¿Cuál es la importancia de la cultura empresarial de gestión de riesgos?

Las empresas a nivel mundial se ven obligadas a enfrentarse a diferentes retos y a estar en una búsqueda constante de estrategias que las mantengan a la vanguardia en sus servicios y que les ayuden a fortalecer su relación y credibilidad con inversionistas, clientes, proveedores y entidades financieras. Esto se encuentra estrechamente relacionado con la cultura de gestión de riesgos, la cual debe estar fundamentada en el cumplimiento de políticas referentes a la ética empresarial y el control interno, manteniendo una transparencia total en las negociaciones, producciones y demás operaciones de la empresa, así como divulgar, hacer seguimiento y establecer una retroalimentación internamente de los documentos de control y los manuales de ética correspondientes.

La cultura de gestión de riesgos resulta esencial dentro de las empresas, pues garantiza su continuidad y fortalece el ambiente de control interno, lo que deviene en mayor seguridad en la realización de las operaciones. Por otra parte, su omisión puede acarrear consecuencias como fraudes en el efectivo o en los inventarios, pérdidas que terminen en la liquidación de la compañía, o procesos jurídicos que involucren a la alta gerencia.

Redacción INCP a partir de artículo publicado por Wilmer Arley Guevara – Russell Bedford

Para más información consulte el artículo titulado “La cultura de la gestión de riesgos, un pilar en la continuidad de las empresas” publicado por Wilmer Arley Guevara – Russell Bedford.

La cultura de la gestión de riesgos, un pilar en la continuidad de las empresas

El mundo de los negocios es cambiante, cada día las empresas enfrentan nuevos desafíos para mantenerse a flote, los cuales incluyen buscar constantemente estrategias para estar a la vanguardia con sus productos y servicios, generar credibilidad ante los inversionistas, entidades financieras, clientes, proveedores y empleados. Lograr lo anterior requiere que las compañías tengan definidos planes estratégicos, recursos humanos capacitados, herramientas tecnológicas actualizadas y procedimientos de control interno sólidos; pero hay uno que en los últimos años ha cobrado vital relevancia y es la cultura de la gestión de riesgos, un asunto clave del cual se debe empoderar la dirección para ayudar a dar pasos firmes en la medida del crecimiento.

Cada actividad que se genera dentro de una empresa está expuesta a riesgos inherentes, es decir los riesgos que son implícitos a las actividades que se realizan, algunos tendrán impactos más significativos que otros y es aquí donde la dirección de las compañías debe prestar más atención. Pueden existir riesgos financieros, que al materializarse generarían un impacto menor como lo puede ser un fraude en caja menor por USD 100, pero otros pueden tener un impacto significativo como el riesgo reputacional derivado del relacionamiento con actividades delictivas. Cuanto más grande sean las empresas, más relevancia se le debe dar a la gestión riesgos.

Para llevar a cabo una oportuna identificación, tratamiento y seguimiento a los riesgos identificados, las empresas pueden tomar como referencia el Marco de Gestión de riesgos COSO ERM 2017 y la norma ISO 31000 gestión de riesgos. Estos dos estándares son bases claves para empezar a gestionar los riesgos.

¿Qué implica crear una cultura de gestión de riesgos?

  1. Crear una cultura de ética y control: Los directivos deben ser pioneros y deben liderar la implementación, el cumplimiento y el fortalecimiento de políticas relacionadas con la ética empresarial y con el control interno, son ellos quienes con sus acciones deben dar ejemplo. La ética debe inculcarse desde la transparencia en las grandes negociaciones para que quienes manejan o ejecutan operaciones de mínimas cuantías tengan un factor motivador de conducta adecuada. Con relación a la cultura del control, esto implica, entre otros asuntos, que toda decisión sea verificada, aprobada y documentada por los niveles adecuados y no se sobrepasen los controles y limitaciones establecidos; no basta sólo con crear documentos de control interno y un manual de ética, se debe divulgar, interiorizar, hacer seguimiento, buscar retroalimentación, tomar medidas preventivas y correctivas hasta que se convierta en una cultura interna de la compañía.
  2. Documentar los riesgos en una matriz: Este punto se puede calificar como el punto core dentro de la cultura de riesgos. Se denomina matriz porque es una herramienta en la que se relacionan una serie de variables cualitativas y cuantitativas que permiten fundamentar la calificación otorgada a los riesgos identificados, estas deben ser documentadas por los responsables y participes en la mitigación de los riesgos para que la dirección y la administración puedan hacer un seguimiento oportuno y darle un tratamiento adecuado.

