Serie gestión de riesgos Ocho pasos para establecer un programa de gestión de riesgo empresarial La gestión de riesgos es fundamental para todas las empresas, incluidas en las prácticas de pequeñas y medianas entidades. Esto es tanto en términos de protección de los activos, las finanzas y las operaciones de la empresa y contribuir al cumplimiento legal satisfactorio, al gobierno corporativo y la diligencia debida. La gestión eficaz del riesgo protegerá la reputación, la credibilidad y la situación de la empresa. Es importante establecer una “cultura” de gestión de riesgos en la empresa. Esto pone de relieve la importancia de la gestión del riesgo como parte de las actividades diarias de cada miembro del personal en todos los niveles de la empresa. El objetivo de crear una cultura de gestión del riesgo es crear una situación en la que los socios y personal instintivamente buscan riesgos y considerar sus impactos cuando se toman decisiones operativas eficaces. La implementación de un programa de gestión de riesgos proporciona muchos beneficios, incluyendo: planificación estratégica más eficaz; Mejor control de costos a través de flujos de trabajo mejorados, evaluación del cliente y los procesos de acoplamiento; El aumento de la rentabilidad a través de mejores controles del cliente y de trabajo; Reducción de los riesgos de un litigio como consecuencia de los procesos y planes de contingencia; Un mayor conocimiento y comprensión de la exposición al riesgo; Un método sistemático, bien informado y exhaustivo de la toma de decisiones; Menos interrupciones y menos trabajo mediante una mejor comprensión del proceso por todo el personal de la empresa; y Preparando el escenario para la mejora continua dentro de la empresa. El establecimiento de un Programa de Gestión de Riesgos Ocho pasos para el establecimiento de un programa de gestión de riesgos son: 1. Implementar un marco de gestión del riesgo basada en la política de riesgos Cuando se desarrolla el marco de gestión de riesgos de la empresa, se debe considerar a los servicios ofrecidos, el marketing y la comunicación, el personal y cuestiones de recursos humanos, información y gestión de recursos, obligaciones reglamentarias, los problemas de TI y seguridad, planificación de la sucesión, aceptación y continuidad de clientes y gestión de flujo de caja. 2. Establecer el contexto Tenga en cuenta las metas y objetivos de la empresa y el entorno en el que opera (por ejemplo, culturales, legales y operativos). Identificar interesados internos y externos (por ejemplo, clientes, personal, consultores, agentes, los sistemas internos, terceros, proveedores, etc.). 3. Identificar los riesgos se identifican los riesgos existentes y potenciales, así como los controles existentes. Los riesgos potenciales pueden ser categorizados como servicios realizados, el riesgo de contrato, la aceptación o el riesgo de continuidad y riesgo de rendimiento. 4. Analizar y evaluar los riesgos analizar y evaluar los riesgos de manera continua. Esto implica una comparación de los niveles de exposición en contra de un nivel de tolerancia predeterminada, el grado de control, las pérdidas potenciales o reales y los beneficios y oportunidades que presenta el riesgo. Uno de los modelos más sencillos para identificar el costo de los controles y su adecuación es considerar la probabilidad de ocurrencia de un evento y las consecuencias de ese evento, por ejemplo Riesgo = Probabilidad x Consecuencia. Al evaluar el nivel de riesgo y la identificación de su nivel alto y bajo riesgo, el proceso debe incluir las áreas existentes y previstas de la práctica de la firma; la composición, la experiencia y los conocimientos de la empresa; los procedimientos de gestión y de control interno; la probabilidad de ser demandado y el proceso para evaluar nuevos y existentes clientes. Al evaluar el tipo de riesgos que los que la empresa está expuesta, es importante tener en cuenta tanto los riesgos internos y los riesgos externos. Los riesgos internos pueden incluir personal, los locales comerciales y ubicación, las amenazas a la buena voluntad y la reputación y la tecnología de la información. Los riesgos externos pueden incluir tanto los clientes y los competidores actuales y potenciales. 5. Tratar y gestionar los riesgos desarrollar estrategias para gestionar el riesgo identificado. Las opciones pueden incluir aceptar, evitar, de transferencia (en parte o completo), lo que reduce la probabilidad y / o consecuencia y retener algún tipo de riesgo. Los planes de acción pueden ser desarrollados en base a los niveles actuales de exposición al riesgo, así como considerar el beneficio de las acciones / controles, la duración de tiempo para poner en práctica las acciones y el presupuesto disponible. En las zonas identificadas como de alto riesgo, las acciones pueden incluir reconsiderar esa zona y su desarrollo, el reciclaje del personal y revisar el compromiso con los clientes. Procedimientos de gestión de riesgos pueden incluir: La claridad en los términos del trabajo; La obtención de un seguro adecuado y el control de las reclamaciones una vez que han ocurrido; El mantenimiento de la documentación precisa; Garantizar la oportunidad de sistemas de acción a diario; Sólo la práctica en aquellas zonas donde hay suficiente experiencia; y La implementación de estrictos criterios de selección de clientes y consultores o agentes utilizados. 6. Consultar comunicarse y consultar con todas las partes de la empresa, así como con las partes externas, para asegurar que todos se mantienen bien informados. Por ejemplo, para evitar tener que asumir la responsabilidad de la toma de riesgos del cliente, asesorar al cliente por escrito de las fechas y las consecuencias correspondientes en caso de incumplimiento por parte del cliente para actuar. Esto transferirá el riesgo de incumplimiento de vuelta al cliente para actuar y / o seguimiento. 7. Controlar y revisar Monitorear y revisar las estrategias de gestión de riesgos de manera continua. Con el tiempo, se crean nuevos riesgos, los riesgos existentes se aumentan o disminuyen, en otras el riesgo ya no existe, la prioridad de riesgo puede cambiar o las estrategias de tratamiento del riesgo ya no puede ser eficaces. El monitoreo debe incluir: seguimiento de los riesgos existentes, la identificación de nuevos riesgos, identificando los puntos problemáticos y la evaluación de la eficacia de las estrategias de tratamiento de riesgos actuales. El Monitoreo asegura que se introducen nuevas medidas para controlar los nuevos riesgos ya que estos surgen. Se requiere una revisión continua para asegurar que las estrategias siguen siendo pertinentes, y que la posición general de Seguridad está en relación con los costos potenciales del riesgo. 8. Documentar mantener un registro escrito de todas las políticas y procedimientos, incluyendo la documentación del proceso de evaluación, los principales riesgos identificados y las medidas destinadas a reducir el impacto de estos riesgos importantes. La falta de políticas de documentos puede llevar a deficiencias de rendimiento debido a malentendidos o interpretaciones erróneas. Un conjunto escrito de declaraciones de política suministrados por procedimientos documentados proporciona una referencia constante, una guía para la acción y un marco para la comprobación de que las operaciones se llevan a cabo en la forma prevista por la firma. Fuente: IFAC por Cristopher Arnold y Mónica Foerster Recopilado para JMB Auditores y Consultores S.A. de C.V. por Javier E. Miranda R. 25082019