En una serie de pláticas para padres de familia sobre cómo educar a los hijos en estos tiempos, se profundizó en la nueva realidad que viven nuestros hijos, diferente a la que vivimos la mayoría de quienes estábamos presentes.
Se habló de nuevas tecnologías, preferencias de video juegos, la edad promedio en que están empezando a usar drogas y alcohol, el uso del chat, las redes sociales y otros temas que han cambiado y están evolucionando, rápidamente. La conclusión fue que educar hoy es diferente, y la falta de conocimiento eleva el riesgo de hacer un mal trabajo como padres De forma similar esto le sucede a las organizaciones. Una de las principales conclusiones de los expertos en administración y de los entes reguladores es que administrar una compañía hoy es diferente.
Las acciones que las nuevas administraciones están llevando a cabo se realizan mediante distintas regulaciones, tales como leyes que exigen controles que aseguren la calidad de los estados financieros, normas para evitar que las empresas corrompan a funcionarios de gobiernos internacionales, reglas para proteger la información confidencial de los accionistas, empleados y clientes, así como reglamentos que solicitan la existencia de comités de auditoría con representación de terceros o, también, un modelo de gobierno corporativo específico. En conclusión, piden que se administren las compañías de otra manera, y sugieren que se informen y gestionen mejor los riesgos de la compañía (tasa de interés, tipo de cambio de moneda), que tienden a minimizarse con el uso de instrumentos financieros derivados.
Estas regulaciones y nuevas tendencias en la administración de empresas promueven el comportamiento ético, hacen recordar a los empleados que manipular los estados financieros, corromper autoridades con fines de lucro, ocultar a los accionistas situaciones que pudieran afectar a la empresas, no reportar o tener fallas de control que pongan en riesgo la confidencialidad de la información y, por ende, la integridad de las personas, son fraudes o errores inaceptables.
Este surgimiento de regulaciones en los últimos años sucede a consecuencia de fraudes que han causado distintos estragos en la sociedad (crisis económicas, severas afectaciones al medio ambiente, daños en la reputación de marcas, desaparición de empresas, ejecutivos en problemas legales, entre otras); situaciones que demuestran una carencia de un comportamiento ético y un pobre análisis de riesgos en las organizaciones.
En las compañías hay personas con diferentes estilos de administración y los grados de tolerancia o aceptación a ciertas situaciones son distintos. En una misma compañía que no tiene definido el comportamiento esperado de los empleados ante los temas relevantes, puede ser que encontremos gerentes muy ordenados, enfocados en llegar a la meta cuidando aspectos legales, de mercado, imagen, etc. Asimismo, podemos encontrar también gerentes enfocados en llegar a la meta a costa de cualquier cosa.
Implementar un programa de administración de riesgos es entender cuáles son los temas relevantes que pueden afectar a la compañía. Es definir el comportamiento y límites que son aceptados, dar seguimiento, establecer un sistema de consecuencias para quien no los cumple y asegurar la comunicación en todos los niveles de la organización. En conclusión, el programa de administración de riesgos se basa en verificar de modo recurrente que la compañía se está administrando de acuerdo con las circunstancias y riesgos vigentes.
Implementar un programa de administración de riesgos es entender cuáles son los temas relevantes que pueden afectar a la compañía»
Un modelo de administración de riesgos pretende homologar, en la medida de lo posible, una misma respuesta y comportamiento de los empleados de una entidad sobre los temas relevantes. Además, es administrar la compañía con base en las creencias y estilo de la misma, y no con base en el diferente criterio de las personas.
Pasos para iniciar un programa de administración de riesgos
Toda compañía tiene riesgos y está expuesta a la incertidumbre, lo cual es la naturaleza de cualquier entidad económica. Un modelo de administración de riesgos no exime a que los riesgos se materialicen, sin embargo, prepara y permite tomar acciones preventivas. El reto de la administración es definir cuánta incertidumbre está dispuesta a aceptar y cómo reaccionaría ante los hechos.
Paso 1. Compromiso de la gerencia
El compromiso de la alta gerencia es crítico. Un modelo de esta naturaleza requiere tiempo de ellos en la definición de riesgos y niveles de aceptación, recursos económicos y apoyo para crear conciencia de un nuevo modelo de gestión a lo largo y ancho de la organización.
