“El riesgo se puede definir como la
probabilidad de que ocurra un suceso que impida que una organización o persona
obtenga un resultado esperado en la realización de un negocio o un proyecto.
Así entonces, se puede entender que riesgo es la contingencia de sufrir una
pérdida económica en el desarrollo de cualquier tipo de actividad empresarial”.
La
administración de riesgo empresarial
para el Grupo Éxito es un proceso reconocido por el Consejo Directivo de la organización,
la administración y el personal en todos los niveles de la misma. Es aplicado
en el establecimiento de estrategias de
toda la empresa, diseñado para identificar eventos potenciales que puedan afectar a la entidad y administrar los
riesgos para proporcionar una seguridad e integridad razonable referente al
logro de objetivos.
La responsable de la
administración del riesgo en la compañía está en cabeza de la Contralora y para
ello esta designado un Departamento que tiene montado todo un esquema de
control del riesgo, en cual, se tipificaron dentro de una matriz de riesgos 39
riesgos potenciales y de acuerdo al impacto de cada uno en las áreas de la
empresa se establecieron unos controles que mitiguen el riesgo.
“La Gestión del Riesgo permite realizar una mejor práctica empresarial y por ende una gestión enfocada a la calidad de los procesos, productos y servicios que ofrece la empresa. Así mismo involucra el establecimiento de procesos de planeación estratégica y asignación de recursos, que se convierten en competencias que el Gerente debe enfocar en el control de los posibles eventos. En la Gestión de Riesgos, el gerente debe tener identificadas las amenazas y las oportunidades externas, de tal forma que pueda hacer una evaluación de las variables que están en el entorno, considerar la importancia de la conciencia en la cultura organizacional que permite la toma de decisiones, implementar un pensamiento visionario y poner en marcha estrategias de comunicación para que las personas en la organización comprendan los alcances de la misma.
El proceso de la Gestión del Riesgo como tal permite que sea aplicado en todas las organizaciones y en todas las áreas de la organización, bien sea desde un departamento, función o individuo que haga parte de la misma organización”.
Para ampliar este tema
vamos a ilustrar como se da la gestión del riesgo en el Departamento de Ventas
Empresariales e Institucionales, donde desde la matriz de procesos se revisaron
uno a uno los qué y los cómo y en algunos casos se fue al cómo del cómo, para establecer
un grupo de riesgos que se tipificaron dentro de la matriz de riesgos que tiene
la compañía son 39 y de ahí se establecieron unos controles a través de unas
pruebas que se realizan en 48 procesos en total para el área y donde mediante
un software que tiene preestablecidos los lineamientos de cómo se debe hacer el
proceso, el cual arroja una calificación dependiendo si el riesgo es moderado o
no y posterior a esto la Contraloría establece unos planes de acción con
compromisos claros para mitigar y corregir las desviaciones que se presentan en
el área. Cabe resaltar que los dueños de los procesos en todas las áreas son
los líderes que garantizan que el proceso sea fluido y objetivo.
“Una Gestión del Riesgo sólido aporta a un buen gobierno en la organización, brindando protección en dos vías. Primera, posiblemente los resultados adversos no sean tan grandes como se pudieron dar en relación a la no implementación de una gestión adecuada. Segundo los responsables de la gestión (los gerentes) tienen la opción de demostrar que han ejercido un nivel apropiado de diligencia en el manejo de la empresa”.
En este punto y como lo anotábamos
anteriormente, la las Directivas de la empresa están comprometidas con la
administración dl riesgo y por esto el Oficial de cumplimiento de la compañía
es la Contralora, además la empresa ha adoptado no solo el sistema de
evaluación de riesgos basado en las tendencias de administración de riesgo más
modernas, si no , que desde hace un año hace parte del pacto global el cual
contempla 10 principios enmarcados en 4 grandes grupos: Derechos humanos,
estándares laborales, anticorrupción y medio ambiente.
Identificación y Análisis del Riesgo:
“Identificar un riesgo
consiste en la aplicación de un procesos sistemático y estructurado que permita
hallar los riesgos (sean internos o externos a la organización) y determinar
cuáles de ellos van a tener un plan de tratamiento.
Esta actividad consiste, entonces, en elaborar un check list de las fuentes de riesgos y eventos que podrían tener impacto en el cumplimiento de los objetivos de la organización.
