¿Qué es la gestión de riesgos en las empresas?

La compañías incurren en riesgos al hacer inversiones, al dar crédito a los clientes, al realizar las labores operativas en el día a día para entregar productos y servicios a los clientes, al entrenar al personal, en el diseño de nuevos productos, es decir, las fuentes de los riesgos son múltiples, por lo que su inadecuada administración, puede llevar consecuencias indeseadas para los dueños de las compañías. Es por esto que, con el fin de ayudar a las compañías a generar rendimientos de manera sostenible en el tiempo, mediante la inclusión del análisis del riesgo en la toma de decisiones, surgen los modelos de gestión de riesgos, mediante los cuales se crea una cultura y una estructura propicia para evaluarlos, controlarlos, comunicarlos y monitorearlos.  


El marco para la gestión de riesgos es una cultura en la cual las  decisiones se toman de una manera disciplinada, teniendo en cuenta elementos de riesgos y de rentabilidad de una manera informada. Esta cultura se extiende a lo largo de toda la organización, desde las decisiones estratégicas hasta las decisiones rutinarias del día a día de los negocios. El objetivo de una cultura de riesgos, es asegurar que todos aquellos que toman decisiones en la compañía entienden y se comporten teniendo en cuenta la importancia de identificar y medir los riesgos en las actividades actuales y potenciales de la empresa, de comunicarlos y de tomar las decisiones con base en evaluaciones que tengan en cuenta el riesgo y el retorno.
 
Una compañía que desea tener una cultura de riesgos, debe promover comportamientos tales como la integridad, la transparencia, la honestidad, entre otros. Cultura significa comportamiento. Los procesos deben ser definidos para promover los comportamientos deseados, lo primero es identificar y promover comportamientos íntegros y éticos, y a continuación, crear políticas y procesos de obligatorio cumplimiento para la identificación, medición, control y monitoreo de los riesgos.

Con el fin de estar en capacidad de realizar un efectivo control sobre la administración y evitar los posibles conflictos de interés que puedan surgir entre ambas partes, la Junta Directiva debe ser independiente de la gerencia. Así mismo, una cultura de riesgos fuerte, cuenta con un sólido gobierno corporativo, entendido como el sistema de reglas, prácticas y procesos por los cuales la compañía es dirigida y controlada. Las personas son quienes asumen los comportamientos, ejecutan los procesos, dirigen, analizan riesgos, toman decisiones. Por tal motivo, la selección, el desarrollo y la retención las personas con las competencias adecuadas para el logro de los objetivos de la compañía y con las capacidad y la formación para tomar decisiones teniendo en cuenta el riesgo, es el pilar fundamental de la cultura de riesgos.

Evaluación de riesgos

El modelo de gestión de riesgos de la compañía es el conjunto de elementos organizacionales que facilita a todos los empleados de la compañía tomar decisiones con base en riesgos. Para tal fin, cuenta con la estructura organizacional requerida, los roles y responsabilidades, las políticas, metodologías, herramientas y procesos, que indican a todos los empleados las formas y los medios para la adecuada gestión de riesgos. Otros de los elementos relevantes del modelo de gestión de riesgos son:

• El mapa de riesgos, que es un compendio priorizado con base en el impacto y la probabilidad de los principales riesgos estratégicos, operativos, de cumplimiento y financieros de la compañía, el cual permite tener un diagnóstico a primera vista de la exposición al riesgo la compañía.
• El proceso de administración de riesgos: que es el proceso formal y sistemático de  identificar, medir, dar tratamiento al riesgo (mitigar, evitar, transferir a través de seguros o tercerización, asumir) y monitorearlo. Existen múltiples riesgos que pueden ser identificados y analizados, sin embargo los riesgos de fraude, de tecnología y de continuidad de negocio siempre deben ser tenidos en cuenta al realizar la lluvia de ideas de posibles riesgos. Con el fin de priorizar los riesgos y enfocar los recursos en el tratamiento de los más relevantes, es importante medir los riesgos mediante metodologías cualitativas (tales como diseño de escenarios y expertos) o cuantitativas (basadas en registros históricos de pérdidas). 
• El registro de evento de riesgos, es la actividad sistemática de registrar en una base de datos los eventos de riesgo al momento de materializarse. Esta base de datos es útil, dado que permite contabilizar las pérdidas en las que ha incurrido la compañía por diferentes riesgos, y facilita la medición en el proceso de administración de riesgos. El registro de eventos es muy útil para el análisis riesgo retorno en la toma de decisiones de la compañía. 

