Estimad@s amig@s
Sinopsis
La prevención
y gestión de riesgos es un tema muy relevante para cualquier
organización. Una buena política de riesgos no garantiza el éxito,
pero lo que es seguro es que una mala gestión de riesgos puede provocar
el fracaso y desaparición de una empresa. Como se dice a
menudo, los riesgos existen, pero la prevención también.
En esta monografía se analizan los principales riesgos que afectan a las empresas y que estas deben gestionar adecuadamente si desean garantizar la continuidad del negocio. Entre otros temas se tratan:
• Principales riesgos que afectan a las empresas.
En esta monografía se analizan los principales riesgos que afectan a las empresas y que estas deben gestionar adecuadamente si desean garantizar la continuidad del negocio. Entre otros temas se tratan:
• Principales riesgos que afectan a las empresas.
• Matriz de riesgos.
• Control de riesgos.
• Órganos de gobierno
relacionados con la prevención y gestión de riesgos (Consejo de administración,
Comité de auditoría…).
• Gestión de riesgos de
corrupción, fraude y otras irregularidades en la contratación pública.
• Riesgo de auditoría.
• Riesgos financieros.
• Gestión de riesgos en las
pymes.
• Puntos ciegos en la
gestión de riesgos.
También se incluyen diversos
casos prácticos para poder comprender mejor los temas tratados.
«Too big to
fall»
Muy grande para caer
¿Cuántos recursos dedica
nuestra empresa a la prevención
y gestión de riesgos? Me atrevería a decir
que pocos, seguimos infravalorando la necesidad de mapear los riesgos de la
compañía, a pararnos a evaluarlos, reflexionar como poder minimizarlos, o como
salir reforzados.
La prevención
y gestión de riesgos es responsabilidad del Consejo
que a su vez lo delega en el Comité de Auditoría y en compañías de mayor
tamaño o donde el nivel de riesgos es más complejo debe de tener un Comité ―grupo
de trabajo propio que sea capaz de evaluar, diagnosticar, y poner encima de la
mesa recomendaciones.
Por otro lado el papel del Compliance
cada vez está calando más en las compañías. No hace tanto cuando se hablaba en
las compañías de normas de cumplimiento se miraba para otro lado, a día de hoy las
compañías están bastante concienciadas de la necesidad de tener un director
(interno o externo) de cumplimiento, no solo por las exigencias de
contratación, sino por que han interiorizado la importancia de la labor de está
persona ―departamento.
«No sólo has
jugado con fuego,
has
empapado las cerillas de gasolina»
Sung Kang
(…) El riesgo puede
definirse como una función de: riesgo = ƒ(evento, probabilidad, impacto)[i].
• Los riesgos estratégicos
• Los riesgos operacionales
• Los riesgos financieros
– El riesgo de mercado
– El riesgo de liquidez
– El riesgo de crédito
• Los riesgos de cumplimiento
(…) en las empresas muy
internacionalizadas y que compiten en un mercado global resulta imprescindible
considerar los riesgos globales o mundiales de la economía
(…) «riesgo global» aquel evento o condición potencial que, si se
produce, puede tener un impacto negativo significativo en varios países e
industrias dentro de los próximos diez años (…) Los riesgos macroeconómicos que
analizan son:
• La volatilidad de los mercados financieros
mundiales y de las monedas.
• La incertidumbre en torno
al liderazgo político en los mercados nacionales e internacionales puede
limitar las oportunidades de crecimiento.
• Los cambios anticipados en
las políticas comerciales globales pueden limitar nuestra capacidad para operar
de manera efectiva y eficiente en los mercados internacionales.
• La capacidad de acceder a
suficiente capital/liquidez puede restringir las oportunidades de crecimiento.
• Las condiciones económicas
en los mercados que atendemos pueden restringir significativamente las
oportunidades de crecimiento.
• La incertidumbre sobre los
costes de la cobertura de salud.
• Cambios geopolíticos e
inestabilidad en los regímenes gubernamentales.
• El aumento en los costes laborales.
• Las tasas de interés fijas
bajas y sostenidas pueden tener un efecto significativo en las operaciones de
la organización.
(…) riesgos propios de la empresa
familiar, tales como: armonía familiar, continuidad y riesgo
(disputas, asuntos matrimoniales, litigios); riesgo de seguridad física
(salud, privacidad, seguridad, robo de información); riesgo del ecosistema
(contratar a los miembros/asesores del personal equivocados); riesgo de longevidad
y mortalidad (sobrevivencia de dinero, sin testamento/plan de sucesión);
y el riesgo de persona clave (grado de capacidad, control e influencia).
(…) El riesgo de
auditoría es función del riesgo de incorrección material y del
riesgo de detección (…)
• Riesgo de incorrección
material (RIM). Se trata del riesgo de que en los estados
financieros pueda haber alguna incorrección significativa de forma previa a la
auditoría (…)
– Riesgo inherente (RI).
Es el riesgo de error significativo que determina la propia actividad de la
empresa, que puede ser más o menos compleja.
– Riesgo de control (RC)
(…) es el riesgo de que existiendo un error este no sea detectado y corregido
por el control interno de la entidad.
• Riesgo de detección
(RD). Se trata del riesgo de que los procedimientos desarrollados por el
auditor no puedan detectar la incorrección material y alertar a la entidad del
error.
Valoración del riesgo
• ¿Qué hechos podrían ocurrir
que causaran una incorrección material de los estados financieros?
Respuesta al riesgo
valorado
• ¿Ocurrieron los hechos
valorados identificados y resultaron en una incorreción material en los estados
financieros?
Informe de auditoria
• ¿Qué opinión de auditoría
sobre los estados financieros es adecuada basándose en la evidencia obtenida?
El objetivo de la auditoría
de cuentas (..) es «la obtención de una seguridad razonable de que los
estados financieros en su conjunto están libres de incorrección material,
debida a fraude o error, que permita al auditor expresar una opinión sobre si
los estados financieros están preparados, en todos los aspectos materiales, de
conformidad con un marco de información financiera aplicable; la emisión de un
informe sobre los estados financieros, y el cumplimiento de los requerimientos
de comunicación contenidos en las NIA[ii],
a la luz de los hallazgos del auditor».
(…) hay riesgos de
negocio que acaban teniendo un impacto en los estados financieros
y, por tanto, conocer estos riesgos de negocio aumenta la probabilidad
de identificar correctamente los riesgos de incorrección material (…)
Componentes de control
interno
• Entorno de control
• Proceso de valoración
del riesgo por la entidad:
• Sistema de información
– qué tipo de transacciones
son significativas para la entidad,
– procedimientos, manuales y
de las tecnologías de la información,
– registros contables,
– cómo el sistema de
información captura hechos y condiciones significativos para los estados
financieros,
– proceso seguido en la
preparación de los estados financieros,
– controles establecidos
para los asientos contables.
• Actividades de control
relevantes para la auditoría
• Seguimiento de los
controles
El conocimiento de la
entidad y su entorno concluye con:
• Una evaluación por parte
del auditor de si los riesgos identificados se relacionan de forma generalizada
o no con el conjunto de los estados financieros (…)
• Relacionando dichos
riesgos con posibles incorrecciones en las afirmaciones (…)
• Considerar la probabilidad
de que existan incorrecciones (…)
(…) el auditor debe evaluar
si de los riesgos identificados alguno es significativo[iii]
(…) para juzgarlos, el auditor debe considerar como mínimo:
• Riesgo de fraude (…)
• Riesgos relacionados con
acontecimientos económicos, contables o de otra naturaleza, recientes y significativos.
• Complejidad de las transacciones.
• Riesgos que afecten a
transacciones significativas con partes vinculadas.
• Grado de subjetividad de
la medición de la información financiera (…)
• Riesgos que afecten a
transacciones significativas ajenas al curso normal de los negocios de la
entidad (…)
El entorno cambiante actual
hace que las sociedades estén sometidas a una serie de riesgos tanto internos
como externos que deben ser considerados por los administradores en la
elaboración de sus estados financieros (…) el auditor de cuentas
debe enfocar su trabajo, desde la planificación hasta las conclusiones, en la identificación,
gestión y mitigación de esos riesgos.
