MADUREZ DE GESTIÓN DE RIESGOS EN LAS ORGANIZACIONES

Los modelos de madurez permiten evaluar el grado de preparación de la organización para afrontar los eventos internos y externos a los que la organización está expuesta.  El modelo de madurez ayuda a cuantificar en el seguimiento, el grado de cumplimiento de los controles y su aporte a la eficacia general del sistema. La cuantificación de los resultados requiere una herramienta de medición que compile los datos y muestre de forma numérica y grafica el comportamiento de uno o más periodos, para hacer un análisis óptimo de la información.

Los indicadores aplicados al seguimiento de los riesgos, estructuran una base para conocer el comportamiento de las variables a medir en diferentes periodos; es por esto que los indicadores van de la mano con el seguimiento a la matriz de riesgos. Al agrupar todos los aspectos se obtiene como resultado la metodología de análisis adecuada para el seguimiento.

 

¿QUÉ ENTENDEMOS POR “MADUREZ DE GESTIÓN DE RIESGOS”?

Dentro de la estructura de empresas y organizaciones de todos los sectores productivos e industriales se valora cada vez más la efectiva y correcta gestión de riesgos como un proceso fundamental y estratégico dentro de su política empresarial, para no sólamente obtener rentabilidad y cumplir con la normativa aplicable a su sector, sino también garantizar su sostenibilidad y continuidad de manera prolongada en el tiempo.

Es preciso por tanto definir bien qué entendemos por madurez en la gestión de riesgos, qué modelos existen para medirla y qué preguntas debe hacerse una organización para saber de manera precisa en qué nivel se encuentra respecto a este proceso.

¿PERO QUÉ ES EXACTAMENTE LA MADUREZ DE GESTIÓN DE RIESGOS?

Con el término “madurez de gestión de riesgos” generalmente nos referimos al nivel de preparación del que dispone una organización en cuanto a la gestión de riesgos, es decir, indica el conocimiento que ésta tiene sobre este proceso y de qué manera lo implementa en los procesos de su organización.

En un sentido general, la madurez de gestión de riesgos permite a empresas y organizaciones conocer en qué punto se encuentran respecto al modo en que administran los diferentes riesgos a los que están expuestas.

¿POR QUÉ ES IMPORTANTE CONOCER EL NIVEL DE MADUREZ DE GESTIÓN DE RIESGOS DENTRO DE UNA ORGANIZACIÓN?

Una evaluación y un estudio riguroso sobre el nivel de madurez de riesgos ayuda a ver qué se está haciendo bien, qué elementos faltan por considerar y, partiendo de este punto, definir, estructurar e implementar acciones concretas que permitan lograr el mayor nivel de madurez en gestión de riesgos.

 

MODELOS DE MADUREZ DE GESTIÓN DE RIESGOS

Existen diferentes modelos que permiten evaluar el nivel de madurez de una organización en la gestión de sus riesgos. Algunos de estos son:

A. Índice de Madurez de Riesgo

Desarrollado en el año 2011 por Aon y The Wharton School de la Universidad de Pennsylvania, este índice permite a gerentes, directores y profesionales responsables de riesgos en general identificar cuáles son las áreas críticas en su proceso de gestión de riesgos a partir de la evaluación de prácticas relacionadas con el gobierno corporativo y la toma de decisiones.

En esta evaluación que propone el Índice de Madurez de Riesgo de Aon y The Wharton School se tienen en cuenta las siguientes diez características:

1. Entendimiento y compromiso con la gestión de riesgos como un factor crítico para la toma de decisiones y para impulsar el valor a nivel de la junta.
2. Un ejecutivo de nivel senior que impulse y facilite los procesos clave y el desarrollo de la gestión de riesgos.
3. Transparencia en la comunicación de riesgos.
4. Una cultura del riesgo que incentiva una completa participación y rendición de cuentas en todos los niveles de la organización.
5. Identificación de los riesgos existentes y emergentes, utilizando datos e información internos y externos.
6. Participación de los principales grupos de interés en el desarrollo de la estrategia de gestión de riesgos y en la definición de políticas.
7. Recolección e incorporación formal de la información de riesgos operativos y financieros al proceso de toma de decisiones.
8. Integración de información sobre la gestión de riesgos a los procesos de capital humano para incentivar un desempeño comercial sostenible.
9. Uso de métodos de cuantificación sofisticados para entender el riesgo y demostrar el valor agregado mediante la gestión de riesgos.
10. Pasar de enfocarse en evitar y mitigar los riesgos a apalancar el riesgo y las opciones de gestión del riesgo que extraen valor.

A partir de toda la información recogida, el nivel de madurez de la organización se califica en una escala de 1 a 5 de la siguiente manera:

1. Nivel 1 o Nivel Inicial: la organización identifica y aborda los riegos, pero lo hace de forma aislada. El alcance del proceso de gestión de riesgos es limitado.
2. Nivel 2 o Nivel Básico: el conocimiento, manejo y monitoreo de los riesgos clave de la organización es inconsistente. Las capacidades para gestionar los riesgos son limitadas, además, la información que se tiene de este proceso es informal.
3. Nivel 3 o Nivel Definido: la organización aborda sus riesgos clave, hay capacidades para medirlos y administrarlos y monitorearlos, pero pueden haber inconsistencias al interior.
4. Nivel 4 o Nivel Operativo: se conocen los principales riesgos de la organización y las actividades para abordarlos se ejecutan de manera consistente. La información sobre la gestión de riesgos se tiene en cuenta explícitamente para la toma de decisiones.
5. Nivel 5 o Nieval Avanzado: la organización tiene una alta capacidad para identificar, medir, administrar y monitorear sus riesgos. La gestión de riesgos es dinámica y se adapta a los cambios, además, es considerada como un proceso que brinda ventajas competitivas.

B. Modelo de medición para auditores

El modelo de medición para auditores fue desarrollado en 2002 por Basil Orsini, quien fuera en su momento director de Auditoría Interna del Departamento de Recursos Humanos en Canadá. Este modelo centra la medición del nivel de madurez de gestión de riesgos en cinco aspectos principales:

1. Cultura.
2. Liderazgo y compromiso.
3. Integración con los sistemas organizacionales.
4. Habilidades en gestión de riesgos.
5. Reporte y control.

A partir de la evaluación que se realiza para cada uno de estos puntos, los niveles de madurez identificados son:

1. Incipiente: no se ha implementado formalmente un sistema de gestión de riesgos, la identificación o seguimiento de estos no es consciente.
2. Conocido: aunque hay un sistema formal de gestión de riesgos, la administración de estos es dispersa, descentralizada y no hay una adecuada capacitación.
3. Definido: se cumple con el sistema de gestión de riesgos establecido, hay políticas y procedimientos que involucran a toda la organización en este proceso.
4. Administrado: la gestión de riesgos se desarrolla de forma adecuada y hay claridad sobre la tolerancia al riesgo por parte de la organización.
5. Optimizado: la gestión de riesgos hace parte de la cultura organizacional, hay indicadores para su medición y monitoreo constante.

 

DISTINTAS PREGUNTAS NECESARIAS PARA CONOCER Y EVALUAR CORRECTAMENTE EL GRADO DE MADUREZ DE GESTIÓN DE RIESGOS

Al momento de realizar una evaluación para conocer cómo está la gestión de riesgos en la organización, que debe ser considerada como parte fundamental de todos los procesos, es fundamental tener en cuenta diferentes preguntas que engloban los aspectos más relevantes, por ejemplo, el gobierno, el proceso de gestión, las personas, la tecnología, el apetito de riesgo, las políticas y los procedimientos, entre otros.

Algunas de las preguntas que pertinentes para realizarse son:

1. En el sistema de gestión de riesgos de la organización, ¿se aplican buenas prácticas para llevar a cabo este proceso?
2. ¿La estructura de la organización permite una adecuada gestión de los riesgos? ¿Existe una unidad de riesgos o un comité encargado de estos asuntos?
3. ¿La dirección de la empresa entiende la importancia de gestionar los riesgos? ¿Hasta qué punto está la dirección involucrada con este proceso?
4. Para la toma de decisiones en la organización, ¿se tiene en consideración el monitoreo y seguimiento de riesgos?
5. ¿Cómo se evalúan y monitorean los riesgos? ¿Qué indicadores se tienen para la gestión de riesgos? ¿El seguimiento a los riesgos se realiza de manera continua?
6. ¿Se cuenta con herramientas tecnológicas para la identificación, evaluación, control y seguimiento adecuado y eficiente de los riesgos? Por ejemplo, mediante el empleo de un sistema de software adecuado que haga más sencilla la gestión de riesgos en las organizaciones.
7. ¿Cómo se registran y comunican los eventos de riesgos? ¿Se realiza el registro y la comunicación de forma oportuna y constante?
8. ¿La metodología definida por la organización para la gestión de riesgos está recogida en un manual o política? ¿Se sigue correctamente y de forma rigurosa?
9. ¿Las políticas y manuales de gestión de riesgos se encuentran alineadas con los objetivos y valores de la organización? ¿Existen planes de capacitación y difusión que faciliten el entendimiento de la gestión de riesgos en toda la organización?

Todas estas preguntas conforman en realidad una guía para conocer el nivel de madurez de gestión de riesgos que tiene la empresa. El nivel al que se debe aspirar es al más alto (avanzado u optimizado) pues este demuestra que la gestión de riesgos se desarrolla de forma estructurada, sistemática y oportuna e involucra a todo el personal de la organización, y de esta forma es posible cumplir con los objetivos estratégicos y asegurar la continuidad del negocio en el largo plazo.

En síntesis, la madurez de gestión de riesgos permite conocer el nivel en el que las organizaciones identifican, evalúan, controlan y registran los riesgos asociados a su acividad productiva.