C.P. y M.C. Rosa María Athié Rubio
Profesora de Asignatura PLUS
ITAM
Maestría en Contaduría Universidad de Florida
rathie@itam.mx
En la implementación de las recomendaciones establecidas en el Capítulo VII del Código de Mejores Prácticas Corporativas (CMPC) encontramos las referentes al tema de administración de riesgos, las cuales orientan a los interesados de las organizaciones en la eficiente aplicación de dichas prácticas recomendadas por el Consejo Coordinador Empresarial.
Práctica 50
Se recomienda que se auxilie al Consejo de Administración en la evaluación de los mecanismos para la identificación, análisis, administración y control de los riesgos a los que esté sujeta la sociedad, así como de los criterios para su revelación, que le presente a su aprobación la Dirección General.
Práctica 51
Se recomienda que el Director General presente al Consejo de Administración, en cada una de las sesiones del año, un informe sobre la situación que guarda cada uno de los riesgos identificados.
Administrar los riesgos corporativos significa evaluar los procesos de riesgo de la organización y sus controles, identificándolos y cuantificándolos con el objeto de reducirlos a un nivel aceptado por la organización, pudiéndose referir a varios tipos de amenaza: las causadas por el medio ambiente, la tecnología, los seres humanos, las organizaciones y la política.
En materia de administración de riesgos se requiere que la administración identifique, evalúe, monitoree y maneje adecuadamente los riesgos existentes, ayudando con esto al Consejo a entender el perfil de riesgos de la industria en que opera la empresa y así este órgano pueda cumplir con eficiencia su responsabilidad de vigilancia. La Dirección General y el Consejo de Administración deben manejar la misma visión y lenguaje de los riesgos del negocio.
Según el marco de COSO II (Committee of Sponsoring Organizations) los cuatro objetivos de la administración empresarial de riesgos son:
- Estratégico (objetivos)
- Operativo (eficiencia)
- Cumplimiento (leyes y reglamentos)
- Informativo (reportes)
Al administrar los riesgos se deben considerar y controlar los efectos adversos a los que está expuesta una organización, con el fin de evitarlos, reducirlos, retenerlos y/o transferirlos, aunque por otro lado las organizaciones aprovechan la oportunidad del riesgo porque puede llevarlas a obtener una ventaja competitiva y generarles beneficios económicos.
La gestión de riesgos corporativos ayuda a la Dirección a alcanzar los objetivos deseados de rendimiento y rentabilidad, además ayuda a prevenir pérdidas de recursos. En este aspecto el Consejo de Administración es el responsable de supervisar el estado de dicha gestión, asegurándose de ser informado no solo de los riesgos más significativos, sino de las acciones que la Dirección está realizando y de la manera en que asegura una gestión eficaz de los mismos.
Entre las capacidades inherentes a la administración de riesgos se incluyen: alinear el riesgo aceptado y niveles de tolerancia con la estrategia, mejorar las decisiones de respuesta a los riesgos, reducir las sorpresas y pérdidas operativas, aprovechar las oportunidades y mejorar la dotación de capital.
Más allá del control interno, la administración de riesgos requiere ciertos puntos en los que el Consejo de Administración debe enfocarse; por ejemplo:
- Considerar los riesgos en el momento de formular la estrategia de la organización.
- Determinar qué nivel de riesgo está dispuesto a aceptar.
- Que las decisiones en esta materia sean consistentes con la política de riesgo establecida.
Fases del proceso cíclico para la administración de los riesgos:
- Alcance y estrategia:
- ¿Cuál es la estrategia de la empresa?
- ¿Qué riesgos tomar y cuáles no?
- Recursos requeridos
- Infraestructura
- Obligaciones corporativas (legales y civiles)
- Análisis:
- Identificar el enfoque del riesgo
- Identificar los indicadores clave de riesgo
- Evaluar escenarios/impacto de negocio
- Determinar la probabilidad de pérdida
- Evaluar la adecuación de las contramedidas
- Identificar oportunidades de mejora
- Definir la intervención/prioridades de administración
- Implementación:
- Documentar con políticas, procedimientos y prácticas
- Conducir el cambio enfrentamiento/comportamiento
- Cubrir y financiar el riesgo
- Monitoreo:
- Medir costos y exposición
- Establecer controles de auditoría
- Comparar con las mejores prácticas
- Evaluar indicadores clave de riesgo
- Contribuir para el valor del accionista mejora/protección
Políticas de revelación de riesgos
Se recomienda separar la política de riesgos de la política de inversión y financiamiento. La Política de Inversión y Financiamiento (PIF) debe revelar los riesgos en los que está incurriendo la organización, siempre en concordancia con un adecuado control interno. Las mejores prácticas establecen que como mínimo se cuente con un sistema que permita el manejo de los riesgos con el siguiente esquema:
Sistema de Administración de Riesgos
El órgano encargado de la función de riesgos debe: proponer al Consejo de Administración los objetivos, lineamientos, políticas y límites de exposición al riesgo, así como las acciones correctivas, aprobar niveles de tolerancia al riesgo, identificar, medir, controlar y revelar los distintos tipos de riesgo, ratificar los parámetros y metodologías a seguir.
De igual manera debe informar al Consejo de Administración sobre la exposición al riesgo asumida por la organización y los efectos negativos que se podrían producir en el funcionamiento de la misma y deberá asegurar el conocimiento de lo anterior a todo el personal involucrado en la toma de riesgos.
Plan para recuperación de desastres y restablecimiento del negocio
Un plan para recuperación es la prevención de la organización ante aquellas situaciones de riesgo que la pueden afectar de forma crítica y un plan de continuidad del negocio (BCP, por sus siglas en inglés), garantiza que la organización continúe con su operación y que pueda hacer frente a las emergencias.
Los riesgos de desastres potenciales incluyen los desastres naturales como: inundaciones, huracanes, terremotos e incendios; accidentes, sabotaje, interrupciones de energía, ataques cibernéticos y la actividad de los piratas cibernéticos. El BCP se aplica tanto a organizaciones grandes, medianas, pequeñas e incluso micro empresas, como a todo proceso; su aplicación involucra las siguientes fases que garantizan su funcionalidad:
- Análisis y evaluación de riesgos.
- Selección de estrategias.
- Desarrollo del plan.
- Pruebas y mantenimiento del plan.
Es necesario que cualquier organización aprenda a funcionar con riesgo, debido a que este es inevitable en toda actividad empresarial; para ello hay que analizar la relación costo-beneficio al implementar los controles necesarios para mitigar los riesgos, y aquí es donde la gestión de riesgo apoya un crecimiento adecuado del negocio, convirtiéndose en un impulsor de la rentabilidad.