MAPA DE RIESGOS, LA RUTA PARA LOGRAR EL CUMPLIMIENTO DE LOS OBJETIVOS
Conocer mi apetito del riesgo: clave en la toma de decisiones
Por: Alfonzo Muñoz C.
Es importantísimo tomar decisiones conociendo a qué situaciones nos enfrentamos. Si para tomar decisiones en la organización no contamos con un mapa de riesgos, no hemos identificado nuestros riesgos, no los hemos analizado, ni valorado. Entonces desconocemos completamente cuál es el nivel de probabilidad de que los riesgos se materialicen y más grave aún, desconocemos cuál sería el impacto de estos riesgos en la gestión del negocio. Dentro de este panorama, si un riesgo se materializa podría generar pérdidas significativas en la organización. Si no aplicamos la Gestión Integral de Riesgos, no usaremos las herramientas que nos permitan prever los que podría suceder, mucho menos tendríamos algún tipo de inventario de controles con los que podríamos enfrentar estas situaciones.
Existen innumerables situaciones externas que pueden considerarse como un riesgo para la organización -la penetración de nuevas actividades, situaciones por fenómenos climáticos, crisis económica, cambio significativo de gobierno, cambio de precios de la competencia, nuevos productos, etc.- Estas situaciones se deberían enfrentar conociendo cuales son los riesgos y con qué controles se deberían mitigar o minimizar, para de esta manera bajar el nivel de probabilidad de que el riesgo se materialice y bajar el nivel de impacto (pérdidas) que se verá reflejado en una menor pérdida financiera, un menor efecto en la reputación, y menores efectos ambientales.
En las organizaciones se debería tener claro al momento de tomar decisiones cuál es el nivel de apetito del riesgo que se va asumir para obtener una rentabilidad. Conocer mi apetito del riesgo, implica conocer cuánto puedo arriesgar, cuánto estaría comprometiendo, cuál sería la probabilidad de que ese riesgo se materialice y cuál sería su impacto, para que su efecto al estar enmarcados dentro de mi apetito de riesgos, no comprometa al cumplimiento de mi objetivo o que no comprometa mi sostenibilidad financiera.
Identificar las causas principales que pueden generar la probabilidad del riesgo, cuál es el impacto y cuáles son los controles con mayor cobertura que me van a proteger de que esos riesgos no se materialicen; va permitir que en las organizaciones se haga un seguimiento del comportamiento de esos riesgos y le dará a la organización mayor solidez en la toma de decisiones.
Actualmente en nuestro país, ¿En las organizaciones se toman decisiones basadas en riesgos?
Para abarcar este tema de Gestión Integral de Riesgos en las organizaciones de nuestro país debemos segmentarlas por: empresas financieras, públicas y privadas. Entonces, podríamos afirmar que en las empresas financieras más del 50% de gerentes toman decisiones basadas en riesgos, basándose en proyecciones estadísticas cualitativas y cuantitativas; obviamente porque ellos han empezado hace muchos años con su implementación y se adecuan al tema de cumplimiento de la regulación de BASILEA.
En empresas públicas, -que son las que están supervisadas dentro del marco de FONAFE- esto es totalmente incipiente, podríamos hablar de que un 30% o 40% ya han adaptado metodologías para gestionar riesgos con controles internos, pero que han realizado una implementación básica que no ha llegado a un grado de madurez.
En el caso de las empresas privadas, las grandes empresas (trasnacionales con filiales en nuestro país) alrededor de un 15% y 20% han adoptado metodologías de Gestión de Riesgos. Pero en las empresas medianas y pequeñas, así tengan una actividad compleja no han adoptado en su mayoría la gestión de riesgos y mucho menos han formalizado los controles internos.
En términos generales podemos decir que las organizaciones no están preparadas para ser competitivas y mucho menos para ser sostenibles, porque no tienen un mapa de riesgos y controles internos para poder gestionarlos adecuadamente, en muchos casos las organizaciones están siendo afectadas e impactadas por los riesgos porque estos no se están tratando en forma preventiva.
¿Qué herramientas deberían usar los gerentes para poder gestionar sus riesgos?
La herramienta fundamental es la implementación de una metodología de gestión integral de riesgos basada en estándares mundiales, ISO 31000 (Gestión de Riesgos) y en segundo lugar, sensibilizar a todos los usuarios para que ellos puedan contribuir y apoyar en la identificación, el análisis y la valoración de los riesgos.
Esta metodología debería formalizarse en la organización de tal manera que todos mis colaboradores interioricen la cultura de Gestión Integral de Riesgos y Control Interno. Eso va permitir que la organización elabore su matriz de riesgos en la que se incluyan no solo los riesgos más importantes en los procesos sino también los riesgos internos y externos a la organización, Además de prever, cuáles serán los controles con los que voy a asegurar el cumplimiento de mi objetivo además de asegurar que los riesgos no se materialicen.
