Modelo de Gestión de riesgos: el aporte del valor Phi en el plan de continuidad de negocios.
Gómez Betancourt, Gonzalo1
Morón Vásquez, Adreana2
Betancourt R., José B3
Resumen
La gestión de riesgos requiere análisis, contextualización y propuestas para responder a factores internos y externos que impactan la consecución de los objetivos y limitan el aprovechamiento de las oportunidades. Esta investigación tiene como propósito ofrecer a empresarios una recopilación de herramientas prácticas que podrán ser ejecutadas para implementar, gestionar y hacer seguimiento al análisis de los riesgos empresariales. Se realizó una revisión bibliográfica con base en el marco de referencia planteado por COSO ERM (2017), IIA (2013) y la ISO 31000:2018. Se realizó un estudio de caso en una empresa colombiana, dedicada a la producción y distribución de alimentos, donde se aplicó a los miembros de la alta dirección un instrumento que permitió conocer la severidad del riesgo, así como el valor Phi consultado a los miembros de la Junta Directiva. Se concluye que la gestión de riesgos pasa a ser una actividad de aplicación común en las empresas que se empeñan en el incremento de su valor organizacional, donde el plan de continuidad de negocios es una respuesta efectiva para hacer frente a situaciones de crisis como la generada por el COVID-19.
Palabras clave: Gestión de riesgos; severidad; continuidad de negocios; valor Phi.
Recibido: 14.03.20 Aceptado: 30.05.20
1 Doctor en Ciencias Económicas y Empresariales con especialidad en Empresa Familiar, IESE-Universidad de Navarra, Pamplona, España (2000). Master en Dirección de Empresas, Inalde Business School-Universidad de La Sabana, Bogotá Colombia (1994). Profesor Titular, área de Política de Empresa, INALDE, Chía, Colombia. CEO, L&M Consulting Group SAS. Correo: Gonzalo.gomez@ggbca.com Orcid: https://orcid.org/0000-0002-9836-6902
2 Doctora en Ciencias Sociales, Mención Gerencia, Especialista en Auditoría y Licenciada en Contaduría Pública. Universidad del Zulia. Maracaibo, Venezuela. Profesora Titular Facultad de Ciencias Económicas y Sociales, Universidad del Zulia. Correo: moron.adreana@gmail.com Orcid: 0000-0002-2767-2232
3 Doctor en Administración Estratégica de Empresas, Centrum - Pontificia Universidad Católica del Perú, Lima, (2020), DBA (2020) y MPhil. (2017), Maastricht School of Management, Maastricht, Países Bajos. Master en Dirección Estratégica de Empresas Familiares, Universidad de León de España (2010). Director de Investigación, Legacy School of Ownership. Correo: jose.betancourt@ggbca.com Orcid: https://orcid.org/0000-0002-0507-1196
Risk Management Model, the contribution of Phi value in the business continuity plan
Abstract
Risk management requires analysis, contextualization and proposals to respond to internal and external factors that impact the achievement of objectives and limit the use of opportunities. The purpose of this research is to offer entrepreneurs a compilation of practical tools that can be executed to implement, manage and monitor the analysis of business risks. A bibliographic review was carried out based on the reference framework proposed by COSO ERM (2017), IIA (2013) and ISO 31000: 2018. A case study was carried out in a Colombian company, dedicated to food production and distribution, where an instrument was applied to members of senior management that allowed knowing the severity of the risk, as well as the Phi value consulted to the members of the Board of Directors. It is concluded that risk management becomes an activity of common application in companies that are committed to increasing their organizational value, where the business continuity plan is an effective response to deal with crisis situations such as the one generated by COVID-19.
Key words: Risk management, severity, business continuity, Phi value.
1. Introducción
La pandemia del COVID-19 ha traído grandes lecciones para la comunidad empresarial del mundo entero. Velar por la continuidad del negocio en un ambiente que paraliza la mayor parte de las operaciones e involucran interacción con personas, es un reto que dejará huellas en la economía y en el comportamiento individual, especialmente frente al riesgo.
En el mundo empresarial, ya existían paradigmas que asociaban la buena gestión con una alta rentabilidad y un bajo riesgo (Bowman, 1980), pero estos son factores que en raras ocasiones están alineados; el entorno cada vez más se enmarca en el modelo VUCA (por sus siglas en inglés volátil (V), incierto (U), complejo (C) y Ambigüo (A) (Bennett, y Lemoine, 2014), y eso hace que los paradigmas cambien, pues una buena gestión se asociará a una alta rentabilidad si el riesgo es controlado.
La relación entre riesgo y rentabilidad ha sido un tema de interés desde hace décadas (Fiegenbaum, y Thomas, 1985), y algunos autores (Bowman, 1984) decían que el riesgo tenía varios componentes, siendo uno de los más importantes el riesgo conductual y no el riesgo total, o aquel que se basa en los riesgos de mercado como sería visto por los gerentes estratégicos. Por su parte, Bettis (1983) y Hertz y Thomas (1983) resaltan que el riesgo total brinda una perspectiva más relevante. Más allá de una discusión sobre qué factor puede pesar más en la rentabilidad, lo realmente importante es entender que el riesgo es un concepto que se asume antes de entrar en una acción, pero generalmente se mide después, de acuerdo al resultado obtenido.
Las organizaciones constantemente se enfrentan a diferentes situaciones que pueden afectar su rentabilidad e incluso, su continuidad en el tiempo. Ante estos eventos y diferentes experiencias vividas, las organizaciones adoptan medidas para gestionarlos (PwC, 2018: 5).
Con base en lo anterior se presenta este estudio, con el propósito de ofrecer a los empresarios una recopilación de herramientas prácticas que podrán ser ejecutadas en el corto plazo para implementar, gestionar y vigilar un adecuado sistema de control que analice el riesgo con base en las últimas tendencias (Khan, Rathnayaka y Ahmed, 2015), con una visión dinámica, no estática, para que las decisiones se puedan basar en el riesgo en lugar del peligro que surge por la incertidumbre de los datos, la escasez de información y la complejidad de los sistemas de procesos. El resultado que obtendrá el lector será el conocimiento necesario para el desarrollo de nuevos métodos y modelos para la evaluación de riesgos en tiempo real, así como su incidencia en la toma de decisiones.
2. Riesgos: Definiciones básicas
Según el Comité de Organizaciones Patrocinadoras de la Comisión de Normas (COSO, por sus siglas en inglés, 2013), el riesgo es la “posibilidad de que un acontecimiento ocurra y afecte negativamente la consecución de los objetivos de la organización”. Para, el Instituto de Gestión de Proyectos (PMI, por sus siglas en inglés, 2017) los riesgos representan un “evento o condición incierta que, si se produce, tiene un efecto positivo (oportunidades) o negativo (amenazas) en los objetivos de un proyecto, el cual puede tener una o más causas, y de materializarse puede tener uno o más impactos”.
Adicionalmente, según lo planteado en la ISO 31000:2018, no es más que un “efecto de la incertidumbre sobre la consecución de los objetivos”. De tal manera que al materializarse los factores internos y/o externos presentes, podrían existir riesgos u oportunidades que, al no considerarse, estarían dando paso a que en la empresa no se tome en cuenta algo malo que está ocurriendo (riesgo de pérdida), algo inesperado que podría ocurrir (riesgo de volatilidad), o algo bueno que está dejando de ocurrir (oportunidad).
3. Gestión de riesgos empresariales
La gestión de riesgos empresariales (ERM, por sus siglas en inglés) es una actividad cuyo objetivo general es mejorar la actuación de una organización. Esto se logra al proporcionar al directorio y a la alta gerencia información sobre los riesgos clave que podrían impedir que la organización logre sus estrategias y objetivos, permitiéndoles gestionar eficazmente esos riesgos. De tal manera que, la gestión de riesgos no es una actividad separada con sus propios objetivos, sino una parte integral de la configuración de la estrategia de la organización y sus procesos de rendimiento (Anderson y Frigo, 2020)
La ERM, se presenta como un estándar y una forma integral y holística para que las organizaciones gestionen los riesgos en toda la organización (Mikes, 2009; Pagach y Warr, 2010). La ERM, se define como un proceso, efectuado por la junta directiva, la administración y otro personal de una entidad, aplicado a estrategias y a toda la empresa, para identificar eventos potenciales que pueden afectar la entidad, y gestionar el riesgo para proporcionar una seguridad razonable con respecto al logro de los objetivos de la entidad (COSO, 2004).
En 2017, COSO publica la versión actualizada sobre ERM, donde se plantea la gestión de riesgos relacionada con la integración de la estrategia y su desempeño, donde se pone de manifiesto la importancia de tener en cuenta el riesgo tanto en el proceso de definición de la estrategia como en su ejecución, con el propósito de gestionar el riesgo para ayudar a dirigir de mejor manera a las empresas, aumentar su valor real en el largo plazo y transmitir confianza a la sociedad (COSO, 2017: 3).
Por su parte, en la ISO 31000:2018, se establecen una serie de principios para la implementación de un Sistema de Gestión de Riesgos en cualquier tipo de organización independiente de su tamaño, razón social, mercado, fuente de capital, espectro comercial o forma de financiación. La norma parte del hecho de que todas las empresas, en mayor o menor medida, llevan a cabo prácticas para la gestión de los riesgos. La diferencia radica en la coordinación y el alineamiento de dichas prácticas.
Antes de ver las herramientas prácticas de control, es necesario entender el sistema general de gestión de riesgos y cómo funciona en las empresas. Adicional a los marcos de referencia anteriormente mencionados, se resalta el que adoptó formalmente en 2013, el Instituto de Auditores Internos (IIA, por sus siglas en inglés) denominado “Las tres líneas de defensa en gestión de riesgos y control eficaces”, cuyo propósito consiste en las explicaciones simples y directas de los distintos roles y actividades que involucran la gestión de riesgos y el control, sin tener en cuenta el gobierno corporativo en un sentido más amplio.
