- Un mecanismo para asegurar que el liderazgo, los gerentes de negocios y otras partes interesadas tomen decisiones informadas sobre el riesgo y cumplan con los deberes de supervisión
- ¿Qué es el informe de riesgos y por qué es importante?
- Consejos generales para los informes de riesgos
- 4 Audiencias de los informes de riesgo – Qué deben incluir los informes
- En conclusión…
Un mecanismo para asegurar que el liderazgo, los gerentes de negocios y otras partes interesadas tomen decisiones informadas sobre el riesgo y cumplan con los deberes de supervisión
Al final del día, el proceso de ERM debe ser considerado como un ciclo o bucle de retroalimentación… lo que significa que nunca hay un punto final definitivo.
Es como las cuatro estaciones del año – nunca hay un punto final, sólo un bucle continuo a lo largo del año. El otoño pasa al invierno, el invierno a la primavera, la primavera al verano, de nuevo al otoño, y el ciclo continúa como lo ha hecho durante eones.
He hablado de otros puntos a lo largo del bucle de ERM como la identificación, evaluación y análisis de riesgos, además del desarrollo de procesos, en artículos anteriores.
En este artículo, voy a sumergirme en el último punto de este bucle o ciclo: la elaboración de informes de riesgos.
Antes de seguir adelante, quiero explicar que esta cartilla no entrará necesariamente en cómo debe preparar los informes de riesgos en su organización. Como verá en las próximas secciones, hay una gran cantidad de factores específicos de la organización y del individuo que intervienen en la presentación de informes de riesgo eficaces.
Aunque habrá algunos ejemplos a continuación, este artículo se centrará en los elementos de un informe de riesgo sólido y en las consideraciones basadas en quiénes son los destinatarios de su informe.
Sin más preámbulos, quiero empezar proporcionando una definición…
¿Qué es el informe de riesgos y por qué es importante?
Dado que el informe de riesgos puede variar ampliamente de una organización a otra, una definición exacta es difícil de precisar. Sin embargo, el COSO ERM Framework (2017) dice lo siguiente sobre la presentación de informes de riesgos:
La presentación de informes ayuda al personal de todos los niveles a comprender las relaciones entre el riesgo, la cultura y el rendimiento y a mejorar la toma de decisiones en la fijación de estrategias y objetivos, el gobierno y las operaciones diarias.
Y como explica Norman Marks en su libro World-Class Risk Management (…una fuente a la que me referiré más en este artículo), la gestión de los riesgos debe ser una parte esencial de la gestión diaria y de la toma de decisiones de una organización. Sin embargo, es importante que la dirección y el consejo de administración «hagan balance» cada cierto tiempo. De este modo, el Consejo y la alta dirección saben que la organización va por buen camino para alcanzar sus objetivos.
Además de hacer balance, la información sobre los riesgos también es importante desde el punto de vista legal. En tiempos pasados, un Consejo no tenía necesariamente que conocer un riesgo, pero hoy en día, los Consejos no pueden alegar que simplemente no estaban al tanto de un riesgo que terminó convirtiéndose en un gran problema. Los miembros de la Junta tienen la obligación de entender los riesgos a los que se enfrenta una organización y asegurarse de que la dirección los está abordando de la manera adecuada.
A pesar de la importancia de los informes de riesgos, el nivel de satisfacción con «…la naturaleza y el alcance de los informes internos de los indicadores de riesgo clave que podrían ser útiles para el seguimiento de los riesgos emergentes por parte de los altos ejecutivos» es bastante bajo, según el informe 2018 State of Risk Oversight de la NC State University. Más del 40% de los encuestados afirman estar «nada» o «mínimamente» satisfechos con la calidad de los informes que reciben de su personal de riesgos.
¿A qué se debe esto?
Dos razones principales (no se preocupen: las comentaré con más detalle más adelante):
1. El informe no se dirige a la audiencia correcta.
Al no entender los antecedentes de los destinatarios o sus conocimientos de ERM, los informes de riesgos son abrumadores (demasiado detallados) o de tan alto nivel que no proporcionan ninguna información real.
