inform eco so

Gestiónde RiesgosCorporativosMarco IntegradoCommittee of Sponsoring Organizations of the Treadway Commission (COSO)

Ges

tión

de

Rie

sgos

Cor

por

ativ

os -

Mar

co In

tegr

ado

Com

mitt

ee o

f S

pon

sorin

g O

rgan

izat

ions

of

the

Trea

dw

ay C

omm

issi

on (C

OS

O)

Copyright © del Committee of Sponsoring Organizations of the Treadway Commission. 1 2 3 4 5 6 7 8 9 MPI 0 9 8 7 6 5 4

Copyright © 2009 de la versión española: PricewaterhouseCoopers

Se pueden solicitar ejemplares adicionales de Gestión de Riesgos Corporativos – Marco Integrado: ResumenEjecutivo y Marco y Gestión de Riesgos Corporativos – Marco Integrado: Técnicas de Aplicación, 2 vol. Set,item # 990015 llamando de modo gratuito al 1 – 888 – 777 – 7077 o acudiendo a www.cpa2biz.com.

Se reservan todos los derechos. Para más información sobre permisos y licencias de reimpresión, llame al(201) 938 – 3245. Hay disponible un formulario de solicitud de permisos para solicitudes enviadas por correoelectrónico en la dirección www.aicpa.org/cpright.htm. De lo contrario, deberán enviarse las solicitudes, porescrito y por correo ordinario, a Permissions Editor, AICPA, Harborside Financial Center, 201 Plaza Three, Jersey City, NJ 07311-3881.

Traducido de: “Enterprise Risk Management – Integrated Framework”

INFORME COSO-OKJ 25/5/05 18:14 Página 1

Gestión de RiesgosCorporativosMarco IntegradoResumen EjecutivoMarco

Committee of Sponsoring Organizations of the Treadway Commission (COSO)


“Copyright © 2005 by The Committee of Sponsoring Organization, C/O AICPA, Harborside Financial Center, 201 Plaza three, Jersey City, NJ07311 – 3881, USA. All rights reserved.”

“Permission has been obtained from the copyright holder, The Committee of Sponsoring Organization, C/O AICPA, Harborside Financial Center,201 Plaza three, jersey City, NJ 07311 – 3881, U.S.A., to publish this translation, which is the same in all material respects, as the original,unless approved as changed. Permission has been obtained to publish this translation in the following publication: [Gestión de RiesgosCorporativos - Marco Integrado] No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form, or byany means electronic, mechanical, photocopying, recording, or otherwise, without prior written permission of The Committee of SponsoringOrganizations of the Treadway Commission.”

“El permiso para publicar esta traducción ha sido obtenido del titular de derechos de autor: The Committee of Sponsoring Organization, C/OAICPA, Harborside Centro Financiero, 201 Plaza tres, ciudad de Jersey, NJ 07311 - 3881, EE.UU., que es la misma que el original, a no ser queel cambio haya sido aprobado previamente. El permiso para publicar esta traducción ha sido otorgado a la siguiente publicación: [Gestión deRiesgos Corporativos - Marco Integrado]. Esta publicación no se podrá reproducir, almacenar en sistemas de recuperación, transmitir en formaalguna, por medio mecánico, electrónico, fotocopiado, grabado u otro, ni en su totalidad ni en parte, sin autorización escrita del Committee ofSponsoring Organization of the Treadway Commission.”

Se pueden solicitar ejemplares adicionales de Gestión de Riesgos Corporativos – Marco Integrado: Resumen Ejecutivo y Marco y Gestión deRiesgos Corporativos – Marco Integrado: Técnicas de Aplicación, 2 vol. Set, item # 990015 llamando de modo gratuito al 1 – 888 – 777 – 7077o acudiendo a www.cpa2biz.com.

Se reservan todos los derechos. Para más información sobre permisos y licencias de reimpresión, llame al (201) 938 – 3245. Hay disponible unformulario de solicitud de permisos para solicitudes enviadas por correo electrónico en la dirección www.aicpa.org/cpright.htm. De lo contrario,deberán enviarse las solicitudes, por escrito y por correo ordinario, a Permissions Editor, AICPA, Harborside Financial Center, 201 Plaza Three,Jersey City, NJ 07311-3881.


4

Committee of Sponsoring Organizations of the Treadway Comission (COSO)

SUPERVISIÓN

PRESIDENCIA COSO: John J. FlahertyAMERICAN ACCOUNTING ASSOCIATION: Larry E. RittenbergAMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS: Alan W. AndersonFINANCIAL EXECUTIVES INTERNACIONAL: John P. Jessup, Nicholas S. CyprusINSTITUTE OF MANAGEMENT ACCOUNTANTS: Frank C. Minter, Dennis E. NeiderTHE INSTITUTE OF INTERNAL AUDITORS: William G. Bishop, III, David A. Richards

Consejo asesor del proyecto COSO

GUÍA

Tony Maki (Presidente) James W. DeLoach John P. JessupSocio Director ejecutivo Vicepresidente y TesoreroMOSS ADAMS LLP PROTIVIFI INC. E. I. DUPONT DE NEMOURS AND CO.

