Management, NewLearn

Gestión de Riesgos Internos

Written by

Gestión de Riesgos Internos

La gestión de riesgos consiste en que un gerente organice su empresa (o unidad de negocio) para prepararse y prevenir cualquier imprevisto. La gestión de riesgos es una de las ramas más complejas de la administración, ya que requiere que los gerentes sean capaces de evaluar situaciones desconocidas y estar preparados para cualquier eventualidad. Es la técnica de distinguir, investigar y reconocer la incertidumbre y las decisiones de gestión especulativas. En esencia, la gestión de riesgos ocurre cuando un especialista financiero o un gestor de fondos analiza e intenta determinar el potencial de pérdida en una situación dada y, posteriormente, toma las medidas adecuadas para minimizar dicho riesgo.

Controles Internos vs. Externos

Las herramientas para la gestión de riesgos suelen dividirse en controles internos, es decir, herramientas para prevenir problemas internos de la organización, y controles externos, que implican la preparación para afrontar amenazas y problemas externos.

Controles Internos

Los controles internos son los procedimientos y procesos implementados en una organización para garantizar el correcto funcionamiento y la mínima incidencia de errores. Esto incluye aspectos como la creación de procedimientos operativos estándar (POE), el control de calidad (GC) y la auditoría. También incluye comprobaciones e investigaciones para garantizar que dichos POE y procesos de control de calidad se sigan correctamente, no solo documentos sin utilizar. La mayoría de los ejemplos de este artículo se centrarán en la gestión de riesgos internos.

Controles externos

Los controles externos se implementan para proteger a una organización de daños causados ​​por factores externos. Esto incluye aspectos como evaluar la probabilidad de que un nuevo producto no se venda, el daño que se sufriría en caso de accidente y asegurar que la organización cuente con un seguro adecuado en caso de desastre. Los controles externos incluyen aspectos relativamente menores, como la seguridad (para garantizar la protección de los secretos industriales) mediante cobertura cambiaria para evitar daños excesivos en caso de fluctuaciones en los tipos de cambio.

Naturaleza del control de riesgos internos

risk form

El Control de Riesgos Internos es lo que un gerente y una organización implementan para minimizar los riesgos internos. Estos controles se dividen en cuatro categorías generales:

  1. Monitoreo: Se trata de controles implementados para supervisar las operaciones e identificar problemas antes de que se agraven.
  2. Entorno de Control: Se refiere a la organización del lugar de trabajo para minimizar el riesgo. Esto puede abarcar desde la instalación de equipos de seguridad en una fábrica hasta la instalación de firewalls por parte del departamento de TI para protegerse contra virus.
  3. Información y Comunicación: Se trata del establecimiento de informes y canales de comunicación regulares entre departamentos, trabajadores y gerentes. En ocasiones, trabajadores y gerentes creen tener un problema “bajo control”, pero podría estar a punto de convertirse en un desastre; una buena comunicación y generación de informes ayudan a prevenirlo.
  4. Valoración de Riesgos: Es el método que utiliza una organización para calcular el riesgo que cada aspecto de las operaciones añade al conjunto.

La valoración de riesgos es la más compleja, pero también la más importante. Cada organización cuenta con recursos limitados que necesita distribuir para minimizar el riesgo en su conjunto, y este proceso de valoración ayuda a orientar esos esfuerzos. Al mismo tiempo, cada vez que una empresa añade más funciones de supervisión, control e informes a su personal, este dedica más tiempo a la gestión de riesgos y menos a la generación de ingresos. Cada vez que se impone un nuevo control interno, debe sopesarse con el coste que supone para el equipo que se intenta proteger.

El control interno de riesgos se realiza en todos los niveles de gestión. Los gerentes de nivel inferior intentan minimizar los riesgos inherentes a su equipo para el cumplimiento de sus objetivos, mientras que los niveles superiores examinan los riesgos que afectan a toda la organización. Los controles eficaces también son tanto ascendentes como descendentes, mediante la creación de vías de comunicación directas entre los trabajadores de base para informar en cualquier momento en que consideren que se están ignorando los controles internos o si se requieren nuevos controles para abordar nuevos riesgos.

Contraste con el Control de Riesgos Externos

El control de riesgos externos es más flexible, ya que los riesgos externos a una organización no se pueden cuantificar con tanta facilidad. Generalmente, comienza con un análisis FODA (Fortalezas, Debilidades, Oportunidades y Amenazas) y se centra en abordar las amenazas identificadas. El control de riesgos externos suele estar a cargo de los gerentes de alto nivel, quienes luego emiten instrucciones a los niveles inferiores de la gerencia para abordar estos riesgos.

Si bien los controles internos se implementan para garantizar el buen funcionamiento de la organización, los controles de riesgos externos buscan abordar las amenazas al propio negocio. Por ejemplo, las aerolíneas siempre corren el riesgo de que el precio del petróleo suba, lo que provoca un aumento considerable en sus gastos operativos. Una forma importante de control de riesgos externos que ejercen es la compra de futuros de petróleo, que fija un precio fijo durante varios meses, eliminando así la incertidumbre. Los controles de riesgos externos buscan analizar todo, desde los cambios en los precios de los insumos hasta la aprobación de nuevas leyes y regulaciones, y todo lo demás.

Formas de evaluar el riesgo

La evaluación de riesgos no tiene directrices establecidas sobre cómo debe realizarse. Sin embargo, existen un par de reglas generales que se siguen. Existen cinco etapas para garantizar que la evaluación de riesgos se realice con precisión. Estas cinco etapas son:

Etapa 1: Detección de los peligros

Antes de evaluar un riesgo, el primer paso es identificarlo exactamente. El objetivo del Paso 1 es definir de forma clara y concisa los problemas potenciales y los tipos de daños que podrían causarse. Por ejemplo, la maquinaria peligrosa en un lugar de trabajo conlleva un riesgo definido de dañar a los trabajadores, lo que reduce la productividad y da lugar a demandas.

Muchos peligros son inicialmente muy vagos, pero no se pueden implementar controles efectivos hasta que los gerentes identifiquen exactamente qué intentan controlar. Los peligros se pueden reconocer mediante diversos procedimientos, por ejemplo, recorriendo el entorno de trabajo o preguntando a los trabajadores. Algunos peligros pueden ser fáciles de identificar, mientras que otros pueden requerir la ayuda de expertos externos a la empresa.

Etapa 2: Identificación de las partes interesadas

Esta etapa se basa en los peligros y riesgos detectados en la etapa uno. Un problema en el lugar de trabajo tiene diferentes niveles de partes interesadas. Por ejemplo, con maquinaria peligrosa, los trabajadores en riesgo de sufrir lesiones son partes interesadas obvias. Otras partes interesadas serían las demás unidades de la empresa, que se verían afectadas por un incidente en las primeras etapas de la cadena de producción. Esto también afectará a las familias de las personas lesionadas, así como a los accionistas de la empresa, que podrían retirar su inversión debido a la mala prensa tras una lesión.

Etapa 3: Evaluación de los peligros y elección de medidas de control

Evaluar los peligros implica intentar asignar una probabilidad a la probabilidad de que ocurra el peligro. Ningún peligro puede eliminarse por completo, solo minimizarse. Esto significa que las empresas primero identifican la probabilidad de que surja un problema a partir de ese peligro y en qué medida las posibles medidas de control reducirán esa posibilidad.

Los posibles controles se evalúan sopesando su costo de implementación (tanto en valor monetario como en tiempo y esfuerzo del personal necesarios para aplicar el control) con el riesgo que realmente se reduce. Una vez comparadas varias alternativas, se pueden introducir nuevos controles.

Etapa 4: Registro de los hallazgos

Los controles efectivos se implementan a modo de prueba. Esto significa que el equipo recibe una sesión de capacitación para definir los riesgos y los nuevos controles que se están implementando para abordarlos. Durante la prueba, todo el equipo (desde los trabajadores hasta la gerencia involucrada) registra el impacto de la implementación en su trabajo, tanto en términos de abordar los riesgos que abordan los controles como del costo real de su implementación.

Paso 5: Revisar la evaluación y actualizar

Los controles de riesgos deben revisarse continuamente para garantizar su eficacia y actualizarse, con la correspondiente comunicación a todas las partes interesadas. Esto generalmente lo realiza el equipo directivo, con un “Evaluador” específico encargado de realizar una revisión o auditoría del control y su evolución con el tiempo. Es necesario implementar cambios en cada tipo de control con el tiempo para abordar nuevos riesgos y entornos empresariales cambiantes.

Importancia de la auditoría del control de riesgos

Las auditorías son revisiones más amplias de los controles internos de riesgo que una empresa ha implementado. Son independientes de los procedimientos habituales de evaluación de riesgos, pero siguen una hoja de ruta similar para su ejecución.

Las auditorías periódicas de los controles internos de riesgo son esenciales para el buen funcionamiento de una organización. Sus dos principales beneficios son garantizar que los controles internos se implementen según lo diseñado y, al mismo tiempo, obtener una visión general de los controles generales de la organización. Esta visión general puede ayudar a identificar redundancias en los controles internos y agilizar los procesos, haciéndolos más económicos, sencillos y eficaces.

Identificación y Evaluación de Riesgos

Esto es similar a los pasos 1 a 3 de la Evaluación de Riesgos habitual, pero examina las operaciones comerciales en su conjunto, en lugar de las unidades de negocio individuales. El objetivo es identificar los riesgos presentes y los controles existentes para abordarlos. Si no se dispone de los controles adecuados, el equipo de auditoría formulará recomendaciones a las partes interesadas pertinentes para solucionarlo.

Mayor eficiencia y eficacia de los procesos

Este es el proceso que busca armonizar los controles internos de riesgo ya implementados en toda la organización. El objetivo principal de estos ejercicios es facilitar que las unidades de negocio mantengan controles efectivos. Esto suele implicar la fusión de los procedimientos operativos estándar (POE) de diferentes unidades de negocio, la optimización de los canales de comunicación y la obtención de más información de los gerentes sobre qué tipos de controles consumen más tiempo. Las auditorías de control interno eficaces implican que los empleados deben dedicar menos esfuerzo al cumplimiento normativo y más a generar valor para la empresa, sin sacrificar la protección contra el riesgo.

Examen sorpresa