Esta actividad consiste, entonces, en elaborar un check list de las fuentes de riesgos y eventos que podrían tener impacto en el cumplimiento de los objetivos de la organización.
Una vez identificado cada factor de riesgo, se debe hacer un análisis de los mismos. Todo riesgo se analiza teniendo en cuenta dos elementos: la consecuencia y la posibilidad. Entendemos consecuencia como el resultado o impacto en la ocurrencia de un evento, que pueden ser, positivas o negativas, cualitativas o cuantitativas y se pueden considerar en relación con el logro de los objetivos. Entendemos la posibilidad como aquella característica general que describe la probabilidad o frecuencia del evento, la cual se puede expresar cuantitativa o cualitativamente.
¿Qué puede suceder? ¿Por qué puede suceder? Al momento de identificar los riesgos se debe generar también una lista de los eventos que pueden tener impacto en el logro de cada uno de los objetivos, igualmente debe llevar a identificar las posibles causas y escenarios, tratando de no omitir causas significativas.
El Grupo éxito tiene
montado todo un programa de administración de riesgos desde hace diez años que
se llama Autocontrol e impacta a todas las áreas de la empresa y se trabaja soportado
en un software (Guías de Autocontrol) que son personalizadas para cada
dependencia, es importante a notar que para el montaje de las guías se tienen
en cuenta la matriz de riesgos y la matriz de procesos para que desde ahí
partan los controles. La Calificación se hace con cortes trimestrales y
semestrales y los resultados son compartidos con la Alta Dirección de la
empresa.
Evaluación del Riesgo:
“La evaluación del riesgo
consiste en realizar una interpretación del riesgo, que se obtiene mediante el
análisis del mismo, de tal forma que le permita al Gerente tomar decisiones
futuras de acuerdo con los hallazgos de las evaluaciones.
Las evaluaciones realizadas permiten emitir un concepto sobre los planes a seguir, por lo tanto los criterios de evaluación ayudan a determinar el tipo de tratamiento que se le dará al riesgo en relación a su frecuencia y a los impactos generados. Se debe tener en cuenta que a la hora de hacer las evaluaciones se pueden encontrar posiciones subjetivas, lo que puede conducir a que la calificación del nivel de riesgo para un auditor sea diferente que para otro. Esto nos lleva a abordar un análisis lo más objetivo posible, teniendo en cuenta las necesidades de todos los afectados por el riesgo que se está evaluando.
El propósito de la evaluación del riesgo es tomar decisiones, basadas en los resultados del análisis, sobre los riesgos que necesitan tratamiento. Es recomendable tener en cuenta los objetivos de la organización.
En algunas situaciones, la evaluación del riesgo puede llevar a la decisión de emprender un análisis adicional. La evaluación del riesgo también puede tener como resultado la decisión de no tratar el riesgo de ninguna manera diferente del mantenimiento que se da por vía de los controles existentes. Esta decisión estará influida por la actitud de la organización hacia el riesgo y por los criterios del riesgo que se han establecido”.
Las evaluaciones realizadas permiten emitir un concepto sobre los planes a seguir, por lo tanto los criterios de evaluación ayudan a determinar el tipo de tratamiento que se le dará al riesgo en relación a su frecuencia y a los impactos generados. Se debe tener en cuenta que a la hora de hacer las evaluaciones se pueden encontrar posiciones subjetivas, lo que puede conducir a que la calificación del nivel de riesgo para un auditor sea diferente que para otro. Esto nos lleva a abordar un análisis lo más objetivo posible, teniendo en cuenta las necesidades de todos los afectados por el riesgo que se está evaluando.
El propósito de la evaluación del riesgo es tomar decisiones, basadas en los resultados del análisis, sobre los riesgos que necesitan tratamiento. Es recomendable tener en cuenta los objetivos de la organización.
En algunas situaciones, la evaluación del riesgo puede llevar a la decisión de emprender un análisis adicional. La evaluación del riesgo también puede tener como resultado la decisión de no tratar el riesgo de ninguna manera diferente del mantenimiento que se da por vía de los controles existentes. Esta decisión estará influida por la actitud de la organización hacia el riesgo y por los criterios del riesgo que se han establecido”.
