Gobernanza corporativa factor clave para la cultura de prevención en riesgos
El segundo aspecto fundamental en la cultura de riesgos es el gobierno que involucra la asignación de roles y responsabilidades para los miembros de la organización relacionados con la gestión de riesgos. El gobierno es fundamental para la cultura de riesgos en el sentido que ayuda a crear conciencia y actitudes de compromiso y responsabilidad en los empleados para responder de forma acertada a los riesgos a los que se enfrenta la organización. Durante el recorrido del capítulo, se define el concepto de gobierno y su importancia para la cultura de riesgos, se presenta una propuesta de estructura básica de gobierno con sus roles y responsabilidades para la gestión de riesgos y una lista de chequeo con preguntas que permiten identificar oportunidades de mejora para el gobierno de riesgos.
DEFINICIÓN
Una estructura de gobierno de riesgos hace referencia a la asignación de roles y responsabilidades que incluye a la alta dirección activa y comprometida, el equipo de gestión de riesgos con experiencia, centralizado e independiente de las líneas de negocio, y las áreas tácticas y operativas que acompañan la gestión en la organización. Una cultura de riesgos necesita un gobierno con prácticas claramente definidas y entendidas, establecer funciones y responsabilidades en la gestión de riesgos para la alta dirección, la dirección de riesgos y los empleados de todos los niveles con el objetivo de comprender los valores organizacionales y el enfoque de riesgos, ser capaces de desempeñar los roles definidos, y ser conscientes que todos son responsables por sus acciones con relación a la toma de decisiones basadas en riesgos. De modo similar, las funciones de cumplimiento, auditoría interna y control interno deben tener claramente delineadas las responsabilidades en cuanto al seguimiento, identificación, gestión, mitigación y escalamiento de los riesgos.
La eficacia de las organizaciones para responder a los problemas, eventos u oportunidades puede ser influenciada por su gestión de riesgos. Un efectivo gobierno de riesgos, a través del uso de medidas objetivas y una mayor participación en las decisiones, debe enfocar la atención en todas las áreas y generar el reporte oportuno de los riesgos. Razón por la cual, la estructura de
gobierno puede ser vista como la columna vertebral de una administración de riesgos efectiva, cuyo objetivo debe ser mejorar la capacidad de la organización para tomar mejores decisiones basadas en riesgos y donde se tengan en cuenta las siguientes preguntas claves:
Además, la alta dirección necesita establecer los comités adecuados para tomar decisiones basadas en riesgo, así como definir responsabilidades claras y una formalidad en torno a las decisiones claves, que puede ser logrado a través de:
- Un marco de delegación efectiva de autoridad y/o estructura de los comités: La delegación y las disposiciones del comité no sólo deben traer rigor al proceso de toma de decisiones, sino también permitir el correcto comportamiento, la cultura, la agilidad y la rapidez de la respuesta para las comunicaciones de riesgos. Para asegurar la alineación y buen compromiso, cualquier comité de discusión formal (comité de auditoría, comité de riesgos, comité de cumplimiento, comité de presidencia, entre otros), requiere una serie de perspectivas, y por lo tanto la estructura de los miembros debe ser bien pensada. Los procesos de gobierno diseñados deben tener un enfoque acorde con la estructura organizacional e incluir un proceso de escalamiento eficaz, por lo general basado en el apetito de riesgo propio de cada organización. Por último, la estructura de gobierno debe permitir un buen nivel de desafío y la apertura mediante el establecimiento apropiado de retroalimentación, para que cualquier persona pueda participar.
- Un marco de políticas y un conjunto de normas de negocio: Un segundo elemento para la eficacia de la gestión de riesgos es un “libro de reglas” o un conjunto de principios que describa la forma en que se deben gestionar los riesgos a través de la formalización de una política articulada con las normas de negocio que explican con más detalle la forma de operar y gestionar los riesgos y los controles de los procesos claves.
¿POR QUÉ ES IMPORTANTE EL GOBIERNO EN LA CULTURA DE RIESGOS?
El gobierno de riesgos es importante debido a que permite la asignación de funciones para la gestión de riesgos a todo nivel en la organización, al asegurar que todos tengan claro lo que se espera de ellos y su comportamiento para responder de forma asertiva a las amenazas. Así, responsabilidades como la pertenencia a un comité de riesgos, la propiedad de riesgos o la autoridad en la toma de decisiones no deben estar simplemente escritas dentro de un manual de funciones, deben tener vida a través de las actuaciones de los empleados para transformar la cultura de riesgos.
En la práctica se evidencian las siguientes estrategias en gobierno de riesgos que permiten una cultura de riesgos adecuada:
- Constituir un comité de riesgos que analice y supervise los riesgos desde diferentes ópticas para tomar decisiones claves.
- Definir roles, responsabilidades y entregables para cada proceso de negocio.
- Determinar por el comité de riesgos una plantilla de decisiones y la información mínima requerida para las decisiones claves, establecida por el comité de riesgos.
- Seleccionar líderes o gestores de riesgos como aliados estratégicos del negocio al ser los ojos del área de riesgos en los procesos.
- Detallar procesos de escalamiento de eventos de riesgo. • Utilizar los informes de riesgos como insumos para la ejecución del proceso de auditoría basada en riesgos.
ESTRUCTURA DEL GOBIERNO DE RIESGOS CON ROLES Y RESPONSABILIDADES
Cada organización tiene su propia visión del negocio y es única en sus procesos, filosofía y estructura, es por esta razón que se debe recopilar toda esta información para definir el esquema de gobierno de riesgos que mejor se adapte, ya que no existe una fórmula general debido a que los roles y responsabilidades varían de una organización a otra y dependen del estilo de dirección.
