Cada uno de estos planes ya sea de índole estratégico, operacional, o de supervivencia, tienen riesgos asociados. Esto es lo que conocemos como riesgos estratégicos, riesgos operacionales, y riesgos de supervivencia. De lo anteriormente expuesto se puede decir entonces que las empresas no pueden desligarse del riesgo, y por tanto no es recomendable obviar la gestión del riesgo.
Hay quienes ven a la planificación estratégica como un acto de soberbia, ya que a través de ellas buscamos modificar el futuro para nuestra conveniencia. Hoy en día es importante especular acerca del futuro ver un poco más allá, Ya que no basta con ver los eventos del pasado para analizar los riesgos.
Todo objetivo que se traza dentro una planificación estratégica, tiene un riesgo asociado, no hay riesgos malos para una organización. El riesgo debe ser considerado materia prima para el cumplimiento de los objetivos, decimos esto porque para poder crecer necesitamos tomar riesgos. Por ejemplo las entidades bancarias no dejan de emitir tarjetas de crédito porque existe el riesgo de fraude electrónico, el crédito para ellos es una actividad rentable, y no porque existe este riesgo van a dejar de emitir tarjetas de crédito. En otras palabras las entidades bancarias asumen el riesgo del fraude electrónico por el uso de tarjetas de crédito pero al mismo tiempo implementan mecanismos de control para mitigar el riesgo. Todo riesgo tiene una justificación estratégica, táctica, operacional o de cumplimiento es decir tiene un justificativo.
Muchas empresas tienen dificultades morales ante el riesgo y esto representa un problema. Así mismo debemos tener en cuenta que dentro de la organización el primer riesgo es la gente. Dentro de los riesgos personales tenemos los asociados a procesos, tecnología, y a las personas.
Entonces tenemos, que un sistema gerencial en base a riesgo es aquel en donde usted toma en cuenta las iniciativas para lograr esos objetivos, pero también gestiona los riesgos asociados al cumplimiento de esos objetivos.
Actualmente la gestión del riesgo es considerada como las actividades orientadas a direccionar y controlar a una organización en función al riesgo. Tanto las auditorías como los sistemas de control interno se basan actualmente en riesgos.
La gestión del riesgo se trabaja en base a cuatro parámetros: 1ro. El apetito del riesgo; 2do. El riesgo inherente ; 3. La tolerancia del riesgo ; 4to. Riesgo residual.
El apetito del riesgo se refiere aquellos riesgos qué tengo que tomar, quiera o no, para cumplir los objetivos. Se puede definir como esa materia prima que yo necesito para hacer negocio. El apetito del riesgo emana siempre de la alta dirección, ya que estos son los que deciden qué negocios vamos a desarrollar y cuáles no.
Ahora bien la tolerancia del riesgo es un asunto que le compete a las áreas de riesgos, a los dueños de los procesos, a las auditorías y controles internos.
Ahora bien debemos tener en cuenta que existen el riesgo inherente y el riesgo residual. El riesgo inherente es aquel qué deriva de cada actividad sin tener en cuenta los controles que se implementen, es propio del proceso que no puede ser eliminado del sistema, en todo proceso o trabajo que se ejecuta se encontrarán riesgos para las personas o para la ejecución de la actividad en sí misma.
Por otro lado el riesgo residual es aquel que subsiste después de haberse implementado los controles, este nivel de riesgo nunca puede ser herramienta o por completo de la empresa. Es aquel que permanece después de que la dirección desarrolla sus respuestas a los riesgos es ese riesgo remanente una una vez que se implementan acciones eficaces por la dirección para mitigarlo.
Tenemos entonces, que lo que permite pasar de un riesgo inherente a un riesgo residual, es lo que conocemos como controles. Existe un modelo llamado modelo de las tres líneas de defensa para la gestión del riesgo de forma efectiva. Este modelo indica que la primera línea de defensa son los dueños del proceso, es decir los líderes y gerentes qué son considerados a su vez como responsables de la gestión del riesgo de esos procesos que desarrollan sus áreas, y esto se debe a que son los que tienen mayor visibilidad y posibilidad de maniobra para poder gestionar los riesgos de forma efectiva.
La segunda línea de defensa está conformada por las áreas de Administración del Riesgo y otras áreas como la de Control de la Calidad, Controles Internos, Tecnología de la Información, etc. Es decir todos aquellos que pueden ayudar a los dueños del proceso a gestionar los riesgos que este tiene.
La tercera línea de defensa, es la auditoría interna basada en riesgos. Estos son los que dan Fe e informan a la junta directiva de si la gestión del riesgo se está dando de forma eficaz y eficiente, es sí lo que se está haciendo está dentro del apetito de riesgo, y de debajo de la tolerancia del riesgo dentro de la organización.
Para culminar me gustaría añadir que actualmente lo que más se presenta en las organizaciones es el riesgo denominado de tipo moral el cual tiene relación con los robos y fraudes, y esto se debe a qué, en muchos casos las exigencias de la organización son demasiados elevadas, llevan a sus líderes y gerentes a tener conductas no éticas para lograr llegar a los objetivos.
En conclusión para poder trazar un plan estratégico corporativo realizable, lograble, se hace indispensable, necesario, considerar en primera instancia el plan de Supervivencia el cual nos va a permitir perdurar en el tiempo, así como el plan operacional qué es el día a día de la empresa. No se puede crear un plan estratégico sin tomar en cuenta el plan operacional y de supervivencia de la empresa. no podemos crear estrategias sobre empresas que no perdurarán en el tiempo y cuyas actividades no estén asociadas orientadas al logro de sus objetivos. Los cuáles deben ser medibles, alcanzables para poder controlar y mitigar los riesgos asociados.
María Alejandra Tuozzo
Abogado
