Un “riesgo” es todo aquello que se pueda presentar dentro de una compañía y que pueda ocasionar un desequilibrio o desajuste en algunos de los procesos que se llevan a cabo.
Para evitar que este tipo de problemas puedan alterar el normal funcionamiento dentro de la compañía, estas necesitan un método de gestión de riesgos bien estructurado que evite que se puedan presentar, y en caso de que llegara a suceder, que no afecte de manera directa o traiga mayores consecuencias.
Plan de gestión de riesgos de una empresa
La gestión de riesgo empresarial se define como “un proceso, efectuado por el consejo de dirección, gerencia y demás personal de una entidad; aplicado en un marco estratégico y a través de la empresa; diseñado para identificar eventos potenciales que puedan afectar a la entidad para manejar riesgos que estén dentro de lo aceptable con el fin de brindar aseguramiento razonable respecto del logro de los objetivos de la entidad.”
En otras palabras, esta se trata de un enfoque de gobierno estructurado y coordinado que abarca toda la empresa con el fin de identificar, cuantificar, responder y vigilar las consecuencias de eventos potenciales. Esta es implementada por la gerencia y evaluada por los auditores internos con respecto a su eficacia y eficiencia.
Así, esta práctica de manejar riesgos, que es un elemento clave del gobierno, ha recaído tradicionalmente en las unidades de negocio y/o en partes de esas unidades; y en menor extensión, a través de la organización.
Todos en la organización cumplen un rol en el aseguramiento de una exitosa gestión de riesgos para toda la empresa, aunque la gerencia sea la que tiene la responsabilidad principal para identificar y manejar los riesgos, e implementar la GRE con un enfoque estructurado, consistente y coordinado. Por su parte, el consejo directivo, o su equivalente, tiene la responsabilidad general de vigilar los riesgos y tener garantía de que son manejados. Los auditores internos, tanto en sus roles de aseguramiento como de consulta, contribuyen a la gestión de riesgos de diversas formas. Estos cumplen un rol al evaluar la eficacia de la GRE y al recomendar mejoras a la misma.
Estos diversos roles que los auditores internos tienen en la GRE y el énfasis que ponen en ella dependen de la madurez del proceso de dicha gestión dentro de la organización. La protección que debe establecerse antes de que los auditores internos lleven a cabo sus roles relacionados con la GRE consiste en asegurar que toda la organización entienda completamente la responsabilidad que tiene la gerencia en la gestión de riesgos.
Las funciones de los auditores de gestión de riesgo
Los roles y actividades de aseguramiento de auditoría interna relacionados con la GRE son:
- Proporcionar aseguramiento sobre el diseño y eficacia de los procesos de gestión de riesgos.
- Proporcionar aseguramiento de que los riesgos sean evaluados correctamente.
- Evaluar los procesos de gestión de riesgos.
- Evaluar los informes sobre el estado de los principales riesgos y controles.
- Revisar la gestión de los riesgos principales, incluyendo la eficacia de los controles y otras respuestas a los mismos.
- Otros roles y actividades de consultoría legítimos de parte de la actividad de auditoría interna que puedan ayudar a proteger la independencia y objetividad de los auditores internos cuando vayan acompañados de las salvaguardas adecuadas. Estos incluyen:
- Defender el establecimiento de la GRE dentro de la organización.
- Desarrollar una estrategia de gestión de riesgos para ser aprobada por el consejo directivo.
- Facilitar la identificación y evaluación de riesgos.
- Entrenar a la gerencia acerca de responder a los riesgos.
- Coordinar las actividades de GRE.
- Consolidar los informes sobre riesgos.
- Mantener y desarrollar el marco de la GRE.
Sin embargo, aunque son muchos los roles que deben incluir los asesores, no están a su cargo labores como el establecimiento de los niveles de riesgo aceptados, la imposición de ningún proceso de gestión de riesgos especifico, la toma de decisiones en cuanto a las actuaciones sobre los riesgos u otras que puedan chocar con las responsabilidades de la gerencia de la empresa.
Importancia de contar con una buena gestión de riesgos
Contar con un plan de gestión de riesgos es algo que toda organización debería tener, debido a que esta es la forma en la que se protegen interna y externamente.
De hecho, anteriormente, la gestión de riesgos estaba muy relacionada con lo que ocurría directamente con el sistema financiero, sin embargo, con el paso del tiempo se comenzó a entender que el control preventivo es esencial en cada uno de los procesos de las compañías y dicha gestión comenzó a implementarse de forma más minuciosa.
