Definiendo la Gestión Integral de
Riesgo
por Espiñeira, Sheldon y Asociados
Podemos definir la Gestión Integral de Riesgo como el proceso,
afectado por la junta de directiva, directores, la gerencia y el
personal, aplicado para establecer estrategias. Se ejecuta sobre
toda la empresa o corporación, diseñado para identificar
eventos potenciales que pudieran afectar al negocio y que
gerencia los riesgos dentro del marco o rango de apetito
definido, todo esto para proveer un nivel razonable de seguridad
en el camino de cumplir los objetivos de la entidad.
Ampliar el tamaño de la letra Reducir el tamaño de la letra
Esta definición refleja ciertos conceptos fundamentales.
La Gestión Integral de Riesgo:
* Es un proceso, lo cual significa un fin, no el fin en sí
mismo.
* Es ejecutado por la gente, no es solamente políticas,
encuestas y formularios, sino que incluye gente de todos los
niveles de una organización.
* Se aplica en la definición y determinación de las
estrategias.
* Es aplicable a lo largo del negocio, a todo nivel y unidad, e
incluye un portafolio de visiones del negocio y sus riesgos.
* Es diseñado para identificar eventos que potencialmente
afectan la entidad y gerenciar el riego dentro de su apetito de
riesgo.
* Provee un adecuado o razonable nivel de seguridad a la junta
directiva y gerencia.
Esta definición está estructurada a propósito debido a varias
razones. En primer lugar, incluye conceptos básicos acerca de
cómo las empresas o corporaciones gerencian o administran el
riesgo, por medio de una base de aplicación común a lo largo y
ancho de cualquier tipo de organización, industria o sector de
la economía. La definición, también, se enfoca en la
obtención de los objetivos del negocio. Y, por último, la
definición provee las bases para la conceptualización de la
efectividad de gestión integral de riesgo del negocio.
A continuación se discuten los conceptos fundamentales antes
mencionados.
Un proceso
El gestionar integralmente el riesgo del negocio no es un evento
o circunstancia, es una serie de acciones que se filtran o
permean en las actividades del negocio. Estas acciones se
caracterizan por penetrar y ser inherentes a cómo la gerencia
conduce el negocio.
El proceso de gestión integral de riesgo es diferente desde la
perspectiva de algunos observadores, como la adición de algo a
las actividades de la empresa o corporación, o como un peso
necesario. Esto no quiere decir que una gestión integral de
riesgo no requiere de un esfuerzo incremental. Por ejemplo, la
evaluación de riesgo podría requerir de un incremento de
esfuerzo en cuanto a las labores de análisis y formulación de
cálculos, a los fines de desarrollar el modelo necesario o
deseado. Es de hacer notar que, estos y otros mecanismos de la
gestión integral de riesgo interactúan con las actividades
naturales del negocio, de aquí que el proceso de gestión
integral de riesgo es más efectivo cuando los mecanismos antes
mencionados se construyen dentro de la estructura de la empresa o
corporación y son parte esencial de ella. Como consecuencia de
esto, la construcción de la gestión integral de riesgo implica
que se afecta la habilidad de implantar sus estrategias y cumplir
su visión y misión.
El diseño y construcción de la gestión integral de riesgo
tiene implicaciones importantes desde el punto de vista de
costos, especialmente en mercados de alta competencia. En otras
palabras, el adicionar nuevos procedimientos separados e
independientes a los existentes, generan costos adicionales. Por
tanto, el enfocarse en las operaciones, procesos y procedimientos
existentes, a los fines de determinar su contribución efectiva a
la gestión integral de riesgo, e integrar el manejo del riesgo a
las actividades y operaciones básicas, una empresa o
corporación puede evitar la aplicación de procedimientos y
costos adicionales. Asimismo, la aplicación de un proceso de
construcción de la gestión integral de riesgo en las
operaciones de fabriles ayuda a identificar nuevas oportunidades
para la gerencia, lo cual contribuiría al crecimiento del
negocio.
Ejecutado por la gente
La gestión integral de riesgo es ejecutada por la junta
directiva, directores, gerentes, y el resto del personal. Por
tanto, es la gente de la empresa o corporación quien ejecuta la
gestión integral de riesgo, por medio de lo que dice y hace. La
gente es quien define y establece la misión y visión de la
entidad u organización, la estrategia y objetivos e implanta los
mecanismos de gestión de riesgo.
Adicionalmente, la gestión integral de riesgo afecta las
actividades y acciones de la gente. La gestión integral de
riesgo reconoce que no siempre la gente comprende, comunica y se
desempeña correctamente. Cada individuo trae al lugar de trabajo
una gran variedad de experiencias únicas y habilidades
técnicas, así como diferentes necesidades y prioridades. Estas
realidades afectan, y son afectadas por la gestión integral de
riesgo. En tal sentido, cada persona tiene un único punto de
referencia que influye sobre cómo ellos identifican, evalúan y
responden al riesgo. La gestión integral de riesgo provee los
mecanismos necesarios para ayudar a la gente a entender el riesgo
en el contexto de los objetivos de la empresa o corporación. La
gente debe conocer sus responsabilidades y límites de
responsabilidades y autoridad. Como consecuencia, existe un claro
y cerrado enlace entre las tareas de la gente y la forma en la
cual se ejecutan, así como con la estrategia y los objetivos del
negocio.
La gente o personal de una organización está compuesta de la
junta de directores, presidente, vicepresidentes, gerentes y
demás miembros. Aun cuando, primariamente, los directores,
presidente y vicepresidentes proveen de vigilancia y
supervisión, también proveen de dirección y aprueban
estrategias y políticas. Por tanto, la junta directiva es un
elemento importante de la gestión integral de riesgo.
La aplicación de las estrategias definidas
Una organización define su misión o visión y establece sus
objetivos estratégicos, los cuales son metas de alto nivel que
se alinean para apoyar la visión o misión. Una organización
establece una estrategia para alcanzar sus objetivos
estratégicos. Asimismo, la organización establece los objetivos
deseados, los cuales fluyen en cascada desde la estrategia a las
unidades del negocio, pasando por las divisiones, departamentos y
procesos. Al momento de definir la estrategia, la gerencia
considera los riesgos relacionados con cada estrategia
alternativa.
Aplicación de la estrategia a lo largo de la empresa o
corporación
Para que exitosamente se aplique la gestión integral de riesgo,
una organización debe considerar el alcance completo de sus
actividades. La gestión integral de riesgo considera todas las
actividades de todos los niveles de la organización, desde los
niveles corporativos, tales como la planificación estratégica y
asignación de recursos, pasando por las actividades de las
unidades tales como mercadeo y recursos humanos, hasta los
procesos de negocio tales como producción y revisión o examen
de créditos a los clientes. La gestión integral de riesgo
aplica también a los proyectos especiales y nuevas iniciativas,
los cuales podrían no tener todavía un lugar específico dentro
de la estructura jerárquica u organigrama de la empresa.
La gestión integral de riesgo requiere que la organización o
empresa tome en cuenta una visión del portafolio de riesgos.
Este portafolio debe ser desarrollado por los gerentes
responsables de cada unidad organizativa, función, proceso u
otra actividad, incluyendo una evaluación cuantitativa y
cualitativa de los riesgos. Entonces, por cada nivel
organizacional, la alta gerencia debe considerar si el conjunto
de riesgos y su perfil, está de acuerdo con el apetito de riesgo
aceptado por la empresa o corporación.
Adicionalmente, la gerencia debe considerar los riegos
interrelacionados desde la perspectiva del portafolio de riesgo
del negocio; igualmente, la gerencia debe y necesita identificar
los riesgos interrelacionados y actuar en consecuencia con el
objeto de conformar un perfil de riego dentro del marco de
apetito de riesgo del negocio. Es de hacer notar que para las
unidades de la empresa, el riesgo pudiera estar dentro del rango
de tolerancia individual de riesgo, sin embargo al tomar el todo,
el riesgo resultante pudiera exceder el apetito de riesgo de la
empresa o corporación.
Apetito de riesgo
El apetito de riesgo es la cantidad de riesgo que una empresa o
corporación desea aceptar tras la búsqueda del valor. Las
empresas, frecuentemente, consideran el apetito de riesgo
cualitativamente, con características tales como alto, moderado
o bajo; o asumen un enfoque cuantitativo, reflejando y
balanceando las metas de crecimiento, ingreso y riesgo.
El apetito de riego está directamente relacionado a la
estrategia de la entidad o empresa o corporación. De aquí que
se debe considerar el riesgo en el momento de definir la
estrategia, de tal forma que al determinar los beneficios de la
estrategia, en paralelo, se debe relacionar el riesgo y el nivel
de apetito de la entidad o empresa o corporación. En todo caso,
al diseñar y definir diferentes estrategias nos encontramos con
diferentes riesgos. En tal sentido, la aplicación adecuada de la
gestión integral de riesgos al momento de definir la estrategia,
ayuda a la gerencia a seleccionar la estrategia la cual será
consistente con el nivel de apetito de riesgo de la entidad o
empresa o corporación.
El apetito de riesgo de la entidad o empresa o corporación es
una guía en la determinación y asignación de los recursos
necesarios. La gerencia determina y asigna los recursos a lo
largo y ancho de las unidades del negocio tomando en cuenta los
niveles de apetito de riesgo de la entidad o empresa o
corporación y con base a las estrategias individuales de las
unidades organizacionales orientadas a la generación de
beneficios o ingresos según los recursos a invertir o
invertidos. Por tanto, la gerencia toma en cuenta su apetito de
riesgo y lo relaciona con su organización, recurso humano,
procesos, y diseña la infraestructura necesaria para monitorear
y responder eficientemente a los riesgos.
A los fines de cuantificar los niveles de apetito y tolerancia de
riesgo, se deben considerar algunos aspectos clave, a saber:
> ¿Cuáles son los riesgos que la organización está
preparada a enfrentar o tomar en la búsqueda o alcance de los
objetivos del negocio y cuáles riesgos son inaceptable?, ¿La
junta directiva está de acuerdo con el nivel de riesgo que han
asumido las unidades organizacionales u operativas?
> ¿Los niveles de riesgo son consistentes con la estrategia
de la entidad o empresa o corporación, sus objetivos de negocio,
las metas de ingresos y niveles de capital?
> ¿Dónde se pueden reducir las exposiciones de riesgo?
> ¿Existen algunas oportunidades de negocio que se están
perdiendo como consecuencia de la actitud muy conservadora
asumida por la gerencia?
> ¿Cómo serán afectados los accionistas en el futuro en
relación con los riesgos que la gerencia intenta tomar?
Mientras que las organizaciones toman algunos riesgos tras la
búsqueda de los objetivos del negocio, las exposiciones de
riesgos deben ser gerenciadas. Es importante hacer notar que los
accionistas confían su capital a las compañías y sus juntas
directivas a los fines de que estos últimos busquen obtener los
mayores niveles de rentabilidad con el menor riesgo posible.
Provee seguridad razonable
El diseñar y operar una adecuada gestión integral de riesgo
garantiza a la gerencia y la junta directiva, un razonable nivel
de seguridad de alcanzar los objetivos de la entidad o empresa o
corporación. Por consiguiente, la gestión integral de riesgo
determina para cada categoría y objetivo de la entidad o empresa
o corporación, sus niveles de riesgo, de tal forma que la junta
directiva, directores, presidente, vicepresidente y gerencia en
general, obtenga una razonable seguridad de que:
> Ellos entienden el alcance de los objetivos y estrategias de
la entidad o empresa o corporación.
> Ellos entienden el objetivo de las operaciones de la entidad
o empresa o corporación.
> Las responsabilidades de supervisión son seguras.
> Se cumplen las leyes y regulaciones.
La frase “seguridad razonable” refleja la noción o
conocimiento acerca de la incertidumbre y el riesgo relacionado a
la variable condicionada al futuro. En este sentido la
utilización de la frase es condicionada a las limitaciones
presentes o futuras para predecir el futuro, por lo cual las
decisiones tomadas pudieran no ajustarse a los hechos, las
respuestas a los riesgos y los controles necesarios deben ser
evaluados a la luz de los costos y beneficios, fallas pudieran
ocurrir debido a errores humanos, los controles pudieran ser
evadidos mediante colisión de dos o más personas, y la gerencia
pudiera tener la habilidad de esquivar o violar los controles y
decisiones de la gestión integral de riesgos. Estas limitaciones
pudieran impedir que la junta directiva y gerencia en general
obtenga una absoluta seguridad de que los objetivos del negocio
se alcancen.
Cumplimiento de los objetivos
Una efectiva gestión integral de riesgo puede y debe proveer un
nivel de seguridad razonable de alcanzar y cumplir los objetivos
relacionados con el cumplimiento de las regulaciones y leyes,
así como con lo relativo al esquema de supervisión y reporte de
información sobre su gestión. Esta actividad de la gestión
integral de riesgo dependerá de lo adecuado de su
estructuración y organización para controlar que los objetivos
de la entidad o empresa o corporación se alcancen.
Es de hacer notar que el cumplir con las estrategias y los
objetivos de las operaciones no está siempre bajo el control de
la entidad o empresa o corporación. Por tanto, la gestión
integral de riesgo puede proveer o suministrar, a la gerencia, de
un nivel razonable de seguridad sobre la dirección seguida, por
la entidad o empresa o corporación, en la búsqueda y el
cumplimiento de los objetivos del negocio.
fuente: www.pc-news.com