Esto no quiere decir que hasta ahora algunas organizaciones no estuvieran gestionando riesgos, sino que no habían formalizado los sistemas para hacerlo.
De forma muy resumida, un sistema de gestión de riesgos debe identificar estos eventos, clasificarlos en función de la importancia que le otorgue la organización, definir medidas que mitiguen su impacto (controles internos) y supervisar de forma continua su funcionamiento, especialmente teniendo en cuenta la velocidad de cambios en el entorno actual.
Conceptos como la aversión al riesgo, o apetito de riesgo en positivo, son cruciales en la gestión de riesgos, pero difíciles de cuantificar cuanto mayor es la complejidad de las organizaciones.
El estudio del Instituto de Auditores Internos de España pone de manifiesto que los riesgos que más preocupan a las organizaciones son el riesgo reputacional, el riesgo de crédito y el riesgo de cumplimiento normativo.
El concepto de extended enterprise se ha incorporado al lenguaje habitual de las organizaciones en nuestro país. La reputación de una entidad puede verse dañada, no solo por acciones que tengan lugar dentro de la organización, sino también por acciones u omisiones de acción que se produzcan fuera de la misma.
En este contexto, la fuerte deslocalización que generan los mercados globalizados, con empresas produciendo o utilizando proveedores en países en desarrollo, hace que la empresa matriz pierda cierto control sobre estas actividades. Sin embargo, su marca sí se verá afectada en caso de que estos proveedores incumplan con la legislación vigente. Esta realidad hace que las organizaciones se ocupen de gestionar los riesgos de toda la cadena de suministro, y no solo los riesgos internos de la propia entidad.
La existencia y funcionamiento eficaz de un sistema de gestión de riesgos no asegura que una organización no pase por dificultades; sin embargo, sí reducirá la posibilidad de que estas se produzcan y, en caso de que sucedan, su impacto sea menor.
La realidad nos ha demostrado que empresas sin una adecuada gestión de riegos han navegado peor por la crisis económica que aquellas con sistemas bien implantados.
En ocasiones, lo que ha fallado dentro de estos sistemas han sido conceptos tales como el apetito de riesgo o el riesgo aceptado, es decir, aquellos riesgos que la empresa asumía con el fin de obtener un retorno. No hace falta ir muy lejos para pensar en las consecuencias que han tenido la materialización de riesgos que habían aceptado algunas organizaciones, tales como la sobre-exposición al mercado inmobiliario.
El estudio pone de manifiesto que, aunque las principales organizaciones españolas están dando pasos importantes en esta materia, todavía quedan retos importantes, como la utilización de Key Risk Indicators (KRI’s) o la incorporación de elementos de gestión de riesgos en la evaluación de desempeño.
En lo que respecta al primero, la esencia que reside detrás de estos indicadores es la anticipación. Es fundamental que las empresas identifiquen indicadores eficaces que les permitan anticipar la ocurrencia de un riesgo y tomar medidas antes de que éste se materialice.
La incorporación de la gestión de riesgos dentro de la evaluación de desempeño de empleados clave de la organización, no solo en la de aquellos cuya responsabilidad principal es el sistema de gestión de riesgos, supondría un impulso fundamental para el avance de estos sistemas.
Finalmente, el estudio resalta el importante papel que están desempeñando los auditores internos en esta materia, liderando e impulsando de forma proactiva la implantación de estos sistemas para, posteriormente, supervisarlos de forma independiente y objetiva en el futuro.
