Posts etiquetados ‘información’

Análisis integral del riesgo: un impulso para la credibilidad y la transparencia en la empresa

Publicado: 30/12/2012 en Noticias Seguridad
Etiquetas:, , , ,
0

La gestión de riesgos, tanto desde el punto de vista de amenaza como de oportunidad, no debe entenderse como un procedimiento adicional.

Debe integrarse en la gestión corporativa de las organizaciones favoreciendo de este modo el comportamiento ético, la seguridad jurídica y la responsabilidad empresarial.

ÁNGEL ESCORIAL BONET
RISKIA

La norma UNE-ISO 31000-2010 «Gestión del riesgo. Principios y directrices» señala en su introducción que «todas las actividades de una organización implican riesgos». Más adelante recomienda que «las organizaciones desarrollen, implementen y mejoren de manera continua un marco de trabajo cuyo objetivo sea integrar el proceso de gestión del riesgo en los procesos de gobierno, de estrategia y de planificación, de gestión y de elaboración de informes, así como en las políticas, los valores y en la cultura de toda organización».

Por su parte, el Código Unificado de Buen Gobierno, o Código Conthe, recoge como competencia del Consejo de Administración aprobar «la política de control y gestión de riesgos, así como el seguimiento periódico de los sistemas internos de información y control».

Respecto al Comité de Auditoría, el Código Unificado de Buen Gobierno recomienda que los miembros que lo integren, y de forma especial su presidente, «se designen teniendo en cuenta sus conocimientos y experiencia en materia de contabilidad, auditoría o gestión de riesgos».

Recomienda, asimismo, que la política de control y gestión de riesgos identifique, por lo menos, los distintos tipos de riesgo (operativos, tecnológicos, financieros, legales, reputacionales) a los que se enfrenta la sociedad, incluyendo, entre los financieros o económicos, los pasivos contingentes y otros riesgos fuera de balance; la fijación del nivel de riesgo que la sociedad considere aceptable; las medidas previstas para mitigar el impacto de los riesgos identificados, en caso de que llegaran a materializarse y, finalmente, los sistemas de información y control interno que se utilizarán para controlar y gestionar los citados riesgos, incluidos los pasivos contingentes o riesgos fuera de balance.

En relación con los sistemas de información y control interno, corresponde al Comité de Auditoría, según el Código Unificado de Buen Gobierno, «revisar periódicamente los sistemas de control interno y gestión de riesgos, para que los principales riesgos se identifiquen, gestionen y den a conocer adecuadamente».

A partir de este marco de referencia, con el fin de dar cumplimiento a lo recogido en el Código Conthe respecto a las empresas cotizadas, y actuando conforme a lo establecido por la norma UNE-ISO 31000, una empresa española dedicada a la producción y distribución de material escolar y de oficina contrató los servicios de una consultora especializada para llevar a cabo una auditoría del análisis integral de riesgos que la citada consultora había realizado en el año 2005 y cuyas conclusiones fueron incorporadas por la empresa al apartado D, Sistemas de Control de Gestión de Riesgos, de su Informe Anual de Gobierno Corporativo de ese mismo año.

El objetivo de la auditoría era actualizar el mapa de riesgos de la empresa adaptándolo a su nuevo entorno de negocio, con especial atención a la compra de una nueva sociedad adquirida en el año 2009. Esta empresa, con un volumen de facturación tres veces superior al de la compañía compradora, se dedicaba a la distribución de consumibles informáticos y su producción estaba destinada a la exportación al mercado europeo.

APROXIMACIÓN POR FASES

Partiendo de los datos e informaciones facilitados por la empresa, el planteamiento de la consultora para este tipo de proyectos consistió en una aproximación por fases, conforme a las etapas de la Gerencia de Riesgos: apreciación del riesgo (identificación, análisis y evaluación), tratamiento (validación del plan de acción por la organización), seguimiento y revisión (auditoría periódica del plan validado). Este planteamiento por fases permitió una optimización de resultados y costes.

EL ARTÍCULO DESCRIBE LA AUDITORÍA DE UN ANÁLISIS INTEGRAL DE RIESGOS DE UNA EMPRESA ESPAÑOLA DE PRODUCCIÓN Y DISTRIBUCIÓN DE MATERIAL ESCOLAR Y DE OFICINA CONFORME A LO ESTABLECIDO EN EL CÓDIGO CONTHE Y LA UNE-ISO 31000

El objetivo del estudio era disponer de un mapa de riesgos y una propuesta actualizada de plan de acción que permitiera optimizar los riesgos de la organización, de tal forma que se diera cumplimiento a lo establecido en el Código Unificado de Buen Gobierno para las empresas cotizadas dentro del marco de la norma UNE-ISO 31000.

Como antecedente, cabe señalar, como ya se ha mencionado anteriormente, que en el año 2009 la compañía ya había adquirido una nueva sociedad cuyo volumen y actividad recomendaban una revisión de las conclusiones del análisis integral de riesgos realizado en 2005. Además, durante la ejecución del proyecto, la empresa adquirió el negocio continental de un competidor europeo.

Proceso para la gestión de los riesgos según la norma UNE-ISO 31000. Fuente: UNE-ISO 31000

La propuesta de la consultora para alcanzar el objetivo fijado pasaba por los siguientes pasos: auditar el estatus en que se encontraba el proceso de mejora propuesto en el informe de 2005; identificar y analizar los riesgos indicados en el Código de Buen Gobierno adaptados a la nueva situación de la organización para obtener un mapa de riesgos actualizado conforme a la norma UNE-ISO 31000 apoyada en la clasificación de FERMA y, por último, validar junto a la empresa el nuevo plan de mejora de los riesgos.

Así configurado, el proyecto proporcionaba a la empresa:

  • Un mapa de riesgos actualizado conforme al alcance deseado.
  • Una propuesta de plan de acción para minimizar los riesgos analizados y evaluados.
  • Una validación del plan por el comité de auditoría.

METODOLOGÍA

La auditoría, que fue llevada a cabo por un equipo pluridisciplinar de expertos, identificó los distintos tipos de riesgos (operativos, tecnológicos, financieros, legales, reputacionales) a los que debía hacer frente la compañía.

Para la gestión sistemática de los riesgos, la consultora segmentó el inventario y su análisis en grupos de riesgo acordes con la estructura y actividades de la compañía, según la siguiente clasificación:

  1. Dirección. Política de RRHH, regulación del mercado, cultura de empresa y del sector, comunicación, incluida la preparación frente a situaciones de crisis, y composición del Consejo.
  2. Sistemas de información. Análisis de la seguridad física, como los riesgos de la tecnología informática de estos sistemas, incluidos los ciberriesgos.
  3. Cadena de suministro. Estudio de los contratos y proveedores de materias primas y abastecimientos, así como la logística y su transporte, y de los productos elaborados por la organización.
  4. Procesos del negocio. Identificando los cuellos de botella con sus alternativas back-up considerando el mantenimiento.
  5. Productos y servicios. Contemplando el sistema de calidad.
  6. Medio ambiente. Enfocado a los riesgos medioambientales, incluso los derivados de las nuevas legislaciones de protección de los espacios y recursos naturales.
  7. Patrimonio. Abarcando tanto los riesgos internos tradicionales (incendio, explosión) como los derivados del acceso público y de los eventos naturales externos (inundación, terremoto).
  8. Empleados. Centrado en los aspectos de seguridad e higiene.

Los ocho grupos citados cubrían los riesgos operacionales y de azar recogidos en el esquema de la Federación de Asociaciones Europeas de Gerencia de Riesgos (FERMA), y que fueron objeto de estudio dentro del análisis integral de riesgos realizado por la consultora en 2005.

El nuevo análisis solicitado se ampliaba, incorporando a los dos grupos antes mencionados los de estrategia y finanzas.

  1. Estrategia. Analiza la situación de la organización en el mercado estudiando aspectos como la competencia, las demandas de los clientes, los cambios en clientes y sector, el ciclo de vida de productos y servicios, las potenciales situaciones de fusiones y adquisiciones y el capital intelectual de la organización.
  2. Finanzas. Estudia la liquidez, la tesorería, los tipos de interés y de cambio, el crédito de la organización.

Ejemplo de factores externos e internos. Fuente: FERMA.

LA CONSULTORA PROPORCIONÓ A LA EMPRESA UN MAPA DE RIESGOS ACTUALIZADO CONFORME AL ALCANCE DESEADO, UNA PROPUESTA DE PLAN DE ACCIÓN PARA MINIMIZAR LOS RIESGOS EVALUADOS Y UNA VALIDACIÓN DEL PLAN POR EL COMITÉ DE AUDITORÍA

De esta forma, el alcance del trabajo desarrollado cubría el espectro total de la clasificación de FERMA con la actualización del análisis de riesgos de 2005 a la fecha de realización del estudio, incluyendo la compra de la nueva sociedad y los nuevos grupos de riesgos estratégicos y financieros.Todo ello posibilitaba emitir un dictamen conforme a lo requerido en el Código Unificado de Buen Gobierno.

Para la evaluación de los riesgos se utilizó el mismo método semicuantitativo de potenciales escenarios y sus efectos empleado en 2005, lo que permitió aprovechar los resultados, optimizando de este modo el coste del proyecto.

Semáforos de riesgo. Fuente: Riskia.

El método semicuantitativo de potenciales escenarios combina varias de las técnicas recogidas en la nueva norma UNE-ISO 31010, asignando a cada riesgo identificado un valor (en un rango de 1 a 16) que es el resultado de multiplicar su intensidad/gravedad y su probabilidad/frecuencia graduadas cada una de ellas en grupos valorados de 1 a 4.

Se emplean tres termómetros para valorar el riesgo:

  • GRE: Grado de Riesgo Estimado en 2005.
  • GRA: Grado de Riesgo Auditado en 2011.
  • GRO: Grado de Riesgo Objetivo.

La graduación de la intensidad/gravedad y de la probabilidad/frecuencia para cada escenario de riesgo se asigna en una escala de 1 a 4, de acuerdo con los siguientes criterios para cada una de las variables consideradas:

Intensidad, severidad o gravedad:

  1. Moderada: si las consecuencias obligan a modificar algunos medios o procesos causando perturbaciones económicas asumibles en los resultados anuales.
  2. Relevante: si las pérdidas originan dificultades considerables en el corto plazo obligando a modificar algunos objetivos con repercusión en los resultados anuales.
  3. Grave: si su severidad es tal en los resultados que obliga a reconsiderar no solo el corto plazo, sino todos los planes de futuro de la organización.
  4. Catastrófica: si amenazan la propia supervivencia de la organización.

Probabilidad o frecuencia:

  1. Remota: si sucede de forma extraordinaria (una vez en un siglo o en la existencia de la organización).
  2. Inusual: si acontece rara vez (menos de una vez cada decenio).
  3. Ocasional: si tiene lugar alguna vez en un decenio.
  4. Frecuente: si ocurre todos los años.

La estimación obtenida de cada riesgo (en la escala de 1 a 16) proporciona un valor que se clasifica en las tres zonas del termómetro conforme al método ALARP (concepto definido en el anexo B27 de la norma UNE-EN 31010 como idóneo para la gestión de riesgos):

  • Roja: riesgos inaceptables.
  • Naranja: zona ALARP (As Low As Reasonably Practicable).
  • Verde: riesgos aceptables conforme a la política de riesgos de la organización.

Para cada riesgo analizado y evaluado (fuera de la zona de aceptabilidad), la consultora propuso una acción de mejora que lo reducía hasta un grado de riesgo objetivo (GRO) acorde con la política de riesgos de la organización, de tal forma que:

  • Para los riesgos del informe de 2005, la consultora había auditado su estatus actual, al mismo tiempo que había revisado la aparición de nuevos riesgos o la desaparición de riesgos actualmente inexistentes.
  • Para las ampliaciones de alcance (para la empresa adquirida en 2009 y los grupos de estrategia y finanzas) se llevó a cabo el proceso indicado desde el inicio.

El informe de la consultora proponía medidas de minimización para cada riesgo analizado, como las siguientes:

  1. Técnica de eliminación desde la posición A hasta la D (aceptable).
  2. Combinación de medidas que minimizan el riesgo desde una posición A hasta la D pasando por una posición B (aplicando medidas de prevención que disminuyen la probabilidad), a una posición C (aplicando medidas de protección que bajan la gravedad) para una posterior transferencia (seguro u otro contrato) hasta la posición D.

EL ANÁLISIS INTEGRAL DE RIESGOS FACILITA EL CUMPLIMIENTO DE LOS REQUISITOS LEGALES Y REGLAMENTARIOS A LOS QUE TODA EMPRESA ESTÁ SOMETIDA, COMO LOS RECOGIDOS EN EL CÓDIGO UNIFICADO DE BUEN GOBIERNO CORPORATIVO RESPECTO A LAS SOCIEDADES COTIZADAS

Se puede obtener una media ponderada de los grados de riesgo de los grupos de riesgo que se analicen y que representaría el Grado de Riesgo Global (GRG).

De esta forma, se tiene un valor GRG con un GRGE (estimado inicialmente), un GRGA (auditado en cada momento) y un GRGO (objetivo) que sirven de indicadores globales del proceso de mejora. Estos indicadores se pueden particularizar por grupo de riesgo o por establecimiento industrial en el caso de riesgos operacionales y de azar.

La consultora empleó un sistema de colores para facilitar el seguimiento del inventario de riesgos y de las medidas de mejora conforme sigue:

  • Riesgos y acciones de nuestro informe de 2005 en negro.
  • Auditoría y actualización de nuevos riesgos de 2011 en azul.

En junio de 2011 la sociedad consultora emitió un informe preliminar con las fichas de los diez grupos que habían sido enviadas al coordinador de la empresa, quien las distribuyó a los distintos interlocutores para sus comentarios. Como resultado surgieron notas y comentarios por parte de la empresa que fueron recogidos en rojo, al igual que las actuaciones a realizar por la organización o incluso las previstas como resultado de la presentación del informe preliminar.

Método ALARP (As Low As Reasonably Practicable). Fuente: Riskia.
Ciclo de seguridad de la gerencia de riesgos. Fuente: Riskia.

La consultora empleó las siguientes calificaciones para su sistema de seguimiento:

  • Pendiente, cuando no se ha tomado ninguna medida eficaz.
  • En curso, cuando se han planificado medidas pero aún no son efectivas.
  • Parcialmente ejecutada, si las medidas disminuyen el riesgo de forma parcial.
  • Eliminada, si el riesgo ha desaparecido en el momento de la auditoría.
  • Asumida, si el riesgo es asumido por la organización.
  • Ejecutada, si se ha llevado a cabo una medida efectiva de minimización.

AMENAZAS Y OPORTUNIDADES

La consultora estableció los mapas de riesgos de 2011 (tanto amenazas como oportunidades) segmentando los riesgos de la empresa en diez grupos según la clasificación de FERMA, como ya se ha comentado. La metodología empleada para la identificación y apreciación de los riesgos en un mapa Gravedad x Probabilidad estaba en línea con lo establecido en el estándar UNE-ISO 31000.

EL ANÁLISIS INTEGRAL DE RIESGOS ES UNA HERRAMIENTA QUE PERMITE A LA ORGANIZACIÓN UNA GESTIÓN PROACTIVA EN LA IDENTIFICACIÓN Y TRATAMIENTO DE SUS RIESGOS, LO QUE A SU VEZ AYUDA A DESCUBRIR TANTO AMENAZAS COMO OPORTUNIDADES DE MEJORA

Junto a los mapas de riesgos de 2011, el informe de la consultora incorporaba comentarios de los aspectos más destacados de cada uno de los grupos analizados, así como del análisis comparativo del riesgo objetivo del sistema de indicadores propuesto para el seguimiento del nivel de riesgo de cada uno de los diez grupos entre los años 2005 y 2011.

Asimismo, se facilitaba a la compañía una herramienta dotada de indicadores que permitía el seguimiento periódico, interno y externo, para el control y gestión de los riesgos identificados.

Modelo de ficha de riesgos. Ausitoría de riesgos de XXX. Grupo I. Riesgos de Dirección. Riesgo 1.1: Plan de contingencia. Fuente: Riskia.

En sus conclusiones, la empresa consultora proponía un plan de acción con una serie de medidas de minimización de cada riesgoamenaza identificado, con el objetivo de rebajar su probabilidad de ocurrencia y mitigar el impacto en el supuesto de que llegase a materializarse.

De todo lo comentado en este artículo podemos deducir que el análisis integral de riesgos es una herramienta que permite a la organización una gestión proactiva en la identificación y tratamiento de sus riesgos, lo que a su vez ayuda a descubrir no solo amenazas, sino también oportunidades de mejora que aumenten las probabilidades de la empresa de alcanzar sus objetivos estratégicos, conforme a la UNE-ISO 31000.

Además, el análisis integral de riesgos facilita el cumplimiento de los requisitos legales y reglamentarios a los que toda empresa está sometida. Por ejemplo, lo recogido en el Código Unificado de Buen Gobierno Corporativo, o Código Conthe, respecto a las sociedades cotizadas, o el apartado D del Informe Anual de Gobierno Corporativo sobre gestión de riesgos.

Palabras como control, prevención, aprendizaje, eficiencia, mejora o eficacia están indefectiblemente ligadas al concepto de análisis de riesgos, cuya implementación proporciona a la empresa una base fiable para la planificación y la toma de decisiones.

http://www.mapfre.com/fundacion/html/revistas/gerencia/n112/es/estu…