¿Eliminar la incertidumbre con una buena gestión de riesgos?

Introducción:

Antes de iniciar debemos de acotar que manejar un escenario donde exista una gestión de proyectos con cero riesgos es una utopía, por tal razón es importante tener una correcta tolerancia de riesgos procurando reducir la incertidumbre al máximo.

Ahora bien, repasando el párrafo anterior el riesgo contiene atributos que lo diferencian de la incertidumbre. El riesgo es la parte de la incertidumbre que se encarga de gestionar la Gestión de Riesgos, mientras que la incertidumbre latente es aquella que sigue siendo desconocida. La parte de la incertidumbre gestionada es aquella que es susceptible de ser analizada.

Sobre la definición de riesgos podemos leer el siguiente articulo respecto a bases generales donde se vio la definición y tipos de riesgos.

De acuerdo con la RAE el concepto de incertidumbre se define como: “Falta de certidumbre” llevándonos entonces a buscar el concepto de certidumbre el cual dicta:

  1. f. certeza.

  2. f. desus. Obligación de cumplir algo.

Desarrollo:

Si bien es cierto dentro de los proyectos, o la gestión de procesos diarios de las instituciones el ideal es procurar siempre cumplir con todo lo definido dentro de la gestión de estos. La reducción de toda la incertidumbre es inviable para el desarrollo del proyecto, desde el punto de vista económico por los recursos que implicaría. La Dirección de Proyectos requiere, por tanto, de habilidades de liderazgo y de adaptabilidad para lograr tener un grado bajo de incertidumbre y además una correcta gestión de riesgos.

Como se habla del abordaje de la incertidumbre es imposible dejar de lado que esto implica un costo elevado, por lo que hay un límite hasta el que las empresas llegan. Consiste en contenerla y administrarla de forma responsable, no en eliminarla. Un nivel de inversión alto para mitigar la incertidumbre implica una baja tolerancia al riesgo, pero nuevamente son costos elevados. En cada proyecto resulta determinante la incertidumbre con la que se va a convivir y el costo que esto supone para la empresa. El proyecto debe encontrar un nivel de riesgo aceptable.

 

En la gestión de riesgos dentro de los proyectos o procesos manejados en las instituciones, se debe de considerar qué parte de la incertidumbre constituye un riesgo para el proyecto o procesos en donde se debe poder establecer las amenazas u oportunidades que genera, una probabilidad de ocurrencia y un impacto en el caso de que suceda. El sistema de control interno o la persona (departamentos) administradora de los riesgos institucionales (El Risk Management) va a permitir conocer las vulnerabilidades y oportunidades que esa parte de la incertidumbre ocasiona. Los riesgos posibilitan desarrollar planes de mitigación y contingencia.

La incertidumbre en la administración de proyectos o la gestión de procesos puede tener como consecuencia que no se alcancen los objetivos planteados en el proyecto, debido a resultados negativos y amenazas; consecuencias irrelevantes; u oportunidades.

¿Eliminar la incertidumbre con una buena gestión de riesgos?

Retomando la pregunta que nos permitió repasar una serie de conceptos en el tema de riesgos, debemos afirmar que la eliminación de la incertidumbre si bien es cierto es un ideal que implica una inversión elevada de la mano de la buena gestión de los riesgos, en ocasiones la estrategia nos pide tolerar un grado mínimo dentro de los proyectos o procesos, esto al igual que no se puede tener un proyecto libre de riesgos.

Conclusiones:

Cuando hablamos que la gestión de riesgos solamente puede abordar un subconjunto de los riesgos de un proyecto o procesos de las instituciones estamos hablando de una realidad en donde se trata de administrar aquellos que se han podido identificar y, además, que cuentan con los recursos necesarios para su análisis, evaluación, mitigación y control. Sin olvidar que se tolera un grado de incertidumbre este de la mano de la inversión realizada en la gestión de los riesgos.

Ley de control interno en Costa Rica.

En 1992 nace la definición de Control Interno de acuerdo a COSO: “Proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objetivo de proporcionar un grado de seguridad razonables en cuanto a la consecución de los objetivos…” link Bastaron diez largos años para que en el 2002 en nuestro país, para ser exactos un 4 de setiembre se creara la Ley 8292: ley  General de Control Interno (LGCI).

En la buena práctica toda su ley tiene un reglamento el cual nos va a prevenir de los vacíos que puedan existir en la ley, además dicho reglamento nos sirve como respaldo para legitimar ciertos procesos.

En el artículo que se publicó en el diario digital El Mundo.cr: https://www.elmundo.cr/que-ha-pasado-con-la-ley-de-control-interno-y-su-reglamentacion/ se aborda una preocupación respecto a la falta de reglamentación que tenemos actualmente en el país, para la LGCI 8292.

Dieciséis años después sin una reglamentación para la ley; como auditores nos toca ir a buscar en la página de la CGR, propiamente en el apartado de normativa bajo el título de Control Interno, sean directrices, acuerdos o documentación pertinente con el fin de respaldar nuestros trabajos. Cito del artículo publicado en el diario digital:

Luego de este análisis nos topamos con vacíos reflejo de la ausencia de reglamentación de la citada Ley, esto a pesar de que se han tratado de atender por parte de la Contraloría General  con  directrices y manuales, pero en algunos  temas relevantes, han quedado y persisten vacíos, además, de que por ser una disposición de Ley  su reglamentación  se debe  cumplir,   pues de lo contrario,  sería apartarse  del referido mandato y una  actuación contraria al  “principio de legalidad”,  que dispone la Ley de Administración Pública  y la Constitución Política en los artículos 11, de ambos marcos normativos. (En su momento expuesto por el Máster. Juan de Dios Araya Navarro, Auditor gubernamental). Esto viene a reforzar la necesidad de actualización del tema del abordaje de las Tecnologías de Información y Comunicación (TICs) que a pesar de tener una normativa (N-2-2007-CO-DFOE Normas técnicas para la gestión TI) se necesita de igual forma una actualización de la misma.

Los invito a leer la nota, con el fin de que busquemos en conjunto una pronta reglamentación para el bien de la ciudadanía y en especial de nuestra patria.

Cierro nuevamente con la consulta: ¿Qué ha pasado con el reglamento para la ley 8292?

Riesgo Reputacional

Retomando el tema que tiempo atrás trate sobre Bases Generales: Riesgos; vamos a recordar la definición de lo que es un riesgo:

Contingencia o proximidad de un daño

Es decir, es aquello que va a afectar de alguna forma el estado normal de las operaciones ya sea de la compañía o institución pública.

Por otro lado analicemos: ¿cuál es el concepto de reputación?

“Opinión o consideración en que se tiene a alguien o algo”

“Prestigio o estima en que son tenidos alguien o algo”  (Fuente: RAE.es).

Cuando hablamos de ese algo nos referiremos a  compañías o instituciones (en adelante compañías) que representamos.

Ahora bien, cuando hablamos de un riesgo Reputacional debemos de pensar en aquella posibilidad/probabilidad  que un evento X llegue a afectar o dañar la imagen de la compañía.

Un reconocido autor e inversionista en una de sus ponencias una vez comento:

“Tomamos 20 años en construir la reputación, y tan solo 5 minutos para destruirla” Warren Buffet.

Es entonces cuando debemos de profundizar en la importancia del Riesgo Reputacional, partiendo de la pregunta ¿Qué es la reputación corporativa?:

Partiendo de la anterior afirmación, podríamos decir entonces que la reputación corporativa es aquella que se ha venido trabajando a lo largo del tiempo, en donde la visión que se tenía sobre el negocio se materializa de la mano de la misión, siendo los clientes o grupos de interés (stakeholders) internos o externos los que ayudan a construirla.

Podemos pensar que la reputación va de la mano de tres factores claves: la imagen de la compañía, la comunicación y por último los stakeholders.

Stakeholders: se refiere a los grupos de interés para una compañía. El término Stakeholder lo describió R. Edward Freeman en su libro “Strategic Management: A Stakeholder Approach”, publicado en 1984 y lo definió como todas aquellas personas o entidades que pueden afectar o son afectados por las actividades de una empresa

Los stakeholders pueden ser tanto externos como internos, ya que los colaboradores son los abanderados de las compañías y como tales son los primeros promotores de estas.

Los tres factores claves que ya fueron definidos podemos ir evaluándolos desde diferentes áreas, por ejemplo si pensamos en Recursos Humanos (departamento de gestión y desarrollo humano en algunas instituciones) va a ser el encargado del Clima Organizacional, las encuestas de satisfacción y mediciones de conductas;  por otro lado toda compañía debe de tener un área o persona encargada de la ética en cuyo caso deben de trabajar los códigos de conductas, políticas verdes, reportes de sostenibilidad entre otros aspectos (de no existir un comité de ética debemos de buscar quienes son los encargados de estos aspectos). También,  cuando hablamos de reputación (stakeholders externos) debemos de considerar monitorear las redes sociales, páginas webs de interacción social y los canales virtuales de interacción de la empresa.

¿Entonces de quien es la responsabilidad de vigilar que no se materialice este riesgo?

El riesgo Reputacional viene a ser responsabilidad de varios actores dentro de las organizaciones, todos los que día a día vigilan que los procesos sean ejecutados de buena forma. Para administrar el riesgo Reputacional es esencial conocer las expectativas de los stakeholders, de igual forma darle seguimiento a los cambios que pueden surgir de dichas expectativas.

Volviendo al concepto de los stakeholders, existe una técnica de evaluación y monitoreo de estos agentes, se le conoce como el Mapa de stakeholders, mismo que va a contener la información de los grupos relevantes de afectación Reputacional para la compañía. Este mapa debe de contener las siguientes características:

  • Nombres
  • Priorización
  • Dimensiones de la reputación
  • Canales de contacto
  • Motivadores
  • Capacidad de oportunidad

De la web adjunto los siguientes dos ejemplo:

Fuente: https://calidadparapymes.com/definiendo-las-partes-interesadas-en-iso-90012015/

Fuente: http://compartiendoexperienciauniversitaria.blogspot.com/2011/11/quienes-son-los-stakeholders-de-una.html

Labor de la Auditoría en el tema del Riesgo Reputacional:

Como auditores somos parte fundamental de las organizaciones, formando parte de los escuchas que tienen las organizaciones, nos toca evaluar las gestiones necesarias que se llevan a cabo para prevenir la materialización de este riesgo; cómo se logra esto:

Primero se debe de tener claro los elementos internos de la organización: estrategia, perfil financiero, vulnerabilidades, posicionamiento y competitividad, competencias del personal, regulaciones en general; todo esto visto desde un punto de vista informativo por medio de las opiniones, documentos, entrevistas e incluso estudios ya realizados.

Segundo análisis de resultados con respecto a los stakeholders, con el fin de cuantificar sus expectativas; con la ayuda de una serie de técnicas para lograr un análisis horizontal donde se identifican y descomponen las amenazas así como sus expectativas buscando determinar factores de riesgo Reputacional.

Tercero y quizás el más importante: una medición de la gestión proactiva del riesgo Reputacional, donde anticipan las amenazas que afecten la estrategia y las oportunidades de mejora, se da el análisis de las tendencias que pueden derivar en amenazas u oportunidades, y por ultimo ver la acción y conducta corporativa sobre el riesgo Reputacional que aseguren la ejecución exitosa de la estrategia.

Otro aspecto que probablemente, no compete directamente a la auditoria pero si deben de estar monitoreando de forma periódica son los KRRI: identificadores claves de riesgo Reputacional. Que en razón de tiempo son los elementos que nos ayudan a mejorar la gestión del riesgo y evaluación por parte de las auditorías.

Conclusiones:

Como auditores tenemos la labor primordial de hacer evaluaciones constantes de riesgos en toda su gama de conceptos que van a ir surgiendo a lo largo del tiempo caso ejemplo es el riesgo Reputacional, debemos valorar que las organizaciones puedan responder de forma adecuada a las amenazas que surgen en el día a día, esto como bien dice la teoría bajo una gestión continua del riesgo que esté integrada a un sistema específico de valoración con apoyo de un marco normatico.