Una de las principales barreras que enfrentan las empresas al querer implementar un modelo de este tipo es la falta de conocimiento y habilidades del personal en metodologías y técnicas de evaluación de riesgos. Es recomendable, en las primeras etapas, contar con el apoyo de expertos en administración de riesgos que ayuden a definir su alcance y participen en la identificación y clasificación de los riesgos.
En la primera etapa, las discusiones con los directivos de la compañía se requieren de expertos que puedan debatir a un mismo nivel de conocimiento acerca de los riesgos internos y externos de sus áreas de responsabilidad. Es decir, para hacer un ejercicio donde verdaderamente se definan los principales riesgos, se requiere la participación de los directivos, pero también de expertos en la administración de riesgos.
Paso 2. Aprovecha lo realizado
Como se ha comentado, en las empresas existen áreas y ejecutivos que por su estilo y creencias personales pueden tener implementados procesos de análisis de riesgos en temas relevantes. Dependiendo del giro de la empresa y su naturaleza, es muy común que se encuentren modelos maduros de administración de riesgos en algunas áreas de la organización; por ejemplo, en áreas financieras, sobre todo si se tiene que cumplir con regulaciones como la Ley Sarbanes-Oxley, puede ser que encontremos procesos eficientes que sólo necesiten ser interconectados con otros temas relevantes. Es importante evaluar el grado de madurez de estos procesos, cómo y a quién se reportan, además de verificar que la responsabilidad esté bien asignada.
Paso 3. Selecciona un marco de referencia
Un marco de referencia es una guía que contiene elementos, técnicas y procedimientos utilizados para dar guía a los empleados de la compañía en la aplicación y desarrollo del análisis de riesgos. Existen diferentes y muy buenos marcos de referencia, como el COSO-ERM (The Committee of Sponsoring Organizations of the Theadway Commission – Enterprise Risk Management – integrated framework) liberado en 2004, uno de los más populares por ser recomendado por la SEC (Security and Exchange Commission) para el cumplimiento de la Ley Sarbanes-Oxley, el ISO 31000, Risk Management liberado en 2009, y otros no tan recientes pero igualmente reconocidos como el AS/NZS 4360 liberado en 1995 por Australia y Nueva Zelanda. Para decidir qué marco de referencia debe ser utilizado en la organización es importante analizarlos y, considerando la cultura de la entidad, definir qué ideas y conceptos se adecuan de manera más transparente.
No hay que perder de vista que son marcos de referencia, y como tales, deben ser utilizados como referencia para el entendimiento de las mejores prácticas. Para definir la metodología propia, además de conocer estos marcos de referencia, se requiere comprender con claridad la forma en que se administra la compañía. La metodología propia no debe pretender el cambio de la estructura organizacional: los responsables de las áreas o negocios siguen siendo los responsables de los riesgos. Lo que queremos con un modelo de administración de riesgos es tener la certeza de que los riesgos están siendo evaluados recurrentemente y la información fluye dentro de la organización en todos los sentidos.
Paso 4. Entendimiento/Comunicación
Los riesgos no son propiedad del auditor o el gerente de riesgos, sino de la compañía. Los controles que se implementen para mitigarlos son responsabilidad de las diferentes áreas administrativas y operativas.
Una política de administración de riesgos que fije claramente las responsabilidades y los roles de los empleados es de gran utilidad en las etapas iniciales. El gerente de riesgos debe entrenar a los responsables, difundir la política y metodología, apoyar en la detección y evaluación de riesgos. Su participación es clave para vigilar que la definición de los riesgos y controles sea clara, además deberá consolidar un portafolio de riesgos de tamaño razonable que permita administrar y comunicar la información.
Para evaluar los riesgos y fijar la tolerancia de la gerencia se deben definir los criterios o indicadores clave para su monitoreo. Esto ayudará a mantener la comunicación y detectar riesgos y oportunidades a tiempo. Por ejemplo, si la compañía define como riesgo importante el robo de partes y refacciones, un control clave será ejecutar inventarios físicos con cierta periodicidad; el indicador clave serán los ajustes de inventarios. La compañía tiene definido qué ajuste o merma es aceptable y no requiere cambiar la respuesta al riesgo, o si la compañía tiene operaciones en diferentes países y, por lo tanto, tiene un riesgo u oportunidad con la fluctuación cambiaria, un indicador clave serán los efectos de conversión y su impacto en los estados financieros, esto dará información para detectar si los controles y respuestas actuales son suficientes.
