La forma en que las
organizaciones gestionan alcanzar eficientemente los objetivos estratégicos
establecidos, cumpliendo así las expectativas de las partes interesadas que en
ellas participan, es un proceso de mejora continua sometido a cambios permanentes
en el modo de desarrollarlo.
En estos momentos creo
que podríamos decir que una de la más consolidada es la que se realiza a través
de la aplicación de técnicas de gestión de riesgos. En este sentido es
frecuente encontrarnos con acrónimos como: ERM, COSO, KRI, KPI, etcétera, todos
ellos relacionados con dichas técnicas, y que, para los que se desenvuelven
profesionalmente en el entorno de esos ámbitos, no precisan de una aclaración
de su significado, lo que puede darnos una idea de lo extendido y familiar que resulta
su uso.
Aunque el origen de estas
técnicas de gestión de riesgos podríamos situarlo en el año 1988, fecha en la
que se publicó el protocolo denominado Basilea I, con el que se describieron
determinadas recomendaciones con las que determinar el capital mínimo que debían
tener las entidades bancarias en función de los riesgos que afrontaban, no es
hasta el año 2004, con la publicación
de documento Gestión de Riesgos
Corporativos-Marco Integrado elaborado por el Committe of Sponsoring Organizations of the Treadway Commission, cuando
realmente se dan por primera vez las pautas y las orientaciones necesarias para
realizar una gestión empresarial genérica basada en riesgos, aunque sin incluir
en ellas todavía ni la sistemática, ni el necesario detalle de cómo podrían ser
implementadas por profesionales sin experiencia previa en éstos ámbitos, lo que
obligaba a tener que solicitar el apoyo de expertos en la materia, encareciendo
el proceso.
O lo que es lo mismo,
pero con otra forma de decirlo, con COSO II ya sabíamos lo que teníamos que
hacer, pero faltaba establecer cómo debíamos hacerlo.
Para cubrir esta
carencia, entre otros objetivos, la Organización Internacional de Normalización
(ISO) ha emitido varios documentos relacionados con este tema, en concreto las
Normas ISO 31. 000 y la 31.010, así como la Guía 73, todos ellos en el año
2009, que entendemos deben ser tratados en forma conjunta, pues se complementan
y permiten su adecuada interpretación y empleo. Veamos porque:
De la Norma 31.000, Gestión del Riesgo. Principios y directrices,
ya que en este blog se han compartido varias e interesantes referencias a su contenido
y utilidad, no creo necesario insistir nuevamente en ello, pero sí, si se me
permite, reproducir dos recomendaciones que se recogen en la misma y que señalan:
a) Las organizaciones
han de desarrollar, implementar y mejorar de manera continuada un marco de
trabajo cuyo objetivo sea integrar
el proceso de gestión de riesgo en los procesos de gobierno, de estrategia, de
gestión y de elaboración de informes, así como en las políticas, los valores y
en la cultura de toda la organización.
b) Aunque las
organizaciones ya hayan adoptado un proceso formal de gestión de riesgos para
riesgos particulares o de circunstancias, deberían hacer una revisión crítica
de sus prácticas y procesos existentes a la vista de lo expresado por la ISO
31.000.
Comentarios que
interpreto señalan: (i) la idea básica que subyace en la ISO 31.000 respecto de
que la gestión de riesgos no es algo
asilado e inconexo con el resto de los procesos de la organización, sino que,
por el contrario, está totalmente relacionado con ellos al ser una parte de los
mismos, y (ii) que el proceso de gestión de riesgos debe estar sometido a una
revisión permanente que permita su mejora continua.
Por lo que se refiere
a la Norma 31.010, Gestión del Riesgo. Técnicas de apreciación del riesgo, que como de
su propio título se podría deducir, proporciona las directrices para la
selección y posterior aplicación de las técnicas
sistemáticas para la apreciación de
los riesgos, en función de las circunstancias que puedan concurrir en cada
caso. Aclarándo que por apreciación debe entenderse el proceso global de:
identificación, análisis y evaluación del riesgo.
Mientras que la Guía
73, Gestión de Riesgos. Terminología,
proporciona las definiciones y significados para los diversos términos que se
emplean en el contexto de ambas Normas.
