Gestión del Riesgo Empresarial
La gestión de riesgo empresarial o Enterprise Risk Management (ERM), es una gran labor, es una tarea y un desafío de todos, definir y asignar roles adecuados y supervisar efectivamente con el fin de eliminar en lo posible esas brechas en cuanto a la cobertura de los controles, para ello es importante establecer responsabilidades muy claras, con el fin de lograr que cada quien sepa cómo encaja su rol en la estructura general de riesgo y control de la organización.
El riesgo se define como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas. Los factores que lo componen son la amenaza y la vulnerabilidad.
La amenaza es un condición que puede ocasionar un peligro, lesiones u otros impactos en la salud, en la propiedad, así como la pérdida de medios de sustento y de servicios, trastornos sociales y económicos, o daños ambientales. La amenaza se determina en función de la intensidad y la frecuencia.
La vulnerabilidad son las características y circunstancias de una comunidad, sistema o bien que los hacen susceptibles a los efectos dañinos de una amenaza, por lo tanto:
RIESGO = AMENAZA x VULNERABILIDAD
Por lo tanto los puntos a considerar y tomar en cuenta son:
1. La gestión operativa
Primera línea de defensa donde las gerencias operativas son propietarias de los riesgos y los gestionan. Estas gerencias también son responsables de la implementación de acciones correctivas para hacer frente a deficiencias de proceso y control, ya que estos están diseñados dentro de los sistemas y procesos bajo su dirección como administración operacional.
2. Funciones de gestión de riesgo y cumplimiento
En este nivel la gerencia establece diversas funciones de gestión de riesgos y cumplimiento para ayudar a crear y/o monitorear los controles de la primera línea de defensa. Las funciones específicas varían según la organización e industria, pero las funciones típicas de esta segunda línea de defensa comprenden:
2.1. Facilita y monitorea la Implementación de prácticas efectivas de gestión de riesgos por parte de la gerencia operativa.
2.2. Una función de cumplimiento para monitorear diversos riesgos específicos tales como el incumplimiento de leyes y regulaciones aplicables.
2.3. Una función de contraloría que monitorea riesgos financieros y la emisión de la información financiera.
3. Auditoria interna
Cuando hablamos de los auditores internos, hay que resaltar que los mismos proporcionan a los organismos de gobierno corporativo y a la alta dirección un aseguramiento comprensivo basado en el más alto nivel de independencia que no existe en los otros niveles y una objetividad dentro de la entidad, los auditores internos proveen aseguramiento sobre la efectividad del gobierno corporativo, la gestión de riesgos y el control interno, incluyendo la manera en que la primera y segunda línea de defensa alcanzan sus objetivos de gestión de riesgos y control.
Es de destacar que los auditores externos se encuentran fuera de la estructura de la organización, pero ellos pueden tener un rol en la estructura general de gobierno corporativo y control de la organización, los mismos también establecen requerimientos con la intención de fortalecer los controles de la entidad y en otras ocasiones realizan una función independiente y objetiva para evaluar la totalidad o una parte de la primera, segunda o tercera línea de defensa con respecto a esos requerimientos.
No importa si eres una entidad pequeña, mediana o grande, lo cierto es que estas líneas de defensa de manera separada, pero con una coordinación con los procesos de riesgo y control estructurados, pueden lograr grandes beneficios a la organización.