La velocidad con la que se producen los cambios en el entorno empresarial se ha incrementado en los últimos años. Esto ha exigido un esfuerzo para las funciones de gestión de riesgos y auditoría para “reinventarse” o innovar, aplicando metodologías o enfoques diferentes. Como decía Einstein, “no podemos esperar resultados distintos haciendo siempre lo mismo”. Estas funciones suelen apoyarse en herramientas, tales como los marcos de referencia de control interno y gestión de riesgos para llevar a cabo esa transformación. En este sentido, COSO acaba de lanzar una nueva guía, Enabling Organizational Agility in an Age of Speed and Disruption, basada en los enfoques denominados “Agile” o ágiles de Enterprise Risk Management (ERM) como factor clave para ayudar a las organizaciones a gestionar con éxito los riesgos en este nuevo contexto.
Esta guía incide en que las organizaciones pueden ser más exitosas cuanto más anticipatorias, ágiles y adaptables sean, lo que exige un alineamiento periódico de su proceso de gestión de riesgos con el entorno empresarial actual y sus objetivos estratégicos. Asimismo, proporciona herramientas para aquellas organizaciones que se esfuerzan por hacer de la mejora de la agilidad una prioridad en sus procesos de riesgos empresariales.
La buena noticia para aquellos que llevamos implementando varios marcos previos, como el de COSO ERM– Integrating with Strategy and Performance de 2017 y el COSO Internal Control 2013, es que esta nueva guía es complementaria y está alineada con estos marcos, lo que supone un paso más para avanzar.
Aunque, en principio, esta filosofía parece que es la que ya venimos oyendo desde hace años en los foros de auditoría, control interno y riesgos, COSO pretende desarrollar con esta guía algunos aspectos prácticos para intentar aterrizar en cierta medida este complejo trinomio entre velocidad-riesgo- agilidad.
En este sentido, se distinguen una serie de claves contenidas en este documento sobre las que poder avanzar a través de acciones tangibles.
La agilidad se ha convertido en un must en el entorno empresarial que el que vivimos, propenso a repetidos impactos asociados con eventos como la pandemia y otros factores geopolíticos como la invasión rusa de Ucrania.
Las organizaciones que pueden reaccionar rápidamente antes estos riesgos y aprovechar las oportunidades pueden superar a sus competidores en estas condiciones. Esto ha hecho que el desarrollo de la agilidad sea una prioridad cada vez mayor para los órganos de dirección y gobierno.
Al respecto, resulta de utilidad adoptar un enfoque práctico en este sentido, esto es, que las comisiones de auditoría adopten un enfoque de gobernanza adaptativo. Por ejemplo, que incorporen en sus agendas aspectos relacionados con la gestión dinámica de riesgos. Esto exigirá a que las funciones de riesgos tengan que presentarles sus metodologías para implementar conexiones estratégicas “ágiles”, cuestionamiento de los modelos comerciales heredados, revisión de las principales evaluaciones de riesgos de forma más periódica, utilizando datos externos, y evaluación de posibles escenarios que determinen cuándo la estrategia y el modelo de negocio podrían estar en riesgo.
Igualmente, es fundamental incorporar las principales cuestiones de la metodología “Agile” aplicable a la gestión de riesgos y auditoría interna en el plan de formación o sesiones monográficas a estos órganos de gobierno y alta dirección, y descendiendo a todos los niveles de la organización para que vaya calando en la cultura y en la mentalidad de riesgo dinámica.
Una de las premisas para la alta dirección y órganos de gobierno de las organizaciones en relación con la agilidad de los cambios es que no vale solo con moverse rápido, sino tener un sentido de dirección.
Es imperativo que las prácticas de ERM estén alineadas con el enfoque ágil de la organización para ayudarlas a cumplir sus objetivos y lograr un mayor valor a medida que persiguen su misión y estrategias en un mundo que cambia rápidamente. El marco COSO ERM proporciona algunas claves para pensar en cómo y dónde se debe considerar el riesgo a medida que las empresas se vuelven más ágiles. Entre estas claves se destaca:
Para poder llevar a cabo estas tareas y a la vez dar cumplimiento a los requerimientos anteriores de los órganos de gobierno, puede ser beneficioso utilizar soluciones como el Dynamic Risk Assessment (DRA), que pueden ayudar a evolucionar los tradicionales modelos de gestión de riesgos incrementando la conectividad dinámica de los mismos y presentando informes relevantes que permitan una mejor toma de decisiones y hacer seguimiento de los riesgos en tiempo real.
La guía facilita, además, algunas pautas de cómo la función de auditoría interna y otras partes de una organización pueden resultar más flexibles y adaptables con la gestión de riesgos. Por ejemplo, pasando de un plan de 12 meses a uno revisable con mayor frecuencia alineado a la frecuencia de revisión del mapa de riesgos ágil.
Otra práctica que destaca la guía consiste en que auditoría interna mantenga reuniones con los directivos de la empresa con mayor frecuencia para adoptar un enfoque proactivo y poniendo foco en los problemas que la empresa intentaba resolver o áreas de preocupación, en lugar de seguir un enfoque tradicional, aportando valor.
En definitiva, la velocidad de los cambios en el entorno empresarial hace que la gestión de riesgos tenga que adaptarse a la nueva realidad marcada por eventos disruptivos y riesgos emergentes. En este contexto, las funciones de gestión de riesgos y auditoría interna son fundamentales para aplicar metodologías “Agile”, liderando con el ejemplo, con un enfoque proactivo y alineado con las prácticas ya implementadas en este sentido en la organización. Este ejercicio puede realizarse poco a poco, implementando soluciones como Dynamic Risk Assessment para evolucionar el mapa de riesgos tradicional y formaciones que vayan calando en la cultura hasta conseguir ir abordando con mayor extensión este tipo de prácticas ágiles. Incluso realizar un diagnóstico de la función de riesgos/auditoría interna para evaluar el grado de madurez respecto de la implantación de prácticas “Agile”. Esto, sin duda, redundará en una mayor competitividad y una mejora del riesgo empresarial.
Deja un comentario