La matriz de riesgos
de auditoría nos permite recoger en un solo papel los riesgos detectados
durante el proceso de auditoría, la evaluación que se ha dado a los mismos, su
tratamiento durante el encargo y el posible impacto que han tenido en el
informe de auditoría.
La NIA-ES 315
aporta una serie de actividades preliminares con la intención de conocer el
negocio, sus objetivos, sus procesos... y cuya realización orienta al auditor,
de forma preliminar, a la detección de posibles riesgos inherentes
o de control, a saber:
• Indagaciones ante la
dirección y otras personas de la entidad.
• Procedimientos analíticos.
• Observación e inspección.
• Experiencia anterior con
la entidad.
• Discusiones equipo de
trabajo.
(…) los principales
componentes del equipo de auditoría deben ser capaces de responder a las
siguientes preguntas:
• ¿Cuáles son los
principales procesos de la compañía y qué estrategias establece para que con
esos procesos se alcancen sus objetivos?
• ¿Qué cambios
importantes ha habido dentro de la compañía y también externos que puedan
afectar al negocio?
• ¿Cuáles son las
particularidades del sector del cliente y qué posición ocupa dentro de él?
• ¿Qué estructura tiene,
quiénes son los propietarios y cuál es la relación entre la propiedad y la
gestión?
La matriz de riesgo de
auditoría resulta una herramienta simple y de máxima utilidad para
el auditor en su labor de detectar, evaluar y minimizar
los riesgos de auditoría así como emitir un informe de auditoría
libre de errores, aportando en un solo papel una visión global de
las áreas de mayor riesgo del encargo. Su aplicación ayuda
a la gestión de escenarios cambiantes dentro del proceso de
auditoría así como a una mejor gestión y entendimiento del riesgo de negocio.
(…) la «gestión de
riesgos» como un área especializada de la gestión
empresarial cuyo objetivo es identificar, controlar y prevenir
riesgos (…)
(…) una de las causas de la
última crisis económico-financiera fue la debilidad del gobierno
corporativo en la función de supervisión y control de riesgos
especialmente en el sector financiero, provocando un «efecto cascada» en el
resto de las compañías (…)
(…) Para poder llevar a cabo
la gestión de riesgos (…) identificar los riesgos a los que se enfrenta
la empresa (…) se llevará a cabo el análisis y cuantificación de los mismos (…)
se realizará la planificación y respuesta a los riesgos (…) transformar los riesgos
en ventajas competitivas frente a otras empresas de la competencia que les
permitan crear valor (…) la supervisión de la gestión del riesgo consistirá en
supervisar todas las fases realizadas en la gestión del riesgo.
(…) desarrollo de una cultura
de riesgos adecuada[iv],
lo cual debe tener en cuenta las características de la empresa
tales como su ámbito de actividad, tamaño, proyección
internacional o complejidad e indica que «para que una política de
riesgos sea eficaz y coherente, debe estar claramente “definida desde arriba”,
es decir, debe ser decidida por el consejo de administración para
toda la organización».
(…) son facultades
indelegables del consejo de administración de las sociedades
cotizadas[v]
la determinación de las políticas de responsabilidad social corporativa
y de control y gestión de riesgos, incluidos los fiscales, así
como la supervisión de los sistemas internos de información y control
(…) la recomendación de que las sociedades cotizadas cuenten con una función
de control y gestión de riesgos ejercida por una unidad interna
de la sociedad a la que se le asignen expresamente esas funciones (…)[vi]
bajo la supervisión de una comisión especializada del consejo
de administración (que podrá ser la comisión de auditoría u otra
comisión con una composición adecuada) (…) destacar el apartado que hace
referencia a los mecanismos de supervisión del riesgo no financiero,
la ética y la conducta empresarial (…) la sociedad deberá recoger
la citada información en un documento separado o en el informe de gestión[vii].
