Creando Conciencia de Riesgo a Nivel de Toda la Empresa. Estan sus Clientes Construyendo Culturas de Riesgos Prudentes?

Transcripción

1 Creando Conciencia de Riesgo a Nivel de Toda la Empresa. Estan sus Clientes Construyendo Culturas de Riesgos Prudentes? Oliver Bungartz, Ph.D. Jefe de Gerencia de Riesgo Corporativo RSM Germany Enero 2010

2 Creando Conciencia de Riesgo a Nivel de Toda la Empresa. Enero El colapso de Enron y otros escándalos corporativos a principios del 2000 demostraron como las culturas imprudentes de las empresas pueden conducir a prácticas no éticas y a fraudes descarados. La más reciente implosión de Lehman Brothers mostró como una cultura de aceptar riesgos invadió a las instituciones financieras y precipitó la debacle financiera global. Los consultores de gerencia de riesgos juegan un papel clave para ayudar a las empresas a prevenir el fraude instalando una cultura de riesgo vibrante y efectiva en las compañías. Una cultura de riesgo saludable le da a los empleados participación en el manejo de riesgos. Los principios básicos, valores y actitudes de los empleados así como su comprensión de cómo tratar los riesgos le dan forma a la cultura de riesgo de una compañía. Una cultura de riesgo apropiada es necesaria para que los procedimientos de la gerencia de riesgos corporativa funcionen efectivamente. El cumplimiento con Sarbanes-Oxley (SOX) requiere que los empleados directamente involucrados en controles internos estén totalmente conscientes de los riesgos. Para que el sistema de control interno de una compañía cumpla con su propósito, los empleados deben operar dentro de una cultura de riesgo bien establecida a nivel de toda la empresa. Un fuerte compromiso por parte de la gerencia la atmósfera ética que el liderazgo de la organización crea es fundamental. Pero un liderazgo ejemplar no conduce automáticamente a una cultura de riesgo efectiva ni tampoco garantiza un funcionamiento apropiado del sistema de control interno. Este artículo trata las oportunidades y obligaciones de los gerentes corporativos de construir sólidas culturas de riesgo y como los consultores de gerencia de riesgos pueden apoyar estos esfuerzos. Dándole Forma a la Cultura de Riesgo. Los informes anuales normalmente transmiten la impresión de que las empresas han implementado procedimientos efectivos de gerencia de riesgos. Pero la cultura de riesgo es a menudo desatendida como parte integral de la gerencia de riesgos corporativa. De acuerdo con el modelo de cultura corporativa desarrollada por el Profesor Edgar Schein de la MIT Sloan School of Management, tres elementos determinan la cultura de riesgo de una empresa: (1) Supuestos básicos, (2) Valores, y (3) Herramientas y Creaciones. ( Coming to a New Awareness of Organisational Culture, Sloan Management Review, Invierno 1984) ( Llegando a una Nueva Conciencia de Cultura Organizacional ).

3 Los supuestos básicos son la base de la cultura corporativa. Ellos son los temas invisibles de las relaciones organizacionales y ambientales que comúnmente son tomados como un hecho. Las percepciones, ideas y sentimientos de los empleados acerca de los riesgos le dan forma a la cultura de riesgo de la empresa. Los valores determinan la moral y las normas de comportamiento de los empleados. Los principios, lineamientos no escritos y tabúes que los empleados respetan provienen de estos valores. A menudo estos valores son solamente parcialmente visibles por la conducta exterior de los empleados. Cuatro Pasos Para Darle Forma a la Cultura de Riesgo. Un plan para darle forma a la cultura de riesgo en una empresa debe contener cuatro pasos: 1. Conformar un equipo para conducir el proceso. 2. Evaluar la cultura de riesgo existente. 3. Determinar como debe ser la cultura de riesgo deseada. 4. Diseñar e implementar un plan de acción para crear la nueva cultura de riesgo. Sin embargo, los miembros del equipo de cultura de riesgo deben ser responsables de descubrir los puntos de vista de los empleados sobre la cultura de riesgo existente y en lo que ésta se debe convertir. El equipo debe conversar con todos los empleados de la compañía de modo que el personal en su totalidad esté sensibilizado acerca el tópico de la cultura de riesgo. Los cuestionarios estandarizados y anónimos normalmente producen respuestas más honestas a las preguntas acerca del apetito de riesgo de la compañía. 3 Las herramientas y las creaciones son los componentes tangibles del sistema de gerencia de riesgos de la empresa. Ellas incluyen un manual de riesgos, un(a) gerente, comité, principios y lineamientos de riesgos publicados, un sistema de reporte basado en TI, y un informe impreso incluido en el informe anual así como también talleres de riesgos para los empleados. Dichos asuntos son claramente visibles y les permiten a los gerentes de riesgos comprender la cultura de riesgos existente en una empresa. La presencia o ausencia de herramientas y creaciones permite que los gerentes evalúen y le den forma a la cultura de riesgo de la compañía. Conformar un Equipo de Cultura de Riesgo. La gerencia debe designar a una persona independiente de la empresa (posiblemente un consultor externo de gerencia de riesgos) para conducir el equipo de cultura de riesgo. En los miembros pueden estar incluidos no solamente la alta gerencia y el departamento de control de riesgos sino también a miembros de la junta directiva y auditores internos/externos. Evaluar la Cultura Existente. En última instancia, los empleados deberían diagnosticar que la cultura de riesgo de su compañía está libre de fuerzas externas tratando de imponer sobre ellos ciertos puntos de vista. El coordinador independiente y los miembros del equipo de la cultura de riesgo deben preparar un taller de análisis para que la alta gerencia seleccionada y líderes culturales ayuden a descubrir los supuestos básicos invisibles que son fundamentales para los valores de las empresas. Adicional al taller de análisis, el equipo de cultura de riesgo debe entrevistar, de forma individual, a cada miembro de la alta gerencia para promover una mayor interactividad y franqueza. Estas entrevistas impulsan a los gerentes sénior a pensar con más profundidad acerca del rango de posibilidades de darle forma a una nueva cultura de riesgo.

4 4 Los miembros del equipo de cultura de riesgo conducen luego una revisión crítica de la cultura existente basada en los resultados de la encuesta a nivel de toda la empresa, el taller de análisis y las entrevistas individuales. Determinar la Cultura de Riesgo Deseada. El perfil de la cultura que se tiene como meta estará basado en los mismos factores que fueron usados para evaluar la cultura existente. La reorientación de la cultura de la compañía es posible solamente si existe una razón convincente y una comprensión compartida de la necesidad para un cambio cultural entre gerentes y empleados. La meta máxima de la reorientación cultural es sensibilizar a cada empleado en cuanto a la necesidad de manejar conscientemente los riesgos corporativos. Plan de Acción. El cuarto paso en el programa de la cultura de riesgo es la formulación de un plan que se pueda accionar para comprender la nueva visión cultural. La gerencia sénior es responsable de implementar este plan. Los patrones de la nueva orientación están acompañados por nuevas señales y formatos así como de una actualización de las herramientas y creaciones. Asegurar la aceptación por parte de los empleados es crucial para el éxito del plan de acción. Ellos deben saber que su aportación fue instrumental para crear las nuevas políticas y que su participación continua es esencial. La transparencia y la comunicación son claves para hacer que esto ocurra. Todos los empleados deben comprender que ellos cada uno tiene un rol continuo que jugar. La gerencia debe recompensar la conducta sensible al riesgo que ayude a construir la cultura deseada y disuadir la conducta no ética. Una vez que el plan de acción le da inicio al cambio cultural en la empresa, es común ver consecuencias no previstas. Las tendencias erróneas (tales como empleados disgustados o desarrollos culturales adversos) pueden salir a la superficie requiriendo monitoreo y corrección. Una nueva cultura de riesgo es vulnerable a cambios no deseados. La gerencia debe, por lo tanto, de manera continua observar y evaluar las nuevas medidas de cultura de riesgo implementadas. La figura en la siguiente página resume los factores y efectos de una cultura de riesgo apropiada. Recompensa del Éxito. Una cultura de riesgo bien concebida crea lineamientos aceptados a nivel de toda la empresa para los riesgos gerenciales. Ésta simplifica la coordinación entre todos los empleados y aclara la manera como cada individuo debería manejar los riesgos inherentes a su trabajo. Al operar en una cultura sólida, los empleados aceptan la responsabilidad de sus riesgos y hasta los de sus compañeros de trabajo. Una cultura de riesgo saludable transmite solidaridad; los empleados creen que ellos son una parte integral de la cultura corporativa. Ésta conlleva un fuerte sentido de pertenencia y motiva a los trabajadores, de forma individual, a convertirse en unos participantes activos en el bienestar de su compañía. Una cultura de riesgo dinámica incrementa la conciencia de los empleados ante los riesgos corporativos. No solamente los empleados responderán mejor en relación con las estructuras y procesos básicos de la gerencia de riesgos, sino que también ellos se harán más atentos ante los hechos que sean parte importante del sistema de gerencia que impide el fraude y reduce las amenazas a l a continuidad del negocio.

5 Esta es una versión resumida y revisada de un artículo originalmente publicado en Fraud Magazine, Noviembre/Diciembre Los autores son Oliver Bungartz, Jefe de Servicios de Gerencia de Riesgo Corporativo (ERM) en RSM Germany. Su correo electrónico es Oliver.bungartz@rsm-altavis.de 5

6 BIOGRAFÍA Oliver logró una amplia experiencia práctica al participar en múltiples compromisos de Sarbanes-Oxley Act (SOX) 404, Auditoría Interna, Controles Internos y Gerencia de Riesgo para clientes que operan en diferentes industrias y países (por ejemplo, Austria, Suiza, Italia, España, Polonia, República Eslovaca, Rusia, Países Bajos, Reino Unido). 6 Oliver Bungartz. Ph.D., CIA, CISA, CFE, CGAP, CCSA. Antes de convertirse en Jefe de la Gerencia de Riesgo Corporativo (ERM) en RSM Germany, Oliver trabajó para el Departamento de Servicios de Asesoría de Riesgo (RAS) de MAZARS Hemmelrath y la Technical University of Munich (TUM). La Auditoría Interna, Gerencia de Riesgo, Sistemas de Control interno y Gobierno Corporativo son las principales áreas de sus actividades. La lista de sus publicaciones contiene los siguientes tópicos: Reporte de Riesgos, Cultura de Riesgo, Gerencia de Riesgo Corporativo, Sistemas de Control Interno, Auditoría y Contaduría (Interna). Oliver es Auditor Interno Certificado (CIA), Auditor de Sistemas de Información Certificado (CISA), Profesional de la Auditoría Gubernamental Certificado (CGAP), Gerente de Seguridad de Información Certificado (CISM), Inspector de Fraude Certificado (CFE) y posee la Certificación en Auto- Evaluación de Control. (CCSA). Él es miembro del Instituto Internacional de Investigación Contable de la Asociación de Gerencia de Riesgo e.v. (RMA) del Instituto Alemán de Auditores Internos (IIA), de la Asociación de Control y Auditoría de Sistemas de Información (ISACA) y de la Asociación de Inspectores de Fraude Certificados (ACFE). El IIA en Alemania y en los Estados Unidos lo aceptó como Tasador/Evaluador de Calidad oficialmente certificado. Educación. Technical University of Munich (TUM), Munich/Alemania, Doctor en Economía (Ph.D.) Westfalische Wilhelms - Univerisity (WWU), Muenster/Alemania, Diploma en Administración de Empresas. Dominio de Idiomas. Alemán. Inglés. Francés (Básico).