La Cultura de riesgo en una organización
De forma general, podemos decir que la cultura organizacional es el conjunto de valores, creencias, hábitos y normas que comparten los miembros de una organización o empresa. La cultura influye en la forma en que los colaboradores interactúan entre sí, con los proveedores, los clientes, y cómo abordan su trabajo y resuelven problemas.
Para mí, la cultura es “comportamiento”. Y una buena cultura se mide en la medida en que se fomentan los comportamientos deseados, según un propósito previamente establecido.
Mucho de lo que hacemos en GRC para efectos de establecer un adecuado entorno, postura o como lo quieran llamar, se basa precisamente en promover comportamientos, en crear una cultura adecuada a los fines de la gestión que estemos realizando.
Pero, ¿por qué es importante fomentar ciertos comportamientos? Hay varias razones subyacentes, incluyendo metas estratégicas, eficiencia operativa y crecimiento. Sin embargo, para nosotros en el campo de GRC, el enfoque principal es la mitigación de riesgos. Nos referimos a los riesgos que son intrínsecos a las operaciones de una organización y principalmente a aquellos derivados de la conducta humana (aunque no es el foco de este artículo), estas conductas pueden estar ligadas a beneficios financieros, espionaje, hacktivismo, entre otros."
De allí nace el primer propósito de cualquier gestión en el ámbito de GRC: promover un adecuado comportamiento ante el riesgo.
En esencia, todas las regulaciones (relacionadas a tecnología o no) buscan incentivar comportamientos que prevengan una variedad de riesgos, los nuestros son: riesgos financieros, riesgos de (ciber)seguridad, riesgos de cumplimiento (que a propósito, debería llamarse riesgo de incumplimiento).
Asimismo, todas las metodologías y marcos de control interno, junto con las estrategias de ciberseguridad, están concebidos para fomentar prácticas que faciliten la identificación, administración y mitigación de estos riesgos.
En esa línea, abordamos el tema principal de este artículo: la cultura de riesgo.
Según el Instituto de Gestión de Riesgo, IRM por sus siglas en inglés (Risk Culture, 2023).
Risk culture is a term describing the values, beliefs, knowledge, attitudes and understanding about risk shared by a group of people with a common purpose
Existe una definición que me gusta mas, y es de una presentación del Instituto de Auditores Internos de Australia: Auditando la Cultura de Riesgo, una Guía Práctica (Arzadon 2021).
Culture is a characteristic of a group of people – the shared perceptions about what behaviour is ‘correct’, prioritised and likely to be rewarded. Organisations pursue many different strategic priorities and operate in different political, economic and social contexts, so their cultures vary.
Individual behaviour is affected by the way in which actions are rewarded or punished. In the workplace, people learn what is acceptable behaviour by observing the behaviour (including speech) of peers and managers. Behaviour that is repeated regularly becomes the norm, or ‘the way we do things around here’. Behaviour of managers and leaders is particularly important in demonstrating the priorities of the organisation.
Risk culture is an aspect of broader organisational culture. Risk culture refers to the behavioural norms that help or hinder effective risk management. Some definitions of risk culture also incorporate the group’s underlying values and assumptions about risk management, and others incorporate policies and systems. In large organisations, subcultures often form in different areas and even in specific teams with different managers. Internal audit teams should not assume that risk culture is consistent throughout an organisation, or even within a large division or function or tier of management of that organisation. Culture normally forms in groups of people that have regular interaction with one another, often with a common manager.
Llama mi atención la siguiente parte: “Internal audit teams should not assume that risk culture is consistent throughout an organisation, or even within a large division or function or tier of management of that organisation. Culture normally forms in groups of people that have regular interaction with one another, often with a common manager.” esto responde a la interrogante de por qué hay áreas en donde la gestión de riesgos y por ende la ejecución de controles se da de una forma más “alineada”, por decirlo así. No he encontrado un solo lugar en donde la postura hacia los riesgos sea estándar o consistente en toda la organización.
Y también me llama la atención esta otra frase:“Individual behaviour is affected by the way in which actions are rewarded or punished”. Y es que, en mi experiencia, es sumamente difícil lograr consistencia en la cultura de riesgo en toda la organización sin un adecuado “enforcement”, refiriéndonos a la aplicación o implementación de una regla o lineamiento.
Esencialmente, se trata de asegurar que se cumplan ciertas normas o directrices, mediante acciones que muchas veces deben ser medidas disciplinarias o administrativas. Y obviamente, mediante medidas de reconocimiento también. En palabras mas sencillas, cuando no se logran los comportamientos deseados, es necesario ser objetivos y enviar memos, notas administrativas e incluso sancionar de acuerdo a las políticas establecidas.
Lo que me lleva a preguntarte lo siguiente:
¿Cómo has definido la cultura que quieres que tenga la organización?
¿Incluyes todas las formas de comportamiento deseadas (y menos deseadas)?
¿Cómo lo has comunicado a todos?
¿Cómo te has asegurado de que todo el mundo lo entienda?
¿Existen repercusiones para los comportamientos inaceptables?
¿Cómo sabes si los comportamientos en toda la organización reflejan la cultura deseada?
¿Cuál es el nivel de incumplimiento, cómo lo sabes, y si es aceptable? Si no es así, ¿qué se hace al respecto?
¿Con qué frecuencia o en qué instancias se debate y mide la cultura?
¿Cómo puedes garantizar una cultura adecuada, especialmente a medida que cambia el entorno, incluida la incorporación de nuevo personal, las adquisiciones, el desarrollo de nuevos modelos de negocio, etc.?
La cultura de riesgo tiene un papel crucial, ya que una cultura de riesgo sólida no solo establece las bases para la reducción de riesgos, sino que también fomenta la generación de valor en el corto y largo plazo. Esto se logra al coordinar valores, metas organizacionales, conductas y sistemas a lo largo de toda la organización, lo que puede repercutir positivamente tanto internamente (como se ve, por ejemplo, en el compromiso de los empleados, un rendimiento destacado o una postura de control interno y seguridad robusta) como externamente (reflejado en una reputación sólida y una ventaja competitiva).
En contraste, una cultura deteriorada o mal moldeada puede originar problemas generalizados en la organización y amenazar elementos como la eficiencia organizacional, la seguridad de los activos de información, el cumplimiento regulatorio y la imagen o reputación de la organización.
Referencias
Risk Culture, 2023 (s.f.). Institute of Risk Management - https://www.theirm.org/what-we-say/thought-leadership/risk-culture/
Arzadón et al., 2021. Auditing Risk Culture - A practical Guide. IIA Australia