¿Qué es el enfoque basado en riesgos?

Durante los últimos años se ha manejado mucho el enfoque basado en riesgos, desde un punto de control interno para evitar pérdidas de valor en las empresas, sean estas originadas por eventos fortuitos, robos, fraudes, hasta riesgos de incumplimiento legal o regulatorio, incluyendo el riesgo de involucramiento en actividades criminales o de lavado de dinero y financiamiento al terrorismo.

Esto tiene antecedentes desde que las empresas empezaron a crear fondos de auto aseguramiento para cubrir riesgos potenciales, pasando por las prácticas de las compañías de seguro y las instituciones financieras para evaluar la posibilidad de recuperación a los posibles préstamos otorgados a sus clientes.

Entre los años 1970 y 2000, debido al crecimiento de las empresas y el incremento de fraudes, ineficiencias y crisis financieras, se comenzó a hacer énfasis en las empresas de una adecuada gestión de riesgos y del involucramiento del gobierno corporativo en dicho proceso.

Surgieron iniciativas como el COSO (Committee of Sponsoring Organizations), la ley Sarbanes-Oxley, los acuerdos de Basilea I, II y III y el grupo de acción financiera GAFI, esta última dirigida a crear normas para la prevención de lavado de dinero y financiamiento al terrorismo.

En resumen, el enfoque basado en riesgos es una metodología de identificación y evaluación de riesgos con el fin de priorizar recursos y acciones en función de la probabilidad y magnitud de los riesgos identificados con el objeto de minimizar impactos y maximizar oportunidades.

Dicha metodología sigue los siguientes pasos, identificación de riesgos, evaluación, proporcionalidad, integración, y objetivo.

La identificación es el proceso que permite reconocer los riesgos relevantes que pueden afectan a la empresa.

En el proceso de evaluación, se analizan las probabilidades del suceso y las consecuencias para la empresa.

La proporcionalidad se refiere a la distribución de los recursos disponibles a cada riesgo en función de las probabilidades y las consecuencias.

La integración se refiere a que todo el proceso del enfoque basado en riesgos debe integrarse y formar parte de los procesos estratégicos y de planeación de la empresa.

El objetivo final del enfoque basado en riesgos, como lo mencionamos en su definición es que la empresa cree valor, proteja sus activos y asegure el cumplimiento de leyes y regulaciones que le son aplicables.

Por otro lado, el marco COSO de 2017, define la gestión de riesgos como “la cultura, capacidades y prácticas que las organizaciones integran con la definición de las estrategias y aplican al ejecutarlas, con el propósito de gestionar el riesgo para crear, preserva y realizar valor.”

Este mismo marco establece cinco componentes y cuatro principios relacionados con la gestión de riesgos:

Componentes:

1. La gobernanza y cultura que establece el tono desde la alta dirección para definir la conciencia sobre el riesgo y los comportamientos esperados. 
2. Establecimiento de objetivos y estrategia que integra la toma de decisiones estratégicas con la definición del nivel del riesgo que la organización pretende adoptar (apetito al riesgo). 
3. Desempaño que involucra la evaluación de riesgos que impactan las estrategias y operaciones y que define las respuestas apropiadas. 
4. Revisión y ajustes, que permite revisar los resultados de la gestión de riesgos y responder oportunamente a los cambios internos o externos. 
5. Información y comunicación que permite que la información relevante de la gestión fluya con oportunidad a los encargados de la toma de decisiones.

Principios:

1. Especificar objetivos claros operacionales, informativos y de cumplimiento. 
2. Detección oportuna de eventos internos y externos que puedan afectar los objetivos.
3. Evaluación del riesgo para analizar la probabilidad de impacto para priorizar la atención a los eventos. 
4. Respuesta al riesgo para evitar, aceptar, reducir o compartir riesgos.

El COSO también resalta que la gestión de riesgos es una función que forma parte del proceso estratégico y operacional apoyando la creación de valor en la entidad.