Mucho se habla de matrices de riesgos, pero son muy pocos los conocedores de su metodología y documentación, por lo tanto, se presenta a continuación una breve descripción:

Identificar riesgos: Se deben identificar y clasificar los riesgos inherentes de acuerdo con las actividades o ciclos principales de negocio de la compañía, se deben considerar los riesgos financieros, operacionales, legales, reputacionales, tributarios, tecnológicos, cambiarios, entre otros. Una fuente importante para identificar los riesgos, son los planes estratégicos, presupuestos, KPI’s, perfil de las personas acorde con las funciones que realizan, políticas contables, estados financieros y estructura de control interno. Aquí es importante realizar una descripción detallada pero no confusa de los riesgos identificados, tampoco se deben suponer escenarios salidos de la realidad de la compañía o que no apliquen, pero si se debe responder la pregunta ¿qué podría salir mal? aterrizando la respuesta a la realidad del negocio, del entorno económico, político, legal, etcétera en el que opera la Compañía.

Valorar los riesgos: Se debe medir el impacto que tendrá sobre los estados financieros, sobre la operación, sobre la reputación, sobre el personal, entre otros, (dependiendo del tipo de riesgo) si se llega a materializar, es importante mencionar que entre mayor frecuencia tenga una actividad expuesta a un riesgo, mayor probabilidad de materialización puede tener.

Apetito al riesgo: Este término más conocido en el ámbito de las inversiones, no es otra cosa que definir a nivel interno qué cuantía dispuesta a perder una compañía en caso de que se materialice un riesgo.

Clasificar los riesgos: Los riesgos los podemos definir en dos categorías, aquellos relevantes o estratégicos, es decir aquellos que de materializarse pueden tener un impacto patrimonial significativo y puede poner en duda la continuidad como negocio en marcha y la otra categoría como riesgos de nivel operativo o normales, son aquellos que van definidos a nivel de procesos y su materialización puede tener un impacto menor a nivel patrimonial con relación a los estratégicos, pero de igual manera requieren una atención y tratamiento por parte de la dirección.

Definir los controles: Los controles son el tratamiento clave a la gestión de riesgos, existen controles preventivos, detectivos y correctivos, al igual que existen controles que disminuyen el impacto y/o transfieren el riesgo a terceros. Un papel importante de este paso es la definición de los responsables que los ejecutarán, como van a operar y definir la que realmente sea una respuesta al riesgo, es decir, que reduzca su impacto a un nivel residual. 

Monitoreo: La dirección debe asegurarse que los controles definidos para el tratamiento a los riesgos, efectivamente se ejecuten, este monitoreo se puede dar con el apoyo del departamento de auditoría interna, para el caso de empresas con pocos empleados, será responsabilidad de los niveles gerenciales hacer este seguimiento.

c. Actualización: Así como los negocios cambian, los riesgos también son cambiantes, por lo tanto, se requiere revisar de manera periódica si los riesgos que se definieron en determinado momento aún se mantienen o si las circunstancias que los generaban se han modificado y es necesario realizar una actualización de los procesos y por ende, una nueva identificación de riesgos y su respectiva asociación de controles mitigante. Un indicador de que los riesgos pueden cambiar podría ser la expansión de las operaciones, variaciones anormales en los KPI, cambios de normatividad, actualizaciones tecnológicas, cambios en la alta gerencia, etcétera; es importante resaltar que se deben monitorear los cambios generados tanto a nivel interno como externo. 

¿Qué ventajas tiene la cultura de la gestión de riesgos?

Una de las ventajas principales está directamente relacionada con la optimización de los recursos económicos y sus resultados operacionales, seguimiento continuo al negocio en general, toma de decisiones oportunas y asertivas, mejora continua en el fortalecimiento del control interno y el constante reflejo de un pensamiento ético hacia el personal para realizar siempre las cosas de la mejor manera.

¿Qué consecuencias trae la omisión de la cultura de riesgos?

Las consecuencias son diversas y de magnitudes diferentes y hasta inimaginables, el desconocimiento de los riesgos puede hacer que la compañía sea más susceptible a que estos se materialicen, puede que se presenten desde fraudes de menor cuantía en el efectivo o en los inventarios hasta pérdidas con impactos patrimoniales que lleven a la liquidación de la compañía, incluso con alcances de procesos jurídicos que involucren a la alta gerencia.

Conclusiones

La cultura de gestión de riesgos es un asunto clave dentro de las empresas, la dirección debe ser la responsable directa de la implementación, seguimiento y supervisión de que la misma se integre a toda la organización, lo cual trae doble beneficio, en primer lugar, garantiza la continuidad de la compañía y en segundo lugar ayuda a fortalecer el ambiente de control interno, generando mayor seguridad en cuanto a que las operaciones se realicen de la manera adecuada.   

Por: Wilmer Arley Guevara – Russell Bedford

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *