Gestión de riesgos empresariales: un enfoque global en la normalización

Gestión de riesgos empresariales: un enfoque global en la normalización

A medida que las organizaciones se interconectan cada vez más, sus líderes reconocen la importancia de incorporar la gestión del riesgo empresarial (ERM) en sus esfuerzos de planificación estratégica y mejora de la calidad. Un examen detallado de los recientes eventos de riesgo, así como las disposiciones de la norma ISO 9001: 2015 y la Circular A-123 de la Oficina de Administración y Presupuesto de EE. UU. Resaltan las fuerzas que impulsan la adopción generalizada de las prácticas de ERM en organizaciones privadas y públicas.

INTRODUCCIÓN

La gestión de riesgos empresariales (ERM) -el proceso de planificación, liderazgo y supervisión de las actividades de una organización para minimizar los efectos del riesgo- ha sido objeto de creciente atención en los sectores público y privado en todo el mundo. La ISO 9001 de la Organización Internacional de Normalización especifica los requisitos para un sistema de gestión de la calidad. La modificación más reciente de la norma, que se hizo en 2015, requiere un enfoque basado en el riesgo y algún tipo de evaluación del riesgo en un plazo de 3 años. Con más de un millón de organizaciones públicas y privadas de todo el mundo recibiendo la certificación ISO 9001, este cambio tendrá un impacto sustancial en la concienciación del riesgo y la preparación para la evaluación del riesgo. En julio de 2016, la Oficina de Administración y Presupuesto 123, que define las responsabilidades de gestión de los controles internos en las agencias federales, exigir que todas las agencias federales, a partir de 2017, "sigan creando capacidades de identificación de riesgos". El modelo que se utiliza para construir estas capacidades se basa en la GAO ) Normas para el Control Interno. También conocida como Libro Verde, esta referencia es consistente con los procedimientos establecidos por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), la norma para la evaluación de riesgos utilizada por el sector privado en los Estados Unidos. COSO también es consistente con ISO 31000, el marco internacional de gestión de riesgos. Estas actualizaciones señalan un movimiento internacional para enfatizar la gestión de riesgos. Las organizaciones del sector privado están migrando desde el énfasis en el riesgo financiero y de seguros hasta el riesgo operacional, cibernético y de cadena de suministro. Desde el punto de vista gubernamental, la ERM se considera ahora parte de la nueva gestión pública, que la Organización para la Cooperación y el Desarrollo Económico ha adoptado y está promoviendo entre los gobiernos de todo el mundo (Lapsley, 2009). Si el patrón de adopción del MTC llega a aproximarse al de la difusión de los programas de mejoramiento de la calidad en los años ochenta, el MTC podría convertirse en un estándar por el cual se evalúan las buenas prácticas de gestión. Varias declaraciones sobre la adopción del MRE atestiguan su valor como práctica de gestión . De acuerdo con el Manual de Administración de Riesgos Empresariales para el Gobierno Federal de los Estados Unidos, una guía emitida por la OMB para ayudar a implementar la Circular A-123, "Enterprise Risk Management es un enfoque efectivo para abordar el espectro completo de los riesgos significativos de la organización. considerando la combinación de riesgos como una cartera interrelacionada, en lugar de abordar los riesgos sólo dentro de los silos "(Oficina de Gestión y Presupuesto, 2016b, p.6). En su Guía de Mejores Prácticas, Risk Management, Comcover, el fondo de seguros autogestionado del Gobierno australiano, formula una declaración similar: "La gestión de riesgos ha evolucionado hasta convertirse en una disciplina de gestión reconocida y ahora se considera una herramienta clave de gobierno y gestión dentro del sector público. y el sector privado "(Australian Government Comcover, 2008, p.2) .En 2011, el American Productivity and Quality Center encuestó 63 programas de ERM y otorgó su Premio de Mejor Práctica a los programas de ERM de la Universidad de California, Caterpillar, Intuit, Marathon Oil Company y Novo Nordisk A / S (Universidad de California, 2012). En 2017, los Estados Unidos Baldrige Performance Excellence Se revisó el marco para incorporar dos cambios importantes: uno se ocupó de la seguridad cibernética; la otra, la gestión de riesgos empresariales. En lo que respecta al MTC, la categoría 2 del marco requiere ahora una consideración estratégica de los elementos de gestión de los riesgos estratégicos, mientras que la categoría 6 sugiere que las operaciones organizacionales consideren los riesgos asociados con los productos y procesos, incluida la gestión de la cadena de suministro (NIST, 2017). mejores prácticas, ERM es parte de lo que algunos llaman la sociedad de auditoría (o aseguramiento), una tendencia hacia la estandarización y el control de los sistemas de gestión. Algunos sostienen que las prácticas de gestión pueden y deben ser estandarizadas, lo que les permitiría ser auditadas por terceros (Power, 2007, 2013). Las normas ISO, en particular la ISO 9001, son un ejemplo de un marco de auditoría de terceros que permite a los reguladores y las partes interesadas evaluar los sistemas de gestión de una organización o el cumplimiento de las normas reguladoras.

DE LA DEFINICIÓN A LA EVALUACIÓN DEL RIESGO Definido comúnmente como la probabilidad de pérdida o daño, el riesgo puede expresarse de varias maneras, pero sus implicaciones siguen siendo las mismas. El Manual de Riesgos lo define como "La probabilidad de un resultado no deseado. En los argumentos económicos puede significar el resultado no deseado expresado en términos monetarios "(Chicken, 1996, p. Xv). Según otra definición, el riesgo es "Incertidumbre sobre el logro de un objetivo de negocio. El riesgo también puede definirse como una desviación de un objetivo, que puede ser positivo o negativo "(Hutchins, 2015a, p.209). La humanidad ha enfrentado riesgos desde el principio de los tiempos. Como individuos, nos hemos acostumbrado a tomar decisiones basadas en el nivel de riesgo percibido. A menudo, sin embargo, estas decisiones se toman sin análisis. Aunque las personas rara vez evalúan los costos económicos de una conducta de riesgo, las organizaciones no pueden permitirse hacerlo. Por lo tanto, la realización de un análisis metódico es una buena forma de evaluar los riesgos que pueden afectar la capacidad de una organización para cumplir sus objetivos estratégicos y determinar acciones que pueden reducir o mitigar las consecuencias de un evento de riesgo -la ocurrencia o cambio en un conjunto particular de circunstancias que suelen tener consecuencias negativas "(Hutchins, 2015b, p.324). ERM ofrece un enfoque metodológico tal, que atraviesa los silos organizacionales para evaluar de forma integral el riesgo de toda la organización.2.1 | Fuerzas que plantean preocupaciones sobre el riesgoEn 2016, la Universidad Estatal de Carolina del Norte publicó los resultados de su séptima encuesta ERM. El estudio encontró que el 57% de las 441 organizaciones que completaron la encuesta creen que el volumen y la complejidad de los riesgos han cambiado "ampliamente" o "principalmente" en los últimos 5 años. La mayoría de los encuestados, el 63%, también admitió haber sido sorprendido por algún tipo de sorpresa operacional en ese momento. Además, el 70% de los encuestados indicó que su consejo de administración había pedido un aumento de la participación de los altos ejecutivos en la supervisión del riesgo y que el 66% de los encuestados experimentó una mayor presión de parte de terceros para proporcionar más información sobre Una encuesta de 735 ejecutivos y miembros de la junta directiva de múltiples sectores industriales en todo el mundo, también de la Universidad Estatal de Carolina del Norte (2017), identificó las 10 preocupaciones más apremiantes asociadas con el riesgo:

...