Hace tiempo que la política de gestión de riesgos dejó de ser apenas un documento normativo para convertirse en una pieza central en la gobernanza.
La política de gestión de riesgos establece cómo la organización identifica incertidumbres, evalúa impactos y define responsabilidades, siendo una necesidad cada vez más crítica debido a las exigencias regulatorias de los mercados.
En este artículo, entenderemos qué hace que una buena política de gestión de riesgos, cómo deben definirse las probabilidades de impacto en la operación y cuál es la mejor manera de gestionar los riesgos a partir de ella.
¿Qué es una política de gestión de riesgos?
Una política de gestión de riesgos es la documento corporativo que define principios, objetivos, alcance, roles, criterios, responsabilidades y ritos de gobierno para identificar, evaluar, tratar, monitorear e informar riesgos.
Su función es estandarizar decisiones y asegurar que los riesgos relevantes sean gestionados de forma consistente.
En términos prácticos, la política transforma la gestión de riesgos en un proceso institucional, y no en una práctica dependiente de la percepción individual de cada gestor.
Ella establece lo que debe ser considerado riesgo, ¿Qué categorías se utilizarán?, quien responde por cada riesgo, cómo se evaluarán los riesgos y qué criterios guiarán su priorización.
Para eso, la ISO 31000:2018 se convierte en la principal referencia sobre el tema, ya que propone que la gestión de riesgos se base en principios, estructuras y procesos definidos.
De esta forma, la política de gestión de riesgos debe orientar decisiones, integrarse a la gobernanza y crear condiciones para que la organización lidie con incertidumbres de forma disciplinada.
Cómo hacer una política corporativa de gestión de riesgos
Uma boa política de gestão corporativa de riscos precisa abranger todos os níveis da organização, desde a alta gerência até os funcionários da linha de frente. Ela também deve ser flexível o suficiente para se adaptar a mudanças no ambiente de negócios, bem como em riscos e ameaças emergentes. Uma política eficaz de gestão de riscos corporativos deve incluir os seguintes elementos:* **Um escopo claro:** A política deve definir claramente quais riscos serão cobertos e a que nível de detalhe. * **Responsabilidades definidas:** A política deve atribuir responsabilidades claras para a gestão de riscos em todos os níveis da organização. * **Um processo de avaliação de riscos:** A política deve descrever como os riscos serão identificados, avaliados e priorizados. * **Um processo de mitigação de riscos:** A política deve detalhar as estratégias que serão usadas para mitigar os riscos identificados. * **Um processo de monitoramento e revisão:** A política deve estabelecer como a eficácia das medidas de gestão de riscos será monitorada e revisada regularmente. * **Comunicação e treinamento:** A política deve garantir que todos os funcionários sejam informados sobre a política de gestão de riscos e recebam treinamento adequado.Ao implementar uma política robusta de gestão de riscos corporativos, as empresas podem proteger melhor seus ativos, reputação e sustentabilidade a longo prazo. traducir directrices estructurales en prácticas aplicables en el día a día de la operación.
Con esto, la política debe ser clara y orientar las áreas de forma simplificada, pero sin apelar a algo superficial. Muy al contrario, la política de gestión de riesgos también necesita ser robusta para sustentar decisões de consejos, comités y auditorías.
Establecer metas
Defina los objetivos de la política, si debe proteger valores, apoyar decisiones, fortalecer controles internos, atender exigencias regulatorias o mejorar la previsibilidad del desempeño, también es posible combinar uno o todos los objetivos.
También es necesario definir el alcance. ¿A qué áreas sirve esta política y qué riesgos aborda? La clasificación no debe ser solo conceptual: necesita ayudar a la empresa a mapear riesgos de naturalezas diferentes con criterios mínimamente consistentes.
Gobernanza y responsabilidad
La política, como todo documento sensible, necesita tener responsables claros para su aprobación, ejecución y monitoreo para asegurar la gestión de riesgos.
- La primera línea de gobernanza, normalmente formada por las áreas de negocio y operación, es responsable de gestionar los riesgos asociados a sus objetivos, procesos y decisiones.
- La segunda línea, que puede incluir riesgos, controles internos, cumplimiento, seguridad de la información y calidad, apoya metodológicamente, monitorea la adherencia y consolida la información.
- La tercera línea, representada por la auditoría interna, ofrece evaluación independiente sobre gobernanza, controles y gestión de riesgos.
Esta distinción evita un error común: delegar la responsabilidad por el riesgo únicamente al área de riesgos.
Criterios de evaluación
Es imprescindible que se establezcan criterios de evaluación para las políticas de gestión de riesgo. Esto se debe a que dos áreas pueden ver el mismo riesgo con lentes diferentes, lo que compromete la calidad de la cartera de riesgos.
En estos casos, es esencial definir la probabilidad y el impacto de cada riesgo:
- La probabilidad debe considerar un horizonte de tiempo definido y la probabilidad de ocurrencia del evento;
- El impacto debe contemplar las dimensiones relevantes para la organización.
Para definirlos, será preciso definir escalas de probabilidad y las dimensiones del impacto que el riesgo puede tener en diferentes áreas de la empresa. Una forma sencilla de mantener esto estructurado es creando una matriz de riesgo en Excel.
Apetito y tolerancia al riesgo
El apetito define el tipo y el nivel de riesgo que la organización está dispuesta a asumir para perseguir sus objetivos. Mientras que tolerancia tradúcela apetito en límites más específicos, observables y accionables.
En la práctica, el apetito opera en el plano ejecutivo. Una empresa puede declarar un apetito bajo para los riesgos de seguridad de la información, un apetito moderado para los riesgos de innovación y un apetito mayor para los riesgos comerciales asociados con la entrada a nuevos mercados.
La tolerancia, por otro lado, transforma estas directrices en parámetros: límites de pérdida, variación aceptable de indicadores, exposición máxima por proveedor, plazo de indisponibilidad, nivel de no conformidad o rango de desviación con respecto al plan.
Riesgo inherente, controles y riesgo residual
Otro componente indispensable es la distinción entre riesgo inherente y riesgo residual. El riesgo inherente representa la exposición antes de la consideración de los controles existentes. El riesgo residual representa la exposición remanente después de la aplicación de los controles.
Esta distinción es fundamental porque evita dos distorsiones. La primera es subestimar riesgos relevantes apenas porque la empresa ya posee algún control. La segunda es sobrestimar riesgos sin considerar la efectividad real de los mecanismos existentes.
Por lo tanto, la política debe definir cómo se registrarán, evaluarán, probarán y vincularán los controles a los riesgos.
Tratamiento, planes de acción y decisión ejecutiva
La política debe indicar qué respuestas al riesgo se utilizarán. Normalmente, las alternativas incluyen evitar, reducir, compartir, transferir, aceptar o explotar el riesgo, dependiendo de la naturaleza de la exposición y del objetivo estratégico involucrado.
La respuesta no es solo conceptual. Siempre que un riesgo residual esté por encima del apetito o la tolerancia, la política debe exigir un plan de acción con responsable, plazo, prioridad, recursos necesarios, indicador de seguimiento y rito de reporte.
Monitoreo y reporte
El monitoreo cierra el ciclo de la política. Sin él, la organización identifica y evalúa riesgos, pero no sabe si la exposición está aumentando, si los controles siguen siendo efectivos o si los planes de acción están reduciendo el riesgo residual.
El informe debe ser diseñado de acuerdo con el público al que está destinado:
- Las áreas operativas necesitan información procesable.;
- La junta directiva necesita una visión consolidada por riesgo, proceso, unidad, tendencia y plan de respuesta;
- Consejo y comités necesitan exposición agregada, riesgos críticos, adherencia al apetito e implicaciones estratégicas.
Cómo integrar riesgos a la estrategia corporativa
Integrar riesgos a la estrategia significa insertar el análisis de incertidumbres en los ritos de planificación, ejecución, monitoreo y revisión estratégica. Esta integración debe ocurrir antes, durante y después de la definición de los objetivos corporativos.
Por ejemplo, si consideramos una empresa de gran tamaño que desea consolidarse en un mercado internacional, los riesgos de esta empresa deben medirse antes de la consolidación de la estrategia. Con esto:
Antes de la formulación estratégica, la gestión de riesgos contribuye con análisis de contexto, riesgos emergentes, escenarios, restricciones regulatorias, amenazas competitivas, vulnerabilidades internas y oportunidades asociadas a la incertidumbre.
Durante la formulación, ayuda a evaluar si los objetivos son viables dentro del apetito definido.
Después de la aprobación de la estrategia, apoya el seguimiento de riesgos asociados a metas, indicadores e iniciativas.
En la práctica, este objetivo estratégico de expansión internacional debe ir acompañado de riesgos cambiarios, regulatorios, fiscales, logísticos, culturales, laborales y de reputación. El mismo sirve para cualquier otra estrategia, independientemente de la complejidad.
¿Qué políticas y documentos complementan la gestión de riesgos?
Cuando las empresas preguntan cuáles son las políticas de gestión de riesgos, normalmente intentan entender si basta con crear un documento corporativo o si es necesario desdoblar directrices por tema.
La respuesta depende de la complejidad de la organización, pero la buena práctica es tener una política corporativa central y documentos complementarios específicos.
Para que sea posible hacer una buena gestión documental con su política, es interesante que el documento no sea extenso, difícil de aplicar y de actualizar, de la misma forma que no puede ser aislado, sin criterios claros y coherencia corporativa.
La política de gestión de riesgos corporativos debe funcionar como eje integrador, garantizando que los documentos específicos sigan la misma lógica de gobernanza, evaluación y reporte.
¿Cómo la tecnología puede fortalecer la ejecución de la política de gestión de riesgos?
Una política de gestión de riesgos bien redactada es necesaria, pero no suficiente. En la mayoría de las empresas, el desafío está en operacionalizar el ciclo con consistencia, rastreabilidad y visibilidad.
En este punto, hojas de cálculo y documentos dispersos se convierten en limitadores, ya que dificultan la consolidación y el análisis histórico, haciendo difícil mantener un buen seguimiento y reporte.
Es aquí que softwares de gestión de riesgos pueden auxiliar en la creación de metodologías y criterios, así como para definir responsables y flujos de actualización y revisión de políticas de forma estandarizada.
En este mercado, la solución de Gestión de Riesgos de Actio Se mostrará la opción más completa, apoyando un ciclo continuo desde el registro, la construcción de la matriz de riesgo y la evaluación inherente e individual de los eventos.
Además, el programa cuenta con la adherencia de la ISO 31000 y COSO, permitiendo que la empresa combine la visión metodológica con la ejecución práctica.
Para entender cómo Actio puede ayudar a su empresa a crear políticas de gestión de riesgos conectadas a la estrategia, agende una demostración rellenando el formulario a continuación.