(…) la LSC[viii]
establece que el consejo de administración deberá constituir, entre
otras, una comisión de auditoría (…) que estará compuesta exclusivamente
por consejeros no ejecutivos, nombrados por el consejo de
administración, debiendo ser la mayoría consejeros independientes,
asegurando así que se representen los intereses de los accionistas
(…) uno de los consejeros independientes será nombrado en base a sus conocimientos
y experiencia en contabilidad y/o auditoría (…) cualidades que
les permitirá ejercitar sus funciones de supervisión y control
de manera más eficiente (…) el presidente será nombrado entre los
consejeros independientes (…) aspecto que puede evitar que dicha
comisión sea manejada por la dirección de la empresa (…) aporta mayor
objetividad para llevar a cabo los procedimientos de control internos
(…) lo que redundará en una mayor eficacia de la comisión (…)
(…) funciones mínimas de la comisión
de auditoría (…) informar a la junta general de accionistas, supervisar
la eficacia del control interno, de la auditoría
interna, de los sistemas de gestión de riesgos y del proceso
de elaboración y presentación de la información financiera
preceptiva así como proponer la selección, nombramiento, reelección
y sustitución del auditor externo y supervisar su independencia
(…)
(…) será más eficiente
constituir una unidad separada para llevar a cabo dichas funciones, sobre todo
en empresas que operan en entornos complejos y competitivos,
formada por personal cualificado para esas tareas, a que dicha labor sea
asumida por el comité de auditoría, cuyos miembros pueden no estar
familiarizados con la gestión de todo tipo de riesgos, más allá de los riegos
financieros.
(…) conforme a las
recomendaciones del CBGSC (…) las sociedades cotizadas deben recoger en
su IAGC[ix]
(…) referente a la política de gestión de riesgos y los sistemas
de control establecidos, identificando los riesgos potenciales
a los que se enfrenta y los que se han materializado durante el ejercicio, así
como el órgano encargado de establecer y supervisar los dispositivos de
control.
A) Sistemas de control y
gestión de riesgos
A.1) Indique el alcance del
sistema de gestión de riesgos de la sociedad, incluidos los de naturaleza
fiscal
A.2) Identifique los órganos
de la sociedad responsables de la elaboración y ejecución del sistema de
gestión de riesgos, incluido el fiscal
A.3) Señale los principales
riesgos, incluidos los fiscales, que pueden afectar a la consecución de los
objetivos de negocio
A.4) Identifique si la
entidad cuenta con un nivel de tolerancia al riesgo, incluido el fiscal
A.5) Indique qué riesgos,
incluidos los fiscales, se han materializado durante el ejercicio
A.6) Explique los planes de
respuesta y supervisión para los principales riesgos de la entidad, incluidos
los fiscales
B) Sistemas internos de
control y gestión de riesgos en relación con el proceso de emisión de la
información financiera (SCIIF)
B.1) Entorno de control de
la entidad
B.2) Evaluación de riesgos
de la información financiera
B.3) Actividades de control
B.4) Información y
comunicación
B.5.) Supervisión del
funcionamiento del sistema
B.6) Otra información
relevante
B.7) Informe del auditor
externo
(…) es el consejo de
administración el órgano que debe asumir la tarea de fijar las políticas
de control y gestión de riesgos, aspecto que requiere la
interiorización de las mismas por parte de los consejeros, insertándose estas
funciones en la cultura de la empresa y consiguiendo, de esta
manera, la implicación de toda la organización en los diferentes procesos y
procedimientos (…)
La gestión de riesgos de
corrupción, fraude y otras irregularidades en la contratación
publica
Riesgos para la integridad
1. Identificar
2. Analizar
3. Evaluar
4. Tratar à
Implantar el plan de integridad
5. Hacer el seguimiento
(…) grandes áreas de
riesgo, comunes a cualquier ente publico que contrate obras, suministros o
servicios (…)
• Áreas de riesgo y
riesgos en la preparación de los contratos
• Áreas de riesgo y riesgos
en la licitación de contratos
• Áreas de riesgo y riesgos
en la ejecución de contratos
La matriz de riesgos
1. Identificación de
riesgos.
