La gestión de riesgo en las PYMES ¿compran el concepto?

Obviando la establecida matriz de pensamiento, que en latinoamérica y en especial las pequeñas y medianas empresas adolecen o tienen carencias de una cultura organizacional basada en el pensamiento en riesgo, es importante persuadir a la gerencia del valor que aporta gestionar el riesgo en sus empresas.

El esfuerzo debe dirigirse a romper el molde de que el riesgo solo tiene que ver con el cumplimiento de las regulaciones, normas, decretos etc. que externamente son impuestas.  y los procesos de auditoria. Aunque resulte evidente que esto es importante para la sostenibilidad de la organización, esto no es suficiente, y al final la gerencia verá la gestión de riesgo, como un conjunto de obligaciones que solo implican actividades y recursos, que generan costos y ningún “beneficio” a los interesados en general, fracasando en el corto y mediano plazo en el establecimiento de una cultura de riesgo madura.

El foco principal para “conquistar “a la gerencia de estas empresas es convencerlos que la gestión de riesgo es más que la gestión de cumplimiento, es vender que el pensamiento basado en riesgo permitirá habilitarlo para tomar decisiones mejor informadas en aspectos como  la planificación de presupuesto, inversiones, decisiones logísticas y en general en los objetivos estratégicos que se plantee la organización y que estas no se tomen solo sobre criterios tradicionalmente estáticos, sino bajo una visión donde cada variable considerada puede cambiar, reconociendo la incertidumbre y la dinámica de escenarios que se pueden derivar, esto les abre un abanico de posibilidades para identificar y actuar proactivamente en el éxito o fracaso  de cada decisión, esto conllevará a mejores resultados que impactarán  en las utilidades y/o rentabilidad de la empresa y sus interesados.

LA EVALUACIÓN DE RIESGOS Y LA NORMA ISO 31010

En la etapa de evaluación del riesgo, el equipo de trabajo puede disponer de una herramienta emitida como Norma ISO 31010 “Gestión de riesgo- Técnicas de evaluación del riesgo”. Su contenido es un conjunto de herramientas metodológicas que pueden seleccionarse y aplicarse para acometer la etapa de evaluación de riesgos.

“Esta norma es una norma de soporte de ISO 31000, y proporciona directrices para la selección y aplicación de técnicas sistemáticas para la evaluación del riesgo.

Se presenta la aplicación de una serie de técnicas, con referencias específicas a otras normas internacionales, donde el concepto y la aplicación de técnicas se describen con mayor detalle”[1]

La norma dispone de 31 herramientas de evaluación tantos cualitativas como cuantitativas.

La evaluación del riesgo puede abarcar diferentes niveles de intensidad de análisis y detalle, pudiéndose utilizar varias metodologías, lo importante es que la aplicación de la técnica sea coherente con los criterios de riesgos desarrollados en la etapa del establecimiento del contexto. En este sentido la Norma aborda para cada etapa del proceso de valoración del riesgo, las técnicas más adecuada a aplicar. En el caso específico a la etapa de valoración de riesgo, prescribe entre otras metodologías:

·         Estudios de peligros y de operatividad (HAZOP)

·         Análisis de peligros y de puntos críticos de control (HACCP)

·         Evaluación de riesgos ambientales

·         Análisis ¿Y si…? (SWIFT)

·         Análisis de escenario

·         Análisis de impacto en el negocio

·         Análisis de causa raíz

·         Análisis de modo y efectos de fallas

·         Análisis de árbol de fallas

·         Análisis de causa-consecuencias

·         Árbol de decisiones

·         Análisis de fiabilidad humana

·         Análisis bow tie

·         Mantenimiento centrado en la fiabilidad

·         Simulación de Montecarlo

·         Estadísticas Bayesianas y redes de Bayes

·         Curvas FN

·         Índices de riesgo

·         Matriz de consecuencia/probabilidad

·         Análisis de costo/beneficio

·         Análisis de decisión multicriterio (MCDA)

La Norma también desarrolla los atributos que tiene cada herramienta en términos de recursos y capacidades, naturaleza y grado de la incertidumbre, complejidad y si proporciona resultados cuantitativos o no.

“Con la evaluación se obtiene el riesgo inherente, con lo que la organización puede pasar a centrarse en los riesgos que sobrepasan la zona de confort de la organización y del apetito al riesgo.”[2]

---

[1] Norma Chilena-Nch-31010: 2013

[2] EALDE: 10 pasos para elaborar un informe de gestión de riesgos. s/f

EL ANÁLISIS DE RIESGO

En el contexto de la norma ISO 31000, el análisis de riesgo aparece como un componente del proceso “Valoración del riesgo”. “Su propósito es comprender la naturaleza del riesgo y sus características, incluyendo cuando sea apropiado, el nivel de riesgo” (UNE-NORMALIZACIÓN ESPAÑOLA, 2018)

En términos prácticos consiste en definir los términos para que de manera cuantitativa y/o cualitativa podamos dimensionar el riesgo, estableciendo su probabilidad de ocurrencia  y el impacto de sus consecuencias, con ello se determina la  situación actual de exposición al riesgo y la capacidad de la organización para tomar las decisiones sobre su tratamiento.

