Trabajando en la actualización de la Gestión de Riesgos para algunas compañías y preparándonos para lo que nos veremos enfrentados en esta etapa electoral, hicimos una revisión del contexto interno en las organizaciones y en la identificación de factores del riesgo en este contexto y teniendo en cuenta las acciones de conspiraciones internas o combinadas con agentes externos, la falta de memorias internas sobre materializaciones de eventos (novedades, incidentes, eventos no deseados, siniestros), su análisis para establecer sus niveles y peor aún, la subjetividad de la valoración de las debilidades que nos llevan a instaurar controles internos que en muchas ocasiones no contrarrestan la amenaza y en múltiples ocasiones son medidas inadecuadamente, dejando a las compañías expuestas y al no materializarse un riesgo al corto plazo, se contagian de una falsa seguridad, que todo marcha o está bien.
Una de las herramientas que emplean las organizaciones es la Control Interno, que veíamos surgir a finales de la década de los ochenta del siglo pasado, el surgimiento de las normas de control interno, las gestiones de riesgos empresariales despuntaban una alta importancia sin ignorar otros riesgos.
Esta situación ha creado cierta confusión en los conceptos de riesgos, la definición de la gestión de riesgos, la aplicación de las normativas del tema así como la poca capacitación existente en los centros de estudios en sentido general Ciertamente en los últimos años, se ha empezado a manejar diferentes concepciones y términos aplicados al tema de la gestión de riesgos, algunos transitando sobre una perspectiva tradicional de prevenir y otros en la búsqueda de planteamientos innovadores de estrategias para reducción de vulnerabilidades, la mitigación de desastres y aprovechar las oportunidades que también traen los riesgos (Centro Humboldt, 2009).
Evidentemente las sociedades están en un proceso de aprendizaje acerca de los riesgos que lleva en ocasiones a la no correcta interpretación de conceptos y aplicaciones. De igual forma, las empresas, van acumulando recursos financieros, activos intangibles y tangibles que todos tributan al rendimiento empresarial y a la mejor vida de los colaboradores, dueños y sociedades, sin embargo, estas situaciones beneficiosas están expuestas a diferentes eventos, amenazas y vulnerabilidades que pueden influir en el no cumplimiento de sus objetivos. Algunos autores declaran que: la grieta pequeña más grande en la armadura corporativa es la dirección de riesgos (Bernens, 1997).
Todas las organizaciones están sufriendo cambios continuamente: nuevos requisitos, cambios en el entorno, cambios regulatorios y otros. Así mismo, cada cambio que se produce lleva asociados una serie de riesgos que pueden derivar en resultados desde lo inocuo hasta lo desastroso (Romera & Torres Gallego, 2008). Esta situación ha hecho que los dueños (en sus diferentes denominaciones) traten de anticiparse a eventos peligrosos, predecibles o no, para mantener la estabilidad de sus procesos y continuar el desarrollo de sus organizaciones productoras de bienes, servicios y productos.
A finales de la década de los noventa en varios países se crearon diferentes comisiones o grupos de trabajo para laborar sobre esta temática, proponiendo modelos de control interno que defendían una nueva corriente de pensamiento, con una amplia concepción sobre la organización y una mayor participación de la dirección y del personal en general (Coopers y Lybrand, 1997). Los estados como máximos representantes de las naciones son los principales dueños de los recursos y han emitido esquemas de control para garantizar el buen desarrollo de sus organizaciones y el resguardo de sus activos.
Estas previsiones de los estados han sido las principales impulsoras de la gestión de riesgos que hoy forma parte de las culturas de las organizaciones. La época del crecimiento de la cultura de riesgos está enmarcada a partir de los años noventa cuando el gobierno estadounidense emitió un documento que propiciaba el control interno de las organizaciones públicas denominado Informe COSO Committee of Sponsoring Organizations of the Treadway Commission) (COSO, 1992). Este instrumento es una normativa de obligatorio cumplimiento para las organizaciones públicas y con el tiempo muchos países han hecho ajustes al Informe COSO adecuándolo a sus contextos nacionales y han contribuido a formalizar las regulaciones del control interno.
Dentro del control interno, la gestión de riesgos es una de las temáticas que abordan estas normas lo que contribuye desarrollo de la especialidad, hoy existen nuevas normas que orientan como enfrentar a los riesgos desde un punto de vista de gestión que contribuyen a aumentar la cultura de riesgos propiciando que la gestión de riesgos comience a ser práctica en todas las organizaciones sean estas con fines de lucro o no.
