APROXIMACIÓN A LA EVALUACIÓN Y GESTIÓN DEL RIESGO (COMPLIANCE)

El-circo-Charles-Chaplin-The-circus

EVALUACIÓN Y GESTIÓN DEL RIESGO EN LOS COMPLIANCE PROGRAMS

Zygmunt BAUMAN, en su ensayo “La modernidad líquida” (http://www.casadellibro.com/libro-modernidad-liquida/9789505575138/927094), afirma que la vieja sociedad sólida, construida sobre bases estables como la familia, la amistad, la iglesia, la familia, el empleo para toda la vida y la democracia, se ha desvanecido con la posmodernidad y la globalización y, como consecuencia de ello, vamos a la deriva.

Estamos acostumbrados a que todo funcione con normalidad y que todo esté, al menos aparentemente, bajo control, pero ¿qué sucede cuando ello no es así?

Una crisis es una situación inesperada que desborda la capacidad de respuesta, que se ve agravada por la necesidad de responder con rapidez a un problema no programado, por la dificultad de gestionarla procurando la cooperación de los distintos elementos de la organización y, cómo no, por el impacto emocional que ello provoca.

¿Es posible mantener el control aún en tiempo de incertidumbre?

En las últimas décadas hemos conocido distintos modelos de gestión muy diferenciados entre sí, desde las cinco fuerzas de PORTER, pasando por el modelo de las competencias (HAMEL y PRAHALAD), hasta las teorías sobre el caos y la incertidumbre desarrolladas por las profesoras BROWN y EINSENHARDT.

Ésta últimas sugieren que las empresas tendrán que aceptar que sus competencias centrales distintivas de hoy pueden tener poco valor en los mercados de mañana todo ello bajo un entorno en el que las reglas de juego cambian constantemente y la formulación de estrategias en un contexto actual de caos tiene que ser más flexible que en épocas anteriores.

A esta manera de dirigir se le ha llamado “competir al borde del caos”.

Eso no significa que dirijamos la nave sin rumbo, o a ciegas, ni que tengamos que aceptar, inermes, los efectos que la incertidumbre cause sobre nuestros objetivos.

Desde que se crearon las primeras organizaciones, el control interno siempre ha existido y puede definirse de muchas maneras. En lo que aquí nos concierne, relativo a gestión de organizaciones, la definición que proporciona el manual de control interno “Internal Control-Integrated Framework” publicado en 1992 por COSO es la siguiente:

“Proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos dentro de las siguientes categorías:

-Eficacia y eficiencia de las operaciones.

-Fiabilidad de la información financiera.

-Cumplimiento de las leyes y normas aplicables (compliance)”.

 

El informe de COSO de 1992 y sus actualizaciones posteriores estructuran el control interno en cinco componentes que se representan gráficamente en el denominado “cubo de COSO”, que se suele representar así:

cubos

 

Dentro de esos cinco componentes del control interno destacamos la evaluación de riesgos.

Para que los activos que les han sido confiados estén debidamente protegidos, para que los registros contables sean fidedignos y para que la actividad se desarrolle eficazmente según las propias directrices de la dirección, ésta tiene que analizar qué riesgos pueden afectar a la organización, documentarlos, evaluarlos y, finalmente, establecer estrategias para afrontarlos.

El primer paso, antes de identificarlos, es especificar los objetivos de la entidad, que pueden dividirse en tres grupos distintos, a saber: los que son propiamente operativos, los relacionados con la fiabilidad de la información financiera reportada a los grupos de interés y, finalmente, los objetivos relacionados con el cumplimiento de la legalidad y normativa aplicables a la actividad.

El siguiente paso es analizar, en relación con cada uno de esos objetivos, los riesgos que pueden afectar, lo que implica, necesariamente, la colaboración de personas de diferentes niveles de la organización que ayuden en ese proceso.

Una vez identificados, hay que clasificarlos en función de las siguientes variables:

-su probabilidad de ocurrencia ,

-la magnitud del impacto,

-el tiempo que transcurre entre que se materializa el riesgo y se produce el impacto,

-la persistencia de dicho impacto, una vez que se ha producido el riesgo.

 

En general se suelen utilizar tablas (matrices) de doble eje para permitir a la dirección enfocarse en los riesgos deben centrar la mayor parte de los esfuerzos.

Pero la gestión de riesgos va más allá de elaborar una llamativa tabla de colores: una vez analizados los riesgos, se debe tomar una decisión sobre cómo gestionarlos, lo que, a su vez, conlleva alguna de estas opciones:

-aceptar el riesgo y no emprender acciones para mitigarlo,

-evitar el riesgo, evitando las acciones que lo generan,

-reducirlo, a partir de controles y herramientas disponibles.

-compartirlo, contratando seguros, buscando socios, etc.

Es fundamental que la organización documente su posición respecto de cada uno de esos riesgos, como parte del proceso de gestión de los mismos, contando siempre con el pertinente nivel de autorización.

El “risk assesment” o evaluación de riesgos parece un elemento de la gestión empresarial más propio de grandes corporaciones, pero lo cierto y verdad es que los mapas de riesgos son herramientas usadas cada vez con más frecuencia en la gestión de las empresas cuando éstas adquieren cierto tamaño,

Si no hay manera de evitar los riesgos y si éstos no se pueden transferir, no queda otra que establecer actividades de control que, entre las muchas clasificaciones existentes, se pueden dividir entre “preventivas” (diseñadas para evitar que se produzca la conducta o el hecho prohibido) y “detectivas” (diseñadas para para actuar a posteriori, una vez que ha fallado el control preventivo y se considera que se está a tiempo de aplicar algún tipo de corrección).

La decisión de qué tipo de controles se establecen dependerá siempre de la dirección, atendidos los recursos disponibles y la proporcionalidad entre el impacto que se quiere evitar y el coste de de establecerlos.

Es cierto que el emprendimiento, como toda actividad humana, conlleva la asunción de riesgos, pero como dijo el General PATTON,”corramos riesgos calculados, lo cual es diferente de mostrarnos temerarios”.

 

Por José Ramón Sáez

Complianza Murcia

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *