EN LÍNEA CON EL RIESGO
Estándar
La implementación de un programa de administración de riesgos puede alinear mejor el perfil de riesgo de una organización con su estrategia general.
22 de julio de 2019
La gestión de riesgos ha evolucionado y crecido desde su inicio a mediados del siglo XX, como lo demuestra la introducción de metodologías como el Comité de Organizaciones Patrocinadoras de la Comisión de Treadway (COSO) Gestión de riesgos empresariales: integración con la estrategia y el rendimiento, la Organización Internacional de Normalización ISO 31000, y los Acuerdos de Basilea. Sin embargo, solo el 23% de los encuestados describe su programa de gestión de riesgos como maduro en el Instituto Americano de Contadores Profesionales Certificados ‘2019 El estado de la supervisión del riesgo, realizado conjuntamente con la Iniciativa de ERM del Estado de Carolina del Norte. Además, el nivel de madurez percibido ha disminuido en los últimos dos años, y la mayoría de las organizaciones se esfuerzan por integrar su programa de gestión de riesgos empresariales (ERM) con la estrategia y el proceso de establecimiento de objetivos.
Comprender y gestionar el riesgo tiene enormes beneficios, ya que ayuda a las organizaciones a prepararse mejor para el futuro. Entonces, ¿por qué los programas de ERM no son más maduros y mejor aceptados? Lo más probable es que sea porque las organizaciones no saben cómo desarrollar un programa o porque no adoptan la gestión de riesgos.
La forma actual de pensar acerca de esta práctica puede ser desafiada a descubrir nuevas formas de evolucionarla para gestionar más eficazmente el riesgo estratégico. Mi organización anterior desarrolló e implementó con éxito una función de ERM, y actualmente estoy usando el mismo programa estratégico para desarrollar una función en Covetrus, una empresa de servicios y tecnología de salud animal. Construir un programa sistemático y estratégico en mi empresa anterior fue educativo y gratificante, ya que permitió que mi equipo y yo nos familiaricáramos con muchos aspectos de la organización.
Dónde empezar
Antes de establecer el programa, mi equipo y yo identificamos los puntos clave de preocupación que debían abordarse durante la implementación:
- Los riesgos eran demasiado genéricos para crear planes medibles.
- Los problemas y los controles no se asignaron sistemáticamente a los riesgos.
- Fue difícil cuantificar y calificar el impacto para la organización.
- El seguimiento del progreso de los planes de remediación de riesgos no estaba bien documentado.
La implementación del programa se dividió en tres fases que abarcan varios años.
Fase 1: Piloto
Durante esta fase, el equipo desarrolló una biblioteca de riesgos detallada y una jerarquía que se alineó con el ciclo de vida de la organización, asignó los problemas y los controles a los riesgos, brindando una imagen en tiempo real del perfil de riesgo de la organización, desarrolló planes de remediación medibles para los riesgos principales e implementó Informes centralizados.
La participación en el programa de riesgo inicialmente se limitó a los equipos de auditoría interna, diligencia debida del proveedor y cumplimiento. Algunos de los pasos clave tomados para completar esta fase incluyen:
- Seleccionando un estándar ERM. Nos decidimos por el marco actualizado de ERM de COSO.
- Definición de propósito, alcance, roles y responsabilidades.
- Formalizar una metodología de calificación de riesgo.
- Desarrollando una biblioteca maestra de riesgos.
- Documentar un proceso para identificar riesgos, evaluar la gravedad, implementar respuestas, rastrear e informar.
- Realización de evaluaciones iniciales de riesgo con áreas críticas.
El desarrollo de la biblioteca de riesgos fue vital, ya que definió la base del programa y proporcionó una terminología común para todos los participantes del programa. Con el tiempo, el equipo actualizó la biblioteca basándose en los comentarios de la administración para personalizarla según el tipo de riesgos inherentes a la organización. El equipo organizó los riesgos en una jerarquía de tres niveles. En la parte superior se encontraban las áreas clave de riesgo empresarial, que siguen el ciclo de vida de la organización (consulte “Áreas de riesgo empresarial”, a la derecha).
Debajo de cada área de riesgo empresarial, hay riesgos intermedios que representan las subfunciones de esa área de riesgo. Dentro de cada riesgo intermedio, existen riesgos individuales que son eventos potenciales que pueden impactar esa área de negocios. Los riesgos individuales están vinculados a los procesos, objetivos, indicadores clave de riesgo, pérdidas financieras, controles de mitigación, incidentes y hallazgos (consulte “Riesgos, controles, problemas y mapeo de remediación” a continuación).
La asignación de los más de 900 controles y problemas internos a cada riesgo individual llevó más tiempo, pero fue el paso más importante. Los procesos de mapeo brindaron mayor información sobre las calificaciones, que a menudo son subjetivas. Más específicamente, la ocurrencia de un problema aumentó la probabilidad, mientras que la presencia de controles internos conformes disminuyó la probabilidad de que ocurriera uno o más riesgos.
Después de completar esta fase, nos dimos cuenta de que tratamos de lograr demasiado en poco tiempo. Por ejemplo, definimos el proceso de riesgo de extremo a extremo a la vez que lo automatizamos a través de nuestro sistema de administración de riesgos. Mirando hacia atrás, deberíamos haber operacionalizado el proceso antes de introducir una herramienta.
Fase 2: Implementar el programa
Durante la fase 2, mi equipo y yo desarrollamos una política formal de gestión de riesgos, afinamos el proceso, ampliamos las evaluaciones de riesgos en todas las divisiones y establecimos un comité de gobierno. El equipo también incorporó otras funciones clave de gestión de riesgos en el marco del programa ERM para incluir la continuidad del negocio, la seguridad de la información, los equipos legales y de seguridad del paciente.
Los equipos individuales tenían sus propios comités de gobierno, que se consolidaron en un solo equipo de gobierno, riesgo y cumplimiento que comprende el liderazgo ejecutivo. Este equipo se reunió varias veces al año para discutir los principales riesgos y el estado de los planes de remediación, y para escalar los problemas críticos, según sea necesario.
El seguimiento de problemas de estas funciones clave se consolidó en un proceso y una herramienta coherentes. Este esfuerzo tomó un año y seguimos el mismo proceso para cada equipo:
- Realizar análisis de estado actual de procesos, personas y herramientas.
- Normalizar las metodologías de calificación.
- Migre todos los problemas pendientes e implemente un proceso para identificar y rastrear problemas y planes de remediación en el sistema ERM.
Para garantizar un etiquetado de riesgos preciso para estos problemas, configuramos la herramienta para dirigir cualquier problema nuevo al equipo de administración de riesgos para su aprobación. Utilizamos la revisión como una oportunidad de aprendizaje tanto para nuestro equipo como para el negocio, donde una vez al mes revisamos los problemas, las causas fundamentales relacionadas, los planes de remediación y los riesgos afectados.
Fase 3: Integrar ERM con la Estrategia
Al principio de nuestro proceso, aprendimos que una integración exitosa depende de que la organización tenga un enfoque estratégico para identificar, gestionar e informar sobre la estrategia y los objetivos. La integración con el programa ERM se convierte en uno de los pasos en ese proceso.
El proceso de integración comenzó con la definición de nuestras declaraciones de apetito de riesgo para cada uno de los objetivos de la empresa. Por ejemplo:
- Objetivo: Desarrollar nuevos productos y atraer nuevos clientes.
- Apetito de riesgo: una organización no tomará decisiones que pongan en peligro su reputación al utilizar productos nuevos defectuosos que presenten vulnerabilidades de seguridad y causen una violación de los datos del cliente.
Luego, el equipo de liderazgo identificó proyectos o iniciativas que apoyaban los objetivos y la estrategia de la organización e incluía información como oportunidades, dependencias, recursos, presupuesto y cronograma. La coordinación con las funciones generales y de administración para discutir las necesidades de recursos y presupuesto, así como cualquier implicación regulatoria y de cumplimiento como resultado de estos proyectos, fue necesaria, ya que estas dependencias podrían convertirse en riesgos para los objetivos. Esto incluía a los equipos de planificación y previsión de recursos humanos, legales, de auditoría y financieros.
El equipo de ERM, en asociación con líderes, identificó riesgos adicionales a nivel de proyecto. Estos riesgos se clasificaron utilizando la metodología de calificación y se acumularon a nivel empresarial. La priorización y las respuestas a los riesgos se alinearon con las declaraciones de apetito de riesgo. Estas declaraciones también guiarán la respuesta de la organización a los riesgos emergentes que surgen a lo largo del año.
Alineación Organizacional
A lo largo de este programa, el equipo aprendió a trabajar de manera más productiva con la organización para encontrar menos resistencia. Desde el principio, aprendimos que las discusiones sobre el riesgo sin el enfoque correcto pueden percibirse como un ataque y una crítica del negocio.
Como resultado de este proyecto, el equipo adoptó un enfoque de enseñanza y aprendizaje donde pasamos más tiempo educando a la organización sobre los principios de riesgo, lo que nos ayudó a comprender mejor los negocios y los riesgos desde la perspectiva de la organización. En conjunto, la organización se alineó más con su perfil de riesgo.
Los auditores internos pueden marcar la diferencia si las organizaciones superan su punto de entrega. Al probar la gestión de riesgos y no esperar a que ocurra un gran evento que obligue a los auditores internos a adoptar la gestión de riesgos de forma aleatoria, sus organizaciones lo están haciendo bien. El progreso no se puede lograr a través del miedo.
No hay comentarios.:
Publicar un comentario