Upload
walter-hernandez
View
1.066
Download
0
Tags:
Embed Size (px)
Citation preview
Gestin de Riesgos
CorporativosMarco IntegradoCommittee of Sponsoring Organizations of the Treadway Commission (COSO)
Copyright del Committee of Sponsoring Organizations of the Treadway Commission. 1 2 3 4 5 6 7 8 9 MPI 0 9 8 7 6 5 4 Copyright 2009 de la versin espaola: PricewaterhouseCoopers Se pueden solicitar ejemplares adicionales de Gestin de Riesgos Corporativos Marco Integrado: Resumen Ejecutivo y Marco y Gestin de Riesgos Corporativos Marco Integrado: Tcnicas de Aplicacin, 2 vol. Set, item # 990015 llamando de modo gratuito al 1 888 777 7077 o acudiendo a www.cpa2biz.com. Se reservan todos los derechos. Para ms informacin sobre permisos y licencias de reimpresin, llame al (201) 938 3245. Hay disponible un formulario de solicitud de permisos para solicitudes enviadas por correo electrnico en la direccin www.aicpa.org/cpright.htm. De lo contrario, debern enviarse las solicitudes, por escrito y por correo ordinario, a Permissions Editor, AICPA, Harborside Financial Center, 201 Plaza Three, Jersey City, NJ 07311-3881. Traducido de: Enterprise Risk Management Integrated Framework
Gestin de Riesgos CorporativosMarco IntegradoResumen Ejecutivo Marco
Committee of Sponsoring Organizations of the Treadway Commission (COSO)
Committee of Sponsoring Organizations of the Treadway Comission (COSO) SUPERVISINPRESIDENCIA COSO: John J. Flaherty AMERICAN ACCOUNTING ASSOCIATION: Larry E. Rittenberg AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS: Alan W. Anderson FINANCIAL EXECUTIVES INTERNACIONAL: John P. Jessup, Nicholas S. Cyprus INSTITUTE OF MANAGEMENT ACCOUNTANTS: Frank C. Minter, Dennis E. Neider THE INSTITUTE OF INTERNAL AUDITORS: William G. Bishop, III, David A. Richards
Consejo asesor del proyecto COSO GUATony Maki (Presidente) Socio MOSS ADAMS LLP Mark S. Beasley Catedrtico NORTH CAROLINA STATE UNIVERSITY James W. DeLoach Director ejecutivo PROTIVIFI INC. Andrew J. Jackson Vicepresidente primero de los Servicios de aseguramiento de riesgos AMERICAN EXPRESS COMPANY Steven E. Jameson Vicepresidente ejecutivo, Director de Auditora interna y Responsable de riesgos COMMUNITY TRUST BANCORP, INC. John P. Jessup Vicepresidente y Tesorero E. I. DUPONT DE NEMOURS AND CO. Tony M. Knapp Vicepresidente primero y Controller MOTOROLA, INC.
Jerry W. DeFoor Vicepresidente y Controller PROTECTIVE LIFE CORPORATION
Douglas F. Prawitt Catedrtico BRIGHAM YOUNG UNIVERSITY
PricewaterhouseCoopers LLP AUTORARichard M. Steinberg Anterior Socio responsable de Gobierno Corporativo (Actualmente, en Steinberg Governance Advisors) Miles E.A. Everson Socio responsable de Servicios Financieros Finanzas, Operaciones, Riesgos y Cumplimiento Normativo Nueva York Lucy E. Nottingham Gerente Servicios Internos Boston
Frank J. Martens Director Ejecutivo Servicios a Clientes Vancouver (Canad)Depsito Legal: M-30224-2005
Copyright 2005 by The Committee of Sponsoring Organization, C/O AICPA, Harborside Financial Center, 201 Plaza three, Jersey City, NJ 07311 3881, USA. All rights reserved. Permission has been obtained from the copyright holder, The Committee of Sponsoring Organization, C/O AICPA, Harborside Financial Center, 201 Plaza three, jersey City, NJ 07311 3881, U.S.A., to publish this translation, which is the same in all material respects, as the original, unless approved as changed. Permission has been obtained to publish this translation in the following publication: [Gestin de Riesgos Corporativos - Marco Integrado] No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form, or by any means electronic, mechanical, photocopying, recording, or otherwise, without prior written permission of The Committee of Sponsoring Organizations of the Treadway Commission. El permiso para publicar esta traduccin ha sido obtenido del titular de derechos de autor: The Committee of Sponsoring Organization, C/O AICPA, Harborside Centro Financiero, 201 Plaza tres, ciudad de Jersey, NJ 07311 - 3881, EE.UU., que es la misma que el original, a no ser que el cambio haya sido aprobado previamente. El permiso para publicar esta traduccin ha sido otorgado a la siguiente publicacin: [Gestin de Riesgos Corporativos - Marco Integrado]. Esta publicacin no se podr reproducir, almacenar en sistemas de recuperacin, transmitir en forma alguna, por medio mecnico, electrnico, fotocopiado, grabado u otro, ni en su totalidad ni en parte, sin autorizacin escrita del Committee of Sponsoring Organization of the Treadway Commission. Se pueden solicitar ejemplares adicionales de Gestin de Riesgos Corporativos Marco Integrado: Resumen Ejecutivo y Marco y Gestin de Riesgos Corporativos Marco Integrado: Tcnicas de Aplicacin, 2 vol. Set, item # 990015 llamando de modo gratuito al 1 888 777 7077 o acudiendo a www.cpa2biz.com. Se reservan todos los derechos. Para ms informacin sobre permisos y licencias de reimpresin, llame al (201) 938 3245. Hay disponible un formulario de solicitud de permisos para solicitudes enviadas por correo electrnico en la direccin www.aicpa.org/cpright.htm. De lo contrario, debern enviarse las solicitudes, por escrito y por correo ordinario, a Permissions Editor, AICPA, Harborside Financial Center, 201 Plaza Three, Jersey City, NJ 07311-3881. Traducido de: Enterprise Risk Management Integrated Framework
4
NDICE
GESTIN DE RIESGOS CORPORATIVOS - MARCO INTEGRADO PRLOGO Luis Aranaz Zuza y Jos Luis Madariaga Gandarias ................................................ INTRODUCCIN John J. Flaherty y Toni Maki ..................................................................................... RESUMEN EJECUTIVO ......................................................................................... MARCO 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Definicin ...................................................................................................... Ambiente interno ........................................................................................... Establecimiento de objetivos ........................................................................ Identificacin de eventos .............................................................................. Evaluacin de riesgos ................................................................................... Respuesta a los riesgos ................................................................................ Actividades de control .................................................................................. Informacin y comunicacin ......................................................................... Supervisin ................................................................................................... Roles y responsabilidades ............................................................................ Limitaciones de la gestin de riesgos corporativos ..................................... Qu hacer ...................................................................................................... 25 39 47 55 63 71 77 85 93 101 111 115
7
9 15
ANEXOS A Objetivos y Metodologa ............................................................................... B Resumen de principios clave ........................................................................ C Relacin entre Gestin de riesgos corporativos Marco integrado y Control interno Marco integrado ............................................................. D Bibliogafa seleccionada ............................................................................... E Consideracin a los comentarios ................................................................. F Glosario ......................................................................................................... G Agradecimientos ........................................................................................... 121 125 135 139 141 147 151
5
PRLOGO
Han pasado 8 aos desde que, en 1997 PricewaterhouseCoopers y el Instituto de Auditores Internos de Espaa publicaran la traduccin al castellano del Control Interno-Marco Integrado ms conocido como Informe COSO. Este documento, emitido por el Committee of Sponsoring Organizations of the Treadway Commission (COSO) formado por representantes de la American Accounting Association, American Institute of Certified Public Accountants, Financial Executives International, Institute of Management Accountants y The Institute of Internal Auditors, se ha constituido como un elemento fundamental dentro de las organizaciones para la consecucin de sus objetivos a travs de la definicin de un marco comn de control interno. Tras el xito cosechado por esta publicacin, en los ltimos aos ha ido cobrando cada vez ms relevancia el concepto de gestin de riesgos, como pieza clave en la creacin de valor para los grupos de inters de las organizaciones. Debido a esta tendencia, en el ao 2001, COSO percibe la necesidad de desarrollar un marco integrado de gestin de riesgos corporativos que defina las pautas y conceptos fundamentales as como una terminologa comn en esta rea. Para su desarrollo cuenta con PricewaterhouseCoopers y en septiembre de 2004 emite, precedido por una extraordinaria expectacin, el informe definitivo Gestin de Riesgos Corporativos-Marco Integrado. Con enorme satisfaccin presentamos ahora, fruto de la colaboracin de PricewaterhouseCoopers en Espaa y el Instituto de Auditores Internos de Espaa, la edicin de esta traduccin al castellano del Informe COSO sobre Gestin de Riesgos Corporativos. Tanto desde el Instituto de Auditores Internos como desde PricewaterhouseCoopers consideramos fundamental la difusin del conocimiento de los conceptos de gestin de riesgos, claramente definidos en este documento, no solo dirigida a los profesionales de la auditora interna, sino a todos los niveles de la organizacin y de otros mbitos de la sociedad mercantil espaola. El presente documento se divide en dos partes. La primera contiene un Resumen Ejecutivo y el Marco Integrado. El Resumen Ejecutivo es una perspectiva de alto nivel dirigida a los consejeros delegados, otros altos directivos, consejeros y reguladores. El Marco Integrado define la gestin de riesgos corporativos y describe principios y conceptos, proporcionando orientacin a todos los niveles de direccin en empresas y otras organizaciones para ser usada en la evaluacin y mejora de la eficacia de dicha gestin. Determina ocho componentes a considerar dentro de la gestin de riesgos relacionndolos con cuatro categoras de objetivos organizacionales y con las distintas divisiones o unidades de las entidades. La segunda parte del documento
7
GESTIN
DE
RIESGOS CORPORATIVOS MARCO INTEGRADO
corresponde a las Tcnicas de aplicacin y proporciona ejemplos de algunas tcnicas de gestin de riesgos para las entidades relacionadas con los componentes y contenidos del Marco. Este Marco Integrado se encuentra tambin estrechamente relacionado con el Informe COSO sobre Control Interno que considera la gestin de riesgos corporativos como pieza fundamental entre sus elementos. Desde estas lneas, nos gustara transmitir nuestro agradecimiento a todos los profesionales de PricewaterhouseCoopers que, bajo la direccin de Enric Domnech y la supervisin de Ramn Abella han puesto gran empeo y dedicacin en la traduccin de este informe y a los del Instituto de Auditores Internos de Espaa encabezado por su Director General Javier Faleato y que, con la colaboracin de Rafael Gonzlez Marn han hecho posible esta edicin del informe en castellano, informe que, sin duda, constituir una gua prctica y un elemento de consulta indispensable sobre todos los aspectos relacionados con los riesgos de las entidades, su gestin y control, incluyendo, la responsabilidad del auditor interno en la supervisin de la gestin integral de riesgos.
Mayo 2005
Luis Aranaz ZuzaPRESIDENTE Instituto de Auditores Internos de Espaa
Jos Luis Madariaga GandariasPRESIDENTE PricewaterhouseCoopers
8
INTRODUCCIN
Hace ms de una dcada, el Comittee of Sponsoring Organizations of the Treadway Commission (COSO) emiti Control Interno Marco Integrado, para ayudar a compaas y otras entidades a evaluar y mejorar sus sistemas de control interno. Desde ese momento, dicho marco fue incorporado a las polticas, normativas y regulaciones y utilizado por miles de compaas para controlar mejor sus actividades en su progreso hacia el logro de sus objetivos. En los ltimos aos hemos visto una conciencia y enfoque ms sensibles respecto a la gestin de riesgos, y se ha hecho cada vez ms patente que existe la necesidad de establecer un marco slido para identificar, evaluar y gestionar los riesgos de modo eficaz. En el ao 2001 COSO inici un proyecto, contratando a PricewaterhouseCoopers, para desarrollar un marco que fuera accesible para el uso de la direccin de las empresas en la evaluacin y mejora de la gestin de riesgos en sus organizaciones. Durante el desarrollo de este marco han acontecido una serie de escndalos mercantiles y fallos donde los inversores, personal y dems grupos de inters han sufrido prdidas tremendas. Despus han habido requerimientos para mejorar el gobierno corporativo y la gestin de riesgos a travs de nuevas legislaciones, normativas y estndares para la cotizacin de las sociedades. La necesidad de un marco de gestin de riesgos que facilitara los conceptos y principios ms importantes, un lenguaje comn, y una orientacin clara, se hizo ms acuciante. COSO considera que este informe Gestin de Riesgos Corporativos Marco Integrado cubre esta necesidad, y espera que sea ampliamente aceptado por compaas y dems organizaciones y, claro est, por todos los grupos de inters. Entre las consecuencias en los EEUU de la situacin descrita anteriormente, est la Ley Sarbanes-Oxley de 2002, y la normativa similar promulgada o por promulgar en otros pases. Esta ley ampla el requisito de siempre, en virtud del cual, las sociedades annimas deben mantener sistemas de control interno, exigiendo que la direccin certifique la eficacia de dichos sistemas y que el auditor acredite la misma. Control Interno Marco Integrado, que sigue en vigor a lo largo del tiempo, sirve como estndar ampliamente aceptado para satisfacer dichos requisitos de reporting. Este informe, Gestin de Riesgos Corporativos Marco Integrado profundiza en el control interno, facilitando un enfoque ms extenso y slido sobre el tema de la gestin de riesgos en las empresas. Aunque no se pretende sustituir el marco de control interno, la intencin es incorporar el mismo dentro del marco de gestin de riesgos para que las compaas puedan decidir su utilizacin tanto para satisfacer sus necesidades de control interno como para progresar hacia un proceso de gestin de riesgos ms completo.
9
GESTIN
DE
RIESGOS CORPORATIVOS MARCO INTEGRADO
Entre los retos ms crticos a los que se enfrentan los directivos de hoy est el determinar cunto riesgo est dispuesta a aceptar la entidad y cunto riesgo acepta a medida que se esfuerza en crear valor. Este informe les ayudar a enfrentarse mejor a este reto.
John J. FlahertyPresidente COSO
Tony MakiPresidente, Consejo Asesor COSO
10
Gestin de Riesgos Corporativos Marco Integrado
Resumen Ejecutivo
RESUMEN EJECUTIVO
La premisa subyacente en la gestin de riesgos corporativos es que las entidades existen con el fin ltimo de generar valor para sus grupos de inters. Todas se enfrentan a la ausencia de certeza y el reto para su direccin es determinar cunta incertidumbre se puede aceptar mientras se esfuerzan en incrementar el valor para sus grupos de inters. La incertidumbre implica riesgos y oportunidades y posee el potencial de erosionar o aumentar el valor. La gestin de riesgos corporativos permite a la direccin tratar eficazmente la incertidumbre y sus riesgos y oportunidades asociados, mejorando as la capacidad de generar valor. Se maximiza el valor cuando la direccin establece una estrategia y objetivos para encontrar un equilibrio ptimo entre los objetivos de crecimiento y rentabilidad y los riesgos asociados, adems de desplegar recursos eficaz y eficientemente a fin de lograr los objetivos de la entidad. La gestin de riesgos corporativos incluye las siguientes capacidades: Alinear el riesgo aceptado y la estrategia En su evaluacin de alternativas estratgicas, la direccin considera el riesgo aceptado por la entidad, estableciendo los objetivos correspondientes y desarrollando mecanismos para gestionar los riesgos asociados. Mejorar las decisiones de respuesta a los riesgos La gestin de riesgos corporativos proporciona rigor para identificar los riesgos y seleccionar entre las posibles alternativas de respuesta a ellos: evitar, reducir, compartir o aceptar. Reducir las sorpresas y prdidas operativas Las entidades consiguen mejorar su capacidad para identificar los eventos potenciales y establecer respuestas, reduciendo las sorpresas y los costes o prdidas asociados. Identificar y gestionar la diversidad de riesgos para toda la entidad Cada entidad se enfrenta a mltiples riesgos que afectan a las distintas partes de la organizacin y la gestin de riesgos corporativos facilita respuestas eficaces e integradas a los impactos interrelacionados de dichos riesgos. Aprovechar las oportunidades Mediante la consideracin de una amplia gama de potenciales eventos, la direccin est en posicin de identificar y aprovechar las oportunidades de modo proactivo. Mejorar la dotacin de capital La obtencin de informacin slida sobre el riesgo permite a la direccin evaluar eficazmente las necesidades globales de capital y mejorar su asignacin.
15
GESTIN
DE
RIESGOS CORPORATIVOS MARCO INTEGRADO
Estas capacidades, inherentes en la gestin de riesgos corporativos, ayudan a la direccin a alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos. La gestin de riesgos corporativos permite asegurar una informacin eficaz y el cumplimiento de leyes y normas, adems de ayudar a evitar daos a la reputacin de la entidad y sus consecuencias derivadas. En suma, la gestin de riesgos corporativos ayuda a una entidad a llegar al destino deseado, evitando baches y sorpresas por el camino.
Eventos Riesgos y Oportunidades Los eventos pueden tener un impacto negativo, positivo o de ambos tipos a la vez. Los que tienen un impacto negativo representan riesgos que pueden impedir la creacin de valor o erosionar el valor existente. Los eventos con impacto positivo pueden compensar los impactos negativos o representar oportunidades, que derivan de la posibilidad de que ocurra un acontecimiento que afecte positivamente al logro de los objetivos, ayudando a la creacin de valor o a su conservacin. La direccin canaliza las oportunidades que surgen, para que reviertan en la estrategia y el proceso de definicin de objetivos, y formula planes que permitan aprovecharlas.
Definicin de la Gestin de Riesgos Corporativos La gestin de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creacin de valor o su preservacin. Se define de la siguiente manera: La gestin de riesgos corporativos es un proceso efectuado por el consejo de administracin de una entidad, su direccin y restante personal, aplicable a la definicin de estrategias en toda la empresa y diseado para identificar eventos potenciales que puedan afectar a la organizacin, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. Esta definicin recoge los siguientes conceptos bsicos de la gestin de riesgos corporativos: Es un proceso continuo que fluye por toda la entidad. Es realizado por su personal en todos los niveles de la organizacin. Se aplica en el establecimiento de la estrategia. Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva del riesgo a nivel conjunto de la entidad. Est diseado para identificar acontecimientos potenciales que, de ocurrir, afectaran a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado. Es capaz de proporcionar una seguridad razonable al consejo de administracin y a la direccin de una entidad. Est orientada al logro de objetivos dentro de unas categoras diferenciadas, aunque susceptibles de solaparse. La definicin es amplia en sus fines y recoge los conceptos claves de la gestin de riesgos por parte de empresas y otras organizaciones, proporcionando una base para su aplicacin en todas las organizaciones, industrias y sectores. Se centra directamente en la consecucin de los objetivos establecidos por una entidad determinada y proporciona una base para definir la eficacia de la gestin de riesgos corporativos.
16
RESUMEN EJECUTIVO
Consecucin de Objetivos Dentro del contexto de misin o visin establecida en una entidad, su direccin establece los objetivos estratgicos, selecciona la estrategia y fija objetivos alineados que fluyen en cascada en toda la entidad. El presente Marco de gestin de riesgos corporativos est orientado a alcanzar los objetivos de la entidad, que se pueden clasificar en cuatro categoras: Estrategia: Objetivos a alto nivel, alineados con la misin de la entidad y dndole apoyo Operaciones: Objetivos vinculados al uso eficaz y eficiente de recursos Informacin: Objetivos de fiabilidad de la informacin suministrada Cumplimiento: Objetivos relativos al cumplimiento de leyes y normas aplicables Esta clasificacin de los objetivos de una entidad permite centrarse en aspectos diferenciados de la gestin de riesgos corporativos. Estas categoras distintas, aunque solapables un objetivo individual puede incidir en ms de una categora se dirigen a necesidades diferentes de la entidad y pueden ser de responsabilidad directa de diferentes ejecutivos. Tambin permiten establecer diferencias entre lo que cabe esperar de cada una de ellas. Otra categora utilizada por algunas entidades es la salvaguarda de activos. Dado que los objetivos relacionados con la fiabilidad de la informacin y el cumplimiento de leyes y normas estn integrados en el control de la entidad, puede esperarse que la gestin de riesgos corporativos facilite una seguridad razonable de su consecucin. El logro de los objetivos estratgicos y operativos, sin embargo, est sujeto a acontecimientos externos no siempre bajo control de la entidad; por tanto, respecto a ellos, la gestin de riesgos corporativos puede proporcionar una seguridad razonable de que la direccin, y el consejo de administracin en su papel de supervisin, estn siendo informados oportunamente del progreso de la entidad hacia su consecucin. Componentes de la Gestin de Riesgos Corporativos La gestin de riesgos corporativos consta de ocho componentes relacionados entre s, que se derivan de la manera en que la direccin conduce la empresa y cmo estn integrados en el proceso de gestin. A continuacin, se describen estos componentes: Ambiente interno Abarca el talante de una organizacin y establece la base de cmo el personal de la entidad percibe y trata los riesgos, incluyendo la filosofa para su gestin, el riesgo aceptado, la integridad y valores ticos y el entorno en que se acta. Establecimiento de objetivos Los objetivos deben existir antes de que la direccin pueda identificar potenciales eventos que afecten a su consecucin. La gestin de riesgos corporativos asegura que la direccin ha establecido un proceso para fijar objetivos y que los objetivos seleccionados apoyan la misin de la entidad y estn en lnea con ella, adems de ser consecuentes con el riesgo aceptado. Identificacin de eventos Los acontecimientos internos y externos que afectan a los objetivos de la entidad deben ser identificados, diferenciando entre riesgos y oportunidades. Estas ltimas revierten hacia la estrategia de la direccin o los procesos para fijar objetivos.
17
GESTIN
DE
RIESGOS CORPORATIVOS MARCO INTEGRADO
Evaluacin de riesgos Los riesgos se analizan considerando su probabilidad e impacto como base para determinar cmo deben ser gestionados y se evalan desde una doble perspectiva, inherente y residual. Respuesta a los riesgos La direccin selecciona las posibles respuestas - evitar, aceptar, reducir o compartir los riesgos - desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las tolerancias al riesgo de la entidad. Actividades de control Las polticas y procedimientos se establecen e implantan para ayudar a asegurar que las respuestas a los riesgos se llevan a cabo eficazmente. Informacin y comunicacin La informacin relevante se identifica, capta y comunica en forma y plazo adecuado para permitir al personal afrontar sus responsabilidades. Una comunicacin eficaz debe producirse en un sentido amplio, fluyendo en todas direcciones dentro de la entidad. Supervisin La totalidad de la gestin de riesgos corporativos se supervisa, realizando modificaciones oportunas cuando se necesiten. Esta supervisin se lleva a cabo mediante actividades permanentes de la direccin, evaluaciones independientes o ambas actuaciones a la vez. La gestin de riesgos corporativos no constituye estrictamente un proceso en serie, donde cada componente afecta slo al siguiente, sino un proceso multidireccional e iterativo en que casi cualquier componente puede influir en otro.
Relacin entre objetivos y componentes Existe una relacin directa entre los objetivos que la entidad desea lograr y los componentes de la gestin de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relacin se representa con una matriz tridimensional, en forma de cubo.
Las cuatro categoras de objetivos estrategia, operaciones, informacin y cumplimiento estn representadas por columnas verticales, los ocho componentes lo estn por filas horizontales y las unidades de la entidad, por la tercera dimensin del cubo. Este grfico refleja la capacidad de centrarse sobre la totalidad de la gestin de riesgos corporativos de una entidad o bien por categora de objetivos, componente, unidad o cualquier subconjunto deseado.
18
RESUMEN EJECUTIVO
Eficacia La afirmacin de que la gestin de riesgos corporativos de una entidad es eficaz es un juicio resultante de la evaluacin de si los ocho componentes estn presentes y funcionan de modo eficaz. As, estos componentes tambin son criterios para estimar la eficacia de dicha gestin. Para que estn presentes y funcionen de forma adecuada, no puede existir ninguna debilidad material y los riesgos necesitan estar dentro del nivel de riesgo aceptado por la entidad. Cuando se determine que la gestin de riesgos es eficaz en cada una de las cuatro categoras de objetivos, respectivamente, el consejo de administracin y la direccin tendrn la seguridad razonable de que conocen el grado de consecucin de los objetivos estratgicos y operativos de la entidad, que su informacin es fiable y que se cumplen las leyes y la normas aplicables. Los ocho componentes no funcionan de modo idntico en todas las entidades. Su aplicacin en las pequeas y medianas empresas, por ejemplo, puede ser menos formal y estructurada. Sin embargo, estas entidades podran poseer una gestin eficaz de riesgos corporativos, siempre que cada componente est presente y funcione adecuadamente.
Limitaciones Aunque la gestin de riesgos corporativos proporciona ventajas importantes, tambin presenta limitaciones. Adems de los factores comentados anteriormente, las limitaciones se derivan de hechos como que el juicio humano puede ser errneo durante la toma de decisiones, que las decisiones sobre la respuesta al riesgo y el establecimiento de controles necesitan tener en cuenta los costes y beneficios relativos, que pueden darse fallos por error humano, que pueden eludirse los controles mediante connivencia de dos o ms personas y que la direccin puede hacer caso omiso a las decisiones relacionadas con la gestin de riesgos corporativos. Estas limitaciones impiden que el consejo o la direccin tengan seguridad absoluta de la consecucin de los objetivos de la entidad.
Inclusin del Control Interno El control interno constituye una parte integral de la gestin de riesgos corporativos. Este Marco lo incluye, constituyendo una conceptualizacin y una herramienta ms slidas para la direccin. El control interno se define y describe en el documento Control Interno Marco integrado. Dado que ste ha perdurado a lo largo del tiempo y es la base para las reglas, normas y leyes existentes, se mantiene vigente para definir y enmarcar el control interno. Aunque el presente documento slo recoge partes de Control Interno Marco integrado, su estructura entera se incorpora en l a travs de referencias.
Roles y Responsabilidades Todas las personas que integran una entidad tienen alguna responsabilidad en la gestin de riesgos corporativos. El consejero delegado es su responsable ltimo y debe-
19
GESTIN
DE
RIESGOS CORPORATIVOS MARCO INTEGRADO
ra asumir su titularidad. Otros directivos apoyan la filosofa de gestin de riesgos de la entidad, promueven el cumplimiento del riesgo aceptado y gestionan los riesgos dentro de sus reas de responsabilidad en conformidad con la tolerancia al riesgo. El director de riesgos, director financiero, auditor interno u otros, desempean normalmente responsabilidades claves de apoyo. El restante personal de la entidad es responsable de ejecutar la gestin de riesgos corporativos de acuerdo con las directrices y protocolos establecidos. El consejo de administracin desarrolla una importante supervisin de la gestin de riesgos corporativos, es consciente del riesgo aceptado por la entidad y est de acuerdo con l. Algunos terceros, como los clientes, proveedores, colaboradores, auditores externos, reguladores y analistas financieros, proporcionan a menudo informacin til para el desarrollo de la gestin de riesgos corporativos, aunque no son responsables de su eficacia en la entidad ni forman parte de ella.
Estructura de este Documento El presente documento se divide en dos partes. La primera contiene el Marco y un Resumen Ejecutivo. El Marco define la gestin de riesgos corporativos y describe principios y conceptos, proporcionando orientacin a todos los niveles de direccin en empresas y otras organizaciones para ser usada en la evaluacin y mejora de la eficacia de dicha gestin. El Resumen Ejecutivo es una perspectiva de alto nivel dirigida a los consejeros delegados, otros altos directivos, consejeros y reguladores. La segunda parte del documento corresponde a las Tcnicas de aplicacin y proporciona ejemplos de tcnicas tiles para aplicar los componentes del Marco.
Uso de este Informe Las acciones sugeridas que podran adoptarse como resultado de este documento dependen de la posicin y papel de las partes implicadas:
Consejo de Administracin El consejo debera comentar con la alta direccin el estado de la gestin de riesgos corporativos de la entidad y aportar su supervisin segn se necesite. Asimismo, debera asegurarse de que es informado de los riesgos ms significativos, de las acciones que la direccin est realizando y cmo sta asegura una gestin eficaz de riesgos. Alta direccin Este documento sugiere que el consejero delegado evale las capacidades de gestin de riesgos corporativos de la organizacin. Por ejemplo, un consejero delegado rene a los responsables de unidad de negocio y al personal clave del staff para comentar una evaluacin inicial de las capacidades y eficacia de la gestin de riesgos corporativos. Sea cual sea su forma, esta evaluacin inicial debera determinar si existe la necesidad de otra evaluacin ms profunda y amplia y, en caso afirmativo, cmo proceder a realizarla. Otro personal de la entidad Los directivos y dems personal deberan considerar cmo estn desempeando sus responsabilidades a la luz del presente Marco y comentar sus ideas con res-
20
RESUMEN EJECUTIVO
ponsables superiores para reforzar la gestin de riesgos corporativos. Los auditores internos deberan considerar el alcance de su enfoque sobre dicha gestin. Reguladores Este Marco puede fomentar una visin compartida de la gestin de riesgos corporativos, incluyendo lo que se puede hacer y sus limitaciones. Los reguladores pueden referirse a este Marco al establecer sus expectativas, bien mediante normas o guas o en la realizacin de inspecciones en las entidades bajo su supervisin. Organizaciones profesionales Las entidades encargadas de establecer normas y otras organizaciones que proporcionan orientacin sobre gestin financiera, auditora y temas afines, deberan considerar sus normas y guas a la luz de este Marco. A medida que se eliminen divergencias de conceptos y terminologa, todas las partes se beneficiarn de ello. Educadores Este Marco puede ser tema de investigacin y anlisis universitario, para ver dnde se pueden realizar futuras mejoras. En la idea de que este documento sea aceptado como base compartida de comprensin, sus conceptos y trminos deberan encontrar una forma de integrarse en los programas de estudios universitarios. Establecidos estos cimientos para una comprensin mutua, todas las partes podrn hablar un lenguaje comn y se comunicarn ms eficazmente. Los directivos estarn en posicin de evaluar el proceso de gestin de riesgos corporativos de su entidad respecto a una norma y podrn potenciar el proceso de consecucin de los objetivos establecidos. La investigacin futura puede apoyarse en esta base slida, mientras que los legisladores y reguladores podrn incrementar su comprensin de la gestin de riesgos corporativos, incluidas sus ventajas y limitaciones. Si todas las partes interesadas utilizan este Marco comn para dicha gestin, se podrn obtener las ventajas comentadas.
21
Gestin de Riesgos Corporativos Marco Integrado
Marco
1. Definicin
Resumen del captulo: Todas las entidades se enfrentan a la ausencia de certeza sobre el futuro y el reto para su direccin es determinar qu nivel de incertidumbre puede aceptar mientras se esfuerza en hacer crecer el valor para sus grupos de inters. La gestin de riesgos corporativos capacita a la direccin para identificar, evaluar y gestionar los riesgos en caso de incertidumbre y es esencial para la creacin y conservacin de valor. Dicha gestin es un proceso realizado por el consejo de administracin, la direccin y dems personal de una entidad, que se aplica a la definicin de estrategia en toda la entidad. Est diseada para identificar los eventos potenciales que puedan afectar a la entidad y gestionar los riesgos para que estn dentro del riesgo aceptado por ella, facilitando una seguridad razonable respecto al logro de sus objetivos. Est constituida por ocho componentes relacionados entre s, que integran el modo en que la direccin conduce la empresa. Estos componentes estn vinculados entre s y sirven de criterio para determinar si la gestin de riesgos corporativos es eficaz.
Un objetivo clave del presente Marco es ayudar a las direcciones de empresas y otras entidades a enfrentarse mejor al riesgo en su intento por alcanzar sus objetivos. Pero la gestin de riesgos corporativos tiene diferentes significados para personas distintas, porque presenta una amplia gama de definiciones y contenidos que impiden una comprensin comn. Por esto, un objetivo importante es integrar los diferentes conceptos de la gestin de riesgos en un marco en el que se establezca una definicin comn, se identifiquen los componentes y se describan los conceptos claves. Este marco integra la mayora de perspectivas posibles y proporciona un punto de partida para la evaluacin y mejora de cada entidad y para futuras iniciativas regulatorias y educativas.
Incertidumbre y ValorUna premisa subyacente en la gestin de riesgos corporativos es que cada entidad, tenga nimo de lucro o no o sea un organismo estatal, existe para generar valor para sus grupos de inters. Todas las entidades se enfrentan a la incertidumbre y el reto para su direccin es determinar cunta incertidumbre puede aceptar mientras se esfuerza en hacer crecer el valor para dichos grupos. La incertidumbre presenta a la vez riesgos y oportunidades, con un potencial para erosionar o mejorar el valor. La gestin de riesgos corporativos permite a la direccin tratar eficazmente la incertidumbre y sus riesgos y oportunidades asociados, mejorando as la capacidad de la entidad para generar valor.
25
GESTIN
DE
RIESGOS CORPORATIVOS MARCO INTEGRADO
Las empresas funcionan en entornos donde factores como la globalizacin, tecnologa, reestructuraciones, mercados cambiantes, competencia y regulacin crean incertidumbre. La incertidumbre emana de la incapacidad para determinar acertadamente la probabilidad de ocurrencia de los eventos y sus impactos correspondientes. La incertidumbre tambin se presenta y crea como consecuencia de las decisiones estratgicas de la entidad. Por ejemplo, pensemos en una entidad que tenga una estrategia de crecimiento basada en la expansin de sus operaciones a otro pas. Esta estrategia elegida presenta tanto riesgos como oportunidades, relacionados con la estabilidad de su entorno poltico, recursos, mercados, canales, capacidades de la fuerza laboral y costes. Las decisiones de la direccin en todas sus actividades, desde el establecimiento de la estrategia hasta las operaciones cotidianas de la empresa, crean, conservan o erosionan el valor. La creacin de valor se produce a travs del despliegue de recursos, incluyendo personas, capital, tecnologa y marca, siempre que el beneficio derivado supere a los recursos utilizados. La conservacin de valor tiene lugar cuando el valor creado perdura a travs de, entre otros factores, una calidad superior del producto, la capacidad productiva y la satisfaccin del cliente. El valor puede erosionarse cuando no se alcanzan los objetivos debido a una estrategia o ejecucin inadecuada. Implcito en las decisiones para reconocer los riesgos y oportunidades, est el requisito de que la direccin considere la informacin de los entornos interno y externo, despliegue recursos valiosos y reajuste las actividades a las circunstancias cambiantes. El valor se maximiza cuando la direccin establece una estrategia y unos objetivos que consiguen un equilibrio ptimo entre las metas de crecimiento y rentabilidad y los riesgos asociados y despliega eficiente y eficazmente los recursos a fin de alcanzar los objetivos de la entidad. La gestin de riesgos corporativos abarca las siguientes capacidades:
Alinear el riesgo aceptado y la estrategia La direccin considera el riesgo aceptado por la entidad primeramente al evaluar las alternativas estratgicas y luego, al establecer los objetivos alineados con la estrategia seleccionada y desarrollar mecanismos para gestionar los riesgos relativos. Por ejemplo, una empresa farmacutica tiene un bajo riesgo aceptado respecto al valor de marca, por lo que, para protegerla, mantiene unos amplios protocolos que afiancen la seguridad del producto e invierte regularmente recursos significativos en las fases preliminares de investigacin y desarrollo, con lo que refuerza la creacin de valor de marca. Mejorar las decisiones de respuesta a los riesgos La gestin de riesgos corporativos proporciona rigor para identificar respuestas alternativas al riesgo y seleccionar entre ellas evitar, reducir, compartir y aceptar el riesgo. Por ejemplo, la direccin de una empresa que usa vehculos de su propiedad y opera con ellos para efectuar los repartos, reconoce los riesgos inherentes en su proceso de entrega, incluyendo el coste de los daos y perjuicios de los coches y empleados. Las alternativas disponibles son reducir los riesgos a travs de una eficaz seleccin, contratacin y formacin de conductores, evitarlos mediante la externalizacin del reparto, compartirlos a travs de seguros o simplemente aceptarlos. La gestin de riesgos corporativos facilita la metodologa y tcnicas para tomar estas decisiones.
26
DEFINICIN
Reducir sorpresas y prdidas operativas Las entidades mejoran su capacidad para identificar eventos potenciales, evaluar los riesgos y establecer respuestas a ellos, reduciendo as las sorpresas y sus costes o prdidas derivados. Por ejemplo, una empresa industrial hace un seguimiento de los ratios de defectos en componentes y equipos usando mltiples criterios, incluyendo los del tiempo de reparacin, la incapacidad de satisfacer la demanda de clientes, la seguridad laboral y el coste de las reparaciones previstas frente a las imprevistas, y responde estableciendo programas concordantes de mantenimiento. Identificar y gestionar riesgos en toda la entidad Cada entidad se enfrenta a mltiples riesgos que afectan a diferentes partes de la organizacin. Su direccin no slo necesita gestionar los riesgos individuales, sino tambin entender los impactos interrelacionados. Por ejemplo, un banco se enfrenta a una variedad de riesgos al efectuar sus actividades comerciales en toda la entidad y la direccin ha desarrollado un sistema informtico que analiza los datos de las transacciones y del mercado procedentes de otros sistemas internos, que, junto con informacin relevante generada externamente, proporcionan una visin agregada de los riesgos en todas las actividades de negocio. El sistema informtico permite la capacidad de ahondar hasta los niveles de departamento, cliente, intermediario y transaccin y cuantifica los riesgos en las categoras establecidas en relacin con sus respectivas tolerancias. El sistema permite que el banco agregue datos previamente dispares para responder ms eficazmente a los riesgos usando perspectivas tanto agregadas como seleccionadas por objetivos. Facilitar respuestas integradas a riesgos mltiples Los procesos empresariales implican muchos riesgos inherentes y la gestin de riesgos corporativos permite soluciones integradas para gestionarlos. Por ejemplo, un mayorista se enfrenta a riesgos de defecto o exceso de existencias, de proveedores poco fiables y de precios de compra innecesariamente altos. La direccin identific y evalu el riesgo en el contexto de la estrategia, objetivos y respuestas alternativas de la entidad y desarroll un sistema de control de inventarios de amplio alcance. El sistema se integraba con los proveedores, compartiendo informacin de ventas e inventario, permitiendo una colaboracin estratgica y evitando roturas de inventario y costes innecesarios de transporte, mediante contratos de suministros a largo plazo y mejores precios. Los proveedores asumieron la responsabilidad de reponer existencias, generando reducciones adicionales de costes. Aprovechar las oportunidades Al considerar una amplia gama de eventos potenciales, en lugar de limitarse slo a los riesgos, la direccin identifica los eventos que representan oportunidades. Por ejemplo, una empresa de alimentacin consider los eventos potenciales que probablemente afectaran a su objetivo de crecimiento perdurable de los ingresos. Al evaluar los eventos, la direccin determin que los principales consumidores de la empresa eran cada vez ms conscientes de los temas de salud y cambiaban sus preferencias dietticas, lo que indicaba un declive de la demanda futura de los productos actuales de la empresa. Al determinar su respuesta, la direccin identific formas para aplicar sus capacidades existentes al desarrollo de productos nuevos, permitiendo a la empresa no slo mantener los ingresos por clientes actuales, sino tambin crear otros adicionales atrayendo a una base consumidora ms amplia.
27
GESTIN
DE
RIESGOS CORPORATIVOS MARCO INTEGRADO
Mejorar la aplicacin de capital La obtencin de informacin slida sobre los riesgos permite que la direccin evale eficazmente las necesidades globales de capital y mejore su asignacin. Por ejemplo, una entidad financiera qued sometida a nuevas normas reguladoras que aumentaran sus requisitos de capital, a menos que la direccin calculara ms especficamente los niveles de riesgo crediticio y operativo y las respectivas necesidades de capital. La entidad evalu el riesgo en trminos de coste del desarrollo de sistemas frente al coste de capital adicional y tom una decisin consensuada. Con las aplicaciones informticas existentes fcilmente modificables, la entidad desarroll clculos ms precisos, evitando as la necesidad de buscar fuentes de capital adicional. Estas capacidades estn implcitas en la gestin de riesgos corporativos, que ayuda a la direccin a lograr los objetivos de rendimiento y rentabilidad de la entidad e impedir la prdida de recursos, as como a asegurar una informacin eficaz y que se cumplan las leyes y normas, evitando daos a su reputacin y consecuencias derivadas. En definitiva, la gestin de riesgos corporativos ayuda a la entidad a llegar al destino deseado, salvando obstculos y sorpresas en el camino.
Eventos Riesgos y OportunidadesUn evento es un incidente o acontecimiento procedente de fuentes internas o externas que afecta a la consecucin de objetivos y que puede tener un impacto negativo o positivo o de ambos tipos a la vez. Los eventos de signo negativo constituyen riesgos. Por tanto, un riesgo se define como sigue: Riesgo es la posibilidad de que un evento ocurra y afecte desfavorablemente al logro de objetivos. Los eventos con impacto negativo impiden la creacin del valor o erosionan el valor existente. Ejemplos de esto lo constituyen las averas de la maquinaria, un incendio o prdidas de crdito. Este tipo de eventos pueden derivarse de condiciones aparentemente positivas, como, por ejemplo, cuando la demanda de productos por los clientes supera a la capacidad productiva, provocando fallos al atender las solicitudes de los compradores, la erosin de la fidelidad del cliente y el declive de pedidos futuros. Los eventos con impacto positivo pueden compensar otros impactos negativos o representar oportunidades. Una oportunidad se define como sigue: Oportunidad es la posibilidad de que un evento ocurra y afecte positivamente a la consecucin de objetivos. Las oportunidades refuerzan la creacin de valor o su conservacin. La direccin las revierte hacia la estrategia o los procesos de fijacin de objetivos, para que se puedan formular acciones que aprovechen las oportunidades.
Definicin de la Gestin de Riesgos CorporativosLa gestin de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creacin de valor o su preservacin. Se define de la siguiente manera:
28
DEFINICIN
La gestin de riesgos corporativos es un proceso efectuado por el consejo de administracin de una entidad, su direccin y restante personal, aplicado en la definicin de la estrategia y en toda la entidad y diseado para identificar eventos potenciales que puedan afectar a la organizacin y gestionar sus riesgos dentro del riesgo aceptado, proporcionandor una seguridad razonable sobre el logro de objetivos.
Esta definicin refleja algunos conceptos fundamentales de la gestin de riesgos corporativos: Es un proceso continuo que fluye a travs de una entidad. Se realiza por personas en cada nivel de una organizacin. Se aplica al establecimiento de la estrategia. Se aplica en toda la empresa, a cada nivel y unidad, e incluye una perspectiva del riesgo al nivel de entidad Est diseada para identificar eventos potenciales que afecten a la entidad y gestionar los riesgos dentro del riesgo aceptado. Puede proporcionar una seguridad razonable a la direccin y al consejo de administracin de una entidad. Est orientada a la consecucin de objetivos en una o varias categoras separadas, aunque solapables - es un medio para conseguir un fin, no un fin en s mismo. La definicin es conscientemente amplia por varias razones. Capta los conceptos claves fundamentales de cmo las empresas y otras organizaciones gestionan el riesgo y proporciona una base para su aplicacin en todas las entidades y sectores. Se centra directamente en el cumplimiento de los objetivos establecidos por una entidad determinada y proporciona una base para definir la eficacia en la gestin de riesgos corporativos que se comentar posteriormente en este captulo. A continuacin, se presentan los conceptos fundamentales mencionados antes.
Un ProcesoLa gestin de riesgos corporativos no es esttica, sino ms bien un intercambio continuo o iterativo de acciones que fluyen por toda la entidad, que se difunden y estn implcitas en la forma como la direccin lleva el negocio. La gestin de riesgos corporativos es diferente de la perspectiva de algunos observadores, que la ven como un mero apndice de las actividades de una entidad. Con esto no queremos decir que una eficaz gestin de riesgos corporativos no requiera un esfuerzo adicional, llegado el caso. Al considerar los riesgos crediticios o de tipo de cambio, por ejemplo, puede requerirse un esfuerzo adicional para desarrollar modelos adecuados y elaborar anlisis y clculos necesarios. Sin embargo, estos mecanismos de gestin de riesgos corporativos estn integrados en las actividades operativas de una entidad y existen gracias a razones empresariales de fondo. De hecho, dicha gestin resulta ms eficaz cuando esos mecanismos estn integrados
29
GESTIN
DE
RIESGOS CORPORATIVOS MARCO INTEGRADO
en la infraestructura de la entidad y forman parte de su esencia. Al integrarlos, la gestin de riesgos corporativos puede afectar directamente a la capacidad de la entidad para implantar su estrategia y cumplir su misin. La integracin de la gestin de riesgos corporativos tiene implicaciones importantes para la contencin de costes, especialmente en los mercados altamente competitivos a los que se enfrentan muchas empresas. Aadir nuevos procedimientos independientes de los ya existentes, provoca un aumento de costes. Al centrarse en las operaciones existentes y su aportacin a la gestin de riesgos corporativos e integrar sta en las actividades operativas bsicas, una entidad puede evitar procedimientos y costes innecesarios. Adems, la prctica de construir la mencionada gestin dentro del tejido operativo ayuda a identificar nuevas oportunidades que la direccin puede aprovechar para hacer crecer el negocio.
Realizado por PersonasLa gestin de riesgos corporativos se realiza por el consejo de administracin, la direccin y dems personal de una entidad. Son las personas de la organizacin, mediante lo que hacen y dicen, quienes la hacen realidad. Las personas establecen la misin, estrategia y objetivos de la entidad y colocan los mecanismos de dicha gestin en el lugar adecuado. De forma similar, la gestin de riesgos corporativos afecta a las acciones de las personas, reconociendo que stas no siempre se entienden, se comunican o actan de modo consistente. Cada individuo aporta a su puesto de trabajo su historial y capacidades tcnicas propias y, a su vez, tiene necesidades y prioridades diferentes. Estos hechos afectan a la gestin de riesgos corporativos y son afectados por sta. Cada persona tiene su propio punto de vista, que influye en su manera de identificar, evaluar y responder al riesgo. La gestin de riesgos corporativos proporciona los mecanismos necesarios para ayudar a las personas a entender el riesgo en el contexto de los objetivos de la entidad. Las personas deben conocer sus responsabilidades y lmites de autoridad. Asimismo, deber existir un vnculo claro y estrecho entre los deberes de las personas y el modo de realizarlos, as como con la estrategia y objetivos de la entidad. El personal de una organizacin incluye al consejo de administracin, la direccin y dems empleados. Aunque los consejeros aportan primordialmente la supervisin de la entidad, tambin proporcionan orientacin y aprueban la estrategia y polticas. Como tal, el consejo de administracin de una empresa constituye un componente importante de su gestin de riesgos corporativos.
Aplicado al Establecimiento de la EstrategiaUna entidad fija su misin o visin y establece los objetivos estratgicos, que son las metas de alto nivel que estn en lnea con aquella y la apoyan. Para alcanzar sus objetivos estratgicos, la entidad establece una estrategia y tambin fija los objetivos conexos que desea realizar y se derivan de ella, fluyendo en cascada hacia las unidades de negocio, divisiones y procesos.
30
DEFINICIN
La gestin de riesgos corporativos se aplica durante el proceso del establecimiento de la estrategia, en el que la direccin contempla los riesgos relacionados con las opciones alternativas. Por ejemplo, una alternativa puede ser la de adquirir otras empresas para incrementar la cuota de mercado y otra, la de recortar los costes de aprovisionamiento para obtener una tasa ms alta de margen bruto. Cada una de ellas plantea diferentes riesgos. Si la direccin selecciona la primera, es posible que la empresa se vea obligada a penetrar en mercados nuevos y, as, sus competidores pueden ganar cuota en los mercados actualmente existentes o que la entidad no tenga la capacidad de implantar eficazmente su estrategia. Con la segunda alternativa, los riesgos implicarn, incluso, la utilizacin de nuevas tecnologas o proveedores o la formacin de nuevas alianzas. Las tcnicas de gestin de riesgos corporativos se aplican a este nivel para ayudar a la direccin a evaluar y elegir la estrategia de la entidad y los objetivos asociados a ella.
Aplicado en toda la EmpresaAl aplicar la gestin de riesgos corporativos, una entidad debera considerar toda la gama de sus actividades en los diferentes niveles de la organizacin, desde aquellas al nivel de empresa, como son la planificacin estratgica y la asignacin de recursos, hasta las de unidades de negocio, como son el marketing y los recursos humanos, y las de procesos de negocio, como son la produccin y la revisin de solvencia de los clientes. La gestin de riesgos corporativos tambin se aplica en proyectos especiales y nuevas iniciativas que podran no tener an un lugar en la jerarqua o el organigrama de la organizacin. La gestin de riesgos corporativos requiere que una entidad adopte una perspectiva de cartera global para los riesgos. Esto puede implicar que cada directivo responsable de una unidad de negocio, funcin, proceso o cualquier actividad tenga que desarrollar una evaluacin de sus riesgos, que se puede efectuar de modo cuantitativo o cualitativo. Con una visin compuesta de cada nivel sucesivo de la organizacin, la alta direccin est en posicin de determinar si la cartera de riesgo global de la entidad se corresponde a su riesgo aceptado. La direccin considera los riesgos interrelacionados desde una perspectiva de cartera a nivel de entidad. Los riesgos de las unidades individuales pueden mantenerse dentro de las tolerancias al riesgo de cada una de ellas, aunque es posible que sumados superen el riesgo aceptado por la entidad en su conjunto. O, al contrario, ciertos eventos potenciales pueden representar un riesgo inaceptable para una unidad de negocio, pero generar un efecto compensatorio en otra. Es preciso identificar los riesgos interrelacionados y actuar sobre ellos para que la totalidad de los riesgos sean concordantes con el riesgo aceptado por la entidad de forma global.
Riesgo AceptadoEl riesgo aceptado es el volumen de riesgo, a un nivel amplio, que una entidad est dispuesta a aceptar en su bsqueda de valor. Refleja la filosofa de gestin de riesgos de la entidad y, por consiguiente, influye en su cultura y estilo operativo. Muchas entidades consideran el riesgo aceptado de manera cualitativa, calificndolo como
31
GESTIN
DE
RIESGOS CORPORATIVOS MARCO INTEGRADO
alto, moderado o bajo, mientras existen otras que adoptan un enfoque cuantitativo, reflejando y equilibrando los objetivos de crecimiento, rendimiento y riesgo. Una empresa con un riesgo aceptado alto puede estar dispuesta a asignar una gran parte del capital a reas de alto riesgo, como son los mercados emergentes. Por el contrario, una compaa con un riesgo aceptado bajo podra optar por limitar su riesgo a corto plazo de amplias prdidas de capital, invirtiendo slo en mercados maduros y estables. El riesgo aceptado se relaciona directamente con la estrategia de una entidad y se tiene en cuenta para establecerla, ya que diferentes estrategias exponen a una entidad a riesgos distintos. La gestin de riesgos corporativos ayuda a la direccin a elegir una estrategia que ponga en lnea la creacin anticipada de valor con el riesgo aceptado por la entidad. El riesgo aceptado orienta la asignacin de recursos, pues la direccin dota de recursos a las diferentes unidades de negocio e iniciativas teniendo en cuenta el riesgo aceptado por la entidad y los planes de cada unidad para generar el rendimiento deseado a partir de los recursos invertidos. La direccin considera su riesgo aceptado al alinear la organizacin, personal y procesos y disea la infraestructura necesaria para supervisar eficazmente los riesgos y responder a ellos. Las tolerancias al riesgo estn relacionadas con los objetivos de la entidad. La tolerancia al riesgo es el nivel aceptable de variacin relativa al logro de un objetivo concreto y a menudo se mide mejor en las mismas unidades usadas para medir dicho objetivo. Al fijar la tolerancia al riesgo, la direccin considera la importancia relativa del objetivo correspondiente y alinea las tolerancias al riesgo con el riesgo aceptado. Operar dentro de las tolerancias al riesgo ayuda a asegurar que la entidad se mantenga dentro de su riesgo aceptado y, por consiguiente, que la entidad consiga sus objetivos.
Proporciona una Seguridad RazonableUna gestin de riesgos corporativos bien diseada y realizada puede facilitar a la direccin y al consejo de administracin una seguridad razonable sobre la consecucin de objetivos de la entidad. Este concepto de seguridad razonable refleja la idea de que la incertidumbre y el riesgo estn relacionados con el futuro, que nadie puede predecir con precisin, y no implica que la gestin de riesgos corporativos fracase con mucha frecuencia. Muchos factores, individual y colectivamente, refuerzan el concepto de seguridad razonable. El efecto acumulativo de las respuestas al riesgo que satisfacen objetivos mltiples y el carcter multifuncional de los controles internos reducen el riesgo de que una entidad pueda no alcanzar sus objetivos. Es ms, las actividades y responsabilidades operativas y cotidianas de las personas que actan en varios niveles de una organizacin estn orientadas a la consecucin de sus objetivos. Evidentemente, entre una muestra de entidades bien controladas, es probable que de forma regular la mayora est informada del progreso hacia su estrategia y objetivos operativos, alcance sus objetivos de cumplimiento y genere consistentemente periodo tras periodo y ejercicio tras ejercicio- informes fiables. Sin embargo, puede producirse un evento incontrolable, un error o un inadecuado incidente con la informacin. En otras
32
DEFINICIN
palabras, incluso una gestin eficaz de riesgos corporativos puede experimentar el fracaso. La seguridad razonable no es una seguridad absoluta.
Consecucin de ObjetivosDentro del contexto de la misin establecida, la direccin fija objetivos estratgicos, selecciona su estrategia y establece otros objetivos que fluyen en cascada por toda la entidad y estn en lnea con la estrategia y vinculados a ella. Aunque muchos objetivos son especficos para una entidad determinada, algunos son ampliamente compartidos. Por ejemplo, son objetivos comunes para prcticamente todas las entidades la consecucin y mantenimiento de una reputacin positiva en el mbito empresarial y de negocio, la generacin de informacin fiable para los grupos de inters o un desarrollo de operaciones en concordancia con las leyes y normas. Este Marco establece cuatro categoras de objetivos de una entidad: Estrategia Relativos a los objetivos de alto nivel, alineados con la misin de la entidad y prestndole apoyo Operaciones Relativos al uso eficaz y eficiente de los recursos de la entidad Informacin Relativos a la fiabilidad de los informes de la entidad Cumplimiento Relativos al cumplimiento por la entidad de las leyes y normas aplicables Esta clasificacin de los objetivos de una entidad por categoras permite enfocar los aspectos diferenciados de la gestin de riesgos corporativos. Estas categoras distintas, aunque solapables (un objetivo concreto puede incidir en ms de una categora) atienden a las distintas necesidades de la entidad y posiblemente a la responsabilidad directa de diferentes directivos, permitiendo tambin distinguir entre lo que puede esperarse de cada una de ellas. Algunas entidades utilizan otra categora de objetivos, la salvaguarda de recursos, a veces denominada salvaguarda de activos. Desde una perspectiva amplia, trata de la prevencin de prdidas de activos o recursos de una entidad por robo, despilfarro, ineficiencia o simplemente por decisiones empresariales equivocadas, tales como vender productos a un precio demasiado bajo, no haber podido retener a empleados claves o evitar infracciones de patentes o incurrir en pasivos imprevistos. Son principalmente objetivos operacionales, aunque ciertos aspectos de la salvaguarda pueden clasificarse en otras categoras. Cuando se aplican requisitos legales o normativos, se trata de temas de cumplimiento. Cuando se consideran conjuntamente con la informacin al pblico, a menudo se usa una definicin ms restringida de la salvaguarda de activos, que trata de la prevencin o deteccin oportuna de cualquier adquisicin, uso o disposicin no autorizada de los activos de la entidad que podra tener un efecto material sobre los estados financieros. Se puede esperar de la gestin de riesgos corporativos que proporcione una seguridad razonable del logro de objetivos relativos a la fiabilidad de la informacin y el
33
GESTIN
DE
RIESGOS CORPORATIVOS MARCO INTEGRADO
cumplimiento de leyes y normas. La consecucin de estas categoras de objetivos est dentro del control de la entidad y depende de su grado de xito en la realizacin de actividades relativas a ellas. Sin embargo, el logro de objetivos estratgicos, como la obtencin de una cuota de mercado especfica, y de objetivos operativos, como el lanzamiento con xito de una nueva lnea de producto, no est siempre dentro del control de la entidad. La gestin de riesgos corporativos no puede prevenir juicios o decisiones equivocadas, ni eventos externos que puedan provocar que una entidad falle en la consecucin de objetivos operativos. Sin embargo, s mejora la probabilidad de que la direccin tome mejores decisiones. Respecto a dichos objetivos, la gestin de riesgos corporativos puede proporcionar una seguridad razonable de que la direccin y el consejo de administracin, en su papel de supervisin, sean informados oportunamente del grado de progreso de la entidad hacia la consecucin de sus objetivos.
Componentes de la Gestin de Riesgos CorporativosLa gestin de riesgos corporativos consta de ocho componentes interrelacionados, derivados de la manera como la direccin lleva el negocio, que se integran en el proceso de gestin. Estos componentes son: Ambiente interno La direccin fija una filosofa respecto al riesgo y determina el riesgo aceptado. El ambiente interno establece la base de cmo el personal de la empresa debe percibir y afrontar el control y el riesgo. El ncleo de cualquier negocio est constituido por sus personas con sus atributos individuales, incluyendo integridad, valores ticos y competencia- y el entorno en el que actan. Establecimiento de objetivos Los objetivos deben existir antes de que la direccin pueda identificar los eventos potenciales que afectan a su consecucin. La gestin de riesgos corporativos asegura que la direccin ha establecido un proceso para fijar objetivos y que los objetivos seleccionados apoyan la misin de la entidad y se alinean con ella, adems de ser consistentes con el riesgo aceptado. Identificacin de eventos Deben identificarse los eventos potenciales que pueden tener un impacto en la entidad. Esto implica la identificacin de posibles acontecimientos internos o externos que afectan a la consecucin de objetivos, diferencindolos segn su procedencia, e incluye la distincin entre los que representan riesgos u oportunidades o ambas circunstancias a la vez. Las oportunidades se reenvan hacia la estrategia de la direccin o a los procesos para fijar objetivos. Evaluacin de riesgos Los riesgos identificados se analizan para formar una base que determine cmo deben gestionarse y se asocian a los objetivos a los que pueden afectar, evalundose desde la doble perspectiva de riesgo inherente y residual y considerando tanto su probabilidad como su impacto. Respuesta a los riesgos El personal identifica y evala las posibles respuestas a los riesgos: evitar, aceptar,
34
DEFINICIN
reducir o compartir. La direccin selecciona un conjunto de acciones para poner en lnea los riesgos con sus tolerancias respectivas y el riesgo aceptado por la entidad. Actividades de control Las polticas y procedimientos se establecen y ejecutan para asegurar que se llevan a cabo eficazmente las respuestas a los riesgos seleccionadas por la direccin. Informacin y comunicacin La informacin relevante se identifica, capta y comunica de un modo y en un plazo que permita a las personas desarrollar sus responsabilidades. Hace falta informacin a todos los niveles de una entidad para identificar, evaluar y responder a los riesgos. Tambin puede darse una comunicacin eficaz en sentido amplio, cuando fluye en todas direcciones dentro de la entidad. El personal debe recibir comunicaciones claras sobre su papel y responsabilidades. Supervisin Toda la gestin de riesgos corporativos se supervisa, realizando en ella las modificaciones que sean necesarias. De este modo, se puede reaccionar dinmicamente y cambiar si varan las circunstancias. Esta supervisin se lleva a cabo a travs de actividades permanentes de la direccin, evaluaciones independientes de la gestin de riesgos corporativos o una combinacin de ambas actuaciones. La gestin de riesgos corporativos es un proceso dinmico. Por ejemplo, la evaluacin de los riesgos induce una respuesta a ellos y puede influir en las actividades de control, as como destacar la conveniencia de reconsiderar las necesidades informativas y de comunicacin o las actividades de supervisin de la entidad. As, la gestin de riesgos corporativos no slo constituye estrictamente un proceso en serie, donde cada componente afecta slo al siguiente, sino que es un proceso multidireccional e iterativo en que casi cualquier componente puede influir en otro. No existen dos entidades que apliquen o debieran aplicar la gestin de riesgos corporativos del mismo modo. Las empresas y sus capacidades y necesidades de gestin de riesgos corporativos difieren enormemente segn su dimensin y sector y segn la filosofa y cultura de la direccin. As, aunque todas las entidades deberan tener cada componente en su lugar y operando eficazmente, la aplicacin de la gestin de riesgos corporativos en una entidad incluyendo las herramientas y tcnicas aplicadas y la asignacin de papeles y responsabilidades - a menudo no tendr el mismo aspecto que la empleada en otras entidades.