¿Por qué los controles internos son importantes para asegurar el logro de los objetivos?
Es precisamente en este punto en el que podemos ver el nivel de importancia de la gestión integral de riesgos. Al no usar una metodología de Gestión Integral de Riesgos, los gerentes no están usando una fuente fundamental para asegurar el objetivo, la competitividad y la rentabilidad de una organización.
Partamos del concepto de riesgos, si se dice que el riesgo es el efecto de la incertidumbre en el cumplimiento de los objetivos, entonces qué cosa es la incertidumbre y qué son los objetivos y qué son los efectos.
Por ejemplo, si una organización en nuestro país se mueve en base a tecnología y a sus colaboradores (recursos humanos) entonces lo que debería tener claro para gestionar y tomar decisiones es cuál es el nivel de incertidumbre que me origina recursos humanos en la contribución para cumplir los objetivos y cuál es el nivel de seguridad que me va dar el sistema tecnológico por el cual corre mi producto, mis controles y mis procesos. En esa medida debo saber cuál es el nivel de incertidumbre que tengo para conocer mi probabilidad de riesgos y también el nivel del impacto. Entonces si mi nivel de probabilidad de que se materialice el riesgo es alto, tengo que disminuir esa probabilidad con controles y con controles preventivos.
En el caso de los riesgos, si mis pérdidas significativas son catastróficas, con controles que cubran esas pérdidas voy a llevar esas pérdidas a niveles razonables. Pero en el caso de cumplir los objetivos, los controles me van a asegurar que la probabilidad de riesgo sea medio y bajo y también va a permitir que mi pérdida no sea significativa por sobrecosto o por provisiones y otras cosas que al final le van a afectar.
En conclusión, los controles internos ayudan a cumplir los objetivos porque me van a minimizar la probabilidad del riesgo y el impacto y además van a asegurar que el objetivo se cumpla. Por eso es muy importante que las organizaciones tengan controles internos. El Gerente debe darle mucha importancia a los controles internos para asegurar el cumplimiento de los objetivos. Entonces es ahí donde la Gestión Integral de Riesgos con Controles Internos hace el match con la misma gestión, es en ese punto en el cual los controles sirven para asegurar el logro de los objetivos y también para que los riesgos no se materialicen.
Actualmente, los funcionarios tanto de sector público como privado no le están dando el nivel de importancia a este aspecto. Y deben hacerlo de forma integrada pues la Gestión Integral de Riesgos forma parte de la misma gestión de la organización.
¿Cuáles son las ventajas empresariales de gestionar riesgos mediante controles internos?
Si una organización ha implementado la Metodología de Gestión de Riesgos, a nivel de gobierno corporativo en sus procesos para mitigar los riesgos internos y externos principalmente cuando hablamos de riesgo estamos hablando de la fuente que origina el riesgo, porque los controles van orientados a aquellos que originan el riesgo para poder mitigar o bajar la cantidad de eventos.
Si una organización controla adecuadamente sus riesgos con controles le va permitir asegurar que los objetivos se cumplan, van a tener sus riesgos controlados en medios y bajos, y obviamente su gestión será positiva porque sus controles están asegurando que el objetivo y las metas se cumplan. Pero si los riesgos están en extremos y altos, esos riesgos se están materializando de forma negativa, entonces se requiere fortalecer los controles. Al darse resultados negativos en la gestión esto genera sobrecosto, incumplimiento de objetivos, ya sea por ineficiencias en el sistema de información, ineficiencias del rendimiento de las personas, ineficiencia de los productos, o una serie de situaciones que se pueden presentar.
Entonces, la Gestión de Riesgos va contribuir significativamente en que una recesión sea rentable porque va a estar monitoreado y en forma permanente se hará la autoevaluación de sus controles para asegurar que el objetivo se cumpla y los controles te aseguren que el riesgo no se materialice.
Hay distintos riesgos que hacen daño financieramente, haciendo que la organización no sea sostenible. Sin embargo, son los controles los que te aseguran que la parte positiva se dé, se vayan replicando esos valores de tal manera que se pueda ir generando mayores utilidades, mayor rendimiento. Asimismo, si mis controles están orientados a mitigar los riesgos en forma preventiva va asegurar la rentabilidad de la organización, evitando sobrecostos por corregir ineficiencias. Entonces, no solo estoy asegurando la rentabilidad sino que estoy protegiendo todo el valor que la organización ha logrado, ya sean activos, imagen, reputación, rentabilidad, presencia en el mercado, etc.
Con controles internos aseguro el cumplimiento de metas y objetivos, entonces el gerente lo que debe hacer es monitorearlos en diferentes niveles, hacer seguimiento para verificar que los controles estén funcionando orientados al cumplimiento del objetivos; que los controles estén funcionando para mitigar los riesgos para que esa situación negativa no se dé y no afecte en forma significativa a la rentabilidad y a la reputación de la organización.