Por Norman Marks, CPA, CRMA
Muy pocas organizaciones tienen lo que yo llamaría sistemas eficaces de gestión de riesgos: funciones y procesos sólidos que permitan tomar decisiones conscientes del riesgo a todos los niveles para apoyar la realización de los objetivos clave de la empresa. Sin embargo, un objetivo común entre los líderes de riesgos (profesionales y sus directivos) es calibrar y medir el camino de su organización hacia una gestión de riesgos mejorada, incluso de categoría mundial. Estos líderes están de acuerdo en que, independientemente del estado actual de la actividad de gestión de riesgos, se puede y se debe hacer más. Los modelos de madurez de la gestión de riesgos son una forma excelente de que las organizaciones vean dónde están, comparen su estado actual con el que quieren y necesitan estar si quieren obtener el máximo beneficio, y discutan el valor y el coste de seguir invirtiendo en la gestión de riesgos. Cuanto más maduro sea el sistema de gestión de riesgos, más eficaz será para tomar mejores decisiones, asumir los riesgos adecuados y lograr mejores resultados para la organización. Sin embargo, algunos consideran que la implantación de la gestión de riesgos simplemente lleva tiempo. Describir las capacidades de gestión de riesgos basándose en una curva de madurez -en lugar de calificar de ineficaz el estado actual de la gestión de riesgos- resulta menos desalentador para los dirigentes. Evaluar la madurez en un continuo también es lógico, porque todos los equipos directivos participan de algún modo en la gestión de riesgos, aunque los «sistemas» de gestión de riesgos sean incipientes. Del mismo modo, incluso un sistema de gestión de riesgos de categoría mundial puede tener margen de mejora, especialmente en el entorno siempre cambiante que nos rodea y que impulsa la naturaleza dinámica, iterativa y receptiva de la gestión de riesgos. A continuación figura un modelo de madurez del riesgo que he elaborado basándome en un modelo desarrollado para una agencia gubernamental local del estado de Washington. Mi opinión es que el Nivel Cinco del modelo representa una práctica del riesgo madura, posiblemente de categoría mundial. Sin embargo, muchos responsables de riesgos parecen contentarse con estar en el Nivel Cuatro o incluso en el Nivel Tres. En el Nivel Tres, puede haber una política de gestión de riesgos, y las formas de calificar los niveles de riesgo (por ejemplo, alto, medio o bajo) están normalizadas. Se proporciona un informe a la alta dirección y al consejo que resume los principales riesgos. Cuando observas las capacidades adicionales del Nivel 5 para integrar el riesgo en la fijación de estrategias y en todos los demás procesos empresariales, en los que la información fiable sobre lo que puede ocurrir y su efecto en la consecución de los objetivos de la empresa es parte integrante de todas las decisiones empresariales importantes, puedes ver el valor adicional que se crea. Los programas de gestión de riesgos de nivel 5 garantizan que se asumen los riesgos adecuados mientras la organización trabaja para lograr sus objetivos.
| Nivel de madurez | Descripción | Atributos clave |
|---|---|---|
| Una | Ad hoc | La gestión del riesgo no está documentada y fluctúa; la gestión y la asunción del riesgo dependen de heroicidades individuales. |
| Dos | Preliminar | El riesgo se define de distintas maneras y se gestiona en silos. Es poco probable que la disciplina del proceso sea rigurosa. |
| Tres | Definido | Existe un marco común de evaluación de riesgos/respuesta. Se proporciona una visión del riesgo en toda la organización a la dirección ejecutiva y al consejo en forma de una lista de los llamados riesgos «principales». Se aplican planes de acción en respuesta a los riesgos de alta prioridad. |
| Cuatro | Integrado | Las actividades de gestión de riesgos se coordinan en todas las áreas de negocio. Se utilizan herramientas y procesos comunes de gestión de riesgos cuando procede, con supervisión, medición e información de riesgos en toda la empresa. Las respuestas alternativas se analizan con la planificación de escenarios y otras técnicas, como la simulación de Montecarlo. Se han establecido métricas del proceso. Pero se sigue haciendo hincapié en la gestión de una lista de riesgos. El debate sobre el riesgo en el comité ejecutivo y el consejo de administración es independiente del debate sobre la estrategia y los resultados. |
| Cinco | Optimizado | Se pasa de gestionar una lista de riesgos fuera del contexto de los objetivos de la empresa a gestionar el éxito: la consecución de los objetivos. La consideración de lo que podría ocurrir (siempre que sea posible, se utiliza el lenguaje empresarial en lugar del lenguaje técnico del riesgo) está integrada en la planificación estratégica, la asignación de capital y otros procesos, así como en la toma de decisiones estratégicas y tácticas diarias. Existe un nivel razonable de seguridad de que los responsables de la toma de decisiones asumen el nivel adecuado de los riesgos correctos necesarios para el éxito y no sólo para evitar el fracaso. Existen sistemas de alerta temprana para notificar al consejo y a la dirección tanto los riesgos específicos que superan los umbrales de apetito de riesgo o de capacidad de riesgo establecidos, como aquellos en los que la probabilidad de alcanzar los objetivos de la empresa es inferior a lo aceptable. Los informes a la dirección y al consejo integran los informes de rendimiento (dónde estamos ahora) y de riesgo (qué podría ocurrir) para proyectar la probabilidad de alcanzar cada objetivo empresarial. El debate sobre el riesgo en la alta dirección y el consejo de administración (lo que podría ocurrir) no está separado del debate sobre la estrategia y los resultados. |
La mayoría de las organizaciones (según encuestas periódicas a empresas de auditoría y consultoría) indican que los consejos de administración y la dirección ejecutiva perciben la gestión del riesgo como una actividad de cumplimiento, algo que tienen que hacer. No lo ven como algo que quieran hacer porque añade valor y les ayuda a tener éxito. Sólo lo ven como algo que les ayuda a evitar el fracaso. Cuando una organización alcanza el Nivel de Madurez Cinco, la atención pasa a centrarse en la toma de decisiones diarias que asuman los riesgos adecuados para el éxito. El consejo de administración y la alta dirección pueden comprender si los objetivos de la empresa pueden alcanzarse o no, y por qué. Según mi experiencia con directores generales y miembros del consejo, la gestión del riesgo a este nivel es algo que no sólo desean, sino que están dispuestos a invertir tiempo y dinero para conseguirlo. Para saber más sobre cómo hacer avanzar tu madurez de riesgo, consulta nuestro blog, Cómo un RMIS puede impulsar tu madurez de riesgo. Para más información de Norman Marks, consulta nuestro seminario web Risk@Work a la carta, ¿Necesitas realmente una solución GRC?
Norman Marks es un líder de opinión mundialmente reconocido en auditoría interna y gestión de riesgos. Escribe a trabaja con personas y organizaciones de todo el mundo, asesorándolas sobre gestión de riesgos, auditoría interna, gobierno corporativo, rendimiento empresarial y valor de la información. Norman es autor de nueve célebres libros sobre gestión de riesgos, auditoría interna y cumplimiento de la ley Sarbanes-Oxley.