Tratamiento a los riesgos

Una vez identificados y medidos los riesgos, es necesario definir el tratamiento que se le dará a cada uno de ellos con el fin de reducir su impacto o su probabilidad. Las opciones para el tratamiento de riesgos no son necesariamente excluyentes entre sí, ni adecuadas en todas las circunstancias y se refieren a las acciones para reducir la probabilidad o el impacto de la ocurrencia del riesgo, o para evitarlo totalmente, a la transferencia de riesgos a través de seguros o de la tercerización de la operación que lo genera. También puede ocurrir que la compañía decida asumir de manera informada el riesgo identificado, para lo cual ha definido una escala de atribuciones distribuida en los cargos directivos.

Para cada riesgo identificado se deben identificar posibles tratamientos, seleccionar uno de acuerdo con el análisis costo-beneficio e implementarlo adecuadamente. Si es más costoso implementar el tratamiento, que incurrir en el riesgo, no tendría mucho sentido la implementación de dicho control. Sin embargo, existen algunos riesgos a los que debe implementarse siempre un control, tales como el cumplimiento de los requerimientos legales, los del cuidado de la vida humana y del medio ambiente, entre otros. Un adecuado control, puede ser preventivo, correctivo o detectivo, tiene una periodicidad definida, está procedimentado, tiene un responsable de llevarlo a cabo y existe la evidencia de que fue ejecutado. Los controles más efectivos, son aquellos que pueden realizarse a través de herramientas tecnológicas, pues permiten controlar un mayor número de usuarios y ser detectivos.

Monitoreo

Con el fin de cerrar el proceso de administración de riesgos, es necesario monitorear la ocurrencia de los eventos diagnosticados y la implementación de los tratamientos. Monitoreo y revisión son la clave para el mejoramiento permanente del modelo de gestión de riesgos. La mayoría de los esquemas de evaluación de la madurez del sistema de gestión de riesgos evalúa que tanto el monitoreo genera acciones de mejoramiento. Los temas a monitorear deben ser cambios en los niveles o tendencias del riesgo, cambios en el contexto externo de la empresa, el nivel de implementación de planes de acción para el tratamiento de los riesgos, la efectividad de los planes, la eficacia de los controles, la coherencia entre el nivel de los riesgos identificados y los materializados, detectar riesgos emergentes, entre otros. Algunos de los aspectos que debe definir la administración y la junta directiva en cuanto al monitoreo de los riesgos es la frecuencia en la cual quiere realizar los monitoreos y si quiere realizarlo por medio de auditores internos o externos, o ambos.

Comunicaciones

Dado que el riesgo genera incertidumbre en sus efectos sobre los objetivos organizacionales, debe haber un fuerte incentivo por comunicación y consulta para asegurar razonablemente que el sistema es apropiado para dar tratamiento a los riesgos. Si el riesgo cambia debido a cambios en el entorno, es probable que haya que hacer cambios en los tratamientos definidos.

Dado que la comunicación y la consulta es un aspecto fundamental para el buen funcionamiento del sistema, es necesario desarrollar planes para que los responsables de del desempeño de la compañía, los proyectos y los procesos tengan información el riesgo en su proceso, sus causas, sus consecuencias y las medidas que se toman para tratarlo. Es importante que se incluyan fuentes de información tanto internas como externas, con el fin de que se pueda asegurar razonablemente que las bases de información sobre las que se toman las decisiones son fidedignas y permiten tomar decisiones adecuadas en cuanto a riesgo.

Es importante contar con un equipo consultor experto, a quien se le comuniquen los resultados de los análisis de riesgos, para que ellos den sus opiniones con respecto a los análisis. Las percepciones de diferentes grupos pueden variar, debido a la información que cada uno tiene del contexto externo o interno, de los propios intereses y de su apetito particular de riesgo. Debido a que los puntos de vista particulares pueden tener un impacto significativo en las decisiones tomadas, es importante hacer un registro de los supuestos que se tuvieron en cuenta a la hora de hacer el análisis y presentarlos al grupo consultor experto, particularmente de aquellos análisis y  decisiones de importancia material para la compañía. 

Dado que la información que se trata en el análisis de riesgos es delicada y puede contener asuntos que pongan en riesgo la integridad personal, es necesario identificar los públicos que por su rol organizacional deben tener acceso a ella y mantener la confidencialidad de la información.

En conclusión, un adecuado sistema de gestión de riesgos permite asegurar razonablemente el logro de los objetivos organizacionales mediante una adecuada cultura de riesgos en la que los riesgos son evaluados, tratados, monitoreados por todos los empleados de la compañía y cuenta con un sistema de comunicación que permite  comunicar la gestión de los riesgos a los públicos de interés adecuados.