Читать книгу Administración de riesgos: Un enfoque empresarial - Rubi Consuel Mejía Quijano - Страница 11
ОглавлениеFIGURA 2. La administración de riesgos
La administración de riesgos es el conjunto de acciones llevadas a cabo en forma estructurada e integral, que permite a las organizaciones identificar y evaluar los riesgos que pueden afectar el cumplimiento de sus objetivos, con el fin de emprender en forma efectiva las medidas necesarias para responder ante ellos.
Esta definición contempla varios aspectos:
1. Es un conjunto de acciones estructuradas y ejecutadas en forma integral, lo cual significa que la administración de riesgos no se limita a un evento o circunstancia, sino que corresponde a un proceso dinámico que se desenvuelve a través del tiempo y consta de una secuencia de pasos definidos en forma precisa, que se aplican en toda la organización e involucran al personal de todos los niveles.
Hacer partícipe de la administración de riesgos a todo el personal de la empresa y aplicarla en todos los procesos, proyectos y actividades de la organización, son los dos elementos que permiten efectuarla en forma integral.
Establecer los pasos a seguir en el proceso de administración de riesgos en forma coordinada, aprobarlos, divulgarlos y entrenar al personal en su aplicación, permite la realización de un proceso estructurado que garantiza su éxito.
2. La administración de riesgos es necesaria debido a la incertidumbre y a la posibilidad que tienen las empresas de verse enfrentadas a circunstancias, tanto internas como externas, que puedan afectar el logro de sus objetivos organizacionales. En este sentido, es importante destacar que establecer cuáles son esos eventos posibles, permite determinar a que está expuesta la empresa, calificar el grado de exposición y tomar las decisiones pertinentes sobre el nivel de riesgos que puede o desea aceptar, en busca de sus propósitos.
Establecer los objetivos como punto de partida para identificar y evaluar los riesgos, permite a las empresas mantener enfocadas sus acciones hacia sus definiciones estratégicas y trabajar lo verdaderamente importante, sin desviar los esfuerzos en el manejo de los riesgos o circunstancias aisladas o de poca importancia.
3. La administración de riesgos permite responder en forma efectiva ante los riesgos identificados. Cuando se habla de responder ante un riesgo, se refiere a definir las medidas de tratamiento más apropiadas de acuerdo con la evaluación del riesgo. Estas medidas van desde considerar que el riesgo no tiene importancia y la entidad puede asumirlo, hasta establecer que el riesgo es alto y su impacto puede afectar en forma significativa la estabilidad financiera de la empresa, y decidir tomar medidas para disminuir su probabilidad de ocurrencia y su impacto.
Cuando se habla de efectividad para responder ante un riesgo, se refiere a determinar la forma más adecuada para controlarlo, de tal manera que se logre disminuir su impacto o probabilidad de ocurrencia, a un costo razonable. En este sentido es necesario garantizar que la relación costo/beneficio sea satisfactoria. Se debe buscar la mejor respuesta al mejor precio.
Para administrar los riesgos en forma exitosa, se debe contar con las herramientas necesarias que le permitan a la empresa desarrollar un lenguaje común que facilite la comunicación interna y externa, prevenir los riesgos y disminuir la probabilidad de su ocurrencia, detectarlos en caso de que se materialicen, contar con sistemas ágiles y flexibles para responder ante ellos, y con el personal y los recursos de la organización apropiados; generar informes y medir su ocurrencia. Una adecuada cultura organizacional permite también desarrollar la administración de riesgos con éxito, porque compromete toda la organización en este propósito.
Los beneficios de la administración de riesgos son múltiples, entre ellos están los siguientes:
Con la administración de riesgos se pueden identificar y administrar los riesgos en forma integral a lo largo de toda la organización, lo cual permite tomar ventajas de las oportunidades, así como tomar decisiones fundamentadas en el equilibrio entre la tolerancia al riesgo; es decir, la cantidad de riesgo que la empresa está dispuesta a tomar, y su deseo de crecimiento, expresado en sus objetivos y estrategias. De igual forma, desde el punto de vista operativo, las decisiones del manejo del riesgo pueden darse dentro de los lineamientos estratégicos, teniendo en cuenta la capacidad de la organización para administrarlos.
Al realizar en forma integral la administración de riesgos, se tienen en cuenta los riesgos relacionados con los recursos humanos, físicos, financieros, tangibles e intangibles, al igual que con las fuentes que generan valor a la organización, las internas y las externas, relacionadas con sus proveedores, socios, clientes, etc.
Este análisis integral permite, entre otras cosas, administrar los riesgos en forma exhaustiva a través de los procesos y actuar de inmediato ante oportunidades, o anticiparse a los problemas que puedan presentarse, lo cual representa menores costos operativos y mejora los tiempos de respuesta ante situaciones de peligro para la entidad.
La administración de riesgos permite a todos los empleados comprender la exposición al riesgo en la empresa. Al identificar sistemáticamente los riesgos, los responsables de los procesos pueden tomar las decisiones necesarias para su manejo; esto refuerza su responsabilidad, al igual que asignarles, como función propia de sus cargos, la administración de los riesgos de los procesos en los cuales tienen participación y proporcionarles las herramientas para ejercer autocontrol en el cumplimiento de sus tareas.
Lo anterior mejora la cultura organizacional porque propicia la innovación y la colaboración entre los empleados de las diferentes áreas y procesos, debido a que se crean espacios de participación y discusión sobre los aspectos a mejorar, que permiten reducir los riesgos que pueden afectar las compañías.
También amplía y mejora las decisiones al proporcionar respuestas integradas a los múltiples riesgos a los cuales está expuesta la organización; por ejemplo, puede propiciar la compra adecuada de seguros (no comprar poco ni comprar mucho), la elaboración de planes de contingencia y de recuperación ante situaciones de crisis, el diseño de controles de prevención de riesgos, etc., lo que puede evitar consecuencias como la quiebra, la interrupción de los servicios prestados o de la elaboración o distribución de los productos; lesiones o incapacidad de los empleados y deterioro de la imagen.
La administración de riesgos permite ejercer mayor control sobre los costos de una organización, minimizando sorpresas por pérdidas operacionales inesperadas, al establecer las medidas de seguridad adecuadas que controlen los riesgos que afectan la supervivencia de la empresa o el resultado de sus operaciones.
La administración de riesgos contribuye también a la disminución de costos en las organizaciones, al establecer criterios generales para la toma de decisiones en el manejo de los riesgos, lo que permite mejorar la distribución de recursos definiendo los niveles óptimos de inversión y gasto, mediante procesos rigurosos de priorización de los riesgos.
El control de los costos se puede dar, por ejemplo, al reducir el impacto en los estados financieros ocasionado por los riesgos no asegurados, a través de la creación de reservas o fondos; al recuperar los valores máximos posibles por siniestro asegurados; al aprovechar la baja siniestralidad para obtener reducción de primas en los seguros; al reducir los costos de transferencia debido a la compensación o agrupación de los riesgos; al diseñar planes institucionales o políticas generales que reduzcan los riesgos presentes en varios procesos, y no establecer soluciones puntuales sino integrales para el manejo de los riesgos en toda la organización.
Otro beneficio de la administración de riesgos es la compatibilidad con los sistemas de gestión de la calidad. Al integrar la administración de riesgos en los procesos, se logra una consolidación del mejoramiento continuo en las organizaciones y se utiliza la capacidad instalada, los conocimientos desarrollados y el personal involucrado en los procesos de calidad, proporcionando una mirada más amplia de los procesos, en los que la identificación de sus riesgos orienta la definición de las acciones de mejoramiento y, por ende, contribuye al cumplimiento de los objetivos previstos.
El objetivo primordial de la administración de riesgos es maximizar las oportunidades y minimizar las pérdidas asociadas a los riesgos, es decir, buscar un equilibrio entre riesgo y oportunidad, de acuerdo con la tolerancia al riesgo de la organización.
A través de la implementación de la administración de riesgos en la empresa, se logran diferentes objetivos, entre ellos:
• Asegurar la supervivencia de la empresa preservando la continuidad de su operación, de tal forma que no se interrumpa la prestación de sus servicios o la producción y comercialización de sus bienes, y se eviten pérdidas financieras catastróficas que puedan llevarla a la quiebra, afectar su imagen, su participación en el mercado o sus planes de desarrollo.
En caso de un siniestro facilitar la recuperación de las actividades, a través del establecimiento de planes de emergencia y contingencia elaborados y probados por las distintas áreas y procesos que pueden verse afectados por este tipo de situaciones.
• Proteger a los empleados y a quienes estén relacionados con las operaciones de la empresa, contra accidentes que podrían causar lesiones, daños serios o muerte, mejorando y haciendo más seguras, las condiciones de trabajo del personal e implementando medidas de prevención y protección.
• Evitar que las operaciones de la empresa produzcan daños al ambiente, al controlar la emisión de contaminantes que degraden la calidad del agua, aire, suelo, productos o recursos naturales en general, y que perjudiquen o resulten nocivas a la salud y el bienestar humano, la flora y la fauna.
• Utilizar los recursos humanos, físicos y financieros en forma eficaz, para que contribuyan al logro de los objetivos propuestos por la organización, y en forma eficiente, al lograr su mejor utilización, buscando productividad y evitando pérdidas, subutilización, sobrecostos y desperdicios.
• Prevenir o mitigar cualquier pérdida económica que pueda ocasionar la ocurrencia de los riesgos, al disminuir el grado de inseguridad de las operaciones de la empresa hasta límites considerados tolerables y al implementar los controles necesarios para prevenir las desviaciones en los objetivos previstos.
• Garantizar la calidad y disponibilidad de la información necesaria en la empresa para la administración y control de sus actividades, así como la de la generada para terceros, de tal forma que ésta sea oportuna y confiable.
• Lograr que las actividades de la empresa se realicen dentro de las normas internas y externas que la rigen, con la vigilancia cuidadosa del cumplimiento de la reglamentación vigente en todos los aspectos que se requieran.
• Mantener la buena imagen y las relaciones con los diferentes públicos o grupos de interés que atiende o están interesados en su función, de tal manera que la empresa genere confianza y credibilidad en su manejo.
Dada la importancia del manejo de los riesgos en toda organización, se requiere un esfuerzo conjunto y coordinado entre todos los departamentos y unidades de negocios. Todos los niveles de la empresa tienen definidas responsabilidades específicas en la implementación y desarrollo de la administración de riesgos; el propósito es buscar que cada empleado se comprometa, de tal manera que pueda garantizarse el manejo integral de los riesgos a través de los procesos que hacen parte de la cadena de valor de la organización.
El nivel directivo, comenzando por la gerencia y su equipo de trabajo, a través de la conformación de un Comité de riesgos, es el responsable de liderar el proceso en la empresa y de efectuar el análisis estratégico de los riesgos, además de la definición de las políticas de administración de riesgos. También debe generar compromiso con su implementación, monitorear y mantener las políticas establecidas y asignar los recursos requeridos para la correcta administración de los riesgos.
Dependiendo del tamaño de la organización, el Comité de riesgos puede designar un gerente, director, jefe o responsable de la administración de riesgos que coordine las acciones de los líderes de los procesos. Esta figura debe depender directamente de la alta dirección, con el fin de recibir el apoyo correspondiente para ejercer sus funciones de liderazgo y asesoramiento a los demás rangos de la empresa. A nivel mundial las grandes corporaciones han creado la figura del CRO (Chief Risk Officer), el cual forma parte del órgano superior de dirección de la compañía, a la par del CEO (Chief Executive Officer) y el CFO (Chief Financial Officer).
Lo anterior ha sido impulsado en las compañías con el establecimiento del Código de buen gobierno, el cual determina que la gestión integral del riesgo debe estar en cabeza de la alta dirección, dada la necesidad de las corporaciones de crear valor para sus accionistas (shareholder value) y de manejar con transparencia los recursos y la información que presentan a la comunidad inversionista.
