Inglés
Las empresas están expuestas a riesgos, tanto operacional como de desastres naturales, algunos como las crisis económicas y financieras, cuestiones políticas, tendencias de mercado y la gestión operativa pueden prevenirse, pero para lograrlo se requiere una cultura de riesgos que se implementase en toda la organización.
Es decir, en el que se involucre tanto al directivo o CEO, como al gerente de operaciones y a cada uno de los empleados, a fin de incorporarlo como una actividad habitual y parte del ADN de la compañía.
Contar con una cultura de gestión de riesgo ayuda a que la compañía identifique amenazas, enfrente los obstáculos que se le presenten, aumente las posibilidades de alcanzar los objetivos, genere menor rotación de empleados y cree colaboradores comprometidos, impulse la proactividad y mejore la adaptación de la empresa al entorno social y económico.
Pero no basta con el simple deseo de establecer una cultura de gestión de riesgo, se requiere establecer una política y dinámica que involucre a todos los trabajadores. Empieza por nombrar a un director de riesgo o chief risk officer (CRO), quien será la persona encargada de crear esta cultura y transmitirla al resto de la organización.
De acuerdo con Price Waterhouse Coopers, existen tres líneas de defensa: la primera está conformada por la alta gerencia y las unidades de negocio, la segunda por los comités de riesgo, que es el CRO y la tercera por la auditoría interna.
Aunque el director de riesgo se encuentra en la segunda línea tiene la obligación de interactuar con la primera y la tercera.
Una forma de obtener una rápida difusión e implementación de la cultura de riesgos es establecer los parámetros desde la primera línea en colaboración con el director de riesgos y después promover la estrategia hacia las demás áreas, de tal forma que se genere una pirámide que abrace a cada uno de los colaboradores, de esta manera se crea una organización con mayor resiliencias y cultura de riesgo.
En otras palabras, la primera línea toma decisiones de acuerdo a la estrategia, mientras que la segunda influye en la toma de estas medidas, a partir de cuestionamientos, consultas y colaboración, en tanto la tercera se enfoca en proteger a la organización y crear valor.
Sin embargo, de acuerdo con datos de PWC, a nivel mundial sólo 13% de las compañías involucra al directivo en la gestión de riesgos.
Gestión de riesgos en ciberseguridad
Con el avance tecnológico, cada vez más empresas buscan que sus modelos de gestión de riesgo se soporten en tecnología para tomar mejores decisiones, tener mayor control y les permita actuar con anticipación ante un problema.
Los ataques cibernéticos se han convertido en una amenaza que preocupa a las empresas, preocupación que ha aumentado por los ataques masivos como el WannaCry que afectó a más de 200,000 computadoras en 150 países en el 2017.
Una cultura de riesgos también involucra los cibernéticos, aquí es necesario definir líneas de acción específica en tres áreas: la primera es el uso de una metodología alineada con la estrategia de operación, la segunda son planes flexibles y la tercera consiste en tener una línea de comunicación con los grupos.
Cada una de las líneas de gestión de riesgos debe estar alineada con los valores, metas y objetivos de la compañía, de esta forma será más fácil que los colaboradores estén preparados ante cualquier posible problema al que se enfrente la organización.
Mapa de riesgos
Si bien es difícil predecir 100% los riesgos, existen herramientas que ayudan a que la organización genere estrategias que le permitan enfrentar amenazas:
- Identificar los riesgos, las debilidades y las consecuencias que podrían generar en la empresa
- Valore los peligros de acuerdo con el grado de impacto u ocurrencia.
- Realice un análisis de los posibles riegos y establezca cómo mitigarlos, a fin de conocer la verdadera exposición de la empresa
- Diseñe medidas de prevención y correctivas.
Cómo lograr una cultura de gestión de riesgo
- Establezca un entorno organizacional sólido, enfocado en la cultura de riesgo y en los consejos administrativos: que comienza con el consejo administrativo, el CEO y permanece en toda la organización
- Alinee la administración de riesgos con la estrategia en el momento de la toma de decisiones: para que la primera línea anticipe los riesgos de negocio al establecer prioridades tácticas
- Nivele el programa a lo largo de las tres líneas de defensa para que se realice la toma de decisiones en toda la organización
- Desarrolle informes sobre riesgos, que permitan a la dirección y al consejo directivo ejecutar a la supervisión.
