miércoles, 25 de marzo de 2020

Prevención y gestión de riesgos; Bases conceptuales y aplicaciones


Estimad@s amig@s
Sinopsis
La prevención y gestión de riesgos es un tema muy relevante para cualquier organización. Una buena política de riesgos no garantiza el éxito, pero lo que es seguro es que una mala gestión de riesgos puede provocar el fracaso y desaparición de una empresa. Como se dice a menudo, los riesgos existen, pero la prevención también.
En esta
monografía se analizan los principales riesgos que afectan a las empresas y que estas deben gestionar adecuadamente si desean garantizar la continuidad del negocio. Entre otros temas se tratan:
• Principales riesgos que afectan a las empresas.
• Matriz de riesgos.
• Control de riesgos.
• Órganos de gobierno relacionados con la prevención y gestión de riesgos (Consejo de administración, Comité de auditoría…).
• Gestión de riesgos de corrupción, fraude y otras irregularidades en la contratación pública.
• Riesgo de auditoría.
• Riesgos financieros.
• Gestión de riesgos en las pymes.
• Puntos ciegos en la gestión de riesgos.
También se incluyen diversos casos prácticos para poder comprender mejor los temas tratados.

«Too big to fall»
Muy grande para caer

¿Cuántos recursos dedica nuestra empresa a la prevención y gestión de riesgos? Me atrevería a decir que pocos, seguimos infravalorando la necesidad de mapear los riesgos de la compañía, a pararnos a evaluarlos, reflexionar como poder minimizarlos, o como salir reforzados.

La prevención y gestión de riesgos es responsabilidad del Consejo que a su vez lo delega en el Comité de Auditoría y en compañías de mayor tamaño o donde el nivel de riesgos es más complejo debe de tener un Comité grupo de trabajo propio que sea capaz de evaluar, diagnosticar, y poner encima de la mesa recomendaciones.

Por otro lado el papel del Compliance cada vez está calando más en las compañías. No hace tanto cuando se hablaba en las compañías de normas de cumplimiento se miraba para otro lado, a día de hoy las compañías están bastante concienciadas de la necesidad de tener un director (interno o externo) de cumplimiento, no solo por las exigencias de contratación, sino por que han interiorizado la importancia de la labor de está persona ―departamento.

«No sólo has jugado con fuego,
has empapado las cerillas de gasolina»
Sung Kang

(…) El riesgo puede definirse como una función de: riesgo = ƒ(evento, probabilidad, impacto)[i].

• Los riesgos estratégicos
• Los riesgos operacionales
• Los riesgos financieros
– El riesgo de mercado
– El riesgo de liquidez
– El riesgo de crédito
• Los riesgos de cumplimiento

(…) en las empresas muy internacionalizadas y que compiten en un mercado global resulta imprescindible considerar los riesgos globales o mundiales de la economía (…) «riesgo global» aquel evento o condición potencial que, si se produce, puede tener un impacto negativo significativo en varios países e industrias dentro de los próximos diez años (…) Los riesgos macroeconómicos que analizan son:
 • La volatilidad de los mercados financieros mundiales y de las monedas.
• La incertidumbre en torno al liderazgo político en los mercados nacionales e internacionales puede limitar las oportunidades de crecimiento.
• Los cambios anticipados en las políticas comerciales globales pueden limitar nuestra capacidad para operar de manera efectiva y eficiente en los mercados internacionales.
• La capacidad de acceder a suficiente capital/liquidez puede restringir las oportunidades de crecimiento.
• Las condiciones económicas en los mercados que atendemos pueden restringir significativamente las oportunidades de crecimiento.
• La incertidumbre sobre los costes de la cobertura de salud.
• Cambios geopolíticos e inestabilidad en los regímenes gubernamentales.
• El aumento en los costes laborales.
• Las tasas de interés fijas bajas y sostenidas pueden tener un efecto significativo en las operaciones de la organización.

(…) riesgos propios de la empresa familiar, tales como: armonía familiar, continuidad y riesgo (disputas, asuntos matrimoniales, litigios); riesgo de seguridad física (salud, privacidad, seguridad, robo de información); riesgo del ecosistema (contratar a los miembros/asesores del personal equivocados); riesgo de longevidad y mortalidad (sobrevivencia de dinero, sin testamento/plan de sucesión); y el riesgo de persona clave (grado de capacidad, control e influencia).

(…) El riesgo de auditoría es función del riesgo de incorrección material y del riesgo de detección (…)  
• Riesgo de incorrección material (RIM). Se trata del riesgo de que en los estados financieros pueda haber alguna incorrección significativa de forma previa a la auditoría (…)
– Riesgo inherente (RI). Es el riesgo de error significativo que determina la propia actividad de la empresa, que puede ser más o menos compleja.
– Riesgo de control (RC) (…) es el riesgo de que existiendo un error este no sea detectado y corregido por el control interno de la entidad.

