LA EVALUACIÓN DE RIESGOS Y LA NORMA ISO 31010

En la etapa de evaluación del riesgo, el equipo de trabajo puede disponer de una herramienta emitida como Norma ISO 31010 “Gestión de riesgo- Técnicas de evaluación del riesgo”. Su contenido es un conjunto de herramientas metodológicas que pueden seleccionarse y aplicarse para acometer la etapa de evaluación de riesgos.

“Esta norma es una norma de soporte de ISO 31000, y proporciona directrices para la selección y aplicación de técnicas sistemáticas para la evaluación del riesgo.

Se presenta la aplicación de una serie de técnicas, con referencias específicas a otras normas internacionales, donde el concepto y la aplicación de técnicas se describen con mayor detalle”[1]

La norma dispone de 31 herramientas de evaluación tantos cualitativas como cuantitativas.

La evaluación del riesgo puede abarcar diferentes niveles de intensidad de análisis y detalle, pudiéndose utilizar varias metodologías, lo importante es que la aplicación de la técnica sea coherente con los criterios de riesgos desarrollados en la etapa del establecimiento del contexto. En este sentido la Norma aborda para cada etapa del proceso de valoración del riesgo, las técnicas más adecuada a aplicar. En el caso específico a la etapa de valoración de riesgo, prescribe entre otras metodologías:

·         Estudios de peligros y de operatividad (HAZOP)

·         Análisis de peligros y de puntos críticos de control (HACCP)

·         Evaluación de riesgos ambientales

·         Análisis ¿Y si…? (SWIFT)

·         Análisis de escenario

·         Análisis de impacto en el negocio

·         Análisis de causa raíz

·         Análisis de modo y efectos de fallas

·         Análisis de árbol de fallas

·         Análisis de causa-consecuencias

·         Árbol de decisiones

·         Análisis de fiabilidad humana

·         Análisis bow tie

·         Mantenimiento centrado en la fiabilidad

·         Simulación de Montecarlo

·         Estadísticas Bayesianas y redes de Bayes

·         Curvas FN

·         Índices de riesgo

·         Matriz de consecuencia/probabilidad

·         Análisis de costo/beneficio

·         Análisis de decisión multicriterio (MCDA)

La Norma también desarrolla los atributos que tiene cada herramienta en términos de recursos y capacidades, naturaleza y grado de la incertidumbre, complejidad y si proporciona resultados cuantitativos o no.

“Con la evaluación se obtiene el riesgo inherente, con lo que la organización puede pasar a centrarse en los riesgos que sobrepasan la zona de confort de la organización y del apetito al riesgo.”[2]

---

[1] Norma Chilena-Nch-31010: 2013

[2] EALDE: 10 pasos para elaborar un informe de gestión de riesgos. s/f

EL ANÁLISIS DE RIESGO

En el contexto de la norma ISO 31000, el análisis de riesgo aparece como un componente del proceso “Valoración del riesgo”. “Su propósito es comprender la naturaleza del riesgo y sus características, incluyendo cuando sea apropiado, el nivel de riesgo” (UNE-NORMALIZACIÓN ESPAÑOLA, 2018)

En términos prácticos consiste en definir los términos para que de manera cuantitativa y/o cualitativa podamos dimensionar el riesgo, estableciendo su probabilidad de ocurrencia  y el impacto de sus consecuencias, con ello se determina la  situación actual de exposición al riesgo y la capacidad de la organización para tomar las decisiones sobre su tratamiento.

Para este análisis se debe establecer los criterios para  calificar la magnitud del impacto y asignar probabilidades a cada evento y que deben ser previamente definidos por la dirección o unidad de análisis, en la etapa de alcance, contexto y criterios establecidos en la Norma ISO 31.000. Generalmente para el impacto se utilizan criterios cualitativos de valoración por ejemplo como:

·         Leve: Consecuencias menores al producirse el evento

·         Moderado: consecuencias significativas al producirse el evento

·         Grave: Consecuencias mayores al producirse el evento

Estos criterios se les puede asignar un valor numérico,  para transformarlo de cualitativo a cuantitativo.

Para dimensionar la posibilidad de que un suceso ocurra, se pueden utilizar diversos criterios, cualitativos o cuantitativos (siempre que exista data y sea estadísticamente significativa). Por ejemplo, como en el cuadro que se describe a continuación:

Valor	Probabilidad	Criterio
1	Baja	Ocurre algunas veces o excepcionalmente
2	Media	Puede ocurrir
3	Alta	Puede ocurrir frecuentemente

Seguidamente asignada un nivel de impacto y probabilidad a cada riesgo identificado, se procede a su valoración,  lo que definirá el nivel de exposición al riesgo de la organización a cada evento. El mismo solo será el resultado del producto:

EVALUACIÓN = Impacto x Probabilidad

Con esta evaluación se podrá realizar la priorización de los riesgos, lo que constituye la fuente para la construcción de la matriz de riesgo base (portafolio de riesgos). En este análisis preliminar se obtiene información sobre los riesgos puros o intrínsecos al que se esta expuesto. La evaluación de cada riesgo se abordará en la fase de evaluación del riesgo, que analizará según el nivel de control o no que exista, cambiar la priorización y toma de decisiones sobre el tratamiento del riesgo.

TRATAMIENTO DE LOS RIESGOS ASOCIADOS A LA TRANSFORMACIÓN DIGITAL GLOBAL: ¿PREVENIR O TRANSFERIR?

MARSH emitió en febrero de 2019 los resultados de la encuesta Communications, Media and Technology (CMT)  Risk Study a propósito de los nuevos riesgos y retos que se presentan producto del acelerado desarrollo de la transformación digital de la economía global, que hace prácticamente difícil distinguir fronteras entre lo físico y lo digital.

Para entender como estos cambios afectan las decisiones en la gerencia de riesgo de las empresas encuestaron a 175 profesionales de riesgos y otros ejecutivos de CMT globales.

Uno de los hallazgos que llaman la atención es la visión que se tiene en el tratamiento de una serie de riesgos asociados a la CMT tales como: privacidad de la data, continuidad de negocio, fallas en el IoT (Internet de las cosas) entre unas 20 áreas de riesgo presentadas.

Los encuestados se inclinan hacia la prevención frente a la transferencia de riesgos.

Surge un patrón interesante con respecto a cómo una empresa debe distribuir su inversión en gestión de riesgos, dividiéndose en dos grupos, el primero en identificar y prevenir riesgos, y el segundo en responder y transferirlos. En general, hubo una mayor inclinación hacia la "identificación y protección" de lo que se podría haber esperado entre las 20 áreas de riesgo consultadas.

La mitad de los encuestados dice que el 75% de la inversión y tiempo de la empresa se deben dedicar en identificar y prevenir riesgos. Otro 17% dice que el 75% o más del tiempo e inversión en la empresa se deben orientar en la transferencia del riesgo. Y el 33% dijo que debería haber una división equitativa entre identificar y prevenir y responder y transferir

Algunas empresas invierten más en identificar y prevenir riesgos que transferirlos a través de un producto de seguro, lo que demuestra quizás, una falta de retorno de la inversión suficiente de las soluciones de seguro disponibles, especialmente productos relacionados con riesgos de tecnología.

La insatisfacción con las propuestas de seguro disponibles en la actualidad está relacionada en su mayoría con los términos y condiciones de la póliza, al no estar alineados con los desencadenantes de pérdida o los escenarios de eventos emergentes o en rápida evolución. Las compañías de CMT también enfrentan exclusiones críticas en las pólizas que no están evolucionando para cumplir con los nuevos riesgos.

Este hallazgo en mi opinión abre una serie de retos tales como:

1.- EL ERM integral adquiere dimensiones cada vez más relevante en el quehacer de la gestión empresarial por lo que la formación de especialistas y creación de cultura de riesgo será cada vez un factor clave de éxito.

2.- Capacidad de respuesta y agilidad de la gerencia de riesgo ante la fluidez de los cambios producto de la transformación digital. El uso de técnicas de Lean Project Management debe evaluarse a la luz de la velocidad de los cambios para gerenciar los riesgos asociados.

3.- Las empresas de seguro tienen retos importantes en la oferta de productos de cobertura acorde a los nuevos perfiles de riesgo que se presentan en este ambiente de gran fluidez e incertidumbre.

REF:https://www.marsh.com/us/insights/research/2019-communications-media-and-technology-risk-study.html?utm_source=linkedin&utm_medium=socialmedia&utm_campaign=marsh-cmt-risk-study-2019&sf105771127=1

REPORTE ANUAL BASILEA 2019: BIG TECHS Y SERVICIOS FINANCIEROS

BIS emite este año, 2019 en su reporte económico, una sección titulada Big Tech in Finace: opportunities and risks dedicada a la entrada de las grandes compañías de tecnología (“big techs”) a los servicios financieros (definida como una modalidad especial de las Fintech)

En el se analiza como la incorporación a la oferta de servicios financieros de Alibaba, Amazon, Facebook, Google y Tencent entre otros, proveyendo servicios de sistemas de pagos, money market, productos de seguros, préstamos y administración de remesas promete ganancias de eficiencia y mejora en la inclusión financiera.

Se destaca que para que estas grandes firmas ofrezcan servicios financieros se fundamentan en su base tecnológica que permite el manejo de gran cantidad de data y redes de información (traducción libre):

“El modelo de negocio de estas "Big Tech” se basa en permitir interacciones directas entre un gran número de usuarios. Un subproducto esencial de su negocio es la gran cantidad de datos de usuario que se utilizan como entrada para ofrecer una gama de servicios que aprovechan los efectos naturales de la red, generando una mayor actividad del usuario”

El apalancamiento tecnológico de las “Big Techs” puede reducir las barreras para la provisión de servicios financieros al reducir la información y los costos de transacción, y así mejorar la inclusión financiera. Sin embargo, estas ganancias varían según el servicio financiero y podrían conllevar nuevos riesgos y fallas del mercado.

En este sentido, el capítulo destaca que al igual que para las instituciones financieras tradicionales, que están sometidas a la regulación financiera con el objetivo de garantizar la solvencia de estas, la solidez del sistema financiero en su conjunto y protección a los usuarios de estos servicios, la actividad de las “Big Techs” cae directamente dentro del alcance de la regulación financiera tradicional y deben aplicarse los mismos principios. En este particular indican (traducción libre):

“El objetivo es cerrar las brechas regulatorias entre las “Big Techs” y las instituciones financieras reguladas para limitar el alcance del arbitraje regulatorio a través de actividades bancarias a la sombra. En consecuencia, los reguladores han extendido las regulaciones bancarias existentes a las “Big Techs”. Los ejemplos incluyen la extensión de las reglas de conocer a su cliente (KYC), diseñadas para prevenir el lavado de dinero y otros delitos financieros, a las operaciones de las “Big Techs” en pagos. 

El principio básico es "la misma actividad, la misma regulación". Si las “Big Techs” participan en actividades que son efectivamente idénticas a las que realizan los bancos, entonces dichas actividades deben estar sujetas a las reglas bancarias.

Además de las reglas existentes que se extienden a las “Big Techs”, es posible que se justifiquen nuevas reglas en aquellos casos en que estas hayan forzado cambios estructurales que los llevan fuera del alcance de la regulación financiera existente”

Entre los retos a la regulación en las Big Techs, destacan los nuevos y complejos equilibrios entre la estabilidad financiera, la competencia y la protección de datos.

REF: BIS Annual Economic Report 2019. https://www.bis.org/publ/arpdf/ar2019e3.htm

LAS EMPRESAS FRANQUICIANTES Y LA GESTIÓN DEL RIESGO

Las franquicias como una de las opciones estratégicas de crecimiento de las empresas con modelos de negocios probados, se inicia con una red formada por él mismo y sus franquiciados individuales, en la que el franquiciante es la casa matriz que se convierte en un tutor permanente de la red. La empresa que otorga las franquicias, en general, debe aportar al franquiciado una serie de elementos, entre otros: el derecho a uso de la marca, el manual conteniendo el know how del negocio, entrenamiento, políticas de homogeneidad de la marca, soporte en las campañas de marketing, etc.

La empresa franquiciante no se diferencia de cualquier otra empresa, al estar influenciada por la incertidumbre del entorno, pero al asumirse como tal y crear las condiciones para ser exitosa, es clave que haya desarrollado y suministre a sus franquiciados de los sistemas de gestión y control que garantice el oportuno y adecuado sistema de información sobre la sana operación de la red y le permita controlar, planificar, organizar y dirigir la evolución de la misma, con el fin de lograr una eficaz productividad.

Algunos de los sistemas de gestión y control básicos, se mencionan: el plan estratégico, sistema de gestión de costos y presupuestos, sistemas de control de la calidad, gestión de ubicaciones de puntos comerciales, gestión de captación de franquiciados, etc.

Ahora bien  una empresa franquiciante necesita tener unas características diferenciales a las de otro tipo de negocio que se expande bajo las fórmulas tradicionales,  y por ello se manifiestan algunos factores específicos de riesgo, que sin ser todos, podemos mencionar: a) capacidad de influir en el comportamiento empresarial de los franquiciados, b) cesión del know how a los franquiciados, que en el caso de no existir confidencialidad y regímenes legales de protección de propiedad intelectual idóneos puede originar problemas, c) las desventajas derivadas del control local, que han de ejercerse sobre cada franquiciado, d) gran riesgo de competencia desleal, e) posible pérdida de contacto directo con el mercado y de información sobre el mismo, f) eventual resistencia del franquiciado a seguir las políticas y normas del franquiciante, g) problemas a la hora de implantar cambios estratégicos en el negocio, h) riesgo reputacional ante cualquier desvío de las políticas establecidas por parte de los franquiciados.

Tomar en consideración estos y otros factores, fundamentan la necesidad de incorporar sistemas de gestión de riesgo en los procesos asumidos como empresa franquiciante a fin de proactivamente actuar sobre aquellos elementos que puedan poner en dificultad los objetivos definidos por esta.

Referencias:

Pilar Soldevila García Profesora de la Universitat Pompeu Fabra (Barcelona)/Magdalena Cordobés Madueño Profesora de la universidad ETEA (Córdoba). EL CONTROL DE GESTIÓN EN LAS EMPRESAS FRANQUICIADORAS.

WEB: Crear mi empresa :https://crearmiempresa.es/por-que-fracasan-el-50-de-las-franquicias.html

La Norma ISO 37001:2016, herramienta para la gestión anti soborno

La corrupción está extendida a nivel global y se diría que forma parte de la cultura o ADN de muchos sistemas económicos, especialmente en los países de menor competitividad y desarrollo. La raíz de la corrupción son las personas, sean pertenecientes a una organización privada o pública con fines o sin fines de lucro y lamentablemente no hay garantías de erradicarla de un todo, sin embargo lo importante es que haya mecanismos que permitan alcanzar un máximo de transparencia, integridad y honorabilidad que vaya rompiendo la cadena de corrupción.

El soborno como una de las expresiones que existen del fenómeno de la corrupción plantea serias preocupaciones sociales, morales, económicas y políticas, socava el buen gobierno, obstaculiza el desarrollo y distorsiona la competencia. Por lo tanto, las organizaciones tienen la responsabilidad de contribuir proactivamente en la lucha contra el soborno.

Aunque se han promovido acuerdos internacionales y desarrollada legislación en los países, la ley por sí sola no es suficiente para resolver este problema. Esto puede lograrse a través de la adaptación en la organización de un sistema de gestión antisoborno. La Norma ISO 37001:2016 Sistema De Gestión anti soborno- Requerimientos con guías para su uso, fue desarrollada para proporcionar a través del compromiso del liderazgo, el establecimiento de una cultura de integridad, transparencia, honestidad y cumplimiento.

Esta Norma es certificacable, por lo cual detalla una serie de requisitos y lineamientos para el buen desempeño de la organización en su gestión antisoborno. Es aplicable a organizaciones pequeñas, medianas y grandes en todos los sectores, incluidos el sector público, privado y sin fines de lucro.

En la región latinoamericana Perú ha sido el primer país en adoptar la certificación de empresas con  esta norma.

La naturaleza de la cultura de una organización es crítica para el éxito o el fracaso de un sistema de gestión antisoborno y en términos generales en toda gestión de riesgo. La norma por sí sola no garantiza que el soborno no haya ocurrido o no ocurrirá  en la organización, ya que no es posible eliminar totalmente el riesgo de soborno, sin embargo, este documento puede ayudar a la organización a implementar medidas razonables y proporcionales para prevenir, detectar y enfrentar este flagelo.

REFERENCIA: Norma técnica peruana NTP-ISO37001:2017

EL SISTEMA DE GESTIÓN DE LA CALIDAD Y EL PENSAMIENTO BASADO EN RIESGO

Tomando en cuenta que el riesgo es todo aquello que puede afectar el logro de los objetivos, en este particular la norma ISO 9001:2015 enfoca en forma explícita la aplicación de la gerencia del riesgo dentro del sistema de gestión de la calidad, incorporando al contenido acciones y visiones que involucra desarrollar el pensamiento basado en riesgo dentro del sistema.

¿Qué es el pensamiento basado en riesgo en el sistema de gestión de la calidad?

Es justamente toda aquello que pueda ir contra el logro de los objetivos del sistema de gestión de la calidad, que en términos resumidos son:

· Proporcionar regularmente productos y servicios que satisfagan los requisitos del cliente, los legales y reglamentarios aplicables.

·   Aumentar la satisfacción del cliente a través de la aplicación eficaz del sistema

Por lo tanto, todo aquello que provoque incertidumbre en el logro de estos objetivos se denomina riesgo. Uno de los propósitos de los sistemas de gestión de calidad es que está enmarcado como una actividad preventiva y esta se materializa y se caracteriza de forma más transparente y clara mediante el uso del pensamiento basado en riesgo al formular requisitos del sistema de gestión de la calidad.

Los requisitos de la ISO 9001:2015 y el riesgo

El pensamiento basado en riesgo se integra en la norma desde los requisitos del capítulo 4, donde la organización debe comprender el contexto externo e interno para determinar los factores que influyen en el propósito, objetivos y sostenibilidad de la organización (los valores, la cultura, los aspectos regulatorios, etc.).

En el capítulo 6, requisito  6.1 la organización debe tomar acciones para abordar riesgos y oportunidades,  es quizás la parte más destacada de la incorporación del pensamiento de riesgo en el sistema de gestión de la calidad,  donde se  deben determinar los riesgos y oportunidades con el fin de asegurar que el sistema de gestión de la calidad pueda lograr los objetivos previsto, de esta manera deberá planificar las acciones para abordar estos riesgos y oportunidades (tratamiento del riesgo y controles)

El capítulo 8- Operaciones el requisito 8.3 relacionado a diseño y desarrollo, establece que en el proceso deben considerarse las consecuencias potenciales de fracaso y el impacto potencial de los procesos proporcionados externamente, productos y servicios (impacto-severidad si ocurre el evento de riesgo).

En la sección 9 se establece el criterio del monitoreo de la gestión verificando la eficacia de las medidas adoptadas para hacer frente a los riesgos y oportunidades.

Finalmente, en la sección 10 la organización debe implementar las acciones de mejora y/o actualización en la identificación de los riesgos y oportunidades.

Como se podrá notar todo lo anterior es una integración en el sistema de gestión de la calidad al modelo de procesos de la gestión de riesgo desarrollado en la norma ISO3100:2018, donde se involucran las etapas de análisis del contexto, identificación, análisis de riesgo, evaluación de riesgo, tratamiento del riesgo (acciones y controles), monitoreo y revisión.

La norma no sugiere usar algún modelo en específico o proceso documentado de la gestión de riesgo en el desarrollo del proceso de gestión de la calidad, sin embargo, las organizaciones pueden decidir si implementar un modelo de gestión de riesgo más amplio, por ejemplo mediante la aplicación de la familia de Normas ISO31000.

Ref: Norma ISO 9001:2015 e ISO 31000:2018

LA TOLERANCIA AL RIESGO

En un post de este blog se definió el apetito de riesgo como “la cantidad de riesgo que una organización está dispuesta a aceptar para alcanzar sus objetivos estratégicos y organizacionales”. Es decir, son los límites establecidos por la organización sobre cuanto riesgo está dispuesto a aceptar y que define un curso de acción sobre los objetivos que quisiera alcanzar.  Vinculado a ello y reconociendo el carácter dinámico del ambiente o entorno de riesgo en que se desenvuelve, los aspectos regulatorios etc.  se define otro tipo de límite denominado TOLERANCIA AL RIESGO, que establece los niveles de variación aceptables en el desempeño de los objetivos.

Un ejemplo de estos dos conceptos:

APETITO DE RIESGO: La empresa no aceptará riesgos que impliquen una disminución significativa en su base de ingresos por ventas.

TOLERANCIA AL RIESGO: La empresa no aceptará el riesgo de disminución de sus ingresos provenientes de sus clientes de cuentas mayores más allá de un 5%.

Operar dentro de las tolerancias de riesgo proporciona a la administración una mayor seguridad de que la compañía permanece dentro de su apetito de riesgo, lo que, a su vez proporciona un mayor grado de comodidad para que la compañía logre sus objetivos estratégicos.

Referencia:  E-book, LogicManager. 5 Characteristics of the Best ERM Programs

EL LIDERAZGO Y EL COMPROMISO EN LA GESTIÓN DE RIESGO

Establecidos los principios en que se enfoca la norma ISO 31000:2018, el marco de referencia para la gestión del riesgo se centra en el liderazgo y compromiso que la Alta Dirección demostrará al definir los procesos que habilitarán a la gerencia de riesgo a actuar dentro de la organización.

Resulta un elemento crítico y fundamental para el éxito de la gerencia de riesgo, toda vez que este compromiso y liderazgo es el que ayudará a integrar la gestión del riesgo en la toma de decisiones de la organización, eliminando los silos o barreras entre los diferentes sistemas de gestión o funciones organizacionales.

El marco de referencia para ello comprende los siguientes componentes:

Integración: La gestión del riesgo debería ser una parte de, y no estar separada del propósito, la gobernanza, el liderazgo y compromiso, la estrategia, los objetivos y las operaciones de la organización.

Diseño: conforma todo el andamiaje o estructura en que se concebirá la gerencia de riesgo en la organización, abordando la comprensión del contexto interno y externo, la definición y declaración de políticas, la asignación de roles y recursos, así como los mecanismos de comunicación y consulta con las partes interesadas para apoyar el enfoque aprobado del marco de referencia y que representa uno de los cambios fundamentales en la versión 2018.

Implementación: el desarrollo del plan de implementación del diseño aprobado con el compromiso y toma de conciencia de las partes interesadas.

Valoración: Dado el principio del carácter dinámico de la gestión del riesgo, se debe medir el desempeño que haya tenido el marco de referencia de manera de evaluar si resulta idóneo al logro de los objetivos planteados por la organización.

Mejora continua: realizar el seguimiento continuo y adaptar el marco de referencia de la gestión del riesgo en función de los cambios externos e internos.

REFERENCIAS:

UNE: Norma española UNE-ISO31000. Marzo 2018

Imagen:https://www.google.com/searchrlz=1C1SQJL_esVE775VE775&biw=1366&bih=625&tbm=isch&sa=1&ei=dI6PXK7bMcGw5wL8przQDw&q=marco+de+referencia+iso31000&oq=marco+de+re&gs_l=img.1.0.35i39j0l4j0i30l5.12922.15724..17115...0.0..4.539.4902.0j4j2j4j3j2......1....1..gws-wiz-img.....0..0i67.niZhglWQQqI#imgrc=4PnpxGgqrGrMfM:

EL FRAUDE TOCARÁ TU PUERTA

Price Waterhouse (PWC) realizó la “Encuesta sobre el fraude y la delincuencia económica mundial de PwC 2018” sobre el manejo del riesgo de fraude y diferentes delitos económicos en las empresas. Los resultados fueron publicados a finales del 2018 y tuvo un alcance de 7200 encuestados en 123 territorios diferentes en el planeta. La última encuesta se realizó en el año 2016. El trabajo arrojó unos resultados interesantes e inquietantes a la vez sobre el manejo de estos tipos de riesgos para lo cual destaco algunos de sus resultados y análisis:

1.  La Encuesta muestra que, si bien existe una creciente conciencia de los peligros de la delincuencia económica, muy pocas empresas están plenamente claras de los riesgos individuales que enfrentan.

2.   La tasa de fraudes o delitos económicos ha crecido en todos los continentes, destacándose Latinoamérica con la mayor tasa de crecimiento desde la última encuesta del 2016, incrementándose del 28% al 53%

3.   Se revela un aumento significativo en la proporción de delitos económicos cometidos por actores internos (de 46% en 2016 a 52% en 2018) y un aumento dramático en la proporción de esos delitos atribuidos a la alta gerencia (de 16% en 2016 a 24 % en 2018). De hecho, los actores internos eran un tercio más propensos que los actores externos a ser los perpetradores de los fraudes más perturbadores.

4.   La ciberdelincuencia tuvo más del doble de probabilidades que cualquier otro fraude de ser identificado como el crimen económico más grave y perturbador que se espera que afecte a las organizaciones en los próximos dos años (el 26% de los encuestados dijo que esperaba un ataque cibernético en los próximos dos años y eso sería el más perturbador; el 12% dijo que esperaba que el soborno y la corrupción fueran más perturbadores, mientras que el 11% dijo lo mismo sobre la apropiación indebida de activos).

5.    Las empresas que dicen enfrentar el fraude, no están viendo la película completa ya que hay puntos ciegos que se pasan por alto.

6.   Uno de los puntos ciegos de fraude más grandes en la empresa, y sus mayores amenazas, a menudo no tiene que ver con sus empleados, sino con las personas con las que hace negocios o terceros: agentes, proveedores, proveedores de servicios compartidos y clientes. En otras palabras, las personas y organizaciones con las que se espera un cierto grado de confianza mutua, pero que en realidad pueden estar robando a la empresa.

7.  El fraude al consumidor e inapropiada conducta empresarial, son los dos fraudes de tipo interno que más han crecido en importancia, hasta el punto de que la encuesta de este año los está midiendo como amenazas separadas por primera vez. El riesgo de “conducta" definida como las acciones que los empleados pongan en peligro la entrega de resultados justos para los clientes o la integridad del mercado requiere una respuesta más holística y un cambio de actitud ante su tratamiento.

8.     Debido a que el fraude es una compleja combinación de condiciones y motivaciones humanas, se recomienda invertir en gente más que solo en tecnología, como parte de un tratamiento holístico para la gerencia del fraude y delitos económicos. PWC describe un método para la comprensión y prevención del fraude denominado el triángulo del fraude basado en tres controladores que tienen que estar presentes para que ocurra: Incentivo-Oportunidad-Racionalización interna. Cada uno de ellos debe abordarse individualmente.

9.   En la actualidad, muchas compañías tratan el cumplimiento, la ética y la administración de riesgos empresariales como funciones separadas, a veces incluso existen en silos separados dentro de una organización. Pero, como todos los silos organizacionales, esto significa que estas funciones rara vez se suman a un todo estratégico. Cuando eso sucede, pueden surgir brechas operacionales y el fraude puede ser fácilmente superado o visto como un problema ajeno, en detrimento de la efectividad general de la prevención del fraude, el desempeño financiero y los resultados regulatorios.

10.  Los mandatos son claros: coloque la transparencia en el centro del propósito corporativo, utilícela para unir la estrategia, la gobernanza, la gestión de riesgos y el cumplimiento, así la empresa se encontrará mejor posicionada para transformar los riesgos potencialmente graves en una oportunidad para salir adelante.

REFERENCIA: PWC: “Pulling fraud out of the shadows Global Economic Crime and Fraud Survey 2018” www.pwc.com/fraudsurvey

HABILIDADES PARA SER UN GERENTE DE RIESGO EXITOSO

Uno de los aspectos que en la práctica profesional se observa, es la diversidad de perfiles que poseen los involucrados en la gestión de riesgo, trátese de organizaciones con o sin fines de lucro. Así podemos identificar ingenieros, economistas, administradores, abogados, hasta aquellos formados en ciencias básicas.

Dado el carácter integral del gerente de riesgo de una organización, esto hace reflexionar sobre la gama de habilidades a desarrollar para ser competente y exitoso. ¿Qué tan importante es especializarse en los aspectos numéricos? ¿esto será suficiente a la hora de presentar un reporte a la alta gerencia sobre riesgo solo enfocado en los números? y a la hora de proponer la implantación de cambios, por ejemplo, en el tratamiento de algunos riesgos, ¿tengo habilidades negociar, comunicar,  persuadir y no fracasar en el intento?

En un artículo del IERP®, Institute of Enterprise Risk Practicioner (ver abajo el enlace de referencia) Mr. Ramesh Pillai, IERP® Chairman of the Board of Governors, en una presentación efectuada a esta institución el 16-10-2018 habló de la importancia de las habilidades relacionadas con inteligencia emocional (EQ) y “soft skill” en la implantación y gestión del ERM (Enterprise Risk Management).

Pillai describe 10 habilidades en EQ y soft skill que, según su criterio, son requeridas para ser un exitoso gerente de riesgo:

1.- Resolver problemas: diseñar soluciones relacionados a los procesos organizacionales y riesgos asociados con la estrategia.

2.- Herramientas analíticas: Enfoque más en el análisis que en la recolección y organización de una cantidad de datos en los reportes presentados a la gerencia.

3.- Habilidades de comunicación: identificar el apropiado lenguaje a utilizar para cada tipo de audiencia a fin de asegurar que todos comprendan lo relacionado a la estrategia de riesgo de la empresa.

4.- Entendimiento del negocio: comprender como funciona la organización, sus procesos y su efecto en la gerencia del riesgo empresarial.

5.- Negociación y diplomacia: habilidades de persuasión y convencimiento con otros departamentos, auditores, jefes etc. en las distintas propuestas en lo que a riesgo se refiere, así como la diplomacia y serenidad requerida ante la ocurrencia de crisis.

6.- Habilidades numéricas: aunque no necesariamente tiene que ser un matemático, debe sentirse cómodo y gustarle los cálculos, dado que el riesgo involucra en gran parte el tratamiento de datos que implica la aplicación de áreas como estadística, cálculo numérico, etc.

7.- Trabajar bajo presión: Mantener la calma ante la potencialidad de eventos inesperados que pueden ocurrir en cualquier momento, aplicando los planes y políticas establecidas, revisándolas y adaptándolas cuando sea exigido.

8.- Habilidades colaborativas: para conocer la empresa no solo se requiere de la búsqueda de información como tal, sino el de promover e integrar la formación de equipos de trabajo que en conjunto sean de capaces de crear las sinergias que beneficien el desempeño de la organización en su gestión de riesgo.

9.- Competencia técnica: constante entrenamiento, formación, obtención de certificaciones de riesgo que demuestren la actualización en las mejores prácticas aplicadas a la gerencia de riesgo.

10.- Carácter: Integridad e independencia del gerente de riesgo como clave para generar y obtener la credibilidad y respeto en las recomendaciones y decisiones a tomar en la gestión de riesgo.

El perfil del gerente de riesgo es desafiante, no significa negar las habilidades y formación primaria que cada individuo haya labrado a lo largo de su vida profesional, pero es indispensable complementarlas y/o reforzarlas con otras que servirán como potenciador para un exitoso desempeño dentro de la organización.

REFERENCIA

https://www.insterp.com/top-10-skills-for-succeeding-in-enterprise-risk-management/