Una guía para la gestión de riesgos es un recurso indispensable para comprender las complejidades de identificar, evaluar y mitigar los riesgos, allanando el camino para la toma de decisiones estratégicas y una sólida resiliencia organizacional.
Las prácticas de gestión de riesgos en una organización giran en torno a la identificación de los riesgos inherentes y emergentes, la evaluación de los riesgos identificados y la adopción de medidas adecuadas para mitigar o gestionar los riesgos evaluados, en función de la importancia y la prioridad de los riesgos.
Una guía para la gestión de riesgos: Identificación de riesgos
La organización identifica un riesgo que afecta el rendimiento de la estrategia y los objetivos empresariales. La organización identifica riesgos nuevos, emergentes y cambiantes para el logro de la estrategia y los objetivos de negocio de la entidad. Lleva a cabo actividades de identificación de riesgos para, en primer lugar, establecer un inventario de riesgos y, a continuación, confirmar que los riesgos existentes siguen siendo aplicables y pertinentes. A medida que las prácticas de gestión de riesgos empresariales se integran progresivamente, el conocimiento y la conciencia de los riesgos se mantienen actualizados a través de las operaciones normales del día a día.
Algunas entidades complementarán esas actividades de vez en cuando para confirmar la integridad del inventario de riesgos. La frecuencia con la que una organización hace esto dependerá de la rapidez con que cambien los riesgos o surjan nuevos riesgos. Cuando es probable que los riesgos tarden meses o años en materializarse, la frecuencia con la que se detecte el riesgo será menor que cuando los riesgos sean menos previsibles o se produzcan a mayor velocidad.
Los riesgos nuevos, emergentes y cambiantes incluyen aquellos que:
- Surgen de un cambio en los objetivos de negocio (por ejemplo, la entidad adopta una nueva estrategia respaldada por objetivos de negocio o modifica un objetivo de negocio existente).
- Surgen de un cambio en un contexto comercial (por ejemplo, cambios en las preferencias de los consumidores por productos ecológicos u orgánicos que tienen impactos potencialmente adversos en las ventas de los productos de la empresa).
- Que pertenezcan a un cambio en un contexto de negocio que puede no haberse aplicado previamente a la entidad (por ejemplo, un cambio en las regulaciones que da lugar a nuevas obligaciones para la entidad).
- Eran desconocidos anteriormente (por ejemplo, el descubrimiento de la susceptibilidad a la corrosión en las materias primas utilizadas en las operaciones de fabricación de la empresa).
- Se identificaron anteriormente, pero desde entonces se han modificado debido a un cambio en el contexto comercial, el apetito por el riesgo o los supuestos de apoyo (por ejemplo, un aumento positivo en las previsiones de ventas esperadas que afectan a la capacidad de producción).
Los riesgos emergentes surgen cuando cambia el contexto de negocio y pueden alterar el perfil de riesgo de la entidad en el futuro. Tenga en cuenta que es posible que los riesgos emergentes no se entiendan lo suficientemente bien como para identificarlos y evaluarlos inicialmente con precisión, y pueden justificar una reidentificación con mayor frecuencia.
Además, las organizaciones deben comunicar la evolución de la información sobre los riesgos emergentes. La identificación de riesgos nuevos y emergentes, o cambios en los riesgos existentes, permite a la organización mirar hacia el futuro y les da tiempo para evaluar la gravedad potencial de los riesgos, así como para aprovechar estos cambios. A su vez, tener tiempo para evaluar el riesgo permite a la organización anticipar la respuesta al riesgo, o revisar la estrategia y los objetivos de negocio de la entidad según sea necesario.
Algunos riesgos pueden seguir siendo riesgos desconocidos para los que no había una expectativa razonable de que la organización consideraría durante la identificación de riesgos. Estos generalmente se relacionan con cambios en el contexto empresarial. Por ejemplo, las acciones o intenciones futuras de los competidores son a menudo desconocidas, pero pueden representar nuevos riesgos para el desempeño de la entidad.
Las organizaciones quieren identificar aquellos riesgos que probablemente interrumpan las operaciones y afecten la expectativa razonable de lograr los objetivos estratégicos y comerciales. Dichos riesgos representan un cambio significativo en el perfil de riesgo y pueden ser eventos específicos o circunstancias cambiantes.
Los siguientes son algunos ejemplos:
Tecnología emergente: Avances tecnológicos que pueden afectar la relevancia y longevidad de los productos y servicios existentes.
Ampliación del papel del big data y el análisis de datos: cómo las organizaciones pueden acceder, transformar y analizar de forma eficaz y eficiente grandes volúmenes de fuentes de datos estructurados y no estructurados.
