COSO vs ISO 31000. ¿Cuál es más aplicado en la gestión de riesgo empresarial?

En noviembre del año 2015 Marsh Risk Consulting, empresa del grupo Marsh & McLennan Companies en conjunto con RIMS, The Risk and Insurance Management Society, realizó un estudio de benchmarking con el objetivo de conocer las diferentes prácticas de gestión de riesgos en el entorno empresarial latinoamericano, que permitió comparar con respeto a otros países el nivel de desarrollo en esta área (1).

Dentro del grupo de preguntas se indagó cuál de los estándares internacionales aplican las organizaciones para diseñar su sistema de gestión de riesgo, arrojando como resultados que casi la tercera parte de las empresas encuestadas aplica la norma ISO 31000 y muy cercano a ese número (29%) se adhieren a COSO (Commitee of Sponsoring Organizations).

En primer lugar hay que advertir que ambos estándares no son manuales de aplicación o recetas para implementar un sistema de gestión de riesgo empresarial.  Son un marco de trabajo y de proceso general para la gestión de los diversos tipos de riesgos. Estos estándares no obligan a utilizar una visión única y rígida, sino que dentro de unos principios e instrucciones cada organización las adapta a sus necesidades.

Los enfoques de estos estándares han sido revisados de forma continua y se puede hablar de convergencia en muchos aspectos, aunque el debate está servido al comparar el abordaje de ambos estándares en temas específicos.  Hay coincidencia en principios, tales como, el riesgo agrega valor a la organización, la importancia del modelaje y compromiso de la alta dirección como dinamizadores para crear una cultura de riesgo, pieza fundamental para alcanzar un carácter integral en la gestión, y en los procesos de apreciación y tratamiento del riesgo las metodologías se aproximan bastante.

El enfoque inicial de COSO hacia el control interno, y la percepción de que su alcance era poco aplicable a todo tipo de empresas, ha desarrollado un enfoque más integral con su última versión COSO ERM 2016. Entre tanto la ISO 31000:2009, actualmente en proceso de cambios hacia ISO31000:2018, se presenta como una norma relativamente de pocas páginas, fácil de comprender, clara y práctica que se expandió rápidamente en su aplicación en muchas empresas. La norma ISO 31000:2009 no requiere certificación.

Cualquiera que sea la elección o si ya la empresa aplica alguna de ellas, los dos enfoques en conjunto proporcionan a los profesionales de la gestión de riesgo y auditores un marco adecuado y efectivo para diseñar, fortalecer o integrar la gerencia de riesgo.

(1)https://www.marsh.com/mx/insights/research/i-benchmark-de-gestion-de-riesgos-en-latinoamerica.html

¿Por qué la gestión de riesgo adquiere cada vez más protagonismo en la toma de decisiones de las empresas?

No deja de llamar la atención como la gestión de riesgo va incorporándose o haciéndose cada vez más explícita y destacada en el quehacer diario de muchas de nuestras empresas en la región latinoamericana, aunque con sus desfases en el desarrollo de esta actividad en diferentes sectores económicos y países.

Destaca cómo normas internacionales, entre ellas la última actualización de la norma ISO9000:2015, adopta el pensamiento basado en riesgo dentro del marco del sistema de gestión de la calidad, confirmando la importancia que tiene identificar los riesgos asociados a los productos y servicios, desde su diseño hasta las actividades postventa, todo ello alineado a los objetivos estratégicos definidos por la empresa.

Todo lo anterior se deriva porque los objetivos, en sus niveles estratégicos, tácticos y operativos que fija una organización se enmarcan en ambientes de alta incertidumbre o entornos VUCA (volatilidad, incertidumbre, complejidad y ambigüedad) que la obligan a gestionar el riesgo para el logro de su sobrevivencia, protección, sostenibilidad, competitividad y resiliencia ante los constantes cambios.

La gestión de riesgo ha ido adquiriendo relevancia como herramienta para el desarrollo y supervivencia empresarial pautado por las experiencias que la industria financiera y específicamente el sector bancario y bursátil han sufrido, permitiendo conformar un marco que ha permeado cada vez más a ser aplicado en todo tipo de empresas.

Los estándares COSO y COSO-ERM sin duda fijan pautas y han evolucionado con la complejidad de cambios globales y presencia de nuevos eventos de riesgos y que con la norma ISO31000 (entre otras normas más específicas por áreas de especialización), son los estándares internacionales de referencia para implementar la gestión integral de riesgos en las organizaciones.

Finalmente, la gestión integral de riesgo evoluciona de una visión exclusiva, especializada, funcional y a veces marginal dentro de las organizaciones, a una actividad que forma parte de la cultura organizacional, agrega valor a la empresa y contribuye a crear ventaja competitiva. 

Riesgo y Probabilidad

Los modelos probabilísticos están ampliamente basados en aplicaciones estadísticas para la evaluación de eventos incontrolables (o factores), así como también la evaluación del riesgo de sus decisiones. La Probabilidad se deriva del verbo probar lo que significa "averiguar" lo que no es tan fácil de obtener o entender. La palabra "prueba" tiene el mismo origen el cual proporciona los detalles necesarios para entender lo que se requiere que sea cierto.

Los modelos probabilísticos son vistos de manera similar que a un juego; las acciones están basadas en los resultados esperados. El centro de interés se mueve desde un modelo determinístico a uno probabilístico usando técnicas estadísticas subjetivas para estimación, prueba y predicción.

En los modelos probabilísticos, el riesgo significa incertidumbre para la cual la distribución de probabilidad es conocida. Por lo tanto, la evaluación de riesgo significa un estudio para determinar los resultados de las decisiones junto a sus probabilidades.

Los tomadores de decisiones generalmente se enfrentan a severa escasez de información. La evaluación de riesgo cuantifica la brecha de información entre lo que es conocido y lo que necesita saber para tomar una decisión óptima. Los modelos probabilístico son utilizados para protegerse de la incertidumbre adversa, y de la explotación de la propia incertidumbre.

Decisiones de inversión bajo riesgo

En las decisiones de inversión el decisor o el gerente no esta preocupado solamente por los resultados, sino también con la cantidad de riesgo que cada decisión acarrea. ¿Qué probabilidad hay de que el Valor Presente Neto del proyecto sea negativo? A esto es lo que se trata de responder con el desarrollo de modelos probabilísticos.

 A finales de siglo y comienzo del siglo XXI, los economistas, analistas de negocios y planificadores financieros han reconocido el impacto crítico de la incertidumbre en la toma de decisiones, formulación de estrategias competitivas y planes financieros. De manera que estos profesionales tienen buenas razones para pensar que el estudio de teoría de probabilidades puede ser una herramienta en el entrenamiento de estudiantes en economía y negocios. Pero los enfoques tradicionales para la enseñanza de probabilidades y las formulación de problemas y las decisiones prácticas que ellos deben enfrentar en sus carreras, están desconectadas de la realidad.

Esta desconexión ocurre porque las formulaciones que se aplican tradicionalmente en probabilidad básica son difíciles de aplicar a problemas de mas de dos variables y el nivel de abstracción necesario no permite la transparencia en la comprensión de los problemas y su solución. La clave en estos documentos es transmitir el conocimiento envuelto en la construcción de modelos que permita evaluar la incertidumbre de una manera clara, transparente e intuitiva; y usando procedimientos prácticos y herramientas como Excel ®   SIMULAR®, Crystal Ball® y RiskSimulator®.

El concepto de probabilidad ocupa un lugar importante en el proceso de toma de decisiones bajo riesgo, ya sea que el problema es enfrentado en una compañía, en el gobierno, en las ciencias sociales, o simplemente en nuestra vida diaria.

En muy pocas situaciones de toma de decisiones existe información perfectamente disponible – todos los hechos necesarios.- La mayoría de las decisiones son hechas de cara a la incertidumbre. La probabilidad entra en el proceso representando el rol de sustituto de la certeza – un sustituto para el conocimiento completo.

Inversiones, riesgo e incertidumbre-Parte 1

La cuantificación del riesgo en proyectos de inversión ha sido una de las preocupaciones centrales de los profesionales en finanzas, por la necesidad cada vez más creciente de responder a regulaciones nacionales e internacionales y mejorar continuamente los procesos de toma de decisiones.

Estos dos conceptos a veces aparecerán distinguidos o solapados en la literatura financiera, ya que existen varias visiones  sobre los dos términos.

Sánchez Inocencio T. (1994), nos muestra un concepto intuitivo y práctico del riesgo, definiéndolo como la probabilidad de que ocurran acontecimientos favorables o desfavorables asociados con los rendimientos, los flujos de efectivos, el valor de un activo o un proyecto de inversión.

Canada John R. (1997), junto con otros co-autores establecen como distinción clásica entre riesgo e incertidumbre, el que un elemento o análisis implica riesgo si se conocen los resultados alternativos posibles, mientras que en la incertidumbre se desconoce la distribución de frecuencia de los resultados posibles.

El mismo autor señala, que otra distinción menos restrictiva entre riesgo e incertidumbre es que el riesgo es la dispersión de la distribución de la probabilidad del elemento que se está estimando o de (de los) resultado(s) calculado(s) que se están considerando, en tanto que la incertidumbre es el grado de falta de confianza de que la distribución de la probabilidad estimada sea correcta.

Vélez Pareja, Ignacio, (2003)- define la incertidumbre como aquella situación donde se pueden determinar los eventos posibles y no es previsible asignarle probabilidades. En cuanto al riesgo, lo define como, además de prever los posibles resultados futuros asociados a una alternativa, es posible asignar probabilidades a cada uno de ellos, se dice que se encuentra ante una situación bajo riesgo.

Bajo este concepto, el riesgo está asociado al conocimiento de la distribución de probabilidad de las variables que componen el modelo, tanto en las variables de entrada al sistema (Precio, cantidad, por ejemplo) como en las  variables de salida o resultado, (en este caso Ingreso por Venta).

Los pronosticadores meteorológico, por ejemplo, basan sus modelos en probabilidades, la combinación de eventos del ambiente, como alta concentración de nubes, combinados con presión y temperatura, conforman todo un conjunto de información que permite asignar al evento una alta probabilidad de lluvia, (riesgo de lluvia).