Gestión de Riesgos Internos
La gestión de riesgos es cuando un gerente intenta organizar su empresa (o unidad de negocio) para prepararse en caso de que algo salga mal y tratar de prevenirlo. La gestión de riesgos es una de las ramas más complicadas de la administración, ya que requiere que los gerentes sean capaces de evaluar situaciones desconocidas y tratar de estar preparados para cualquier cosa. Es la técnica de distinguir, investigar y reconocer la incertidumbre y las decisiones de gestión de especulación. Esencialmente, la gestión de riesgos ocurre cada vez que un especialista financiero o un gerente de fondos analiza y trata de determinar el potencial de pérdida en cualquier situación dada, y luego toma la acción apropiada para tratar de minimizar ese riesgo.
Controles Internos versus Externos
Las herramientas para la gestión de riesgos generalmente se dividen entre controles internos, que son herramientas para prevenir problemas que provienen del interior de la organización, y controles externos, que significan prepararse para enfrentar amenazas y problemas que provienen de otro lugar.
Controles Internos
Los controles internos son los procedimientos y procesos establecidos en una organización para asegurarse de que todo funcione sin problemas y que los errores sean raros. Esto incluye cosas como la elaboración de Procedimientos Operativos Estándar (SOP), Aseguramiento de Calidad (QA) y Auditoría. También incluye verificaciones e investigaciones para asegurarse de que esos SOP y procesos de QA se estén siguiendo correctamente, y no solo documentos sin uso. La mayoría de los ejemplos en este artículo se centrarán en la gestión de riesgos internos.
Controles Externos
Los controles externos están en su lugar para proteger a una organización de daños causados por alguna fuerza externa. Esto incluye cosas como evaluar cuán probable es que un nuevo producto no se venda, cuánto daño se sufriría en caso de un accidente, y asegurarse de que la organización esté debidamente asegurada en caso de desastres. Los controles externos incluyen cosas relativamente menores como la seguridad en la construcción (para asegurarse de que los secretos de la industria se mantengan a salvo) hasta la cobertura de divisas para asegurarse de que la organización no sufra daños excesivos si las tasas de cambio comienzan a fluctuar.
Naturaleza del Control de Riesgos Internos
El control de riesgos internos es lo que un gerente y una organización implementan para minimizar los riesgos que provienen del interior de la organización. Estos controles se dividen en 4 categorías amplias:
- Monitoreo: Estos son controles implementados para vigilar las operaciones e identificar problemas antes de que se agraven.
- Entorno de Control: Esto significa organizar el lugar de trabajo para minimizar el riesgo. Esto puede ser cualquier cosa, desde una fábrica que instala equipos de seguridad hasta el departamento de TI que establece cortafuegos para protegerse contra virus.
- Información y Comunicación: Este es el establecimiento de informes regulares y canales de comunicación entre departamentos, trabajadores y gerentes. A veces, los trabajadores y gerentes creen que tienen un problema “bajo control”, pero podría estar al borde de convertirse en un desastre; una buena comunicación e informes ayudan a prevenir que esto suceda.
- Valoración de Riesgos: Este es el método que una organización utiliza para poner un monto en dólares sobre cuánto riesgo está agregando cada aspecto de las operaciones al total.
La valoración de riesgos es la más complicada, pero también la más importante. Cada organización tiene recursos finitos que necesita distribuir para minimizar el riesgo en su conjunto, y este proceso de valoración ayuda a guiar esos esfuerzos. Al mismo tiempo, cada vez que una empresa agrega más monitoreo, controles y deberes de informes a su personal, el personal pasa más tiempo enfocándose en la gestión de riesgos y menos en lo que genera ingresos. Cada vez que se impone un nuevo control interno, debe equilibrarse con el costo que impone al equipo que intenta proteger.
El control de riesgos internos se realiza en todos los niveles de gestión. Los gerentes de nivel más bajo intentan minimizar los riesgos inherentes a su equipo para cumplir con sus objetivos, mientras que los niveles superiores de gestión examinan los riesgos que recorren toda la organización. Los controles efectivos son también de abajo hacia arriba, así como de arriba hacia abajo, al agregar vías directas de comunicación desde los trabajadores de base para informar cada vez que creen que se están ignorando los controles internos, o si pueden ser necesarios nuevos controles para abordar nuevos riesgos.
Contraste con el Control de Riesgos Externos
El control de riesgos externos es más libre, ya que los riesgos desde fuera de una organización no pueden cuantificarse tan fácilmente. Esto generalmente comienza con un análisis FODA (Fortalezas, Oportunidades, Debilidades y Amenazas), y se centra en abordar las Amenazas identificadas. El Control de Riesgos Externos generalmente es abordado por los gerentes de nivel superior, quienes luego emiten directrices a los niveles inferiores de gestión para abordar estos riesgos.
Mientras que los controles internos se implementan para garantizar que la organización continúe operando sin problemas, los controles de riesgos externos intentan abordar las amenazas al negocio en sí. Por ejemplo, las aerolíneas siempre están en riesgo por el aumento del precio del petróleo, lo que provoca un gran aumento en sus gastos operativos. Una forma importante de control de riesgos externos que ejercen es la compra de futuros de petróleo, que asegura un precio fijo durante varios meses en el futuro, eliminando parte de la incertidumbre. Los controles de riesgos externos intentan observar todo, desde cambios en los precios de insumos hasta nuevas leyes y regulaciones que se aprueban, y todo lo que hay en medio.
Formas de evaluar el riesgo
La evaluación de riesgos no tiene pautas establecidas sobre cómo debe hacerse. Sin embargo, hay un par de reglas generales que se siguen. Hay cinco etapas en la evaluación de riesgos que se pueden tomar para garantizar que la valoración de riesgos se complete con precisión. Estas cinco etapas son:
Etapa 1: Detección de los peligros
Antes de que se pueda evaluar un riesgo, el primer paso es identificar qué exactamente es ese riesgo. El objetivo del Paso 1 es tener una definición clara y concisa de cuáles son exactamente los problemas potenciales y qué tipo de daños podrían ser causados. Por ejemplo, las máquinas peligrosas en un lugar de trabajo tienen un riesgo definido de dañar a los trabajadores, lo que tanto pierde productividad como resulta en demandas.
Muchos peligros son inicialmente muy vagos, pero no se pueden implementar controles efectivos hasta que los gerentes identifiquen qué es exactamente lo que están tratando de controlar. Los peligros se pueden reconocer utilizando diversos procedimientos, por ejemplo, caminando por el entorno laboral o preguntando a los trabajadores. Algunos peligros pueden ser fáciles de identificar y otros pueden requerir ayuda de diferentes expertos fuera de la empresa.
Etapa 2: Identificación de las partes interesadas
Esta etapa se basa en los peligros y riesgos encontrados en la primera etapa. Un problema en el lugar de trabajo tiene varios niveles diferentes de partes interesadas. Por ejemplo, con maquinaria peligrosa, los trabajadores en riesgo de resultar heridos son partes interesadas obvias. Otras partes interesadas serían las otras unidades de esa empresa que se verán retrasadas si hay un incidente anterior en la cadena de producción. También impactará a las familias de aquellos que podrían resultar heridos, así como a los accionistas de la empresa que podrían retirar su inversión a la luz de la mala prensa tras una lesión.
Etapa 3: Evaluación de los peligros y elección de medidas de control
Evaluar los peligros significa intentar asignar alguna probabilidad de cuán probable es que ocurra el peligro. Ningún peligro puede ser completamente eliminado, solo minimizado. Esto significa que las empresas primero identifican cuán probable es que surja un problema a partir de ese peligro y cuánto las medidas de control potenciales reducirán esa posibilidad.
Los controles potenciales se evalúan equilibrando su costo de implementación (tanto en valor monetario como en cuánto tiempo/esfuerzo del personal tomará hacer cumplir el control) con cuánto riesgo se reduce realmente. Una vez que se comparan varias alternativas, se pueden introducir nuevos controles.
Etapa 4: Registrar los hallazgos
Los controles efectivos se implementan de manera provisional. Esto significa que el equipo tiene una sesión de capacitación para delinear cuáles son los peligros y los nuevos controles que se están implementando para abordarlos. A medida que avanza la prueba, todo el equipo (desde los trabajadores de base hasta la gerencia involucrada) registra cómo la implementación impacta su trabajo, tanto en términos de abordar realmente los riesgos que los controles están abordando como en el costo realizado de implementarlos.
Paso 5: Revisar la evaluación y actualizar
Los controles de riesgo deben ser revisados continuamente por su efectividad y actualizados, con la correspondiente comunicación a todas las partes interesadas involucradas. Esto generalmente lo realiza el equipo de gestión, con un “Evaluador” específico encargado de llevar a cabo una revisión o auditoría del control y cómo evoluciona con el tiempo. Se deben implementar cambios en cada tipo de control a lo largo del tiempo para abordar nuevos riesgos y entornos empresariales cambiantes.
Importancia de auditar el control de riesgos
Las auditorías son revisiones más amplias de los controles internos de riesgo que una empresa ha implementado. Las auditorías son distintas de los procedimientos normales de evaluación de riesgos, pero siguen un mapa similar sobre cómo se llevan a cabo.
Las auditorías regulares de los controles internos de riesgo son esenciales para mantener una organización funcionando sin problemas. Sus dos principales beneficios son asegurarse de que los controles internos se estén implementando como se diseñaron, al mismo tiempo que se obtiene una “visión general” de los controles en una organización. Esta visión general puede ayudar a identificar redundancias en los controles internos y optimizar los procesos, haciéndolos más baratos, más fáciles y más efectivos.
Identificación y Evaluación de Riesgos
Esto es lo mismo que el Paso 1 a través del Paso 3 en la evaluación de riesgos normal, pero se observa las operaciones comerciales en su conjunto, en lugar de unidades comerciales individuales. El propósito es identificar qué riesgos están presentes y qué controles ya existen para abordar esos riesgos. Si no hay controles adecuados presentes, el equipo de auditoría hará recomendaciones a las partes interesadas relevantes para solucionarlo.
Eficiencia y Efectividad del Proceso Mejoradas
Este es el proceso de intentar armonizar los controles internos de riesgo ya implementados en toda una organización. El objetivo principal de estos ejercicios es intentar facilitar a las unidades comerciales el mantenimiento de controles efectivos. Esto generalmente significa fusionar los SOP de diferentes unidades comerciales, mejorar los canales de comunicación y obtener más aportes de los gerentes sobre qué tipos de controles están consumiendo más de su tiempo. Auditorías efectivas de control interno significan que los trabajadores necesitan dedicar menos esfuerzo al cumplimiento y más esfuerzo a generar valor para el negocio, sin sacrificar la protección contra riesgos.