EVALUACIÓN DEL RIESGO ESTRATÉGICO

Transcripción

1 EVALUACIÓN DEL RIESGO ESTRATÉGICO Un primer paso para mejorar la administración del riesgo y el gobierno corporativo Por Mark L. Frigo y Richard J. Anderson** El reciente entorno económico y los sucesos negativos de 2008 y 2009 que impactaron de manera tan importante a muchas organizaciones han puesto un énfasis nuevo o renovado en el riesgo y la administración del riesgo. En particular, los consejos de directores se están centrando en el riesgo y en las prácticas de administración del riesgo de sus organizaciones y cuestionan a la administración sobre cómo identifican, evalúan, monitorean y administran sus riesgos. Los directores de finanzas (CFO, en inglés) y los equipos de administración tienen el reto de responder con una participación activa en iniciativas de evaluación del riesgo y administración del riesgo. Esta tendencia ha sido especialmente evidente en compañías no financieras como demuestra la mayor atención de las agencias calificadoras, como Standard & Poor s, en las actividades de administración de compañías no financieras. Este nuevo foco de atención ha desplegado una variedad de actividades, incluyendo evaluaciones del riesgo, iniciativas de administración del riesgo en las empresas (ERM), o iniciativas de gobierno corporativo, riesgo, y cumplimiento (GRC). Para muchos directores y equipos de administración, esta mayor atención sobre el riesgo es nueva y algo intimidante. De particular interés es la cuestión de dónde comenzar. A dónde debiera dirigirse el valioso tiempo de los directores y la alta administración para generar el máximo beneficio para la organización?

2 Centrarse en el Riesgo Estratégico Con base en nuestras interacciones con directores y altos ejecutivos, creemos que el lugar correcto por el que debiera empezar un consejo de directores es centrarse en la identificación y administración de los riesgos estratégicos aquellos riesgos que tienen más consecuencias en la capacidad de una organización para ejecutar su estrategia, lograr sus objetivos de negocios, y construir y proteger el valor. Este foco estratégico no pretende identificar todos los riesgos a que se enfrenta la organización sino identificar aquellos que sean más importantes para su capacidad de lograr y realizar su estrategia y objetivos de negocios esenciales. Consecuentemente, estos debieran ser los riesgos de más preocupación para la alta administración y directores y los que más ameriten su tiempo y atención. Este foco sobre el riesgo estratégico también reforzará la relación directa y el eslabón crítico que conectan la estrategia, ejecución de la estrategia, y procesos de administración del riesgo de la organización. El punto de arranque es una Evaluación del Riesgo Estratégico planeada para identificar los riesgos estratégicos de una organización y los planes de acción relacionados para manejar esos riesgos. Evaluación del Riesgo Estratégico Una Evaluación del Riesgo Estratégico es un proceso sistemático y continuo para evaluar los riesgos importantes frente a una empresa. Conducir una evaluación inicial es una actividad valiosa para la alta administración y el consejo de directores. El pensamiento actual sobre responsabilidades del gobierno corporativo y del consejo es virtualmente unánime en que una responsabilidad clave del consejo es entender las estrategias y riesgos asociados de una organización y asegurar que las prácticas de la administración de manejo del riesgo son apropiadas. Por ejemplo, Principios Clave Convenidos para Fortalecer el gobierno Corporativo para compañías de EUA que cotizan en Público, publicado por la Asociación Nacional de Directores

3 Corporativos (NACD, en inglés), indica que: Para la mayoría de las compañías, el foco prioritario de la atención y tiempo del consejo será entender y dar guías sobre estrategia y riesgo asociado...y monitorear el desempeño de la alta administración tanto en llevar a cabo la estrategia como en administrar el riesgo. Cómo conducir una Evaluación del Riesgo Estratégico El proceso de Evaluación del Riesgo Estratégico que describimos está diseñado para ajustarse a las necesidades y cultura específicas de una organización. Para ser más útil, un proceso de administración del riesgo y el reporte resultante deben reflejar y soportar la cultura de una empresa de modo que pueda la administración incorporar y hacer suyo el proceso. Si los procesos de evaluación y administración del riesgo no son incorporados ni apropiados por la administración como parte integral de sus procesos de negocios, entonces el proceso de administración del riesgo perderá rápidamente su impacto y no añadirá ni producirá según su rol esperado. Como ayuda para conducir Evaluaciones del Riesgo Estratégico, mostramos por separado herramientas y diagnósticos clave de Evaluación del Riesgo Estratégico en sus puntos apropiados del proceso (Ver Herramientas de Administración del Riesgo Estratégico ). He aquí los siete pasos para conducir una Evaluación del Riesgo Estratégico: 1. Lograr un entendimiento profundo de la estrategia de la organización, 2. Reunir puntos de vista y datos sobre riesgos estratégicos, 3. Preparar un Perfil del Riesgo Estratégico preliminar, 4. Validar y finalizar el Perfil del Riesgo Estratégico, 5. Desarrollar un Plan de Acción de Administración del Riesgo Estratégico,

4 6. Comunicar el Perfil del Riesgo Estratégico y el Plan de Acción de Administración del Riesgo Estratégico, y 7. Implementar el Plan de Administración del Riesgo Estratégico. Estos pasos definen un proceso básico de alto nivel y permiten una buena cantidad de ajuste y personalización en su ejecución para reflejar la madurez y capacidades de la organización. También muestran que la Evaluación del Riesgo Estratégico es un proceso continuo, no solo un evento único. Al reflejar la naturaleza dinámica dl riesgo, los siete pasos constituyen un proceso circular, o cerrado que debiera ser un proceso continuo progresivo dentro de la organización. Figura 1: Proceso de Evaluación del Riesgo Estratégico 1. Entender la Estrategia de la Organización 2. Reunir Datos y Puntos de Vista del Riesgo Estratégico Marco de Referencia de Estrategia Impulsada por Rendimiento 7. Implementar el Plan de Acción de Administración del Riesgo.Actividades de mitigación.monitoreo del riesgo.proceso de actualización.reporte del riesgo Marco de Referencia de Administración del Riesgo Estratégico 3. Preparar Perfil de Riesgo Estratégico Preliminar 4. Validar y Finalizar el Perfil del Riesgo Estratégico 5. Desarrollar Plan de Acción de Administración del Riesgo 6. Comunicar Perfil de de Riesgo Estratégico y Plan de Acción.Directores.Alta administración.dirección de línea.funciones GRC Diagnóstico de Madurez del Riesgo Estratégico

5 Típicamente, la Evaluación del Riesgo Estratégico la desarrolla la administración con participación y validación de los directores. En este proceso es importante vincular la evaluación del riesgo directamente dentro de las estrategias y procesos de ejecución de estrategias de la organización. El formato exacto de la evaluación y el resultante Perfil del Riesgo Estratégico dependen del nivel de madurez de los procesos de administración del riesgo de la administración. Por ejemplo, las organizaciones que están en el desarrollo inicial de procesos de administración del riesgo pueden encontrar útiles para presentación las listas básicas o matrices de riesgos, y organizaciones con procesos más maduros de administración del riesgo pueden encontrar más útiles los perfiles más detallados o cuantitativos. Paso 1: Lograr un entendimiento profundo de la estrategia de la organización El primer paso en el proceso es desarrollar un entendimiento preciso de la estrategia de la organización y sus componentes claves. El foco aquí es identificar los riesgos específicos asociados con la estrategia esencial, así que es importante tener este entendimiento profundo de la estrategia y sus elementos claves. El marco de referencia de Estrategia Impulsada por Rendimientos (RDS) ha sido una herramienta útil para facilitar y dar estructura a este paso. Este marco de referencia proporciona un lente para desconstruir y analizar la estrategia e identificar, clasificar, y vincular sus elementos críticos de acuerdo con los principios y fundamentos del marco de referencia RDS. En pasos posteriores, este proceso permitirá una evaluación más detallada de los riesgos asociados con cada principio. Por ejemplo, uno de los principios de soporte del marco de referencia RDS es Asociarse en forma deliberada (partner deliberately, en inglés) de modo que la evaluación necesita considerar e identificar cualesquiera iniciativas clave en la estrategia de la organización donde se deban realizar asociaciones. Estas iniciativas pueden adoptar muchas formas, incluyendo negocios conjuntos,