Por consiguiente, si
COSO nos enseñó en lo que consistía la Gestión de Riesgos Corporativos,
definiéndolo como: Un proceso efectuado
por el directorio, la administración y las personas de la organización,
aplicado desde la definición estratégica hasta las actividades del día a día,
diseñado para identificar eventos potenciales que pueden afectar a la
organización y administrar los riesgos dentro de su apetito, a objeto de
proveer una seguridad razonable respecto del logro de los objetivos de la
organización; la Norma ISO 31.000 incide fundamentalmente en los principios
y las directrices necesarias para una implementación eficiente de dicho
proceso, es decir, en el cómo hacerlo bien desde el principio a través de su adecuada
planificación, en tanto que la Norma 31.010 se enfoca al desarrollo de esta
planificación, seleccionando y programando la forma práctica de hacerlo.
Desde mi punto de
vista la ISO 31.000 y 31.010 no invalidan ninguno de los apartados de COSO II,
únicamente los perfeccionan y aportan directrices de gran utilidad para los responsables empresariales que pretendan
implantar una gestión de riesgos en sus organizaciones e, incluso, si ya
disponen de ello, de ofrecer la posibilidad de comparar los métodos que estén
aplicando con las “mejores prácticas” que se recogen en ambas Normas.
Para ir acabando no
me gustaría dejar de comentar un punto que, en contra de lo que acabo de
señalar respecto de que no existen contradicciones entre ambos protocolos, y que
en todo caso entendería como la excepción que confirma la regla, es el concepto
de riesgo que ambos documentos
emplean, que considera encierran algunas diferencias importantes.
Según COSO son
eventos potenciales aquellos hechos que, de ocurrir, afectarían a la entidad,
determinado si representan oportunidades o si pueden afectar negativamente a la
capacidad de la empresa para implantar la estrategia y lograr los objetivos con
éxito. Los eventos con impacto positivo serían oportunidades, mientras que los
que tengan un impacto negativo se considerarán riesgos.
Mientras que para
ISO, el riesgo se define como: “Efecto de
la incertidumbre sobre la consecución de los objetivos”, aclarando en la
Nota 1, que un efecto es una desviación, positiva y/o negativa, respecto de lo
previsto. Por lo que la definición debería quedar de la siguiente forma:
Riesgo: Desviación positiva y/o negativa en la
consecución de los objetivos, consecuencia
de la incertidumbre.
Ya sé que no se puede
elegir, pero por si acaso, yo me quedo con el concepto de COSO, pues creo que
está mucho más vinculado a la manera convencional de entender los riesgos, como
consecuencia asociada a ciertos peligros. Hablar ahora de riesgos buenos y
riesgos malos, al igual que hacemos con el colesterol, creo que no es oportuno,
pues nos obligará, cuando comentemos situaciones de riesgo, a precisar si
estamos en un escenario positivo o en otro negativo, evitando así confusiones.
Pero esta anécdota,
que entiendo podría ser en algún caso significativa, no debe ocultarnos las
grandes virtudes que pueden derivarse de ambas Normas ISO, sobre todo si las
analizamos desde la perspectiva de la función de auditoría interna.
En este sentido, tanto
en su vertiente de aseguramiento como en la de consulta, las Normas 31.000 y
31.010 aportan una sistemática a la que auditoría
interna podrá acudir, apoyarse y referirse en el momento de apoyar la
implantación de un proceso de gestión de riesgo, o posteriormente también en su supervisión.
En el mismo sentido, y ahora situándonos como partícipes en evaluaciones de
calidad de los Departamentos de Auditoría Interna, recogidas como algo
preceptivo en el Marco Internacional de la Práctica Profesional del IIA, el poder
concluir sobre la forma en la que las unidades de auditoría interna enfocan la
Gestión de Riesgos de una manera objetiva, presiento que se verá facilitada
enormemente si se siguen los pasos establecidos por ISO, tanto en el epígrafe
5.6 de la 31.000, Seguimiento y revisión,
como en el resto de sus pronunciamientos. Por consiguiente, bienvenidas sean.
No hay comentarios:
Publicar un comentario