Las juntas directivas enfrentan la responsabilidad de supervisar los riesgos empresariales sin que ello implique procesos burocráticos que hagan lenta la toma de decisiones. Este artículo aborda cómo construir una matriz de riesgos ágil, precisa y efectiva, integrando la percepción de empleados, directivos y miembros de junta. Se presenta un caso real vivido en una empresa familiar en Venezuela, donde la metodología tradicional COSO resultó ineficiente, dando paso a un enfoque innovador que permitió un control dinámico del riesgo y una mejor capacidad de respuesta. Finalmente, se presentan recomendaciones prácticas para los miembros de junta directiva sobre cómo mejorar la identificación y mitigación de riesgos.
Una matriz de riesgos es una herramienta de gestión que permite identificar, evaluar y priorizar los riesgos que pueden afectar a una empresa. Su propósito es proporcionar una visión estructurada de los posibles escenarios adversos, permitiendo a la junta directiva y al equipo de gestión tomar decisiones informadas. Para construir una matriz de riesgos efectiva, se deben listar los riesgos internos, como iliquidez, fallas operativas o falta de personal calificado, y los riesgos externos, como cambios regulatorios, inflación, crisis políticas o competencia desleal. Cada riesgo debe ser clasificado según su probabilidad de ocurrencia y su impacto potencial en la empresa. Es importante determinar si los riesgos identificados tienen factores subyacentes comunes y organizar los riesgos en una matriz donde se categoricen en niveles de bajo, medio o alto riesgo según la combinación del impacto económico por la probabilidad de ocurrencia, denominado severidad. Finalmente, cada riesgo debe contar con un plan de acción para mitigar su severidad.
Un error común es confundir procesos con factores de riesgo. Los procesos son las actividades operativas de la empresa, mientras que los factores de riesgo son las causas que afectan la estabilidad de estos procesos. Si se analizan solo los procesos sin considerar las causas subyacentes, se corre el riesgo de identificar problemas de forma sesgada y parcial.
Los miembros de juntas directivas tienen la responsabilidad de cumplir con el deber de diligencia y el deber de lealtad. El deber de diligencia implica que cada miembro debe actuar con el cuidado y la prudencia de un profesional informado, asegurando que las decisiones sean tomadas con base en análisis sólidos y datos verificados. Aunque el tiempo de participación en la empresa puede ser limitado, los miembros de junta deben demostrar a entes de control que su labor se realizó con la debida diligencia, lo que significa que hicieron su tarea de manera adecuada y documentaron los procesos de toma de decisiones de forma estructurada y verificable. Por otro lado, el deber de lealtad obliga a los miembros de la junta a actuar siempre en beneficio de la empresa, evitando conflictos de interés y asegurando que sus decisiones no favorezcan intereses personales o externos en detrimento de la organización.
El modelo COSO define el riesgo como la posibilidad de que un proceso afecte negativamente los objetivos de una organización. La metodología COSO ERM establece un marco estructurado para la gestión de riesgos, basado en la identificación, evaluación, respuesta y monitoreo continuo. Este modelo se desarrolla en varios componentes clave: el ambiente de control, la evaluación de riesgos, las actividades de control, la información y comunicación, y el monitoreo continuo. Su enfoque busca garantizar que las empresas identifiquen de manera proactiva los riesgos que puedan afectar sus operaciones y establezcan estrategias para mitigarlos.
La construcción de una matriz de riesgos bajo el modelo COSO implica primero identificar los procesos internos y externos que pueden generar incertidumbre en el logro de los objetivos empresariales. Posteriormente, estos procesos se evalúan según su probabilidad e impacto, asignándoles un nivel de severidad. Una vez identificados, se desarrollan estrategias de respuesta, que pueden incluir evitar, mitigar, aceptar o transferir el riesgo. Finalmente, se implementan controles y se realiza un monitoreo continuo para ajustar la estrategia de gestión de riesgos a medida que evolucionan las condiciones del entorno.
Durante mi participación como miembro independiente del Comité de Auditoría y Riesgos en una empresa familiar en Venezuela, experimentamos esta limitación de primera mano. El comité decidió seguir la metodología COSO para construir una matriz de riesgos basada en los procesos de la empresa. Se identificaron 150 procesos, se entrevistaron a los responsables y se consolidó una matriz con 53 procesos considerados de severidad catastrófica. Sin embargo, cuando la alta dirección revaluó los riesgos, la cantidad de procesos críticos se redujo drásticamente a solo dos con severidad media-alta. Esto generó dudas sobre la objetividad del procedimiento. Los ejecutivos no consideraban los factores externos, elementos esenciales para evaluar la sostenibilidad del negocio en un entorno incierto.
Para corregir esta falla, decidimos ajustar la metodología, eliminando entrevistas prolongadas y sustituyéndolas por encuestas rápidas dirigidas a la alta dirección, lo que permitió evaluar los riesgos en menos de una semana. Además, incorporamos un factor de ajuste denominado «Método Phi». Este método permite incorporar la percepción de los miembros de la junta directiva en la evaluación de riesgos. Se basa en la premisa de que los ejecutivos internos pueden subestimar ciertos riesgos debido a su cercanía con la operación, mientras que los miembros de la junta, con una visión externa y estratégica, pueden identificar amenazas no evidentes.
El Método Phi toma su nombre del fenómeno óptico conocido como «ilusión Phi», que hace que el cerebro perciba movimiento continuo a partir de una sucesión de imágenes estáticas. Aplicado a la gestión de riesgos, este método busca que la junta directiva no solo se enfoque en eventos individuales sino en la tendencia general del riesgo, detectando patrones que podrían pasar desapercibidos en análisis tradicionales. Se aplica asignando un puntaje adicional a los riesgos que, según la junta, tienen un impacto mayor al reflejado en el análisis convencional. Este puntaje se añade a la matriz de riesgos y ayuda a recalibrar la severidad de los riesgos identificados. Gracias a esta metodología, pudimos capturar riesgos en tiempo real y aplicar estrategias de mitigación con inmediatez.
Una matriz de riesgos efectiva no debe centrarse solo en los procesos, sino en los factores externos e internos que realmente representan las verdaderas causas de los riesgos. La experiencia en Venezuela demostró que pasar de un enfoque basado en procesos a uno que considere factores macroeconómicos, políticos y operativos permite una visión más precisa y proactiva de los riesgos empresariales. Las juntas directivas deben establecer un mecanismo de revisión trimestral de la matriz de riesgos, permitiendo su actualización constante y asegurando que las estrategias de mitigación sean oportunas. La capacidad de ajustar el análisis de riesgos en función de la evolución del entorno garantiza una toma de decisiones efectiva y una protección continua del negocio. Una matriz de riesgos bien construida no debe ser una herramienta burocrática, sino un mecanismo estratégico que proporcione a las juntas directivas la capacidad de anticiparse a los riesgos, en lugar de reaccionar ante ellos.
