Hace un tiempo, creé una metodología de madurez de riesgos para la Oficina del Auditor General en uno de los países europeos. Este modelo, con algunas modificaciones, posteriormente se convirtió en la base para la evaluación anual de madurez en riesgos que nuestra empresa y Deloitte realizaron en los países de la CEI durante más de 4 años. También utilicé este modelo de madurez para auditar la efectividad de la gestión de riesgos en Europa y Oriente Medio. Entonces, como probablemente puedas adivinar, tengo muchos puntos de datos y pensé que sería interesante que vieras cómo se compara tu empresa y en qué posición se encuentra en términos de integrar RM2 en la toma de decisiones.
Para simplificar esto, seleccioné las 10 métricas más interesantes que abarcan la integración de la gestión de riesgos en la toma de decisiones, planificación y gestión del rendimiento. Cada una de las preguntas tiene 3 opciones, la opción A implica poca o ninguna gestión formal de riesgos, la opción B implica RM1 (embellecimiento de la información y enfoque ineficaz al estilo COSO) y la opción C implica RM2 (basada en la ciencia de decisiones y la teoría de la probabilidad). Cada opción se califica para calcular la madurez general en un 100%.
Llamé a este artículo el punto de referencia de gestión de riesgos honesta porque las empresas no obtienen ninguna puntuación por RM1. RM1 no es gestión de riesgos.
Madurez general del riesgo
En los últimos años, más de 500 empresas han participado. Según la evaluación general de madurez, menos del 10 % de las empresas encuestadas comenzaron su viaje de RM2. La mayoría de los participantes indicaron poca o ninguna gestión formal de riesgos o varios tipos de RM1, lo cual es una forma educada de decir que no hay una gestión de riesgos efectiva. Los resultados son alarmantes por decir lo menos. Vamos a investigar dónde se encuentra el problema en cada una de las 10 preguntas a continuación.
1. Integración en la planificación y presupuestación
Solo el 23% de los encuestados afirma tener prácticas de RM2 al integrar el análisis de riesgos en la planificación y presupuestación. El 77% tiene una integración limitada o nula, lo que implica que la gestión de riesgos es puramente un ejercicio de gobernanza corporativa, un simple maquillaje y palabras vacías.
- Los riesgos relacionados con el logro de los objetivos estratégicos o el presupuesto no se analizan o se analizan después de que la estrategia o el presupuesto han sido aprobados – 40%
- Los resultados del análisis de riesgos son considerados por la dirección al establecer metas / formar el presupuesto, sin embargo esto se hace de manera improvisada y no formalizada – 38%
- La gestión de riesgos está integrada directamente en los procesos de planificación y presupuestación. Las metas, objetivos y presupuesto anual se establecen en función del análisis de riesgos, solo el 23%.
2. El efecto del análisis de riesgos en los objetivos y presupuestos
Solo el 23% de los encuestados afirma tener prácticas de RM2 al vincular los resultados del análisis de riesgos con la definición de objetivos o la planificación presupuestaria. Esto significa que el 77% de los participantes realizan evaluaciones de riesgos y estas evaluaciones de riesgos existen en un universo paralelo, desconectadas de algo significativo para la empresa. Si el análisis de riesgos está desconectado de la planificación y el presupuesto y los resultados del análisis de riesgos son ignorados por los tomadores de decisiones y las juntas directivas.
- Los objetivos estratégicos y los presupuestos generalmente se actualizan después de que ocurren eventos de riesgo y se incurren en pérdidas, en lugar de hacerlo preventivamente – 23%
- Existe un proceso regular de evaluación de riesgos (anual, semestral, trimestral o mensual). Las evaluaciones de riesgos se inician y llevan a cabo a tiempo, sin embargo, los resultados de las evaluaciones de riesgos no están directamente vinculados a la realización de los objetivos estratégicos y presupuestos – 55%
- Los resultados del análisis de riesgos afectan directamente la revisión de los objetivos estratégicos y los presupuestos -23%
3. Integración en los procesos de toma de decisiones
Solo el 25 % afirmó que las decisiones estratégicas, presupuestarias o de inversión importantes son tomadas por la dirección solo después de realizar un análisis exhaustivo de riesgos, analizar alternativas y discutir las acciones de mitigación. El 75 % no realiza de manera regular y sistemática análisis de riesgos para decisiones importantes.
- Las decisiones estratégicas y de inversión son tomadas por la alta dirección a lo largo del año sin ningún análisis de riesgo sistemático, estructurado o transparente – 33%
- El análisis de riesgos se realiza solo para algunas decisiones importantes, sin embargo esto se hace de forma improvisada – 43%
- Las decisiones estratégicas, presupuestarias o de inversión significativas son tomadas por la dirección solo después de realizar un análisis exhaustivo de riesgos, se analizan las alternativas y se discuten las acciones de mitigación – 25%
4. Discutiendo riesgos con la Junta
El 30% de los participantes afirma tener una comunicación de riesgos clara y transparente con la Junta. Para ellos, los temas relacionados con la gestión de riesgos se discuten como parte de cada decisión importante en lugar de como un punto separado en la agenda. El 70% ya sea no discute los riesgos con la Junta o lo hace en intervalos predefinidos desconectados de las decisiones tomadas por la Junta.
