Cada día de nuestra vida estamos evaluando (a veces inconscientemente) las posibilidades de que algo salga mal y nos afecte de manera negativa, por lo que somos más precavidos en nuestras decisiones y acciones para así evitarlo en lo posible.
De manera general, el CIIFEN nos da la siguiente información sobre este tema:
El riesgo se define como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas. [1] Los factores que lo componen son la amenaza y la vulnerabilidad.
Amenaza es un fenómeno, sustancia, actividad humana o condición peligrosa que puede ocasionar la muerte, lesiones u otros impactos a la salud, al igual que daños a la propiedad, la pérdida de medios de sustento y de servicios, trastornos sociales y económicos, o daños ambientales. [1] La amenaza se determina en función de la intensidad y la frecuencia.
Vulnerabilidad son las características y las circunstancias de una comunidad, sistema o bien que los hacen susceptibles a los efectos dañinos de una amenaza. (1) Con los factores mencionados se compone la siguiente fórmula de riesgo:
RIESGO = AMENAZA x VULNERABILIDAD
Ahora bien, en el mundo empresarial también existirán los riesgos, entendiendo básicamente esto como esa posibilidad de que un evento pueda afectar negativamente a la organización, lo que hace que el gestionar este aspecto sea una necesidad muy básica en las entidades modernas, siempre existirán las amenazas para una organización por lo que esto debe ser tratado seriamente a todo nivel de la entidad, y de esta forma colaborar entre todos, para identificar las vulnerabilidades existentes y posteriormente minimizarlas al máximo, pero para esto la gestión de riesgo debe de ser un aspecto vital en la gestión organizacional.
La gestión de riesgo es el proceso de identificar, analizar y cuantificar las probabilidades de pérdidas y efectos secundarios que se desprenden de los eventos desfavorables, así como de las acciones preventivas, correctivas y reductivas correspondientes que deben emprenderse.
La gestión de riesgo empresariales (ERM) es una labor titánica, y una tarea de todos, es un verdadero desafío el asignar los roles adecuados y supervisar efectivamente con el fin de eliminar en lo posible esas brechas en cuanto a la cobertura de los controles, para ello es importante establecer responsabilidades muy claras, de esta forma se logrará que cada quien sepa cómo encaja su rol en la estructura general de riesgo y control de la organización.
Cuando una entidad cuenta con un efectivo Enterprise Risk Management (ERM), tiene una mirada integral que une todos los niveles dentro de una organización para anticipar y administrar mejor el riesgo.
En este orden de ideas tenemos que hablar indiscutiblemente del modelo de las tres líneas de defensa este modelo tiene sus raíces en los servicios financieros, sin embargo, ha servido a una gama más amplia de industrias relacionadas con innumerables cuestiones relacionadas con el gobierno y la gestión de riesgos., según el IIA, este modelo:
“proporciona una manera simple y efectiva para mejorar las comunicaciones en la gestión de riesgos y control mediante la aclaración de las funciones y deberes esenciales relacionados. Este modelo proporciona una mirada nueva a las operaciones, ayudando a asegurar el éxito continuo de las iniciativas de gestión del riesgo, y este modelo es apropiado para cualquier organización independientemente de su tamaño o complejidad. Aún en organizaciones donde un marco o sistema de gestión de riesgos formal no existe, el modelo de Las Tres Líneas de Defensa puede aumentar la claridad respecto a los riesgos y los controles y ayudar a mejorar la efectividad de los sistemas de gestión de riesgos.”
Este modelo se basa en tres líneas, estas son:
La primera línea de defensa: la gestión operativa
Como primera línea de defensa, las gerencias operativas son propietarias de los riesgos y los gestionan. Estas gerencias también son responsables de la implementación de acciones correctivas para hacer frente a deficiencias de proceso y control.
El nivel operativo sirve lógicamente como primera línea de defensa porque los controles están diseñados dentro de los sistemas y procesos bajo su dirección como administración operacional.
La segunda línea de defensa: Funciones de gestión de riesgo y cumplimiento:
En este nivel la gerencia establece diversas funciones de gestión de riesgos y cumplimiento para ayudar a crear y/o monitorear los controles de la primera línea de defensa. Las funciones específicas varían según la organización e industria, pero las funciones típicas de esta segunda línea de defensa comprenden:
- Facilita y monitorea la Implementación de prácticas efectivas de gestión de riesgos por parte de la gerencia operativa
- Una función de cumplimiento para monitorear diversos riesgos específicos tales como el incumplimiento de leyes y regulaciones aplicables.
- Una función de contraloría que monitorea riesgos financieros y la emisión de la información financiera.
La tercera línea de defensa: auditoria interna
Cuando hablamos de los auditores internos, hay que resaltar que los mismos proporcionan a los organismos de gobierno corporativo y a la alta dirección un aseguramiento comprensivo basado en el más alto nivel de independencia que no existe en los otros niveles y una objetividad dentro de la entidad, los auditores internos proveen aseguramiento sobre la efectividad del gobierno corporativo, la gestión de riesgos y el control interno, incluyendo la manera en que la primera y segunda línea de defensa alcanzan sus objetivos de gestión de riesgos y control.
Es de destacar que los auditores externos se encuentran fuera de la estructura de la organización, pero ellos pueden tener un rol en la estructura general de gobierno corporativo y control de la organización, los mismos también establecen requerimientos con la intención de fortalecer los controles de la entidad y en otras ocasiones realizan una función independiente y objetiva para evaluar la totalidad o una parte de la primera, segunda o tercera línea de defensa con respecto a esos requerimientos, si existe una real y armoniosa coordinación estos pueden ser considerados como adicionales líneas de defensa.
No importa si es una entidad es pequeña, mediana o grande, lo cierto es que debe existir estas líneas de defensa de manera separada, pero con una coordinación, en definitiva, los procesos de riesgo y control deben ser estructurados de acuerdo con este modelo que si se aplica efectivamente traerá muchos beneficios a la organización.
Y como el cambio es lo único constante, el Instituto de Auditores Internos (IIA), en colaboración con especialistas, está realizando una extensa revisión de este modelo, para así garantizar su continua relevancia en el mundo empresarial actual. Se espera que, sobre la base de los aportes de los grupos de trabajo y asesores, se presente un documento de posición actualizado para comentarios del público en el primer trimestre de 2019, así que tendremos un modelo fortalecido y de seguro de gran valor para una efectiva gestión de riesgo empresarial.
Autor: Lcdo. Michael Aular – Micdan Consulting
Twiter: @Micdanconsultin