Justamente, lo que se pretende con las Guías de autocontrol es mitigar
el riesgo mediante la evaluación objetiva de las diferentes pruebas en los
tiempos establecidos para poder controlar así las desviaciones que se presenten
en el día a día, luego de esta evaluación y de asignar una calificación la cual
tiene en cuenta por ejemplo si el proceso evaluando está documentado o no y con
base en otras variables que miden el impacto en los riesgos de la matriz se
establecen acciones concretas y compromisos que garanticen que el riesgo esta
mitigado y controlado, como lo anotamos anteriormente los dueños de los
procesos de cada área son los líderes del programa de autocontrol de la
empresa.
Plan de Gestión de Riesgos:
“El plan de gestión debe
definir la menea en que se va a conducir la Gestión del Riesgo en toda la
organización. El propósito del plan de Gestión del Riesgo debería abarcar todas
las prácticas y procesos importantes de la organización, de forma que dicho plan
sea pertinente, eficaz, eficiente y sostenido. La implementación de programas
de Gestión del Riesgo a todos los niveles es difícil, por lo debería incluirse
en el desarrollo de la política, en la planificación estratégica y del negocio
y en los procesos de gestión del cambio.
La Gestión del Riesgo se debería integrar a la filosofía de una organización, por lo tanto es necesario que la dirección o alta dirección establezca la política de Gestión de Riesgo en la organización. Esta política se deberá incorporar como parte de las políticas de gestión de una organización.”
En este punto es
importante destacar que por esto es que la Gestión de Riesgos del Grupo Éxito
se llama Autocontrol y este está apoyado desde la Alta Dirección y su equipo
Ejecutivo, así como de os Directores, Jefes de Departamento y todos los
empleados de la organización, para esto dentro del plan de formación se tiene
estipulado un programa de inducción en el tema y constantemente la empresa
ofrece a los empleados programas que sensibilizan y los comprometen para que el
tema del riesgo mediante el programa de autocontrol no sea un tema de moda, si
no, un estilo de vida donde todos son responsables de administrar y mitigar el
riesgo.
Plan de Contingencias:
El riesgo inherente en
todas las actividades empresariales es un elemento que debe ser objeto de constante
verificación. En la medida que el riesgo esté más latente en la organización,
se hace necesario tener establecidos planes o estrategias que permitan mitigar
la ocurrencia del mismo. Esta planeación, propia de los elementos de control de
la organización, es la que se denomina planes de contingencia, los cuales
consisten en definir el conjunto de medidas o de acciones que de carácter
preventivo o correctivo, se consideran necesarias en una organización para
generar una línea de actuación ante las variaciones o cambios del entorno o a
nivel interno de la organización.
Para la correcta elaboración del plan de contingencias se hace necesario determinar cuáles son los temas que la organización considera los más sensibles en cuanto a una latente afectación por la ocurrencia de uno o varios fenómenos, teniendo en cuanta la probabilidad de ocurrencia, la gravedad de ocurrencia y la proximidad, para a partir de este diagnóstico, establecer las estrategias del plan de contingencia.
Para las empresas es indispensable que tengan establecidos elementos que ayuden a construir planes de contingencia, que les permita tener una guía de reacción de tal forma que tengan la posibilidad de retomar el rumbo inicialmente establecido en la estrategia”.
Justamente dentro de las
recomendación que le hizo la Contraloria al Departamento de Ventas
Empresariales e Institucionales, es que estandarice y asegure el plan de
contingencia que se tiene previsto para la atención de los clientes mediante el
sistema SAP, es decir que los clientes empresariales son atendidos mediante
este sistema a nivel nacional en todos los almacenes y en todas las marcas,
pero como este sistema se nutre de las bases de datos que son subidas a diario
para que los cupos de los clientes estén activo y no es un proceso en línea, la
Contraloría detecto una falla en el proceso de contingencia y solicito a las
áreas de apoyo para que se mitigara el riesgo de que se caiga el sistema y no
se tengan las bases de datos actualizadas y por lo tnto haya un riesgo de pérdida
económica porque los clientes no puedan usar los cupos y de pérdida de imagen
al no entender esta situación. Por lo tanto la recomendación del auditor fue
asegurar el proceso al 100% para que en caso de ser necesario la contingencia
se aplique de forma fluida y segura.
No hay comentarios:
Publicar un comentario