holística Gestión de Medidas organizacionales para crear una visión estratégica del riesgo Un informe de The Economist Intelligence Unit.

Transcripción

1 Un informe de The. Gestión de riesgo holística Medidas organizacionales para crear una visión estratégica del riesgo Patrocinado por:

2 Gestión holística del riesgo Medidas organizacionales para crear una visión estratégica del riesgo The Contenidos Acerca de este informe 2 Introducción 3 Colaboración entre funciones 4 Planificación estratégica 6 Conclusión 8 The Limited

3 The Gestión holística del riesgo Medidas organizacionales para crear una visión estratégica del riesgo Acerca de este informe Holistic risk management, escrito por The y patrocinado por SAP, investiga las medidas organizacionales que deben tomar las compañías para hacer frente a la totalidad de los riesgos que enfrentan. El informe se basa en entrevistas con los siguientes ejecutivos y expertos. Patrick Abdullah, vicepresidente de Gestión de Riesgos Empresariales, Astro Overseas Limited Mohammad Azam, vicepresidente de Auditoría Corporativa Interna, Cumplimiento y Ética, UPS Michael Kearney, socio gerente, Servicios de Riesgos Estratégicos, Deloitte Mark Newlands, jefe de Gestión de Riesgos, Anglo American Brian Schwartz, líder de rendimiento de gobernanza, riesgo y cumplimiento para EE. UU., PwC The quiere agradecer a estos entrevistados por su tiempo e información estratégica. El informe fue escrito por Pamela Black y editado por Pete Swabey. Carol Fox, director de Estrategia y Gestión de Riesgos, The Risk Management Society 2 The Limited 2015

4 Gestión holística del riesgo Medidas organizacionales para crear una visión estratégica del riesgo The Introducción Las empresas siempre han estado expuestas al riesgo, y la obligación de gestionarlo no es algo nuevo. Sin embargo, existe una preocupación creciente entre los líderes empresariales expuestos a riesgos estratégicos que amenazan la existencia misma de la compañía. Todas las compañías de todas las industrias de todos los países están en riesgo de ser desestabilizadas o suplantadas como Blockbuster o BlackBerry, dice Michael Kearney, socio gerente nacional de Servicios de Riesgos Estratégicos en Deloitte. Aunque puede ser difícil involucrar a los altos ejecutivos en conversaciones sobre los riesgos individuales, como la planificación de la sucesión, no hay un director ejecutivo en el mundo que no quiera hablar de interrupción. Tienen razón al estar preocupados. De acuerdo con el Consejo Ejecutivo Corporativo (CEB), una compañía de asesoría basada en sus miembros, el 86% de los riesgos más perjudiciales para el valor del accionista en la última década han sido los riesgos estratégicos, como las incursiones competitivas y la caída de la demanda de productos fundamentales. La mayoría de las compañías no están equipadas para manejar estos riesgos estratégicos, según informa CEB. Es posible que no comprendan cómo identificar, auditar y abordar estos riesgos, y la responsabilidad por los riesgos individuales tales como los legales, de auditoría, de seguridad y de protección cibernéticas se divide entre divisiones separadas. Incluso las diferentes funciones dentro de los departamentos de gestión de riesgos tienen sus propias tareas separadas. Como resultado, hay confusión en cuanto a qué departamento es responsable de qué riesgo y los altos directivos se ven obligados a leer numerosos informes, a menudo contradictorios, sin una clara coherencia o priorización. Esto ralentiza el proceso de toma de decisiones estratégicas y crea un lastre para el crecimiento, de acuerdo con el CEB. Una encuesta realizada en el 2014 mostró que como resultado de esto el 91% de las organizaciones planea reorganizar su enfoque de gestión de riesgos. 1 Hay evidencia de que un enfoque integral y estratégico para la gestión del riesgo vale la pena. La encuesta Risk in Review, realizada en el 2015 por PwC, muestra que durante los últimos tres años el 55% de las compañías consideradas líderes en la gestión de riesgos registraba mayores márgenes de ganancia y que el 41% logró un margen de ganancia anual de más del 10%. Cuando las compañías se centran en esto, tienen una ventaja, dice Brian Schwartz, quien lidera las prácticas de gobernanza, riesgo y cumplimiento de PwC para EE. UU.. Hay un fuerte vínculo con la alineación de la estrategia y la gestión de riesgo con la ejecución del manejo. 2 Pero lograr un enfoque integral y estratégico de la gestión del riesgo requiere una serie de medidas organizacionales. Como se explica en este informe, el objetivo de estas medidas es mejorar la comunicación en toda la organización y asociar los controles de gestión de riesgo con los objetivos estratégicos de la compañía. The Limited executiveboard.com/exbd/ executive-guidance/2014/ q3/index.page? 2 en/risk-assurance-services/ risk-in-review.jhtml 3

5 The Gestión holística del riesgo Medidas organizacionales para crear una visión estratégica del riesgo 1 Colaboración entre funciones Uno de los primeros pasos hacia el logro de una visión holística del riesgo es conseguir que los equipos de auditoría interna y cumplimiento dentro de los departamentos individuales y los gerentes de esos departamentos colaboren eficazmente con la función de gestión de riesgos. Esto significa abrir las líneas de comunicación entre departamentos que de otra manera podrían no interactuar. En la compañía de logística UPS, por ejemplo, Mohammad Azam, vicepresidente de Auditoría Interna Corporativa, Cumplimiento y Ética, se reúne regularmente con un consejo de riesgo empresarial integrado por 25 representantes principales de cada función importante en la corporación, incluyendo tesorería, seguros y RR. HH., para discutir los riesgos y asignar los expertos adecuados para trabajar en las soluciones. Esto reúne a grupos dispares que de otro modo no colaborarían. En este momento, los grupos no tienen que hablar entre sí, excepto a través de un foro de riesgo, dice el Sr. Azam. El consejo no es un sustituto de los canales existentes y formales de comunicación, pero se apoya en como otro canal más abierto. Cuántas veces las personas de diferentes silos hablan del riesgo a través de diferentes geografías y funciones?, pregunta el Sr. Azam. Este proceso es una manera muy saludable de derribar las barreras de quién puede hablar con quién. Esto hace que el proceso sea mucho más transparente. Esta transparencia ayuda a evitar que los riesgos pasen inadvertidos. Según el Sr. Azam, el concepto de un programa de riesgo en toda la empresa cobró popularidad en UPS hace unos ocho o nueve años debido a los temores sobre un brote de gripe aviar. Como compañía que maneja con su propia aerolínea, UPS tiene que preocuparse por este tipo de epidemias, así como por el terrorismo. Las líneas de comunicación que la compañía estableció como respuesta capturan esos riesgos que no caen dentro del ámbito de una sola persona o función, dice el Sr. Azam. Mark Newlands, jefe de Gestión de Riesgos para Anglo American, compañía minera multinacional con sede en el Reino Unido, también ha logrado entender mejor el perfil de riesgo de la organización al mejorar la comunicación. Cuando el Sr. Newlands se unió a la compañía hace ocho años, una de las primeras cosas que hizo fue consolidar los canales de comunicación relacionados con el riesgo que pasaban por él. En ese momento cada división de commodities tenía sus propios gerentes de auditoría, que podían influir sobre qué riesgos eran informados por los empleados de primera línea. Los trabajadores de la mina de platino se reportaban a sus gerentes de auditoría interna, por ejemplo, al igual que los trabajadores del hierro. Ahora me notifican directamente a mí y no a sus gerentes en el lugar, dice el Sr. Newlands. Él, a su 4 The Limited 2015

6 Gestión holística del riesgo Medidas organizacionales para crear una visión estratégica del riesgo The vez, notifica a un comité de auditoría de consejeros independientes, de directores no ejecutivos, además de informar por separado al CFO. Según él, esta estructura preserva la independencia de todos. Aunque todavía existen gerentes de auditoría interna en cada mina, ya no pueden filtrar la información que viene de abajo. Como explica el Sr. Newlands: No hay una línea jerárquica para ese equipo de gerencia. Quienes no estuvieron de acuerdo con estas nuevas políticas se fueron, añade. Cuando llegó el Sr. Newlands, Anglo American también carecía de otras medidas de protección de riesgo, como una forma de lidiar con el soborno. En minería, trabajamos en algunas áreas que tienen un alto riesgo desde el punto de vista de la corrupción, dice. Nuestro competidor, BHP, recibió una multa de USD25 millones por pagar por entretenimiento en los juegos de Pekín. 3 Por lo tanto, el Sr. Newlands ha instituido políticas para garantizar que la compañía conozca el nivel de entretenimiento que se está proporcionando y que las personas que están siendo entretenidas no estén actualmente en negociaciones de contratos con Anglo American. Fomentar que grupos dispares trabajen juntos y participen en un programa de gestión de riesgos en toda la empresa requiere del patrocinio del directorio e incentivos monetarios. En Astro Overseas Limited, una compañía de medios de comunicación con sede en Malasia, el mayor desafío ha sido la necesidad de convencer a los empleados especialmente a los altos ejecutivos y al personal clave de diferentes países de que se tomen en serio la gestión de riesgos, dice Patrick Abdullah, vicepresidente de Gestión de Riesgo Empresarial. El Sr. Abdullah controla la gestión del riesgo tanto en la compañía matriz Astro Overseas como en numerosas compañías que ha adquirido en la región. En muchas de las adquisiciones, los ejecutivos de alto nivel son guiados principalmente por los objetivos financieros y operativos, por lo que la gestión de riesgos pasa a segundo plano, dice. Como resultado, tienden a asumir riesgos para obtener beneficios a corto plazo, lo que puede tener un impacto adverso sobre los objetivos y la sostenibilidad a largo plazo. Para controlar este problema, el directorio primero vinculó un pequeño porcentaje de la remuneración a la responsabilidad por la gestión de riesgos. Ahora, dice el Sr. Abdullah, los directores tienen previsto introducir planes de incentivos y recompensas para las responsabilidades de gestión de riesgos a largo plazo. 3 com/business/2015/ may/21/bhp-billitonfined-us25m-for-gift-tripsto-beijing-olympics-forforeign-officials The Limited

7 The Gestión holística del riesgo Medidas organizacionales para crear una visión estratégica del riesgo 2 Planificación estratégica 4 org/docs/default-source/ sf/02_2012_frigo_laessoe_ reduced-pdf.pdf?sfvrsn=0 Más allá de la comunicación y la colaboración multifuncional, otro componente clave de la gestión integral de riesgos es la capacidad de comprender los riesgos en el contexto de la estrategia de la organización. Entender esto permite a los líderes empresariales tomar decisiones de manera más efectiva que es, después de todo, el objetivo final de la gestión de riesgos. Al final del día, no se trata de profesionales de riesgo, sino de que los equipos ejecutivos se aseguren de comprender los riesgos, dice el Sr. Schwartz, de PwC. La incapacidad de conectar un riesgo determinado a la estrategia de una compañía hace que sea más difícil tomar decisiones estratégicas, según CEB, lo que a su vez ralentiza su capacidad para responder a los cambios del mercado. También puede hacer a las compañías innecesariamente aversas al riesgo. Por ejemplo, una evaluación de los riesgos en toda la empresa por el fabricante danés de juguetes Lego reveló que estaba perdiendo dinero por ser demasiado conservador. Según Carol Fox, director de Estrategia y Gestión y Estrategia en RIMS, la compañía tomó la decisión de ir más allá de la evasión del riesgo y crear nuevas oportunidades, productos y beneficios luego esta evaluación. 4 Llegar a entenderesto comienza con la evaluación de riesgos. La mayoría de las funciones de gestión de riesgos encuestan periódicamente a los jefes de departamento para identificar los riesgos y luego priorizar los 10 o 20 riesgos más apremiantes. Estos se determinan principalmente por dos factores: el impacto potencial de cada riesgo en el rendimiento de la empresa y la probabilidad de su ocurrencia sobre la base de controles actualmente vigentes. Un factor más nuevo, de acuerdo con el Sr. Schwartz, de PwC, es la velocidad o la rapidez con la que se sienten los impactos de un riesgo. Por supuesto, hay muchos riesgos más allá del rangosuperior. Algunas empresas crean mapas de integración para ver cómo todos sus riesgos están relacionados entre sí, cómo un riesgo con baja calificación podría afectar a uno con una calificación más alta o el efecto en cadena de un riesgo sobre los otros. Cada riesgo debe ser identificado, priorizado, perfilado, mitigado y monitoreado. En Anglo American, el Sr. Newlands lleva su plan de riesgo estratégico al comité de auditoría cada año. Los ítems de alto riesgo son auditados anualmente, mientras que los ítems de menor impacto son auditados cada cinco años. Si a algo se le da una mala lectura, regresamos y lo resolvemos, dice. Nuestro proceso requiere que los gerentes locales estén de acuerdo con lo que hemos descubierto y cómo solucionarlo en las fechas acordadas. 6 The Limited 2015

8 Gestión holística del riesgo Medidas organizacionales para crear una visión estratégica del riesgo The Asignar responsabilidad por riesgo y asegurar que los titulares de los riesgos lleven a cabo sus deberes es parte crítica del proceso. Mientras el equipo de gestión de riesgos trabaja proactivamente con los diversos negocios para identificar los riesgos y los planes de mitigación con los titulares de riesgos para su implementación, nuestra auditoría interna pondrá a prueba los controles existentes para asegurar su efectividad, dice Abdullah. El equipo de auditoría hará recomendaciones que se comunican a través de informes a las funciones de riesgo y altos directivos y trabaja con los titulares de los riesgos para determinar el mejor método para implementarlas. Para que la gestión del riesgo esté vinculada a la estrategia de la compañía, los riesgos deben comprenderse en relación con los objetivos que persiguen los departamentos. En Anglo American, las evaluaciones de riesgos se realizaban a través de una simple lista de verificación de riesgos, sin discutir el objetivo particular de una unidad determinada. La misma lista de verificación se utilizaba en todas las divisiones geográficas, según el Sr. Newlands. Ahora, el equipo de riesgo trabaja con los gerentes de las minas para crear un plan de negocios y priorizar sus metas para lograr ciertos objetivos de producción y seguridad en un plazo determinado. Cuando cambiamos el sistema, hablamos con los gerentes de las minas y dijimos que el punto de partida era evaluar los riesgos para alcanzar los objetivos del plan de negocio, dice. Ya se trate de la alta dirección o del operador de la mina el punto de partida es el objetivo, señala el Sr. Newlands. Podría ser financiero o no, podría ser para producir 40 millones de toneladas de hierro este año, entregar una nueva mina a finales de 2018 o implementar un nuevo sistema de TI. El punto de partida es: qué estamos tratando de lograr? Por ejemplo, si el precio del hierro cae significativamente, un objetivo estratégico puede ser reducir costos reduciendo el personal. Pero si usted reduce el 10% de su personal, tiene que preguntarse: qué podría impedir que lo logre para esa fecha?, pregunta el Sr. Newlands. Cuáles son los riesgos para el negocio de alcanzar ese objetivo a largo plazo? Si lo lograra, podría responder a un cambio repentino en el mercado en una dirección positiva? Si va a hacer que una auditoría interna le reporte valor real, tendrá que analizar los riesgos y los controles reales, agrega. Para hacer eso, usted necesita una visión organizacional. Según RIMS, el mayor desafío que enfrentan los gerentes de riesgo hoy está cambiando el enfoque del riesgo de la organización de una visión hacia atrás a una evaluación actual e incluso predictiva del riesgo. Esto puede ser un objetivo difícil de alcanzar. El Sr. Azam cree que UPS está por delante de sus competidores en términos de una visión holística del riesgo, pero todavía no podemos prever qué [nuevos] riesgos aparecerán en nuestro camino dentro de seis meses. La necesidad de esta visión predictiva solo aumentará a medida que crezca el riesgo de interrupción, dice el Sr. Azam. Por ejemplo, Uber, la aplicación popular para reservar taxis, está analizando la posibilidad de lanzar servicios de entrega. Todos están tratando de ingresar al negocio de las entregas, dice. No estoy seguro de que lo hayan logrado, pero tenemos que asegurarnos de llevar la delantera. The Limited

9 The Gestión holística del riesgo Medidas organizacionales para crear una visión estratégica del riesgo Conclusión El proceso de pasar de una gestión del riesgo fragmentaria y aislada a un enfoque más holístico es una travesía que será diferente para cada organización. Tal como explica el Sr. Azam, de UPS: Toda la travesía es un proceso evolutivo y adoptará un curso y un cronograma diferentes dependiendo de la naturaleza del negocio, la estructura de la organización y muy importante la cultura de la compañía. Pero hay algunas características comunes que definen el éxito, sostiene el Sr. Azam. Estas son: Identificación proactiva y visibilidad adecuada de los riesgos Asignación adecuada de titularidad y monitoreo efectivo de los esfuerzos de mitigación del riesgo Supervisión de los riesgos clave y los esfuerzos de rectificación por parte de la alta gerencia y la junta directiva Procesos estándares de medición y terminología que se implementan en toda la organización. Para el Sr. Newlands, de Anglo American, la clave del éxito es garantizar que las prácticas de la gestión del riesgo sean parte de la forma de conducir el negocio y no un complemento o actividad separada. Eso va a requerir la aceptación de la alta gerencia y una demostración a la gerencia de línea de los beneficios que pueden esperar, agrega. De acuerdo con CEB, involucrar a toda la organización en la gestión de riesgos, no solo a los ejecutivos de más alto rango, es algo que la mayoría de las compañías podría hacer mejor: La mayoría de las organizaciones debe preocuparse más por sus ejecutivos de medio rango y los empleados de primera línea que por sus altos dirigentes, escribe CEB. 5 Articular los beneficios de la gestión de riesgos a los empleados en todos los niveles de la organización, no solo el directorio, es por lo tanto crucial si la organización desea lograr una gestión verdaderamente integral del riesgo. 5 executiveboard.com/exbd/ executive-guidance/2014/ q3/index.page? 8 The Limited 2015

10 Si bien se han realizado todos los esfuerzos por verificar la veracidad de esta información, The Ltd. no acepta responsabilidad alguna por ninguna persona en este informe ni por ninguna información, opinión o conclusión incluidas en este informe.

11 LONDRES 20 Cabot Square Londres E14 4QW Reino Unido Tel: (44.20) Fax: (44.20) Correo electrónico: NUEVA YORK 750 Third Avenue 5th Floor Nueva York, NY Estados Unidos Tel: (1.212) Fax: (1.212) /2 Correo electrónico: HONG KONG 1301 Cityplaza Four 12 Taikoo Wan Road Taikoo Shing Hong Kong Tel: (852) Fax: (852) Correo electrónico: GINEBRA Rue de l Athénée Ginebra Suiza Tel: (41) Fax: (41) Correo electrónico: geneva@eiu.com