6 operaciones en el extranjero, subcontratación, u otras alianzas. Una organización puede tener muchos arreglos de asociación, algunos de los cuales son relativamente de bajo riesgo por ejemplo, manejar la cafetería mientras que otros, como subcontratar la tecnología de la información, pueden presentar un riesgo mucho más alto. En consecuencia, la cuestión clave es qué socios o arreglos de asociación son críticos para la ejecución de la estrategia. Esos son los arreglos que tratamos de identificar. Mucha de la información para este paso puede obtenerse de planes corporativos o de unidades de negocios, resúmenes de estrategia, y materiales de la administración y del consejo. Al final de este paso, el consejo y la administración deberán tener un claro entendimiento de los elementos claves de la estrategia de la organización y de cómo están vinculados dentro del marco de referencia RDS. Figura 2: Marco de referencia de Administración del Riesgo Estratégico Riesgo Inversionista Riesgo Cliente Riesgo de Mercado Riesgo de Innovación Riesgo de Operaciones Riesgo de Marca Reputación Riesgo de Asociación Riesgo Cadena de Valor Riesgo Contratación de Empleados Riesgo Planeación Riesgo Comunicación Activos Genuinos y Capacidades Exclusivas en Riesgo Riesgo de Hechos Emergentes Riesgo de Sostenibilidad Riesgo de Mercados Financieros Riesgo Regulatorio Riesgo de Gobierno Corporativo Información Financiera Riesgo de Valuación Riesgo de Fraude

7 Paso 2: Reunir puntos de vista y datos sobre los riesgos estratégicos En este paso, el objetivo es reunir datos y puntos de vista de la administración y directores sobre los riesgos estratégicos clave asociados con la estrategia esencial del negocio. Hay varias formas de hacer esto, como entrevistas ejecutivas, encuestas, o grupos de control. Aquí debiera considerarse la cultura de la organización. Algunas organizaciones son muy receptivas a las encuestas, pero otras no. Si la administración está geográficamente dispersa, pueden ser difíciles las entrevistas personales, así que son buenas opciones las teleconferencias o las entrevistas por teléfono. Debiera invitarse a participar a los miembros clave de la administración incluyendo directivos de la línea de negocios. Puede ser útil obtener los puntos de vista de algunos miembros del consejo, especialmente del comité de auditoría, y de los auditores internos y externos de la organización. Al compilar datos, una compañía debiera considerar, revisar, y apalancar la información ya disponible dentro de la organización por ejemplo, evaluaciones de riesgo realizadas por grupos internos como el legal, el de cumplimiento, o el de auditoría interna, o evaluaciones realizadas en relación con el cumplimiento de la Ley Sarbanes Oxley (SOX). Debieran revisarse también cuidadosamente las revelaciones de riesgo requeridas para las compañías que cotizan al público. Al conducir estas evaluaciones, hemos encontrado que, más que simplemente hacer una pregunta abierta sobre qué riesgos considera una persona como estratégicos, dar una estructura o áreas de atención puede hacer las entrevistas más productivas. Aquí es útil el marco de referencia de Administración del Riesgo Estratégico (SRM). Los componentes del marco de referencia SRM (figura 2) corresponden a los principios del marco de referencia RDS. Se pueden elaborar discusiones y preguntas sobre áreas de riesgo del marco de referencia SRM relativas a las clasificaciones de estrategia definidas en el Paso 1.

8 Deberá alentarse a los participantes también a identificar los riesgos externos que crean que inhibirían la capacidad de la organización de lograr sus objetivos estratégicos y de negocios. Estos factores externos pueden incluir riesgos sistémicos, áreas de riesgos emergentes, u otros factores externos como la regulación. Los participantes pueden también calificar la posible gravedad o impacto de los riesgos que identifiquen. Figura 3: Ejemplo de Estrategias de Riesgo Diagnostico Maduro 1.CULTURA Y GOBIERNO CORPORATIVO DE LA ADMINISTRACIÓN DEL RIESGO a. Tiene la compañía un programa de administración del riesgo? 1 DÉBIL 2 ADECUADO 3 ENRIQUECIDO 4 PRÁCTICA LÍDER Ningún programa, marco de Programa, marco de referencia, o Programa, marco de referencia, o La política de riesgos aprobada por el referencia, o estructura formal de estructura de ERM de etapa inicial estructura de ERM formales, consejo establece funciones y un programa de ERM en desarrollo. independientes instalados y responsabilidades claras. Coordinación y /o comunicación Coordinación modesta y/o funcionando en forma repetible. Administración del riesgo reconocida entre funciones de riesgo y de comunicación entre funciones de Coordinación regular y/o como parte de la cultura de la control ad hoc/limitada. riesgo y de control. comunicación entre funciones de organización. riesgo, control y planeación. Programa, marco de referencia, o Criterios y definiciones comunes de estructura de ERM formal riesgo se usan en toda la independiente establecida y organización. evaluada/validada por tercero Comunicaciones sobre riesgo y creíble. administración del riesgo a todos Extensa colaboración, coordinación, niveles de la organización. y/o comunicación entre funciones de riesgo, control y planeación. Paso 3. Preparar un Perfil de Riesgo Estratégico preliminar La información obtenida en los primeros dos pasos se usa ahora para preparar un Perfil del Riesgo Estratégico preliminar. El formato y complejidad del perfil del riesgo deberá ajustarse para corresponderse con la madurez de riesgo y capacidades de la organización. Las empresas que

9 apenas empiezan a formalizar sus procesos de administración del riesgo debieran mantener este perfil directo y sencillo. Como esta información se propone suscitar discusión y entendimiento en niveles de ejecutivos y del consejo, puede ser contraproductivo el exceso de datos o de detalles. Muchas organizaciones encuentran útiles las presentaciones gráficas por ejemplo, mapas de temperatura usando colores para transmitir niveles de riesgo. Otras comienzan con listas básicas y luego añaden detalle y complejidad al ir madurando su proceso de riesgos. Las compañías también encuentran útil comunicar el nivel potencial de exposición o impacto asociados con un área o tipo de riesgo. Tradicionalmente, usaban análisis de probabilidad e impacto. Recientemente, sin embargo, ha habido preocupación sobre la exposición a riesgos de alto impacto/baja probabilidad (eventos cisne negro basados en el libro El Cisne Negro: El impacto de lo altamente improbable, de Nassim Nicholas Taleb, 2007), como los riesgos sistémicos que frecuentemente han sido pasados por alto debido a su muy baja probabilidad. Para estos tipos de riesgos, algunas organizaciones están añadiendo a sus medidas tradicionales de riesgo nuevas dimensiones, como la velocidad del riesgo o estar preparada la organización para el riesgo. De nuevo, el nivel de detalle y complejidad del Perfil de Riesgo Estratégico debiera reflejar la madurez de los procesos de administración del riesgo de la organización. Paso 4: Validar y finalizar el Perfil de Riesgo estratégico El Perfil de Riesgo Estratégico preliminar debe validarse por los participantes clave que aseguren que refleja sus puntos de vista de los riesgos estratégicos más críticos. De nuevo, qué participantes se involucran y qué proceso exacto se usa para validar el Perfil de Riesgo Estratégico puede depender de la cultura de la empresa. Algunas organizaciones hacen circular el perfil preliminar para comentarios, otros conducen entrevistas de seguimiento, y otras usan presentaciones y discusiones con grupos pequeños. Este proceso de validación puede incluir a todos los grupos de interés participantes o solo a una porción del grupo. Pueden también circularse formatos posibles

10 de reporte del perfil de riesgo para obtener retroalimentación y puntos de vista sobre los diversos formatos. Sin embargo, recuerde que es críticamente importante para todo el proceso de evaluación que suficientes participantes validen el perfil y los riesgos subrayados. Las compañías pueden entonces usar los datos y comentarios de este paso de validación para hacer cualquiera revisión necesaria al perfil de riesgo y al formato de reporte. Esta validación es también una oportunidad de construir la aceptación de todo el proceso de Evaluación del Riesgo Estratégico y del valor que se logrará con la información reunida durante la evaluación. Figura 4: Ejemplo de Guía de Alineación de Administración del Riesgo Estratégico Categoría Propietario riesgo Medidas de Monitoreo Planes de acción Supervisión Supervisión Riesgo apetito del riesgo Consejo Compañía (1) (2) (3) (4) (5) (6) (7) Reputación Director Ejecutivo Política aprobada Asuntos Aprobados y Consejo Pleno Comité Ejecutivo (CEO) xx/xx/xx corporativos actualizados xx/xx/xx Operacional Director de Medidas Monitoreo y Planes Comité de Administración Operaciones establecidas para reportes establecidos riesgos de Riesgos (COO) todas las divisiones diarios de para cada punto operativas Administración de activación Auditoría Interna de Operaciones

11 (1)Categorías de riesgo estratégico definidas y usadas con base en toda la empresa (2)Miembro de la administración responsable de cada categoría de riesgo (3)Apetito o límite de riesgo aprobado por administración y consejo (4)Monitoreo de actividades desempeñadas para la categoría de riesgo (5)Existencia y estatus de planes de acción para tratar el deterioro en la categoría de riesgo (6)Unidad del consejo responsable de supervisar la administración de la categoría de riesgo (7)Unidad de la compañía responsable de atestiguar o supervisar las actividades de riesgo de la compañía Paso 5: Desarrollar un Plan de Acción de Administración del Riesgo Estratégico Una vez se han identificado los riesgos estratégicos, la alta administración y los directores deberán pronto averiguar sobre los planes para mitigarlos o monitorearlos, así que sugerimos que las compañías desarrollen e implementen planes de acción iniciales como parte esencial de la evaluación y no después como una iniciativa separada. De nuevo, las acciones específicas por llevar a cabo dependerán de la madurez de las prácticas de administración del riesgo de la organización. Con base en nuestro trabajo en el Laboratorio de Administración del Riesgo Estratégico en DePaul University y en diversos estudios, parece que muchas organizaciones están enfocando la administración del riesgo a través de una serie de pasos incrementales en vez de moverse directamente hacia un estado final deseado. En consecuencia, las organizaciones pueden usar el Diagnóstico de Madurez del Riesgo Estratégico (Figura 3) y la Guía de Alineación de Administración

12 del Riesgo Estratégico (Figura 4) como herramientas para facilitar este paso. (Ver cuadro Herramientas... que describe estas herramientas.) Las acciones específicas por tomar dependerán de la exacta situación de la organización. Típicamente, las acciones abarcarán algunas de estas áreas: Actividades y estrategias de mitigación para reducir algunos de los riesgos identificados. Actividades de monitoreo del riesgo para determinar si los riesgos están aumentando o disminuyendo. Esto puede incluir herramientas tales como cuadros de mando integral (balanced scorecards) y mapas de estrategia. Planes para integrar herramientas de administración del riesgo estratégico en los procesos de ejecución de la estrategia tales como el Proceso de Ejecución Kaplan Norton de Seis Etapas (Ver Plan de Acción y Ejecución de la Estrategia ) Un proceso para actualizar periódicamente el Perfil de Riesgo Estratégico. Diversos tipos de actividades de reporte. Procesos dirigidos a la identificación de riesgos nuevos o emergentes. Este paso crea otra oportunidad para incrementar el compartir la información y el riesgo en todas las diversas funciones de riesgo y control. Los planes de acción debieran tratar de las acciones que se necesitan en toda la organización, no solo dentro de una función de riesgo o de control. Este foco a todo lo amplio de la empresa es otro paso para construir una cultura de administración del riesgo en toda la organización.

13 HERRAMIENTAS DE ADMINISTRACIÓN DEL RIESGO ESTRATÉGICO La Administración del Riesgo Estratégico es un proceso para identificar, evaluar, y administrar el riesgo en cualquier parte de la estrategia, con el fin último de proteger y crear valor para el accionista. Es un componente primario y un fundamento de la administración del riesgo de la empresa /ERM); la efectúan consejos de directores, administración, y otro personal; requiere un punto de vista estratégico del riesgo y consideración de cómo afectarán los eventos o escenarios internos y externos la capacidad de la organización de lograr sus objetivos; requiere que una organización defina un nivel tolerable de riesgo o apetito por el riesgo como una guía para la toma de decisiones estratégicas; y es un proceso continuo que debiera incorporarse en la fijación de estrategias y en la administración de la estrategia. Presentamos cinco herramientas que pueden usarse en una Evaluación del Riesgo Estratégico. 1. Marco de Referencia de Estrategia Impulsada por Rendimientos: Este marco de referencia se usa en el Paso 1 para analizar los elementos de la estrategia de una organización. Proporciona una manera sistemática y un lenguaje común para articular y aclarar dicha estrategia. También brinda un lente para ver cómo diversos elementos de la estrategia se vinculan e impulsan la creación de valor, y ofrece perspectiva para identificar áreas de riesgo en la estrategia. 2. Marco de referencia de Administración del Riesgo Estratégico: Este marco de referencia se usa para evaluar el riesgo estratégico y ha sido examinado por directores, equipos de administración, y líderes de pensamiento en ERM y GRC (gobierno, riesgo y cumplimiento). Brinda una manera de identificar, vincular, y priorizar los riesgos estratégicos de una organización, que pueden abarcar un amplio espectro, incluyendo riesgo de cliente, riesgo de innovación, riesgo de operaciones, riesgo de marca y de reputación, riesgo de asociación, riesgo de cadena de suministro, riesgo de contratación de empleados, riesgo de fraude, riesgo de gobierno corporativo, riesgo de mercados

14 financieros, riesgo de información financiera, riesgo de sostenibilidad, y capacidades exclusivas (Activos Genuinos) en riesgo. 3. Diagnóstico de Madurez del Riesgo Estratégico: Este diagnóstico se basa en varias corrientes de prácticas líderes en administración del riesgo y proporciona una manera de evaluar la madurez y desarrollo de los procesos y capacidades de administración del riesgo en una organización. Incluye preguntas de diagnóstico para auto evaluación. 4. Guía de Alineación de Administración del Riesgo Estratégico: Esta guía proporciona una manera de determinar lo bien que se cubre la administración del riesgo dentro de una organización, permitiendo identificar dónde existen vacíos y redundancias. 5. Marco de Referencia de GRC Estratégico: Este marco de referencia proporciona una visión general para alinear el riesgo y las unidades de control en una organización. Plan de Acción de Administración del Riesgo Estratégico y Ejecución de Estrategia El Plan de Acción de Administración del Riesgo Estratégico deberá considerar cómo pueden integrarse la evaluación del riesgo y la administración del riesgo dentro de los procesos de ejecución de la estrategia. Esto incluiría integrar la administración del riesgo en la planeación estratégica y en los sistemas de medición del desempeño. El Modelo Kaplan Norton de Ejecución de la Estrategia describe seis etapas para ejecución de la estrategia y proporciona un marco de referencia útil para visualizar dónde puede hacerse administración del riesgo. Etapa 1 Desarrollar la Estrategia: Esta etapa incluye desarrollar misión, valores, y visión; análisis

15 estratégico y formulación de la estrategia. En esta etapa, podría incluirse una Evaluación del Riesgo Estratégico que pudiera usar el marco de referencia de Estrategia Impulsada por Rendimientos para articular y aclarar la estrategia y el marco de referencia de Administración del Riesgo Estratégico para identificar los riesgos estratégicos de la organización. Etapa 2 Traducir la Estrategia: Esta etapa incluye desarrollar mapas de estrategia, temas estratégicos, objetivos, medidas, metas, iniciativas, y el plan estratégico en forma de mapas de estrategia, cuadros de mando integral (balanced scorecards) y desembolsos estratégicos. Aquí se usaría el marco de referencia de Administración del Riesgo Estratégico para desarrollar objetivos basados en riesgo y medidas del desempeño para cuadros de mando integral y mapas de estrategia. Sería también útil para analizar riesgos relacionados con desembolsos estratégicos. Se pudiera también considerar desarrollar un Cuadro de mando (scorecard) del Riesgo en esta etapa. Etapa 3 Alinear la Organización: Esta etapa incluye alinear las unidades de negocios, unidades de apoyo, empleados, y consejos de directores. La Guía de Alineación de Administración del Riesgo Estratégico y el Marco de Referencia Estratégico para GRC serían útiles para alinear riesgo y unidades de control hacia una administración del riesgo y gobierno más efectivos y eficientes y para vincular esta alineación con la estrategia de la organización. Etapa 4 Operaciones del Plan: Esta etapa incluye desarrollar el plan operativo, mejoras clave del proceso, planeación de ventas, planeación de capacidad de recursos, y presupuestos. En esta etapa, el Plan de Acción de Administración del Riesgo Estratégico puede reflejarse en el

16 plan operativo y en tableros, incluyendo tableros de riesgo. Etapa 5 Monitorear y Aprender: Esta etapa incluye revisiones de estrategia y revisiones operacionales. Las Revisiones del Riesgo Estratégico serían parte de la Evaluación del Riesgo Estratégico en marcha, que refuerza el necesario enfoque continuo, cerrado, para una Evaluación del Riesgo Estratégico y Ejecución de Estrategia efectivos. Etapa 6 Probar y Adaptar: Esta etapa incluye análisis de rentabilidad y estrategias emergentes. Las estrategias emergentes pueden considerarse parte de la Evaluación del Riesgo Estratégico en marcha en esta etapa. La Evaluación del Riesgo Estratégico puede complementar y apalancar los procesos de ejecución de la estrategia en una organización hacia mejorar la administración del riesgo y gobierno corporativo. Paso 6: Comunicar el Perfil de Riesgo Estratégico y el Plan de Acción de Administración del Riesgo Estratégico En esta etapa de la evaluación, una organización debiera tener un Perfil del Riesgo Estratégico validado y planes de acción iniciales para manejar los riesgos estratégicos identificados. Comunicar y construir un punto de vista común del riesgo se aceptan ampliamente como prácticas líder en la administración del riesgo. De hecho, Información y Comunicación es uno de los ocho componentes esenciales de la administración del riesgo de la empresa, de acuerdo con Administración del Riesgo en la Empresa Marco de Referencia Integrado, del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO). Este paso desafía a la administración a desarrollar y ejecutar la comunicación a través y dentro de la empresa para transmitir el punto de vista de la organización sobre sus riesgos estratégicos y la importancia de ejecutar los planes de acción relacionados. La comunicación debe también fluir

17 hacia arriba a los directores porque este es un tópico que requiere su atención e interacción. Como declara COSO, A mejores comunicaciones, más efectivo será un consejo en el desempeño de sus responsabilidades de supervisión actuando como un consejo sólido para asuntos críticos de la administración, monitorear sus actividades, y brindar asesoría, consejo, y dirección. En el mismo tenor, el consejo deberá comunicar sus necesidades de información a la administración y proporcionar retroalimentación y dirección. Una compañía deberá también considerar su comunicación con los grupos de interés externos, como reguladores, agencias calificadoras, y accionistas. Un reporte de avance reciente de Standard & Poor s sobre sus revisiones iniciales de la administración del riesgo en las empresas en compañías no financieras indicaba que Parece haber una relación entre transparencia y revelación y la confianza de las compañías en ERM; muchas compañías han estado dispuestas y han podido proporcionar bastantes detalles sobre las prácticas de administración del riesgo. Aquí, de nuevo, el proceso de comunicación representa una oportunidad para construir o reforzar la cultura de riesgo de una organización. La información sobre los riesgos clave de la organización debiera compartirse en toda la empresa. Los empleados debieran recibir comunicaciones sobre las actividades, políticas, y lineamientos generales sobre riesgo de la organización. En particular, debiera haber comunicaciones y compartirse información entre las diversas unidades de riesgo y control y las unidades de negocios de la organización. Debiera enfatizarse que la comunicación exitosa es un proceso iterativo y necesita atención y reforzamiento constantes. Paso 7: Implementar el Plan de Acción de Administración del Riesgo Estratégico Al final del día, el verdadero valor del proceso de Evaluación del Riesgo Estratégico estriba en las acciones que emprende una organización como resultado del proceso. Estas acciones también se proponen construir los procesos en marcha de la Administración del Riesgo Estratégico y

18 completar el círculo. Como se anotó antes, la naturaleza dinámica del riesgo requiere procesos continuos para monitorearlo y mitigarlo. Los planes de acción deberán posibilitar o enriquecer estos tipos de procesos. Una organización deberá también considerar cómo reporta y actualiza el estatus de las acciones, incluyendo al consejo. Al seguir madurando sus procesos de Administración del Riesgo Estratégico, deberá considerar la siguiente ronda de pasos incrementales para enriquecer sus procesos generales de administración del riesgo. De nuevo, siguiendo el marco de referencia ERM de COSO, otras categorías importantes del riesgo, como operaciones y cumplimiento, podrían ser áreas útiles para posteriores iniciativas de riesgo. Al Avance Los directores de finanzas (CFO) y los equipos de administración tienen una gran oportunidad de ayudar a los consejos de directores y a la alta administración a construir los procesos de administración del riesgo de una organización de modo que se concentren en los riesgos estratégicos y en alinear las iniciativas de ERM y GRC con base en una evaluación continua de dichos riesgos. La Evaluación del Riesgo Estratégico que hemos descrito puede proporcionar un fundamento valioso y un primer paso para la administración y gobierno del riesgo estratégico que aclarará y definirá el camino para desarrollar capacidades de administración del riesgo sobre cómo se evalúa, monitorea, y administra el riesgo. **Mark L. Frigo, es director del Centro para Estrategia, ejecución y Valuación y del Laboratorio de Administración del Riesgo Estratégico, en De Paul University. mfrigo@depaul.edu, Richard J. Anderson, es profesor en el Centro para Estrategia, ejecución y Valuación y el Laboratorio de Administración del Riesgo Estratégico en DePaul University. rander37@depaul.edu Texto original: Strategic Risk Assessment. Strategic Finance. December Traducción para VERITAS del Colegio de Contadores Públicos de México por Jorge Abenamar Suárez Arana. El Colegio de Contadores Públicos de México, se reserva la reproducción total o parcial de este material. El contenido de los artículos firmados es responsabilidad del autor, sin que éste necesariamente refleje la opinión del Colegio sobre el tema tratado. Cuando se exprese la opinión del Colegio se especificará claramente.