Hacia una cultura de gestión de riesgos

Fuente de la imagen: mvc archivo propio

Si eres follower de este lugar virtual, sabes la importancia que le doy a la concienciación de los órganos de gobierno y la dirección ante la implantación de modelos de gestión de compliance, planes antifraude, antisoborno... y todo lo relativo al cumplimiento normativo. En la tarde del lunes y en el marco de una sesión formativa, comentaba al alumnado la trascendencia que en esta concienciación tiene la previa cultura de gestión de riesgos que se practique. En el Sitio Compliance, bajo el explícito título "Concepto de Riesgo"[1], delimitaba el término a partir de la definición del Diccionario de la Real Academia de la Lengua Española (DRAE)[2], como “esa contingencia o proximidad de un daño”. En el marco político, económico, administrativo y financiero, este riesgo se mide en función de datos estadísticos o probabilidades. A partir de aquí, el factor de riesgo sería cualquier acontecimiento, componente o influjo que genera una probabilidad de materialización de un riesgo[3]. Por tanto, riesgo como probabilidad de registrarse un perjuicio, lesión o cualquier otro desajuste dañoso para una institución pública o privada o para la propia ciudadanía.

En "A vueltas con la gestión de riesgos"[4] y siguiendo a D. Hubbard[5], G. Dionne[6], M. Dorfman[7] y M. Velasco[8],  conceptualizaba la gestión de riesgos como la identificación, evaluación y priorización de peligros, conflictos o desajustes[9], seguida de la aplicación coordinada y económica de recursos para minimizar, monitorear y controlar la probabilidad o el impacto de eventos desafortunados o para maximizar la realización de oportunidades. Para la doctrina consultada, los riesgos pueden provenir de diversas fuentes, incluida la incertidumbre en los mercados nacionales o internacionales, las amenazas de desajustes en los proyectos[10], responsabilidades legales, riesgo crediticio, accidentes, causas y desastres naturales, ataques, ciberataques u otras situaciones impredecibles o desconocidas que producen daño en la organización. Los estándares de gestión de riesgos han sido desarrollados por varias instituciones internacionales. Los métodos, las definiciones y los objetivos varían ampliamente según la ubicación del método de gestión de riesgos dependiendo del contexto: administración pública, gestión de proyectos, ingeniería, ciberseguridad...

Las estrategias para manejar esas incertidumbres con consecuencias negativas, denominadas amenazas, generalmente incluyen evitarlas, reducir el efecto negativo o la probabilidad de que se materialice, transferir toda o parte de la amenaza a otra parte e incluso retener algunas o todas las consecuencias potenciales o reales de la amenaza. Lo contrario de estas estrategias se puede utilizar para responder a oportunidades[11]. En "Principios de la gestión de riesgos"[12], y conforme a lo establecido en la norma ISO 31000:2009[13], inventariaba algunos de los principios que debe desempeñar la gestión de riesgos, que se mueven desde la contribución a la consecución de los objetivos y la mejora del desempeño a posibilitar la mejora continua, pasando por integrarse en los procesos de la institución o formar parte de la toma de decisiones. Otros principios a destacar con el trato de la incertidumbre, junto a una sistemátización, estructuración y la oportunidad de toda gestión de riesgos, basándose en la mejor información disponible, adecuándose y organizándose con el contexto interno y externo y con los perfiles del riesgo, integrando factores humanos en el marco de una transparencia y participación dinámica, reiterada y respondiendo continuamente a los cambios que se registren.

En "Cultura de gestión de riesgos"[14], ante las situaciones medioambientales, de escasez de recursos e insostenibilidad (a las que ahora añado pandémicas y belicosas), que la Humanidad está padeciendo, las instituciones públicas y privadas se encuentran sometidas o expuestas a incertidumbre por doquier, en un entorno cambiante de forma perenne, donde los relativos aciertos obtenidos en la lucha contra las amenazas actuales o a corto plazo, no suponen para nada ninguna garantía de éxito para las situaciones riesgosas que esperan en el futuro. Según el Instituto Nacional de Ciberseguridad[15], la gestión de riesgos está presente, con mayor o menor protagonismo, en los distintos ámbitos de la sociedad y la empresa por lo que, por derivación, también debe encontrarse ubicada en la administración pública, siendo la mayoría de los responsables[16] conscientes de la existencia de amenazas que suponen un peligro para la consecución de sus objetivos, por lo que dedican esfuerzos y recursos a mantener controlados estos riesgos[17].

Finalmente, en "Política de gestión de riesgos"[18], insinuaba que el cometido de riesgos incluye métodos y procesos utilizados en las instituciones públicas y privadas para gestionar los riesgos, lo que implica identificar circunstancias riesgosas relevantes para los objetivos de la organización, evaluándolas en términos de probabilidad y magnitud del impacto, determinando una estrategia de réplica y evaluación continua del proceso seguido, utilizando para ello herramientas que posibiliten afrontar el riesgo a través de una adecuada identificación, análisis y evaluación mediante parámetros, métricas y otros estados estadísticos y comparativos. Por lo anterior, es esencial que la administración pública o privada disponga de una política de gestión de riesgos donde se establezcan los fines y objetivos, consolidándose el compromiso de la institución por la gestión de riesgos. Entre otras materias, esta política deberá abarcar asuntos desde la respuesta al por qué de la gestión de riesgos hasta el establecimiento de un sólido compromiso, pasando por una asignación presupuestaria o asignación de responsabilidades a los perfiles profesionales implicados. Fuente de la imagen: mvc archivo propio.

__________________________________

[1] Velasco Carretero, Manuel. Concepto de Riesgo. Sitio Compliance. 2012. Visitado el 15/03/2022.

[2] https://dle.rae.es/riesgo Sitio visitado el 15/03/2022.

[3] Hay dos tipos de eventos, es decir, los eventos negativos se pueden clasificar como riesgos, mientras que los eventos positivos se clasifican como oportunidades.

[4] Velasco Carretero, Manuel. A vueltas con la gestión de riesgos. Sitio Compliance. 2012. Visitado el 15/03/2022.

[5] Hubbard, Douglas. The Failure of Risk Management: Why It's Broken and How to Fix It. John Wiley & Sons. 2009.

[6] Dionne, Georges. Risk Management: History, Definition, and Critique: Risk Management. Risk Management and Insurance Review. 2013.

[7] Dorfman, Mark S. Introduction to Risk Management and Insurance (9 ed.). Englewood Cliffs, N.J: Prentice Hall. 2007.

[8] Velasco Carretero, Manuel. Compliance penal. Menos pret a porter y más traje a medida. Ed. Icebook. 2018.

[9] Definidos en la norma ISO 31000 como el efecto de la incertidumbre en los objetivos.

[10] En cualquier fase del diseño, desarrollo, producción o sostenimiento de los ciclos de vida.

[11] Estados futuros inciertos con beneficios.

[12] Velasco Carretero, Manuel. Principios de la gestión de riesgos. Sitio Compliance. 2012. Visitado el 15/03/2022.

[13] INTERNATIONAL STANDARIZATION ASSOCIATION. ISO 31000:2009 Risk management – Principles and guidelines. 2009.

[14] Velasco Carretero, Manuel. Cultura de gestión de riesgos. Sitio Compliance. 2017. Visitado el 15/03/2022.

[15] INCIBE. Gestión de Riesgos. 2015.

[16] Políticos, ejecutivos, gerentes…

[17] Para maximizar los beneficios de dicha gestión y contar con garantías de éxito, los esfuerzos han de ser empleados de forma metódica, estructurada y, sobre todo, siguiendo un proceso de evaluación y mejora continua.

[18] Velasco Carretero, Manuel. Política de gestión de riesgos. Sitio Compliance. 2013. Visitado el 15/03/2022.