Gestión de riesgos:
más allá del cumplimiento
 |
examina el progreso que se ha realizado en las normas internacionales de gestión de riesgos |
La gestión de riesgos es, al mismo tiempo, una disciplina estructurada con procedimientos normalizados y una colección de habilidades y aptitudes. Esta naturaleza híbrida es su mayor fortaleza, pero implica que las auditorías de gestión de riesgos deben ir más allá que simplemente el cumplimiento
Hay varias normas reconocidas que cubren el proceso de evaluación de riesgos, siendo las más recientes la ISO 31000 y la BS 31010. En el Reino Unido, el Institute of Risk Management, la Association of Insurance y la Risk Managers and Alarm (la asociación pública de gestión de riesgos) han desarrollado sus propias guías, simples y pensadas para personas que no son expertas en gestión de riesgos. Disponibles online, han recibido una amplia aceptación y han sido traducidas a varios idiomas.
Sin embargo, las normas por sí solas no constituyen la gestión de riesgos. Tienen que ser implementadas y coordinadas a lo largo de toda la organización o, usando el término de gestión de riesgos, deben arraigarse en la organización. Actualmente, muchos negocios son organizaciones multi-operación, multinacionales y muy extendidas, que están evolucionando continuamente. Para que sean eficaces, el gerente de riesgos debe ser capaz de sobrepasar barreras para la comunicación a lo largo de toda la organización y responder a cambios en las circunstancias.
En principio, la gestión de riesgos es un proceso de identificación, medición, evaluación y tratamiento de los riesgos. Tradicionalmente, esto significaba involucrarse con amenazas operacionales identificables – principalmente incendio, fraude, lesiones a los empleados y accidentes con vehículos – los que les costarían dinero a las empresas. El tratamiento implicaba medidas físicas para reducir la exposición y un seguro para mitigar el impacto financiero.
Gradualmente, el enfoque se ha ido haciendo más sofisticado, por lo que actualmente se identifican riesgos en términos de incertezas medibles que pueden tener resultados positivos o negativos. La gestión de riesgos abarca un espectro más amplio de exposiciones, tales como riesgos en la cadena de suministro y sus consecuencias, incluyendo el deterioro en la imagen corporativa.
Como una disciplina, la gestión de riesgos ha desarrollado varios métodos para identificar riesgos, muchas veces tomando ideas de disciplinas muy estructuradas, como es la ingeniería. Estos métodos pueden requerir la categorización de riesgos según su frecuencia probable y potencia severidad del impacto o identificar barreras a secuencias de eventos.
La gestión de riesgos relacionados con servicios financieros, tales como el aval de inversiones y seguros, sigue estando como una disciplina separada y más cuantitativa, muchas veces sometida a regulaciones específicas.
Gestión de riesgos de las organizaciones
Los principios básicos de la gestión de riesgos operacionales y voluntarios son los mismos; es por eso que los dueños de los negocios esperan que todos ellos estén bien gestionados. Esto incluye la identificación de cualquier correlación entre dichos riesgos.
Como resultados, la teoría de la gestión de riesgos de las organizaciones fue desarrollada y codificada bajo reglas tales como COSO system en Estados Unidos y el Combined Code en el Reino Unido. Estos códigos requieren que las empresas implementen procedimientos para controlar los riesgos internos. El cumplimiento con una norma de gestión de riesgos reconocida, por ejemplo la BS31100 o ISO 31000, seguramente será parte de este proceso, así como la declaración pública requerida.
La confirmación de que una organización solamente cumple con una norma no será tomada como evidencia suficiente para asegurarse que la organización gestiona sus riesgos eficazmente. Debido a que hay un cierto grado de incertidumbre en cualquier proceso, los gerentes de línea están al frente a cargo de la identificación, evaluación y tratamiento del riesgo, donde el tratamiento puede concluir en la elevación del proceso a gerentes de mayor jerarquía para que puedan darle una consideración adicional.
El gerente corporativo de riesgos trabaja, usualmente, en una función pequeña y central, y no puede estar enterado de todo lo que pasa en subsidiarias y unidades operativas a una distancia de miles de kilómetros. El (o ella) debe trabajar con gerentes de línea y debe actuar como el nexo con la alta dirección. Éste es el momento donde habilidades “blandas” son tan necesarias. Liderazgo, tacto, capacidad de negociación y de comunicación hacen la diferencia entre un profesional de gestión de riesgos que realmente agrega valor a su actividad y uno que es bueno enfrentando riesgos conocidos pero no está conciente de la necesidad de desarrollar otros temas y encarar oportunidades.
Los procesos son importantes en la gestión de riesgos, pero lo que más importante es la forma en que se implementan. Los mejores gerentes de riesgos son buenos con la gente y tienen formación y experiencia en la gestión de riesgos. Las normas juegan un rol útil, pero los auditores deberían tomar nota del contexto en el cual aparecen, para determinar si la gestión de riesgos es realmente eficaz.
Sobre el autor
Steve Fowler es el presidente ejecutivo del The Institute of Risk Management,
un organismo de formación profesional que ofrece una actividad de postgrado que otorga el Diploma Internacional en Gestión de Riesgos.
E: steve.fowler@theirm.org
 |  Envíenos ahora su opinión en el Foro Online |