• Riesgo de detección (RD). Se trata del riesgo de que los procedimientos desarrollados por el auditor no puedan detectar la incorrección material y alertar a la entidad del error.

Valoración del riesgo
¿Qué hechos podrían ocurrir que causaran una incorrección material de los estados financieros?

Respuesta al riesgo valorado
¿Ocurrieron los hechos valorados identificados y resultaron en una incorreción material en los estados financieros?

Informe de auditoria
¿Qué opinión de auditoría sobre los estados financieros es adecuada basándose en la evidencia obtenida?

El objetivo de la auditoría de cuentas (..) es «la obtención de una seguridad razonable de que los estados financieros en su conjunto están libres de incorrección material, debida a fraude o error, que permita al auditor expresar una opinión sobre si los estados financieros están preparados, en todos los aspectos materiales, de conformidad con un marco de información financiera aplicable; la emisión de un informe sobre los estados financieros, y el cumplimiento de los requerimientos de comunicación contenidos en las NIA[ii], a la luz de los hallazgos del auditor».

(…) hay riesgos de negocio que acaban teniendo un impacto en los estados financieros y, por tanto, conocer estos riesgos de negocio aumenta la probabilidad de identificar correctamente los riesgos de incorrección material (…)

Componentes de control interno
Entorno de control
Proceso de valoración del riesgo por la entidad:
Sistema de información
– qué tipo de transacciones son significativas para la entidad,
– procedimientos, manuales y de las tecnologías de la información,
– registros contables,
– cómo el sistema de información captura hechos y condiciones significativos para los estados financieros,
– proceso seguido en la preparación de los estados financieros,
– controles establecidos para los asientos contables.
Actividades de control relevantes para la auditoría
Seguimiento de los controles

El conocimiento de la entidad y su entorno concluye con:
• Una evaluación por parte del auditor de si los riesgos identificados se relacionan de forma generalizada o no con el conjunto de los estados financieros (…)
• Relacionando dichos riesgos con posibles incorrecciones en las afirmaciones (…)  
• Considerar la probabilidad de que existan incorrecciones (…)

(…) el auditor debe evaluar si de los riesgos identificados alguno es significativo[iii] (…) para juzgarlos, el auditor debe considerar como mínimo:
• Riesgo de fraude (…)
• Riesgos relacionados con acontecimientos económicos, contables o de otra naturaleza, recientes y significativos.
• Complejidad de las transacciones.
• Riesgos que afecten a transacciones significativas con partes vinculadas.
• Grado de subjetividad de la medición de la información financiera (…)
• Riesgos que afecten a transacciones significativas ajenas al curso normal de los negocios de la entidad (…)

El entorno cambiante actual hace que las sociedades estén sometidas a una serie de riesgos tanto internos como externos que deben ser considerados por los administradores en la elaboración de sus estados financieros (…) el auditor de cuentas debe enfocar su trabajo, desde la planificación hasta las conclusiones, en la identificación, gestión y mitigación de esos riesgos.

La matriz de riesgos de auditoría nos permite recoger en un solo papel los riesgos detectados durante el proceso de auditoría, la evaluación que se ha dado a los mismos, su tratamiento durante el encargo y el posible impacto que han tenido en el informe de auditoría.

La NIA-ES 315 aporta una serie de actividades preliminares con la intención de conocer el negocio, sus objetivos, sus procesos... y cuya realización orienta al auditor, de forma preliminar, a la detección de posibles riesgos inherentes o de control, a saber:
• Indagaciones ante la dirección y otras personas de la entidad.
• Procedimientos analíticos.
• Observación e inspección.
• Experiencia anterior con la entidad.
• Discusiones equipo de trabajo.

(…) los principales componentes del equipo de auditoría deben ser capaces de responder a las siguientes preguntas:
¿Cuáles son los principales procesos de la compañía y qué estrategias establece para que con esos procesos se alcancen sus objetivos?
¿Qué cambios importantes ha habido dentro de la compañía y también externos que puedan afectar al negocio?
¿Cuáles son las particularidades del sector del cliente y qué posición ocupa dentro de él?
¿Qué estructura tiene, quiénes son los propietarios y cuál es la relación entre la propiedad y la gestión?

La matriz de riesgo de auditoría resulta una herramienta simple y de máxima utilidad para el auditor en su labor de detectar, evaluar y minimizar los riesgos de auditoría así como emitir un informe de auditoría libre de errores, aportando en un solo papel una visión global de las áreas de mayor riesgo del encargo. Su aplicación ayuda a la gestión de escenarios cambiantes dentro del proceso de auditoría así como a una mejor gestión y entendimiento del riesgo de negocio.