2. Evaluación de la
probabilidad de que ocurra el riesgo y la gravedad que este supone para la
empresa.
• Método cualitativo.
• Método semicuantitativo.
3. Representación de la
matriz de riesgos.
Actitudes frente a cada tipo
de riesgo
• Cancelar el riesgo.
• Transferir el riesgo.
• Mitigar el riesgo.
• Aceptar el riesgo.
Dividimos los riesgos
en cuatro grandes grupos:
• Riesgos estratégicos
(…) provienen del estudio de mercado y la competencia. Más concretamente, cómo
tener una buena presencia comercial.
• Riesgos operativos (…)
hay una gran variedad de riesgos (…) los más importantes son los riesgos laborales
(…)
Otro riesgo es la morosidad
(…)
• Riesgos financieros.
Para evaluar este tipo de riesgos podemos analizar los estados financieros de
la empresa (…) hay diversos riesgos que no se pueden observar en ellos: la
fluctuación de precios y de divisas (…)
• Riesgo de cumplimiento
Los instrumentos que se
utilizan esencialmente en los mercados financieros nacionales e internacionales
para gestionar el riesgo financiero son,
• Futuros: que son
contratos –que tienen características de emisión y de operación estandarizados–
que implican la obligación de comprar o vender una cierta cantidad y calidad
preestablecida de un bien o activo subyacente en una fecha, lugar y precio
fijados el día en el que se pacta el contrato.
• Opciones: contratos
que otorgan el derecho, pero no la obligación, de comprar o vender un activo a
un precio determinado en una fecha (o periodo) preestablecido.
• Swap: se
refiere al intercambio de un activo por otro. Por ejemplo, intercambio de tipos
de cambio, intercambio de divisas, intercambio de deuda, etc. Los swaps
convencionales son típicamente un intercambio de obligaciones con tipos de
interés variable por obligaciones con tipo de interés fijo.
(...) una cultura de
efectividad no puede lograrse mediante la incorporación de una serie de
procesos mecánicos de gestión que no agregan valor en sí mismos si no están
bien diseñados, por una parte, y por la otra, es probable que todas estas
«liturgias» de control y cumplimiento no se apliquen a los cambios reales que
están afectando a las industrias producto de la disrupción tecnológica
por la que estamos atravesando.
(…) lo que hemos aprendido
del compliance es que; (a) es necesario, (b) tiende a superponerse
con otros mecanismos de integración y (c) más control no es
necesariamente mejor –mejor control es clave y la tecnología puede
ayudar.
«Toda persona debe
decidir una vez en su vida
si
se lanza a triunfar,
arriesgándolo
todo,
o si
se sienta a ver el paso de los triunfadores»
Thomas
Alva Edison
Link de interés
«No es de hombre
prudente,
nadar contra
corriente»
Recibid un cordial saludo
[i] Cormican, 2014
[ii] Normas Internacionales de Auditoria
[iii] «a juicio del auditor, requieren una
consideración especial en la auditoría»
[iv] Libro verde la Comisión Europea
[v] En lo que a las sociedades no
cotizadas se refiere, el artículo 249 bis, de la LSC introducido por la citada
Ley 31/2014, añade entre las facultades indelegables del consejo, la
determinación de las políticas y estrategias generales de la sociedad. A
diferencia de lo que ocurre en el caso de las sociedades cotizadas, la
legislación en este caso no señala políticas concretas. No obstante, siguiendo
a Aramburu (2017), «ello no significa que en las sociedades no cotizadas las
políticas de ética empresarial y cumplimiento normativo y control y gestión de
riesgos no sean funciones indelegables del consejo, en la medida en que
estas son políticas o estrategias generales de las compañías».
[vi] Recomendación 46 Código de Buen
Gobierno de Sociedades Cotizadas
[vii] Recomendación 55 Código de Buen
Gobierno de Sociedades Cotizadas
[viii] Ley de Sociedades de Capital
[ix] Informe Anual de Gobierno Corporativo
No hay comentarios:
Publicar un comentario