Dentro de cada uno de los niveles de la estructura de gobierno, pueden ser definidos algunos comités como los que se mencionaron anteriormente.
NIVEL DE LA ESTRUCTURA DE GOBIERNO | COMITÉ A CREAR | PRINCIPALES RESPONSABILIDADES |
Alta dirección | Comité de presidencia | -Velar por una adecuada gestión de riesgos estratégicos y críticos del negocio. -Aprobar las tablas de valoración de probabilidad e impacto de los riesgos. -Aprobar las definiciones de apetito, tolerancia y capacidad de riesgo. |
Administración de riesgo | Comité de riesgos | Analizar y supervisar de forma periódica los riesgos desde diferentes ópticas para tomar decisiones claves |
Supervisión – auditoría | Comité de auditoría | -Monitorear el sistema de control interno y la gestión integral de riesgos. -Definir recomendaciones para los riesgos críticos del negocio. |
Como buena práctica se evidencia que el área de riesgos depende directamente de la alta dirección y es autónoma e interactúa activamente con todos los niveles de la organización. Se resalta la importancia de empoderar a los empleados a través de la creación de estructuras de liderazgo, no sólo desde la toma de decisiones basadas en riesgos sino también desde la respuesta y la rendición de cuentas. En este orden de ideas, todas las áreas son responsables de su gestión y el CRO y su equipo son facilitadores que ofrecen un apoyo metodológico para que la gestión de riesgos funcione de manera sistemática dentro de la organización. Adicionalmente, se debe alinear la gestión con los sistemas integrados que existen al interior de la organización como apalancadores de la transformación de la cultura de riesgos. Es importante definir la estructura del comité de riesgos con la participación de una amplia gama de áreas del negocio, con conocimiento y experiencia para brindar una visión holística al análisis de la gestión de riesgos.
¿CÓMO EVALUAR EL GOBIERNO EN LA CULTURA DE RIESGOS?
A continuación, se presenta la siguiente lista de chequeo para evaluar el gobierno en la cultura de riesgos. Aquellas consideraciones que se respondan de manera negativa deben ser tenidas en cuenta como actividades a desarrollar al interior de la organización para el fortalecimiento de la estructura de gobierno:
COMPROMISO DE LA ALTA DIRECCIÓN | SI | NO | |
1 | ¿La estructura de gobierno definida en la organización incluye las unidades de negocio y líderes de riesgo, área de riesgos y auditoría? | ||
2 | ¿La responsabilidad de la gestión de los riesgos claves del negocio está claramente definida a todos los niveles de la organización? | ||
3 | ¿Se establecen responsabilidades claras con relación al seguimiento, la notificación y la respuesta a los riesgos a través de todos los niveles en la organización? | ||
4 | ¿Los procesos de escalamiento son establecidos para apoyar la gestión de riesgos? | ||
5 | ¿La rendición de cuentas para la gestión de riesgos está alineada con las responsabilidades de los procesos claves del negocio y objetivos de la organización? | ||
6 | ¿Las responsabilidades de riesgos están establecidas en el manual de funciones de los administradores? | ||
7 | ¿Existen comités que apoyen la estructura de gobierno definida para la gestión de riesgos? | ||
8 | ¿Los comités creados para la gestión de riesgos, tiene claramente definidas sus responsabilidades? | ||
9 | ¿Los comités creados en la organización cuentan con la participación de un equipo interdisciplinario con conocimiento y experiencia en riesgos y con capacidad para tomar decisiones? | ||
10 | ¿El área de riesgos depende directamente de la alta dirección? | ||
11 | ¿El área de riesgos es independiente y autónoma para la toma de decisiones? | ||
12 | ¿Los empleados cuentan con mecanismos para elevar y reportar las preocupaciones sobre las prácticas de riesgo? | ||
13 | ¿Los empleados conocen los procesos de escalamiento de eventos de riesgo? | ||
14 | ¿Los empleados utilizan los mecanismos de escalamiento relacionados con los eventos de riesgo? | ||
15 | ¿Las áreas de control tienen claramente delineadas las responsabilidades para la gestión de riesgos? |
En síntesis, una estructura de gobierno para la administración de riesgos, requiere de una colaboración armoniosa y comprometida de la alta dirección, un área de gestión de riesgos que apoye a las unidades de negocio en el proceso de entendimiento e integración de la metodología y lineamientos para la administración de riesgos, y en el fortalecimiento del conocimiento de sus procesos para crear actitudes de compromiso frente a los retos que enfrenta la organización para transformar la cultura de riesgos.
El papel del administrador debe tender hacia la consultoría y el soporte, en un rol de coordinador, educador y activador y sentirse responsable de la comprensión de los riesgos en su parte del negocio y mantener a la organización dentro de los límites de riesgo definidos. Y los empleados deben ser responsables por las debilidades de los controles identificadas en sus propias áreas y en la organización como un todo. El hecho de que exista un área de riesgos no exonera a las otras áreas de que se preocupen por la gestión de los mismos.
Fuente: Trabajo de grado Maestría en Administración de Riesgos CULTURA DE RIESGOS Buenas prácticas para transformar la cultura de riesgos en las organizaciones. Autores MARCELA ALEÁN SUÁREZ, LINA MARÍA JARAMILLO ECHEVERRI, FREDDY GUSTAVO VELA MARTÍNEZ / Carlos A Boshell Norman