Por: CP Iván Rodríguez. Colaborador de Auditool.
Las organizaciones, en su propósito de garantizar la identificación, evaluación y mitigación de los riesgos clave que podrían afectar el logro de sus objetivos estratégicos y operativos, pueden desarrollar un marco de gestión de riesgos efectivo. Un buen marco permite combinar aspectos estructurales con una adecuada gestión cultural y organizativa. Para el efecto, es posible apoyarse en normas internacionales tales como la ISO 31000 o COSO ERM por citar un par de ejemplos. Algunas consideraciones que pueden tenerse en cuenta al elaborar un marco de gestión de riesgos son las siguientes[1]:
- Definir los objetivos y los componentes del marco
Dentro de los objetivos que normalmente se tienen en cuenta al elaborar un marco de gestión de riesgos, están:
- Identificar y responder a los riesgos clave de manera efectiva.
- Alinear las prácticas de gestión de riesgos con los objetivos estratégicos de la organización.
- Facilitar una toma de decisiones informada con base en evaluaciones de riesgos estructuradas.
Por su parte, los componentes o elementos fundamentales suelen ser:
- Principios o bases, entre los que se cuentan las políticas de gestión de riesgos, los objetivos y estrategias, así como los mandatos y compromisos organizacionales.
- La estructura organizativa, que puede conformarse con los planes detallados para la identificación y mitigación de riesgos y las relaciones y roles claros entre las áreas funcionales. También deben incluirse los recursos asignados específicamente para gestión de riesgos.
- El proceso de integración, que consiste en incorporar el marco dentro de las políticas y prácticas generales de la organización, tanto operativas como estratégicas.
- Evaluar el contexto de gestión de riesgos
Es necesario efectuar un análisis del entorno externo y considerar el impacto de diversos factores tales como los siguientes:
- Políticos: Cambios en regulaciones y políticas gubernamentales.
- Económicos: Inflación, tasas de interés, y fluctuaciones de mercado.
- Sociales: Cambios en la demografía y las expectativas de las partes interesadas.
- Tecnológicos: Innovaciones que pueden impactar los procesos o los productos.
- Legales y ambientales: Cumplimiento normativo y sostenibilidad.
También es procedente efectuar un análisis del entorno interno, para lo cual se deben evaluar los factores que influyen en la capacidad de la organización para gestionar riesgos, tales como:
- Estrategias y objetivos organizacionales.
- Estructuras y procesos operativos.
- Recursos y capacidades.
- Cultura organizacional y sistemas de información.
- Balancear procesos y cultura
La organización debe contar con procesos bien definidos para la identificación y mitigación de riesgos, herramientas y tecnologías de apoyo a la gestión de riesgos y estructuras claras de supervisión y reporte. De no ser así, se requiere fortalecerlas y posteriormente alinearlas e integrarlas. Esto debe incluir el desarrollo de competencias y actitudes proactivas en el personal, fomentar una cultura orientada a la identificación temprana de riesgos, y mantener el compromiso de la alta dirección con la gestión de riesgos.
- Vincular la gestión de riesgos con otros procesos
Es fundamental que en la gestión de riesgos haya integración de diferentes áreas o instancias al interior de la organización. La integración con la auditoría interna es crucial puesto que esta área revisa la efectividad de los controles. En esta incorporación, los resultados de las evaluaciones de riesgos deben ser insumos clave para la planificación de auditoría. El área a cargo de la elaboración y el seguimiento de la planificación estratégica de la organización debe estar atenta a la identificación de riesgos, lo cual permite realizar ajustes oportunos en los objetivos organizacionales. El área responsable de la gestión del desempeño debe incorporar, por su parte, las responsabilidades de riesgo en los planes individuales de desempeño.
- Incorporar la gestión de riesgos en los proyectos
Los proyectos que lleven a cabo una organización deben tener una definición clara de entregables con plazos y presupuestos establecidos; contar con criterios de éxito tales como tiempo, costo, calidad y reputación. Una vez estén debidamente estructurados, deben integrar los riesgos del proyecto como categorías específicas, establecer escalas personalizadas para evaluar probabilidad y consecuencias y mantener registros de riesgos separados para proyectos específicos y riesgos organizacionales. De esta manera es posible incorporar los riesgos en su ejecución.
- Diseñar un plan de implementación
Los principales elementos o pasos de un plan de implementación para contar con un robusto marco de gestión de riesgos son:
- Evaluación inicial: Se deben revisar las prácticas actuales de gestión de riesgos para identificar fortalezas y debilidades.
- Creación de un plan formal: Este plan debe incluir objetivos específicos de madurez en la gestión de riesgos, recursos y cronogramas necesarios para cerrar las brechas identificadas e indicadores clave para monitorear el progreso.
- Monitoreo y revisión
De manera regular, deben adelantarse acciones que permitan evaluar la efectividad del marco implementado y con base en los resultados obtenidos, realizar los ajustes respectivos según los cambios en el contexto interno o externo.
Los auditores deben tener presente que las prácticas de gestión de riesgos tienen como objetivo analizar los riesgos en una organización y que en la práctica, hay diferencias según la experiencia y conocimiento de los profesionales a cargo, el tamaño y la naturaleza de la empresa, y el momento en que se adoptó la gestión de riesgos en toda la organización. Teniendo en cuenta lo anterior, el desarrollo de un marco de gestión de riesgos, además de fortalecer la capacidad de una organización para mitigar riesgos, permite la optimización en la toma de decisiones y mejora el rendimiento organizacional en general.
Por ello, las organizaciones del sector público y privado han venido adoptando con mayor frecuencia, más marcos de gestión de riesgos puesto que les proporcionan un enfoque holístico para identificar, evaluar, gestionar, supervisar y priorizar las respuestas a todos los riesgos críticos de una manera que respalde las estrategias y planes empresariales.
[1] Ciertos contenidos fueron adaptados del documento A Practical Guide to Enterprise Risk Management, disponible en: A Practical Guide to Enterprise Risk Management
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.