La Gestión del Riesgo Empresarial
José Alcibiades Guerra Parada
La gestión integral del riesgo hace referencia a un proceso sistemático de toma de decisiones en un ambiente de certidumbre sobre un evento que puede llegar a suceder, cuya probabilidad e impacto trae consecuencias adversas en caso de materializarse.
Es un tema que no se debe evadir en el desarrollo del día a día de los negocios, sino que se constituye en un reto estratégico si se quiere alcanzar un mejor desempeño, crecer y competir dentro de cada sector, ya que se constituye en un componente básico de la gestión empresarial.
De por sí la gestión integral implica una administración holística, global, de los riesgos en todos los niveles de la organización, con el fin de facilitar el logro del direccionamiento estratégico y la toma de decisiones, teniendo en cuenta la interacción de la empresa con su entorno, la relación con los grupos de interés, la interrelación entre los procesos, así como la implementación de mecanismos que garanticen la continuidad del negocio y la protección de los recursos e intereses.
Es así que la gestión del riesgo exige que se establezcan acciones, no aisladas, sino de manera estructurada, integral y permanente para identificar, analizar, medir, calificar, evaluar y monitorear todo tipo de riesgos que puedan afectar el cumplimiento de los objetivos de las organizaciones, con el propósito de responder con medidas efectivas para su manejo y control a través de un plan de acción. En cuanto a normatividad los referentes internacionales son Coso II (septiembre de 2004) donde se establece un marco integrado, basado en objetivos estratégicos, para la gestión de riesgos corporativos con diferentes técnicas de aplicación, centrándose en los riesgos relativos a la información financiera. Esta se constituye en una de las normas previas de la administración del riesgo.
Posteriormente viene la ISO 31000 de 2009 que establece el contexto, de forma que sienta las bases para que la organización pueda articular sus objetivos, definir los parámetros internos y externos a tener en cuenta y establecer los principios fundamentales para la gestión de riesgos, así como el marco referente que la delimita y direcciona y un proceso que facilita su ejecución. Esta norma se refiere al proceso de identificación, análisis y evaluación cualitativa y cuantitativa de la exposición al riesgo en las diferentes actividades y procedimientos de la empresa.
Por su parte la norma ISO 31010, también de 2009, aparece como un soporte estándar de la anterior, proporcionando orientación para la selección y aplicación de las técnicas y herramientas sistemáticas para valorar y evaluar los riesgos. Se trata de normas genéricas aplicables a diferentes tipos de sectores y organizaciones, trátese de empresas, asociaciones (públicas, privadas o comunitarias) o personas a nivel grupal o individuamente, según sus necesidades, objetivos, contexto en el que operan estructura, negocios, transacciones que realizan, servicios que prestan, etc. Estas técnicas facilitan la comprensión de sus aplicaciones, elementos de entrada, procesos, resultados, fortalezas y limitaciones.
Entre los beneficios que conlleva una diligente gestión integral del riesgo se encuentran mejoras en la etapa de planificación estratégica, minimización de amenazas, aprovechamiento de oportunidades, reconocimiento de riesgos emergentes, manejo de riesgos transversales, obtención de una visión integrada del negocio, protección de activos y mejora de la imagen de la organización. Igualmente, permite realizar una asignación más eficiente de los recursos financieros y operativos y desarrollar una estructura que permita que las actividades futuras se ejecuten en forma controlada y se promueva el crecimiento empresarial
No obstante, para que la Gestión Integral del Riesgo sea efectiva debe estar alineada con las funciones claves de la organización, ya que para que un programa o sistema sea exitoso debe estar incluido dentro de las funciones del gobierno corporativo, donde la junta directiva y la alta gerencia definen las políticas, los objetivos estratégicos y los lineamientos de la gestión de riesgos, a la vez que realizan una continua revisión de la misma. Adicionalmente, las organizaciones tienen la obligación de diseñar indicadores de desempeño adecuados, que deben monitorearse permanentemente y los administradores asumir responsabilidades ante los comités de riesgos y la junta directiva por su cumplimiento y retroalimentación.
Más que un formal y simple cumplimiento normativo, lo que se debe buscar es que las organizaciones cuenten con sistemas robustos y efectivos de administración del riesgo. Estos deben contemplar claramente políticas, procedimientos, procesos y demás mecanismos encaminados a intervenir sobre las amenazas o vulnerabilidades, con el fin de prevenir, mitigar o controlar los riesgos existentes, lo cuales pueden ser de: mercado, liquidez, de crédito, operativo, de lavado de activos, estratégico, legal, entre otros. Para ello es importante diseñar controles o mitigantes adecuados y oportunos de riesgo. En este sentido, los directivos y la alta gerencia deben ser los órganos orientadores, encausadores y supervisores permanentes de la implementación, cumplimiento y efectividad de las políticas, procedimientos y controles adoptados en las instituciones.
Pero el compromiso para administrar adecuadamente el riesgo debe ser de todas las áreas de la organización, articulando la totalidad de los grupos de interés en los diferentes niveles, de tal forma que se minimicen las amenazas y se disminuya la posibilidad y el impacto de materialización de los riesgos, que puedan llegar a afectar el logro de los objetivos institucionales. Dicha gestión no debe tomarse simplemente como una carga financiera, como un gasto sino como una inversión productiva que les traerá a las empresas protección y resultados benéficos, a la vez que les evitará dolores de cabeza a mediano y largo plazo. Tampoco debe asimilarse como una obligación legal más, sino como una responsabilidad social, dándole la importancia que merece verdaderamente.
Como se anotó el manejo del riesgo necesariamente debe incorporar etapas para su identificación, su medición o evaluación, su control y su monitoreo. En este sentido se deben aportar los recursos presupuestales, humanos, técnicos y de capacitación suficientes a las áreas responsables de su cumplimiento y gestión, para que sea adecuada su prevención, detección, mitigación y control, de acuerdo con el tamaño de la entidad, la naturaleza de los productos y servicios que ofrecen al público, el volumen de sus operaciones y el nivel de riesgo que se percibe internamente.
En el caso de la administración del riesgo en el sector financiero se requiere que previamente al diseño de un programa de cumplimiento, como uno de los pasos básicos se debe definir qué tan vulnerable es una institución frente a cada situación de riesgo que se identifica y analiza, calificar en qué nivel se encuentra (crítico, alto, medio alto, medio, moderado o bajo) y así poder determinar la clase, el impacto, frecuencia y valoración de los controles que se necesitan para mitigar los eventos que lleguen a suceder. Esto depende del análisis minucioso que se haga a los diferentes agentes o factores generadores de riesgo: tipo de clientes, tamaño de la entidad, mercado donde se desenvuelve, ubicación o jurisdicciones, productos y servicios que ofrece y canales de distribución que utiliza, así como la normatividad aplicable del país y los estándares y mejores prácticas internacionales que se puedan asimilar.
Finalmente es necesario agregar que, lo fundamental en la búsqueda de una verdadera cultura de riesgo es crear compromiso y generar conciencia colectiva a nivel de todas las áreas de la organización, al punto en donde todos los empleados sientan la necesidad y la obligación de detectar e impedir la cristalización del riesgo o de controlarlo y reducirlo minimizando su probabilidad e impacto, constituyéndose en su deber moral más que en su deber laboral.
corresponsal62@hotmail.com