EL LIDERAZGO Y EL COMPROMISO EN LA GESTIÓN DE RIESGO

Establecidos los principios en que se enfoca la norma ISO 31000:2018, el marco de referencia para la gestión del riesgo se centra en el liderazgo y compromiso que la Alta Dirección demostrará al definir los procesos que habilitarán a la gerencia de riesgo a actuar dentro de la organización.

Resulta un elemento crítico y fundamental para el éxito de la gerencia de riesgo, toda vez que este compromiso y liderazgo es el que ayudará a integrar la gestión del riesgo en la toma de decisiones de la organización, eliminando los silos o barreras entre los diferentes sistemas de gestión o funciones organizacionales.

El marco de referencia para ello comprende los siguientes componentes:

Integración: La gestión del riesgo debería ser una parte de, y no estar separada del propósito, la gobernanza, el liderazgo y compromiso, la estrategia, los objetivos y las operaciones de la organización.

Diseño: conforma todo el andamiaje o estructura en que se concebirá la gerencia de riesgo en la organización, abordando la comprensión del contexto interno y externo, la definición y declaración de políticas, la asignación de roles y recursos, así como los mecanismos de comunicación y consulta con las partes interesadas para apoyar el enfoque aprobado del marco de referencia y que representa uno de los cambios fundamentales en la versión 2018.

Implementación: el desarrollo del plan de implementación del diseño aprobado con el compromiso y toma de conciencia de las partes interesadas.

Valoración: Dado el principio del carácter dinámico de la gestión del riesgo, se debe medir el desempeño que haya tenido el marco de referencia de manera de evaluar si resulta idóneo al logro de los objetivos planteados por la organización.

Mejora continua: realizar el seguimiento continuo y adaptar el marco de referencia de la gestión del riesgo en función de los cambios externos e internos.

REFERENCIAS:

UNE: Norma española UNE-ISO31000. Marzo 2018

Imagen:https://www.google.com/searchrlz=1C1SQJL_esVE775VE775&biw=1366&bih=625&tbm=isch&sa=1&ei=dI6PXK7bMcGw5wL8przQDw&q=marco+de+referencia+iso31000&oq=marco+de+re&gs_l=img.1.0.35i39j0l4j0i30l5.12922.15724..17115...0.0..4.539.4902.0j4j2j4j3j2......1....1..gws-wiz-img.....0..0i67.niZhglWQQqI#imgrc=4PnpxGgqrGrMfM:

EL FRAUDE TOCARÁ TU PUERTA

Price Waterhouse (PWC) realizó la “Encuesta sobre el fraude y la delincuencia económica mundial de PwC 2018” sobre el manejo del riesgo de fraude y diferentes delitos económicos en las empresas. Los resultados fueron publicados a finales del 2018 y tuvo un alcance de 7200 encuestados en 123 territorios diferentes en el planeta. La última encuesta se realizó en el año 2016. El trabajo arrojó unos resultados interesantes e inquietantes a la vez sobre el manejo de estos tipos de riesgos para lo cual destaco algunos de sus resultados y análisis:

1.  La Encuesta muestra que, si bien existe una creciente conciencia de los peligros de la delincuencia económica, muy pocas empresas están plenamente claras de los riesgos individuales que enfrentan.

2.   La tasa de fraudes o delitos económicos ha crecido en todos los continentes, destacándose Latinoamérica con la mayor tasa de crecimiento desde la última encuesta del 2016, incrementándose del 28% al 53%

3.   Se revela un aumento significativo en la proporción de delitos económicos cometidos por actores internos (de 46% en 2016 a 52% en 2018) y un aumento dramático en la proporción de esos delitos atribuidos a la alta gerencia (de 16% en 2016 a 24 % en 2018). De hecho, los actores internos eran un tercio más propensos que los actores externos a ser los perpetradores de los fraudes más perturbadores.

4.   La ciberdelincuencia tuvo más del doble de probabilidades que cualquier otro fraude de ser identificado como el crimen económico más grave y perturbador que se espera que afecte a las organizaciones en los próximos dos años (el 26% de los encuestados dijo que esperaba un ataque cibernético en los próximos dos años y eso sería el más perturbador; el 12% dijo que esperaba que el soborno y la corrupción fueran más perturbadores, mientras que el 11% dijo lo mismo sobre la apropiación indebida de activos).

5.    Las empresas que dicen enfrentar el fraude, no están viendo la película completa ya que hay puntos ciegos que se pasan por alto.

6.   Uno de los puntos ciegos de fraude más grandes en la empresa, y sus mayores amenazas, a menudo no tiene que ver con sus empleados, sino con las personas con las que hace negocios o terceros: agentes, proveedores, proveedores de servicios compartidos y clientes. En otras palabras, las personas y organizaciones con las que se espera un cierto grado de confianza mutua, pero que en realidad pueden estar robando a la empresa.

7.  El fraude al consumidor e inapropiada conducta empresarial, son los dos fraudes de tipo interno que más han crecido en importancia, hasta el punto de que la encuesta de este año los está midiendo como amenazas separadas por primera vez. El riesgo de “conducta" definida como las acciones que los empleados pongan en peligro la entrega de resultados justos para los clientes o la integridad del mercado requiere una respuesta más holística y un cambio de actitud ante su tratamiento.

8.     Debido a que el fraude es una compleja combinación de condiciones y motivaciones humanas, se recomienda invertir en gente más que solo en tecnología, como parte de un tratamiento holístico para la gerencia del fraude y delitos económicos. PWC describe un método para la comprensión y prevención del fraude denominado el triángulo del fraude basado en tres controladores que tienen que estar presentes para que ocurra: Incentivo-Oportunidad-Racionalización interna. Cada uno de ellos debe abordarse individualmente.

9.   En la actualidad, muchas compañías tratan el cumplimiento, la ética y la administración de riesgos empresariales como funciones separadas, a veces incluso existen en silos separados dentro de una organización. Pero, como todos los silos organizacionales, esto significa que estas funciones rara vez se suman a un todo estratégico. Cuando eso sucede, pueden surgir brechas operacionales y el fraude puede ser fácilmente superado o visto como un problema ajeno, en detrimento de la efectividad general de la prevención del fraude, el desempeño financiero y los resultados regulatorios.

10.  Los mandatos son claros: coloque la transparencia en el centro del propósito corporativo, utilícela para unir la estrategia, la gobernanza, la gestión de riesgos y el cumplimiento, así la empresa se encontrará mejor posicionada para transformar los riesgos potencialmente graves en una oportunidad para salir adelante.

REFERENCIA: PWC: “Pulling fraud out of the shadows Global Economic Crime and Fraud Survey 2018” www.pwc.com/fraudsurvey

HABILIDADES PARA SER UN GERENTE DE RIESGO EXITOSO

Uno de los aspectos que en la práctica profesional se observa, es la diversidad de perfiles que poseen los involucrados en la gestión de riesgo, trátese de organizaciones con o sin fines de lucro. Así podemos identificar ingenieros, economistas, administradores, abogados, hasta aquellos formados en ciencias básicas.

Dado el carácter integral del gerente de riesgo de una organización, esto hace reflexionar sobre la gama de habilidades a desarrollar para ser competente y exitoso. ¿Qué tan importante es especializarse en los aspectos numéricos? ¿esto será suficiente a la hora de presentar un reporte a la alta gerencia sobre riesgo solo enfocado en los números? y a la hora de proponer la implantación de cambios, por ejemplo, en el tratamiento de algunos riesgos, ¿tengo habilidades negociar, comunicar,  persuadir y no fracasar en el intento?

En un artículo del IERP®, Institute of Enterprise Risk Practicioner (ver abajo el enlace de referencia) Mr. Ramesh Pillai, IERP® Chairman of the Board of Governors, en una presentación efectuada a esta institución el 16-10-2018 habló de la importancia de las habilidades relacionadas con inteligencia emocional (EQ) y “soft skill” en la implantación y gestión del ERM (Enterprise Risk Management).

Pillai describe 10 habilidades en EQ y soft skill que, según su criterio, son requeridas para ser un exitoso gerente de riesgo:

1.- Resolver problemas: diseñar soluciones relacionados a los procesos organizacionales y riesgos asociados con la estrategia.

2.- Herramientas analíticas: Enfoque más en el análisis que en la recolección y organización de una cantidad de datos en los reportes presentados a la gerencia.

3.- Habilidades de comunicación: identificar el apropiado lenguaje a utilizar para cada tipo de audiencia a fin de asegurar que todos comprendan lo relacionado a la estrategia de riesgo de la empresa.

4.- Entendimiento del negocio: comprender como funciona la organización, sus procesos y su efecto en la gerencia del riesgo empresarial.

5.- Negociación y diplomacia: habilidades de persuasión y convencimiento con otros departamentos, auditores, jefes etc. en las distintas propuestas en lo que a riesgo se refiere, así como la diplomacia y serenidad requerida ante la ocurrencia de crisis.

6.- Habilidades numéricas: aunque no necesariamente tiene que ser un matemático, debe sentirse cómodo y gustarle los cálculos, dado que el riesgo involucra en gran parte el tratamiento de datos que implica la aplicación de áreas como estadística, cálculo numérico, etc.

7.- Trabajar bajo presión: Mantener la calma ante la potencialidad de eventos inesperados que pueden ocurrir en cualquier momento, aplicando los planes y políticas establecidas, revisándolas y adaptándolas cuando sea exigido.

8.- Habilidades colaborativas: para conocer la empresa no solo se requiere de la búsqueda de información como tal, sino el de promover e integrar la formación de equipos de trabajo que en conjunto sean de capaces de crear las sinergias que beneficien el desempeño de la organización en su gestión de riesgo.

9.- Competencia técnica: constante entrenamiento, formación, obtención de certificaciones de riesgo que demuestren la actualización en las mejores prácticas aplicadas a la gerencia de riesgo.

10.- Carácter: Integridad e independencia del gerente de riesgo como clave para generar y obtener la credibilidad y respeto en las recomendaciones y decisiones a tomar en la gestión de riesgo.

El perfil del gerente de riesgo es desafiante, no significa negar las habilidades y formación primaria que cada individuo haya labrado a lo largo de su vida profesional, pero es indispensable complementarlas y/o reforzarlas con otras que servirán como potenciador para un exitoso desempeño dentro de la organización.

REFERENCIA

https://www.insterp.com/top-10-skills-for-succeeding-in-enterprise-risk-management/

EL APETITO DE RIESGO

APETITO DE RIESGO

Bajo el esquema de COSO-ERM-2016 el segundo componente de los cinco que conforman su estructura se denomina “Riesgo, estrategia y configuración de objetivos” y trata sobre la integración de la gestión de riesgo en la definición de los objetivos estratégicos y organizacionales, lo que supone que el cuerpo directivo incorpore en la definición de estos el apetito de riesgo.

Es así como dentro de este componente, el octavo principio de COSO-ERM establece definir el apetito de riesgo, una vez reconocido el contexto de entorno de riesgo de la empresa. Definirlo, implica que se articula el apetito de riesgo con los objetivos y metas organizacionales y es aplicado dentro de la gestión de riesgo.

¿Qué es el apetito de riesgo?

Como concepto es inherente y nace desde la concepción de la empresa, esté explícito o implícito. La primera expresión del apetito por el riesgo es la misión y la visión de la organización. Dentro del marco de COSO se define como:

“la cantidad de riesgo que una organización está dispuesta a aceptar para alcanzar sus objetivos estratégicos y organizacionales”

Es la manera en que la empresa comunica en forma clara y general a los interesados su actitud hacia cada tipo de riesgo que la institución enfrenta, por lo tanto, constituirá la guía para la organización en la determinación de la cantidad de riesgo que está dispuesta a aceptar.

Este concepto, aunque no se encuentra específico en la Norma ISO3100:2018, queda como uno de los subproductos que se desarrolla durante la fase de “Establecimiento del contexto”

Ejemplos de apetito de riesgo

Instituciones financieras: el gap de duración entre activos y pasivos no podrá exceder de 2 años.

Casas de Bolsa: establecimiento para traders de valor en riesgo diario (VaR) de las carteras que manejen a un nivel de confianza al 95% establecido (esta probabilidad es una definición cuantitativa de apetito de riesgo).

Organización Mundial de Propiedad Intelectual: La OMPI describe a continuación el apetito de riesgo de la Organización, en términos generales:

“Los riesgos con incidencia leve se aceptan cuando se estima que la probabilidad de que ese riesgo se materialice es moderada, baja o mínima;

Los riesgos con incidencia notable se aceptan cuando se estima que la probabilidad de que ese riesgo se materialice es baja o mínima; y los riesgos con incidencia grave se aceptan únicamente cuando se estima que la probabilidad de que ese riesgo se materialice es mínima".

En estos pocos ejemplos podemos observar que las organizaciones pueden definir su apetito de riesgo en términos cuantitativos o cualitativos. Para algunas organizaciones definir el apetito de riesgo en términos cualitativos, bajo, medio, moderado, etc. es un paso suficiente en una primera etapa, sin embargo, en la medida que evolucione el desarrollo de la gestión de ERM   la definición de apetito de riesgo podrá ser más precisa.

Cualquiera sea el enfoque para describir el apetito de riesgo, debe reflejar la relación con el alcance de los objetivos estratégicos, la creación de valor e identidad con la cultura de la organización, de manera que puedan dimensionar hasta donde adoptar los riesgos y asignación de recursos y hasta donde evitarlos.

Importancia de la definición del apetito de riesgo

El objetivo es proporcionar un conjunto integrado de principios y medidas que guíen a la organización en la determinación de la cantidad y los tipos de riesgos que desea asumir.

El apetito de riesgo de una organización variará con su estrategia, como también con las condiciones evolutivas de su sector, mercados y cultura organizacional. No hay que soslayar que las regulaciones externas también imponen o condicionarán la dimensión de apetito de riesgo que adopte la organización.

Hay una variedad de enfoques disponibles para determinar el apetito por el riesgo, lo que incluye examinar las expectativas de los interesados, identificar el equilibrio entre las expectativas y los riesgos claves identificados (naturaleza y extensión del riesgo), establecer la extensión aceptable y efectuar la declaración que describa los riesgos aceptables, inaceptables y las líneas de defensa.

Depende de la gerencia comunicar el apetito de riesgo acordado en varios niveles de detalle en toda la entidad. Con la aprobación de la junta, la gerencia también revisa y refuerza el apetito de riesgo a lo largo del tiempo, a la luz de consideraciones nuevas y emergentes. Además, aunque el apetito por el riesgo es extremadamente importante en la consideración de la estrategia y cuando se establecen objetivos de negocios y metas de desempeño, una vez que la entidad considera el riesgo en ejecución, el enfoque cambia a la gestión de riesgos dentro de una variación aceptable.

El apetito de riesgo no debe superar el nivel de tolerancia al riesgo de la empresa. Abordaremos el concepto de tolerancia al riesgo en el próximo post.

Referencias:

Declaración apetito de riesgo Organización Mundial de la Propiedad Intelectual http://www.wipo.int/meetings/es/doc_details.jsp?doc_id=278443

COSO Enterprise Risk Management. Aligning Risk with strategy and performance. June 2016 edition

¿Cómo establecer un margo de apetito de riesgo? Instituto Mexicano de Ejecutivo de Finanzas (IMEF) s/f

Imagen: Instituto Nacional de Cyberseguridad. www.incibe.es

PROCESO PARA LA GESTIÓN DE RIESGO EMPRESARIAL-ISO 3100:2018

Finalizando esta serie del lanzamiento de la nueva ISO31000:2018, abordamos lo concerniente al  proceso para llevar a cabo la gestión de riesgo. Esta no ha cambiado drásticamente en relación a la versión 2009, manteniéndose igual todos las etapas del proceso. Lo que si se ha reducido mucho es el lenguaje complicado y el texto es más corto y conciso, facilitando la comprensión para el usuario.

La representación gráfica en esta nueva versión, es un círculo que describe las siguientes etapas

Establecimiento del contexto: Definición de los parámetros externos e internos a tener en cuenta cuando se gestiona el riesgo, y se establecen el alcance y los criterios de riesgo para la política de gestión del riesgo. Comprende establecer los contextos estratégicos, organizacional y de gestión en los cuales tendrá lugar el Proceso de Gestión de Riesgos. Deben establecerse los objetivos de la evaluación del riesgo, los criterios contra los cuales se evaluarán los riesgos, el programa de evaluación del riesgo y definirse la estructura de análisis, los roles y responsabilidades.

Análisis del riesgo: es el proceso global de identificación del riesgo, análisis y valoración del riesgo.

Tratamiento del riesgo: consiste en seleccionar y aplicar las medidas más adecuadas, con el fin de poder modificar el riesgo, para evitar de este modo los daños intrínsecos al factor de riesgo, o bien aprovechar las ventajas que pueda reportarnos.

Comunicación y consulta: Comprende definir y utilizar mecanismos para comunicar y consultar con los interesados internos y externos, según resulte apropiado en cada etapa del proceso de gestión de riesgos.

Seguimiento y revisión: revisión del sistema de gestión de riesgo con el objeto de asegurar su conformidad y efectividad.

EL MARCO DE REFERENCIA DE ISO3100:2018 ¿QUÉ CAMBIÓ?

¿Qué es el marco de referencia?

Establecidos los principios en que se enfoca la norma, se define un marco de referencia para llevar a cabo el proceso de gestión integral de riesgos, abarcando a toda la organización para hacer efectiva tal integración.

Este marco permite a) entender a la organización y el contexto donde se desenvuelve, b) a través del liderazgo se modela el compromiso de todos los involucrados en la gestión de riesgo, conformando la cultura de riesgo en la organización c) definir la estructura organizativa para la gestión del riesgo, asignando las responsabilidades y rendición de cuentas d) reforzar la organización basada en procesos para garantizar la integración entre los mismos, e) asignar los recursos necesarios para llevar a cabo las responsabilidades y cumplimiento de los objetivos en lo que a la gestión de riesgos se refiere, f) establecer los mecanismos de comunicación y reportes.

En ISO3100:2018 se presenta así:

COSO vs ISO 31000. ¿Cuál es más aplicado en la gestión de riesgo empresarial?

En noviembre del año 2015 Marsh Risk Consulting, empresa del grupo Marsh & McLennan Companies en conjunto con RIMS, The Risk and Insurance Management Society, realizó un estudio de benchmarking con el objetivo de conocer las diferentes prácticas de gestión de riesgos en el entorno empresarial latinoamericano, que permitió comparar con respeto a otros países el nivel de desarrollo en esta área (1).

Dentro del grupo de preguntas se indagó cuál de los estándares internacionales aplican las organizaciones para diseñar su sistema de gestión de riesgo, arrojando como resultados que casi la tercera parte de las empresas encuestadas aplica la norma ISO 31000 y muy cercano a ese número (29%) se adhieren a COSO (Commitee of Sponsoring Organizations).

En primer lugar hay que advertir que ambos estándares no son manuales de aplicación o recetas para implementar un sistema de gestión de riesgo empresarial.  Son un marco de trabajo y de proceso general para la gestión de los diversos tipos de riesgos. Estos estándares no obligan a utilizar una visión única y rígida, sino que dentro de unos principios e instrucciones cada organización las adapta a sus necesidades.

Los enfoques de estos estándares han sido revisados de forma continua y se puede hablar de convergencia en muchos aspectos, aunque el debate está servido al comparar el abordaje de ambos estándares en temas específicos.  Hay coincidencia en principios, tales como, el riesgo agrega valor a la organización, la importancia del modelaje y compromiso de la alta dirección como dinamizadores para crear una cultura de riesgo, pieza fundamental para alcanzar un carácter integral en la gestión, y en los procesos de apreciación y tratamiento del riesgo las metodologías se aproximan bastante.

El enfoque inicial de COSO hacia el control interno, y la percepción de que su alcance era poco aplicable a todo tipo de empresas, ha desarrollado un enfoque más integral con su última versión COSO ERM 2016. Entre tanto la ISO 31000:2009, actualmente en proceso de cambios hacia ISO31000:2018, se presenta como una norma relativamente de pocas páginas, fácil de comprender, clara y práctica que se expandió rápidamente en su aplicación en muchas empresas. La norma ISO 31000:2009 no requiere certificación.

Cualquiera que sea la elección o si ya la empresa aplica alguna de ellas, los dos enfoques en conjunto proporcionan a los profesionales de la gestión de riesgo y auditores un marco adecuado y efectivo para diseñar, fortalecer o integrar la gerencia de riesgo.

(1)https://www.marsh.com/mx/insights/research/i-benchmark-de-gestion-de-riesgos-en-latinoamerica.html

¿Por qué la gestión de riesgo adquiere cada vez más protagonismo en la toma de decisiones de las empresas?

No deja de llamar la atención como la gestión de riesgo va incorporándose o haciéndose cada vez más explícita y destacada en el quehacer diario de muchas de nuestras empresas en la región latinoamericana, aunque con sus desfases en el desarrollo de esta actividad en diferentes sectores económicos y países.

Destaca cómo normas internacionales, entre ellas la última actualización de la norma ISO9000:2015, adopta el pensamiento basado en riesgo dentro del marco del sistema de gestión de la calidad, confirmando la importancia que tiene identificar los riesgos asociados a los productos y servicios, desde su diseño hasta las actividades postventa, todo ello alineado a los objetivos estratégicos definidos por la empresa.

Todo lo anterior se deriva porque los objetivos, en sus niveles estratégicos, tácticos y operativos que fija una organización se enmarcan en ambientes de alta incertidumbre o entornos VUCA (volatilidad, incertidumbre, complejidad y ambigüedad) que la obligan a gestionar el riesgo para el logro de su sobrevivencia, protección, sostenibilidad, competitividad y resiliencia ante los constantes cambios.

La gestión de riesgo ha ido adquiriendo relevancia como herramienta para el desarrollo y supervivencia empresarial pautado por las experiencias que la industria financiera y específicamente el sector bancario y bursátil han sufrido, permitiendo conformar un marco que ha permeado cada vez más a ser aplicado en todo tipo de empresas.

Los estándares COSO y COSO-ERM sin duda fijan pautas y han evolucionado con la complejidad de cambios globales y presencia de nuevos eventos de riesgos y que con la norma ISO31000 (entre otras normas más específicas por áreas de especialización), son los estándares internacionales de referencia para implementar la gestión integral de riesgos en las organizaciones.

Finalmente, la gestión integral de riesgo evoluciona de una visión exclusiva, especializada, funcional y a veces marginal dentro de las organizaciones, a una actividad que forma parte de la cultura organizacional, agrega valor a la empresa y contribuye a crear ventaja competitiva.