El valor agregado de la gestión integral de riesgos
Las organizaciones reciben el encargo de administrar integralmente seis capitales. El encargo es explícito por parte de los dueños, que aportan los recursos financieros, pero existe también un encargo tácito de la sociedad y el medio ambiente, que les permiten desarrollar su actividad. Esto lo ejecutan dentro de un gobierno socialmente responsable. El desempeño de una organización dentro de este concepto general ha generalizado la expresión “los seis capitales”.
LOS SEIS CAPITALES
A continuación, se describen seis formas que toma el capital en una organización que le son encomendados para hacer crecer de manera sostenible:
Capital financiero
Lo conforman los fondos que:
- Están disponibles para el uso por una organización en la producción de bienes o la prestación de servicios.
- Se obtienen a través de financiamiento, como deuda, capital o donaciones, o generado a través de operaciones o inversiones.
Capital manufacturado
Objetos físicos fabricados (a diferencia de los objetos físicos naturales) disponibles para una organización para su uso en la producción de bienes o la prestación de servicios, que incluyen:
- Edificios.
- Equipos.
- Infraestructura (como carreteras, puertos, puentes y plantas de tratamiento de aguas residuales)
El capital manufacturado a menudo es creado por otras organizaciones, pero incluye activos fabricados por la organización informante para la venta o cuando se conservan para su propio uso.
Capital intelectual
Intangibles basados en el conocimiento, que incluyen organizacional que incluyen:
- Propiedad intelectual, como patentes, derechos de autor, software, derechos y licencias.
- “Capital organizacional” como conocimiento tácito, sistemas, procedimientos y protocolos.
Capital humano
Competencias, capacidades y experiencia de las personas, y sus motivaciones para innovar, incluyendo:
- Su alineación, y apoyo con el marco de gobierno de la organización, el enfoque de gestión de riesgos y valores éticos
- La capacidad para comprender, desarrollar e implementar una estrategia de organización
- Lealtades y motivaciones para mejorar procesos, bienes y servicios, incluida la capacidad de dirigir, gestionar y colaborar
Capital social y relacional
Las instituciones y las relaciones dentro, y entre, comunidades, grupos de partes interesadas y otras redes, y la capacidad de compartir información para mejorar el bienestar individual y colectivo. Incluye:
- Normas compartidas, y valores y comportamientos comunes
- Relaciones claves con las partes interesadas, y la confianza y voluntad de involucrarse que una organización ha desarrollado con actores externos, y se esfuerza para construir y proteger
- Intangibles asociados con la marca y reputación que una organización ha desarrollado, la licencia social de una organización para operar
Capital natural
Todos los recursos y procesos ambientales renovables y no renovables que proporcionan bienes o servicios que respaldan la prosperidad pasada, actual o futura de una organización. Incluye:
- Aire, agua, tierra, minerales y bosques.
- Biodiversidad y salud del ecosistema.
Para hacer un seguimiento del desempeño en cada uno de los frentes existen las metodologías de reportes integrados para los cuales los sistemas de gestión de riesgo aportan información de mucho valor.
APORTES DE LA GESTIÓN DE RIESGOS A LA ORGANIZACIÓN
Los sistemas de gestión de riesgo aportan valor a las organizaciones, pues van mucho más allá de cumplir los requisitos con las entidades reguladoras de orden nacional e internacional. Durante el proceso de su diseño, en la selección y adopción del modelo a implantar, cuando se realiza la identificación de los indicadores de riesgo específicos, la construcción de un mapa de materialidad, los funcionarios de la empresa toman conciencia explícita del impacto que tiene su labor y los riesgos asociados a ella en los resultados finales.
El sistema de gestión de riesgos hace parte esencial del conjunto de reportes integrados de una organización, que le permiten proyectarse ante su comunidad de interés (stakeholders) como una organización responsable con los diferentes capitales que le han sido asignados por los dueños, la comunidad y el medio ambiente y con una implementación correcto del gobierno corporativo.
Desde el punto de vista específico de los productos de gestión de riesgo, éstos deben ofrecer características como las siguientes:
Manejar una gestión integral de riesgos, tales como: operativos, estratégicos, reputacional, financieros, de seguridad de la información, lavado de activos, entre otros. Ayudar a las organizaciones a cumplir con las exigencias de los entes reguladores que las obligan a contar con un sistema de gestión o administración de riesgos. Ayudar a cumplir con las normativas internacionales tales como: Basilea II, Estándar Australiano, Sarbanes Oxley, COSO ERM, ISO31000, además de las normativas regionales. Ayudar a reducir la subjetividad de la calificación de los riesgos y controles.
Y aportar a la organización beneficios de este tipo
Aporta información relevante para toma de decisiones estratégicas. Apoya la mejora de los procesos para identificar fallas y establecer planes de acción.
Los riesgos en el sector real y el lavado de activos en particular
Todos los sectores están sometidos a todo tipo de riesgos que, por supuesto, requieren ser gestionados. Las circunstancias actuales requieren que se tomen medidas especiales para la prevención de efectos colaterales de un delito que acecha en todo momento, el lavado de activos, en estos términos: Prevenir el lavado de activos y la financiación del terrorismo no es solo un compromiso de las entidades financieras, La prevención del lavado de activos y de la financiación del terrorismo (LAFT) en los demás sectores, más que una obligación, es un asunto de responsabilidad empresarial, pues la gestión de riesgo es uno de los pilares
de un buen gobierno corporativo. A pesar de esto, a menudo se piensa que el riesgo de LAFT es una preocupación y un compromiso exclusivos del sector financiero, pero también su empresa debería protegerse contra estos delitos. Los riesgos del lavado de activos y de la financiación del terrorismo (LAFT) pueden provenir de diferentes fuentes. La relación con terceros, como clientes, proveedores, socios o colaboradores, puede implicar un riesgo de caer en actividades ilícitas involuntarias. Por eso, toda actividad económica implica ciertos riesgos. Las amenazas provienen tanto del interior como del exterior de una organización. La falta de controles, no tener una política de gestión de riesgo estructurada o el desconocimiento del personal acerca de los peligros o de los procesos puede favorecer las acciones ilegales. El problema está en que los perjuicios del LAFT no son visibles sino hasta que se concreta el peligro. Una vez una empresa del sector real ha sido afectada por los delitos de contrabando, lavado de activos o financiación del terrorismo, se producen multas, sanciones, embargos, incluso detenciones o extradiciones de los dueños o administradores. Eso sin contar con las pérdidas de dinero que se ocasionan en los procesos de extinción de dominio.
Por el contrario, las empresas que toman medidas para prevenir el lavado de activos y la financiación del terrorismo disminuyen la probabilidad de sufrir sanciones, además de que mejoran su imagen institucional. Asimismo, contar con un programa de prevención de lavado de activos y de la financiación del terrorismo también trae muchos beneficios organizacionales: Los negocios son más sostenibles. La confianza sectorial se fortalece. La inversión aumenta. La gestión de la empresa se hace más segura. La toma de decisiones se afianza. La competencia económica se legitima. ¿Entonces por dónde comenzar?
Implemente una política de gestión de riesgo
La educación comienza por casa, y esto es aplicable también para los negocios del sector real. Los mecanismos de autorregulación permiten establecer qué medidas preventivas se van a tomar, facilitan la transparencia y esclarecen los procesos. Así se mejora la administración de los riesgos.
Cree un plan de divulgación
No es suficiente con elaborar un plan de gestión de riesgo si no se difunde dentro de la organización. Para descentralizar la gestión de riesgo, es necesario que toda la empresa conozca en qué consiste. Esto fortalecerá la cultura de riesgo y fomentará la participación de las partes interesadas.
Utilice herramientas tecnológicas
Es cierto que muchas empresas del sector real no cuentan ni siquiera con un área de cumplimiento. Por eso, es importante tener un software de gestión de riesgo que ayude a automatizar el proceso. Tenga en cuenta que cualquiera que sea la herramienta que utilice debe administrar de forma integral los riesgos, apoyar la
cultura de gestión de riesgo, reducir la subjetividad del análisis y recibir notificaciones automáticas.
