Para que la gerencia de una organización pueda garantizar ante los propietarios y ante el público en general la supervivencia de la misma frente a la materialización de eventos inesperados, debe desarrollar y dar cabida en su organigrama a un equipo de personas dedicadas al análisis, evaluación y administración de riesgos.
El término riesgo ha sido definido de múltiples maneras, pero se acepta generalmente la siguiente definición simple: Riesgo es la posibilidad de materialización de eventos indeseados, que afecten de manera negativa los recursos de una Organización, los servicios que presta, los productos que ofrece, o su capacidad de producir utilidades.
Existe abundante literatura disponible acerca de las diferentes clasificaciones que se pueden dar a los tipos de riesgos. Ello si bien es relevante desde el punto de vista académico, no constituye el objeto de la presente nota. Lo que resulta importante es que la empresa desarrolle o adapte la metodología que más le convenga, para la identificación, medición y posterior administración de sus riesgos particulares.
Una vez definidos cuáles son los riesgos que con mayor peso se ciernen sobre la empresa extendida; o sea, sobre la organización, los proveedores, los clientes y demás personas o empresas con las cuales se interactúa, deberá procederse a la elaboración de las estrategias de administración de dichos riesgos, definidos anteriormente como los más importantes. La ejecución de dicha estrategia global corresponderá a cada una de las personas que hacen parte de la organización; pero el monitoreo de sus resultados será responsabilidad del equipo de Gestión de Riesgos.
Si una organización quiere mejorar sus posibilidades de superar los efectos de una gran catástrofe, bien sea propia o de uno de los componentes de su cadena de negocios (Proveedores – maquiladores – distribuidores – clientes finales) deberá diseñar planes verdaderamente eficientes de recuperación de la capacidad de operar, luego de ser afectada por alguno de los riesgos analizados con anticipación.
El equipo de Gestión de Riesgos de una organización deberá entonces liderar el proceso de identificación, medida y administración de los riesgos de su actividad productiva, con miras a preparar planes que permitan su manejo en forma integral.
Una estrategia de administración de riesgos completa, debe considerar los siguientes cinco grupos de acciones estratégicas:
1. Acciones de Prevención: están pensadas para reducir la posibilidad de ocurrencia de un evento. Normalmente, las acciones de prevención buscan la clara definición de roles y funciones, mediante la capacitación, el mantenimiento preventivo, la fijación de políticas claras y el adecuado entrenamiento del personal para evitar la materialización de los eventos indeseados.
2. Acciones de Protección: su objetivo es el de reducir la severidad de las consecuencias de la materialización de un riesgo. En esta categoría se ubican todas las barreras físicas o lógicas que puedan interponerse entre un riesgo y los recursos de una organización. Muros cortafuego, passwords, llaves, vigilantes, son ejemplos de medidas de protección.
3. Acciones de Control: buscan la detección temprana de la materialización de riesgos. Mientras más rápido se conozca de su ocurrencia, mejor será la eficiencia de las medidas tomadas para contrarrestar sus efectos. Como ejemplo podemos citar las auditorías, los inventarios sorpresivos, la operación de los circuitos de TV, alarmas, etc.
4. Acciones de Atención: una vez ocurrido un hecho, la organización deberá estar preparada para actuar en la dirección correcta. Se requiere el diseño de Planes de contingencia y planes de Continuidad de los negocios. Los planes de contingencia buscan contener los efectos inmediatos de la materialización de un hecho dañino. Este tipo de planes debe concebirse como una primera línea de acción que busque cesar dichos efectos. Los planes de evacuación, la coordinación con las diferentes autoridades y organismos de socorro; los procesos ordenados de desvinculación de empleados sorprendidos en actos fraudulentos, las acciones de bloqueo de cuentas y passwords, ayudan a evitar la extensión del efecto nocivo de estos sucesos sobre cada uno de los recursos de la organización. Como primera línea de defensa, los planes de contingencia deben ser permanentemente revisados y actualizados, para garantizar su eficiencia.
Los Planes de Continuidad del Negocio, tienen una estructura y función diferente.
5. Acciones de transferencia: Típicamente se reconocen dos tipos de acciones estratégicas de transferencia de riesgos:
a) Transferencia del riesgo: la eliminación de una actividad que genera riesgos, eventualmente es posible sin que ello afecte la rentabilidad o el objeto social mismo de una organización. No obstante, debe considerarse que, en la mayoría de los casos, el asumir riesgos es precisamente la actividad que genera ingresos a las empresas. El progreso económico ha sido definido como la habilidad que tienen las organizaciones para asumir los riesgos inherentes a su actividad, en su justa medida. De ahí que en la práctica resulte imposible eliminar algunos riesgos, sin que ello signifique a su vez una reducción en la rentabilidad de la organización, o un costo extra demasiado alto.
Por ejemplo, al contratar a una empresa transportadora de valores para llevar los dineros al Banco, estamos transfiriendo a ésta el riesgo de atraco. No obstante, el costo de este servicio resulta imposible de pagar para algunas empresas, por lo que deben correr el riesgo de llevar ellas mismas el efectivo a las entidades financieras.
b) Transferencia del efecto económico de la materialización de un riesgo: esta es la opción de administración de riesgos más utilizada en el mundo, y particularmente en nuestro medio. Consiste en la contratación de pólizas de seguro. En efecto, al adquirir un seguro, no estamos transfiriendo ningún riesgo a la Aseguradora, sino protegiendo nuestra organización contra los efectos económicos de su materialización. Las compañías de seguros NO asumen el riesgo de incendio de nuestra fábrica, cuando nos otorgan una póliza. Tan solo están comprometiéndose a indemnizar la parte asegurada del mismo, con sujeción a reglas y condiciones de amparo y cobertura muy claras.
La responsabilidad de administrar el riesgo de incendio sigue siendo nuestra: es por ello que la Aseguradora exige el cumplimiento de ciertas condiciones, como el orden y aseo, las brigadas de bomberos, los extintores, hidrantes, etc. Aun en el caso de contar con el mejor seguro que el mercado pueda ofrecer, esta forma de transferencia de riesgo es bastante limitada: no existe la posibilidad de asegurarse contra todos los riesgos que pueden afectar una organización; al tiempo que la indemnización pagada en ningún caso cubre la totalidad de la pérdida financiera sufrida. Esto, sin contar que las afectaciones a los recursos Humano, Información, Imagen Corporativa y Medio Ambiente, no son asegurables sino en su aspecto monetario.
En síntesis, la administración Integral de riesgos implica mucho más que la contratación de pólizas de seguro. Las empresas que se piensan para durar muchos años deben considerar una estrategia completa como la descrita, adoptando un modelo que les permita tener una visión global de sus riesgos, los potenciales efectos que su materialización tendría sobre los diferentes recursos de la empresa extendida y la mejor manera de administrarlos. Existen varios modelos de Gestión Integral de Riesgos, por lo que cada organización deberá adoptar aquel que considere más adecuado a su realidad. Lo importante es que sirva para diseñar un plan de administración, de tal forma que los propietarios de la empresa, los proveedores y los clientes, así como eventualmente los organismos privados y públicos de control puedan convencerse que los directivos han obrado de manera prudente en el manejo de los activos sociales entregados para su manejo y explotación.
Hasta pronto,
C.P. Alejandro H. Morales T.
ASR Ajustadores de Seguros Ltda
Medellín – Colombia
Del Autor: Alejandro Morales es Contador Público de la Universidad de Medellín. Especialista en Análisis de Riesgos Administrativos y de Fraude.