Iván Rodríguez
Un tema que es motivo de recurrente revisión por parte de los auditores es el de apetito de riesgo. De acuerdo con COSO, es la cantidad de riesgo, a un amplio nivel, que una organización está dispuesta a aceptar en busca de valor. Para que esta definición se concrete, normalmente se efectúa una declaración de apetito de riesgo.Ahora bien, los reguladores y los miembros de la junta procuran evitar que la administración de las empresas asuma demasiado riesgo en el logro de sus objetivos. Esto es, actuar o no actuar de una manera que ponga en peligro el éxito, incluso la viabilidad de la organización sin una buena razón y sin la aprobación de los accionistas o propietarios de la empresa. Sumado a ello, si la empresa sufre dificultades, puede afectar a otros terceros, incluidos los clientes, los acreedores y la comunidad. En ese sentido, el concepto de apetito de riesgo ha sido ampliamente aceptado en el sector de los servicios financieros y es requerido por los reguladores bancarios y de seguros.
De ahí la necesidad de definir límites a la toma de riesgos. Esta es una sana práctica que siempre ha existido en las empresas con una buena administración. Antes de que se hablara del apetito por el riesgo y que existieran declaraciones de apetito de riesgo se tomaban medidas administrativas al respecto. No resulta razonable dejar a la administración sin control y permitir que asuman todo el riesgo, mientras pone a la organización en peligro.
Algunos controles habituales que se toman, son los siguientes:
- Límites de gasto (presupuestos) y compras (órdenes de compra)
- Límites a la concesión de crédito
- Límites a la aprobación de descuentos
- Límites a la aprobación y firma de contratos y compromisos, tanto de compra como de venta
- Límites comerciales
- Requisitos de aprobación para la concesión de derechos de acceso al sistema
- Políticas de salud y seguridad
- Políticas éticas
- Políticas y estándares de seguridad de la información
Algunas empresas han desarrollado declaraciones de apetito de riesgo que intentan llegar a un solo número o valor para todas las fuentes de riesgo que enfrenta la organización. Aunque no es lógico, tampoco es apropiado agregar fuentes de riesgo dispares, como el riesgo crediticio, el riesgo operativo, el riesgo cibernético, bajo la misma cifra. En otros casos las declaraciones de apetito de riesgo dicen algo como: "la empresa tiene una baja tolerancia al riesgo de cumplimiento" o “aceptaremos un riesgo moderado para la seguridad del personal”, incluso “tenemos un bajo apetito por los riesgos relacionados con el mal uso de los recursos".
La declaración de apetito de riesgo debería explicar cómo se guía a la administración para que tome los riesgos correctos, así como asegurar que haya suficiente orientación para las decisiones tomadas por la administración (y la junta según sea necesario). No se trata de llegar a un solo valor para el apetito de riesgo, ni llegar a números únicos para diferentes tipos de riesgo. Debe evitarse un lenguaje vago como "tenemos un apetito bajo". No parece lógico decir que se tiene un apetito bajo (o sin apetito) por temas de cumplimiento o fallas de seguridad. Es imposible tener una probabilidad cero de un fallo en cualquiera de las áreas.
Una buena práctica es tomar cada área de riesgo y hacer referencia a cómo se guía la gestión cuando se trata de tomarlo. El documento debería explicar qué políticas, procedimientos y normas se aplican y si existen límites específicos. Sería apropiado incluir cómo se manejan las excepciones. En algunos casos, habrá límites específicos, como en la concesión de crédito. En otros casos, como la seguridad de los empleados, el juicio de la dirección se guiará por políticas, procedimientos y estándares relacionados. Es esencial que la administración pueda asumir el riesgo adecuado cuando se justifique, tomando decisiones informadas e inteligentes. Hay casos, (según lo reconoce COSO), en que los límites podrían ser excedidos cuando la necesidad o recompensa del negocio lo justifica. Un límite rígido tiene el efecto de limitar el éxito.
Para que la gestión de riesgos sea significativa, debe proporcionar información procesable para ayudar a las personas a tomar decisiones informadas e inteligentes, y tomar el nivel adecuado de los riesgos adecuados. La declaración de apetito de riesgo no debe hacerse para cumplir con la regulación. Hay que buscar que sea útil y facilite la toma de decisiones correctas.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!