Como se puede ver en los ejemplos, los riesgos pueden ser internos o externos, ambos requieren seguimiento y su situación puede cambiar con el tiempo. Este entendimiento y comunicación es clave para asegurar que la respuesta al riesgo es la esperada por la empresa.
Paso 5. Auditoría
Un análisis de riesgos donde se definieron controles internos críticos para la mitigación requiere de un proceso de auditoría independiente que certifique su cumplimiento.
Los controles internos representan el comportamiento que la compañía espera de sus empleados. Algunos ejemplos de controles internos son: rutas de autorización en procesos de compras o gastos, seguridad de accesos, sistema de circuito cerrado, uso de básculas en entradas y salidas de la planta, entre otros. Cada compañía debe definir estos controles de acuerdo con su perfil de riesgo, dependiendo de la probabilidad y el impacto que se tenga. Por ejemplo, si una compañía tiene plantas en países con diferentes niveles de corrupción, quizá tendrá almacenes cerrados en un país y almacenes abiertos en otro donde no se han detectado robos.
No es posible auditar cada año a toda la compañía, tener un análisis de riesgos permite a los auditores definir el alcance de la auditoría enfocándose en lo verdaderamente importante. Además de traer ahorros en las auditorías internas, una auditoría basada en riesgos hará más sentido a la gerencia y dará más valor a la entidad.
Paso 6. Sistema de consecuencias
El cambio en el comportamiento ético y en la cultura de la empresa sólo se logrará si hay consecuencias siempre que no se cumplan las políticas y controles establecidos, sin importar el nivel de empleado.
Por ejemplo, en Monterrey, N.L., la frontera con Estados Unidos está a tan solo un par de horas de la ciudad. Los habitantes de esta localidad tienen por costumbre viajar por carretera a ciudades como San Antonio, McAllen o Laredo en Estados Unidos, las autopistas son bastante buenas y permiten ir a altas velocidades, pero cuando estos viajeros se encuentran en territorio extranjero, todos se vuelven más respetuosos con los límites de velocidad, utilizan el cinturón de seguridad y piden a sus niños que se sienten y abrochen el cinturón. La misma persona se comporta diferente por las consecuencias que pueden existir.
Esto es lo que hay que lograr en nuestras empresas, que los empleados actúen de cierta manera, independientemente de sus costumbres, en los temas relevantes. Para que esto funcione, las consecuencias deben ser las mismas para todos los empleados, además debe existir un reflejo del comportamiento de los ejecutivos de mayor nivel. No se puede pedir a los empleados que hagan y se comporten de cierta manera si no se refleja en el actuar de sus supervisores.
Hay muchas maneras de implementar modelos de consecuencias; ejemplo, en algunas empresas se premia o penaliza la compensación variable al gerente, dependiendo del resultado de las auditorías.
Conclusión
Implementar un modelo de administración con base en riesgos no evita que sucedan eventos inesperados, pero sí nos permite garantizar que la compañía va a actuar de la forma en que se ha planeado.
Con un modelo de este tipo, la empresa asegura el cumplimiento no sólo de sus objetivos, sino que anticipa el cumplimiento de la creciente ola de regulaciones relacionadas con los controles internos y el gobierno corporativo.
Hoy, la administración de una compañía requiere un mayor análisis. Las condiciones de los mercados cada vez más globalizados, las crisis económicas, los cambios climáticos, la creciente inseguridad en algunos países y problemas socioeconómicos requieren mayor seguimiento de los riesgos y oportunidades.
Uno de los principales indicadores para concluir el éxito de un programa de administración de riesgos es la observación del cambio de comportamiento en los empleados. Conocer los riesgos es una parte importante, pero insuficiente si no logramos que las personas se comporten y actúen con base en los lineamientos de la entidad.
Ing. Luis Francisco Gutiérrez Berrueta
Gerente de Control Interno Corporativo de CEMEX
Fuente: Revista Contaduría Pública www.contaduriapublica.org.mx del Instituto Mexicano de Contadores Públicos www.imcp.org.mx
Y luego Agregar a la pantalla de inicio.