Risk management in companies and the importance of implementing strategies for business sustainability.

“El riesgo viene de no saber qué estás haciendo.” – Warren Buffett

Según el Instituto de Auditores Internos (o “The IIA” por sus siglas en inglés: The Institute of Internal Auditors), un riesgo es: “La posibilidad de que eventos imprevistos afecten el logro de las metas y objetivos empresariales”.

El manejo de riesgos en las empresas y la implementación de estrategias para la sostenibilidad empresarial son aspectos cruciales en un contexto empresarial cada vez más dinámico, competitivo y complejo. Las organizaciones enfrentan el desafío de asegurar una gestión de riesgos eficiente que se adapte a las necesidades de cada sector, una estrategia adecuada para abordarlos es fundamental para garantizar la estabilidad y sostenibilidad a largo plazo.

Todas las organizaciones con fines de lucro mientras persiguen la consecución de sus objetivos empresariales se enfrentan a amenazas que suelen manejarse de forma reactiva, lo que genera la posibilidad de comprometer los resultados que con tanta avidez se buscan. Por ello cada vez más las empresas están optando por adoptar medidas y metodologías proactivas para gestionar los riesgos. Las compañías que lo realizan pueden tomar ventaja de las que no lo hacen, ya que éstas pueden tomar decisiones más informadas y estratégicas que contribuyan a su sostenibilidad a largo plazo, mientras protegen los intereses de sus clientes, accionistas y empleados.

En este sentido, es crucial que las organizaciones cuenten con estructuras y procesos eficaces que les permitan alcanzar sus objetivos a través de un sólido órgano de gobierno y una gestión de riesgos adecuada. El Instituto de Auditores Internos ha desarrollado el Modelo de las Tres Líneas, el cual nace en el año 2013 y que ha sido tarea de constante estudio, siendo fortalecido recientemente en el año 2020, por medio del cual se proporciona un marco para la identificación y mejora de las estructuras y procesos que facilitan esta gestión y el cumplimiento de las metas empresariales.

El funcionamiento de este modelo actualizado se basa en 6 principios:

• Gobierno: Se refiere a que dentro de toda empresa se requiere un gobierno con procesos y estructuras que permitan a la organización determinar responsabilidades a través de liderazgo y transparencia. Es el órgano de gobierno quien debe rendir cuentas de la correcta supervisión de la toma de decisiones basada en riesgo, a los accionistas y stakeholders de la organización.
• Roles del órgano de gobierno: El organismo de gobierno debe asegurar que se han establecido procesos para un adecuado manejo de riesgos, deben promover una cultura de ética y cumplimiento en la organización, estableciendo procesos, comités, políticas y demás que aseguren el cumplimiento de las expectativas legales, éticas y de cumplimiento.
• Dirección y los roles de 1ª y 2ª línea: La primera línea debe gestionar los riesgos y debe aplicar los recursos para lograr los objetivos, estableciendo estructuras y procesos adecuados para dicha gestión, incluyendo las del control interno. Asimismo, debe garantizar el cumplimiento de las expectativas legales, éticas y de cumplimiento. Dentro de esta primera línea podemos encontrar áreas de trabajo de las empresas como: Finanzas, Legal, Mercadeo, Infraestructura Tecnológica, Asuntos Corporativos, Ventas, Recursos Humanos y logística.
  La segunda línea debe proporcionar los conocimientos especializados y supervisión relacionados con la gestión de riesgo, incluyendo: La implementación y la mejora continua de las prácticas de gestión de riesgo a nivel de los procesos y sistemas, cumplimiento de las leyes, políticas de ética y cumplimiento, control interno, seguridad de la información y tecnología, entre otros. Dentro de esta segunda línea podemos encontrar áreas de trabajo de las empresas como: Control Interno, ciberseguridad, ética y cumplimiento.
• Roles de la 3ª Línea: Corresponde a la función de la Auditoría Interna, quienes proporcionan un aseguramiento independiente y objetivo sobre la adecuación y eficacia del gobierno y la gestión de riesgo. Su función principal es rendir cuentas ante los Órganos de Gobierno después de la aplicación de procesos sistemáticos que permitan obtener observaciones sobre la gestión.
• Independencia de la 3ª Línea: Es fundamental que para que Auditoría Interna cumpla su rol de manera objetiva, sus responsabilidades sean completamente independientes de las responsabilidades de la Alta Dirección. Debe tener acceso sin restricciones a las personas, los recursos y los datos necesarios para completar su trabajo.
• La creación y protección del valor: La filosofía de este modelo se basa en la correcta coordinación de los roles antes mencionados. Todos deben trabajar juntos y contribuir a la creación y protección de valor, estando alineados entre sí.

Finalmente, dentro del modelo también se encuentran los proveedores externos cuya función debe ser proporcionar un aseguramiento adicional en cuanto a los aspectos legales y de gestión de riesgos.
Este modelo no explica de qué forma deben funcionar en la práctica las tres líneas, ni tampoco establece como debería ser la interacción entre ellas, por lo que deja a criterio de cada organización la forma en que se incorporan e interactúan los roles según mejor se adapten a las necesidades de cada negocio, ya que es más efectivo si se ajusta a los objetivos de cada organización. Es importante para tal fin, que se revise y analice como se repartirán los roles y el organismo de gobierno con el fin de lograr una buena coordinación y comunicación entre todos.

Las ventajas de su implementación son:

• Se promueve en la organización una cultura de gestión de riesgos en la que todos los empleados conocen y entienden la importancia de identificar y mitigar los riesgos desde sus actividades diarias, mejorando así la toma de decisiones y acciones.
• Se definen con claridad los roles y responsabilidades de los empleados en la gestión de riesgos, ya sea para identificarlos, o para controlarlos y gestionarlos. Sabiendo así quien debe crear y promover las políticas y procedimientos que ayuden a una exitosa gestión, optimizando de esa forma los recursos.
• Permite cumplir con todos los requisitos normativos y regulatorios relacionados con la gestión de un riesgo, ya que al identificarlo se pueden tomar las acciones para su cumplimiento respectivo.

El manejo de riesgos en una organización no solo implica la creación de un área de control interno o un área de cumplimiento que cree políticas o procedimientos para contribuir a mitigar los mismos. Una buena gestión de riesgos implica la implementación de un modelo como el antes mencionado, o una estrategia que se ajuste a las necesidades de cada organización, teniendo como finalidad primordial la claridad en responsabilidades, mejorar la transparencia, optimizar los recursos y rendir cuentas para contribuir al éxito en general de la organización.

Como bien lo dijo Warren Buffett con su frase “El riesgo viene de no saber que estás haciendo” es importante y necesario conocer exactamente a lo que nos enfrentamos para escoger los mejores mecanismos para superarlos. El manejo de riesgos en las empresas no es asunto sencillo y es tarea conjunta de toda la organización, identificar el rol de cada área y de cada empleado es clave para asegurar su gestión.

Una empresa sostenible no es aquella que solamente cumple sus objetivos, sino aquella que garantiza que en el proceso de consecución de dichos objetivos se consideren todos los aspectos posibles que puedan generar algún impacto negativo, ya sea en el ámbito ambiental, social, financiero, y/o reputacional, y así implementar estrategias con un enfoque integral que involucre a todos los niveles de la organización para asegurar una correcta gestión que disminuya la posibilidad de sufrir graves perjuicios y garantizar la continuidad del negocio.