- Los temas relacionados con la gestión de riesgos no se incluyen regularmente en la agenda de la Junta – 23%
- Los temas relacionados con la gestión de riesgos se discuten en la Junta trimestralmente, una vez cada seis meses o al menos una vez al año – 48%
- Los temas relacionados con la gestión de riesgos se discuten como parte de cada decisión importante en lugar de como un punto separado en la agenda. Los riesgos se presentan de manera sistemática, coherente y completa. En situaciones de alta incertidumbre, se invita a los profesionales de gestión de riesgos a la reunión de la Junta para participar en el proceso de toma de decisiones real – 30%
5. Documentación de los resultados del análisis de riesgos
El 44% de los participantes afirma que los resultados del análisis de riesgos están documentados e incluidos en los materiales que acompañan cada decisión importante. Esta es probablemente la respuesta más positiva que hemos visto hasta ahora. Todavía el 56 % no documenta bien los resultados del análisis de riesgos, creando ninguna pista de auditoría, ninguna posibilidad de retroalimentación y validación.
- El análisis de riesgos es informal y no está documentado en absoluto – 26%
- Se realiza algún análisis de riesgos, pero los resultados no siempre se documentan – 31%
- Los resultados del análisis de riesgos están documentados e incluidos en los materiales que acompañan cada decisión importante – 44%
6. Integración en los procesos operativos principales
Solo el 30 % de los participantes afirmó que la gestión de riesgos está integrada en los procesos operativos principales de sus organizaciones (ventas, producción, logística, etc.). El 70% continúa tratando la gestión de riesgos como un ejercicio independiente, limitando el valor que obtienen de una gestión de riesgos efectiva.
- La organización identifica, analiza y gestiona únicamente aquellos tipos de riesgos que están regulados por la ley – 35%
- Los riesgos asociados con los procesos operativos principales se identifican, evalúan y gestionan con una frecuencia determinada (trimestral, semestral o anual) – 35%
- La gestión de riesgos está integrada en los procesos operativos principales, los riesgos se analizan no con una frecuencia determinada, sino como una parte integral de las actividades operativas – 30%
7. Técnicas de gestión de riesgos utilizadas
Solo el 28% de los participantes afirma estar utilizando técnicas RM2 que vinculan la información de riesgo con los objetivos y decisiones. El 72% no realiza análisis de riesgos ni utiliza técnicas que han sido científicamente comprobadas como ineficaces. El 72% de las empresas encuestadas realizan gestión de riesgos, pero probablemente sería mejor si no lo hicieran. El 55% utiliza mapas de calor y registros de riesgos para almacenar y comunicar información sobre riesgos, realmente es un día triste para la profesión de riesgos.
- Los resultados de la evaluación de riesgos no están documentados – 18%
- Los resultados de la evaluación de riesgos se documentan como mapas de calor y/o registros de riesgos – 55%
- Los resultados de la evaluación de riesgos se documentan en forma de indicadores comerciales o indicadores clave de rendimiento basados en el riesgo (CF@Risk, Earnings@Risk, RAROC, KPI@Risk, Schedule@Risk), que muestran el efecto de los riesgos en los objetivos de la empresa – 28%.
8. Integración en los procesos de back-office (adquisiciones, finanzas, TI, legal, etc)
Solo el 23 % de los participantes afirmó que la gestión de riesgos está integrada en los procesos de back-office dentro de sus organizaciones (adquisiciones, finanzas, TI, legal, etc). El 77% continúa considerando la gestión de riesgos como un ejercicio independiente y hasta ahora no ha logrado optimizar los procesos de oficina administrativa a través de la gestión de riesgos.
- Las evaluaciones de riesgos en los procesos de oficina y funciones de apoyo se realizan de manera informal o ex post facto: 28%
- Los riesgos asociados con los procesos de back-office se identifican, evalúan y gestionan con una frecuencia determinada (trimestral, semestral o anual) – 50%
- La gestión de riesgos está completamente integrada en los procesos de back-office, los riesgos se analizan no con una frecuencia determinada, sino como una parte integral de las actividades operativas – 23%
9. Divulgación de la gestión de riesgos en los informes de gestión
El 35% de los participantes afirma proporcionar una divulgación transparente sobre la gestión de riesgos en los informes financieros y de gestión. Dado el valor que la divulgación puede generar con las aseguradoras, agencias de calificación crediticia, partes interesadas y auditores, esto es muy sorprendente.
- La información sobre gestión de riesgos no está cubierta en los informes financieros o de gestión – 33%
- La organización divulga información sobre la gestión de riesgos en línea con los requisitos mínimos para la preparación de informes anuales y estados financieros – 33%
- La información sobre la existencia de un enfoque de gestión de riesgos sistemático e integrado, los procedimientos de gestión de riesgos y los resultados del análisis de riesgos se presenta en los informes financieros y de gestión en línea con los principios de la ISO31000:2018. También se abordan acciones dirigidas a desarrollar la cultura de gestión de riesgos: 35%
10. Interacción con la Auditoría Interna
Solo el 30 % de los participantes afirma tener un intercambio efectivo de información de riesgos bidireccional con los equipos de auditoría interna. El 28% afirma que los procesos de gestión de riesgos no están vinculados a las actividades de auditoría interna o control interno, lo cual seguramente violará alguna norma del IIA.
- Los procesos de gestión de riesgos no están vinculados a las actividades de auditoría interna o control interno
- Los profesionales de gestión de riesgos proporcionan información sobre riesgos al departamento de auditoría interna para crear planes de auditoría basados en riesgos y al departamento de control interno para optimizar el sistema de control interno dentro de la organización
- Todas las actividades de auditoría interna y control interno (plan de auditoría, estructura de informes, alcance del trabajo) se basan en información de riesgos. La información sobre debilidades de control y hallazgos de auditoría interna es utilizada por los gerentes de riesgo para realizar evaluaciones cuantitativas de riesgo que apoyen la toma de decisiones de la alta dirección y la Junta
¿En qué nivel de madurez en riesgos se encuentra su empresa?
EVALÚA LA MADUREZ DEL RIESGO DE TU EMPRESA