Relacin entre Objetivos y ComponentesExiste una relacin directa entre los objetivos que una entidad intenta alcanzar y los componentes de la gestin de riesgos corporativos, que representan lo que hace falta para lograr aquellos. Esta relacin se muestra a travs de la matriz tridimensional en forma de cubo que se muestra en la figura 1.1.
35
GESTIN
DE
RIESGOS CORPORATIVOS MARCO INTEGRADO
Figura 1.1
(Grfico del cubo)
Las cuatro categoras de objetivos estrategia, operaciones, informacin y cumplimiento estn representadas por las columnas verticales. Los ochos componentes estn representados por las filas horizontales. La entidad y sus unidades estn representadas por la tercera dimensin del cubo.
Cada fila con un componente cruza y afecta a las cuatro categoras de objetivos. Por ejemplo, los datos financieros y no financieros generados desde fuentes internas y externas, que forman parte del componente de informacin y comunicacin, son necesarios para fijar la estrategia, gestionar eficazmente las operaciones del negocio, informar adecuadamente y determinar si la entidad cumple o no las leyes aplicables. Asimismo, si observamos las categoras de objetivos, los ocho componentes son relevantes para cualquiera de ellas. Tomando una categora, por ejemplo, la eficacia y eficiencia operativa, le resultan aplicables los ocho componentes, que son importantes para su consecucin. Debera reconocerse que las cuatro columnas representan categoras de objetivos de una entidad y no partes o unidades de sta. De acuerdo con esto, cuando se considere la categora de objetivos relativos a la informacin, por ejemplo, ser necesario conocer una amplia gama de datos sobre las operaciones de la entidad. Pero en este caso, el foco est en la segunda columna desde la derecha en la cara horizontal superior informacin de objetivos y no en la tercera operaciones como podra parecer.
EficaciaAunque la gestin de riesgos corporativos es un proceso, su eficacia es un estado o condicin en un momento determinado. Discernir si la gestin de riesgos corporativos es eficaz es un juicio que se deriva de una evaluacin acerca de si estn pre-
36
DEFINICIN
sentes los ocho componentes y funcionan eficazmente. As, los componentes tambin constituyen criterios para una gestin eficaz de riesgos corporativos. Para que los componentes estn presentes y funcionen adecuadamente, no puede haber debilidades materiales y los riesgos deben haberse encajado dentro del riesgo aceptado por la entidad. Cuando se determine que la gestin de riesgos corporativos es eficaz en cada una de las cuatro categoras de objetivos, respectivamente, el consejo de administracin y la direccin tendrn una seguridad razonable de que: Se conoce el grado de consecucin de los objetivos estratgicos de la entidad Se conoce el grado de consecucin de los objetivos operativos de la entidad La informacin de la entidad es fiable Se cumplen las leyes y normas aplicables Aunque para que la gestin de riesgos corporativos pueda considerarse eficaz, los ocho componentes deben estar presentes y funcionar correctamente aplicando los principios descritos en captulos siguientes -, pueden existir entre ellos algunos conflictos. Dado que las tcnicas de gestin de riesgos corporativos sirven para una variedad de propsitos, algunas de las que se aplican a un determinado componente tambin pueden cubrir el propsito de tcnicas normalmente aplicables a otros. Adicionalmente, las respuestas a los riesgos pueden diferir en su grado de atencin a uno concreto, por lo que las respuestas y controles complementarios, cada uno de efecto limitado, pueden ser satisfactorios en conjunto. Los conceptos que comentamos aqu son aplicables a todas las entidades, sea cual sea su dimensin. Aunque algunas pequeas y medianas empresas puedan implantar factores de componentes en forma diferente a otras ms grandes, tambin pueden conseguir una gestin eficaz de riesgos corporativos. La metodologa para cada componente probablemente sea menos formal y estructurada en las entidades pequeas que en las grandes, pero los conceptos bsicos debern estar presentes en todas ellas. Normalmente, la gestin de riesgos corporativos se considera dentro del contexto de una entidad en su conjunto, lo que implica considerar su aplicacin a las unidades significativas de negocio. Sin embargo, puede haber circunstancias en las que la eficacia de dicha gestin deba ser evaluada de modo individual en una determinada unidad de negocio. En tales casos, para que exista eficacia en la gestin en esta unidad, los ocho componentes tienen que estar presentes y funcionar eficazmente en ella. As, por ejemplo, como contar con un consejo de administracin con caractersticas especficas forma parte del mbito interno, la gestin de riesgos corporativos de una especifica unidad de negocio slo podr juzgarse como eficaz cuando dicha unidad tenga un consejo de administracin u organismo similar que funcione adecuadamente (o cuando el consejo de administracin de la entidad lleve a cabo una adecuada supervisin directa sobre la unidad de negocio). De forma similar, debido a que el componente de respuesta a los riesgos se describe desde una perspectiva de cartera de riesgos, para que la gestin de riesgos corporativos en dicha unidad de negocio pueda considerarse eficaz, tambin debera aplicarse en ella este tipo de perspectiva.
37
GESTIN
DE
RIESGOS CORPORATIVOS MARCO INTEGRADO
Inclusin del Control InternoEl control interno es una parte integral de la gestin de riesgos corporativos y, en consecuencia, el Marco de esta ltima incluye a aqul, aportando as a la direccin una conceptualizacin y herramienta ms robustas. El control interno se define y describe en el documento Control Interno Marco integrado. Como este documento compone la base de las reglas, normas y leyes existentes y ha resistido la prueba del tiempo, contina vigente como fuente de la definicin y el marco del control interno. Aunque en el presente documento slo se reproduzcan algunas secciones de Control interno Marco integrado, su totalidad s queda integrada en l mediante referencias. El anexo C describe la relacin existente entre la gestin de riesgos corporativos y el control interno.
Gestin de Riesgos Corporativos y Proceso de DireccinComo la gestin de riesgos corporativos forma parte del proceso de direccin, los componentes del presente Marco se comentan dentro del contexto de lo que hace la gerencia al dirigir una empresa u otro tipo de entidad. Por el contrario, no todo lo que hace la direccin de una entidad forma parte de la gestin de riesgos corporativos y as, muchos juicios aplicados en la toma de decisiones directivas y otras acciones asociadas, aunque constituyan parte del proceso de direccin, no forman parte de esa gestin. Por ejemplo: Constituye un componente crtico de la gestin de riesgos corporativos el que exista un proceso apropiado para fijar objetivos en la entidad, pero determinados objetivos seleccionados por la direccin no forman parte de dicha gestin. Responder a los riesgos, desde una adecuada evaluacin suya, forma parte de la gestin de riesgos corporativos, pero no as determinadas respuestas al riesgo seleccionadas y la correspondiente asignacin de recursos de la entidad. Establecer y ejecutar actividades de control para ayudar a asegurar que se llevan a cabo de modo eficaz las respuestas a los riesgos que la direccin selecciona, forma parte de la gestin de riesgos corporativos, pero no as las particulares actividades de control seleccionadas. En general, la gestin de riesgos corporativos implica a aquellos elementos del proceso de direccin que permiten a la gerencia tomar decisiones informadas basadas en el riesgo, pero determinadas decisiones seleccionadas dentro de una gama de opciones apropiadas no sirven para establecer si la gestin de riesgos corporativos es eficaz o no. Sin embargo, aunque los objetivos, respuestas al riesgo y actividades de control elegidas sean temas a juicio de la direccin, la seleccin efectuada debe dar como resultado la reduccin del riesgo a un nivel aceptable, determinado por el riesgo aceptado y una seguridad razonable respecto a la consecucin de los objetivos de la entidad.
38
2. mbiente interno
Resumen del captulo: El ambiente interno abarca el talante de una organizacin, que influye en la conciencia de sus empleados sobre el riesgo y forma la base de los otros componentes de la gestin de riesgos corporativos, proporcionando disciplina y estructura. Los factores del ambiente interno incluyen la filosofa de gestin de riesgos de una entidad, su riesgo aceptado, la supervisin ejercida por el consejo de administracin, la integridad, valores ticos y competencia de su personal y la forma en que la direccin asigna la autoridad y responsabilidad y organiza y desarrolla a sus empleados.
El ambiente interno constituye la base de todos los dems componentes de la gestin de riesgos corporativos, proporcionando disciplina y estructura, e influye en cmo se establecen las estrategias y objetivos, se estructuran las actividades de negocio, se identifican y evalan los riesgos y se acta sobre ellos. Asimismo, incide en el diseo y
39
GESTIN
DE
RIESGOS CORPORATIVOS MARCO INTEGRADO
funcionamiento de las actividades de control, los sistemas de informacin y comunicacin y las actividades de supervisin. El ambiente interno se ve influido por la historia y cultura de una entidad y comprende muchos elementos, incluyendo los valores ticos de la entidad, la competencia y desarrollo del personal, la filosofa de la direccin para gestionar riesgos y la forma de asignar la autoridad y responsabilidad. El consejo de administracin es una parte crtica del ambiente interno e influye de modo significativo en sus otros factores. Aunque todos los elementos sean importantes, el alcance del tratamiento de cada uno variar segn la entidad. Por ejemplo, el consejero delegado de una empresa con una plantilla reducida y operaciones centralizadas podra no establecer lneas formales de responsabilidad ni polticas operativas detalladas. Sin embargo, la empresa podra contar con un ambiente interno que proporcionase cimientos adecuados para la gestin de riesgos corporativos.