Actualmente existen una serie de normas que abordan la gestión de riesgos, tales son los casos de ISO 31000, (Organización Internacional de Normalización, 20108) y Estándar Australiano / Neozelandés (AS/NZS 4360, 1999) que van teniendo réplicas nacionales a través de los diferentes países. No obstante, esta tendencia contemporánea del desarrollo de la gestión de riesgos, existen problemas que reflejan la confusión los riesgos con responsabilidades, con eventos peligrosos y otras variables, igual, hay una serie de trabajos que abordan el tema de los riesgos y que publicitan la implementación de la gestión de riesgos en las empresas, no obstante, se estima que mucha de estas informaciones se encuentra dispersas y es difícil alinear las ideas para comprender los conceptos medulares de la gestión de riesgos.
El control interno proporciona la garantía razonable de la consecución de los objetivos estratégicos de la alta dirección, de asambleas, juntas directivas o quien haga sus veces. La organización puede presentar desde controles manuales a mecanizados, preventivos, detectivos y correctivos. A cada riesgo se le asignan sus controles correspondientes. El riesgo residual ofrece la posibilidad de analizar si los controles planteados son realmente efectivos y si se han aplicado correctamente. El proceso íntegro de la gestión de riesgos en las empresas está arropado de la cultura y el gobierno corporativo.
Ahora bien, recordemos que la implementación del proceso de gestión de riesgos tiene diferentes fases.
Fundamentos de la Gestión de Riesgos
Un riesgo es aquel “evento o condición incierta que, si se produce, tiene un efecto positivo o negativo en los objetivos de un proyecto”, de acuerdo a la PMBOK Guide.
¿Cuáles son sus objetivos, etapas y beneficios?
Objetivos
La gestión de riesgos persigue la disminución de las probabilidades de los impactos negativos en un proyecto o en determinada actividad de la empresa y, al contrario, busca aumentar las probabilidades de que se produzcan impactos positivos en esas actividades.
Etapas
El apetito al riesgo, la tolerancia y los límites son el punto de partida, seguido de la identificación y evaluación de los riesgos. A continuación, se encuentra la gestión del riesgo y los controles, que derivan hacia la comunicación y elaboración de informes. Las gestiones de estos riesgos están vinculadas en todo momento con los objetivos estratégicos del negocio, en los que hay una planificación de los recursos de capital humanos y tecnológicos.
Beneficios
El conocimiento de los riesgos posibles, así como la probabilidad de producirse, permite una planificación estratégica más efectiva. Esto conlleva a una mayor eficiencia y efectividad y, consecuentemente, a unos menores costes asociados a esos imprevistos previamente identificados y controlados. La continua revisión y comunicación de los datos propicia que todos los miembros cuenten con una visión global del proyecto y los riesgos que conlleva.
Apetito al Riesgo, Tolerancia y Límites
El apetito al riesgo, la tolerancia y los límites conforman el primer paso para trabajar en la gestión de riesgos. Todo comienza por conocer los objetivos estratégicos de la empresa. Los objetivos de la empresa, sus políticas y sus procedimientos están planteados por la alta dirección. Estos planteamientos quedan recogidos en los manuales elaborados y van a condicionar el apetito al riesgo de la organización.
Riesgos Residuales vs. Riesgos Secundarios
RIESGOS RESIDUALES
Este tipo de riesgo hace referencia a aquel que permanece después de haber ejecutado las respuestas a esos riesgos. La empresa ha implementado determinados controles y el riesgo subsiste, teniendo en cuenta que siempre va a existir un nivel de riesgo. La organización ha de tratar de que ese nivel sea aceptable. De este modo, este tipo de riesgo ha sido aceptado e identificado por la compañía para crear planes de contingencia y planes alternativos.
RIESGOS SECUNDARIOS
Se trata del riesgo que aparece en el momento en el que la organización implanta una determinada respuesta a un riesgo. La empresa actúa de acuerdo a los riesgos que se le presentan para eliminarlos, mitigarlos o transferirlos, según su impacto y naturaleza. Es en este contexto en el que se presentan nuevos riesgos secundarios, como consecuencia de esas actuaciones. Este tipo de riesgos también ha de ser identificado y analizado, para su posterior control y gestión.
Es vital que la Gestión del Riesgo sirva de herramienta orientadora de a las actividades del Control Interno de las organizaciones, nada sacamos con aplicar controles en prevención sobre amenazas si no tenemos certeza de las debilidades que poseemos, es allí donde el control interno es vital.
Fuente: Carlos Alfonso Boshell Norman
