No es posible implementar un Modelo de Gestión estandarizado en todas las organizaciones del tipo establecido en las normas ISO, pero para efectos de Gestión de Riesgos es posible incorporar en la organización una cultura de su gestión y un “sistema” o “modelo” que opere en forma permanente para garantizar en algún grado su correcta adopción y operación.
Una vez definido por las máximas autoridades de la organización, que se requiere identificar, evaluar, tratar y gestionar sus Riesgos mediante un MGR, una de las primeras acciones es la de generar conciencia y responsabilidad en toda la organización. Esta acción puede desarrollarse en paralelo a otras acciones también necesarias, como las definiciones respecto del MGR, metodología, etc. Para generar conciencia organizacional es necesario se cumplan varios requisitos y formalismos. Para comenzar, es necesario definir, formalizar e informar a la organización, cuáles serán los objetivos del MGR, los que debieran estar alineados con los objetivos estratégicos de la organización. Por ejemplo, un adecuado MGR podría aumentar el valor de las acciones de una empresa, facilitar la gestión de riesgos relacionados con normativas y regulaciones, abrir mercados que antes no estaban al alcance, reducir accidentes de personal y por ende mejorar las características de los seguros, etc.
La organización debe definir una estructura organizacional que pueda administrar adecuadamente los Riesgos e informar a las autoridades correspondientes para que, con la debida diligencia respecto de los eventos que pudieran materializar
Riesgos, se ejecuten acciones de mitigación y se tomen acciones de mejora para evitar o reducir la probabilidad de una nueva ocurrencia o el impacto de la misma. En este sentido, se puede definir un Comité de Riesgos o un comité existente designarlo como tal. Este comité tendrá por principal función generar un seguimiento permanente a las Políticas de Gestión de Riesgos y a los Riesgos específicos identificados y deberá mantener informado periódicamente a las máximas autoridades de la organización, sean estas el dueño, el directorio, la Junta de Accionistas, o quien corresponda. Además, es necesario definir un responsable único o un equipo de trabajo liderado por él, que tenga dedicación, a lo menos prioritaria a estos temas, pudiendo combinarlos con temas tales como Seguridad de la Información (OSI), Oficial de Cumplimiento o Compliance, Oficial de Riesgo, Auditoría, u otros modelos de gestión (del tipo requerido por los estándares ISO), etc.
Fig 3 Organigrama tipo
En la figura 3 se muestra un organigrama tipo donde el Comité de Administración de Riesgos puede estar relacionado directamente con la Gerencia General o directamente con el Directorio o Dueños de la empresa. Eventualmente, puede
DIRECTORIO
Gerencia
General Staff Comité de
Riesgo
estar también bajo el alero de una Contraloría o Jurídico, aunque dependiendo del giro de la empresa, en la mayoría de los casos, no es recomendable que estén en el ámbito legal, puesto que se tiende a minimizar los Riesgos relacionados con otros factores, como el Operacional. El Comité de Administración de Riesgos necesariamente debe estar fuera de las áreas de negocio y aquellas que generan Riesgo. La razón es evidente, no se puede evaluar objetivamente una situación de la cual se es parte. Igualmente, el Comité de Riesgos debe incorporar a todas las áreas que generan y son “dueñas” de los procesos donde existen los Riesgos, presidido por el Gerente General o el Contralor de la empresa. En esta instancia se deberá informar regularmente el estado de la gestión de los riesgos, tomar decisiones respecto de mejoras y tratamiento de los Riesgos, así como definir y estructurar informes para el Directorio o Dueño.
Adicionalmente, dado que el principal Riesgo en toda organización tiene que ver directamente con el “Error humano”, es necesario especificar e incorporar dentro de la reglamentación interna, perfiles de cargo y/o los propios contratos de trabajo, cláusulas específicas respecto de la Gestión de Riesgos que individualmente cada colaborador debe realizar en sus actividades dentro de los procesos del negocio, sean estas esporádicas o cotidianas.
Una forma de difundir esta propuesta es la capacitación. Sin embargo, si se combina con campañas lúdicas se puede mantener el interés por identificar y gestionar los riesgos. Por ejemplo, hacer una “cacería de riesgos” con un premio para quien identifique el riesgo más relevante no identificado anteriormente, o una “búsqueda del mitigador perdido” donde se premie a quien proponga controles o
mitigadores efectivos que pudieran reducir costos o reducir impacto o probabilidad o una combinación de ellos, etc. Los premios no necesitan ser costosas joyas, vehículos de lujo o viajes paradisiacos, pero sí puede ser una cena familiar en algún lugar al cual habitualmente los trabajadores no tendrán acceso por los costos que ellos significa, un par de días libres, entradas para el cine o un concierto de música, entradas para un parque de diversiones, obras de teatro, un fin de semana en algún hotel o resort cercano, etc. De hecho, la misma campaña es un mitigador, puesto que toda la organización estará atenta a los Riesgos y los gestionará e informará a objeto de postular a obtener algún premio.
El MGR debe necesariamente ser revisado y actualizado regularmente por la unidad encargada de la Gestión de Riesgos y adicionalmente, cada vez que se produzca un cambio estructural o de proceso, una nueva evaluación específica debe realizarse. El resultado de estas evaluaciones y su evolución respecto de períodos anteriores debe ser informado al Comité de Riesgos o aquel que cumpla con sus funciones, para que a su vez, de considerarlo relevante, el Comité informe a las autoridades superiores para una toma de conocimiento y posterior definición de acciones de mitigación cuando correspondan. No obstante, periódicamente es necesario mantener informadas a las autoridades de la organización, puesto que dicha información pudiera ser relevante en las tomas de decisiones que se realicen. Por ejemplo, decisiones estratégicas tales como la venta, compra o fusión de la organización, salida a mercado de valores, etc. Adicionalmente, la estructura, políticas y principales aspectos del MGR deben ser revisados
periódicamente por el Comité de Riesgos y sus resultados y decisiones tomadas, deben ser informadas y ratificadas por el Directorio o Dueños.
En organizaciones muy grandes para que sólo una persona gestione los riesgos, se puede definir “responsables” sectoriales o de cada área o gerencia de la organización. Cada uno de estos tendrá la responsabilidad parcial de supervisar y controlar la operación y funcionamiento del MGR en el área o unidad a la cual se le asigna.
De igual forma, cuando la organización es mediana o grande, es necesario contar con “especialistas” en Riesgos. Estos especialistas apoyarán al Comité de Riesgo para evaluar determinados riesgos específicos. Por ejemplo un especialista en riesgos tecnológicos, otro en temas legales, otro en temas contables, etc. Estos especialistas colaboran con la identificación de riesgos, su valorización y con la capacitación a los colaboradores en la gestión de controles y mitigadores que ataquen estos riesgos.
Probablemente lo más difícil para un modelo de gestión de cualquier tipo, es justamente mantenerlo vigente, activo y consciente. Particularmente respecto de un MGR, es necesario realizar las actividades suficientes para llegar al punto en que los colaboradores inconscientemente comiencen a gestionar sus Riesgos, simplemente porque es buen negocio para todos hacerlo.