El futuro del sistema integrado de administración de riesgos
En la actualidad, las organizaciones buscan ampliar rápidamente sus mercados sin importar lo tengan que hacer, y en ese afán se les olvida que lo primero que hay que hacer es crear confianza a todas las partes interesadas (stakeholders) con las que interactúa la organización y los mercados a los cuales quiere llegar. Para lograrlo, lo más importante es iniciar por organizar y estandarizar la empresa, y… ¿cómo se debe hacer esa tarea?
Es común encontrar que a los empresarios no les guste planificar, ya que quieren ir directamente al grano, a vender sus productos y/o servicios, sin embargo, es fundamental realizar un Plan Estratégico previo, que incluya el análisis de contexto interno y externo el cual está inmerso en un océano de riesgos, por ejemplo: LA/FT/FPADM, corrupción, soborno transnacional, calidad, ambientales, SST, entre otros. Para abordar todos estos riesgos, se utilizan algunas herramientas de planeación como la matriz DOFA o PESTEL.
Así, el Plan Estratégico va a contener una serie de tácticas a seguir de acuerdo a los mercados a los cuales pretende llegar, además del plan de acción para que la empresa implemente eficazmente los estándares que necesita para generar confianza a los stakeholders, como por ejemplo: Sarlaft (depende del sector podrá ser Sagrilaft, Siplaft), Programa de Transparencia y Ética Empresarial (depende del Sector), Normas ISO que favorezcan el negocio y/o una Norma Técnica Colombiana y dar cumplimiento a las normas Legales y Reglamentarias del Sector. Lo anterior implica que se debe realizar una Gestión de Compliance de las normas legales que le pueden aplicar a la Empresa mas todos los requisitos voluntarios que la Organización se comprometió, ya que el incumplimiento de Normas Legales y Reglamentarias, no puede hacer parte del apetito al riesgo definido por la organización.
Por otra parte, para que la estandarización que se realice en la empresa funcione, es imprescindible realizar capacitación y entrenamiento previo a los funcionarios, dando cumplimiento a los Manuales de Roles y Perfiles, es decir, que cumplan con las competencias allí solicitadas para poder dar cumplimiento a los Planes de Formación que se diseñan con el fin de mantener dichas competencias, ¡y este es otro tema que parece no gustarle mucho a los empresarios! Por esta razón, el empresario debe mirar la formación como una inversión para el negocio, reflejando siempre desde la Alta Dirección la transparencia, ética y valores en el cumplimiento de sus labores y en la entrega de buenos productos y servicios a los clientes.
Otro tema importante es que muchas de las organizaciones no tienen definido cuales son los requisitos y necesidades de sus partes interesadas. En este aspecto, se debe tener en cuenta que además de tener personal competente, se debe contar con las personas necesarias, por ejemplo: oficial de cumplimiento, dueños de procesos y gerencia, que trabajen en equipo para gestionar los riesgos, ya que es muy importante que la Alta Dirección participe siempre, pues contribuye a la toma de decisiones y la autorización de los recursos que sean necesarios para los diseños de controles o mitigantes de los Riesgos. Esto permitirá a la empresa ser preventiva cuando trabaja en equipo las matrices de riesgo, permitiendo que se pueda llegar a diseñar excelentes Planes de Continuidad de Negocio basados en ISO 23301, que a su vez permitirán construir resiliencia en caso de materialización de un riesgo. Para poder tener excelentes matrices de riesgo es recomendable mapear la cadena de suministro y analizar cada uno de los eslabones con todos los riesgos que podrían materializarse para gestionarlos en la Matriz de Riesgos. Este mapeo lo recomienda la ISO 28000:2022 y así se podrá tener todos los riesgos incluidos los de aguas arriba y aguas abajo, que son los términos de dicha norma.
En resumen, todo gira alrededor de la administración de riesgos ya que, si se realiza la debida diligencia de gestionar todos los riesgos, teniendo como entrada número uno los contextos tanto internos como externos, permitirá mantener actualizada la matriz integral de riesgos, que a su vez exige actualizar o crear nuevos controles, que en pocas palabras es la estandarización de la Organización. Entonces, se debe crear y modificar procedimientos, planes, instructivos, programas, manuales, toda la documentación que permite tener mitigantes actualizados para esos riesgos inherentes y posteriormente tener mediciones de riesgos residuales, que probablemente puedan incluirse en el apetito al riesgo de la organización. Insisto en la importancia de la Estandarización, así como lo decía uno de los Padres de la Calidad el Ing. Joseph Juran en sus 14 principios de la Calidad “Sin un Estándar, no hay ninguna base lógica para tomar decisión o una acción”.
En conclusión, es posible inferir que la Gestión Integral De Riesgos hace parte de la Gobernanza de la Organización, que debe ser la herramienta más poderosa para la Alta Dirección, la cual le va a permitir generar valor agregado, crear cultura de legalidad, cultura ética, definir las mejores prácticas, tomar mejores decisiones y permitirá construir resiliencia que se reflejará en la confianza de clientes actuales, nuevos y potenciales para hacer mejores negocios en ese entorno actual tan volátil.
Autor:
ING. NILO MENDEZ
Gerente Técnico
ASYSQ CONSULTORES LATINOAMERICA SAS
Leave a reply