La globalización y la evolución del entorno empresarial han supuesto, entre otros aspectos, un incremento en el número de relaciones, tanto externas como internas, que cualquier empresa u organización tiene con agentes o grupos de interés; así como una mayor competitividad. Esta situación supone inequívocamente la necesidad de ejercer un mayor control sobre todas y cada una de las operaciones realizadas por cualquier organización. De ahí, que en mayor o menor medida, todas las empresas deban desarrollar su política de gestión de riesgos con el objetivo de prevenir, detectar y actuar ante cualquier contratiempo.

Una correcta gestión de riesgos permite anticiparse a las contingencias, y asegurar los objetivos y metas estratégicas definidas por las empresas. Para la eficiencia en dicho control de los riesgos, se hace necesaria la integración de metodologías y objetivos en todos los niveles de nuestra organización.

El “control interno” se configura como uno de los pilares básicos de la gestión de riesgos empresariales. Podemos definir el “control interno”, como el proceso que ejecuta la Dirección con el fin de evaluar operaciones específicas con seguridad razonable, principalmente en las tres siguientes categorías:

  1. Efectividad y eficiencia operacional,
  2. confiabilidad de la información financiera, y
  3. cumplimiento de políticas, leyes y normas.

En un entorno altamente competitivo y global como el actual, donde la distancia entre el éxito y el fracaso en muchas ocasiones es mínima, la gestión de riesgos empresariales es una herramienta fundamental para la anticipación y administración de los riesgos que pueda sufrir una organización en cualquier ámbito; ya sea operativo, financiero, legal, medioambiental, de comunicación, etc…

La gestión de riesgos debe existir en todas las organizaciones, independientemente de su tamaño o actividad. Si bien se trata de un “traje a medida”, en el sentido de que la implantación de medidas de control vendrá precedida de un análisis exhaustivo de los riesgos que pueden afectar a nuestra organización, su probabilidad, y su efecto o consecuencia. De tal forma que la Dirección podrá establecer niveles de control, y planes de actuación adaptados a las necesidades propias.

Dada la importancia de llevar una eficaz gestión de riesgos en el ámbito empresarial, existen diferentes modelos desarrollados por organizaciones nacionales e internacionales que pueden ser adaptados a cada entidad (ISO, COSO, etc.). O bien una empresa puede desarrollar el suyo propio con su propia metodología. En cualquiera de los casos, el modelo deberá contener al menos de forma genérica la siguiente estructura:

  • Evaluación de los riesgos
  • Medidas de control a establecer
  • Supervisión y medición

En todos ellos no solo debe existir un trabajo inicial de análisis, desarrollo e implementación; sino que su eficacia estará supeditada a la continuidad y adaptación de las actividades de control, a la evolución cada vez más dinámica de las empresas. De tal forma, que la gestión de riegos se configura como una actividad continua y periódica en el tiempo por el departamento de control y/o auditoría, y no como una acción puntual o esporádica.

El departamento de control o auditoría en las pequeñas organizaciones está generalmente externalizado con auditores externos que de manera independiente revisarán el grado de cumplimiento de los controles, en aras de minimizar la multitud y heterogeneidad de riesgos a los que están expuestos todas las empresas en mayor o menor medida. En el caso de grandes organizaciones, generalmente disponen de su propio departamento de control interno, que en coordinación con sus auditores externos desarrollan estas actividades.

En la actualidad, la gestión de riesgos relativos a la responsabilidad de los administradores cobra especial importancia debido a la modificación del Código Penal. Los modelos de cumplimiento y prevención penal, no dejan de ser una parte de la gestión integral de riesgos que las empresas deben establecer, y que podrán actuar como factor exonerante de la responsabilidad de los administradores ante delitos cometidos en el ámbito empresarial. Si bien la gestión integral de los riesgos deberá tener en cuenta no solo este riesgo, sino todos aquellos que afecten a la empresa en todos sus ámbitos y relaciones.

Sergio González
Director