Mark S. Beasley Andrew J. Jackson Tony M. KnappCatedrático Vicepresidente primero de los Vicepresidente primero yNORTH CAROLINA STATE UNIVERSITY Servicios de aseguramiento Controller

de riesgos MOTOROLA, INC.AMERICAN EXPRESS COMPANY

Jerry W. DeFoor Steven E. Jameson Douglas F. PrawittVicepresidente y Controller Vicepresidente ejecutivo, CatedráticoPROTECTIVE LIFE CORPORATION Director de Auditoría interna y BRIGHAM YOUNG UNIVERSITY

Responsable de riesgosCOMMUNITY TRUST BANCORP, INC.

PricewaterhouseCoopers LLP

AUTORÍA

Richard M. Steinberg Miles E.A. EversonAnterior Socio responsable de Gobierno Corporativo Socio responsable de Servicios Financieros(Actualmente, en Steinberg Governance Advisors) Finanzas, Operaciones, Riesgos y Cumplimiento Normativo

Nueva York

Frank J. Martens Lucy E. NottinghamDirector Ejecutivo GerenteServicios a Clientes Servicios InternosVancouver (Canadá) Boston

Depósito Legal: M-30224-2005

INFORME COSO-OKJ PWC 6/7/05 13:01 Página 4

ÍNDICE

GESTIÓN DE RIESGOS CORPORATIVOS - MARCO INTEGRADO

PRÓLOGOLuis Aranaz Zuza y José Luis Madariaga Gandarias ................................................ 7

INTRODUCCIÓNJohn J. Flaherty y Toni Maki ..................................................................................... 9

RESUMEN EJECUTIVO ......................................................................................... 15

MARCO

1. Definición ...................................................................................................... 252. Ambiente interno ........................................................................................... 393. Establecimiento de objetivos ........................................................................ 474. Identificación de eventos .............................................................................. 555. Evaluación de riesgos ................................................................................... 636. Respuesta a los riesgos ................................................................................ 717. Actividades de control .................................................................................. 778. Información y comunicación ......................................................................... 859. Supervisión ................................................................................................... 93

10. Roles y responsabilidades ............................................................................ 10111. Limitaciones de la gestión de riesgos corporativos ..................................... 11112. Qué hacer ...................................................................................................... 115

ANEXOS

A Objetivos y Metodología ............................................................................... 121B Resumen de principios clave ........................................................................ 125C Relación entre Gestión de riesgos corporativos – Marco integrado

y Control interno – Marco integrado ............................................................. 135D Bibliogafía seleccionada ............................................................................... 139E Consideración a los comentarios ................................................................. 141F Glosario ......................................................................................................... 147G Agradecimientos ........................................................................................... 151

5


PRÓLOGO

Han pasado 8 años desde que, en 1997 PricewaterhouseCoopers y el Instituto deAuditores Internos de España publicaran la traducción al castellano del “ControlInterno-Marco Integrado” más conocido como Informe COSO.

Este documento, emitido por el Committee of Sponsoring Organizations of theTreadway Commission (COSO) formado por representantes de la AmericanAccounting Association, American Institute of Certified Public Accountants, FinancialExecutives International, Institute of Management Accountants y The Institute ofInternal Auditors, se ha constituido como un elemento fundamental dentro de lasorganizaciones para la consecución de sus objetivos a través de la definición de unmarco común de control interno.

Tras el éxito cosechado por esta publicación, en los últimos años ha ido cobrandocada vez más relevancia el concepto de gestión de riesgos, como pieza clave en lacreación de valor para los grupos de interés de las organizaciones.

Debido a esta tendencia, en el año 2001, COSO percibe la necesidad de desarrollarun marco integrado de gestión de riesgos corporativos que defina las pautas y con-ceptos fundamentales así como una terminología común en esta área. Para sudesarrollo cuenta con PricewaterhouseCoopers y en septiembre de 2004 emite, pre-cedido por una extraordinaria expectación, el informe definitivo “Gestión de RiesgosCorporativos-Marco Integrado”.

Con enorme satisfacción presentamos ahora, fruto de la colaboración dePricewaterhouseCoopers en España y el Instituto de Auditores Internos de España, laedición de esta traducción al castellano del Informe COSO sobre Gestión de RiesgosCorporativos.

