PROCESO PARA LA GESTIÓN DE RIESGO EMPRESARIAL-ISO 3100:2018

Finalizando esta serie del lanzamiento de la nueva ISO31000:2018, abordamos lo concerniente al  proceso para llevar a cabo la gestión de riesgo. Esta no ha cambiado drásticamente en relación a la versión 2009, manteniéndose igual todos las etapas del proceso. Lo que si se ha reducido mucho es el lenguaje complicado y el texto es más corto y conciso, facilitando la comprensión para el usuario.

La representación gráfica en esta nueva versión, es un círculo que describe las siguientes etapas

Establecimiento del contexto: Definición de los parámetros externos e internos a tener en cuenta cuando se gestiona el riesgo, y se establecen el alcance y los criterios de riesgo para la política de gestión del riesgo. Comprende establecer los contextos estratégicos, organizacional y de gestión en los cuales tendrá lugar el Proceso de Gestión de Riesgos. Deben establecerse los objetivos de la evaluación del riesgo, los criterios contra los cuales se evaluarán los riesgos, el programa de evaluación del riesgo y definirse la estructura de análisis, los roles y responsabilidades.

Análisis del riesgo: es el proceso global de identificación del riesgo, análisis y valoración del riesgo.

Tratamiento del riesgo: consiste en seleccionar y aplicar las medidas más adecuadas, con el fin de poder modificar el riesgo, para evitar de este modo los daños intrínsecos al factor de riesgo, o bien aprovechar las ventajas que pueda reportarnos.

Comunicación y consulta: Comprende definir y utilizar mecanismos para comunicar y consultar con los interesados internos y externos, según resulte apropiado en cada etapa del proceso de gestión de riesgos.

Seguimiento y revisión: revisión del sistema de gestión de riesgo con el objeto de asegurar su conformidad y efectividad.

EL MARCO DE REFERENCIA DE ISO3100:2018 ¿QUÉ CAMBIÓ?

¿Qué es el marco de referencia?

Establecidos los principios en que se enfoca la norma, se define un marco de referencia para llevar a cabo el proceso de gestión integral de riesgos, abarcando a toda la organización para hacer efectiva tal integración.

Este marco permite a) entender a la organización y el contexto donde se desenvuelve, b) a través del liderazgo se modela el compromiso de todos los involucrados en la gestión de riesgo, conformando la cultura de riesgo en la organización c) definir la estructura organizativa para la gestión del riesgo, asignando las responsabilidades y rendición de cuentas d) reforzar la organización basada en procesos para garantizar la integración entre los mismos, e) asignar los recursos necesarios para llevar a cabo las responsabilidades y cumplimiento de los objetivos en lo que a la gestión de riesgos se refiere, f) establecer los mecanismos de comunicación y reportes.

En ISO3100:2018 se presenta así:

ISO 31000:2018 YA ESTÁ AQUÍ

Como se esperaba ya la organización ISO lanzó oficialmente este mes la nueva versión ISO 31000:2018, cuyo objetivo fue actualizar la norma antes los nuevos retos y tipos de riesgos en que las organizaciones se desempeñan.

El cambio se focaliza en el liderazgo de la alta dirección como principal responsable de garantizar que la gestión de riesgos se integre en todas las actividades de la organización, comenzando con la gobernanza de ésta.

Da un mayor énfasis en la naturaleza iterativa de la gestión de riesgos, aprovechando las nuevas experiencias, el conocimiento y el análisis para la revisión de los elementos, acciones y controles en cada etapa del proceso.

La composición gráfica de los principios, marco de trabajo y procesos cambia a formas circulares con respecto a norma anterior.

Comentaremos en esta primera entrega algunos de los cambios significativos:

Los principios cambian de 11 a 9:

A continuación se presentan los principios, con comentarios en algunos de ellos:

1.   CREACIÓN DE VALOR Y PROTECCIÓN: La versión 2018 se enfoca más en crear y proteger el valor como el impulsor clave de la gestión del riesgo.

2.  INTEGRADO: la gestión de riesgo integrada, para garantizar la coherencia y la efectividad del control de gestión en todas las áreas de la organización. Esto incluiría estrategia y planificación, resiliencia organizacional, TI, gobierno corporativo, RR.H.H, cumplimiento, calidad, salud y seguridad, continuidad del negocio, gestión de crisis y seguridad.

3.   ESTRUCTURADO

4.   ADAPTADO: a las necesidades y objetivos de la organización

5.  INCLUSIVO: en todos los aspectos de los riesgos en todas las áreas y procesos de la organización.

6. DINÁMICO Y QUE PROPORCIONA RESPUESTAS: la gestión de riesgo implica diseñar un modelo de sistema abierto que regularmente intercambia retroalimentación con su entorno externo para adaptarse a múltiples necesidades y contextos.

7.MEJOR INFORMACIÓN DISPONIBLE: recopilando la información interna y externa que habilite a la organización a tomar decisiones mejor informadas y oportunas.

8.FACTORES HUMANOS Y CULTURALES: bajo un marco en que todos los integrantes de la organización e interesados actúen conociendo los riesgos, comprometidos con la gestión y rendición de cuentas, en un ambiente que propicie la autogestión.

9.   MEJORA CONTINUA.

COSO vs ISO 31000. ¿Cuál es más aplicado en la gestión de riesgo empresarial?

En noviembre del año 2015 Marsh Risk Consulting, empresa del grupo Marsh & McLennan Companies en conjunto con RIMS, The Risk and Insurance Management Society, realizó un estudio de benchmarking con el objetivo de conocer las diferentes prácticas de gestión de riesgos en el entorno empresarial latinoamericano, que permitió comparar con respeto a otros países el nivel de desarrollo en esta área (1).

Dentro del grupo de preguntas se indagó cuál de los estándares internacionales aplican las organizaciones para diseñar su sistema de gestión de riesgo, arrojando como resultados que casi la tercera parte de las empresas encuestadas aplica la norma ISO 31000 y muy cercano a ese número (29%) se adhieren a COSO (Commitee of Sponsoring Organizations).

En primer lugar hay que advertir que ambos estándares no son manuales de aplicación o recetas para implementar un sistema de gestión de riesgo empresarial.  Son un marco de trabajo y de proceso general para la gestión de los diversos tipos de riesgos. Estos estándares no obligan a utilizar una visión única y rígida, sino que dentro de unos principios e instrucciones cada organización las adapta a sus necesidades.

Los enfoques de estos estándares han sido revisados de forma continua y se puede hablar de convergencia en muchos aspectos, aunque el debate está servido al comparar el abordaje de ambos estándares en temas específicos.  Hay coincidencia en principios, tales como, el riesgo agrega valor a la organización, la importancia del modelaje y compromiso de la alta dirección como dinamizadores para crear una cultura de riesgo, pieza fundamental para alcanzar un carácter integral en la gestión, y en los procesos de apreciación y tratamiento del riesgo las metodologías se aproximan bastante.

El enfoque inicial de COSO hacia el control interno, y la percepción de que su alcance era poco aplicable a todo tipo de empresas, ha desarrollado un enfoque más integral con su última versión COSO ERM 2016. Entre tanto la ISO 31000:2009, actualmente en proceso de cambios hacia ISO31000:2018, se presenta como una norma relativamente de pocas páginas, fácil de comprender, clara y práctica que se expandió rápidamente en su aplicación en muchas empresas. La norma ISO 31000:2009 no requiere certificación.

Cualquiera que sea la elección o si ya la empresa aplica alguna de ellas, los dos enfoques en conjunto proporcionan a los profesionales de la gestión de riesgo y auditores un marco adecuado y efectivo para diseñar, fortalecer o integrar la gerencia de riesgo.

(1)https://www.marsh.com/mx/insights/research/i-benchmark-de-gestion-de-riesgos-en-latinoamerica.html

¿Por qué la gestión de riesgo adquiere cada vez más protagonismo en la toma de decisiones de las empresas?

No deja de llamar la atención como la gestión de riesgo va incorporándose o haciéndose cada vez más explícita y destacada en el quehacer diario de muchas de nuestras empresas en la región latinoamericana, aunque con sus desfases en el desarrollo de esta actividad en diferentes sectores económicos y países.

Destaca cómo normas internacionales, entre ellas la última actualización de la norma ISO9000:2015, adopta el pensamiento basado en riesgo dentro del marco del sistema de gestión de la calidad, confirmando la importancia que tiene identificar los riesgos asociados a los productos y servicios, desde su diseño hasta las actividades postventa, todo ello alineado a los objetivos estratégicos definidos por la empresa.

Todo lo anterior se deriva porque los objetivos, en sus niveles estratégicos, tácticos y operativos que fija una organización se enmarcan en ambientes de alta incertidumbre o entornos VUCA (volatilidad, incertidumbre, complejidad y ambigüedad) que la obligan a gestionar el riesgo para el logro de su sobrevivencia, protección, sostenibilidad, competitividad y resiliencia ante los constantes cambios.

La gestión de riesgo ha ido adquiriendo relevancia como herramienta para el desarrollo y supervivencia empresarial pautado por las experiencias que la industria financiera y específicamente el sector bancario y bursátil han sufrido, permitiendo conformar un marco que ha permeado cada vez más a ser aplicado en todo tipo de empresas.

Los estándares COSO y COSO-ERM sin duda fijan pautas y han evolucionado con la complejidad de cambios globales y presencia de nuevos eventos de riesgos y que con la norma ISO31000 (entre otras normas más específicas por áreas de especialización), son los estándares internacionales de referencia para implementar la gestión integral de riesgos en las organizaciones.

Finalmente, la gestión integral de riesgo evoluciona de una visión exclusiva, especializada, funcional y a veces marginal dentro de las organizaciones, a una actividad que forma parte de la cultura organizacional, agrega valor a la empresa y contribuye a crear ventaja competitiva. 

Riesgo y Probabilidad

Los modelos probabilísticos están ampliamente basados en aplicaciones estadísticas para la evaluación de eventos incontrolables (o factores), así como también la evaluación del riesgo de sus decisiones. La Probabilidad se deriva del verbo probar lo que significa "averiguar" lo que no es tan fácil de obtener o entender. La palabra "prueba" tiene el mismo origen el cual proporciona los detalles necesarios para entender lo que se requiere que sea cierto.

Los modelos probabilísticos son vistos de manera similar que a un juego; las acciones están basadas en los resultados esperados. El centro de interés se mueve desde un modelo determinístico a uno probabilístico usando técnicas estadísticas subjetivas para estimación, prueba y predicción.

En los modelos probabilísticos, el riesgo significa incertidumbre para la cual la distribución de probabilidad es conocida. Por lo tanto, la evaluación de riesgo significa un estudio para determinar los resultados de las decisiones junto a sus probabilidades.

Los tomadores de decisiones generalmente se enfrentan a severa escasez de información. La evaluación de riesgo cuantifica la brecha de información entre lo que es conocido y lo que necesita saber para tomar una decisión óptima. Los modelos probabilístico son utilizados para protegerse de la incertidumbre adversa, y de la explotación de la propia incertidumbre.

Decisiones de inversión bajo riesgo

En las decisiones de inversión el decisor o el gerente no esta preocupado solamente por los resultados, sino también con la cantidad de riesgo que cada decisión acarrea. ¿Qué probabilidad hay de que el Valor Presente Neto del proyecto sea negativo? A esto es lo que se trata de responder con el desarrollo de modelos probabilísticos.

 A finales de siglo y comienzo del siglo XXI, los economistas, analistas de negocios y planificadores financieros han reconocido el impacto crítico de la incertidumbre en la toma de decisiones, formulación de estrategias competitivas y planes financieros. De manera que estos profesionales tienen buenas razones para pensar que el estudio de teoría de probabilidades puede ser una herramienta en el entrenamiento de estudiantes en economía y negocios. Pero los enfoques tradicionales para la enseñanza de probabilidades y las formulación de problemas y las decisiones prácticas que ellos deben enfrentar en sus carreras, están desconectadas de la realidad.

Esta desconexión ocurre porque las formulaciones que se aplican tradicionalmente en probabilidad básica son difíciles de aplicar a problemas de mas de dos variables y el nivel de abstracción necesario no permite la transparencia en la comprensión de los problemas y su solución. La clave en estos documentos es transmitir el conocimiento envuelto en la construcción de modelos que permita evaluar la incertidumbre de una manera clara, transparente e intuitiva; y usando procedimientos prácticos y herramientas como Excel ®   SIMULAR®, Crystal Ball® y RiskSimulator®.

El concepto de probabilidad ocupa un lugar importante en el proceso de toma de decisiones bajo riesgo, ya sea que el problema es enfrentado en una compañía, en el gobierno, en las ciencias sociales, o simplemente en nuestra vida diaria.

En muy pocas situaciones de toma de decisiones existe información perfectamente disponible – todos los hechos necesarios.- La mayoría de las decisiones son hechas de cara a la incertidumbre. La probabilidad entra en el proceso representando el rol de sustituto de la certeza – un sustituto para el conocimiento completo.