Su valor radica en que ayuda a las organizaciones a evitar la confusión, la duplicación y las brechas al asignar responsabilidades para esos roles y actividades (IIA, 2020: 2). En la figura 1, se muestra el esquema del modelo actualizado por el IIA.
Figura 1
Modelo de Las Tres Líneas de Defensa
Fuente: IIA (2020)
Se hace evidente que la gestión de riesgos debe ser concebida como una disciplina rigurosa en cuanto a su marco de referencia, la metodología implementada y las fases a ser desarrolladas como lo son: a) análisis del contexto, b) identificación de riesgos, d) análisis, d) evaluación, e) tratamiento (ISO 31000, 2018: 14). Todo esto para mejorar la ejecución de la estrategia y el desempeño, incrementar las oportunidades, prever situaciones consideradas como negativas y en consecuencia anticiparse a las acciones necesarias para enfrentar los cambios requeridos con una adecuada administración de los recursos disponibles.
La gestión de riesgos ha sido capaz de generar disrupción, creación y mantenimiento de un modelo institucional con innovaciones en la investigación contable (Hayne, & Free, 2014), por lo que se hace necesario que las organizaciones de la mano de sus directivos analicen, contextualicen y propongan respuestas de todos los factores internos y externos que impacten en el logro de los objetivos.
Para lograr que en la empresa se comprenda y aplique efectivamente la gestión de riesgos, es necesario lograr un nivel de madurez óptimo, el cual se relaciona con las competencias desarrolladas en las organizaciones para llevar a cabo acciones a favor de la gestión de riesgos, de tal manera que se considera un nivel de madurez gestionado, cuando dichas acciones se ejecutan de manera informal y sin lineamientos metodológicos. Por su parte, el nivel de madurez se considera establecido, cuando se ha dado estructura formal a las actividades a ser ejecutadas para gestionar los riesgos, de forma tal que, se genere valor con un gobierno corporativo que establece directrices para que dicha gestión se haga de manera efectiva (PwC, 2018).
Las empresas con nivel de madurez de riesgo establecido son aquellas que tienen a la Alta Gerencia vinculando el riesgo con la estrategia corporativa general y ven en cada decisión un riesgo potencial, que debe ser atendido con la rigurosidad metodológica requerida. Es por esta razón que se requiere de un sólido compromiso ejecutivo, así como de la Junta Directiva para llevar adelante todas las acciones necesarias para consolidar la gestión de riesgos empresariales como un atributo de valor organizacional.
Una vez obtenida la medición de los riesgos a través de la aplicación de la matriz correspondiente, se debe elaborar el mapa de calor de riesgos, entendiendo a éste como una herramienta que tiene por objeto mostrar gráficamente el diagnóstico del proceso de evaluación de riesgos en una fecha determinada (Auditool, 2016). En este mapa se muestran las interacciones entre la probabilidad de ocurrencia de un riesgo y su impacto en los diferentes procesos que existan en la organización indicando los niveles de riesgos existentes en escala de calificaciones y con frecuencia de colores.
Al elaborar este mapa de riesgos se pueden visualizar los riesgos identificados con sus calificaciones, lo que permite visualizarlos como riesgos Altos (color rojo), Medios (color amarillo) o Bajos (color verde), para los cuales posteriormente se procede a definir los planes de acción para ejecutar un tratamiento que conlleve a su mitigación, transferencia o aceptación.
4. Modelo de Gestión de Riesgos
Toda organización, indepen-dientemente de su tamaño debe buscar acercarse a la identificación de los riesgos que generen efectos adversos al logro de sus objetivos u oportunidades que puedan aprovecharse, para lo que se requiere estructurar de manera ordenada y sistemática los pasos a seguir para que la gestión de riesgos genere valor, sea integrada en cada uno de los procesos, se considere en la toma de decisiones, y tome en cuenta el factor incertidumbre con la intención de comprender y proponer las respuestas o planes de acción que responderán ante el riesgo analizado, todo orientado a sus aportes a la mejora continua.
Los elementos o componentes de un modelo de gestión de riesgos se relacionan con un ciclo continuo, cambiante y adaptable a las nuevas realidades, de tal manera que requiere revisión constante para cumplir con los pasos de: identificación de factores de riesgos internos y externos, análisis de las causas primarias y secundarias para cada riesgo identificado, propuesta de planes de acción para responder a los riesgos, y el seguimiento necesario para verificar su aplicación para reportar los resultados de los mismos. Al finalizar el ciclo se inicia nuevamente desde la identificación de los factores de riesgos.
Para llevar a cabo el modelo de gestión de riesgos tomando en cuenta los marcos de referencia antes mencionados como lo son COSO ERM (2017), ISO 31000:2018 y el modelo de Las Tres Líneas de Defensa, se proponen los siguientes pasos:
- Identificar los apoyos internos de la empresa que podrían soportar el sistema de gestión de riesgos, por ejemplo, se debe iniciar con el gobierno corporativo de la empresa, pues los miembros de la Junta se encargarán de diseñar y supervisar el sistema, también se debe buscar apoyo en los directivos de alto nivel, procesos, infraestructura, personas, tecnología y demás recursos.
- Identificar los factores internos de la empresa, que podrían ser un riesgo potencial asociado con sus procesos.
- Identificar los factores externos que pueden afectar a la organización, como son el mercado, competidores, aspectos geográficos, económicos, políticos, regulatorios, sociales, tecnológicos, medio ambientales y de salud, por ejemplo, el COVID-19.
- Identificar la forma de medición (cuantitativa o cualitativa) entendiendo la causa y el efecto potencial.
- Valorar el riesgo, que en otras palabras es identificar una metodología cualitativa, con base en criterios subjetivos de expertos; o cuantitativa, con apoyo en árboles de decisiones, valor monetario, frecuencias, entrevistas, entre otras técnicas.
- Cuantificar o valorar los factores identificados, los cuales previamente deben ser puestos en el contexto de la organización. La valoración surge al calificar de 1 a 5 su impacto y probabilidad, siendo 5 un valor crítico frente a la continuidad de la empresa.
- Asignar el valor Phi al riesgo parcial resultante. El valor Phi es un fenómeno óptico (Steinman & Pizlo, 2000) que ha sido adaptado por los autores de este artículo a las Juntas Directivas, dado que son un órgano de gobierno capaz de observar una tendencia o movimiento más allá de los hechos puntuales que han sido analizados previamente por la gerencia y su equipo. El valor Phi de riesgo se calcula en una escala de 0 a 10, siendo 10 un valor que incrementa el valor total de riesgo y sólo se aplica si existe algún elemento de riesgo creciente que no esté reflejado en los factores y su impacto.
- Indicar la severidad de los riesgos, la cual surge de la multiplicación de impacto y probabilidad que da como resultado máximo el número 25, a este valor se le añade el valor Phi, para dar mayor relevancia a factores que sin el criterio experto de la junta podrían pasar desapercibidos en determinadas circunstancias.
- Clasificar los riesgos por tipos, los cuales pueden ser Estratégicos, Operacionales, Financieros, de Cumplimiento, de Fraude y Reputacionales.
- Diseñar escenarios es el siguiente paso, pues cada riesgo puede verse como algo volátil que puede ocurrir, algo que ocurre periódicamente, o algo bueno que se deja de aprovechar (oportunidad).
- Proponer el tratamiento específico para cada riesgo analizado, es decir, plantear estrategias y tácticas para mitigar, aceptar o transferir el riesgo. En otras palabras, se mitiga cuando existe la posibilidad de hacer algo, se acepta cuando no se va a hacer nada al respecto y se transfiere cuando puede pasarse el riesgo a un tercero, como por ejemplo una compañía aseguradora, y se convive con ello.
Para explicar el modelo de gestión de riesgos se realizó un estudio de caso en una empresa productora y distribuidora de alimentos Colombiana, específicamente de lácteos y sus derivados, con amplio portafolio de productos como leches en polvo, quesos fundidos y quesos en barra, con tres líneas de producción, siendo su principal materia prima la leche cruda adquirida directamente de productores del sector agrícola, por lo que contribuye al impulso del sector.
En el cuadro 1, se muestra en resumen como se pueden llevar a cabo los pasos del 2 al 9, donde se hace el registro de los factores internos y externos que afectan a la organización, la metodología con la cual se medirá la variable en los escenarios, la asignación de un valor simple de 1 a 5 a la probabilidad y luego al impacto, siendo 1 Muy baja, 2 Baja, 3 Moderada, 4 Alta, y 5 Muy alta, más adelante en las Tabla 2 y 3, se presenta un modelo de cálculo compuesto que promedia varios criterios para determinar el impacto y la probabilidad.
De igual manera se muestra en el cuadro 1, el registro del valor Phi asignado por parte de la Junta Directiva y la severidad del riesgo de cada factor como resultado de multiplicar la probabilidad por el impacto, y sumando el valor Phi sin que el total supere el número máximo de 25. En el presente ejemplo, los miembros de una Junta Directiva identifican en enero de 2020 un aumento del riesgo frente al COVID-19 y aplican un valor Phi mayor en los factores que pueden verse más afectados. Finalmente, se determina el tipo de riesgo y se plantea el tratamiento que se le dará.
Cuadro 1
Matriz de identificación y valoración del riesgo
|
Factores internos |
Valoración |
Impacto |
Probabilidad |
Valor Phi |
Severidad |
Tipo |
Tratamiento |
|
Días de caja disponibles en cuarentena |
2 |
5 |
5 |
15 |
Financiero |
Mitigar |
|
Evaluación de productividad |
1 |
1 |
0 |
1 |
Operacional |
Transferir |
|
Casos reportados |
5 |
3 |
10 |
25 |
Estratégico |
Mitigar |
|
Robos y valor |
2 |
2 |
5 |
9 |
Fraude |
Mitigar |
|
Ventas reales vs. presupuesto |
3 |
2 |
4 |
10 |
Cumplimiento y financiero |
Mitigar |
|
Lanzamientos vs. presupuesto |
2 |
2 |
0 |
4 |
Estratégico y cumplimiento |
Mitigar |
|
Factores externos |
Valoración |
Impacto |
Probabilidad |
Valor Phi |
Severidad |
Tipo |
Tratamiento |
|
Benchmark |
2 |
2 |
0 |
4 |
Estratégico |
Mitigar |
|
Benchmark |
3 |
3 |
0 |
9 |
Estratégico |
Mitigar |
|
Benchmark |
2 |
1 |
0 |
2 |
Estratégico |
Aceptar |
|
Investigación |
1 |
4 |
0 |
4 |
Estratégico y financiero |
Mitigar |
Fuente: Elaboración propia (2020)
Como se mencionó anteriormente, el análisis de impacto y probabilidad del riesgo se puede realizar con un análisis compuesto, donde se tomen en cuenta varios criterios para su análisis. A continuación, en los Cuadros 2 y 3, se presenta un ejemplo con tres criterios a tomar en cuenta para el análisis del impacto y cuatro criterios para el análisis de la probabilidad. En ambos casos se evalúa con la calificación de 1 a 5, y se calcula finalmente, con un promedio simple.
Cuadro 2
Criterios para la determinación del impacto
|
Criterio |
Puntuación |
Condición |
|
Materialidad |
1 |
Inmaterial |
|
2 |
Baja materialidad |
|
|
3 |
Media materialidad |
|
|
4 |
Alta materialidad |
|
|
5 |
Muy alta materialidad |
|
|
Impacto en otros |
1 |
Impacta máximo 2 procesos |
|
2 |
Impacta entre 3 y 5 procesos |
|
|
3 |
Impacta entre 6 y 10 procesos |
|
|
4 |
Impacta entre 11 y 15 procesos |
|
|
5 |
Impacta más de 15 procesos |
|
|
Impacto en plan estratégico |
1 |
Muy bajo impacto |
|
2 |
Bajo impacto |
|
|
3 |
Mediano impacto |
|
|
4 |
Alto impacto |
|
|
5 |
Muy alto impacto |
Fuente: Elaboración propia (2020)
Cuadro 3
Criterios para la determinación de la probabilidad
|
Criterio |
Puntuación |
Condición |
|
Análisis de |
1 |
Muy poca frecuencia |
|
2 |
Poca frecuencia |
|
|
3 |
Frecuencia moderada |
|
|
4 |
Frecuente |
|
|
5 |
Muy frecuente |
|
|
Nivel de atención de no conformidades |
1 |
Muy bajo |
|
2 |
Bajo |
|
|
3 |
Moderado |
|
|
4 |
Alta |
|
|
5 |
Urgente |
|
|
Nivel de documentación de controles |
1 |
Existen y están actualizados |
|
2 |
Algunos controles no están actualizados |
|
|
3 |
Existen y están desactualizados |
|
|
4 |
Algunos controles no están documentados |
|
|
5 |
No existen |
|
|
Tipos de controles |
1 |
Automáticos |
|
2 |
Combinados |
|
|
3 |
Manuales |
|
|
Fuente: Elaboración propia (2020) |
||
Para continuar con el análisis de los riesgos evaluados en toda la organización, se aplicará un mapa de calor de severidad del riesgo antes de entrar a desarrollar escenarios y el plan de tratamiento. Este mapa permite agrupar visualmente los factores según su probabilidad e impacto, asignando colores según una escala que va de bajo a alto. En el Cuadro 4 se observa la evaluación de 10 factores y su clasificación, donde se hace notar que sólo un (1) factor resulta clasificado como catastrófico con casi certeza, lo cual no surge una vez que la Junta asignó el valor Phi para resaltar la atención frente a este aspecto. Los colores utilizados en cada una de las categorías son los siguientes: Alto (rojo), Medio Alto (amarillo oscuro), Medio (amarillo), Bajo (verde); en escala de grises las categorías van de negro a gris claro, respectivamente.
Se deja ver como el valor Phi es una cantidad que se suma a la multiplicación de impacto y probabilidad, y arroja un resultado de severidad mayor, que debe ser posicionado en el mapa de calor según el criterio de los miembros de la Junta Directiva. Por ejemplo, si la probabilidad fuera 3, el impacto 4, y Phi 8 (3 x 4 + 8 = 20), para ubicarlo en el mapa se podría ubicar con una probabilidad de 4 e impacto de 5, considerando de manera cualitativa los efectos que este riesgo tendría para la organización.
Tabla 4
Mapa de calor de riesgos
|
Severidad Insignificantes |
Impacto |
|||||
|
Menores |
Moderados |
Mayores |
Catastróficos |
|||
|
Probabilidad |
1 |
2 |
3 |
4 |
5 |
|
|
Casi certeza |
5 |
|
|
F1 |
|
F٣ |
|
Probable |
4 |
F١٠ |
|
|
|
|
|
Moderado |
3 |
|
|
F4, F5, F8 |
|
|
|
Improbable |
2 |
|
F6, F7 |
|
|
|
|
Muy probable |
1 |
F٢ |
F٩ |
|
|
|
Fuente: Gómez, Morón, Betancourt (Elaboración propia, 2020)
En el Cuadro 5 se muestra la escala de riesgos determinadas según el intervalo para cada una.
Tabla 5
Escala de Riesgos
|
Escala de riesgo |
Desde |
Hasta |
|
Alto |
20,00 |
25,00 |
|
Medio Alto |
12,00 |
19,99 |
|
Medio |
6,00 |
11,99 |
|
Bajo |
1,00 |
5,99 |
Fuente: Elaboración propia (2020)
En la Tabla 6 se muestra el resumen (cantidad) de riesgos identificados por escala.
Tabla 6
Resumen (cantidad) de riesgos por escala
|
Escala de riesgo |
Cantidad |
% |
|
Alto |
1 |
10% |
|
Medio Alto |
1 |
10% |
|
Medio |
3 |
30% |
|
Bajo |
5 |
50% |
|
Total riesgos |
10 |
100% |
Fuente: Elaboración propia (2020)
En la construcción de escenarios se debe tomar un riesgo y someterlo a un análisis donde se cruza con situaciones relacionadas y diseñar un nivel de desarrollo para cada situación, de forma que según el resultado esperado se comience a trabajar el plan de acción. A continuación, se presenta un ejemplo basado en el factor de riesgo que en el mapa de calor quedó determinado como “Casi cierto y catastrófico”, como lo es el “riesgo de contagio de COVID-19”.
Para este riesgo, se realiza un análisis considerando dos situaciones, una para analizar el componente social y otra el económico. En el Cuadro 7 se muestra un análisis a partir de las actuaciones que ha tenido el estado hasta el mes de marzo de 2020. En este ejercicio se prevé un soporte económico muy bajo por parte del estado y un comportamiento social intermedio, es decir que sería probable que existieran conatos de violencia por parte de aquellos grupos de personas que no cuentan con ayudas económicas y que viven del día a día; por lo tanto, habría una importante probabilidad de que traten de asaltar o irrumpir en compañías productoras y distribuidoras de alimentos, siendo este tipo de empresas la considerada para el caso de estudio efectuado.
Para cada escenario se tomó la escala: Muy Bajo (1) (color blanco), Bajo (2) (color verde), Medio (3) (color amarillo), Alto (4) (color amarillo oscuro), Muy Alto (5) (color rojo). Después se procede a hacer la multiplicación de las probabilidades, lo que resulta en los siguientes rangos: Muy Baja (entre 1,00 y 5,99), Baja (entre 6,00 y 10,99), Media (Entre 11,00 y 15,99), Alta (entre 16,00 y 19,99) y Muy Alta (entre 20,00 y 25,00). En el cuadro 8, se muestra el resultado de la multiplicación de las probabilidades que se detallan a continuación: soporte amplio (1), soporte intermedio (3), soporte bajo (5), comportamiento consciente (3), comportamiento intermedio (5) y estallido social (1).
Cuadro 8
Análisis de escenarios
|
Escenario Social
|
Comportamiento consciente de la sociedad |
Comportamiento Intermedio |
Estallido Social y Violencia |
|
Soporte Amplio Económico por parte del Estado |
Muy Baja (3) |
Muy Baja (5) |
Muy Baja (1) |
|
Soporte Intermedio del Estado |
Baja (9) |
Media (15) |
Muy Baja (3) |
|
Soporte Económico bajo por parte del Estado |
Media (15) |
Muy Alta (25) |
Muy Baja (5) |
Fuente: Elaboración propia (2020)
Según lo indicado en la tabla anterior, el escenario más probable es que el gobierno colombiano aísle la mayor cantidad de tiempo posible al país, dando un soporte económico bajo a las empresas e intermedio a las personas de estratos sociales bajos. La mayor cantidad de personas se comportará de manera consciente apoyándose unos a otros, pero algunas empresas debido a su inminente quiebra tendrán que hacer despidos. Se presentarán robos continuados a empresas de alimentos y abastecimiento con dificultades por parte de las autoridades para controlarlos.
Con base en el ejemplo anterior, es de interés resaltar que el diseño, desarrollo y aplicación de un modelo de gestión de riesgos le permite a la dirección de una empresa obtener importantes ventajas estratégicas para ejecutar sus operaciones con agilidad organizacional en tiempos de crisis, lo cual incide de manera directa y efectiva en la toma de decisiones sustentada en información completa, oportuna y confiable para responder y/o prevenir los eventos identificados a través de los factores de riesgos, de tal manera que contribuye a su resiliencia.
En respuesta al riesgo “contagio de COVID-19”., la administración podría definir una estrategia muy propicia en este caso, como lo es el diseño y puesta en marcha de un Plan de Continuidad de Negocio, específicamente para la empresa objeto de estudio, el cual podría ejecutarse en tres etapas, con el propósito de “garantizar de manera responsable la producción y distribución de alimentos en todo el territorio nacional, cumpliendo con la ley y tomando las medidas preventivas necesarias que aseguren la salud de los empleados, su familia y la comunidad”.
Las etapas para este ejemplo podrían ser:
1. Supervivencia de la empresa: Conformación del comité de continuidad del negocio, indicando los planes de acción por los diferentes escenarios posibles y detallando cada tarea a ser ejecutada para lograr la acción propuesta.
a. Objetivo: Asegurar la continuidad del negocio.
b. Hecho: Se confirma el primer caso de COVID en Colombia.
2. Proteger a las partes interesadas: Plan de emergencia epidemiológico, disminuir la cantidad de trabajadores por centro de trabajo, presentar diariamente al comité de seguimiento el informe estadístico de las alertas.
a. Objetivo: Controlar la propagación y evitar el cese prolongado de las operaciones.
b. Hecho: Se confirma caso positivo en la empresa.
3. Creación de valor y aporte social: Nuevos productos y servicios en respuesta a la crisis, estrategias comerciales de impulso a las ventas y a su vez que aporten nutrición al consumidor; reducción de la oferta a solo lo esencial en la medida de lo posible.
a. Objetivo: Defensa de Instalaciones.
b. Hecho: Se desborda la desobediencia Social.
De acuerdo con lo anterior se diseña un diagrama de Gantt con las fases de dirección de la crisis, con la banda de acción (B) y la operación técnica (OT), lo cual se muestra en el Cuadro 9.
Cuadro 9
Diagrama Gantt de escenarios y operaciones
|
Escenarios Operaciones |
Escenario 1 |
Escenario 2 |
Escenario 3 |
||||||
|
B1 |
B2 |
B3 |
B1 |
B2 |
B3 |
B1 |
B2 |
B3 |
|
|
OT1 Asegurar la continuidad |
|||||||||
|
OT2 Controlar la propagación |
|||||||||
|
OT3 Evitar cese prolongado |
|||||||||
|
OT4 Defender las Instalaciones |
|||||||||
Fuente: Elaboración propia (2020)
El ejercicio de gestión de riesgo puede seguir en desarrollo hasta tener claridad frente al escenario, el evento desencadenante, el objetivo de acción frente al escenario, la táctica y las medidas de acción. Es decir que cada casilla de color gris en el Cuadro 9, tendría un plan con operaciones específicas.
Para llevar a cabo todo este trabajo de análisis y propuesta de planes de acción, se requiere la participación del gobierno corporativo, las acciones de los miembros de la alta dirección y la conformación de equipos de trabajo multidisciplinarios, que en conjunto puedan dar respuestas a los riesgos definidos con acciones concretas tomando en cuenta el costo, la calidad de las propuestas y la combinación de recursos disponibles para llevarlas a cabo. Todo con el propósito de contribuir al logro de los objetivos de la empresa con enfoque en la rentabilidad y la sostenibilidad en el tiempo. Para facilitar su comprensión, se describe en la figura 1 las etapas del modelo de gestión de riesgos que se recomienda aplicar para obtener ventajas estratégicas que contribuyen a la toma de decisiones:
Figura 1
Etapas del modelo de gestión de riesgos
Fuente: Elaboración propia (2020)
5. Conclusiones
La gestión de riesgos empresariales exige por parte de los miembros del gobierno corporativo y la alta dirección, el apoyo de esta iniciativa como generadora de valor. Una empresa que gestiona sus riesgos avanza por el camino de la resiliencia organizacional, reconoce la incertidumbre y es capaz de establecer acciones de control para responder ante los riesgos presentes.
La identificación de los factores de riesgos internos y externos requiere que se realice de manera constante un análisis del entorno donde se evalúen las condiciones del negocio en curso y su impacto en los procesos, con la finalidad de definir nuevas estrategias para enfrentar los impactos, tal es el caso del COVID-19 que ha generado en las organizaciones, de cualquier índole y tamaño, problemas en sus procesos productivos, financieros, comerciales y/o de servicios.
De tal manera que, al reforzar el pensamiento sistemático y estratégico para la gestión de riesgos, permitirá un nivel de colaboración constante entre las diferentes áreas de una organización, donde la sinergia entre los procesos permitirá el logro de las metas trazadas, siempre con miras en dar respuestas a las causas internas y/o externas que generen los nichos de riesgos.
Seguir las recomendaciones del Instituto de Auditores Internos sobre el establecimiento de roles y responsabilidades a todos los niveles de la organización para conformar las líneas de defensa en control y riesgos, es un aspecto para considerar porque permite avanzar hacia niveles de madurez de gestión de riesgos, lo cual exige el conocimiento constante de la industria donde se desarrolla la actividad de la empresa y en consecuencia todos los factores que inciden en su desempeño, para lo que es muy necesario un constante entrenamiento y capacitación de los miembros de la dirección y la alta gerencia, para desarrollar el apego a la gestión de los riesgos que impactan los negocios.
Otro aspecto a tener en cuenta, es el relacionado con la comunicación constante a todos los niveles de la organización, de todos los eventos que generan riesgos y oportunidades, para lo que la opinión de los miembros de la Junta Directiva a través de la asignación del Factor Phi, permitirá hacer énfasis en aquellos factores que deben ser considerados con mucho interés para ser incorporados a la gestión de los riesgos, de los cuales van a surgir las mediciones de severidad de riesgos y los análisis de escenarios posibles para determinar los planes de acción y las estrategias técnicas a llevar a cabo para su consecución.
El Plan de Continuidad de Negocio se sustenta en la identificación de riesgos y su análisis, para posteriormente plantear soluciones y acciones que permitan hacer análisis de escenarios, tantos como sean necesarios, para fijar posición y tomar decisiones con el propósito fundamental de proteger a las personas miembros de la organización, garantizar las operaciones productivas y de distribución, así como proteger las infraestructuras, disminuir la posibilidad de pérdidas financieras, patrimoniales y reputacionales, producto de la materialización de los riesgos previstos. Todo esto como respuesta a la crisis planteada por el COVID-19.
Es pertinente resaltar las ventajas que tiene para toda organización la puesta en marcha del proceso de dirección denominado gestión de riesgos, el cual debe desarrollarse en un ambiente de cultura de riesgos con la definición de responsabilidades a todos los niveles, lo que requiere la valoración de los riesgos, la respuesta necesaria para su mitigación, transferencia o aceptación y posteriormente el constante monitoreo o seguimiento al cumplimiento de los planes de acción acordados, todo esto sin dejar de tener en cuenta a las partes interesadas que interactúan en cada uno de los procesos.
Finalmente, la gestión de riesgos deja de ser un requerimiento forzado por las regulaciones, específicamente las relacionadas con la mejora continua, y pasa a ser en la actualidad un paso para avanzar en el fortalecimiento de la cultura de una organización y la forma como en sus operaciones diarias se interactúa con factores de riesgos que provienen de sus propias debilidades y de sus amenazas externas, de tal manera que actualmente comienza a convertirse en una actividad de aplicación y desarrollo común en las empresas que se empeñan en su crecimiento a través del incremento de su valor organizacional.
Referencias bibliográficas
Anderson, R. y Frigo, M. (2020). Creating and Protecting Value. Understanding and Implementing Enterprise Risk Management. Committee of Sponsoring Organizations of the Treadway Commission COSO. https://www.coso.org/Documents/COSO-ERM-Creating-and-Protecting-Value.pdf
Auditool (2016). Cómo realizar un mapa de riesgo de fraude interno. https://url2.cl/Xq8jL
Bennett, N. y Lemoine, J. (2014). What VUCA Really Means for you. Harvard Business Review, 92(1/2).
Bettis, R. A. (1983) Modern Financial Theory, Corporate Strategy and Public Policy: Three Conundrums. Academy of Management Review, 8(3), 406-415.
Bowman, E.(1980). A Risk/Return Paradox for Strategic Management. Massachusetts Institute of Technology. Cambrige, Massachusetts.
Bowman, E. (1984). Content Analysis of Annual Reports for Corporate Strategy and Risk. Revista Interfaces, 14(I), p.61-71.
COSO. (2004). Enterprise risk management - Integrated framework. Committee of Sponsoring Organizations of the Treadway Commission. New York, EEUU.
COSO. (2013). Internal Control – Integrated Framework. Committee of Sponsoring Organizations of the Treadway Commission. New York, EEUU.
COSO. (2017). Gestión del Riesgo Empresarial. Integrando la estrategia y desempeño. Committee of Sponsoring Organizations of the Treadway Commission. España.
Fiegenbaum, A., y Thomas, H. (1985). An Examination of the Structural Stability of Boman’s Risk-Return Paradox. In Academy of Management Proceedings, (1), 7-10.
Hayne, C., y Free, C. (2014). Hybridized professional groups and institutional work: COSO and the rise of enterprise risk management. Accounting, Organizations and Society, 39(5), 309-330.
Hertz, D. B. y Thomas, H. (1983) Risk Analysis and its Applications. Chichester and New York: John Wiley.
Instituto de Auditores Internos (IIA). (2020). El Modelo de las tres líneas de defensa 2020. Una actualización de las tres líneas de defensa. EEUU.
International Organization for Standardization (ISO) (2018) Norma ISO 31000 El valor de la gestión de riesgos en las organizaciones. ISOtools Excelence. https://url2.cl/FXrmQ
Khan, F., Rathnayaka, S. y Ahmed, S. (2015). Methods and models in process safety and risk management: Past, present and future. Process safety and environmental protection, 98, 116-147.
Mikes, A. (2009). Risk management and calculative cultures. Management Accounting Research, 20(1), 18-40.
Pagach, D. y Warr, R. (2010). The effects of enterprise risk management on firm performance. http://ssrn.com/abstract=1155218
Pricewáterhouse Coopers (PwC) (2018). Resiliencia Organizacional y Gestión de Riesgos. Descubriendo el nivel de madurez y tomando las primeras acciones. 1era. Encuesta sobre Resiliencia Organizacional y Gestión de Riesgos 2018. Pacheco Apostólico y Asociados, Venezuela.
Project Management Institute PMI® (2017). Guía de los fundamentos para la dirección de proyectos (Guía del PMBok®). 6ta. Edición. Pensilvania. EEUU.
Steinman, R. y Pizlo, Z. (2000). Phi is not beta, and why Wertheimer’s discovery launched the Gestalt revolution. Vision Research, 40(17), 2257-2264.