Guillermo Casal, MBA, CPA, CFE, CIA, CFSA, CGAP, CCSA, CRMA, CISA
Hace ya bastante tiempo que la comunidad de control (auditores internos y externos entre otros), viene enfatizando en la necesidad de llevar a cabo una gestión de riesgos sistemática y profesional. Transcurridos 26 años desde la formulación del primer informe C.O.S.O, sin embargo, la gestión de riesgos aún es un tema controvertido.
Hace ya bastante tiempo que la comunidad de control (auditores internos y externos entre otros), viene enfatizando en la necesidad de llevar a cabo una gestión de riesgos sistemática y profesional. Transcurridos 26 años desde la formulación del primer informe C.O.S.O, sin embargo, la gestión de riesgos aún es un tema controvertido.
Por
controvertido me refiero a que prácticamente ninguna organización, por pequeña
que sea, pone en tela de juicio la necesidad de llevar una contabilidad en
debida y legal forma. Sin embargo, en materia de gestión de riesgos los
entendimientos son diversos y cubren una amplia gama, desde el desinterés
absoluto por el tema hasta un grado de formalidad excesivo que interfiere con
las operaciones de la organización.
En este
artículo, procuraré analizar los motivos por los cuales el tema resulta todavía
discutible para muchas organizaciones
1.
¿Se
reducen las pérdidas previniéndolas con un programa de gestión de riesgos?
2.
¿Quiénes,
cuándo y cómo deben desarrollar la gestión de riesgos?
3.
Desarrollar
gestión de riesgos vs. realizar una gestión de riesgos sistemática, debidamente
documentada y comunicada
4.
La
cuestión de la subjetividad / objetividad
5.
Necesidades
de información y comunicación
6.
Documentar
los riesgos vs. gestionarlos
Pasemos
a analizar estas cuestiones en procura de una conclusión
1. ¿Se reducen las pérdidas
previniéndolas con un programa de gestión de riesgos?
La
respuesta es que, analizado estadísticamente, la temeridad puede arrojar
mejores resultados que la precaución en el corto plazo. Por dar un ejemplo
sencillo, supongamos que históricamente un automovilista tiene una probabilidad
anual de colisión con daños para su vehículo o el de terceros superior al costo
de una póliza de seguro, del 20%. Si decide no tomar la póliza, todo indica
que, al cabo del primer año, tendrá un 80% de probabilidades de no arrepentirse
de su decisión. La mala noticia es que luego de 10 años esa probabilidad se
reduce al 10%, y luego de 15 años, al 3%.........
2. ¿Quiénes, cuándo y cómo deben
desarrollar la gestión de riesgos?
Prácticamente
todas las organizaciones desarrollan una evaluación de riesgos con
involucramiento de sus más altos niveles decisorios, ANTES de decidir una
inversión inicial. Ya sea ésta por medio de la compra de un negocio existente
(due dillligence), o por medio del establecimiento de un nuevo negocio desde
cero.
Este análisis
involucra normalmente la elaboración de un presupuesto de inversión y de un
caso de negocio para planificar los ingresos y egresos y evaluar la
rentabilidad de la actividad a emprender.
En
los negocios de pequeño porte sus propietarios continúan re- evaluando este
caso de negocios a todo lo largo de la vida de la organización, atentos a
nuevas oportunidades y riesgos y pérdidas inesperadas.
La
mala noticia es que en las organizaciones grandes se generan capas intermedias
e inferiores de administración, y los propietarios sólo toman contacto muy
esporádicamente con la marcha del negocio en ocasión de asambleas anuales de
accionistas y eventos similares. Algo similar ocurre en el sector público con
las administraciones de gran porte. Esto trae a colación problemas del llamado
̈gobierno corporativo ̈, por el cual:
- Los riesgos con mejor
conocidos en niveles subalternos que en los superiores
- Las decisiones sobre tales
riesgos son consecuentemente tomadas por funcionarios cuyos intereses
pueden no coincidir plenamente con los de los propietarios del negocio
3. Desarrollar gestión de
riesgos vs. realizar una gestión de riesgos sistemática, debidamente
documentada y comunicada
En
las organizaciones pequeñas, la evaluación de riesgos realizada por los
propietarios se basa en el conocimiento que éstos tienen del negocio, sin uso
de un método sistemático para identificar y valorar riesgos ni explorar y
mucho menos optimizar las alternativas de mitigación. En tales negocios,
además, la comunicación entre propietarios y sus dependientes es fluida e
informal.
A
medida que las organizaciones crecen y se vuelven más complejas, además del alejamiento
de los propietarios sobre las decisiones del negocio, se requieren
procedimientos formalizados para garantizar que las acciones y decisiones se
realizan congruentemente en pos de los mejores intereses de la organización.
Esta
complejidad deriva en la acepción vulgar del término ̈burocracia ̈, en la
cual los funcionarios anteponen las formalidades a los fines. Las razones para
ello son varias, pero entre ellas podemos destacar:
- Los incentivos. Los funcionarios no perciben
relación entre los resultados de la organización y su propio bienestar.
Pero los castigos por incumplir las normas son bien concretos y tangibles,
lo que los lleva a priorizar formas por sobre resultados
- La percepción de los intereses de la
organización. Los funcionarios subalternos pueden no tener claros otros
fines que los sectoriales que les comunican sus jefes directos. Los
intereses de mayor nivel de la organización no les son comunicados, o no
logran relacionar su labor con tales intereses y resultados compartidos.
De
todo lo anterior, resulta que la gestión de riesgos termina también
burocratizada y enfocada en mitigar riesgos operacionales sectoriales en lugar
de aunar esfuerzos compartidos para mitigar los riesgos de alto nivel de la
organización.
4. La cuestión de la
subjetividad / objetividad
Esta
es una cuestión que la contabilidad ha sabido zanjar muy bien por medio de la
formulación de principios de contabilidad para la valuación de partidas
contables y normas de auditoría para examinar su aplicación.
Paso
a explicar concretamente el punto: cuando la contabilidad nos dice que el saldo
de caja es de USD 1.000, es sencillo inferir que alguien contó el dinero
existente a la fecha de cierre y eso fue lo que registró.
Ahora
bien..... ¿qué significa que la
organización tenga una previsión por deudores incobrables de USD 184.508?
Quiere decir que el año entrante habrá EXACTAMENTE deudores que incumplan sus
compromisos por dicho monto?
Quienes
sabemos algo de contabilidad sabemos que no es así, que esa es una estimación
realizada en base a ciertos parámetros, y auditada conforme determinadas
reglas aceptadas para validar independientemente tal cálculo.
El
problema con la gestión de riesgos es que si bien existen en muchos casos
bases estadísticas y matemáticas para la cuantificación de probabilidad e
impacto de los riesgos:
- No todas las actividades tienen normas para
dicha valoración de los riesgos. Excepciones son la Banca (normas de
Basilea) y la actividad aseguradora (Solvencia)
- La evaluación de riesgos formalizada no es
auditada independientemente ni divulgada públicamente. Mucho menos
existen normas de publicación ni de auditoría para tal
ejercicio...........
5. Necesidades de
información y comunicación
Acotar
la subjetividad requiere de un sistema de información (minería de datos) que
permita capturar eventos de riesgo y pérdidas y recalcular constantemente la
probabilidad e impacto de futuras pérdidas, así como evaluar la real
efectividad costo/beneficio de las acciones de mitigación de riesgo (los
controles)
El
caso es que aún organizaciones que consideran estar practicando una
administración formal y documentada de los riesgos carecen de un sistema de minería
de datos para tal propósito, y mucho menos de mecanismos para comunicar dicha
información a los niveles adecuados de la estructura para tomar acción
correctiva y ejercer supervisión
a. Documentar los riesgos
vs. gestionarlos
Documentar
los riesgos y no mitigarlos cuando existe la posibilidad, es ineficaz. También
lo es mitigar los riesgos con acciones preventivas y correctivas cuya
efectividad no se evalúa constantemente, según se mencionó en el punto
precedente
Conclusión
En
su estado actual, la gestión de riesgos se encuentra ̈ atascada a mitad de
camino ̈. Esto significa que, fuera de las actividades reguladas (Banca,
Seguros y parcialmente administración pública), existen numerosas
organizaciones que realizan esfuerzos e incurren en costos de gestión de
riesgos que no capturan los beneficios esperados. Consecuentemente, recurre
constantemente la tentación de regresar a la temeridad, entendida ésta como
administrar sin considerar
debidamente
los riesgos. Por debidamente se interpreta explicitando riesgos,
comunicándolos a todos los interesados y mitigándolos racionalmente.
¿Qué
hace falta para avanzar sustancialmente en la materia?
- Formalizar normas de gestión de riesgos de
precisión y extensión comparables a los principios contables. A mi modo
de ver, las normas existentes en la actualidad son sumamente generales
(por caso, no explicitan informes obligatorios ni su formato), y se
requiere que las mismas tengan fuerza regulatoria para compañías que
hacen oferta pública de valores. Un estado financiero de análisis de
riesgos debería ser de divulgación obligatoria en la Memoria anual de
las organizaciones listadas, y aprobado por la Asamblea de Accionistas
- Definir normas de auditoría externa y
eventualmente interna, conducentes a examinar independientemente la
información pública de gestión de riesgos
- Establecer sistemas de minería de datos
alineados con las normas precedentemente mencionadas, para monitorear
eventos de riesgo y pérdidas y monitorear la efectividad del programa de
gestión de riesgos
¿Te ha gustado la información? ¡Compártela con otro auditor
interno!
ES MUY BUENA LA INFORMACION QUE BRINDA, SERIA BUENO TAMBIEN VER MODELOS PARA DESARROLLAR LA INFORMACION QUE BRINDA.
ResponderEliminarBuena información. Cada entidad debería definir su metodologia de riesgo ajustada a su realidad, pero no siempre están las capacidades para hacerlo.
ResponderEliminar