Tanto desde el Instituto de Auditores Internos como desde PricewaterhouseCoopersconsideramos fundamental la difusión del conocimiento de los conceptos de gestiónde riesgos, claramente definidos en este documento, no solo dirigida a los profesio-nales de la auditoría interna, sino a todos los niveles de la organización y de otrosámbitos de la sociedad mercantil española.

El presente documento se divide en dos partes. La primera contiene un ResumenEjecutivo y el Marco Integrado. El Resumen Ejecutivo es una perspectiva de alto niveldirigida a los consejeros delegados, otros altos directivos, consejeros y reguladores.El Marco Integrado define la gestión de riesgos corporativos y describe principios yconceptos, proporcionando orientación a todos los niveles de dirección en empresasy otras organizaciones para ser usada en la evaluación y mejora de la eficacia dedicha gestión. Determina ocho componentes a considerar dentro de la gestión deriesgos relacionándolos con cuatro categorías de objetivos organizacionales y con lasdistintas divisiones o unidades de las entidades. La segunda parte del documento

7


corresponde a las Técnicas de aplicación y proporciona ejemplos de algunas técni-cas de gestión de riesgos para las entidades relacionadas con los componentes ycontenidos del Marco.

Este Marco Integrado se encuentra también estrechamente relacionado con elInforme COSO sobre Control Interno que considera la gestión de riesgos corporati-vos como pieza fundamental entre sus elementos.

Desde estas líneas, nos gustaría transmitir nuestro agradecimiento a todos los profe-sionales de PricewaterhouseCoopers que, bajo la dirección de Enric Doménech y lasupervisión de Ramón Abella han puesto gran empeño y dedicación en la traducciónde este informe y a los del Instituto de Auditores Internos de España encabezado porsu Director General Javier Faleato y que, con la colaboración de Rafael GonzálezMarín han hecho posible esta edición del informe en castellano, informe que, sinduda, constituirá una guía práctica y un elemento de consulta indispensable sobretodos los aspectos relacionados con los riesgos de las entidades, su gestión y con-trol, incluyendo, la responsabilidad del auditor interno en la supervisión de la gestiónintegral de riesgos.

Mayo 2005

Luis Aranaz Zuza José Luis Madariaga GandariasPRESIDENTE PRESIDENTE

Instituto de Auditores Internos de España PricewaterhouseCoopers

GESTIÓN DE RIESGOS CORPORATIVOS – MARCO INTEGRADO

8


INTRODUCCIÓN

Hace más de una década, el Comittee of Sponsoring Organizations of the TreadwayCommission (COSO) emitió Control Interno – Marco Integrado, para ayudar a com-pañías y otras entidades a evaluar y mejorar sus sistemas de control interno. Desdeese momento, dicho marco fue incorporado a las políticas, normativas y regulacionesy utilizado por miles de compañías para controlar mejor sus actividades en su pro-greso hacia el logro de sus objetivos.

En los últimos años hemos visto una conciencia y enfoque más sensibles respecto ala gestión de riesgos, y se ha hecho cada vez más patente que existe la necesidadde establecer un marco sólido para identificar, evaluar y gestionar los riesgos demodo eficaz. En el año 2001 COSO inició un proyecto, contratando aPricewaterhouseCoopers, para desarrollar un marco que fuera accesible para el usode la dirección de las empresas en la evaluación y mejora de la gestión de riesgos ensus organizaciones.

Durante el desarrollo de este marco han acontecido una serie de escándalos mer-cantiles y fallos donde los inversores, personal y demás grupos de interés han sufri-do pérdidas tremendas. Después han habido requerimientos para mejorar el gobier-no corporativo y la gestión de riesgos a través de nuevas legislaciones, normativas yestándares para la cotización de las sociedades. La necesidad de un marco de ges-tión de riesgos que facilitara los conceptos y principios más importantes, un lengua-je común, y una orientación clara, se hizo más acuciante. COSO considera que esteinforme Gestión de Riesgos Corporativos – Marco Integrado cubre esta necesidad, yespera que sea ampliamente aceptado por compañías y demás organizaciones y,claro está, por todos los grupos de interés.

Entre las consecuencias en los EEUU de la situación descrita anteriormente, está laLey Sarbanes-Oxley de 2002, y la normativa similar promulgada o por promulgar enotros países. Esta ley amplía el requisito de siempre, en virtud del cual, las socieda-des anónimas deben mantener sistemas de control interno, exigiendo que la direc-ción certifique la eficacia de dichos sistemas y que el auditor acredite la misma.Control Interno – Marco Integrado, que sigue en vigor a lo largo del tiempo, sirvecomo estándar ampliamente aceptado para satisfacer dichos requisitos de reporting.

