Identificar riesgos ocultos requiere una visión más amplia que no siempre se contempla en los enfoques tradicionales de gestión de riesgos corporativos.
Para identificar riesgos ocultos, los profesionales en la gestión de riesgos necesitan analizar eventos que crearán niveles inaceptables de variabilidad en el logro de los objetivos de una organización y que no son evidentes.
La gestión de riesgos ocupa un lugar central en los niveles más altos de la organización. Los ejecutivos hoy son conscientes de la necesidad de implementar programas para tratar las amenazas y considerar dentro de ellos estrategias de gestión de riesgos alternativas.
No se trata de que las respuestas tradicionales ya no funcionen. Lo que se busca al considerar estrategias de gestión de riesgos alternativas es enfrentar con éxito un escenario de amenazas siempre cambiantes, pero sobre todo, impredecible.
Las organizaciones en todo el mundo han encontrado un panorama complejo en los últimos dos años como consecuencia de la emergencia sanitaria y las consecuentes interrupciones comerciales. Los equipos de riesgo y cumplimiento se preparan para un año 2022 en el que esperan un periodo de reactivación y crecimiento.
Pero será una reactivación marcada por la resiliencia y por la necesidad de atender problemas ambientales, sociales y de gobernanza. La gestión de riesgo y cumplimiento necesitará preocuparse especialmente por determinadas áreas, que no resultan imprevistas si analizamos el camino recorrido y lo que se espera del año que recién empieza.
Gestionar los Riesgos de Terceros siempre ha sido importante, pero la globalización y el aumento de la subcontratación conceden mayor importancia a esta tarea en la Gestión de Riesgos de las organizaciones modernas.
Recientemente, abordamos en un artículo la importancia de la gestión de riesgos de terceros, lectura que es recomendable revisar para articular con mayor facilidad el tema sobre Gestionar los Riesgos de Terceros y cómo llevarlo a la práctica.
La gestión de riesgos de terceros tiene un ciclo de vida. Esto significa que los riesgos pasan por diferentes etapas en un proceso que pretende eliminar la mayoría, mitigar otros, compartir algunos y tolerar el menor número posible.
Hemos identificado ocho pasos que debemos dar para gestionar los riesgos de terceros, desde el mismo punto en el que se establece la relación con el proveedor, contratista o subcontratista, que serán básicamente los terceros que consideraremos para este efecto, hasta que esa misma relación deja de existir.
Estos ocho pasos o fases describen un ciclo de vida de lo que también se conoce como gestión de relaciones con terceros. Conozcamos estas etapas:
Usualmente, las organizaciones cuentan con una base de datos o, por lo menos, un listado de proveedores, contratistas y subcontratistas. La información proveniente de un CRM, por ejemplo, resulta muy valiosa para cumplir con este objetivo de identificar claramente al tercero.
Los contratos suscritos con ellos y la realización de encuestas y entrevistas también resultarán muy útiles en este momento. Básicamente, esta es la información que se pretende recopilar:
Esta información será suficiente para identificar a los terceros, clasificarlos y hacer una primera priorización de ellos.
Con base en la información obtenida, la organización evalúa y selecciona los proveedores con los que trabajará, considerando las necesidades, las ventajas y aspectos que ayuden a minimizar el riesgo, como las certificaciones, por ejemplo.
Aquí inicia formalmente la gestión de riesgos de terceros. Los profesionales harán uso de las herramientas y modelos de evaluación conocidos, pero adicionalmente tratarán de compartir información sobre los terceros con otras organizaciones. Algunas de ellas ya habrán hecho la tarea, y aunque no se puede incorporar ese trabajo de forma directa, sí se puede encontrar en él información muy valiosa.
Con la evaluación de riesgos en mano, inicia la tarea de tratar los riesgos. Gestionar los riesgos de terceros en esta etapa significa categorizarlos de acuerdo con su impacto negativo o su probabilidad de ocurrencia.
Es en este momento en el que también se considera el apetito de riesgo de la organización. Si tratar un riesgo resulta demasiado costoso o implica dejar de aprovechar claras oportunidades comerciales, es probable que lo mejor sea admitirlo, y para ello, es preciso haber definido el apetito de riesgo de la organización.
Vinculado con esto último, está la definición del nivel de riesgo residual admisible y la implementación de controles para alertar sobre la inminencia del alcance de los niveles de riesgo admisibles.
Gestionar los riesgos de terceros tiene unos propósitos prácticos inmediatos que inciden en la contratación de la organización y en la gestión de compras y adquisiciones. No tendría sentido el trabajo de los profesionales del área de riesgos si su labor no estuviese alineada con los procesos de contratación, compra y adquisición.
El primer aspecto en el que la gestión de riesgos alcanza la gestión de compras, adquisiciones y contrataciones es la redacción de los contratos con proveedores de productos y servicios. En las cláusulas, además de los puntos obvios, se considerará:
No es posible el control de aquello que no se mide. Gestionar los riesgos de terceros es una tarea que no se aparta de este principio, y de ahí la importancia de mantener registros detallados y auditables sobre toda la gestión y sus resultados.
Algunos datos que se espera estén disponibles siempre son:
Gestionar los riesgos de terceros es una tarea continua y cíclica. Aún después de analizar y tratar los riesgos que implica un tercero determinado, la posibilidad de que aparezcan nuevas amenazas está siempre presente.
Cambios de regulaciones, obtención de nueva información, noticias sobre sanciones o litigios judiciales, entre otras, son circunstancias que obligan a monitorear de forma continua la gestión de riesgos de terceros. Algunos eventos puntuales a tener en cuenta al Gestionar los Riesgos de Terceros son:
Gestionar los riesgos de terceros, como hemos comentado, es una tarea que tiene alcance durante todo el ciclo de vida del proveedor, esto es desde que inicia la relación, hasta que esta se extingue.
Desvincular un proveedor es el último paso en la historia de la relación comercial, pero también de gestión de riesgos. Es preciso asegurar que se toman todas las medidas necesarias para salvaguardar la información, se conservan los registros históricos, se crea un registro único sobre el evento en el que se adjunta una evaluación general del proveedor, se incorpora un concepto sobre la elegibilidad o no en un futuro como contratista o proveedor…
Una lista de verificación es la mejor elección para asegurar un proceso completo de baja exitoso y seguro. Lo importante es que todo se documente y se cuente con la información necesaria para auditar o inspeccionar la gestión.
Gestionar los riesgos de terceros, como muchas otras actividades en el área, requerirá la participación de profesionales con los conocimientos apropiados. El Diplomado Risk Manager es un programa de excelencia que, además de ofrecer estos conocimientos, trabaja desde experiencias prácticas reales, y recursos gratuitos como modelos de evaluación, plantillas, manuales y una gran cantidad de importantes y exclusivos documentos elaborados por los más reconocidos profesionales a nivel internacional.
Si quieres formarte para gestionar y auditar Sistemas de Gestión de Riesgos en Europa y en cualquier país de América Latina, la Escuela Europea de Excelencia te apoya por medio del Programa de Becas Excellence.
Pero si lo prefieres, puedes proyectar tu carrera hacia el futuro ahora mismo.
Los vínculos que establece la organización con terceros implican un factor de riesgo. La gestión de riesgos de terceros identifica y trata las eventualidades que pueden afectar a la organización, por causa de su relación con proveedores, socios, inversores, concesionarios, contratistas, entre otros.
La gestión de riesgos de terceros ayuda a la organización a comprender qué hacen las personas u organizaciones con las que establece relaciones, cómo lo hacen y de qué forma esas acciones pueden afectar su capacidad para lograr objetivos comerciales vigilando las áreas de riesgo críticas.
Llega a su fin un periodo de dos años particularmente extraños. Años difíciles, diferentes, en los que la gestión de riesgos en el entorno corporativo ha sido especialmente compleja. Si al finalizar el año 2019, alguien hubiese mencionado una pandemia como una de las áreas de riesgo críticas, seguramente sus comentarios hubiesen sido desestimados e ignorados. El panorama actual es bien distinto.
Más allá de los efectos negativos evidentes que ha conllevado la emergencia sanitaria, en otro extremo, también es destacable el aprendizaje, la innovación, la capacidad de resiliencia y, sobre todo, la necesidad y la importancia que esta situación concede a la vigilancia de áreas de riesgo críticas en momentos coyunturales como este, cuando pasamos de un año a otro.
Las pequeñas y medianas empresas también necesitan gestionar sus riesgos. Pero la gestión de riesgos en PYMES es algo más que una oportunidad para mantenerse en el mercado. Debería ser, de acuerdo con el más sano sentido común, una decisión estratégica, promovida incluso a nivel institucional.
Después de todo, las PYMES son las generadoras de la mayor parte del empleo en países desarrollados como en mercados emergentes. Y decimos que la gestión de riesgos en PYMES es mucho más importante, porque se trata de organizaciones que aún son vulnerables a muchas amenazas, a las que las grandes corporaciones podrían sobrevivir, si bien con algunos problemas, pero finalmente, sobrevivir.
En el área de gestión de riesgos solemos encasillarnos en lo inmediato y en lo que tenemos cerca y podemos palpar. El análisis PESTEL de Riesgos Corporativos es un modelo de evaluación que permite identificar y establecer el real impacto de lo que conocemos como factores macro ambientales.
El problema de esto, que hemos dado en llamar factores macro ambientales, es que creemos que se trata de temas que sólo están en las noticias y que nunca nos afectarán realmente. Incluso podemos llegar a pensar que nuestros competidores o alguien en el gobierno o la comunidad se ocupará de ellos.
Establecer si las evaluaciones de riesgos son adecuadas y suficientes es una de las responsabilidades del auditor de riesgos. Realizar evaluaciones de riesgos efectivas resulta esencial para la supervivencia y el crecimiento de la organización.
No obstante la importancia de la tarea, son muchas las organizaciones que se equivocan al emprenderla. Pero esto, que sucede con mayor frecuencia de lo que pensamos, no es tan grave si tenemos un auditor de riesgos que encienda la alarma a tiempo y advierta sobre la insuficiencia de las evaluaciones de riesgos o la práctica inadecuada de ellas.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