También se puede crear una estructura de soporte de la administración de riesgos, que defina los planes, asigne recursos, con personal suficiente y especializado. Es posible que en el proceso de la identificación de riesgos o en la definición de medidas de tratamiento, se requieran asesores especializados en áreas tales como seguros, riesgos ambientales, seguridad integral, manejo de instrumentos financieros o temas muy especializados, propios de la industria o el sector en el cual se desenvuelve la empresa.
En el nivel operativo, la administración de riesgos es responsabilidad de los líderes de los procesos, quienes tienen la función de identificar los riesgos en las actividades, establecer las medidas de control necesarias para administrarlos y definir los indicadores de riesgos que permitan su monitoreo y control.
La evaluación independiente de la administración de riesgos, la ejerce el área o departamento de Auditoría, dependiendo de cómo esté estructurada esta función en cada empresa.
Para desarrollar un proceso estructurado de administración de riesgos, se debe tener en cuenta, además de los procesos que operan en la compañía, cada uno de los proyectos nuevos a emprender; esto último es indispensable porque es posible encontrar, después de la evaluación de los riesgos, que el proyecto no es viable o debe ser modificado para que sea exitoso.
Las etapas propuestas para la administración de riesgos empresariales son las siguientes:
1. Identificación de los riesgos
2. Calificación de los riesgos
3. Evaluación de los riesgos
4. Diseño de medidas de tratamiento
5. Implementación de las medidas
6. Monitoreo y evaluación
Estas etapas son cíclicas y deben aplicarse periódicamente debido a los cambios que se generan, tanto los originados por el entorno como los internos de la organización, que pueden propiciar la evolución de riesgos diferentes a los identificados y controlados en las etapas iniciales de administración de riesgos.
FIGURA 3. Etapas en la administración de riesgos
2.5.1 IDENTIFICACIÓN DE RIESGOS
Es una de las etapas más importantes en el proceso de administrar los riesgos. Permite a los empleados y a la organización poner al descubierto situaciones y tomar conciencia de las posibilidades y peligros que pueden enfrentar en su actuar, lo cual garantiza que no tomen riesgos sólo por desconocimiento de la posibilidad de su ocurrencia.
FIGURA 4. Identificación de riesgos
Algunos riesgos son de fácil identificación por ser relativamente visibles, mientras que otros pueden no percibirse, olvidarse o no tenerse en cuenta por el hecho de considerarlos sin importancia. Es importante tener presente que si un riesgo no se identifica, posteriormente no se podrá administrar.
Para disminuir la posibilidad de excluir en el análisis riesgos importantes a los cuales puede verse expuesta la entidad, existen diferentes herramientas y métodos que permiten su identificación de forma más estructurada y confiable. Algunas de las herramientas más comunes son las listas de chequeo de las pólizas de seguros, los cuestionarios de análisis de riesgos, los diagramas de flujo de procesos, el análisis de los estados financieros, de los contratos y las inspecciones de las operaciones de la empresa.
Entre los métodos de identificación de riesgos, se puede encontrar una gran variedad, como el método Hazop, el árbol de fallas, el árbol de eventos y otros incluidos en las diferentes metodologías de identificación, y evaluación de riesgos.
Cualquiera de las herramientas o métodos utilizados tiene como propósito establecer los posibles eventos que puedan presentarse y afectar de algún modo el cumplimiento de los objetivos, bien sea del proceso, del proyecto, la actividad, la unidad de negocio o el ámbito en el que se realiza la identificación de riesgos.
Además de identificar los riesgos, es necesario obtener información adicional que permita administrarlos en forma más efectiva. Esta información tiene que ver con la manera o circunstancias como puede presentarse el riesgo, quién puede generarlo, por qué razón se puede materializar y cómo puede verse afectada la organización con su ocurrencia.
Con la respuesta y el análisis a estas inquietudes, es posible definir las alternativas que contribuyan a evitar que se presenten los riesgos, disminuir su probabilidad de ocurrencia, atenuar las consecuencias en caso de que se presenten o disponer de los fondos necesarios para enfrentar esas situaciones con éxito.
En el capítulo 3, Identificación de riesgos, se presentan diferentes herramientas y métodos que pueden facilitar la identificación de riesgos.
Una vez se han identificado los riesgos, es necesario determinar su magnitud, es decir, establecer qué tan representativos son para la organización. Para ello se realizan dos análisis: uno sobre la probabilidad de ocurrencia del riesgo (o frecuencia) y otro sobre el impacto o potencial de pérdida que puede causar en caso de su materialización. La calificación del riesgo se obtiene al multiplicar el valor asignado a cada una de estas dos variables.
FIGURA 5. Calificación del riesgo
Existen diferentes métodos para establecer la calificación del riesgo, como los descritos por la autora en su artículo “Administración de riesgos empresariales”:
Los métodos cualitativos se usan cuando la organización no posee suficiente información sobre la ocurrencia de los riesgos y cuando el costo de obtenerla es mayor que el beneficio. Este análisis utiliza descripciones para mostrar la posibilidad de que los riesgos se presenten (baja, media, alta) y el impacto (leve, grave, catastrófico).
Los métodos cuantitativos se caracterizan por el uso de modelos matemáticos; en ellos se cuenta con datos de eventos que tengan una historia conocida, y una frecuencia y variabilidad que permita establecer predicciones.
En los métodos semi-cuantitativos, a las escalas cualitativas como las mencionadas anteriormente se les asignan valores. Para ello se pueden realizar entrevistas y reuniones de grupos interdisciplinarios. También es posible utilizar diferentes fuentes, como registros históricos, experiencias significativas en el uso de las escalas, prácticas en el sector, literatura publicada, etc. (Mejía, 2004, p. 80).
Algunas metodologías para calificar el riesgo utilizan una tercera variable, llamada exposición al riesgo, que consiste en calificar el grado de repetición de la actividad a la cual se asocia un riesgo, lo que evidencia su posibilidad de ocurrencia. Otras metodologías incluyen una cuarta variable que contribuye a disminuir la calificación del riesgo, el nivel de seguridad. Esta variable consiste en establecer una ponderación de acuerdo con las medidas de prevención y protección implementadas en la organización que contribuyen al control de los riesgos.
Determinar qué variable se aplica para establecer la posibilidad del riesgo (probabilidad o frecuencia), depende de la información disponible con la cual se cuente para determinarlas; su costo y el grado de precisión que se requiera en el cálculo del riesgo. La probabilidad se usa en métodos cuantitativos porque es una medida estadística que requiere información histórica de un período de tiempo determinado, y la frecuencia en métodos cualitativos o semi-cuantitativos porque es una estimación subjetiva del número de veces que se puede presentar un riesgo en un lapso de tiempo.
Para asignar el valor del impacto se debe estimar la magnitud de las pérdidas que podrían resultar de una exposición dada, teniendo en cuenta la capacidad que tiene la empresa de afrontar estas pérdidas. El valor del impacto es una medida que puede calcularse en términos financieros o de acuerdo con las consecuencias que tiene sobre la imagen de la compañía, la incidencia en el mercado o los factores que se pueden ver afectados por la materialización del riesgo.
En la calificación se utilizan normalmente escalas de valores para la frecuencia (o la probabilidad) del riesgo y para el impacto. Existe en la literatura y en la práctica un sinnúmero de escalas de todo tipo (cualitativo, semi-cuantitativo y cuantitativo). El número de niveles de estas escalas es variable, al igual que sus descripciones. Normalmente se encuentran escalas desde tres niveles hasta seis, dependiendo del tamaño, necesidades de la empresa y metodología utilizada.
En el capítulo 4, Calificación y evaluación de riesgos, se presentan diferentes opciones de tablas de calificación de riesgos.
En la evaluación se analizan las calificaciones dadas a los riesgos en la etapa anterior y se establece la situación en que se encuentra la empresa respecto de ellos, lo cual facilita el diseño de planes de manejo de acuerdo con un rango de prioridades, definidas en relación con la gravedad de tales riesgos. Algunos riesgos calificados como de impacto grave, a causa de las posibles pérdidas que ocasionarían, demandarán respuesta inmediata; otros podrán requerir acciones a mediano plazo y algunos ninguna medida de control.
