Todos hemos visto los titulares de los periódicos que presentan el último escándalo de fraude y, como resultado, las organizaciones se están desmoronando. Estamos saturados de recomendaciones, códigos, normas y actos relativos al gobierno corporativo y la gestión de riesgos. Afianzar la cultura consciente del riesgo en el mundo incierto de hoy, con un auge tecnológico, es cada vez más crucial para evitar salir en el siguiente titular.

La conciencia del riesgo para todos los empleados es vital para la gestión exitosa del riesgo y la prevención del fraude. Apuntalando esta idea, se trata del cumplimiento de la Ley Sarbanes-Oxley (SOX) con respecto a los controles internos, ya que esto requiere que casi todos los miembros de la empresa estén conscientes de los riesgos potenciales, independientemente de su posición. El "tono en la parte superior" puede ser fundamental, pero no garantiza un sistema de control interno efectivo; estos pueden estar perfectamente diseñados e inutilizados a menos que todos y cada uno de los empleados conozcan los riesgos y se haya establecido una cultura de riesgos adecuada en toda la organización. Solo entonces un sistema de control interno cumplirá con el propósito deseado.

La cultura de riesgo ayuda a los empleados a comprender y seguir los controles internos y lo mismo se aplica de manera inversa. El ambiente de control está fuertemente influenciado por la cultura del riesgo. Por lo tanto, el establecimiento de una cultura consciente del riesgo puede considerarse clave para el cumplimiento de SOX, así como un programa exitoso de prevención de fraudes.

1. Conformar la cultura del riesgo como una parte importante de la cultura corporativa.

La creación de una cultura del riesgo debe seguir el carácter evolutivo de la cultura corporativa. Es poco probable acelerar el proceso de cambio cultural, es decir, una "revolución cultural" ya que esta solo ocurre solo por excepción, por ej. Cambiando toda la gestión de una organización. El plan para moldear la cultura de riesgo de una organización debe llevarse a cabo en tres etapas: En primer lugar, identificar la cultura de riesgo existente.En segundo lugar, debe llevarse a cabo un análisis y evaluación de esto que dará como resultado la determinación de una cultura de riesgo deseable en el futuro.Por último, un plan de acción que permitirá la implementación de la nueva cultura de riesgo.

2. Identificación de la cultura de riesgo existente.

Según el modelo de cultura corporativa de Edgar Schein, hay tres niveles que determinan y describen la cultura de riesgo de una empresa:

  • Supuestos básicos
  • Valores
  • Artefactos y creaciones.

Los supuestos básicos son la base de la cultura corporativa. Son invisibles, preconscientes y se dan por sentado. Los supuestos básicos son intrínsecos a las relaciones organizacionales. Son la base de la naturaleza humana, la naturaleza de la actividad y las relaciones humanas y, lo más importante, la naturaleza de la realidad y la verdad. Encarnados están los conceptos de tiempo, espacio y cómo las personas se relacionan entre sí. Las percepciones, pensamientos y sentimientos básicos de los empleados sobre los riesgos, así como la forma inherente en que los empleados experimentan los riesgos, son los supuestos básicos de una cultura de riesgo.

El nivel de valores intenta cubrir todos los supuestos básicos. Los valores se reflejan en las concepciones morales y los estándares de comportamiento, las máximas, las pautas no escritas y las proscripciones que tienen un impacto en los empleados. Los valores, el segundo nivel de la cultura corporativa, son parcialmente visibles.

El nivel final, artefactos y creaciones contiene formas de apariencia que son claramente visibles pero a menudo no son descifrables. Los ejemplos de artefactos y creaciones de un sistema de gestión de riesgos incluyen: un manual de riesgos, la existencia de un administrador de riesgos / comité de riesgos, la publicación de principios y directrices de riesgos, un sistema de informes de riesgos basado en TI, un informe de riesgos impreso incluido en el informe anual de riesgos. Las formas visibles de un sistema de gestión de riesgos permiten obtener conclusiones sobre la cultura de riesgo existente de una empresa. El nivel de artefactos y creaciones permite la descripción, la evaluación y la configuración de una cultura de riesgo.

La identificación de la cultura existente supone un mayor nivel de conciencia que sensibiliza a los empleados por los riesgos corporativos. La sensibilización de los empleados ante los riesgos de su empresa respalda las estructuras y procesos básicos de la gestión de riesgos. El conocimiento del riesgo de los empleados se puede interpretar como una expresión de una cultura corporativa orientada al riesgo. Se logra un mayor nivel de conciencia de riesgo a través del nombramiento de líderes culturales poderosos. Los miembros de la junta, la suite C, la administración, los auditores internos y externos también influirán en la cultura del riesgo. En última instancia, la cultura del riesgo está influenciada por todos los empleados.

Se propone un modelo de tres pasos en la identificación de la cultura de riesgo existente:

(1) Cuestionamiento de todos los empleados.

Todos los empleados de la organización deben ser interrogados en relación con la cultura del riesgo. A través de este proceso, no solo todos se darán cuenta del tema de la cultura del riesgo, sino que también se buscará una idea de cómo debería ser la nueva cultura del riesgo.

(2) Taller de Análisis e Interpretación.

Un taller con empleados designados ayuda a encontrar suposiciones básicas que subyacen a las verdaderas reglas (nivel de Normas y Valores en el modelo de cultura de riesgo) de la empresa.

(3) Cuestionamiento del C-Suite / Management.

Las entrevistas individuales deben ser el método de cuestionamiento utilizado con la administración, ya que permiten un análisis más profundo a través de una mayor interactividad. Obtener una cuenta veraz y genuina de la gerencia es la máxima prioridad.

La identificación de la cultura de riesgo existente se logra principalmente a través de observaciones. Todos los pasos de la etapa de identificación pueden ser apoyados por consultores externos para asegurar la independencia de las conclusiones alcanzadas. El desenlace de la cultura de riesgo existente siempre debe alcanzarse a través de los miembros de la organización y no debe ser forzado o influenciado sobre empleados externos a la empresa. La identificación de la cultura de riesgo existente es un supuesto y proporciona la base para la etapa de evaluación. También demostrará cómo debería ser la nueva cultura del riesgo.

3. Evaluación de la cultura existente para determinar una nueva cultura de riesgo.

Una revisión crítica de la cultura existente constituye la base de un cambio planificado en la cultura del riesgo. El cambio cultural solo es posible mientras exista una razón suficiente y un entendimiento de su necesidad. Se supone que el cambio mueve la cultura de riesgo existente hacia la cultura deseada predeterminada. La evolución de la cultura debe contribuir a un manejo consciente de los riesgos por parte de cada empleado a lo largo de la jerarquía de la organización 

Los factores de influencia para una cultura de riesgo son fuertemente interdependientes. Una adecuada y deseable cultura de riesgo da como resultado: (1) Coordinación. La cultura de riesgo debe crear pautas aceptadas en toda la empresa para la gestión de riesgos. (2) Integración. La cultura de riesgo debe transmitir armonía y unidad, fomentando así la protección general de las actividades de un empleado. (3) Motivación. La motivación está estrechamente relacionada con la integración. La integración cultural aumenta el sentido de pertenencia y percepción, lo que motiva a los empleados. La consideración de todos estos factores es necesaria para conformar una cultura de riesgo que fomente y permita la gestión integral de riesgos.

4. Plan de acción para dar forma a la cultura del riesgo.

Las medidas para el desarrollo cultural incluyen todas las actividades que contribuyen a un cambio cultural orientado a objetivos. Las actividades para el cambio resultan de una comparación entre la cultura de riesgo existente y la cultura de riesgo deseada. El cambio cultural tiene un impacto en todos los factores de la cultura del riesgo. Influir en un elemento específico de la cultura del riesgo no es posible ni deseable. Las medidas del cambio cultural influyen en múltiples factores de la cultura del riesgo. Esto pone de relieve la perspectiva variada de una cultura del riesgo. Las posibles medidas para cambiar una cultura de riesgo incluyen: (1) Introducción e implementación de una política de riesgos. (2) Integración de empleados y otras medidas de personal. (3) Introducción de un sistema de sugerencia de riesgo. Las medidas y herramientas propuestas solo pueden iniciar el cambio cultural. Iniciar un cambio en la cultura del riesgo puede tener efectos inesperados. Cualquier consecuencia negativa del cambio puede ser identificada, discutida y corregida, si es necesario. Debido a esto, el monitoreo de los cambios es vital. Para garantizar que la nueva cultura de riesgo permanezca constante, las medidas recientemente implementadas deben estabilizarse.

5. Cultura de riesgo apropiada; una condición necesaria para una efectiva gestión del riesgo.

Se requiere una cultura de riesgos adecuada antes de que un sistema de administración de riesgos pueda funcionar de manera efectiva. La cultura de riesgo corporativo siempre debe ser monitoreada, ya que está abierta a la fluctuación.

La cultura del riesgo consta de tres niveles: (1) Supuestos básicos, (2) Valores y (3) Artefactos y creaciones. La cultura de riesgo existente debe analizarse utilizando las diferentes etapas descritas anteriormente. Los diversos factores de la cultura de riesgo se utilizan para evaluar la cultura de riesgo existente en la empresa. La consideración de todos los factores de la cultura de riesgo conducen a la nueva cultura de riesgo deseada, que debe seguir tres etapas: coordinación, integración y motivación. La introducción de nuevos patrones de orientación, señales y formatos de visualización tienden a dar como resultado la voluntad de cambio cultural. El cambio cultural se puede introducir a través de políticas de riesgo, medidas de personal y un sistema de sugerencia de riesgo. El proceso de cambio cultural se caracteriza por la observación intensiva y el monitoreo de las medidas para cambiar la cultura del riesgo en la empresa.

Un alto nivel de conciencia de riesgo de la administración, una cultura de riesgo corporativa adecuada y el establecimiento de un sistema integrado de gestión de riesgos son todos los requisitos necesarios para mantener el éxito de una organización en el futuro. También apoyarán la prevención de fraudes y amenazas que podrían poner en peligro la continuidad del negocio.

Peter Drucker acuñó el término "la cultura come la estrategia para el desayuno", y luego, supuestamente, continuó diciendo que tiene su apetito por el propósito. Otro Peter (Davis) declaró que, de hecho, "la cultura come el proceso para el desayuno". Antes de sentir nostalgia, lo dejo con esto: una cultura corporativa de riesgo adecuada lo supera todo.

El autor: Oliver Bungartz, Líder de RAS, de RSM Alemania

Para más información ingrese a rsmmx.mx o siga a RSM México en sus redes sociales