Por: CP Iván Rodríguez. Colaborador de Auditool 

En numerosas organizaciones, la gestión de riesgos empresariales (Enterprise Risk Management – ERM) se ha convertido en un ejercicio de cumplimiento que produce gran cantidad de documentación, pero que tiene un impacto limitado en las decisiones estratégicas. Los directivos reciben mapas de calor, largas listas de riesgos y declaraciones de apetito de riesgo abstractas que, aunque parecen importantes, no les indican qué hacer. En este escenario, COSO publicó recientemente la guía "De la Orientación a la Acción: Explorando la Gestión Práctica de Riesgos Empresariales" ("From Guidance to Action: Exploring Practical Enterprise Risk Management")[1], la cual se constituye en el punto de partida para replantear el propósito de la ERM. El problema no es solo técnico, sino también cultural. La ERM depende de que las personas se sientan seguras para expresar sus inquietudes a tiempo, cuestionar supuestos y sacar a la luz la incertidumbre. Sin esta "seguridad psicológica", la gestión de riesgos se vuelve un acto performativo o un simple ejercicio de papeleo.

El objetivo de la ERM no es la integridad o la perfección documental; es la confianza. Una ERM efectiva se reconoce cuando las discusiones estratégicas incluyen preguntas disciplinadas y el apetito de riesgo guía las decisiones.

La guía de COSO presenta soluciones prácticas para transformar la ERM de un área administrativa a un motor de decisiones estratégicas. El objetivo debe ser un riesgo integrado en la toma de decisiones; esto es, proporcionar a los líderes señales de riesgo útiles que puedan integrarse en la planificación, la inversión y la ejecución. Algunas de las ideas que marcan la diferencia entre una ERM que genera actividad y una que genera impacto, son:

🛡️ Protección y creación de valor

La ERM crea valor tanto a través de la protección como de la creación. Su valor se demuestra cuando contribuye a decisiones más claras, advertencias tempranas, menos sorpresas y una mayor confianza del directorio.

🔗 La estrategia y el riesgo son inseparables

Toda elección estratégica conlleva una postura de riesgo explícita o implícita. La ERM efectiva vincula el riesgo con los resultados estratégicos.

⚠ La brecha de implementación es real

Muchos programas producen resultados (registros, mapas de calor), pero muy pocos mejoran las decisiones. Hay que preguntarse: ¿Este producto de trabajo mejora una decisión o acelera la ejecución?

🎯 Centrada en las decisiones e integrada

Una ERM efectiva está centrada en las decisiones y está integrada. Los programas más efectivos aparecen donde se toman las decisiones (planificación, inversión), no a su alrededor.

Hay que recordar que el marco COSO está basado en principios, lo que facilita su adaptación. El desafío es convertir los principios en comportamientos concretos, lo cual puede lograrse de la siguiente manera:

📊 Evaluación de riesgos que informan decisiones

Con frecuencia, la evaluación de riesgos se reduce a un ejercicio de puntuación (probabilidad e impacto) y un mapa de calor, en lugar de lo que los líderes realmente necesitan saber: ¿Qué podría pasar? ¿Qué cambiaría los planes? ¿Cuándo se debe actuar? Por ello, en lugar de una sola puntuación, una evaluación útil para la toma de decisiones debe:

• Utilizar rangos y escenarios, incluyendo al menos un caso de disrupción que forzaría un cambio.

• Hacer explícitos los supuestos en lugar de ocultarlos dentro de un número.

• Identificar los desencadenantes (triggers): los indicadores que muestran cuando las condiciones han cambiado lo suficiente, como para justificar una reevaluación del riesgo y una posible acción.

⚖️ Apetito de riesgo útil (con umbrales, desencadenantes y acciones)

El apetito de riesgo a menudo falla en la práctica porque es demasiado abstracto o está desconectado de las decisiones del día a día. Se debe entonces convertir en un pequeño conjunto de límites de decisión vinculados a umbrales, desencadenantes y acciones. Un líder debería poder responder:

• ¿Qué se está dispuesto a aceptar en búsqueda de la estrategia?

• ¿Cómo se sabrá que hay un acercamiento al límite?

• ¿Qué se hará si se cruza?

Las respuestas deben ser claras para que el apetito de riesgo no siga siendo abstracto.

📋 Reportes al Directorio que son comunicación

Los reportes de riesgo para el directorio a menudo se convierten en compilaciones masivas de información donde las señales importantes se hacen difusas. El directorio recibe datos, pero no claridad para su rol de supervisión. Un informe útil para el directorio debe centrarse en:

• ¿Qué ha cambiado desde la última actualización?

• ¿Qué es lo que más importa ahora?

• ¿Qué está haciendo la gerencia al respecto?

• ¿Dónde necesita el directorio decidir, respaldar o desafiar?

Finalmente, la guía propone diez disciplinas operativas que las organizaciones pueden adoptar para mejorar su ERM:

1️⃣ Vincular estrategia y riesgo
2️⃣ Tratar la creación de valor como un resultado requerido
3️⃣ Hacer que el apetito de riesgo sea significativo y útil
4️⃣ Gestionar el riesgo como un portafolio
5️⃣ Priorizar las decisiones sobre la documentación
6️⃣ Medir el valor, no la actividad
7️⃣ Ejecutar la gobernanza como un sistema de comportamiento
8️⃣ Integrar la ERM en los ritmos operativos
9️⃣ Construir la franqueza como una capacidad
🔟 Aprender continuamente

El camino no es un rediseño masivo, sino reemplazar las actividades de bajo impacto con unas pocas prácticas centradas en las decisiones que realmente mejoren la forma en que se dirige la organización.

Como se observa, el objetivo de la ERM no es la integridad o la perfección documental; es la confianza. Una ERM efectiva se reconoce cuando las discusiones estratégicas incluyen preguntas disciplinadas ("¿Qué debe ser cierto?", "¿Qué haría cambiar el rumbo?"). Esto es, cuando el apetito de riesgo guía las decisiones, cuando los desencadenantes conducen a una acción temprana y cuando los reportes al directorio son claros y están orientados a las decisiones. El camino no es un rediseño masivo, sino reemplazar las actividades de bajo impacto con unas pocas prácticas centradas en las decisiones que realmente mejoren la forma en que se dirige la organización.

[1] Ver: New ERM Guidance

 

CP Iván Rodríguez - CIE AF

Colaborador de Auditool

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Escribir un comentario

Enviar
Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado