EL ANÁLISIS DE RIESGO

En el contexto de la norma ISO 31000, el análisis de riesgo aparece como un componente del proceso “Valoración del riesgo”. “Su propósito es comprender la naturaleza del riesgo y sus características, incluyendo cuando sea apropiado, el nivel de riesgo” (UNE-NORMALIZACIÓN ESPAÑOLA, 2018)

En términos prácticos consiste en definir los términos para que de manera cuantitativa y/o cualitativa podamos dimensionar el riesgo, estableciendo su probabilidad de ocurrencia  y el impacto de sus consecuencias, con ello se determina la  situación actual de exposición al riesgo y la capacidad de la organización para tomar las decisiones sobre su tratamiento.

Para este análisis se debe establecer los criterios para  calificar la magnitud del impacto y asignar probabilidades a cada evento y que deben ser previamente definidos por la dirección o unidad de análisis, en la etapa de alcance, contexto y criterios establecidos en la Norma ISO 31.000. Generalmente para el impacto se utilizan criterios cualitativos de valoración por ejemplo como:

·         Leve: Consecuencias menores al producirse el evento

·         Moderado: consecuencias significativas al producirse el evento

·         Grave: Consecuencias mayores al producirse el evento

Estos criterios se les puede asignar un valor numérico,  para transformarlo de cualitativo a cuantitativo.

Para dimensionar la posibilidad de que un suceso ocurra, se pueden utilizar diversos criterios, cualitativos o cuantitativos (siempre que exista data y sea estadísticamente significativa). Por ejemplo, como en el cuadro que se describe a continuación:

Valor	Probabilidad	Criterio
1	Baja	Ocurre algunas veces o excepcionalmente
2	Media	Puede ocurrir
3	Alta	Puede ocurrir frecuentemente

Seguidamente asignada un nivel de impacto y probabilidad a cada riesgo identificado, se procede a su valoración,  lo que definirá el nivel de exposición al riesgo de la organización a cada evento. El mismo solo será el resultado del producto:

EVALUACIÓN = Impacto x Probabilidad

Con esta evaluación se podrá realizar la priorización de los riesgos, lo que constituye la fuente para la construcción de la matriz de riesgo base (portafolio de riesgos). En este análisis preliminar se obtiene información sobre los riesgos puros o intrínsecos al que se esta expuesto. La evaluación de cada riesgo se abordará en la fase de evaluación del riesgo, que analizará según el nivel de control o no que exista, cambiar la priorización y toma de decisiones sobre el tratamiento del riesgo.

TRATAMIENTO DE LOS RIESGOS ASOCIADOS A LA TRANSFORMACIÓN DIGITAL GLOBAL: ¿PREVENIR O TRANSFERIR?

MARSH emitió en febrero de 2019 los resultados de la encuesta Communications, Media and Technology (CMT)  Risk Study a propósito de los nuevos riesgos y retos que se presentan producto del acelerado desarrollo de la transformación digital de la economía global, que hace prácticamente difícil distinguir fronteras entre lo físico y lo digital.

Para entender como estos cambios afectan las decisiones en la gerencia de riesgo de las empresas encuestaron a 175 profesionales de riesgos y otros ejecutivos de CMT globales.

Uno de los hallazgos que llaman la atención es la visión que se tiene en el tratamiento de una serie de riesgos asociados a la CMT tales como: privacidad de la data, continuidad de negocio, fallas en el IoT (Internet de las cosas) entre unas 20 áreas de riesgo presentadas.

Los encuestados se inclinan hacia la prevención frente a la transferencia de riesgos.

Surge un patrón interesante con respecto a cómo una empresa debe distribuir su inversión en gestión de riesgos, dividiéndose en dos grupos, el primero en identificar y prevenir riesgos, y el segundo en responder y transferirlos. En general, hubo una mayor inclinación hacia la "identificación y protección" de lo que se podría haber esperado entre las 20 áreas de riesgo consultadas.

La mitad de los encuestados dice que el 75% de la inversión y tiempo de la empresa se deben dedicar en identificar y prevenir riesgos. Otro 17% dice que el 75% o más del tiempo e inversión en la empresa se deben orientar en la transferencia del riesgo. Y el 33% dijo que debería haber una división equitativa entre identificar y prevenir y responder y transferir

Algunas empresas invierten más en identificar y prevenir riesgos que transferirlos a través de un producto de seguro, lo que demuestra quizás, una falta de retorno de la inversión suficiente de las soluciones de seguro disponibles, especialmente productos relacionados con riesgos de tecnología.

La insatisfacción con las propuestas de seguro disponibles en la actualidad está relacionada en su mayoría con los términos y condiciones de la póliza, al no estar alineados con los desencadenantes de pérdida o los escenarios de eventos emergentes o en rápida evolución. Las compañías de CMT también enfrentan exclusiones críticas en las pólizas que no están evolucionando para cumplir con los nuevos riesgos.

Este hallazgo en mi opinión abre una serie de retos tales como:

1.- EL ERM integral adquiere dimensiones cada vez más relevante en el quehacer de la gestión empresarial por lo que la formación de especialistas y creación de cultura de riesgo será cada vez un factor clave de éxito.

2.- Capacidad de respuesta y agilidad de la gerencia de riesgo ante la fluidez de los cambios producto de la transformación digital. El uso de técnicas de Lean Project Management debe evaluarse a la luz de la velocidad de los cambios para gerenciar los riesgos asociados.

3.- Las empresas de seguro tienen retos importantes en la oferta de productos de cobertura acorde a los nuevos perfiles de riesgo que se presentan en este ambiente de gran fluidez e incertidumbre.

REF:https://www.marsh.com/us/insights/research/2019-communications-media-and-technology-risk-study.html?utm_source=linkedin&utm_medium=socialmedia&utm_campaign=marsh-cmt-risk-study-2019&sf105771127=1

REPORTE ANUAL BASILEA 2019: BIG TECHS Y SERVICIOS FINANCIEROS

BIS emite este año, 2019 en su reporte económico, una sección titulada Big Tech in Finace: opportunities and risks dedicada a la entrada de las grandes compañías de tecnología (“big techs”) a los servicios financieros (definida como una modalidad especial de las Fintech)

En el se analiza como la incorporación a la oferta de servicios financieros de Alibaba, Amazon, Facebook, Google y Tencent entre otros, proveyendo servicios de sistemas de pagos, money market, productos de seguros, préstamos y administración de remesas promete ganancias de eficiencia y mejora en la inclusión financiera.

Se destaca que para que estas grandes firmas ofrezcan servicios financieros se fundamentan en su base tecnológica que permite el manejo de gran cantidad de data y redes de información (traducción libre):

“El modelo de negocio de estas "Big Tech” se basa en permitir interacciones directas entre un gran número de usuarios. Un subproducto esencial de su negocio es la gran cantidad de datos de usuario que se utilizan como entrada para ofrecer una gama de servicios que aprovechan los efectos naturales de la red, generando una mayor actividad del usuario”

El apalancamiento tecnológico de las “Big Techs” puede reducir las barreras para la provisión de servicios financieros al reducir la información y los costos de transacción, y así mejorar la inclusión financiera. Sin embargo, estas ganancias varían según el servicio financiero y podrían conllevar nuevos riesgos y fallas del mercado.

En este sentido, el capítulo destaca que al igual que para las instituciones financieras tradicionales, que están sometidas a la regulación financiera con el objetivo de garantizar la solvencia de estas, la solidez del sistema financiero en su conjunto y protección a los usuarios de estos servicios, la actividad de las “Big Techs” cae directamente dentro del alcance de la regulación financiera tradicional y deben aplicarse los mismos principios. En este particular indican (traducción libre):

“El objetivo es cerrar las brechas regulatorias entre las “Big Techs” y las instituciones financieras reguladas para limitar el alcance del arbitraje regulatorio a través de actividades bancarias a la sombra. En consecuencia, los reguladores han extendido las regulaciones bancarias existentes a las “Big Techs”. Los ejemplos incluyen la extensión de las reglas de conocer a su cliente (KYC), diseñadas para prevenir el lavado de dinero y otros delitos financieros, a las operaciones de las “Big Techs” en pagos. 

El principio básico es "la misma actividad, la misma regulación". Si las “Big Techs” participan en actividades que son efectivamente idénticas a las que realizan los bancos, entonces dichas actividades deben estar sujetas a las reglas bancarias.

Además de las reglas existentes que se extienden a las “Big Techs”, es posible que se justifiquen nuevas reglas en aquellos casos en que estas hayan forzado cambios estructurales que los llevan fuera del alcance de la regulación financiera existente”

Entre los retos a la regulación en las Big Techs, destacan los nuevos y complejos equilibrios entre la estabilidad financiera, la competencia y la protección de datos.

REF: BIS Annual Economic Report 2019. https://www.bis.org/publ/arpdf/ar2019e3.htm

LAS EMPRESAS FRANQUICIANTES Y LA GESTIÓN DEL RIESGO

Las franquicias como una de las opciones estratégicas de crecimiento de las empresas con modelos de negocios probados, se inicia con una red formada por él mismo y sus franquiciados individuales, en la que el franquiciante es la casa matriz que se convierte en un tutor permanente de la red. La empresa que otorga las franquicias, en general, debe aportar al franquiciado una serie de elementos, entre otros: el derecho a uso de la marca, el manual conteniendo el know how del negocio, entrenamiento, políticas de homogeneidad de la marca, soporte en las campañas de marketing, etc.

La empresa franquiciante no se diferencia de cualquier otra empresa, al estar influenciada por la incertidumbre del entorno, pero al asumirse como tal y crear las condiciones para ser exitosa, es clave que haya desarrollado y suministre a sus franquiciados de los sistemas de gestión y control que garantice el oportuno y adecuado sistema de información sobre la sana operación de la red y le permita controlar, planificar, organizar y dirigir la evolución de la misma, con el fin de lograr una eficaz productividad.

Algunos de los sistemas de gestión y control básicos, se mencionan: el plan estratégico, sistema de gestión de costos y presupuestos, sistemas de control de la calidad, gestión de ubicaciones de puntos comerciales, gestión de captación de franquiciados, etc.

Ahora bien  una empresa franquiciante necesita tener unas características diferenciales a las de otro tipo de negocio que se expande bajo las fórmulas tradicionales,  y por ello se manifiestan algunos factores específicos de riesgo, que sin ser todos, podemos mencionar: a) capacidad de influir en el comportamiento empresarial de los franquiciados, b) cesión del know how a los franquiciados, que en el caso de no existir confidencialidad y regímenes legales de protección de propiedad intelectual idóneos puede originar problemas, c) las desventajas derivadas del control local, que han de ejercerse sobre cada franquiciado, d) gran riesgo de competencia desleal, e) posible pérdida de contacto directo con el mercado y de información sobre el mismo, f) eventual resistencia del franquiciado a seguir las políticas y normas del franquiciante, g) problemas a la hora de implantar cambios estratégicos en el negocio, h) riesgo reputacional ante cualquier desvío de las políticas establecidas por parte de los franquiciados.

Tomar en consideración estos y otros factores, fundamentan la necesidad de incorporar sistemas de gestión de riesgo en los procesos asumidos como empresa franquiciante a fin de proactivamente actuar sobre aquellos elementos que puedan poner en dificultad los objetivos definidos por esta.

Referencias:

Pilar Soldevila García Profesora de la Universitat Pompeu Fabra (Barcelona)/Magdalena Cordobés Madueño Profesora de la universidad ETEA (Córdoba). EL CONTROL DE GESTIÓN EN LAS EMPRESAS FRANQUICIADORAS.

WEB: Crear mi empresa :https://crearmiempresa.es/por-que-fracasan-el-50-de-las-franquicias.html

La Norma ISO 37001:2016, herramienta para la gestión anti soborno

La corrupción está extendida a nivel global y se diría que forma parte de la cultura o ADN de muchos sistemas económicos, especialmente en los países de menor competitividad y desarrollo. La raíz de la corrupción son las personas, sean pertenecientes a una organización privada o pública con fines o sin fines de lucro y lamentablemente no hay garantías de erradicarla de un todo, sin embargo lo importante es que haya mecanismos que permitan alcanzar un máximo de transparencia, integridad y honorabilidad que vaya rompiendo la cadena de corrupción.

El soborno como una de las expresiones que existen del fenómeno de la corrupción plantea serias preocupaciones sociales, morales, económicas y políticas, socava el buen gobierno, obstaculiza el desarrollo y distorsiona la competencia. Por lo tanto, las organizaciones tienen la responsabilidad de contribuir proactivamente en la lucha contra el soborno.

Aunque se han promovido acuerdos internacionales y desarrollada legislación en los países, la ley por sí sola no es suficiente para resolver este problema. Esto puede lograrse a través de la adaptación en la organización de un sistema de gestión antisoborno. La Norma ISO 37001:2016 Sistema De Gestión anti soborno- Requerimientos con guías para su uso, fue desarrollada para proporcionar a través del compromiso del liderazgo, el establecimiento de una cultura de integridad, transparencia, honestidad y cumplimiento.

Esta Norma es certificacable, por lo cual detalla una serie de requisitos y lineamientos para el buen desempeño de la organización en su gestión antisoborno. Es aplicable a organizaciones pequeñas, medianas y grandes en todos los sectores, incluidos el sector público, privado y sin fines de lucro.

En la región latinoamericana Perú ha sido el primer país en adoptar la certificación de empresas con  esta norma.

La naturaleza de la cultura de una organización es crítica para el éxito o el fracaso de un sistema de gestión antisoborno y en términos generales en toda gestión de riesgo. La norma por sí sola no garantiza que el soborno no haya ocurrido o no ocurrirá  en la organización, ya que no es posible eliminar totalmente el riesgo de soborno, sin embargo, este documento puede ayudar a la organización a implementar medidas razonables y proporcionales para prevenir, detectar y enfrentar este flagelo.

REFERENCIA: Norma técnica peruana NTP-ISO37001:2017

EL SISTEMA DE GESTIÓN DE LA CALIDAD Y EL PENSAMIENTO BASADO EN RIESGO

Tomando en cuenta que el riesgo es todo aquello que puede afectar el logro de los objetivos, en este particular la norma ISO 9001:2015 enfoca en forma explícita la aplicación de la gerencia del riesgo dentro del sistema de gestión de la calidad, incorporando al contenido acciones y visiones que involucra desarrollar el pensamiento basado en riesgo dentro del sistema.

¿Qué es el pensamiento basado en riesgo en el sistema de gestión de la calidad?

Es justamente toda aquello que pueda ir contra el logro de los objetivos del sistema de gestión de la calidad, que en términos resumidos son:

· Proporcionar regularmente productos y servicios que satisfagan los requisitos del cliente, los legales y reglamentarios aplicables.

·   Aumentar la satisfacción del cliente a través de la aplicación eficaz del sistema

Por lo tanto, todo aquello que provoque incertidumbre en el logro de estos objetivos se denomina riesgo. Uno de los propósitos de los sistemas de gestión de calidad es que está enmarcado como una actividad preventiva y esta se materializa y se caracteriza de forma más transparente y clara mediante el uso del pensamiento basado en riesgo al formular requisitos del sistema de gestión de la calidad.

Los requisitos de la ISO 9001:2015 y el riesgo

El pensamiento basado en riesgo se integra en la norma desde los requisitos del capítulo 4, donde la organización debe comprender el contexto externo e interno para determinar los factores que influyen en el propósito, objetivos y sostenibilidad de la organización (los valores, la cultura, los aspectos regulatorios, etc.).

En el capítulo 6, requisito  6.1 la organización debe tomar acciones para abordar riesgos y oportunidades,  es quizás la parte más destacada de la incorporación del pensamiento de riesgo en el sistema de gestión de la calidad,  donde se  deben determinar los riesgos y oportunidades con el fin de asegurar que el sistema de gestión de la calidad pueda lograr los objetivos previsto, de esta manera deberá planificar las acciones para abordar estos riesgos y oportunidades (tratamiento del riesgo y controles)

El capítulo 8- Operaciones el requisito 8.3 relacionado a diseño y desarrollo, establece que en el proceso deben considerarse las consecuencias potenciales de fracaso y el impacto potencial de los procesos proporcionados externamente, productos y servicios (impacto-severidad si ocurre el evento de riesgo).

En la sección 9 se establece el criterio del monitoreo de la gestión verificando la eficacia de las medidas adoptadas para hacer frente a los riesgos y oportunidades.

Finalmente, en la sección 10 la organización debe implementar las acciones de mejora y/o actualización en la identificación de los riesgos y oportunidades.

Como se podrá notar todo lo anterior es una integración en el sistema de gestión de la calidad al modelo de procesos de la gestión de riesgo desarrollado en la norma ISO3100:2018, donde se involucran las etapas de análisis del contexto, identificación, análisis de riesgo, evaluación de riesgo, tratamiento del riesgo (acciones y controles), monitoreo y revisión.

La norma no sugiere usar algún modelo en específico o proceso documentado de la gestión de riesgo en el desarrollo del proceso de gestión de la calidad, sin embargo, las organizaciones pueden decidir si implementar un modelo de gestión de riesgo más amplio, por ejemplo mediante la aplicación de la familia de Normas ISO31000.

Ref: Norma ISO 9001:2015 e ISO 31000:2018

LA TOLERANCIA AL RIESGO

En un post de este blog se definió el apetito de riesgo como “la cantidad de riesgo que una organización está dispuesta a aceptar para alcanzar sus objetivos estratégicos y organizacionales”. Es decir, son los límites establecidos por la organización sobre cuanto riesgo está dispuesto a aceptar y que define un curso de acción sobre los objetivos que quisiera alcanzar.  Vinculado a ello y reconociendo el carácter dinámico del ambiente o entorno de riesgo en que se desenvuelve, los aspectos regulatorios etc.  se define otro tipo de límite denominado TOLERANCIA AL RIESGO, que establece los niveles de variación aceptables en el desempeño de los objetivos.

Un ejemplo de estos dos conceptos:

APETITO DE RIESGO: La empresa no aceptará riesgos que impliquen una disminución significativa en su base de ingresos por ventas.

TOLERANCIA AL RIESGO: La empresa no aceptará el riesgo de disminución de sus ingresos provenientes de sus clientes de cuentas mayores más allá de un 5%.

Operar dentro de las tolerancias de riesgo proporciona a la administración una mayor seguridad de que la compañía permanece dentro de su apetito de riesgo, lo que, a su vez proporciona un mayor grado de comodidad para que la compañía logre sus objetivos estratégicos.

Referencia:  E-book, LogicManager. 5 Characteristics of the Best ERM Programs