Filosofa de Gestin de RiesgosLa filosofa de gestin de riesgos de una entidad es el conjunto de creencias y actitudes compartidas que caracterizan cmo se contempla el riesgo en ella, desde el desarrollo e implantacin de la estrategia hasta sus actividades cotidianas. Refleja los valores de la entidad, influye en su cultura y estilo operativo y afecta a cmo se aplican los componentes de dicha gestin, incluyendo la identificacin de riegos, los tipos de riesgo aceptados y cmo son gestionados. Una entidad que ha tenido xito aceptando riesgos significativos probablemente tenga una visin diferente de la gestin de riesgos corporativos que otra que se haya enfrentado a severas consecuencias econmicas o reguladoras por haberse aventurado en territorio peligroso. Aunque algunas entidades pueden trabajar para conseguir una gestin de riesgos corporativos que satisfaga las exigencias de algn grupo de inters externo, como su empresa matriz o un posible regulador, es ms frecuente que se haga porque su direccin reconoce que una gestin eficaz de riesgos corporativos ayuda a la entidad a crear y conservar valor. Cuando la filosofa de gestin de riesgos est bien desarrollada, entendida y aceptada por el personal, la entidad estar en posicin de reconocer y gestionar los riesgos eficazmente. De lo contrario, puede existir de manera inaceptable una aplicacin desigual de la gestin de riesgos corporativos en las unidades de negocio, funciones o departamentos. Pero incluso cuando la filosofa de la entidad est muy desarrollada, pueden existir diferencias culturales entre las unidades, lo que provocar una variacin en la aplicacin de dicha gestin. Los directivos de algunas unidades pueden estar preparados para asumir un mayor riesgo, mientras que otros pueden ser ms conservadores. Por ejemplo, una funcin de ventas agresiva puede poner su nfasis en la ejecucin de la venta, sin una cuidadosa atencin a temas de cumplimiento normativo, mientras que el personal de la unidad de contratacin de personal centra significativamente su atencin en asegurarse del cumplimiento de todas las polticas y normas, internas y externas, relevantes. Vistas de manera separada, estas distintas subculturas podran tener efectos adversos sobre la entidad. Sin embargo, trabajando bien conjuntamente, las unidades pueden reflejar adecuadamente la filosofa de gestin de riesgos.
40
AMBIENTE
INTERNO
Esta filosofa se refleja en casi todo el quehacer de la direccin para gestionar la entidad y se plasma en las declaraciones de polticas, las comunicaciones verbales y escritas y la toma de decisiones. Tanto si la direccin pone su nfasis en las polticas escritas, normas de conducta, indicadores de rendimiento e informes de excepcin, como si prefiere operar ms informalmente mediante contactos personales con los directivos claves, lo crticamente importante es que desde ella se potencie la filosofa, no slo con palabras, sino con acciones diarias.
Riesgo AceptadoEl riesgo aceptado es el volumen de riesgo, a un nivel amplio, que una entidad est dispuesta a aceptar en su bsqueda de valor. Refleja la filosofa de gestin de riesgo de la entidad e impacta a su vez en su cultura y estilo operativo. El riesgo aceptado debe tenerse en cuenta al fijar la estrategia, pues el rendimiento deseado de la estrategia debe estar alineado con el riesgo aceptado de la entidad. Diferentes estrategias expondrn a la entidad a niveles diferentes de riesgo y la gestin de riesgos corporativos, aplicada en esta fase de fijacin de estrategias, ayuda a la direccin a seleccionar una estrategia coherente con el riesgo aceptado. Las entidades pueden considerar el riesgo aceptado de un modo cualitativo, usando categoras como alto, moderado o bajo, o bien optar por un enfoque cuantitativo, que refleje los objetivos de crecimiento y rendimiento y los equilibre con los riesgos.
El Consejo de AdministracinEl consejo de administracin de una entidad es una parte crtica del mbito interno e influye de modo significativo en sus elementos. Su independencia frente a la direccin, la experiencia y reputacin de sus miembros, su grado de implicacin y supervisin de las actividades y la adecuacin de sus acciones juegan un papel muy importante. Otras caractersticas son el alcance con que se plantean y persiguen, junto con la direccin, cuestiones difciles relativas a estrategias, planes y rendimientos y su interaccin o la del comit de auditora con los auditores internos y externos. Un consejo de administracin u organismo similar activo e implicado debera poseer una adecuada experiencia directiva, tcnica y de otro tipo, junto con la necesaria mentalidad para llevar a cabo sus responsabilidades de supervisin. Esto es crtico para un entorno eficaz de gestin de riesgos corporativos. Y, dado que el consejo tiene que estar preparado para cuestionar y fiscalizar las actividades de la direccin, presentar enfoques alternativos y actuar frente a prcticas ilcitas, debera contar con consejeros externos. Los miembros de la alta direccin pueden ser partcipes eficaces en el consejo, aportando su conocimiento profundo de la empresa. Sin embargo, debe existir un nmero suficiente de miembros externos independientes que no slo faciliten consejo y orientacin razonables, sino que tambin sirvan como una necesaria verificacin y supervisin de la direccin. Se puede concluir que, para que el mbito interno sea eficaz, el consejo debe tener al menos una mayora de miembros externos independientes. Los consejos de administracin eficaces aseguran que la direccin mantiene una adecuada gestin de riesgos corporativos. Aunque una empresa podra histricamente no
41
GESTIN
DE
RIESGOS CORPORATIVOS MARCO INTEGRADO
haber sufrido prdidas ni estar expuesta a riesgos significativos, el consejo no debe sucumbir a la idea mtica de que los eventos con serias consecuencias adversas no pueden tener lugar aqu. Hay que reconocer que, aunque una compaa pueda tener una estrategia slida, empleados competentes, slidos procesos de negocio y una tecnologa fiable, es vulnerable al riesgo como cualquier entidad y necesita un proceso de gestin de riesgos corporativos que funcione eficazmente.
Integridad y Valores ticosLa estrategia y objetivos de una entidad y la manera en que se ponen en prctica se basan en las preferencias, juicios de valor y estilos de gestin. La integridad de la direccin y su compromiso con los valores ticos influyen en dichas preferencias y juicios, que se traducen en normas de conducta. Dado que la reputacin de una entidad es tan valiosa, las normas de conducta deben ir ms all del mero cumplimiento de la ley. Los directivos de empresas bien gestionadas aceptan cada vez ms la idea de que la tica es rentable y que una conducta ntegra es un buen negocio. La integridad de la direccin es un requisito previo de la conducta tica en todos los aspectos de la actividad de una entidad. La eficacia de la gestin de riesgos corporativos no debe sobreponerse a la integridad y los valores ticos de las personas que crean, administran y controlan sus actividades. La integridad y valores ticos son elementos esenciales del mbito interno de una entidad y afectan al diseo, administracin y seguimiento de los otros componentes de la gestin de riesgos corporativos. A menudo, resulta difcil establecer los valores ticos, dada la necesidad de tener en cuenta las preocupaciones de varias partes. Los valores de la direccin deben equilibrar los intereses de la empresa, sus empleados, proveedores, clientes y competidores y del pblico en general. La bsqueda de este equilibrio entre intereses, a menudo contrarios, puede resultar complicada y frustrante. Por ejemplo, las actividades empresariales para proveer un producto esencial (petrleo, madera o comida) pueden provocar repercusiones medioambientales. La conducta tica y la integridad de la direccin se derivan de la cultura corporativa, que abarca las normas ticas y de conducta y cmo son comunicadas y potenciadas. Las polticas oficiales especifican lo que el consejo y la direccin quieren que suceda. La cultura corporativa determina lo que actualmente ocurre y qu reglas son acatadas, manipuladas o ignoradas. La alta direccin empezando por el consejero delegado juega un papel clave a la hora de establecer la cultura corporativa. Como personalidad dominante en la entidad, es precisamente el consejero delegado quien establece a menudo el talante tico de la entidad. Ciertos factores organizativos tambin pueden influir en la probabilidad de que existan prcticas fraudulentas y cuestionables en la informacin financiera. Estos mismos factores probablemente tambin influyan en la conducta tica. Los individuos pueden implicarse en actos deshonestos, ilegales o no ticos, simplemente porque la entidad les proporciona importantes incentivos o tentaciones para hacerlo. Un nfasis indebido sobre los resultados, particularmente a corto plazo, puede fomentar un ambiente interno inadecuado. Enfocarse solamente a los resultados a corto plazo puede daar a la entidad, incluso en ese mismo corto plazo. Centrarse en los resultados ventas o beneficios a cualquier coste a menudo provoca acciones o reacciones no deseadas. Las
42
AMBIENTE
INTERNO
tcticas agresivas de venta, las negociaciones sin piedad, las ofertas tcitas de sobornos, por ejemplo, pueden provocar reacciones con efectos inmediatos (e, incluso, duraderos). Otros incentivos para implicarse en prcticas de informacin fraudulentas o cuestionables y, por extensin, en otras formas de conducta no tica, pueden incluir recompensas altamente dependientes de la informacin facilitada, financiera y no financiera, particularmente respecto a los resultados a corto plazo. Eliminar o reducir los incentivos y tentaciones inadecuadas supone un buen camino hacia la eliminacin de conductas no deseadas. Como se ha sugerido, esto puede conseguirse siguiendo prcticas empresariales slidas y rentables. Por ejemplo, los incentivos sobre el funcionamiento acompaados de controles adecuados pueden ser una tcnica muy til de gestin siempre que los objetivos de rendimiento sean realistas. Fijar objetivos de este tipo constituye una buena prctica de motivacin, que reduce tensiones contraproducentes y el inters por presentar informacin fraudulenta. De forma similar, un sistema bien controlado de informacin puede servir de proteccin contra la tentacin de presentar errneamente los datos de la entidad. Otra causa de prcticas cuestionables es la ignorancia. Los valores ticos no slo deben ser comunicados, sino tambin acompaados por una orientacin explcita de lo que est bien y mal. Los cdigos formales de conducta corporativa son importantes y sirven de base para un programa eficaz de tica. Los cdigos tratan una variedad de temas de conducta, tales como integridad y tica, conflictos de inters, pagos ilegales o inadecuados y acuerdos contra la libre competencia. Tambin son importantes los canales ascendentes de comunicacin, para que los empleados se sientan cmodos aportando informacin relevante. La existencia de un cdigo escrito de conducta, de documentacin donde conste que los empleados lo han recibido y entendido y un adecuado canal de comunicaciones no aseguran por s mismos que el cdigo se est cumpliendo. Tambin son importantes para su cumplimiento las sanciones resultantes para los empleados que lo violen, los mecanismos que animen al personal a denunciar presuntas violaciones y las acciones disciplinarias contra empleados que conscientemente no denuncien las infracciones. Sin embargo, el cumplimiento de las normas ticas, formalizadas o no en un cdigo escrito, est igualmente, si no ms, asegurado eficazmente por las acciones de la alta direccin y su ejemplo. Es probable que los empleados desarrollen las mismas actitudes hacia lo correcto e incorrecto -y acerca de los riesgos y controles- que las exhibidas por la alta direccin. Los mensajes transmitidos por las acciones de la direccin se incorporan rpidamente a la cultura corporativa. El conocimiento de que el consejero delegado ha hecho lo correcto ticamente cuando se ha enfrentado a una decisin empresarial ardua, difunde un mensaje poderoso por toda la entidad.
Compromiso con la CompetenciaLa competencia refleja