EL PROCESO DE SELECCIÓN DEL MODELO DE GESTIÓN DE RIESGO A IMPLEMENTAR
El modelo “V” (Alternativa 1 para la gestión del Riesgo)
En la implantación de medidas de control del riesgo es importante la identificación de los puntos y procesos de la operación financiera para luego relacionarlos según el tipo de marco de gestión de riesgos informáticos que se haya utilizado para la evaluación global de riesgo (Global Risk Assesments -GRA). El Modelo “V” se asemeja al usado en informática, para control, desarrollo y puesta en marcha de proyectos. Sigue un proceso cronológico desde la definición de un proyecto hasta su puesta en marcha. A partir de este modelo, y de la estratificación considerada en él, se hacen las consideraciones para implantar métodos y soluciones para la mitigación del riesgo.
Marco para gestión del modelo de riesgo:
Este modelo asegura que: Existan políticas apropiadas de gestión de riesgos y un marco de gobernanza Los modelos se desarrollen e implementen de manera robusta y apropiada Esos modelos se sometan a validación apropiada y revisiones independientes y antes después de la implementación.
Estructura del marco para gestión del modelo de riesgo
Se divide en cuatro fases y tiene en total siete etapas de progresión:
FASE I- POLÍTICAS DE GESTIÓN DEL MODELO DE RIESGO Y MARCO DE GOBERNANZA:
PROPUESTA DE MODELO Y TÉRMINOS DE REFERENCIA (Responsabilidad
compartida con GRA):
Comprender las razones detrás de la creación de un modelo y las expectativas sobre cómo se usará su resultado.
DESARROLLO DEL MODELO (Responsabilidad de GRA):
El modelo es lógico, desarrollado robusta y apropiadamente para su propósito previsto y es consistente con los estándares globales
VALIDACIÓN DE LA PREIMPLANTACIÓN (Responsabilidad de GRA):
Control de Primera Línea de Defensa (FLOD – First Line Of Defense) para garantizar que el modelo sea conceptualmente correcto, que los datos utilizados sean los adecuados y que los resultados cumplan con el propósito previsto.
FASE II- VALIDACIÓN DEL MODELO Y REVISIÓN INDEPENDIENTE DE ESTÁNDARES.
REVISIÓN INDEPENDIENTE (Responsabilidad fuera de GRA):
Control de Segunda Línea de Defensa (SLOD – Second Line of Defense) donde los modelos clave se someten a una revisión independiente para proporcionar un desafío creíble y una garantía adicional a la administración, lo que ayuda a identificar las limitaciones antes del uso del modelo.
FASE III- DESARROLLO DEL MODELO E IMPLANTACIÓN DE ESTÁNDARES
APROBACIÓN (Responsabilidad compartida con GRA):
El modelo ya ha recibido la aprobación apropiada de la autoridad pertinente o individuo (s) responsable antes de ser usado o implementado.
FASE IV- DEFINICIÓN DEL MODELO, IDENTIFICACIÓN E INVENTARIO
IMPLEMENTACIÓN (Responsabilidad compartida con GRA):
El modelo ya se ha implementado según su diseño y propósito originales luego de haber realizado las pruebas apropiadas.
VALIDACIÓN Y REPORTE DEL MODELO (Responsabilidad compartida con GRA):
El modelo está funcionando satisfactoriamente y se está utilizando según su diseño y propósito originales. Esto incluye una serie de actividades, incluida la supervisión y validación de primera línea, y la validación y revisión independientes.
Las tres líneas de defensa podemos tener una consideración adicional para el modelo de gestión de riesgo que es derivada del sector financiero, planteando la posibilidad de aprovechar la existencia de herramientas de gestión integral de riesgo en sectores económicos diferentes al financiero. Allí se ofrece una hoja de ruta a seguir que comprende: La importancia del compromiso de la dirección El concepto de materialidad Las Tres Líneas de Defensa, funciones y responsabilidades El impacto de la auditoría de riesgo Integración con reportes no financieros Aunque se
enfatizan las “Tres líneas de Defensa”, término que resume de manera simplificada cómo disponer los recursos de la organización para un logro final superior, el sistema de riesgo va mucho más allá de la prevención, el reporte y la gestión, contribuyendo al cumplimiento de los objetivos estratégicos de la organización dentro de un marco de responsabilidad social corporativa.
En la próxima entrega expondremos otros modelos.
Fuente: Carlos A Boshell Norman