¿Qué es un riesgo? (desde el punto de vista empresarial). Se considera riesgo el evento que, en caso de ocurrir puede afectar a:
- Valor de mercado de la organización
- Capacidad para cumplir los objetivos
- Capacidad de poner en marcha las estrategias de negocio
- Forma de operar
- Reputación de la organización y del negocio
Desde un punto de vista conceptual, la gestión de riesgos en las compañías se enmarca dentro del programa global de GRC (Buen Gobierno, Riesgos y Controles) que se basa fundamentalmente en las recomendaciones que COSO (The Committee of Sponsoring Organizations of the Treadway Commission, en Estados Unidos) realiza sobre la materia.
En España, las recomendaciones (notar que se trata de recomendaciones y, por lo tanto, no es un aspecto de obligado cumplimiento) que la CNMV en esta materia ha adoptado establecen básicamente que:
- El Comité de auditoria deberá supervisar la eficacia del control interno, los sistemas de gestión de riesgos y el proceso de elaboración y presentación de información financiera.
- En el informe anual de Gobierno Corporativo (IAGC) se deberá incluir una descripción de las características de los sistemas de control y gestión de riesgos
- Los sistemas de gestión de riesgos deben contemplar, al menos:
* Tipos de riesgo: Operativos, tecnológicos, de IT, financieros, legales, reputacionales …
* Probabilidad de materialización y nivel de riesgo “admisible” por la sociedad.
* Medidas para mitigar el impacto de los riesgos.
* Sistemas internos de información y control para gestionar dichos riesgos.
Teniendo en cuenta todo esto, el objetivo fundamental de un sistema de gestión de riesgos (ERM) es minimizar el impacto que potenciales riesgos corporativos puedan ocasionar sobre la cuenta de Resultados y el Valor de la Compañía, manteniendo el control sobre los mismos y posibilitando su mitigación.
¿Cómo podemos ayudar desde Grant Thornton a gestionar los riesgos?
En Grant Thornton, ayudamos a nuestros clientes a definir, crear y poner en marcha el sistema de control de riesgos para identificar, priorizar, evaluar y controlar los riesgos inherentes a la actividad empresarial, equilibrando esfuerzos entre riesgo, control y retorno.
Para ello, hemos definido una metodología estructurada en cinco grandes fases que trata de ayudar a nuestros clientes en este empeño:
1. Entorno de control: Asegurar la correcta implantación de las directrices de control, a través del ambiente interno (cultura con respecto a los riesgos) y el establecimiento de un proceso de fijación de objetivos consecuentes con el nivel de riesgo aceptado – En otras palabras, realizar un diagnóstico y entendimiento de la situación actual respecto al entorno de control y gestión de riesgos.
2. Evaluación de riesgos: Identificar los riesgos (internos y externos) que amenazan la consecución de los objetivos estratégicos y valorar y priorizar la importancia de cada uno de los riesgos (probabilidad e impacto) – Mapa de riesgos (impacto en cuenta de resultados y probabilidad de ocurrencia)
3. Actividades de control: Desarrollar acciones para dar respuesta a cada uno de los riesgos en función de su valoración (acciones de mitigación) y la tolerancia al riesgo y definir y establecer las políticas y procedimientos que aseguren su cumplimiento.
4. Informar y comunicar: Informar a los diferentes miembros de la organización sobre la situación y evolución de los riesgos.
5. Supervisión: Optimizar el esfuerzo y los recursos dedicados a la gestión y control de riesgos a través de la continua monitorización de los programas de mitigación a través de herramientas específicas de monitorización, reporting, gestión centralizada y supervisión del modelo de gestión de riesgos definido.
Ignacio De Sopeña
Business Consulting & Outsourcing en Grant Thornton
