lunes, 21 de octubre de 2019

¿Gestión de riesgos: buena práctica o simple moda?

Guillermo Casal, MBA, CPA, CFE, CIA, CFSA, CGAP, CCSA, CRMA, CISA


Hace ya bastante tiempo que la comunidad de control (auditores internos y externos entre otros), viene enfatizando en la necesidad de llevar a cabo una gestión de riesgos sistemática y profesional. Transcurridos 26 años desde la formulación del primer informe C.O.S.O, sin embargo, la gestión de riesgos aún es un tema controvertido.

Por controvertido me refiero a que prácticamente ninguna organización, por pequeña que sea, pone en tela de juicio la necesidad de llevar una contabilidad en debida y legal forma. Sin embargo, en materia de gestión de riesgos los entendimientos son diversos y cubren una amplia gama, desde el desinterés absoluto por el tema hasta un grado de formalidad excesivo que interfiere con las operaciones de la organización.

En este artículo, procuraré analizar los motivos por los cuales el tema resulta todavía discutible para muchas organizaciones

1.    ¿Se reducen las pérdidas previniéndolas con un programa de gestión de riesgos?
2.    ¿Quiénes, cuándo y cómo deben desarrollar la gestión de riesgos?
3.    Desarrollar gestión de riesgos vs. realizar una gestión de riesgos sistemática, debidamente documentada y comunicada
4.    La cuestión de la subjetividad / objetividad
5.    Necesidades de información y comunicación
6.    Documentar los riesgos vs. gestionarlos

Pasemos a analizar estas cuestiones en procura de una conclusión

1. ¿Se reducen las pérdidas previniéndolas con un programa de gestión de riesgos?

La respuesta es que, analizado estadísticamente, la temeridad puede arrojar mejores resultados que la precaución en el corto plazo. Por dar un ejemplo sencillo, supongamos que históricamente un automovilista tiene una probabilidad anual de colisión con daños para su vehículo o el de terceros superior al costo de una póliza de seguro, del 20%. Si decide no tomar la póliza, todo indica que, al cabo del primer año, tendrá un 80% de probabilidades de no arrepentirse de su decisión. La mala noticia es que luego de 10 años esa probabilidad se reduce al 10%, y luego de 15 años, al 3%.........

2. ¿Quiénes, cuándo y cómo deben desarrollar la gestión de riesgos?

Prácticamente todas las organizaciones desarrollan una evaluación de riesgos con involucramiento de sus más altos niveles decisorios, ANTES de decidir una inversión inicial. Ya sea ésta por medio de la compra de un negocio existente (due dillligence), o por medio del establecimiento de un nuevo negocio desde cero.

Este análisis involucra normalmente la elaboración de un presupuesto de inversión y de un caso de negocio para planificar los ingresos y egresos y evaluar la rentabilidad de la actividad a emprender.

En los negocios de pequeño porte sus propietarios continúan re- evaluando este caso de negocios a todo lo largo de la vida de la organización, atentos a nuevas oportunidades y riesgos y pérdidas inesperadas.

La mala noticia es que en las organizaciones grandes se generan capas intermedias e inferiores de administración, y los propietarios sólo toman contacto muy esporádicamente con la marcha del negocio en ocasión de asambleas anuales de accionistas y eventos similares. Algo similar ocurre en el sector público con las administraciones de gran porte. Esto trae a colación problemas del llamado ̈gobierno corporativo ̈, por el cual:

  • Los riesgos con mejor conocidos en niveles subalternos que en los superiores
  • Las decisiones sobre tales riesgos son consecuentemente tomadas por funcionarios cuyos intereses pueden no coincidir plenamente con los de los propietarios del negocio

3. Desarrollar gestión de riesgos vs. realizar una gestión de riesgos sistemática, debidamente documentada y comunicada

En las organizaciones pequeñas, la evaluación de riesgos realizada por los propietarios se basa en el conocimiento que éstos tienen del negocio, sin uso de un método sistemático para identificar y valorar riesgos ni explorar y mucho menos optimizar las alternativas de mitigación. En tales negocios, además, la comunicación entre propietarios y sus dependientes es fluida e informal.

A medida que las organizaciones crecen y se vuelven más complejas, además del alejamiento de los propietarios sobre las decisiones del negocio, se requieren procedimientos formalizados para garantizar que las acciones y decisiones se realizan congruentemente en pos de los mejores intereses de la organización.

Esta complejidad deriva en la acepción vulgar del término ̈burocracia ̈, en la cual los funcionarios anteponen las formalidades a los fines. Las razones para ello son varias, pero entre ellas podemos destacar:

  1. Los incentivos. Los funcionarios no perciben relación entre los resultados de la organización y su propio bienestar. Pero los castigos por incumplir las normas son bien concretos y tangibles, lo que los lleva a priorizar formas por sobre resultados
  2. La percepción de los intereses de la organización. Los funcionarios subalternos pueden no tener claros otros fines que los sectoriales que les comunican sus jefes directos. Los intereses de mayor nivel de la organización no les son comunicados, o no logran relacionar su labor con tales intereses y resultados compartidos.

De todo lo anterior, resulta que la gestión de riesgos termina también burocratizada y enfocada en mitigar riesgos operacionales sectoriales en lugar de aunar esfuerzos compartidos para mitigar los riesgos de alto nivel de la organización.

4. La cuestión de la subjetividad / objetividad

Esta es una cuestión que la contabilidad ha sabido zanjar muy bien por medio de la formulación de principios de contabilidad para la valuación de partidas contables y normas de auditoría para examinar su aplicación.

Paso a explicar concretamente el punto: cuando la contabilidad nos dice que el saldo de caja es de USD 1.000, es sencillo inferir que alguien contó el dinero existente a la fecha de cierre y eso fue lo que registró.

Ahora bien..... ¿qué significa que la organización tenga una previsión por deudores incobrables de USD 184.508? Quiere decir que el año entrante habrá EXACTAMENTE deudores que incumplan sus compromisos por dicho monto?

Quienes sabemos algo de contabilidad sabemos que no es así, que esa es una estimación realizada en base a ciertos parámetros, y auditada conforme determinadas reglas aceptadas para validar independientemente tal cálculo.

El problema con la gestión de riesgos es que si bien existen en muchos casos bases estadísticas y matemáticas para la cuantificación de probabilidad e impacto de los riesgos:

  1. No todas las actividades tienen normas para dicha valoración de los riesgos. Excepciones son la Banca (normas de Basilea) y la actividad aseguradora (Solvencia)
  2. La evaluación de riesgos formalizada no es auditada independientemente ni divulgada públicamente. Mucho menos existen normas de publicación ni de auditoría para tal ejercicio...........

5. Necesidades de información y comunicación

Acotar la subjetividad requiere de un sistema de información (minería de datos) que permita capturar eventos de riesgo y pérdidas y recalcular constantemente la probabilidad e impacto de futuras pérdidas, así como evaluar la real efectividad costo/beneficio de las acciones de mitigación de riesgo (los controles)

El caso es que aún organizaciones que consideran estar practicando una administración formal y documentada de los riesgos carecen de un sistema de minería de datos para tal propósito, y mucho menos de mecanismos para comunicar dicha información a los niveles adecuados de la estructura para tomar acción correctiva y ejercer supervisión

a. Documentar los riesgos vs. gestionarlos

Documentar los riesgos y no mitigarlos cuando existe la posibilidad, es ineficaz. También lo es mitigar los riesgos con acciones preventivas y correctivas cuya efectividad no se evalúa constantemente, según se mencionó en el punto precedente

Conclusión

En su estado actual, la gestión de riesgos se encuentra ̈ atascada a mitad de camino ̈. Esto significa que, fuera de las actividades reguladas (Banca, Seguros y parcialmente administración pública), existen numerosas organizaciones que realizan esfuerzos e incurren en costos de gestión de riesgos que no capturan los beneficios esperados. Consecuentemente, recurre constantemente la tentación de regresar a la temeridad, entendida ésta como administrar sin considerar
debidamente los riesgos. Por debidamente se interpreta explicitando riesgos, comunicándolos a todos los interesados y mitigándolos racionalmente.

¿Qué hace falta para avanzar sustancialmente en la materia?

  1. Formalizar normas de gestión de riesgos de precisión y extensión comparables a los principios contables. A mi modo de ver, las normas existentes en la actualidad son sumamente generales (por caso, no explicitan informes obligatorios ni su formato), y se requiere que las mismas tengan fuerza regulatoria para compañías que hacen oferta pública de valores. Un estado financiero de análisis de riesgos debería ser de divulgación obligatoria en la Memoria anual de las organizaciones listadas, y aprobado por la Asamblea de Accionistas
  2. Definir normas de auditoría externa y eventualmente interna, conducentes a examinar independientemente la información pública de gestión de riesgos
  3. Establecer sistemas de minería de datos alineados con las normas precedentemente mencionadas, para monitorear eventos de riesgo y pérdidas y monitorear la efectividad del programa de gestión de riesgos

¿Te ha gustado la información? ¡Compártela con otro auditor interno!

2 comentarios:

  1. ES MUY BUENA LA INFORMACION QUE BRINDA, SERIA BUENO TAMBIEN VER MODELOS PARA DESARROLLAR LA INFORMACION QUE BRINDA.

    ResponderEliminar
  2. Buena información. Cada entidad debería definir su metodologia de riesgo ajustada a su realidad, pero no siempre están las capacidades para hacerlo.

    ResponderEliminar