2. El informe es un ejercicio de documentación sin perspectivas.
Un informe que simplemente proporciona una lista de riesgos sin ninguna visión en tiempo real y perspectivas sobre el logro de los objetivos críticos significa esencialmente que el informe de riesgos es una bonita imagen que documenta lo que la gente ya sabe. Las listas de riesgos también quedan obsoletas con bastante rapidez, ya que cada decisión modifica los riesgos existentes o crea otros nuevos.
Los informes de riesgos que se limitan a enumerar los riesgos son una de las varias formas en que el ERM puede caer en la temida trampa de «marcar la casilla». Los miembros de la Junta Directiva y los ejecutivos eventualmente comenzarán a cuestionar el valor del ERM en esta situación.
Un verdadero informe de riesgos de valor agregado proporcionará perspectivas y conocimientos en tiempo real sobre los riesgos para los objetivos. Sin embargo, disponer de información oportuna puede ser un reto en un entorno formal, por lo que hay que tener cuidado con el tiempo que se necesita para reunir, compilar, analizar y reportar la información. Las organizaciones con procesos de ERM más robustos utilizan los informes de riesgos como un trampolín para discusiones adicionales sobre la estrategia, la mitigación y más.
Consejos generales para los informes de riesgos
Antes, mencioné brevemente cómo las necesidades de un informe de riesgos variarán según la audiencia. Sin embargo, hay algunos consejos generales de informes de riesgo para asegurar que sus informes de riesgo sean procesables y fáciles de consumir. Estos consejos incluyen:
- Estructura de los informes – Independientemente de cómo desarrolle los informes de riesgos en su organización, deben ser intuitivos ante todo. No debería tener que enseñar a la audiencia cómo leer y actuar en el informe. Si lo hace, el informe es demasiado complejo y/o confuso. También hay que tener en cuenta la formación de los usuarios finales: ¿cuánto saben sobre las prácticas de gestión de riesgos empresariales? ¿Tienen más bien una formación empresarial, técnica o jurídica?
- Terminología del riesgo – Una de las razones por las que muchas organizaciones tienen problemas con los informes de riesgo tiene que ver con el lenguaje utilizado en los informes. Como explico aquí, es importante que los profesionales de ERM utilicen un lenguaje coherente con la empresa en lugar de términos técnicos que sólo unos pocos entenderán. La mayoría de los usuarios de los informes de riesgo no entenderán los matices de la puntuación de riesgo y otras mediciones, por lo que es necesario tener esto en cuenta.
- Los informes tienen que ser procesables – Una de las quejas comunes de los informes de riesgo es que simplemente proporcionan una lista de riesgos sin ningún otro análisis. Como explica Norman Marks, una lista de riesgos es útil a la hora de gestionarlos, pero lo que necesitan los usuarios del informe, especialmente los responsables de la toma de decisiones, es comprender el riesgo y su impacto en los objetivos de forma acumulativa, no uno por uno. Hay que pensar más en la(s) causa(s) raíz del riesgo, en los efectos sobre los objetivos de la empresa, en el grado de penetración en la organización, en si hay margen para asumir más riesgos y en si hay oportunidades para la organización si este riesgo se produce.
Nota: La agregación de riesgos es una forma avanzada de entender cómo los múltiples riesgos afectan acumulativamente a los objetivos, pero dado que la mayoría de las prácticas probablemente implican una modelización informática avanzada, la agregación de riesgos no debe ser una prioridad hasta que haya clavado el proceso de presentación de informes de riesgos para su organización.
Estos consejos generales sobre la presentación de informes de riesgos se aplican independientemente de la audiencia. Al final, se reduce a la claridad… cualquier texto o elementos visuales en los informes de riesgo tienen que ser lo suficientemente claros para que el usuario los entienda sin tener que pensar demasiado, y luego poder tomar decisiones rápidamente sobre la base de esa información.
4 Audiencias de los informes de riesgo – Qué deben incluir los informes
El factor central en la forma de los informes de riesgo depende de quién es el usuario final. Un informe de riesgos para un comité a nivel de la Junta Directiva va a tener un aspecto muy diferente al de un propietario de riesgos.
Por ejemplo, los informes de riesgos para la Junta Directiva serán más «generales» y se centrarán en los riesgos para que la organización alcance sus objetivos. La estructura y el detalle de los informes de riesgos se volverán gradualmente más granulares o se centrarán en riesgos específicos cuanto más se descienda en la escala organizativa. Y los informes de riesgos para las agencias reguladoras tienen una serie de consideraciones separadas de los consumidores internos.
Continúe leyendo para aprender más sobre estos cuatro públicos y lo que necesitan obtener de cualquier informe de riesgos.
Junta Directiva y Comité de Riesgos a nivel de la Junta Directiva
En resumen, la Junta Directiva o un comité de riesgos a nivel de la Junta Directiva necesita un informe basado en el desempeño que se centre en el logro de los objetivos. Las responsabilidades del consejo o del comité de riesgos a nivel del consejo suelen delegarse en el Comité de Auditoría.
¿Qué busca el consejo en un informe de riesgos? Garantizar que el director general y otros gerentes ejecutivos entienden los riesgos para los objetivos y están tomando las medidas adecuadas para hacer frente a estos riesgos.
¿Por qué? Garantiza que el Consejo disponga de la información que necesita para comprender los riesgos para la consecución de los objetivos y cumplir con sus responsabilidades de supervisión.
¿Qué? Este informe será de alto nivel y debería suscitar un debate posterior sobre cómo proceder, ya sea que implique acciones de mitigación o un cambio de estrategia.
La mayoría de las organizaciones preparan un informe completo al menos anualmente, pero este plazo significa que la información debe actualizarse justo antes de este informe. (De lo contrario, la información que tiene 6 meses de antigüedad es inútil.)
Los que respondieron a una encuesta del Estado de Carolina del Norte tenían un hilo común en lo que incluían sus informes. La mayor parte de la información contenida en los informes se basaba en el texto y los elementos gráficos/visuales, como los gráficos o los mapas de calor, desempeñaban un papel de apoyo. Los elementos visuales desempeñan un papel importante a la hora de enmarcar las cuestiones críticas y mostrar el nivel de exposición a los principales riesgos.
Aquí hay un par de ejemplos de mapas de calor de un proyecto anterior. Aunque estoy proporcionando este ejemplo, hay limitaciones a los mapas de calor que quiero discutir en un futuro post…
La gran mayoría de los encuestados también explican que sólo informan sobre los 10 a 15 principales riesgos para la empresa en sus presentaciones a nivel de la Junta.
No puedo dejar de insistir en esto: estos informes al Consejo de Administración deben ser de carácter general y sólo incluir los principales riesgos.
En algunos casos, el Consejo de Administración puede solicitar un seguimiento o una «inmersión profunda» en cualquier riesgo de especial preocupación trimestral o incluso mensual si el riesgo es lo suficientemente significativo. Esta responsabilidad recae realmente en las funciones de negocio de la empresa si el riesgo está realmente integrado en toda la organización. Cuando los ejecutivos de TI, Marketing, Finanzas, Asuntos Legales o Recursos Humanos se presentan a la Junta Directiva, deben tomar la iniciativa de informar sobre los riesgos clave y su evaluación de esos riesgos.
Por otra parte, los comités de riesgo y/o auditoría a nivel de la Junta Directiva buscarán informes completos del equipo de gestión de riesgos, ya que en muchos casos, estos son los foros donde se producirán discusiones detalladas sobre el camino a seguir. Un comité de este tipo también realizará la función de supervisión de la gestión de riesgos.
Veamos un ejemplo de Southwest Airlines. Los informes de riesgo para la Junta en Southwest tienen 4 niveles de información:
- Identificar de forma proactiva los mayores riesgos
- Escribir cualquier plan de acción para estos riesgos (pasados, presentes, y futuros)
- Enumerar los riesgos «aceptados» que están fuera del control de la organización
- Describir el impacto que estos grandes riesgos podrían tener en la consecución de los objetivos
Dirección superior
Los ejecutivos, como el director general y otros, tendrán muchos de los mismos requisitos de informe de riesgos que el Consejo. Sin embargo, en este caso, los informes tendrán que ser un poco más detallados, pero no tanto como para que los ejecutivos que los lean se sientan abrumados.
De hecho, los ejecutivos confían en el personal de ERM para examinar los riesgos con los propietarios de los mismos y priorizarlos según la información disponible. El personal de ERM proporcionará entonces a los ejecutivos una lista corta de riesgos y les orientará sobre las decisiones que deben tomarse. Los componentes de la información sobre riesgos, como la categoría, el impacto/probabilidad, la velocidad y cualquier actividad de mitigación hasta la fecha, se analizan en estos informes.
Los informes sobre riesgos para la alta dirección también deben abarcar más de los 10-15 riesgos individuales de primer nivel mencionados anteriormente. Para que la dirección cumpla con sus responsabilidades, debe comprender el nivel global de riesgo para un objetivo. Tomado de uno en uno, un riesgo puede no ser un gran problema, pero cuando se «agrega» en conjunto podría presentar una enorme bandera roja.
(Es importante tener en cuenta que la verdadera «agregación» es un tema muy avanzado que no debe intentarse mientras todavía se está desarrollando un proceso de ERM en su organización.)
El ERM también puede recomendar medidas de acción para mitigar los riesgos o modificar la estrategia sobre la base de las observaciones y el conocimiento general.
Al final, es responsabilidad de la gerencia asegurar que los controles apropiados y otras actividades relacionadas con el riesgo estén en su lugar.
Un tablero de control de riesgos es una herramienta que los ejecutivos de los programas de ERM más maduros utilizan para obtener la información que necesitan para cumplir con sus responsabilidades. La creación de un tablero de riesgos puede hacerse manualmente usando Excel (o una herramienta similar), sin embargo, este es un uso primario del software de riesgos. El software de ERM, del que hay muchas opciones disponibles, incluirá indicadores sobre el estado de los riesgos clave, las dependencias, los impactos y cómo se están manejando. Con un rápido vistazo, el ejecutivo podrá ver al propietario del riesgo, junto con un cuadro resumen de los principales riesgos, otros indicadores de riesgo clave, y más.
Herramientas visuales como un tablero de control, que también puede ser incluido en los informes a nivel de la Junta Directiva, son una gran manera para que su audiencia comprenda rápidamente los datos.
Ejemplo de cuadro de mando de riesgos por cortesía de la Universidad Estatal de Carolina del Norte
Sin embargo, una palabra de advertencia: tal y como han comentado Norman Marks, COSO, yo mismo y otros líderes de opinión en materia de riesgos, las organizaciones deberían centrarse primero en establecer y perfeccionar sus procesos antes de lanzarse a una solución tecnológica. Una herramienta no debe dictar el proceso de riesgo en una organización. En cambio, una organización debe establecer y perfeccionar su proceso durante al menos un año, y luego encontrar una herramienta que apoye ese proceso. Después de todo, el software debe apoyar la gestión más racional de los riesgos en toda la organización.
Hay otra forma de informar. Se trata de los informes «informales». ¿Cómo son los informes informales de riesgos? Las organizaciones con un sólido proceso de ERM integrado en toda la organización y con una fuerte participación de los ejecutivos buscarán la perspectiva de los profesionales del riesgo. Los puntos de vista, opiniones y perspectivas del equipo de riesgos es donde el valor real de ERM puede ser realizado.
Propietarios de Riesgos
La última audiencia interna para los reportes de riesgos serán los gerentes intermedios y otro personal de primera línea que realmente son dueños de los riesgos, es decir, el individuo(s) responsable(s) de monitorear e implementar cualquier acción de mitigación prescrita por la alta gerencia.
Aunque los reportes en cada nivel necesitarán proveer información procesable, esto es especialmente importante para los reportes a los propietarios de riesgos.
Estos informes también proporcionarán el más alto nivel de detalle con respecto al riesgo, incluyendo los indicadores de riesgo clave. Los informes para los propietarios de los riesgos se centrarán en las métricas de rendimiento, además de proporcionar la información más actualizada sobre la evaluación de todos los riesgos bajo la responsabilidad del individuo. Esto puede parecerle abrumador al principio, pero es su responsabilidad ser sucinto y preciso en los informes. Recuerde utilizar una combinación de texto y elementos visuales.
Un ejemplo de un buen elemento visual para los informes de los propietarios de riesgos es un gráfico de radar (disponible en Excel), que compara los resultados de la evaluación de riesgos con los niveles de tolerancia al riesgo.
Una diferencia clave es este informe es la siguiente: en lugar de utilizar el informe para desarrollar o modificar la estrategia, los propietarios de riesgos utilizan la información de sus informes para planificar y presupuestar las operaciones diarias de la organización.
Como en el caso de los informes a nivel de la Junta Directiva y de los altos ejecutivos, el formato tendrá que adaptarse a la formación profesional y al nivel de conocimientos de ERM que tenga el usuario final.
Agencias reguladoras
La última audiencia de los informes de riesgos que hay que mencionar es cualquier agencia reguladora relevante que requiera que las organizaciones informen sobre los riesgos. Las empresas que cotizan en bolsa en Estados Unidos están obligadas por la Comisión de Valores y Bolsa (SEC) a informar sobre los principales riesgos. Otro ejemplo de información obligatoria sobre riesgos es la Evaluación de Riesgos Propios (ORSA) a nivel estatal para las compañías de seguros de EE.UU. o la información de Solvencia II en la Unión Europea.
Como antiguo regulador de seguros en mi estado natal de Florida, puedo dar fe de que cualquier informe sobre riesgos para un regulador debe equilibrar la necesidad de la compañía de satisfacer el requisito reglamentario y la necesidad del regulador de comprender los riesgos de la compañía. Por supuesto, la compañía de seguros debe revelar los riesgos sin entrar en demasiados detalles, lo que puede dar lugar a un mayor nivel de escrutinio por parte de los reguladores.
En la actualidad, tampoco está claro hasta qué punto los reguladores entienden realmente los riesgos de la empresa y, por tanto, pueden digerir la información y hacer preguntas en profundidad sobre el informe.
El informe de la SEC, conocido como el 10-k, no busca una lista de riesgos con información de evaluación detallada, sino más bien una narración de los grandes riesgos para la organización.
En este caso, lo mejor es mirar a otros que envían informes como este de Walmart para entender qué incluir en un informe 10-k si su empresa está obligada a presentar uno.
En conclusión…
Quiero reiterar cómo el informe de riesgos es realmente específico de la organización. El contenido de un informe y la forma en que se formatea depende de una variedad de factores, incluyendo las necesidades de los usuarios, los antecedentes profesionales y conjuntos de habilidades de la audiencia y otros factores individuales específicos. Comprender esto acerca de los usuarios de los informes de riesgos es fundamental para asegurar que se produzcan los informes más útiles para facilitar una mayor discusión sobre los riesgos.
No se sienta presionado a incluir ciertos elementos, especialmente si la organización no está preparada para ellos o si el proceso de riesgos aún no admite esos elementos.
Y por último, pero no menos importante, es posible que ya haya adivinado esto… Los informes de riesgos son muy fluidos. No piense ni por un momento que la forma de preparar los informes de riesgos será la misma cada vez.
Sólo recuerde que el proceso y el formato para la presentación de informes de riesgos en su organización es un proceso en constante evolución.
La presentación de informes de riesgos es un tema bastante profundo, pero esta cartilla debe proporcionar una buena base para lo que debe considerar al desarrollar informes en su organización.
¿Los miembros de la Junta Directiva y los ejecutivos de su organización encuentran los informes de riesgos útiles para abordar los riesgos de los objetivos estratégicos?
¿Proporcionan la orientación que usted, como profesional de riesgos, necesita para proporcionarles la información correcta de una manera que les sea útil?
Estoy interesado en escuchar sus pensamientos y experiencias sobre este importante tema… simplemente comente abajo o únase a la conversación en LinkedIn para compartir su perspectiva o pregunta(s).
Y si está luchando por desarrollar informes de riesgo concisos y procesables para su organización o una agencia reguladora, visite mi sitio web de consultoría (Strategic Decision Solutions) para aprender más sobre cómo ayudo a las organizaciones a superar los desafíos y asegurar el éxito a largo plazo.