Algunas claves para Implantar un Programa de Gestión de Riesgos con Éxito.

En primer lugar, queremos disculparnos por el retraso en la publicación de entradas en nuestro blog durante las últimas semanas. Hemos estado muy ocupados ayudando a mejorar el Sistema ERM de una empresa cotizada y no nos ha dejado tiempo para nada.

En Control Solutions consideramos que la Gestión de Riesgos Corporativos (ERM) se asimila más a un arte que a una técnica. Un arte que difiere de una organización a otra, puesto que las estructuras, los negocios, los sectores de actividad y las personas son diferentes unas de otras. No obstante, creemos que todos los Programas o Sistemas de Gestión de Riesgos deben reunir una serie de requisitos básicos para ser implantados con éxito. 

En línea con el post de nuestro blog en el que tratábamos los motivos por los qué pueden fracasar los Programas de Gestión de Riesgos Corporativos, queremos compartir con vosotros, basándonos en nuestra experiencia, cuales son estos pasos que pueden ayudaros a implantar con éxito un Programa ERM en vuestra organización:

1. Construir el business case para un ERM.

Es crítico tener claro cuál es la justificación real que va a soportar y comprometer tanto el tiempo como los recursos y las inversiones necesarias para llevar a cabo un trabajo de esta naturaleza. Los motivos para implementar un sistema ERM deben fundamentarse en lo que realmente proporcione valor a la organización (minimización de pérdidas, mejoras de la gestión, reputación corporativa, etc).

Por ejemplo, si la razón adoptada para la implantación del sistema de gestión de riesgos es únicamente el cumplimiento de obligaciones legales o regulatorias, la aportación de valor a la organización será muy limitada, impidiendo a ésta generar los benéficos contrastados del ERM.

En definitiva, se trata de adoptar una visión integral y clara para el tratamiento de la incertidumbre sobre el día a día de la organización, incorporando la perspectiva de la relación riesgo/retorno, con el último objetivo de proporcionar un nivel de seguridad razonable para la consecución de los objetivos de la organización, a todos sus niveles.

2. Contar con el sponsor adecuado.

Muchos son los stakeholders dentro de una organización y cada uno de ellos con intereses diferenciados de los del resto. Por ello, es necesario que sepan que el sistema ERM de la organización no es un proyecto de carácter puntual, sino que se trata de un proceso continuado que no debe perder la inercia con el paso del tiempo.

Es crítico el apoyo y la iniciativa desde las más altas estancias de la organización, lo que se traduce en la necesidad de implicación directa de los órganos de gobierno y la dirección. Se necesita garantizar la motivación y tutela directa del Consejo y de la Alta Dirección mediante su implicación por tres vías distintas; 1) asignándoles roles y responsabilidades específicas en el propio proceso de gestión de riesgos, 2) proporcionándoles información útil para sus procesos de toma de decisiones y 3) informándoles de manera periódica sobre el perfil de riesgo y los resultados obtenidos.

  

3. Plan de implantación.

Es necesario realizar una planificación cuidadosa y detallada.

En primer lugar, se debe establecer el alcance del sistema ERM, aplicando un enfoque total, parcial o escalonado, de acuerdo a las características que presente la organización, tales como la existencia de varias líneas de negocio, su estructura, su localización geográfica, etc.

En segundo lugar, planificar bien los recursos necesarios para poner en marcha el sistema ERM; ya se trata de recursos humanos, materiales y/o económicos.

En tercer lugar, determinar el cronograma de actividades, de acuerdo a las fases en que se haya planificado el proyecto.

El empleo de modelos de madurez puede ser una herramienta interesante para trazar la hoja de ruta y monitorizar su progreso.

4. Integración con el negocio, descentralizar la gestión del riesgo y centralizar su reporte.

El sistema ERM no está aislado del negocio y debe considerarse como un proceso transversal común a todas las actividades de la organización.

Incorporar la gestión de riesgos en las organizaciones supone un verdadero cambio cultural, al exigir la adopción de un enfoque proactivo orientado a pensar e informar en clave de riesgos. La resistencia al cambio constituye un verdadero reto que debe ser superado si se quiere adoptar el sistema ERM con éxito.

Quien mejor gestiona el riesgo es el especialista que convive con él. Es recomendable que la gestión directa del riesgo se encuentre descentralizada al máximo nivel, lo más cerca posible del propio riesgo. La organización debe promover esta descentralización, en función de la naturaleza del propio riesgo, para mejorar la eficacia de su gestión.

Por el contrario, y para romper los silos de información, es necesario que el reporte de la información sobre riesgos se encuentre centralizada, lo que permitirá a los organismos de gobierno de la organización contrastar si se está operando de acuerdo al apetito y tolerancia al riesgo establecido.

5. Arquitectura a medida.

Cada organización tiene unas características concretas; su dimensión, el mercado en el que opera, sus clientes, su estructura interna, su ubicación geográfica, su filosofía y cultura empresarial… A la hora de diseñar la arquitectura del sistema ERM (políticas, procedimientos, metodologías y herramientas) se deberán tomar en cuenta todas estas características y realizar un “diseño a medida” de cada organización.

XVIII Jornadas de Auditoría Interna.

Esta semana damos algo de tregua a la polémica y os contamos nuestra participación en las XVIII Jornadas de Auditoría Interna, que se celebraron en Madrid los pasados días 24 y 25 de octubre. Control Solutions estuvo presente desde dos perspectivas diferentes; además del ya tradicional stand en la zona de expositores, Andy Douglas, Socio-Director de la Firma, junto con José Enrique Díaz Menaya, Director de Auditoría Interna de Bergé y Cía., fueron los encargados de desarrollar la ponencia "Auditando el Proceso de Gestión de Riesgos como proyecto de alto valor añadido".

El Stand.

Fuente: Control Solutions

Nuestra compañera Ana Peña y Bárbara Ximénez, de Yucan QM (nuestro partner en el desarrollo del CS Audit Portal), atendieron a los visitantes que se acercaron a nuestro stand para informarse sobre los servicios que prestamos a nuestros clientes.

En la foto, Ana y Bárbara explican una demo en directo a Javier Faleato, Director del Instituto de Auditores Internos de España. La demo versaba sobre la nueva funcionalidad en materia de Gestión de Riesgos de nuestro CS Audit Portal.

La ponencia.

Andy y José Enrique hablaron sobre la necesidad y la importancia de auditar el Proceso de Gestión de Riesgos de las organizaciones. 

En todas las organizaciones se afronta la incertidumbre y, en consecuencia, se gestionan riesgos, independientemente del tamaño y la estructura de las mismas. Ese proceso por el que se gestionan tales situaciones, tanto si se encuentra formalizado como si no, adquiere una importancia capital dentro de las organizaciones, puesto que aporta una serie de importantes beneficios, entre otros:

• Ayuda a reducir impactos de situaciones negativas.
• Contribuye a salvaguardar la reputación.
• Permite tratar situaciones transversales dentro de la organización.
• Mejora el Gobierno Corporativo, la Ética y la Responsabilidad Social Corporativa.
• Mejora la gestión, proporciona una mayor transparencia y soporta el proceso para la toma de decisiones.

De esta importancia se deriva la necesidad de someterlo a revisión. No solamente desde el punto de vista del cumplimiento del estándar en el que se encuentre basado (para el caso de sistemas formales), sino también desde la perspectiva de la propia eficacia del sistema, es decir, de si la gestión de riesgos de la organización se encuentra bien diseñada y cubre las necesidades del propio negocio (en cuanto a estructura e información generada). El modelo propuesto para ello se fundamenta en la evaluación de los siguientes cinco pilares:

A. Filosofía y cultura de gestión de riesgos: mandato, responsabilidad, compromiso.

B. Arquitectura: roles, comunicación, estructura de reporting.

C. Protocolos: normas, procedimientos, metodologías.

D. Estrategia: apetito, estrategia, política.

E. Procesos de gestión de riesgos: identificación, evaluación, priorización.

Todo ello con el objetivo final de contrastar la evaluación de estos pilares en relación a un modelo de madurez de las capacidades (en este caso, desarrollado por la Universidad Carnagie Mellon), clasificándose los resultados de acuerdo a las siguientes categorías (de menor a mayor nivel de madurez):

• Inicial – El proceso depende exclusivamente de individuos – No es patrimonio de la organización.
• Repetible -  Existe la disciplina y los procesos necesarios para basar las acciones en lo que se hizo en el pasado.
• Definido – Los procesos, los programas y las herramientas se estandarizan.
• Gestionado -  Se introducen métricas para medir la eficacia de los procesos de gestión de riesgos.
• Optimizado  - Un enfoque universal hacia la mejora contínua (Plan-Do-Check-Act).

Fuente: Control Solutions

No dudéis en hacernos llegar cualquier petición sobre temas que os gustaría que tratáramos en este blog: vuestras sugerencias siempre son bienvenidas.