Ingrese o regístrese acá para seguir este blog.
Red Global de Conocimientos en Auditoría y Cntrol Interno
En los últimos años, las empresas en todo el mundo, especialmente las más grandes y sofisticadas, han adoptado la administración de riesgos como una herramienta de gestión muy importante, pues además de estar claramente alineada con los planes estratégicos de las empresas, permite conocer, monitorear y mitigar aquellos riesgos que pueden impedir la consecución de los objetivos estratégicos de la compañía
Sin embargo, a pesar de la proliferación en el uso de esta herramienta, uno de los aspectos clave que sigue causando problemas, para que pueda ser utilizada de manera efectiva, es lograr que el Consejo de Administración y la Dirección General o, en su caso, el Comité Directivo, se involucren plenamente en el proceso. Su participación es fundamental desde la identificación y definición de los riesgos estratégicos, la correspondiente asignación de estos a un responsable (owner) con conocimientos y experiencia en el tema, la elaboración de las actividades de mitigación del riesgo a un nivel aceptable de tolerancia, y finalmente su medición periódica que permitirá constatar los avances que la empresa va teniendo en este proceso de mejora continua.
Los riesgos estratégicos nunca podrán ser eliminados. En muchos casos son inherentes a la propia actividad de la organización y al entorno en el que opera. Sin embargo, es fundamental crear una cultura de riesgos en toda la organización, que permita a todos los involucrados utilizar un lenguaje común, una medición de los mismos con base en las características propias de la empresa y un sistema de reporte periódico a los órganos de gobierno corporativo, que les deje desempeñar de manera activa y eficaz sus funciones.
Tomando en consideración que cada empresa deberá identificar claramente los riesgos estratégicos que enfrenta y que los mismos deben ser priorizados por los responsables de su administración, es claro que existen algunos riesgos estratégicos que aplican a casi todas las empresas, independientemente de su tamaño y actividades. Estos riesgos, que podemos considerar de aplicación universal, son los que abordaremos en este artículo.
Como se observó, cada empresa puede identificar riesgos adicionales y darles una alta prioridad. Lo importante, en cualquier caso, es que la lista de riesgos estratégicos definidos y priorizados por cada empresa, cuente con el respaldo de la Administración y de su Consejo, para lograr una adecuada gestión de los mismos.
Riesgos de negocio
Un riesgo se define como la exposición a un evento que puede afectar el logro de las estrategias y/o los objetivos planteados por cualquier negocio.
Lo anterior significa que:
– Derivan de incertidumbres cuyo origen puede ser interno o externo.
– Deben ser considerados en su sentido más amplio y no limitarlos a fallas en la calidad de los productos y/o servicios que la empresa proporciona a sus clientes.
– Se identifican hacia el futuro y su probabilidad de ocurrencia, así como el tiempo en el que pudieran materializarse, son los factores clave a considerar al momento de priorizarlos.
– Pueden ser amenazas potenciales u oportunidades no aprovechadas.
– Deben ser gestionados y reducidos a un nivel aceptable de tolerancia, si la exposición de la empresa, después de tomar en cuenta las actividades de mitigación implementadas, excede el apetito o tolerancia al riesgo definido por la propia empresa.
– Las relaciones entre los distintos riesgos deben tomarse en cuenta al momento de evaluar cada uno.
Es importante considerar que un solo riesgo puede tener varias consecuencias para la empresa. Por ejemplo, un problema de falta de calidad en el producto o servicio que se ofrece a los clientes, puede ocasionar daños significativos a la marca y reputación de la compañía, efectos económicos adversos derivados de la pérdida de clientes o la dificultad para atraer nuevos clientes en el futuro e inclusive la pérdida de talento, tanto de aquel que abandone la empresa como la falta de atracción de nuevos candidatos. Un claro y reciente ejemplo de los efectos de este riesgo es la alteración deliberada del software para medir las emisiones contaminantes en ciertos modelos de la marca Volkswagen.
De igual forma, un riesgo puede tener múltiples causas, por lo cual es importante distinguir entre el propio riesgo y los factores que contribuyen al mismo. En el ejemplo citado, la mala calidad del producto o servicio puede deberse a falta de capacidad o entrenamiento del personal, recursos humanos o materiales insuficientes, procesos inefectivos de control de calidad, presión de los competidores y hasta a la falta de una cultura interna de administración de riesgos.