(…) la «gestión de riesgos» como un área especializada de la gestión empresarial cuyo objetivo es identificar, controlar y prevenir riesgos (…)

(…) una de las causas de la última crisis económico-financiera fue la debilidad del gobierno corporativo en la función de supervisión y control de riesgos especialmente en el sector financiero, provocando un «efecto cascada» en el resto de las compañías (…)

(…) Para poder llevar a cabo la gestión de riesgos (…) identificar los riesgos a los que se enfrenta la empresa (…) se llevará a cabo el análisis y cuantificación de los mismos (…) se realizará la planificación y respuesta a los riesgos (…) transformar los riesgos en ventajas competitivas frente a otras empresas de la competencia que les permitan crear valor (…) la supervisión de la gestión del riesgo consistirá en supervisar todas las fases realizadas en la gestión del riesgo.

(…) desarrollo de una cultura de riesgos adecuada[iv], lo cual debe tener en cuenta las características de la empresa tales como su ámbito de actividad, tamaño, proyección internacional o complejidad e indica que «para que una política de riesgos sea eficaz y coherente, debe estar claramente “definida desde arriba”, es decir, debe ser decidida por el consejo de administración para toda la organización».

(…) son facultades indelegables del consejo de administración de las sociedades cotizadas[v] la determinación de las políticas de responsabilidad social corporativa y de control y gestión de riesgos, incluidos los fiscales, así como la supervisión de los sistemas internos de información y control (…) la recomendación de que las sociedades cotizadas cuenten con una función de control y gestión de riesgos ejercida por una unidad interna de la sociedad a la que se le asignen expresamente esas funciones (…)[vi] bajo la supervisión de una comisión especializada del consejo de administración (que podrá ser la comisión de auditoría u otra comisión con una composición adecuada) (…) destacar el apartado que hace referencia a los mecanismos de supervisión del riesgo no financiero, la ética y la conducta empresarial (…) la sociedad deberá recoger la citada información en un documento separado o en el informe de gestión[vii].

(…) la LSC[viii] establece que el consejo de administración deberá constituir, entre otras, una comisión de auditoría (…) que estará compuesta exclusivamente por consejeros no ejecutivos, nombrados por el consejo de administración, debiendo ser la mayoría consejeros independientes, asegurando así que se representen los intereses de los accionistas (…) uno de los consejeros independientes será nombrado en base a sus conocimientos y experiencia en contabilidad y/o auditoría (…) cualidades que les permitirá ejercitar sus funciones de supervisión y control de manera más eficiente (…) el presidente será nombrado entre los consejeros independientes (…) aspecto que puede evitar que dicha comisión sea manejada por la dirección de la empresa (…) aporta mayor objetividad para llevar a cabo los procedimientos de control internos (…) lo que redundará en una mayor eficacia de la comisión (…)

(…) funciones mínimas de la comisión de auditoría (…) informar a la junta general de accionistas, supervisar la eficacia del control interno, de la auditoría interna, de los sistemas de gestión de riesgos y del proceso de elaboración y presentación de la información financiera preceptiva así como proponer la selección, nombramiento, reelección y sustitución del auditor externo y supervisar su independencia (…)

(…) será más eficiente constituir una unidad separada para llevar a cabo dichas funciones, sobre todo en empresas que operan en entornos complejos y competitivos, formada por personal cualificado para esas tareas, a que dicha labor sea asumida por el comité de auditoría, cuyos miembros pueden no estar familiarizados con la gestión de todo tipo de riesgos, más allá de los riegos financieros.

(…) conforme a las recomendaciones del CBGSC (…) las sociedades cotizadas deben recoger en su IAGC[ix] (…) referente a la política de gestión de riesgos y los sistemas de control establecidos, identificando los riesgos potenciales a los que se enfrenta y los que se han materializado durante el ejercicio, así como el órgano encargado de establecer y supervisar los dispositivos de control.

A) Sistemas de control y gestión de riesgos
A.1) Indique el alcance del sistema de gestión de riesgos de la sociedad, incluidos los de naturaleza fiscal
A.2) Identifique los órganos de la sociedad responsables de la elaboración y ejecución del sistema de gestión de riesgos, incluido el fiscal
A.3) Señale los principales riesgos, incluidos los fiscales, que pueden afectar a la consecución de los objetivos de negocio
A.4) Identifique si la entidad cuenta con un nivel de tolerancia al riesgo, incluido el fiscal
A.5) Indique qué riesgos, incluidos los fiscales, se han materializado durante el ejercicio
A.6) Explique los planes de respuesta y supervisión para los principales riesgos de la entidad, incluidos los fiscales

B) Sistemas internos de control y gestión de riesgos en relación con el proceso de emisión de la información financiera (SCIIF)
B.1) Entorno de control de la entidad
B.2) Evaluación de riesgos de la información financiera
B.3) Actividades de control
B.4) Información y comunicación
B.5.) Supervisión del funcionamiento del sistema
B.6) Otra información relevante
B.7) Informe del auditor externo

