Enterprise Risk Management (ERM): la administración estratégica de los riesgos

publicado a la‎(s)‎ 12/10/2009 11:42 por Guido Gennari   [ actualizado el 12/10/2009 11:41 ]

Prácticas empresariales líderes reconocen la necesidad de una renovada visión sobre la administración de los riesgos y de los controles, dentro de un nuevo entorno de negocios desafiante, caracterizado por un alto grado de volatilidad, inestabilidad política y económica a nivel global, a un ritmo de cambio constante, y bajo una creciente complejidad en la toma de decisiones.

En esquemas donde proliferan nuevos riesgos, se incrementan las exigencias de los accionistas y organizaciones de contralor, y la dinámica de los negocios se hace día a día más desafiante, las empresas comienzan a reconocer en la aplicación de iniciativas como Enterprise Risk Management (ERM) una prioridad estratégica y de negocios.

En este contexto, los principales objetivos de una adecuada metodología de ERM son brindar soporte a las organizaciones que desean relevar sus riesgos (estratégicos, de procesos y/o transaccionales), documentarlos, categorizarlos y, finalmente, administrarlos en una forma continua y dinámica, bajo una concepción única e integral a toda la compañía.

ERM se presenta como una herramienta eficaz y eficiente para los altos niveles jerárquicos. En consecuencia y durante los últimos años, muchas organizaciones han comenzado a buscar asesoría profesional para la implantación de dicha herramienta, asegurando un enfoque adecuado a su cultura, su estructura, alineado con los objetivos estratégicos, inmersos en sus procesos de negocios y con foco principal en las áreas de mayor criticidad (con capacidad para brindar mayor valor a la organización).

En el pasado, proyectos similares a ERM consistían en iniciativas aisladas dentro de las organizaciones. El valor potencial de estos proyectos nunca se veía materializado.

Las prácticas líderes actuales indican que ERM debe ser abarcativo, comunicado y compartido a todo nivel organizacional. Se debe establecer una única definición sobre riesgo, y criterios comunes para evaluarlos y tomar decisiones sobre los mismos. Una iniciativa recomendada es la creación de un Comité de Riesgo, o lo que muchas organizaciones denominaron CRO (Chief Risk Office).

Las funciones del Comité de Riesgo, preferentemente integrado por un equipo multidisciplinario, incluyen, pero no están limitadas a:

·         Capacitar a los empleados en diversas cuestiones relacionadas a la metodología y evaluación de riesgos.

·         Establecer los parámetros para documentación y medición de riesgos (incluyendo el apetito y la capacidad de riesgo, y los criterios de probabilidad de ocurrencia y magnitud de impacto).

·         Participar activamente en las iniciativas relacionadas con administración de riesgos.

·         Evaluar, actualizar y comunicar el Perfil de Riesgo.

Conociendo los lineamientos básicos, el primer paso es identificar los riesgos, estratégicos y operativos, enfrentados por la empresa. Este relevamiento puede ser realizado mediante entrevistas con personal gerencial y responsables clave de los procesos organizacionales. El relevamiento debe ser amplio y no restrictivo; aún cuando los riesgos parezcan numerosos, posteriormente, al categorizarlos, podrán identificarse los más críticos.

Independientemente de la metodología utilizada, la documentación de los riesgos debe realizarse de acuerdo con los lineamientos establecidos por el CRO, a fin de obtener documentación homogénea y comprendida por toda la organización.

Conociendo los riesgos enfrentados por la organización, debe crearse, mediante diversos mecanismos, un barómetro para medición de los mismos y, como resultado, el Perfil de Riesgo de la compañía.

Dos variables críticas para la categorización son: la probabilidad de ocurrencia (la frecuencia con que el riesgo puede materializarse) y la magnitud de impacto (las consecuencias del riesgo, medidas en diversas variables como resultados económicos, operativos, de reputación, participación de mercado, etcétera). Del cruce de ambas categorías y el mapeo en ejes de coordenadas podrán identificarse aquellos más críticos, con un mayor impacto y una alta probabilidad de ocurrencia.

Conociendo sus principales riesgos, a través del CRO, la organización debe decidir sobre el uso de los resultados obtenidos. Para ello, debe posicionarse dentro del continuo “nivel de madurez” en administración de riesgos. El “nivel de madurez” comprende, al menos, tres niveles o estadios:

·         Básico. ERM es utilizado para cumplir con las obligaciones y los requerimientos impuestos por los accionistas y los organismos de contralor.

·         Maduro. La herramienta es, además, incorporada a la administración de procesos para mitigar posibles impactos en la operatoria.

·         Avanzado. ERM es utilizado en forma integral en la organización, no sólo a nivel de cumplimiento y de procesos, sino también como una herramienta estratégica de la gerencia para la toma de decisiones y las mediciones de performance.

De acuerdo al “nivel” establecido para la organización, el CRO deberá trabajar conjuntamente con los diversos departamentos a fin de determinar los planes de acciones y actividades mitigantes para una adecuada administración de los riesgos.

Una alternativa para la administración de los riesgos, es la implementación, mejora y/o adecuación de controles sobre las estrategias, los procesos y las transacciones de la organización. Mediante un adecuado ambiente de control, las compañías no sólo mitigan sus riesgos sino que logran una administración eficiente y eficaz de los mismos.

Los resultados del proceso son amplios y deben ser comunicados a diversos interlocutores tanto dentro como fuera de la organización. Por ello, pueden ser volcados en una amplia cantidad de documentos como planes estratégicos, planes operativos, descripciones del ambiente de control, planes y programas de auditoría interna, informes de cumplimiento de regulaciones, etcétera.

Los altos ejecutivos, a través de ERM, cuentan con una herramienta metodológica para la creación de un Perfil de Riesgo integral y homogéneo a nivel de toda la compañía. Adicionalmente, a través de un proceso continuo y dinámico de ERM se podrán identificar nuevas variables del entorno, desafiante y rápidamente cambiante, satisfaciendo crecientes requerimientos regulatorios y detectando nuevas oportunidades y amenazas a nivel estratégico y de procesos. ERM debe ser entonces incorporado, como principio activo, dentro de la operatoria diaria y estratégica de las compañías.

Asimismo, ERM no es sólo un proceso sistemático de relevamiento y evaluación de riesgos, sino que también es un proceso “creativo” para la detección de riesgos imprevistos y de alto impacto. Estos riesgos, de alto impacto pero fuertemente improbables, son denominados “cisnes negros” (Nassim, 2008). Un ejemplo de “cisne negro” es la crisis financiera mundial actual, que en caso de haber sido prevista (aún con una bajísima probabilidad de ocurrencia) hubiera prevenido y preparado a las corporaciones.

Así, ERM se presenta como una herramienta metodológica práctica con la capacidad necesaria para plasmar, dentro de las organizaciones, la nueva visión de administración de riesgos y controles, en forma estratégica y operativa, a todo nivel, con posibilidad de lograr mejoras en la eficiencia y eficacia de las operaciones, y bajo una única visión de riesgo compartida.

Č
Ċ
Guido Gennari,
12/10/2009 11:40