METODOLOGÍA. MATRIZ DE CONTROL DE RIESGOS
Estándar
CONTROL INTERNO 19 OCTUBRE 2018
Entre todas la opciones para administrar y controlar riesgos, encontramos su Matriz para el Control; con la ventaja de visualizar y verificar todos los elementos de manera fácil.
Todas las empresas, sin excepción, ya sean grandes, Pymes o del sector público, enfrentan día a día una serie de riesgos para desarrollarse y cumplir sus objetivos, tales como riesgos financieros, de mercado, estratégicos, operacionales, regulatorios, legales, contractuales, de más recursos humanos, etc., los cuales, si no se identifican, analizan, administran y controlan adecuadamente, pueden afectar la operación y la rentabilidad, detener su sano crecimiento, obstruir la creación de valor y afectar la permanencia de las sociedades en el tiempo.
Todos los empresarios, miembros de los consejos de administración y directores de empresa están conscientes que es normal hacer frente a toda clase de riesgos para cumplir con los objetivos, la visión y misión de toda clase de organizaciones, lo importante es saber administrar y controlarlos.
El Código de Mejores Prácticas Corporativas (CMPC) en su capítulo segundo menciona: “Se considera que un buen sistema de gobierno corporativo contenga los 11 Principios básicos, de los cuales el principio seis se refiere a: “la identificación, la administración, el control y la revelación de los riesgos a que está sujeta la sociedad”.
Para administrar y controlar los riesgos, existen numerosas metodologías, las cuales en general, han sido desarrolladas por las grandes firmas de contadores públicos y despachos de consultoría. Para el caso de las Pymes, por su complejidad y costo de implementación, las ha disuadido de contratarlas y ponerlas en práctica. Asimismo, las empresas grandes cada día restringen más la aprobación de honorarios a firmas externas para que desarrollen e implementen nuevas metodologías de trabajo, incluidas las correspondientes para el control de los riesgos.
PROPUESTA PARA ESTABLECER UNA MATRIZ DE RIESGOS
En esta ocasión, se propone un modelo relativamente sencillo y compacto de desarrollar, consistente en un solo documento: la Matriz para el Control de Riesgos. La ventaja de este modelo, es que, en un solo documento, o en un solo “golpe de vista”, se pueden visualizar de manera directa todos los elementos para controlarlos y se pueden relacionar o interconectar entre sí. Las columnas que se planea para implementar este modelo son las siguientes:
- Descripción o definición del riesgo
- Concepto del riesgo
- Clasificación del riesgo
- Cuantificación del riesgo
- Impacto o área específica en que recae el riesgo
- Medidas para administrar y controlar el riesgo
- Fechas de implementación de esas medidas
- Porcentaje de cumplimiento de esas medidas
DESARROLLO DE LA MATRIZ
A continuación, se indican algunas generalidades para el llenado de dichas columnas, sugiriéndose, incluso, la preparación de un procedimiento:
Descripción del riesgo. Aquí se debe definir concisamente el riesgo con las menores palabras posibles.
Concepto del riesgo. Se clasifican en estratégico, operativo, financiero, de imagen, de información, regulatorio, de sistemas, contractual, de industria, de mercado, de recursos humanos, de liquidez y de estabilidad o solvencia. Un riesgo puede caer en dos o más de estas agrupaciones, por lo que es válido emplear varios de estos conceptos para conceptualizar un riesgo.
Clasificación del riesgo. Se dividen en crítico, importante y de mediana importancia, para lo cual deberá definirse qué se entiende por cada uno de éstos para cada organización. Se sugiere que la Matriz de Control de Riesgos se enfoque solo sobre los riesgos críticos e importantes.
Cuantificación del riesgo. Se propone estimarlo en pesos o dólares, o bien, bajo los indicadores o parámetros operativos de la empresa en cuestión, como pudieran ser toneladas, kilowatts-horas o cualquier unidad de medida aplicable. Si no es posible definir, estimar o identificar dicha cuantificación, se recomienda calcular el rango mínimo y máximo de ocurrencia del riesgo en particular de que se trate. Se sugiere procurar evitar las palabras “no cuantificable”.
Impacto o área específica en que recae el riesgo. En esta columna, se debiera identificar el área o concepto de la empresa donde recae el riesgo en particular.
Medidas para administrar y controlar el riesgo. La columna más importante de todas para identificar y controlar todos los riesgos. Estas medidas corresponden a las acciones normales o extraordinarias, preventivas y correctivas, que la dirección de la empresa desarrolla para administrar la operación, el control de gestión y las finanzas de la empresa.
Fechas de implementación de dichas medidas, tanto de inicio y de terminación, procurando evitar la palabra “permanente”. En este caso, se requiere honestidad profesional para reconocer si efectivamente se tienen o no implementadas las medidas aplicables correspondientes, es decir, si se deben establecer nuevos mecanismos para el control de los riesgos de la empresa.
Porcentaje de cumplimiento de esas medidas. Para esto, se deberá ser objetivo al indicar ese porcentaje, para que el lector de esta Matriz evalúe, si estas medidas están implementadas al 100%, o bien identificar cuál es su porcentaje de cumplimiento efectivo.
Para preparar esta Matriz, se sugiere pedir a cada una de las áreas funcionales o direcciones de la empresa que desarrolle su Matriz individual, para consolidarlas en una Matriz general, sugiriendo que se reporten en ella los riesgos principales de la empresa. Se recomienda preparar la Matriz general con un total de diez riesgos, la cual secuencialmente debiera aprobarse por las siguientes instancias: por la dirección general de la empresa, para después pasar a la aprobación del Comité de auditoría y, por último, por el Consejo de administración, para cumplir con la función sugerida por la Práctica 7.X del CMPC del Consejo de Administración: “Asegurar el establecimiento de mecanismos para la identificación, análisis, administración, control y adecuada revelación de los riesgos”. Uno de los mecanismos sugeridos por esta práctica y función pueden aplicarse al modelo de implementar una Matriz para el Control de Riesgos de la empresa.
Debería ser un documento que circule y se retroalimente de todas las áreas, desde la dirección hasta el Consejo de administración.
Considerando lo mencionado en los dos párrafos anteriores, la Matriz de Riesgos debiera ser un documento dinámico que circule entre cada una de las áreas y órganos antes citados, recibiendo la retroalimentación de cada uno de estos. Se recomienda que todas las empresas debieran programar en las juntas del Comité de Auditoría y del Consejo de Administración las fechas en que se propondrá la aprobación de la Matriz de Control de Riesgos para cumplir con la función de aprobar los riesgos, que el CMPC sugiere en sus Principios básicos y en las funciones del Consejo.
Debido al entorno cambiante de los negocios, al surgimiento de nuevos riesgos de todas clases (no solo de carácter financiero) así como a la aparición de nuevos competidores nacionales y extranjeros, al incremento de la inflación y del dólar, a la globalización de los riesgos, a la constante modificación de las leyes y mercados locales e internacionales, se recomienda actualizar esta Matriz cada año, ya que la preparada hace uno o tres años, no sería vigente.
CONCLUSIONES
Se puede afirmar que, si los riesgos de las empresas no son identificados, analizados y controlados oportuna y formalmente en un documento compacto de aprobación, pueden originarles fuertes pérdidas financieras y de imagen que pueden poner en peligro su permanencia en el tiempo. La Matriz de Riesgos es un mecanismo compacto, directo y relativamente sencillo de implementación que puede aportar valor agregado para los administradores, consejos de administración y empresas en general.
C.P.C. Ramón Serrano Béjar
Consultor Independiente e integrante del Consejo Editorial
de la revista Veritas del Colegio
Fuente: https://veritasonline.com.mx/
Consultor Independiente e integrante del Consejo Editorial
de la revista Veritas del Colegio
Fuente: https://veritasonline.com.mx/
AUDITOOL
No hay comentarios.:
Publicar un comentario