Para este análisis se debe establecer los criterios para  calificar la magnitud del impacto y asignar probabilidades a cada evento y que deben ser previamente definidos por la dirección o unidad de análisis, en la etapa de alcance, contexto y criterios establecidos en la Norma ISO 31.000. Generalmente para el impacto se utilizan criterios cualitativos de valoración por ejemplo como:

·         Leve: Consecuencias menores al producirse el evento

·         Moderado: consecuencias significativas al producirse el evento

·         Grave: Consecuencias mayores al producirse el evento

Estos criterios se les puede asignar un valor numérico,  para transformarlo de cualitativo a cuantitativo.

Para dimensionar la posibilidad de que un suceso ocurra, se pueden utilizar diversos criterios, cualitativos o cuantitativos (siempre que exista data y sea estadísticamente significativa). Por ejemplo, como en el cuadro que se describe a continuación:

Valor	Probabilidad	Criterio
1	Baja	Ocurre algunas veces o excepcionalmente
2	Media	Puede ocurrir
3	Alta	Puede ocurrir frecuentemente

Seguidamente asignada un nivel de impacto y probabilidad a cada riesgo identificado, se procede a su valoración,  lo que definirá el nivel de exposición al riesgo de la organización a cada evento. El mismo solo será el resultado del producto:

EVALUACIÓN = Impacto x Probabilidad

Con esta evaluación se podrá realizar la priorización de los riesgos, lo que constituye la fuente para la construcción de la matriz de riesgo base (portafolio de riesgos). En este análisis preliminar se obtiene información sobre los riesgos puros o intrínsecos al que se esta expuesto. La evaluación de cada riesgo se abordará en la fase de evaluación del riesgo, que analizará según el nivel de control o no que exista, cambiar la priorización y toma de decisiones sobre el tratamiento del riesgo.

TRATAMIENTO DE LOS RIESGOS ASOCIADOS A LA TRANSFORMACIÓN DIGITAL GLOBAL: ¿PREVENIR O TRANSFERIR?

MARSH emitió en febrero de 2019 los resultados de la encuesta Communications, Media and Technology (CMT)  Risk Study a propósito de los nuevos riesgos y retos que se presentan producto del acelerado desarrollo de la transformación digital de la economía global, que hace prácticamente difícil distinguir fronteras entre lo físico y lo digital.

Para entender como estos cambios afectan las decisiones en la gerencia de riesgo de las empresas encuestaron a 175 profesionales de riesgos y otros ejecutivos de CMT globales.

Uno de los hallazgos que llaman la atención es la visión que se tiene en el tratamiento de una serie de riesgos asociados a la CMT tales como: privacidad de la data, continuidad de negocio, fallas en el IoT (Internet de las cosas) entre unas 20 áreas de riesgo presentadas.

Los encuestados se inclinan hacia la prevención frente a la transferencia de riesgos.

Surge un patrón interesante con respecto a cómo una empresa debe distribuir su inversión en gestión de riesgos, dividiéndose en dos grupos, el primero en identificar y prevenir riesgos, y el segundo en responder y transferirlos. En general, hubo una mayor inclinación hacia la "identificación y protección" de lo que se podría haber esperado entre las 20 áreas de riesgo consultadas.

La mitad de los encuestados dice que el 75% de la inversión y tiempo de la empresa se deben dedicar en identificar y prevenir riesgos. Otro 17% dice que el 75% o más del tiempo e inversión en la empresa se deben orientar en la transferencia del riesgo. Y el 33% dijo que debería haber una división equitativa entre identificar y prevenir y responder y transferir

Algunas empresas invierten más en identificar y prevenir riesgos que transferirlos a través de un producto de seguro, lo que demuestra quizás, una falta de retorno de la inversión suficiente de las soluciones de seguro disponibles, especialmente productos relacionados con riesgos de tecnología.

La insatisfacción con las propuestas de seguro disponibles en la actualidad está relacionada en su mayoría con los términos y condiciones de la póliza, al no estar alineados con los desencadenantes de pérdida o los escenarios de eventos emergentes o en rápida evolución. Las compañías de CMT también enfrentan exclusiones críticas en las pólizas que no están evolucionando para cumplir con los nuevos riesgos.

Este hallazgo en mi opinión abre una serie de retos tales como:

1.- EL ERM integral adquiere dimensiones cada vez más relevante en el quehacer de la gestión empresarial por lo que la formación de especialistas y creación de cultura de riesgo será cada vez un factor clave de éxito.

2.- Capacidad de respuesta y agilidad de la gerencia de riesgo ante la fluidez de los cambios producto de la transformación digital. El uso de técnicas de Lean Project Management debe evaluarse a la luz de la velocidad de los cambios para gerenciar los riesgos asociados.

3.- Las empresas de seguro tienen retos importantes en la oferta de productos de cobertura acorde a los nuevos perfiles de riesgo que se presentan en este ambiente de gran fluidez e incertidumbre.

REF:https://www.marsh.com/us/insights/research/2019-communications-media-and-technology-risk-study.html?utm_source=linkedin&utm_medium=socialmedia&utm_campaign=marsh-cmt-risk-study-2019&sf105771127=1

REPORTE ANUAL BASILEA 2019: BIG TECHS Y SERVICIOS FINANCIEROS

BIS emite este año, 2019 en su reporte económico, una sección titulada Big Tech in Finace: opportunities and risks dedicada a la entrada de las grandes compañías de tecnología (“big techs”) a los servicios financieros (definida como una modalidad especial de las Fintech)

En el se analiza como la incorporación a la oferta de servicios financieros de Alibaba, Amazon, Facebook, Google y Tencent entre otros, proveyendo servicios de sistemas de pagos, money market, productos de seguros, préstamos y administración de remesas promete ganancias de eficiencia y mejora en la inclusión financiera.

Se destaca que para que estas grandes firmas ofrezcan servicios financieros se fundamentan en su base tecnológica que permite el manejo de gran cantidad de data y redes de información (traducción libre):

“El modelo de negocio de estas "Big Tech” se basa en permitir interacciones directas entre un gran número de usuarios. Un subproducto esencial de su negocio es la gran cantidad de datos de usuario que se utilizan como entrada para ofrecer una gama de servicios que aprovechan los efectos naturales de la red, generando una mayor actividad del usuario”

El apalancamiento tecnológico de las “Big Techs” puede reducir las barreras para la provisión de servicios financieros al reducir la información y los costos de transacción, y así mejorar la inclusión financiera. Sin embargo, estas ganancias varían según el servicio financiero y podrían conllevar nuevos riesgos y fallas del mercado.

En este sentido, el capítulo destaca que al igual que para las instituciones financieras tradicionales, que están sometidas a la regulación financiera con el objetivo de garantizar la solvencia de estas, la solidez del sistema financiero en su conjunto y protección a los usuarios de estos servicios, la actividad de las “Big Techs” cae directamente dentro del alcance de la regulación financiera tradicional y deben aplicarse los mismos principios. En este particular indican (traducción libre):

“El objetivo es cerrar las brechas regulatorias entre las “Big Techs” y las instituciones financieras reguladas para limitar el alcance del arbitraje regulatorio a través de actividades bancarias a la sombra. En consecuencia, los reguladores han extendido las regulaciones bancarias existentes a las “Big Techs”. Los ejemplos incluyen la extensión de las reglas de conocer a su cliente (KYC), diseñadas para prevenir el lavado de dinero y otros delitos financieros, a las operaciones de las “Big Techs” en pagos. 

El principio básico es "la misma actividad, la misma regulación". Si las “Big Techs” participan en actividades que son efectivamente idénticas a las que realizan los bancos, entonces dichas actividades deben estar sujetas a las reglas bancarias.

Además de las reglas existentes que se extienden a las “Big Techs”, es posible que se justifiquen nuevas reglas en aquellos casos en que estas hayan forzado cambios estructurales que los llevan fuera del alcance de la regulación financiera existente”

Entre los retos a la regulación en las Big Techs, destacan los nuevos y complejos equilibrios entre la estabilidad financiera, la competencia y la protección de datos.

REF: BIS Annual Economic Report 2019. https://www.bis.org/publ/arpdf/ar2019e3.htm

LAS EMPRESAS FRANQUICIANTES Y LA GESTIÓN DEL RIESGO

Las franquicias como una de las opciones estratégicas de crecimiento de las empresas con modelos de negocios probados, se inicia con una red formada por él mismo y sus franquiciados individuales, en la que el franquiciante es la casa matriz que se convierte en un tutor permanente de la red. La empresa que otorga las franquicias, en general, debe aportar al franquiciado una serie de elementos, entre otros: el derecho a uso de la marca, el manual conteniendo el know how del negocio, entrenamiento, políticas de homogeneidad de la marca, soporte en las campañas de marketing, etc.

La empresa franquiciante no se diferencia de cualquier otra empresa, al estar influenciada por la incertidumbre del entorno, pero al asumirse como tal y crear las condiciones para ser exitosa, es clave que haya desarrollado y suministre a sus franquiciados de los sistemas de gestión y control que garantice el oportuno y adecuado sistema de información sobre la sana operación de la red y le permita controlar, planificar, organizar y dirigir la evolución de la misma, con el fin de lograr una eficaz productividad.

Algunos de los sistemas de gestión y control básicos, se mencionan: el plan estratégico, sistema de gestión de costos y presupuestos, sistemas de control de la calidad, gestión de ubicaciones de puntos comerciales, gestión de captación de franquiciados, etc.

Ahora bien  una empresa franquiciante necesita tener unas características diferenciales a las de otro tipo de negocio que se expande bajo las fórmulas tradicionales,  y por ello se manifiestan algunos factores específicos de riesgo, que sin ser todos, podemos mencionar: a) capacidad de influir en el comportamiento empresarial de los franquiciados, b) cesión del know how a los franquiciados, que en el caso de no existir confidencialidad y regímenes legales de protección de propiedad intelectual idóneos puede originar problemas, c) las desventajas derivadas del control local, que han de ejercerse sobre cada franquiciado, d) gran riesgo de competencia desleal, e) posible pérdida de contacto directo con el mercado y de información sobre el mismo, f) eventual resistencia del franquiciado a seguir las políticas y normas del franquiciante, g) problemas a la hora de implantar cambios estratégicos en el negocio, h) riesgo reputacional ante cualquier desvío de las políticas establecidas por parte de los franquiciados.

Tomar en consideración estos y otros factores, fundamentan la necesidad de incorporar sistemas de gestión de riesgo en los procesos asumidos como empresa franquiciante a fin de proactivamente actuar sobre aquellos elementos que puedan poner en dificultad los objetivos definidos por esta.

Referencias:

Pilar Soldevila García Profesora de la Universitat Pompeu Fabra (Barcelona)/Magdalena Cordobés Madueño Profesora de la universidad ETEA (Córdoba). EL CONTROL DE GESTIÓN EN LAS EMPRESAS FRANQUICIADORAS.

WEB: Crear mi empresa :https://crearmiempresa.es/por-que-fracasan-el-50-de-las-franquicias.html

La Norma ISO 37001:2016, herramienta para la gestión anti soborno

La corrupción está extendida a nivel global y se diría que forma parte de la cultura o ADN de muchos sistemas económicos, especialmente en los países de menor competitividad y desarrollo. La raíz de la corrupción son las personas, sean pertenecientes a una organización privada o pública con fines o sin fines de lucro y lamentablemente no hay garantías de erradicarla de un todo, sin embargo lo importante es que haya mecanismos que permitan alcanzar un máximo de transparencia, integridad y honorabilidad que vaya rompiendo la cadena de corrupción.

El soborno como una de las expresiones que existen del fenómeno de la corrupción plantea serias preocupaciones sociales, morales, económicas y políticas, socava el buen gobierno, obstaculiza el desarrollo y distorsiona la competencia. Por lo tanto, las organizaciones tienen la responsabilidad de contribuir proactivamente en la lucha contra el soborno.

Aunque se han promovido acuerdos internacionales y desarrollada legislación en los países, la ley por sí sola no es suficiente para resolver este problema. Esto puede lograrse a través de la adaptación en la organización de un sistema de gestión antisoborno. La Norma ISO 37001:2016 Sistema De Gestión anti soborno- Requerimientos con guías para su uso, fue desarrollada para proporcionar a través del compromiso del liderazgo, el establecimiento de una cultura de integridad, transparencia, honestidad y cumplimiento.

Esta Norma es certificacable, por lo cual detalla una serie de requisitos y lineamientos para el buen desempeño de la organización en su gestión antisoborno. Es aplicable a organizaciones pequeñas, medianas y grandes en todos los sectores, incluidos el sector público, privado y sin fines de lucro.

En la región latinoamericana Perú ha sido el primer país en adoptar la certificación de empresas con  esta norma.

La naturaleza de la cultura de una organización es crítica para el éxito o el fracaso de un sistema de gestión antisoborno y en términos generales en toda gestión de riesgo. La norma por sí sola no garantiza que el soborno no haya ocurrido o no ocurrirá  en la organización, ya que no es posible eliminar totalmente el riesgo de soborno, sin embargo, este documento puede ayudar a la organización a implementar medidas razonables y proporcionales para prevenir, detectar y enfrentar este flagelo.

REFERENCIA: Norma técnica peruana NTP-ISO37001:2017