“La experiencia nos ha servido para confirmar que la gestión eficaz de los riesgos debe estar basada en el tratamiento y el control primero preventivo y, posteriormente, detectivo, de tal forma que conozcamos en todo momento el nivel de control que tenemos en las organizaciones y vincular la toma de decisiones y estrategias al perfil de riesgos determinado por la empresa”, afirman los expertos.
Incluso, las empresas hoy en día saben que la gestión no solo se basa en identificar y valorar los riesgos, sino que también va directamente ligada a un estudio cualitativo y cuantitativo previo relacionado con las metas de la firma.
La gestión de riesgos es toda la organización, es cultura, es transparencia interna y externa y, sobre todo, es la capacidad de la alta dirección de transmitir esa cultura a toda la empresa con una adecuada toma de decisiones, basada en un eficiente análisis coste beneficio, vinculado a los objetivos estratégicos de la propia organización.
Etapas para la administración de riesgo
- Determinar los factores externos e internos del riesgo.
- Identificar las causas, riesgos, consecuencias y clasificación del riesgo.
- Analizar, calificar y evaluar el riesgo inherente.
- Identificar y evaluar los posibles controles así como el riesgo residual.
- Determinar, si es necesario la toma de acciones para el fortalecimiento de los controles.
- Evaluar los riesgos de forma integral.
También es importante acotar que la gestión de riesgo se debe realizar en forma conjunta durante cada etapa, siendo el trabajo en equipo una pieza fundamental. De esta manera se agilizan los procesos y se evita que las diferentes partes choquen entre si generando más caos del que pueda existir.
¿Cómo realizar una correcta gestión de riesgos empresariales?
Como hemos venido explicando, una correcta gestión de riesgos empresariales permite anticiparse a cualquier problema, asegurando las metas previamente fijadas y convirtiendo a la empresa en un ente mucho más competitivo y eficaz.
Para garantizar esa metodología de gestión y control de riesgos, es necesario implantar una metodología en cada uno de los departamentos de la empresa, de forma que estos puedan hacer frente de manera directa a todos los tipos de riesgos que puedan surgir dentro de su departamento, en la medida de lo posible.
Para esto podemos apelar a los distintos modelos de gestión de riesgos empresariales que existen y que tienen la ventaja de que pueden ser adaptados a cualquier entidad: ISO, COSO, etc. Por ejemplo, una de las herramientas de gestión de riesgos empresariales más conocida y utilizada es la norma ISO 31000, la cual establece los principios sobre la gestión del riesgo en cualquier campo comercial. Sin embargo, la empresa también podría desarrollar su propio modelo.
Estos modelos son los que nos permiten realizar un diagnóstico para detectar cuáles son esos riesgos a los que nos enfrentamos.
Herramientas para la evaluación de riesgos
El equipo especialista en gestión de riesgos empresariales de Q-bo.org nos presenta algunas de las herramientas para la evaluación de riesgos más utilizadas por las empresas:
- Check-lists. Son una manera simple de identificar los riesgos. Esta técnica funcionan proporcionando una lista, códigos, o normas, de las incertidumbres típicas a considerar.
- Este es un sistema que permite al equipo identificar los riesgos a través de un análisis de riesgos y evaluación técnica.
- Análisis de árbol de fallas. Esta técnica se inicia con un evento no deseado y determina todas las maneras en las que podría ocurrir. Dichos eventos se muestran gráficamente en un diagrama de árbol lógico, el cual, una vez se ha desarrollado, debe permitir considerar la posibilidad de formas de reducir o eliminar las posibles causas/fuentes.
- Diagrama causa-efecto. Sabemos que un efecto puede tener un número de factores que se pueden agrupar en distintas categorías. Por lo que se procede a identificar dichos factores a través del intercambio de ideas y se muestran en una estructura de “espina de pescado”, que permita conocer la raíz del problema.
- Análisis Modal de Fallos y Efectos (AMFE). Esta técnica identifica y analiza los fallos potenciales y sus efectos.
- Análisis funcional de operatividad (HAZOP). Se trata de un proceso general de identificación de riesgos para definir posibles desviaciones del rendimiento esperado o deseado. Se utiliza para detectar situaciones de inseguridad en plantas industriales debido a la operación o a los procesos productivos.
- Análisis de capas de protección (LOPA). Permite la evaluación de controles, así como su eficacia.