(…) es el consejo de administración el órgano que debe asumir la tarea de fijar las políticas de control y gestión de riesgos, aspecto que requiere la interiorización de las mismas por parte de los consejeros, insertándose estas funciones en la cultura de la empresa y consiguiendo, de esta manera, la implicación de toda la organización en los diferentes procesos y procedimientos (…)

La gestión de riesgos de corrupción, fraude y otras irregularidades en la contratación publica
Riesgos para la integridad
1. Identificar
2. Analizar
3. Evaluar
4. Tratar à Implantar el plan de integridad
5. Hacer el seguimiento

(…) grandes áreas de riesgo, comunes a cualquier ente publico que contrate obras, suministros o servicios (…)
Áreas de riesgo y riesgos en la preparación de los contratos
• Áreas de riesgo y riesgos en la licitación de contratos
• Áreas de riesgo y riesgos en la ejecución de contratos

La matriz de riesgos
1. Identificación de riesgos.
2. Evaluación de la probabilidad de que ocurra el riesgo y la gravedad que este supone para la empresa.
• Método cualitativo.
• Método semicuantitativo.
3. Representación de la matriz de riesgos.

Actitudes frente a cada tipo de riesgo
• Cancelar el riesgo.
• Transferir el riesgo.
• Mitigar el riesgo.
• Aceptar el riesgo.

Dividimos los riesgos en cuatro grandes grupos:
• Riesgos estratégicos (…) provienen del estudio de mercado y la competencia. Más concretamente, cómo tener una buena presencia comercial.
• Riesgos operativos (…) hay una gran variedad de riesgos (…) los más importantes son los riesgos laborales (…)
Otro riesgo es la morosidad (…)
• Riesgos financieros. Para evaluar este tipo de riesgos podemos analizar los estados financieros de la empresa (…) hay diversos riesgos que no se pueden observar en ellos: la fluctuación de precios y de divisas (…)
• Riesgo de cumplimiento

Los instrumentos que se utilizan esencialmente en los mercados financieros nacionales e internacionales para gestionar el riesgo financiero son,
Futuros: que son contratos –que tienen características de emisión y de operación estandarizados– que implican la obligación de comprar o vender una cierta cantidad y calidad preestablecida de un bien o activo subyacente en una fecha, lugar y precio fijados el día en el que se pacta el contrato.
Opciones: contratos que otorgan el derecho, pero no la obligación, de comprar o vender un activo a un precio determinado en una fecha (o periodo) preestablecido.
Swap: se refiere al intercambio de un activo por otro. Por ejemplo, intercambio de tipos de cambio, intercambio de divisas, intercambio de deuda, etc. Los swaps convencionales son típicamente un intercambio de obligaciones con tipos de interés variable por obligaciones con tipo de interés fijo.

(...) una cultura de efectividad no puede lograrse mediante la incorporación de una serie de procesos mecánicos de gestión que no agregan valor en sí mismos si no están bien diseñados, por una parte, y por la otra, es probable que todas estas «liturgias» de control y cumplimiento no se apliquen a los cambios reales que están afectando a las industrias producto de la disrupción tecnológica por la que estamos atravesando.

(…) lo que hemos aprendido del compliance es que; (a) es necesario, (b) tiende a superponerse con otros mecanismos de integración y (c) más control no es necesariamente mejormejor control es clave y la tecnología puede ayudar.

«Toda persona debe decidir una vez en su vida
 si se lanza a triunfar,
arriesgándolo todo,
o si se sienta a ver el paso de los triunfadores»
Thomas Alva Edison


Link de interés

«No es de hombre prudente
nadar contra corriente»

Recibid un cordial saludo


[i] Cormican, 2014
[ii] Normas Internacionales de Auditoria
[iii] «a juicio del auditor, requieren una consideración especial en la auditoría»
[iv] Libro verde la Comisión Europea
[v] En lo que a las sociedades no cotizadas se refiere, el artículo 249 bis, de la LSC introducido por la citada Ley 31/2014, añade entre las facultades indelegables del consejo, la determinación de las políticas y estrategias generales de la sociedad. A diferencia de lo que ocurre en el caso de las sociedades cotizadas, la legislación en este caso no señala políticas concretas. No obstante, siguiendo a Aramburu (2017), «ello no significa que en las sociedades no cotizadas las políticas de ética empresarial y cumplimiento normativo y control y gestión de riesgos no sean funciones indelegables del consejo, en la medida en que estas son políticas o estrategias generales de las compañías».
[vi] Recomendación 46 Código de Buen Gobierno de Sociedades Cotizadas
[vii] Recomendación 55 Código de Buen Gobierno de Sociedades Cotizadas
[viii] Ley de Sociedades de Capital
[ix] Informe Anual de Gobierno Corporativo

No hay comentarios: