¿Como afectará la reforma del Código Penal a las organizaciones?

Esta semana tenemos el lujo de contar en nuestro blog con la participación, experiencia y expertise de José Ignacio Domínguez Hernández. 

José Ignacio es Corporate Governance Advisor con mas de 27 años de experiencia en diversos campos de la empresa privada, especializado en Auditoria Interna, Gestión de Riesgos, Gobierno Corporativo, Compliance y Corporate Defence.  Ha sido responsable de la implantación de Sistemas de Prevención y Respuesta ante Delitos de la Persona Jurídica en organizaciones del IBEX y además es Director de un seminario formativo sobre la Auditoría de los Riesgos Penales.

José Ignacio nos explica las consecuencias que podría tener para las empresas la reforma del Código Penal español que se está tramitando en el Parlamento y qué se puede hacer para mitigar este riesgo.

¿Cómo preparar a las organizaciones para enfrentarnos a la responsabilidad penal de la persona jurídica?

El 23 de diciembre de 2010 entró en vigor la Ley Orgánica 5/2010 por la que se modificaba el Código Penal. La principal novedad suponía la introducción  de una serie de delitos relativos a “la responsabilidad penal de las personas jurídicas”.

El  actual Proyecto de Ley de Reforma del Código Penal de 2013, introduce dos importantes novedades: 

1. El reconocimiento expreso de que un modelo de prevención adecuado puede ser considerado circunstancia eximente. 
2. La introducción de un nuevo delito por “incumplimiento del deber de vigilancia y control en personas jurídicas y empresas", dirigido “al representante legal o administrador de hecho o de derecho de cualquier persona jurídica o empresa“.

 ¿Qué implica la Reforma del Código Penal?

Esta reforma implica que, cuando se cometa un delito por los representantes legales, administradores en su nombre y en su provecho, o por un empleado de la empresa en el ejercicio de las actividades sociales, y en provecho de las mismas, si no se ha ejercido sobre éste un debido control, junto a la persona física, también se “sentará en el banquillo” la persona jurídica acusada como responsable penal.

Las multas y penas a las que puede verse sujetas son ciertamente muy importantes, entre las que se encuentran: multas pecuniarias, suspensión temporal de sus actividades, clausura temporal de sus locales y establecimientos, inhabilitación para obtener subvenciones, ayudas, incentivos públicos, o para contratar con las Administraciones públicas o, en último extremo, la pena de muerte de la empresa, es decir,  la disolución de la persona jurídica.

¿Cómo se pueden preparar las empresas?

¿Qué son los sistemas preventivos y de defensa corporativa?

La defensa corporativa representa el análisis preventivo de los riesgos penales que potencialmente pueden afectar a una persona jurídica, y entre sus objetivos se encuentra el realizar las oportunas recomendaciones para que la Compañía adopte medidas tendentes a minimizarlos, y por otro lado demostrar, si fuese necesario, que se ha implantado un sistema de control interno tendente a prevenir estas situaciones.

Dichas medidas se enmarcan en los sistemas de control interno y cumplimiento normativo de las organizaciones.

Ante un hipotético proceso por la comisión de un delito por un empleado en el ámbito de sus funciones, los sistemas de prevención y respuesta servirán para acreditar que la persona jurídica sí ha ejercido el debido control que le es exigible y, por lo tanto, se ampliarían las posibilidades de alcanzar una sentencia absolutoria.

En todo caso, estas medidas de control de los riesgos penales de las empresas cobran especial importancia al contemplar el actual anteproyecto penal, ya que, como comentábamos anteriormente, introduce una eximente específica aplicable a las personas jurídicas que hubieran establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica. Asimismo, el hecho de no disponer de esas medidas de control, puede ser, en sí mismo, constitutivo de delito.

Nuestra recomendación

El cambio legislativo hace necesario que las compañías lleven a cabo una revisión de los procesos, para verificar que cuentan con los mecanismos adecuados para evitar, de una manera razonable, que sus empleados y administradores cometan alguno de los delitos que contempla el Código Penal en vigor y, además, disponer de mecanismos que garanticen que ese cumplimiento  se produce de forma continuada en el tiempo.

No es suficiente con acreditar que se disponga de los mecanismos necesarios; habría que probar, además, que tal cumplimiento es continuado en el tiempo y que se actualiza periódicamente, para que tales medidas sean consideradas como atenuantes e, incluso, eximentes de la responsabilidad penal de la persona jurídica.

Por tanto, nuestra recomendación es la implantación de Sistemas de Prevención y Respuesta en las organizaciones, comenzando por un adecuado diagnóstico y análisis preventivo del riesgo penal que pudiera existir en la compañía, a los efectos de preparar un Plan de Acción que minimice los principales riesgos penales a los que la persona jurídica podría estar expuesta en España, a través de la actividad de sus directivos y empleados.

• La implantación de estos sistemas preventivos y de respuesta se llevarán a cabo con una metodología y fases adecuadas, y tendrán los siguientes objetivos:
• Identificación y documentación de los riesgos penales que potencialmente pueden afectar a la Compañía.
• Identificación de los procedimientos y controles mitigantes relacionados con los riesgos detectados en el punto anterior.
• Propuesta de recomendaciones al sistema de control existente.
• Elaboración de un Modelo de Prevención y Respuesta ante Delitos y protocolos de actuación, con un doble enfoque: recoger los controles y medidas preventivas, así como los canales de denuncia y respuesta ante la comisión de uno de los ilícitos contemplados en el nuevo Código Penal.

No olvidemos que la mejor defensa corporativa de las empresas ante los riesgos penales atribuidos a las mismas, es disponer que un eficaz Código Ético o de Conducta, actualizado para recoger los últimos cambios legislativos y que, además, dicho código haya sido convenientemente difundido y explicado en la Organización.

Recuerda que puedes acceder a nuestro brochure con nuestros servicios en esta misma materia en este link o nos puedes enviar un correo electrónico a infospain@controlsolutions.com

  

Reputación; ¿riesgo o criterio del riesgo?

¿Qué es la reputación de una organización? 

Más o menos existe un consenso en lo que se entiende por reputación corporativa (utilizamos este término como genérico, independientemente de que se trate de una empresa o no): es la percepción interna/externa que disponen diferentes grupos de interés (accionistas, empleados, clientes, reguladores, opinión pública, etc) sobre una organización. 

Hoy en día existen multitud de variables que pueden afectar, de una manera y otra, a la reputación corporativa. No obstante, en la gestión de riesgos son dos las perspectivas para afrontar la reputación corporativa:

1) Como un riesgo en si mismo.

2) Como un factor o un criterio de riesgo sobre el cual medir el impacto de las situaciones de amenaza.

Independientemente de la perspectiva que se adopte, lo que está claro es que la reputación corporativa es uno de los principales activos de un organización, aunque sea intangible. 

Hoy analizamos estas dos perspectivas, con el objeto de que os ayude a decidir cuál de ellas encaja mejor en vuestra organización.

La reputación como un riesgo.

El riesgo se define como el efecto que tiene la incertidumbre sobre los objetivos de la organización. A este respecto, los riesgos se materializan a través de eventos originados por causas concretas y suponen consecuencias de diferente naturaleza para la organización.

Según lo dicho, el riesgo reputacional tendrá:

• Causas; existiendo multitud de situaciones que pueden determinar la existencia de un riesgo de esta naturaleza. Pueden ser causas raíz (el origen primario del evento) o eventos intermedios (riesgos concatenados derivados de causas raíz que se plasman, a su vez, en un evento final que, normalmente, presenta una magnitud mayor). De cualquier forma, a la reputación puede afectarle cualquier tipo de amenaza surgida dentro o fuera de la organización; incidentes internos como corrupción o fraude llevado a cabo por los propios empleados o incidentes externos como el colapso de las instalaciones de proveedores en países en vías de desarrollo, fruto de la globalización de sus operaciones.

• Consecuencias o efectos; de igual manera, un riesgo reputacional puede presentar diferentes tipos de consecuencias; ya sean, por ejemplo, de naturaleza financiera (como puede ser la pérdida de beneficios o el impacto en el precio de la acción) o ubicadas en el ámbito de las relaciones con los clientes (actuales o futuras). De cualquier forma, determinar el impacto de un evento reputacional es complejo, principalmente debido a la dificultad inherente de identificar cómo contribuye la percepción que se tiene de la organización a variables económico-financieras como la pérdida de beneficios o la evolución del precio de la acción en los mercados.

La reputación como criterio del riesgo.

Existe una alternativa; incorporar la reputación como un criterio más para valorar el riesgo. Al igual que se aplica el punto de vista económico, medioambiental o de seguridad y salud de los trabajadores para medir las consecuencias que un riesgo tiene sobre la organización, puede incorporarse el factor adicional de la reputación. 

Dadas las dificultades para cuantificar los impactos reputacionales, pueden utilizarse variables cualitativas alternativas, tales como medir la gravedad del impacto enfocados en quien gestiona la situación dentro de la jerarquía de la organización (CEO, CRO, Director de Departamento, etc) o si la repercusión del evento aflora en medios de comunicación o redes sociales locales, nacionales o mundiales.

Nuestra recomendación.

En otras entradas de este blog y foros hemos dicho que consideramos la Gestión de Riesgos más como un arte que como una ciencia. Por esta razón, y desde un punto de vista eminentemente práctico, apostamos por el empleo del segundo enfoque, incorporando un factor sobre el cuál poder medir complementariamente el impacto de un riesgo. De esta manera, podemos contribuir a la eliminación de silos de información en la empresa, y movernos hacía una gestión del mismo eminentemente integral.

Un pequeño ejemplo:

Imaginemos una organización con 10 riesgos identificados que corresponden a diferentes naturalezas y tipos: riesgos internos y externos, de carácter financiero, medioambiental, operacional, etc. Supongamos que uno de esos 10 riesgos se ha identificado como riesgo reputacional (la reputación de la organización se ve comprometida o afectada negativamente); existiendo varias causas que le dan origen, como pudieran ser un fraude interno, un incumplimiento de normativa fiscal y una amenaza sobre la seguridad de datos personales. A este respecto, el riesgo reputacional llevaría aparejada una serie de consecuencias (a parte de posibles multas), entre las cuales podrían encontrarse un descenso en la cotización de la acción, por ejemplo, o un replanteamiento de las relaciones comerciales por parte de los clientes, todo ello con los consecuentes impactos en otras variables de tipo económico-financiero.

Imaginemos esa misma organización, aplicando un punto de vista diferente; incorporando la reputación corporativa como criterio adicional para evaluar el impacto de todos los riesgos. En este sentido, la organización dispondría, en total, de 12 riesgos de diferente naturaleza y tipo (el riesgo reputacional desaparece, convertido en esos tres nuevos riesgos), que dispondrán cada uno de unas causas desencadenantes propias y de consecuencias derivadas de su posible materialización, entre las que se contará su repercusión sobre la reputación de la organización. De esta manera, todos los riesgos añadirían una perspectiva de valoración adicional a los diferentes criterios para medir las consecuencias asociadas.

De esta manera, la principal ventaja será que dispondremos de una aproximación del potencial impacto de todos los riesgos identificados por una organización sobre su reputación corporativa, independientemente del tipo y la naturaleza de los mismos

En este link podéis consultar el debate que iniciamos en LinkedIn el pasado mes de agosto tratando esta cuestión. Como podréis comprobar, existen defensores de ambas perspectivas y dado el volumen y la calidad de los participantes, podemos asegurar que es una cuestión que suscita mucho interés.

Algunas claves para Implantar un Programa de Gestión de Riesgos con Éxito.

En primer lugar, queremos disculparnos por el retraso en la publicación de entradas en nuestro blog durante las últimas semanas. Hemos estado muy ocupados ayudando a mejorar el Sistema ERM de una empresa cotizada y no nos ha dejado tiempo para nada.

En Control Solutions consideramos que la Gestión de Riesgos Corporativos (ERM) se asimila más a un arte que a una técnica. Un arte que difiere de una organización a otra, puesto que las estructuras, los negocios, los sectores de actividad y las personas son diferentes unas de otras. No obstante, creemos que todos los Programas o Sistemas de Gestión de Riesgos deben reunir una serie de requisitos básicos para ser implantados con éxito. 

En línea con el post de nuestro blog en el que tratábamos los motivos por los qué pueden fracasar los Programas de Gestión de Riesgos Corporativos, queremos compartir con vosotros, basándonos en nuestra experiencia, cuales son estos pasos que pueden ayudaros a implantar con éxito un Programa ERM en vuestra organización:

1. Construir el business case para un ERM.

Es crítico tener claro cuál es la justificación real que va a soportar y comprometer tanto el tiempo como los recursos y las inversiones necesarias para llevar a cabo un trabajo de esta naturaleza. Los motivos para implementar un sistema ERM deben fundamentarse en lo que realmente proporcione valor a la organización (minimización de pérdidas, mejoras de la gestión, reputación corporativa, etc).

Por ejemplo, si la razón adoptada para la implantación del sistema de gestión de riesgos es únicamente el cumplimiento de obligaciones legales o regulatorias, la aportación de valor a la organización será muy limitada, impidiendo a ésta generar los benéficos contrastados del ERM.

En definitiva, se trata de adoptar una visión integral y clara para el tratamiento de la incertidumbre sobre el día a día de la organización, incorporando la perspectiva de la relación riesgo/retorno, con el último objetivo de proporcionar un nivel de seguridad razonable para la consecución de los objetivos de la organización, a todos sus niveles.

2. Contar con el sponsor adecuado.

Muchos son los stakeholders dentro de una organización y cada uno de ellos con intereses diferenciados de los del resto. Por ello, es necesario que sepan que el sistema ERM de la organización no es un proyecto de carácter puntual, sino que se trata de un proceso continuado que no debe perder la inercia con el paso del tiempo.

Es crítico el apoyo y la iniciativa desde las más altas estancias de la organización, lo que se traduce en la necesidad de implicación directa de los órganos de gobierno y la dirección. Se necesita garantizar la motivación y tutela directa del Consejo y de la Alta Dirección mediante su implicación por tres vías distintas; 1) asignándoles roles y responsabilidades específicas en el propio proceso de gestión de riesgos, 2) proporcionándoles información útil para sus procesos de toma de decisiones y 3) informándoles de manera periódica sobre el perfil de riesgo y los resultados obtenidos.

  

3. Plan de implantación.

Es necesario realizar una planificación cuidadosa y detallada.

En primer lugar, se debe establecer el alcance del sistema ERM, aplicando un enfoque total, parcial o escalonado, de acuerdo a las características que presente la organización, tales como la existencia de varias líneas de negocio, su estructura, su localización geográfica, etc.

En segundo lugar, planificar bien los recursos necesarios para poner en marcha el sistema ERM; ya se trata de recursos humanos, materiales y/o económicos.

En tercer lugar, determinar el cronograma de actividades, de acuerdo a las fases en que se haya planificado el proyecto.

El empleo de modelos de madurez puede ser una herramienta interesante para trazar la hoja de ruta y monitorizar su progreso.

4. Integración con el negocio, descentralizar la gestión del riesgo y centralizar su reporte.

El sistema ERM no está aislado del negocio y debe considerarse como un proceso transversal común a todas las actividades de la organización.

Incorporar la gestión de riesgos en las organizaciones supone un verdadero cambio cultural, al exigir la adopción de un enfoque proactivo orientado a pensar e informar en clave de riesgos. La resistencia al cambio constituye un verdadero reto que debe ser superado si se quiere adoptar el sistema ERM con éxito.

Quien mejor gestiona el riesgo es el especialista que convive con él. Es recomendable que la gestión directa del riesgo se encuentre descentralizada al máximo nivel, lo más cerca posible del propio riesgo. La organización debe promover esta descentralización, en función de la naturaleza del propio riesgo, para mejorar la eficacia de su gestión.

Por el contrario, y para romper los silos de información, es necesario que el reporte de la información sobre riesgos se encuentre centralizada, lo que permitirá a los organismos de gobierno de la organización contrastar si se está operando de acuerdo al apetito y tolerancia al riesgo establecido.

5. Arquitectura a medida.

Cada organización tiene unas características concretas; su dimensión, el mercado en el que opera, sus clientes, su estructura interna, su ubicación geográfica, su filosofía y cultura empresarial… A la hora de diseñar la arquitectura del sistema ERM (políticas, procedimientos, metodologías y herramientas) se deberán tomar en cuenta todas estas características y realizar un “diseño a medida” de cada organización.

XVIII Jornadas de Auditoría Interna.

Esta semana damos algo de tregua a la polémica y os contamos nuestra participación en las XVIII Jornadas de Auditoría Interna, que se celebraron en Madrid los pasados días 24 y 25 de octubre. Control Solutions estuvo presente desde dos perspectivas diferentes; además del ya tradicional stand en la zona de expositores, Andy Douglas, Socio-Director de la Firma, junto con José Enrique Díaz Menaya, Director de Auditoría Interna de Bergé y Cía., fueron los encargados de desarrollar la ponencia "Auditando el Proceso de Gestión de Riesgos como proyecto de alto valor añadido".

El Stand.

Fuente: Control Solutions

Nuestra compañera Ana Peña y Bárbara Ximénez, de Yucan QM (nuestro partner en el desarrollo del CS Audit Portal), atendieron a los visitantes que se acercaron a nuestro stand para informarse sobre los servicios que prestamos a nuestros clientes.

En la foto, Ana y Bárbara explican una demo en directo a Javier Faleato, Director del Instituto de Auditores Internos de España. La demo versaba sobre la nueva funcionalidad en materia de Gestión de Riesgos de nuestro CS Audit Portal.

La ponencia.

Andy y José Enrique hablaron sobre la necesidad y la importancia de auditar el Proceso de Gestión de Riesgos de las organizaciones. 

En todas las organizaciones se afronta la incertidumbre y, en consecuencia, se gestionan riesgos, independientemente del tamaño y la estructura de las mismas. Ese proceso por el que se gestionan tales situaciones, tanto si se encuentra formalizado como si no, adquiere una importancia capital dentro de las organizaciones, puesto que aporta una serie de importantes beneficios, entre otros:

• Ayuda a reducir impactos de situaciones negativas.
• Contribuye a salvaguardar la reputación.
• Permite tratar situaciones transversales dentro de la organización.
• Mejora el Gobierno Corporativo, la Ética y la Responsabilidad Social Corporativa.
• Mejora la gestión, proporciona una mayor transparencia y soporta el proceso para la toma de decisiones.

De esta importancia se deriva la necesidad de someterlo a revisión. No solamente desde el punto de vista del cumplimiento del estándar en el que se encuentre basado (para el caso de sistemas formales), sino también desde la perspectiva de la propia eficacia del sistema, es decir, de si la gestión de riesgos de la organización se encuentra bien diseñada y cubre las necesidades del propio negocio (en cuanto a estructura e información generada). El modelo propuesto para ello se fundamenta en la evaluación de los siguientes cinco pilares:

A. Filosofía y cultura de gestión de riesgos: mandato, responsabilidad, compromiso.

B. Arquitectura: roles, comunicación, estructura de reporting.

C. Protocolos: normas, procedimientos, metodologías.

D. Estrategia: apetito, estrategia, política.

E. Procesos de gestión de riesgos: identificación, evaluación, priorización.

Todo ello con el objetivo final de contrastar la evaluación de estos pilares en relación a un modelo de madurez de las capacidades (en este caso, desarrollado por la Universidad Carnagie Mellon), clasificándose los resultados de acuerdo a las siguientes categorías (de menor a mayor nivel de madurez):

• Inicial – El proceso depende exclusivamente de individuos – No es patrimonio de la organización.
• Repetible -  Existe la disciplina y los procesos necesarios para basar las acciones en lo que se hizo en el pasado.
• Definido – Los procesos, los programas y las herramientas se estandarizan.
• Gestionado -  Se introducen métricas para medir la eficacia de los procesos de gestión de riesgos.
• Optimizado  - Un enfoque universal hacia la mejora contínua (Plan-Do-Check-Act).

Fuente: Control Solutions

No dudéis en hacernos llegar cualquier petición sobre temas que os gustaría que tratáramos en este blog: vuestras sugerencias siempre son bienvenidas.

¿Auditoría Interna dentro del Sistema de Gestión de Riesgos?

La última entrada de nuestro blog puso de relevancia cierta polémica en cuanto a la relación existente entre la función de Auditoría Interna y la de Gestión de Riesgos. Continuamos con cuestiones polémicas: ¿debería encontrarse Auditoría Interna, como una de las funciones clave dentro de la organización, dentro del alcance del Sistema de Gestión de Riesgos?

A lo largo de los últimos años, en Control Solutions hemos colaborado en la implantación de modelos de gestión de riesgos con varios clientes de diferentes sectores de actividad, diferentes tamaños y diferentes formas de organizarse. Durante estas colaboraciones hemos observado un hecho que nos llama poderosamente la atención; el departamento de Auditoría Interna no reportaba situaciones que pudieran afectar negativamente a la misión que le había sido encomendada por la organización, en consonancia con el Sistema de Gestión de Riesgos.

Según la definición de la profesión que proporciona el propio Instituto de Auditores Internos, "Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a la organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno”[1].

¿Por qué, entonces, Auditoría Interna no se encuentra sujeta, tradicionalmente, al Sistema de Gestión de Riesgos? 

El argumento principal podría ser que al tratarse de una actividad independiente del negocio, el alcance del modelo de Gestión de Riesgos no debería cubrir a Auditoría Interna. Nada más alejado de nuestra opinión; la independencia del negocio no debe ser entendida como un eximente para un departamento tan importante como éste. 

La misión de Auditoría Interna es clara: agregar valor y mejorar las operaciones de la organización, mediante la evaluación y mejora de la eficacia de los procesos de gestión de riesgos, control y gobierno. Se le atribuye, por tanto, una misión y unos objetivos ambiciosos que, hoy en día, no escapan de las garras de la incertidumbre, independientemente de que se trate de un área de negocio, de soporte o de aseguramiento y consulta.

Por consiguiente, y en nuestra opinión, al igual que en el caso de cualquier otro área dentro de la organización, el modelo de Gestión de Riesgos está plenamente vigente y tiene que hacerse extensivo a este departamento, desarrollando los procesos de identificación, evaluación y reporte de aquellas situaciones de amenaza sobre sus objetivos concretos (garantizar la protección de los activos, el cumplimiento de las leyes y regulaciones, la disponibilidad de información íntegra y fiable y la eficiencia en la utilización de los recursos), con el objeto de priorizar y actuar en consecuencia para proporcionar una respuesta adecuada.

Entendemos que las situaciones de riesgo asociadas a las funciones y actividades de Auditoría Interna no se encontrarán presentes en todas y cada una de las categorías del inventario de riesgos del Sistema de la organización (como por ejemplo riesgos de entorno, financieros, legales o algunos operacionales), pero sí que tendrán cabida en algunas de ellas (recursos humanos, gestión y seguridad de la información e incluso fraude), por lo que creemos que será necesario prestar una especial atención a las siguientes cuestiones:

1. La naturaleza de los propios trabajos: en relación a posibles situaciones "comprometidas" al haber desarrollado Auditoría Interna papeles de aseguramiento y de consultoría.
2. La disponibilidad de recursos: ya sean desde el punto de vista humano (número de efectivos, formación, conocimientos, aptitudes, etc), material (licencias, herramientas tecnológicas) o económico (suficiente dotación presupuestaria).
3. La realización de los trabajos: en relación al modo de llevar a cabo los trabajos por parte de los profesionales (aptitud y competencia profesional) y su adscripción y respecto, por ejemplo, al Código de Ética de la Profesión.
4. Los resultados de los trabajos: puesto que deben garantizar unos resultados con los mínimos estándares de calidad que sean útiles y suficientes para una correcta toma de decisiones.
5. Las relaciones con el resto de la organización: teniendo en cuenta posibles conflictos o relaciones pobres con otras áreas de la organización, que puedan traducirse en impedimentos a la consecución de sus objetivos.

En definitiva, creemos que un Sistema de Gestión Integral de Riesgos correctamente implantado y desarrollado debe garantizar la aplicación de los procesos de identificación, evaluación, respuesta y reporte de riesgos a todas las áreas y departamentos de una organización (independientemente de que se traten de áreas operativas o de soporte), con el objetivo final de manejar aquellas situaciones de riesgo que afecten al proceso de toma de decisiones y a los objetivos de la organización en su conjunto.

____________________________________

[1] http://www.auditoresinternos.es/sobre-nosotros/la-profesi%C3%B3n/definici%C3%B3n

¿Por qué fracasa la Gestión de Riesgos?

La Gestión de Riesgos es una gran idea y un pilar básico para el Buen Gobierno de una organización. Los que creemos en ello estamos convencidos de que si se implementa y gestiona de manera correcta, un proyecto de Gestión de Riesgos añade un enorme valor a la organización. Sin embargo, muchos de estos proyectos no avanzan más allá de su estatus inicial y, por tanto, terminan por convertirse en un activo infravalorado y susceptible de ser enajenado. 

¿Cuales son, entonces, los motivos por los que fracasa un proyecto de Gestión de Riesgos? Para dar respuesta a esta pregunta es poco probable que podamos argumentar la existencia de un único factor. Por lo tanto, a continuación enumeramos  una serie de razones que se encuentran vinculadas entre sí y que ofrecen una idea concreta de las principales causas que provocan el estancamiento de este tipo de proyectos. No obstante, entendemos que, dadas ciertas características específicas de cada una de las organizaciones de que se trate, puedan existir otras causas que no identificamos aquí.

Principales factores que influyen en el fracaso:

Errores en la razón de ser. En primer lugar, es necesario plantearse por qué se tomó la decisión de adoptar un sistema de gestión de riesgos en la organización. Seguramente existan muchas argumentaciones al respecto, pero únicamente si el motivo fue plantar la semilla para mejorar la gestión integral del negocio, entonces se recolectarán los resultados de éxito en el futuro. Demasiados programas de gestión de riesgos se han promovido por dar cumplimiento a obligaciones de carácter legal o regulatorio; si este fuera el caso, nos encontraríamos ante una de las razones más débiles, aquellas que se orientan a la "cultura del aprobado raspado" (el 4,5 de nota que se obtiene en el examen y que finalmente se convierte en el 5 después de la revisión). Está claro que el Consejo (u órgano de gobierno) apoyará el proyecto (otra condición sine qua non) pero, desde luego, el proyecto será visto como un gasto necesario, un tipo de "impuesto revolucionario" por operar en un sector determinado de la economía o por cotizar en un mercado determinado. En este caso, la Gestión de Riesgos se convierte en un fin en sí mismo y no un medio para mejorar la toma de decisiones que afectan a la organización.

No se cuenta con el apoyo de los órganos de gobierno: Como hemos precisado anteriormente, constituye una condición indispensable para que el sistema de gestión de riesgos funcione, e incluso si apuramos, para que llegue a ver la luz.  El apoyo del Consejo es como la forma física de nuestros cuerpos; es un estado de gracia temporal. En cuanto no se aprecie el valor añadido del proyecto, el apoyo se irá desvaneciendo.

Alcances demasiados optimistas: Las organizaciones casi siempre optarán, en muchos casos apoyados por las firmas de consultoría, por un despliegue del sistema con un máximo alcance. Estamos de acuerdo en que la gestión de riesgos es algo parecido a un ultra maratón (una carrera exigente de larga distancia para la que hay que estar bien entrenado) y que con el tiempo debemos tener una cobertura total de la organización. No obstante, identificar y valorar todos los riesgos en toda la organización, sin disponer del conocimiento y los medios para mantener su relevancia actualizada al día, podría ser entendido como un despilfarro de recursos de diferente naturaleza. Creemos que es necesario apostar siempre por un enfoque piloto; probemos cómo funciona a una escala razonable para perfeccionarlo antes de hacerlo extensivo a toda la organización.

La información que genera no es relevante: aunque quizás esto sea más una consecuencia que una causa. Las causas de la irrelevancia de la información son múltiples:

1. No existe vínculo con objetivos: Un riesgo que no se vincule con un objetivo es una fuente de información incompleta y, a veces, inútil.  Adicionalmente, a los diferentes niveles de la organización les interesará un nivel de desagregación de información diferente. Por ejemplo, al Consejo de Administración le interesará más un riesgo que impacte en los objetivos estratégicos de la compañía que un asunto de protección de datos en la filial situada en un país suramericano. Sin embargo, los responsables de la filial del país suramericano tendrán más interés por los riesgos de índole operacional en su territorio. 
2. La información no se actualiza con suficiente frecuencia: Hoy en día, más que nunca, el entorno es extremadamente volátil y la información se vuelve perenne en cortos períodos de tiempo.  Es posible que lo que hace seis meses fueran objetivos estratégicos, hoy se encuentren en la papelera, sustituidos por otros más adecuados al entorno actual. Entonces es cuando nos asalta la duda: ¿por qué creemos que tenemos un buen sistema de gestión de riesgos, si la última vez que se actualizó la información fue hace 12 meses?
3. Es bidimensional: algo estrechamente relacionado con lo anterior es que casi todas las organizaciones utilizan el binomio impacto /probabilidad para evaluar los riesgos. Se trata de un binomio muy, pero que muy estático. Creemos necesario considerar, además, el criterio de la velocidad del riesgo, es decir, su potencial para cambiar o materializarse de repente. Es especialmente importante intentar incorporar este concepto sobre  aquellos riesgos de impacto potencial muy alto pero baja probabilidad de ocurrencia (los famosos cisnes negros de Nassim Nicholas Taleb[1]). Nosotros abogamos por una perspectiva tridimensional la P x I x V!
4. Cuantificación: En realidad, se trata de un tema espinoso donde los haya. Existen auténticos evangelistas de la cuantificación, que abogan por ponerle un valor económico a todo. En nuestra opinión, no es el enfoque más práctico ni ágil y, en muchos casos, la cuantificación puede encontrarse muy lejos de la realidad, al no contemplar el impacto cruzado o las coberturas naturales de los riesgos. Cuantifiquemos, sí, pero lo que podamos hacer sin excesiva complejidad. Con el resto de situaciones, busquemos alternativas cualitativas para la valoración del riesgo.

No se monitoriza: Pocas organizaciones utilizan Key Risk Indicators. Si no somos capaces de determinar unos KRI, nuestra capacidad de hacer un seguimiento de P x I x V será muy limitada. De nuevo, elijamos un piloto; un área o un proyecto clave para la organización y probemos lo que funcione. Nos ayudará a anticipar las situaciones de riesgo, sus posibles consecuencias y elegir el control o la acción de tratamiento de riesgo más adecuada.

No se aplica a proyectos: Los proyectos y la innovación en el negocio son elementos críticos para la creación de valor y para la definición de una ventaja competitiva en el mercado. Las organizaciones que solo aplican la gestión de riesgos a sus negocios actuales están instrumentalizando un aseguramiento mucho más defensivo que ofensivo, a nuestro entender, una gestión de riesgos parcial.

Se  encuentra aislado del proceso de toma de decisiones. El proceso de gestión de riesgos tiene que ser imbuido en el día a día de la organización. No debe ser algo aislado, periódico y alejado de la cultura. Entender el proceso como algo tangente al negocio solo creará rechazo entre los propios stakeholders.

Se promueve la Gestión de Riesgos por Auditoría Interna: lo que puede generar bastante controversia. De verdad creemos que no es el órgano más adecuado para promover la función de Gestión de Riesgos, a pesar de ser una de las áreas (si no el área) que más conoce del negocio en su conjunto.  Los auditores internos promueven su independencia del negocio y esto está directamente contrapuesto a lo que requiere el proceso de gestión de riesgos.

---

[1] "The Black Swan: The Impact of the Highly Improbable"; The New York Times, 22 de abril de 2007: "Lo que aquí llamamos un Cisne Negro (y con mayúscula) es un evento con los tres atributos siguientes. En primer lugar, es un caso atípico, ya que se encuentra fuera del ámbito de las expectativas regulares, porque no hay nada en el pasado que puede apuntar de manera convincente a su posibilidad. En segundo lugar, conlleva a un impacto extremo. En tercer lugar, a pesar de su condición de rareza, la naturaleza humana nos hace inventar explicaciones de su presencia después de los hechos, por lo que es explicable y predecible.(...)"

Próxima parada: ERM 2.0

A raíz de la puesta en funcionamiento de nuestro Blog, muchas personas nos han mostrado su interés en conocer de dónde sale el término de "Gestión de Riesgos 2.0". En Control Solutions consideramos que la Gestión de Riesgos (ERM) debe evolucionar y comenzar una nueva etapa; alcanzar una versión 2.0. Por eso nos sumamos a esta corriente y de ahí el título de nuestro Blog, en el que os contaremos todo sobre esta nueva etapa de nuestra disciplina favorita.

En el actual ambiente de crisis en el que vivimos, se han puesto de relevancia importantes problemas en diferentes ámbitos: problemas económicos, políticos, sociales... Incluso nos atreveríamos a decir que, en algunos casos, la crisis hace necesario superar los paradigmas más tradicionales y adoptar una nueva perspectiva para salir reforzados de cara al futuro.

Nuestra disciplina no se salva de esta situación. La vocación de liderazgo que tenemos nos hace ser valientes, tomar la iniciativa, levantar la voz sobre el murmullo y hacer autocrítica: en términos generales, la Gestión de Riesgos, tal y como la hemos conocido hasta el momento en su versión 1.0, no ha cumplido las funciones que le habían sido encomendadas.

¿Por qué decimos esto? Os proponemos tres razones para explicar nuestra postura:

1. La Gestión de Riesgos no se ve como Proceso. 

Hasta el momento, la Gestión de Riesgos 1.0 se encuentra estrechamente ligada al proceso de control interno de las organizaciones y, en muchos casos, dependen en mayor o menor medida del área de Auditoría Interna. 

Es lógico pensar que la implantación de un Sistema ERM necesita de un liderazgo consolidado dentro de la organización, dado su carácter transversal. Es necesario conocer el negocio, saber cómo funciona la organización, su cultura, conocer al personal clave con el que tratar... E incluso nos atrevemos a decir que únicamente existe un área dentro de cualquier organización que disponga del conocimiento, de las aptitudes, de las actitudes y, en definitiva, del equipo multidisciplinar y todoterreno que sea capaz de llevar a cabo un proyecto de tal magnitud y poder afrontarlo con éxito: Auditoría Interna. 

Por eso entendemos que, en ausencia de un departamento específico de Gestión de Riesgos, sea en un primer momento Auditoría Interna quien implante el Sistema en la organización.

Pero no obstante, hoy en día suele ser usual que, en la mayoría de las organizaciones, se tenga la percepción de que la Gestión de Riesgos es una labor periódica y adicional de control interno. Los gestores de los riesgos suelen pensar que proporcionar información sobre sus riesgos supone una mayor carga de trabajo. Asimismo, no hacer que el proceso forme parte del día a día de las personas impide que éstas aprecien su utilidad y sus potenciales beneficios. En definitiva, se percibe como un proceso cíclico en el que el coste es mayor que el beneficio.

2. Metodología.

El ser humano, en su afán de conocer el entorno que le rodea e intentar predecir los sucesos que le afectan, ha venido utilizando sus conocimientos y las diferentes ciencias de las que dispone con el objeto de estructurar modelos que expliquen la realidad, en todas sus vertientes. Una realidad que, en ocasiones, es excesivamente compleja como para ser explicada mediante una "serie de ecuaciones con unas cuantas variables".

Desde el punto de vista de la Gestión de Riesgos, la versión 1.0 se ha centrado, fundamentalmente, en construir modelos de la realidad empresarial, orientados a explicar las dos dimensiones principales del riesgo; el impacto y la probabilidad de ocurrencia.

Estos modelos han utilizado técnicas que tomaban como referencia, en la mayoría de los casos, el análisis y la elaboración de predicciones basadas en datos y tendencias pasadas con el objeto de pronosticar el futuro.

Aunque parezca aventurado decirlo, creemos que estas metodologías han sido limitadas en la construcción de modelos (bien porque se han manejado pocas variables, bien debido a un mal diseño de las relaciones entre ellas) y, en ocasiones, incluso podríamos decir que estos modelos han fallado. 

Además, dada la inestabilidad y la rapidez con la que cambian las circunstancias empresariales hoy en día, parece lógico pensar que:

1. Predecir eventos futuros en base a datos y tendencias pasadas, carece de cierto sentido.
2. Los ejercicios de actualización de la información sobre riesgos (registros y mapas de riesgos, principalmente) no se realizan de acuerdo a la evolución del entorno y del negocio; es decir, lo que es válido hoy, puede no serlo mañana.

Nos remitimos a los hechos: tomemos, por ejemplo, el caso del sector financiero, sector que utiliza técnicas especializadas para el estudio de los riesgos, su valoración y sus consecuencias: análisis de sensibilidad y construcción de escenarios, VaR (Value at Risk), pérdida esperada, estadística bayesiana, etc. Pocas entidades financieras supieron anticipar el impacto de la crisis financiera sobre el resto de la economía muncial. Incluso hubo casos, como fue el de Lehman Brothers, que no gestionaron bien su cartera de riesgos y finalmente desaparecieron.

3. Enfoque.

Tradicionalmente, el proceso de Gestión de Riesgos 1.0 se ha centrado en aplicar la visión de "qué es lo que puede salir mal" que impedirá a la organización conseguir sus metas.

Poner el foco en los aspectos que pueden salir mal en una organización puede suponer una inversión ingente de tiempo y recursos, puesto que la posibilidad de enumerar eventos potenciales es casi infinita.

Versión 2.0 de la Gestión de Riesgos

Creemos que es necesario un cambio de paradigma. No proponemos romper los esquemas o construir otros nuevos. Proponemos evolucionar y desarrollar una Gestión de Riesgos más completa, basada en tres pilares:

A. Gestión de Riesgos como proceso dentro de la organización.

Debe tratarse de un proceso más dentro de la estructura de la organización, aunque con un carácter marcadamente transversal. Al igual que existen procesos productivos, de marketing o de generación de información financiera, entre otros, el proceso de Gestión de Riesgos debe imbuirse formalmente y realmente en la cultura, en el día a día de la organización y debe llegar a todos (personas, departamentos, unidades de negocio, etc). Incorporar descripciones de trabajo y criterios de evaluación del desempeño relacionados con la gestión de riesgos puede ser una buena manera complementaria de acelerar el proceso, a parte de las necesarias labores de "evangelización" que deben realizarse.

En nuestra opinión, Gestión de Riesgos debería desvincularse del área de Auditoría Interna y acercarse e ir de la mano del área estratégica.

B. Metodología ampliada.

Existen riesgos de diferente naturaleza y por tanto la metodología de evaluación no puede ser estandarizada. Consideramos que es necesario contar con una imagen completa de los riesgos, sus causas y sus consecuencias. Mediante la aplicación de una visión integrada podemos incorporar diferentes puntos de vista a diferentes situaciones. 

No proponemos prescindir del análisis y de las valoraciones técnicas de los eventos de riesgo, pero nos parece mucho más completo aplicar dos herramientas adicionales que no suelen fallar para entender las situaciones, sus implicaciones y sus consecuencias: la lógica y el sentido común. 

Cuantificar el impacto de los riesgos que se pueden cuantificar está bien y es necesario. No obstante, existen otros criterios que no son únicamente económicos o financieros en los que se pueden traducir también los impactos de un evento (por ejemplo, repercusiones sociales, seguridad de personas o reputación de la marca). Lo que proponemos es, además, utilizar otro tipo de criterios adicionales de carácter cualitativo, que permitan obtener visiones más completas y globales sobre las implicaciones que puedan tener en la organización.

En todo caso, lo que se pretende es poder tomar decisiones bajo un nivel de incertidumbre, contando con la información más completa posible.

C. Vincular Objetivos y Riesgos.

Uno de los requisitos fundamentales para que la Gestión de Riesgos sea útil y de resultados es que los riesgos se encuentran vinculados a los objetivos de la organización. En demasiadas ocasiones hemos comprobado como las organizaciones disponen de inventarios de riesgos que no se encuentran vinculados a objetivos concretos y medibles.

La regulación, el entorno, los recursos, los procesos y los sistemas generan incertidumbre sobre la consecución de los objetivos de la organización. Identificar los riesgos y vincularlos a estos objetivos ayuda a priorizar las situaciones de amenaza y a anticipar sus posibles consecuencias para ofrecer una respuesta que proporcione una seguridad razonable de consecución de los objetivos.

A lo largo de las próximas semanas profundizaremos en estos y otros temas que forman parte de la versión 2.0 de la Gestión de Riesgos.

Os esperamos.