Los directorios deben tomar en cuenta que el apetito de riesgo es un componente integral e interconectado a la gestión del riesgo de las empresas.
Fuente: diario.elmercurio.com
Durante la última década, hemos podido observar que crisis de diversas índoles han afectado a compañías de todo el mundo, lo que ha llevado a un creciente enfoque en la gestión de riesgos.
La velocidad de los cambios en el mundo es tal que los riesgos se mueven y cambian mucho más rápido, a lo que se suma un riesgo sistémico que arriesga con desencadenar nuevos escenarios de riesgos.
Esto ha puesto de manifiesto graves deficiencias en el sistema de supervisión de los directorios. En los distintos casos, la evidencia ha demostrado que los directores no actuaron como un control efectivo al momento de recibir resultados que eran evidentemente incongruentes, sino que actuaron como un miembro más de la alta administración. Para ser más precisos, la obligación de los directores es supervisar eficazmente el control interno y el riesgo dentro de sus organizaciones, independiente de que su nombramiento se haya efectuado por parte de un controlador o un minoritario. Su responsabilidad es otorgar una opinión sobre el sistema de eficacia de la empresa y tener la capacidad de incluir en agenda del directorio los beneficios que conlleva el tomar una ruta clara donde el propósito del control interno es ayudar a administrar y controlar el riesgo.
Para cada riesgo empresarial que enfrenta el negocio, la mesa del directorio requiere información que permita a cada uno de los directores impugnar adecuadamente la gestión en términos de identificación y control de cada área.
"Lo que debe tener claro el directorio es que hacer negocios implica asumir riesgos. Y si se quiere eliminar los riesgos, entonces es mejor no hacer negocios", señala Marcelo Zanotti, socio de Consultoría en Gestión y Tecnología de EY Chile (ex Ernst & Young), quien destaca tres principales riesgos a identificar: "primero, están los riesgos 'prevenibles' que ocurren al interior de la compañía, están relacionados con su operación, y se puede hacer gestión para evitarlos; segundo, los riesgos 'externos' que son los que no se pueden controlar, pueden estar asociados, por ejemplo, al cambio de una normativa, situación macroeconómica del país, cambios geopolíticos en una región o desastres naturales. Y por último, los riesgos 'estratégicos,' que miran al riesgo no solamente como algo negativo, sino que como una oportunidad. Si se mira al riesgo como algo más estratégico y se maneja de manera más controlada, se puede lograr una ventaja competitiva en el mercado".
Así, el papel del directorio es doble: hacer una evaluación sólida de los principales riesgos del modelo de negocio de la organización (es decir, un riesgo o una combinación de riesgos que pueden afectar seriamente su rendimiento, perspectivas futuras o reputación, incluyendo solvencia y liquidez) y supervisar los procesos de gestión de riesgos y los controles internos apropiados.
Desarrollo de cultura del riesgo
Nada es más fundamental para un negocio que comprender el riesgo, particularmente en el contexto del desarrollo de la estrategia. La interrelación entre riesgo y recompensa es clave para la adecuada evaluación de las opciones estratégicas. A menos que el directorio y la administración entiendan completamente el nivel de riesgo que su negocio está dispuesto y es capaz de tomar en la creación de valor, no pueden cumplir con eficacia su deber en la gestión del riesgo.
De hecho, el directorio tiene que ser responsable de crear una cultura de riesgo en su empresa. Tal como lo señala Marcelo Zanotti, se pueden tener mecanismos, procesos y estructuras de personas para abordar los riesgos, pero si no existe una cultura tanto de prevenirlos como de asumirlos no sirve de nada. El nivel de desarrollo de esta cultura al riesgo puede depender del tipo de industria. "Por ejemplo, en el sector financiero, los bancos están mucho más regulados, porque mueven dinero, y por eso hay una cultura al riesgo mucho más embebida. Sin embargo, cualquier organización debe ser capaz de gestionar sus riesgos y lidiar con ellos", añade.
Otro punto que no hay que dejar de lado es que no se debe tomar la gestión del riesgo solo como un ejercicio de cumplimiento, ya sea porque la norma 385 lo exige o porque una entidad pide hacer un mapa de riesgo. "Se debe realizar un mapa de riesgo, ya que con eso se va a poder dirigir la compañía y mejorar su rentabilidad. Se debe utilizar como una herramienta para la toma de decisiones del día a día y no para hacerlo solo una vez al año", asegura el experto de EY.
Líneas de defensa
En la administración del riesgo es útil tener en cuenta el modelo de las tres líneas de defensa (LOD, su sigla en inglés) que ha sido citado extensamente como un modelo eficaz para usar para la gestión de riesgos. Este modelo ofrece una manera de mejorar las comunicaciones sobre la gestión y el control de riesgos mediante la aclaración de funciones y deberes.
* Primera línea (operaciones y unidades de negocio): dirección de línea responsable de identificar y gestionar directamente los riesgos (diseño y funcionamiento de los controles). Este grupo tiene que considerar la gestión de riesgos como un elemento crucial de sus trabajos cotidianos.
* Segunda línea (monitoreo de riesgos): los grupos encargados del seguimiento permanente del diseño y la operación de los controles en la primera línea de defensa, así como asesoramiento y facilitación de las actividades de gestión de riesgos.
* Tercera línea (aseguramiento independiente): los grupos responsables de la garantía independiente sobre la gestión de riesgos. Esta línea incluye auditoría interna, auditoría externa y algunos reguladores, siempre y cuando el alcance y la naturaleza de su trabajo estén en línea con los objetivos de gestión de riesgos de la organización.
Las funciones dentro de cada una de las líneas de defensa varían de una compañía a otra y algunas funciones pueden incluso dividirse entre líneas. Por ejemplo, algunas partes de una función de cumplimiento pueden estar involucradas en el diseño de controles para la primera línea de defensa, mientras que otras están monitoreando controles. como la segunda línea de defensa; esto se ve a menudo en el sector de los servicios financieros. Mientras las responsabilidades se asignen para los riesgos individuales, esto crea claridad en cuanto al rol, independientemente de la función.