Auge de las entidades virtuales: El creciente protagonismo de las entidades virtuales que influyen en la oferta, la demanda y los canales de distribución de las estructuras de mercado tradicionales
En la identificación de riesgos está integrada la identificación de oportunidades. Es decir, a veces las oportunidades surgen del riesgo. Por ejemplo, los cambios demográficos y el envejecimiento de la población pueden considerarse tanto un riesgo para la estrategia actual de una entidad como una oportunidad para renovar la fuerza laboral con el fin de perseguir mejor el crecimiento.
Del mismo modo, los avances tecnológicos pueden representar un riesgo para los modelos de distribución y servicio para los minoristas, así como una oportunidad para cambiar la forma en que los clientes minoristas obtienen bienes (por ejemplo, a través del servicio en línea). Cuando se identifican oportunidades, se comunican a través de la organización para que se consideren como parte del establecimiento de la estrategia y los objetivos comerciales.
Un inventario de riesgos es simplemente una lista del riesgo al que se enfrenta la entidad. Dependiendo del número de riesgos individuales identificados, las organizaciones pueden estructurar el inventario de riesgos por categorías para proporcionar definiciones estándar para los diferentes riesgos. Esto permite agrupar riesgos similares, como los riesgos financieros, los riesgos de los clientes o los riesgos de cumplimiento (o, más ampliamente, de obligación). Dentro de cada categoría, las organizaciones pueden optar por definir aún más los riesgos en subcategorías más detalladas. El inventario de riesgos se puede actualizar para reflejar los cambios identificados por la gerencia.
Debido a que el impacto de los riesgos no puede limitarse a niveles o funciones específicas, las actividades de identificación deben capturar todos los riesgos y, con independencia de dónde se identifiquen, todos los riesgos forman parte del inventario de riesgos de la entidad. Por ejemplo, una entidad que identifique los riesgos a nivel de estrategia en relación con el gobierno del consejo de administración y la consecución de los objetivos de diversidad debe considerar también estos riesgos a nivel de objetivos empresariales. O bien, una organización que identifica el riesgo de no cumplir con la fecha límite de facturación de un cliente a nivel de objetivo empresarial debe considerar el impacto de ese riesgo a nivel de entidad.
Para demostrar que se ha llevado a cabo una identificación integral de riesgos, la gerencia identificará riesgos y oportunidades en todas las funciones y niveles, aquellos riesgos que son comunes en más de una función, así como aquellos que son exclusivos de un producto, oferta de servicios, jurisdicción u otra función en particular.
Una guía para la gestión de riesgos: evaluación de riesgos
Las organizaciones realizan una evaluación de riesgos para comprender la posible interrelación de los riesgos con otros riesgos y el potencial de esos riesgos para crear interrupciones operativas y comerciales. El análisis de riesgos requiere la evaluación de los mismos teniendo en cuenta diferentes enfoques, como el cualitativo, el cuantitativo o una combinación de ambos. Los riesgos identificados e incluidos en el inventario de riesgos de una entidad se analizan para comprender la gravedad de cada uno de ellos para el logro de la estrategia y los objetivos de negocio de una entidad. El análisis de riesgos sirve de base para la selección de las respuestas al riesgo. Dada la gravedad de los riesgos identificados, la gerencia decide sobre los recursos y capacidades a desplegar para que el riesgo permanezca dentro del apetito de riesgo de la entidad.
La gravedad de un riesgo se analiza en múltiples niveles (entre divisiones, funciones y unidades operativas) en línea con los objetivos de negocio a los que puede afectar. Puede ocurrir que los riesgos considerados importantes a nivel de unidad operativa, por ejemplo, sean menos importantes a nivel de división o entidad. En los niveles más altos de la entidad, es probable que los riesgos tengan un mayor impacto en la reputación, la marca y la confianza. El uso de terminología y categorías de riesgo estandarizadas ayuda en la evaluación de riesgos en todos los niveles de la organización.
Los enfoques de evaluación cualitativa, como las entrevistas, los talleres, las encuestas y la evaluación comparativa, suelen utilizarse cuando no es factible ni rentable obtener datos suficientes para la cuantificación. Las evaluaciones cualitativas son más eficientes de completar; Sin embargo, existen limitaciones en la capacidad de identificar correlaciones o realizar un análisis de costo-beneficio.
Los enfoques de evaluación cuantitativa, como el modelado, los árboles de decisión, las simulaciones de Monte Carlo, etc., permiten una mayor granularidad y precisión y respaldan un análisis de costo-beneficio. En consecuencia, los enfoques cuantitativos se utilizan normalmente en actividades más complejas y sofisticadas para complementar las técnicas cualitativas. Los enfoques cuantitativos incluyen:
Modelos probabilísticos (por ejemplo, valor en riesgo, flujo de efectivo en riesgo, distribuciones de pérdidas operativas) que asocian una serie de eventos y el impacto resultante con la probabilidad de esos eventos en función de ciertos supuestos. Entender cómo podría variar cada factor de riesgo y afectar al flujo de caja, por ejemplo, permite a la dirección medir y gestionar mejor el riesgo.
Los modelos no probabilísticos (por ejemplo, análisis de sensibilidad, análisis de escenarios) utilizan supuestos subjetivos para estimar el impacto de los eventos sin cuantificar una probabilidad asociada en un objetivo comercial. Por ejemplo, el analisis de escenarios permite a la administracion comprender el impacto en un objetivo empresarial para aumentar la rentabilidad en diferentes escenarios, como un competidor que lanza un nuevo producto, una interrupcion en la cadena de suministro o un aumento en los costos del producto.
Dependiendo de cuán compleja y madura sea la entidad, la gerencia puede confiar en un grado de juicio y experiencia al realizar el modelado. Independientemente del enfoque que se utilice, cualquier hipótesis debe indicarse claramente.
La gravedad anticipada del riesgo puede influir en el tipo de enfoque utilizado. Al evaluar los riesgos que podrían tener impactos extremos, la gerencia puede utilizar el análisis de escenarios, pero al evaluar los efectos de múltiples eventos, la gerencia puede encontrar más útiles las simulaciones (por ejemplo, pruebas de estrés). Por el contrario, los riesgos de alta frecuencia y bajo impacto pueden ser más adecuados para el seguimiento de datos y la computación cognitiva. Para llegar a un consenso sobre la gravedad del riesgo, las organizaciones pueden emplear el mismo enfoque que utilizaron como parte de la identificación del riesgo.
Las evaluaciones también pueden ser realizadas en toda la entidad por diferentes equipos. En este caso, la organización establece un enfoque para revisar cualquier diferencia en los resultados de la evaluación. Por ejemplo, si un equipo califica determinados riesgos como «bajos», pero otro los califica como «medios», la dirección revisa los resultados para determinar si hay incoherencias en el enfoque, las hipótesis y las perspectivas de los objetivos o riesgos empresariales.
Por último, parte de la evaluación de riesgos consiste en tratar de comprender las interdependencias que pueden existir entre los riesgos. Las interdependencias pueden ocurrir cuando múltiples riesgos afectan a un objetivo empresarial o cuando un riesgo desencadena otro. Los riesgos pueden ocurrir de forma simultánea o secuencial. Por ejemplo, para un innovador tecnológico, el retraso en el lanzamiento de nuevos productos da lugar a una pérdida simultánea de cuota de mercado y a la dilución del valor de marca de la entidad. La forma en que la administración entiende las interdependencias se reflejará en la evaluación de la gravedad.
Una guía para la gestión de riesgos: Gestión de riesgos
Una organización sigue el proceso lógico de realizar una evaluación de riesgos en la que se realizan evaluaciones de riesgos inherentes y residuales, para evaluar el impacto y la probabilidad de los riesgos identificados.
Estos procesos se mencionan a continuación y comprenden cinco pasos:
Paso 1: Documentación de procesos, actividades y riesgos
Paso 2: Evaluación del impacto y la probabilidad
Paso 3: Evaluación de riesgos
Paso 4: Mapeo de controles y plan de mitigación
Paso 5: Revisión de la evaluación de riesgos
Paso 1: Documentación de Procesos, Actividades y Riesgos:
Para realizar la evaluación de riesgos, es necesario identificar los riesgos de todos los procesos y actividades de un departamento.
Por ejemplo, para identificar los riesgos del departamento de finanzas, primero se identificarán los procesos y actividades del departamento de finanzas, que pueden ser los siguientes:
- Registro de las transacciones financieras;
- Mantenimiento de las cuentas bancarias;
- Realizar pagos a proveedores;
- Preparación de las conciliaciones bancarias;
- Preparación de estados financieros;
- Pagar impuestos de organización;
Al identificar los riesgos relacionados con el departamento financiero, se debe saber que todos los procesos y actividades de los departamentos financieros mencionados anteriormente son identificadores de riesgo. Del mismo modo, para todos los demás departamentos de una organización se identifican los procesos y actividades relevantes, para identificar los riesgos y realizar una evaluación de riesgos.
Todos los riesgos identificados deben documentarse en forma de declaraciones de riesgo. Estas declaraciones de riesgo se escriben de forma lógica y secuencial, en el registro de riesgos o en la base de datos de riesgos. Todos los estados de riesgo deben estar vinculados con una actividad, proceso o departamento en particular, como el riesgo relacionado con la preparación de los estados financieros de una empresa debe estar vinculado con el Informes financieros proceso que se realiza en el departamento de finanzas porque el departamento de finanzas es responsable de la preparación de los estados financieros de la organización.
Después de documentar las declaraciones de riesgo por proceso o actividad, cada declaración de riesgo documentada se clasifica en una categoría de riesgo adecuada.
Diferentes tipos de riesgos
Hay varios tipos de categorías de riesgo, como:
- riesgo operacional,
- riesgo financiero,
- riesgo de cumplimiento,
- riesgo reputacional,
- riesgos para la salud y la seguridad,
- riesgo estratégico,
- riesgo de crédito,
- riesgo de mercado, etc.
Paso 2: Evaluación del impacto y la probabilidad
Tras la identificación de los procesos, las actividades y la documentación de los riesgos identificados, se realiza una evaluación del riesgo inherente. Durante la realización de la evaluación de los riesgos inherentes, se lleva a cabo la evaluación del «impacto y la probabilidad» de cada riesgo.
La evaluación del impacto requiere valorar la magnitud de la pérdida que un riesgo concreto puede suponer para el departamento o la organización.
La evaluación de la probabilidad consiste en valorar la probabilidad de que se produzca cada uno de los riesgos identificados.
La evaluación del impacto y la probabilidad requiere la asignación de puntuaciones o niveles de riesgo para cada uno de ellos, con el fin de obtener una puntuación global de riesgo inherente.
Paso 3: Evaluación del riesgo
Sobre la base de la evaluación de riesgos inherentes realizada para cada riesgo, se realiza la evaluación de riesgos, lo que significa identificar aquellos riesgos que se consideran críticos o no críticos. Por lo general, se consideran los siguientes niveles para la evaluación de riesgos:
- Riesgos de nivel alto o crítico
- Riesgos de nivel medio o no crítico
- Riesgos de nivel bajo o insignificante
Propiedad del riesgo y plan de mitigación
Las propiedades de los riesgos se definen e incorporan a la base de datos de riesgos. Los propietarios del riesgo pueden ser los departamentos o las personas que trabajan en ellos. La asignación de la propiedad del riesgo ayuda a la coordinación con los departamentos y el personal pertinentes para la retroalimentación del riesgo y el control.
Los propietarios de los riesgos deben actualizar su respectiva base de datos o inventario de riesgos, mantenerse al tanto de sus respectivos riesgos nuevos y emergentes, y ser responsables de la aplicación de controles internos para mitigar sus riesgos.
Desarrollo de la respuesta al riesgo y evaluación de las actividades de control
Otra etapa del proceso de gestión de riesgos es la gestión de los mismos. La dirección selecciona una serie de acciones para alinear los riesgos con el apetito de riesgo de la organización y los niveles de tolerancia al riesgo para reducir el impacto financiero potencial del riesgo en caso de que ocurra y/o para reducir la frecuencia esperada de su ocurrencia. Las posibles respuestas al riesgo incluyen evitar, aceptar, reducir o compartir los riesgos.
- Evitación de riesgos
Retirada de actividades en las que el manejo adicional de riesgos no es rentable y los rendimientos son atractivos en relación con los riesgos a los que se enfrentan.
- Aceptación del riesgo
Aceptación del riesgo cuando el manejo de riesgos adicionales no es rentable, pero los rendimientos potenciales son atractivos sobre los riesgos enfrentados.
- Reducción de riesgos
Actividades y medidas diseñadas para reducir la probabilidad de que el riesgo se cristalice y/o minimizar la gravedad de su impacto en caso de que se cristalice (por ejemplo, cobertura, reaseguro, prevención de pérdidas, gestión de crisis, planificación de la continuidad del negocio, gestión de la calidad).
- Riesgo compartido
Las actividades y medidas están diseñadas para transferir a un tercero la responsabilidad de gestionar el riesgo y / o la responsabilidad por las consecuencias financieras del riesgo en caso de que se cristalice.
Siguiendo las funciones y responsabilidades definidas, los departamentos operativos son responsables de aplicar un tratamiento de riesgos suficiente para gestionar los riesgos a un nivel aceptable. En caso necesario, el Comité de Riesgos podrá obtener orientación sobre el desarrollo y la aplicación de medidas de gestión de riesgos.
Reflexiones finales
La gestión exitosa del riesgo organizacional es fundamental para la sostenibilidad y el crecimiento del negocio. Requiere un enfoque integral y continuo que incluya la identificación, evaluación y gestión de riesgos en todas las facetas de una organización. Al mantener un inventario de riesgos dinámico, analizar el impacto potencial y la gravedad de los riesgos identificados e implementar medidas de control efectivas, las organizaciones pueden minimizar las interrupciones, aprovechar las oportunidades que surgen del cambio y, en última instancia, garantizar el logro de sus objetivos estratégicos y comerciales.