Un documento reciente de la IFAC resalta la importancia de integrar la administración del riesgo y el control interno a la organización; un proceso que apoye en la toma de decisiones y en el que participen todos.
Durante el segundo trimestre de 2015, el Comité de Contadores Profesionales de Empresa (PAIB Committee, por sus siglas en inglés) de la Federación Internacional de Contadores (IFAC, por sus siglas en inglés) emitió un documento conceptual sobre la administración del riesgo titulado From Bolt-on to Built-in, Managing Risk as an Integral Part of Managing an Organization (De incrustada a construida, la administración del riesgo como parte integral de administrar una organización).
Este documento de la IFAC comienza alertando sobre el hecho de que en algunas organizaciones, la administración del riesgo se ha convertido en un objetivo más que en un medio, con la creación de la función de administración del riesgo en forma aislada y no integrada; por otra parte, reconoce desde un principio que la administración del riesgo en una organización es responsabilidad de todos, haciendo énfasis en que ya es momento de reconocer que la administración del riesgo y el establecimiento de controles efectivos forman parte natural del sistema de administración de una organización. En otras palabras, la administración del riesgo y el control interno constituyen un proceso de gran importancia y utilidad para apoyar la toma de decisiones y que los consejos de administración y la gerencia llevan a cabo para asegurar que sus organizaciones se desempeñen de la mejor manera posible y logren sus objetivos.
El documento conceptual de la IFAC pretende: (a) mostrar los beneficios de integrar adecuadamente la administración del riesgo, incluyendo el control interno, en el gobierno, la administración y las operaciones de una organización; (b) proporcionar ideas y sugerencias sobre cómo se puede lograr esta integración, y (c) dar ejemplos prácticos de cómo los contadores profesionales de empresas pueden apoyar a sus organizaciones para dicha integración.
Para resaltar la importancia que tiene la integración de la administración del riesgo en las organizaciones, este documento de la IFAC hace referencia a la declaración de Unilever, una de las empresas líderes a nivel mundial en productos de alto consumo con operaciones en 100 países y ventas en más de 190 países:
“En Unilever consideramos que la administración efectiva de riesgos es fundamental para la buena administración del negocio, y que nuestro éxito como organización depende de nuestra habilidad para identificar y luego tomar ventaja de los principales riesgos y oportunidades para el negocio. Los negocios exitosos toman / administran los riesgos y oportunidades en una forma considerada, estructurada, controlada y efectiva. Nuestro enfoque de administración del riesgo está implícito en el curso normal del negocio. Es ‘poco papeleo y alta responsabilidad’. La administración del riesgo es ahora parte del trabajo de cada uno, ¡todos los días! Ya no se lleva acabo como una actividad separada por sí sola que ‘se delega a otros’.”
En primera instancia, el documento de la IFAC identifica las principales fallas en la administración de riesgos, que generalmente se presentan en organizaciones en donde dicha administración ‒y el control interno que le es relativo‒ es débil o no ha sido integrada adecuadamente, como sigue:
[1] Tener la mentalidad de solo cumplimiento.
[2] Tratar al riesgo solamente como algo negativo.
[3] Que el control interno esté demasiado enfocado a la información financiera externa.
[4] Considerar a la administración del riesgo como una función o proceso por separado.
"El documento de la IFAC presenta un modelo que ejemplifica cómo puede ser administrado el riesgo como parte de la administración.”
Por otra parte, el documento de la IFAC considera que el grado de madurez de la administración del riesgo y control interno en las organizaciones puede ser resumida así:
[1] No existente o requerida. Frecuentemente caracterizada por la administración de crisis reactiva una vez que algo resultó mal.
[2] Solo control interno. Controles internos formales, frecuentemente enfocados en la información financiera externa.
[3] Administración del riesgo y control interno por separado. Funcionando como un sistema en forma lateral y no necesariamente en conjunto con el sistema de administración de la organización.
[4] La administración del riesgo integrada. La administración del riesgo, incluyendo el control interno, como una parte natural e integral del sistema de administración de una organización.
A continuación, el documento de la IFAC enuncia una guía para integrar la administración del riesgo, mediante las siguientes consideraciones:
[a] Las organizaciones deben enfocarse principalmente en establecer y lograr sus objetivos para crear valor y crecimiento sustentables; la administración del riesgo es una parte integral.
[b] El riesgo siempre debe ser identificado, evaluado, tratado, informado, monitoreado y revisado en relación con los objetivos que una organización quiere lograr, a la vez que se considera el siempre cambiante contexto externo e interno de la organización.
[c] La administración del riesgo es un conjunto de conocimientos con marcos conceptuales globales, normas y guías, y la aplicación de la administración del riesgo necesita ser diseñada a la medida de la organización.
[d] Aquellos responsables de establecer y lograr los objetivos de la organización deben ser responsables de administrar efectivamente el riesgo.
[e] Las decisiones deben ser informadas por una evaluación adecuada del riesgo.
[f] La información de alta calidad es crucial para la buena toma de decisiones en cuanto que reduce la incertidumbre.
[g] La administración efectiva del riesgo es igualmente importante para todas las medidas administrativas que siguen al proceso de toma de decisiones.
[h] Las organizaciones necesitan mantenerse suficientemente ágiles para los cambios que le permitan continuar creando y preservando valor.
Finalmente, el documento de la IFAC presenta un modelo que ejemplifica cómo puede ser administrado el riesgo como parte de la administración. En conclusión, este documento constituye una contribución de la profesión contable organizada al esfuerzo de: (i) entender la administración del riesgo como algo propio de quienes participamos en cualquier actividad dentro de una organización y cuyas principales directrices y ejemplo deben partir de la alta administración, y (ii) no considerar a la administración del riesgo como un proceso aislado “a cargo de” o una función más “por separado”.
C.P.C. Raúl González Lima
Integrante del Consejo Editorial de la Revista Veritas