Tal como en toda organización se comentan y conocen los principales clientes, productos y competidores, las empresas deberían manejar, formal y explícitamente, los principales riesgos que enfrentan y el modo en que se están mitigando.
La gestión de riesgos y el control interno son aspectos críticos para las instituciones, cualquiera sea su naturaleza o complejidad. No se trata de señalar que estas actividades son más importantes para una organización que las tareas propias del giro, pero sí de reconocer que las funciones productivas o comerciales pueden frustrarse si los riesgos son mal manejados.
La gestión de riesgos exige, en primer lugar, conocerlos. Son muchas las empresas que no saben cuáles son los principales riesgos que enfrentan, y esto se acentúa cuando hablamos de riesgos operacionales y tecnológicos.
Frente a la pregunta ¿conoce usted los diez riesgos operacionales y tecnológicos más relevantes que enfrenta su entidad?, la mayoría no podrá responder con mediana certeza. Los gerentes más experimentados podrán mencionar algunos y tal vez varios, pero la respuesta sobre los eventos que podrían provocar gran daño a la organización, impidiendo cumplir parcial o totalmente sus objetivos, no es una materia que pueda quedar entregada a la intuición o experiencia de algunos gerentes. Conocer los riesgos, ponderarlos y definir luego el modo adecuado de gestionarlos es un ejercicio relevante y por eso debe hacerse con rigor, profesionalismo y continuidad.
Tal como en toda organización se comentan y conocen los principales clientes, productos y competidores, las empresas deberían manejar, formal y explícitamente, los principales riesgos que enfrentan y el modo en que se están mitigando.
En este contexto, la Gestión de Riesgos es una tarea ineludible para las organizaciones. Y si no fuera suficiente la responsabilidad y convicción de los propios directores y altos ejecutivos, los reguladores están exigiendo crecientemente a las empresas bajo su supervisión la adopción de políticas y estructuras para el control de los riesgos que enfrentan.
Pero más allá del cumplimiento de exigencias normativas, ¿cómo demostrar que la gestión de riesgos aporta o protege valor? ¿Cómo justificar ante una organización ya bastante exigida con sus metas regulares la necesidad de abordar la gestión de riesgos como un esfuerzo adicional?
Algunos elementos deben considerarse para gestionar riesgos con eficiencia:
a) Construir sobre lo que existe. En verdad, casi nunca se comienza desde cero. En cualquier organización se gestionan riesgos, aunque en algunos casos se haga de manera informal, intuitiva y no sistemática. Es necesario identificar las actividades de gestión de riesgos que ya se llevan a cabo, aprovechándolas y si es posible incorporándolas formalmente al proceso de gestión de riesgos. De este modo podemos avanzar más rápido e involucrar a quienes ya gestionan los principales riesgos, aun sin darse cuenta de ello.
b) No a la duplicación de esfuerzos. Es vital hacer sinergias con otras áreas que emplean metodologías o herramientas comunes. Por ejemplo, no es posible que existan varios mapas de procesos en una entidad; o que dos o más unidades evalúen riesgos y/o controles en paralelo. El control interno, la continuidad del negocio, la seguridad de la información, el riesgo operacional y otras disciplinas, tienen mucho en común y es necesario trabajar en equipo y muy coordinadamente, compartiendo información, métodos, herramientas, etc. No podemos agobiar a los dueños de proceso o primera línea, con tres, cuatro o cinco revisiones al año, cuando en el fondo se les consulta básicamente ¡lo mismo!
c) Foco y prioridad. Finalmente, resulta muy importante comenzar gestionando los riesgos más relevantes de un área, gerencia o proceso. Intentar comenzar cubriendo todos los riesgos resulta un ejercicio extenso y cuyos costos superan a los beneficios. Es difícil ver la generación de valor cuando en una entidad se identifican miles de riesgos (no es tan extraño ver entidades de tamaño mediano a grandes que identifican y analizan ¡2000 o más riesgos!). Es necesario focalizarse, inicialmente al menos, en aquellos riesgos que de verdad pueden generar daños muy importantes para la entidad.Es allí donde el control de riesgos preserva mayor valor.
Anticiparse o prevenir los eventos de riesgos más significativos, de manera eficiente y coordinada, es una manera clara de demostrar el aporte que esta disciplina puede hacer al cumplimiento de los objetivos organizacionales.
Esteban Olivares
Académico de la Universidad de Chile
Gerente Corporativo Gestión de Riesgos, Mutual de Seguridad C.CH.C.