Identificación de riesgos estratégicos
Para que un riesgo pueda ser identificado y priorizado como estratégico debe reunir las siguientes características:
– Ser relevante en términos de afectar la capacidad de la empresa para el logro de sus objetivos.
– Tener un impacto económico significativo. Esto incluye por supuesto a los riesgos reputacionales, pues invariablemente tendrán en el corto o mediano plazo, un efecto adverso en los resultados.
– Ser definido de forma específica y clara, para facilitar su gestión y la elaboración de los planes de mitigación correspondientes. En estos casos, es útil describir el riesgo y sus principales consecuencias.
– Reconocer que existen riesgos inherentes al giro de la empresa y que pueden tener impacto en esta, más allá de que sean controlables, por ejemplo: la situación económica global o local.
Universo de riesgos
La compilación de riesgos potenciales de negocio, directamente relacionados con las estrategias y objetivos de la empresa, constituye el universo de riesgos. Esta compilación debe incluir todos aquellos riesgos con un impacto visible en la habilidad de la empresa para lograr sus objetivos y siempre debe utilizarse un lenguaje comprensible y consistente al momento de describirlos.
Para una mayor claridad es útil agrupar los riesgos por categoría (estratégicos, operativos, comerciales, regulatorios, etcétera). Esta agrupación también ayuda en los procesos de priorización y en las comunicaciones con los órganos de dirección y con el Consejo de Administración.
Adicionalmente, la utilización de un lenguaje común en la descripción de los riesgos, facilita su entendimiento puntual y cualquier discusión acerca de sus alcances. El universo de riesgos asegura la integridad de la información proveniente de distintas áreas de la empresa y de diferentes procesos, además de que facilita el análisis de datos y un efectivo monitoreo de los riesgos. El universo de riesgos debe ser revisado y actualizado periódicamente, conforme las iniciativas estratégicas y los objetivos del negocio también se vayan modificando.
Proceso de identificación y priorización de riesgos
Cualquier empresa puede llevar a cabo un proceso de identificación y priorización de riesgos, sin importar su tamaño y/o complejidad. El objetivo final es contar con una lista de riesgos que pueden ser agrupados por sus características particulares, como ya se indicó antes, para una mejor comprensión y administración. Sin embargo, en este artículo nos centraremos en los riesgos estratégicos que, como ya se expresó, pueden afectar la consecución de los objetivos del negocio.
Un proceso lógico para llevar a cabo lo anterior sería el siguiente:
1. Revisar la estrategia y objetivos de la empresa. Es imperativo que tanto los órganos de administración (Comité Directivo, director general, etc.), como el propio Consejo, conozcan la estrategia clave del negocio, pues existe una clara coincidencia entre dicha estrategia y los principales riesgos que se tendrán que afrontar para alcanzarla.
2. Identificar y priorizar los riesgos. Es indispensable contar con un número manejable de riesgos, para gestionarlos adecuadamente. No existe un “número mágico” de riesgos a identificar, pero es muy claro que una empresa que pretenda gestionar 20 distintos riesgos estratégicos, tendrá serios problemas para hacerlo. Por ello, en este proceso debe buscarse también agrupar los riesgos similares, sin perder el enfoque necesario para su administración.
3. Los dos elementos clave para la priorización de los riesgos son su importancia relativa y la probabilidad de ocurrencia. Esto se logra mediante entrevistas con funcionarios clave, encuestas, talleres, etc., dependiendo del tamaño y de la complejidad de la empresa.
4. Una vez identificados los riesgos prioritarios, también habrá que evaluar la tendencia del propio riesgo a incrementarse o disminuir, analizar los resultados y comentarios obtenidos, y hacer una clasificación general o ranking de los riesgos, con base en su importancia.
5. En este punto del proceso se pueden determinar actividades adicionales de mitigación de dichos riesgos y definir los indicadores clave de medición de cada uno, así como los planes de acción propuestos por los responsables de cada uno de los riesgos.
6. Llevar a cabo un monitoreo periódico de los avances logrados en la mitigación de los riesgos, contra los planes previamente establecidos. En esta parte del proceso es importante que se tenga claridad en la forma de medir dichos avances, pues los dueños de los riesgos tienden a exagerarlos, especialmente cuando su evaluación de desempeño depende de ello.
7. Finalmente se deben diseñar y preparar reportes periódicos para la Dirección General (Comité Directivo u órganos similares) y el Consejo de Administración. Estos reportes no deben ser tan frecuentes que impidan ver los avances logrados ni tan esporádicos que cuando se presenten se haya perdido la atención y el interés de los órganos de gobierno de la empresa en el proceso.
En el Apéndice A de este artículo se presenta una lista enunciativa de los riesgos estratégicos más comunes en la mayoría de las empresas, así como el lenguaje sugerido para describir cada uno de estos.
Apéndice A: Universo de riesgos estratégicos
A continuación se presenta un ejemplo de Universo de riesgos estratégicos, aplicable a todas las empresas. Es previsible que cada empresa en su proceso de identificación y priorización de riesgos, adapte y/o modifique este universo con base en sus características particulares y en el entorno en el que opera.
Notas: los anteriores ejemplos se presentan únicamente de manera ilustrativa. La descripción de los riesgos se hace con un lenguaje positivo (“habilidad para”) para destacar el logro de la estrategia. Sin embargo, puede utilizarse cualquier otro tipo de descripción, en tanto se comunique con claridad el riesgo correspondiente.
Riesgos y el Consejo de Administración
Es evidente que para que esta herramienta administrativa pueda ser exitosa, es indispensable contar con el apoyo total de la Dirección General de la empresa y del Consejo de Administración. Tomando en cuenta las agendas de trabajo tan apretadas que tienen estos órganos, es imperativo que el proceso inicial de identificación y priorización de riesgos se lleve a cabo de manera ordenada y sin complicaciones excesivas. Siempre será mejor contar con una lista de 10 riesgos estratégicos debidamente consensada y apoyada por la Dirección y el Consejo, que pretender llegar a una gran lista de posibles riesgos, que provoque que se pierda interés en su determinación y gestión.
Algunas prácticas exitosas para contar con este apoyo, incluyen el involucramiento temprano de dichos órganos en la definición de los riesgos estratégicos y su priorización. Esto puede lograrse mediante presentaciones y/o talleres, en donde el ejecutivo a cargo de estas actividades vaya informando y educando a sus audiencias en los temas de riesgo que ya se han comentado.
Está ampliamente comprobado que en la medida en que la Dirección y el Consejo conozcan y apoyen los procesos de identificación y gestión de riesgos, los resultados que se obtendrán serán mejores. Adicionalmente, al hacerlos partícipes de dichos procesos, seguramente se obtendrá también su convencimiento.
Aunque ya se mencionó, es fundamental que los directivos a cargo de cada uno de los riesgos estratégicos destinen el tiempo y los recursos necesarios para su adecuada gestión, lo cual puede lograrse a través de liberarlos del tiempo necesario para el desarrollo de dichas actividades y de que los resultados obtenidos formen parte integral de su evaluación anual de desempeño y, en consecuencia, de su compensación. De otra forma, el proceso puede iniciar de manera adecuada, pero al intentar implementar las acciones de mitigación, monitoreo y reporte no se tendrán los resultados esperados.
Interacción con el Consejo de Administración
El Consejo debe tomar un rol proactivo y no limitarse a ser receptor de los mensajes y reportes que le son presentados por los responsables de la gestión de riesgos. Esto puede llevarse a cabo en muchos casos, por ejemplo mediante la creación de un Comité de Riesgos del propio Consejo, en el cual participen consejeros que conozcan bien la estrategia del negocio y los riesgos principales que enfrenta. Si se cuenta con consejeros independientes, sus características los hacen idóneos para formar parte de dicho Comité.
En las sesiones de trabajo que se tengan, tanto la administración como el Comité de Riesgos pueden entrar a mayor detalle, particularmente en los planes y acciones de mitigación, recibir retroalimentación sobre el enfoque utilizado en la gestión de los riesgos y, en resumen, ser un vínculo importante entre las áreas operativas de la empresa y el Consejo. Sin embargo, es necesario asegurarse de que en dichas reuniones no se invadan las áreas que son responsabilidad de la administración.
El Consejo y sus comités tienen funciones de gobierno corporativo claramente definidas y no deben malgastar sus recursos desplazando a la administración de sus responsabilidades primarias.
Por: C.P.C. Daniel del Barrio B./Socio retirado de Deloitte México
Fuente: Revista Contaduría Pública www.contaduriapublica.org.mx del Instituto Mexicano de Contadores Públicos www.imcp.org.mx