Este informe, Gestión de Riesgos Corporativos – Marco Integrado profundiza en elcontrol interno, facilitando un enfoque más extenso y sólido sobre el tema de la ges-tión de riesgos en las empresas. Aunque no se pretende sustituir el marco de controlinterno, la intención es incorporar el mismo dentro del marco de gestión de riesgospara que las compañías puedan decidir su utilización tanto para satisfacer sus nece-sidades de control interno como para progresar hacia un proceso de gestión de ries-gos más completo.

9


Entre los retos más críticos a los que se enfrentan los directivos de hoy está el deter-minar cuánto riesgo está dispuesta a aceptar la entidad y cuánto riesgo acepta a medi-da que se esfuerza en crear valor. Este informe les ayudará a enfrentarse mejor a estereto.

John J. Flaherty Tony MakiPresidente COSO Presidente, Consejo Asesor COSO


10


Gestión de Riesgos Corporativos -Marco Integrado

ResumenEjecutivo


15

RESUMEN EJECUTIVO

La premisa subyacente en la gestión de riesgos corporativos es que las entidadesexisten con el fin último de generar valor para sus grupos de interés. Todas se enfren-tan a la ausencia de certeza y el reto para su dirección es determinar cuánta incerti-dumbre se puede aceptar mientras se esfuerzan en incrementar el valor para sus gru-pos de interés.La incertidumbre implica riesgos y oportunidades y posee el potencial de erosionar oaumentar el valor. La gestión de riesgos corporativos permite a la dirección tratar efi-cazmente la incertidumbre y sus riesgos y oportunidades asociados, mejorando asíla capacidad de generar valor.

Se maximiza el valor cuando la dirección establece una estrategia y objetivos paraencontrar un equilibrio óptimo entre los objetivos de crecimiento y rentabilidad y losriesgos asociados, además de desplegar recursos eficaz y eficientemente a fin delograr los objetivos de la entidad. La gestión de riesgos corporativos incluye lassiguientes capacidades:

• Alinear el riesgo aceptado y la estrategiaEn su evaluación de alternativas estratégicas, la dirección considera el riesgo acep-tado por la entidad, estableciendo los objetivos correspondientes y desarrollandomecanismos para gestionar los riesgos asociados.

• Mejorar las decisiones de respuesta a los riesgosLa gestión de riesgos corporativos proporciona rigor para identificar los riesgos yseleccionar entre las posibles alternativas de respuesta a ellos: evitar, reducir, com-partir o aceptar.

• Reducir las sorpresas y pérdidas operativasLas entidades consiguen mejorar su capacidad para identificar los eventos potencialesy establecer respuestas, reduciendo las sorpresas y los costes o pérdidas asociados.

• Identificar y gestionar la diversidad de riesgos para toda la entidadCada entidad se enfrenta a múltiples riesgos que afectan a las distintas partes de laorganización y la gestión de riesgos corporativos facilita respuestas eficaces e inte-gradas a los impactos interrelacionados de dichos riesgos.

• Aprovechar las oportunidadesMediante la consideración de una amplia gama de potenciales eventos, la direcciónestá en posición de identificar y aprovechar las oportunidades de modo proactivo.

• Mejorar la dotación de capitalLa obtención de información sólida sobre el riesgo permite a la dirección evaluar efi-cazmente las necesidades globales de capital y mejorar su asignación.



16

Estas capacidades, inherentes en la gestión de riesgos corporativos, ayudan a ladirección a alcanzar los objetivos de rendimiento y rentabilidad de la entidad y pre-venir la pérdida de recursos. La gestión de riesgos corporativos permite asegurar unainformación eficaz y el cumplimiento de leyes y normas, además de ayudar a evitardaños a la reputación de la entidad y sus consecuencias derivadas. En suma, la ges-tión de riesgos corporativos ayuda a una entidad a llegar al destino deseado, evitan-do baches y sorpresas por el camino.

Eventos – Riesgos y Oportunidades

Los eventos pueden tener un impacto negativo, positivo o de ambos tipos a la vez.Los que tienen un impacto negativo representan riesgos que pueden impedir la cre-ación de valor o erosionar el valor existente. Los eventos con impacto positivo pue-den compensar los impactos negativos o representar oportunidades, que derivan dela posibilidad de que ocurra un acontecimiento que afecte positivamente al logro delos objetivos, ayudando a la creación de valor o a su conservación. La dirección cana-liza las oportunidades que surgen, para que reviertan en la estrategia y el proceso dedefinición de objetivos, y formula planes que permitan aprovecharlas.

Definición de la Gestión de Riesgos Corporativos

La gestión de riesgos corporativos se ocupa de los riesgos y oportunidades que afec-tan a la creación de valor o su preservación. Se define de la siguiente manera:

La gestión de riesgos corporativos es un proceso efectuado por el conse-jo de administración de una entidad, su dirección y restante personal, apli-cable a la definición de estrategias en toda la empresa y diseñado paraidentificar eventos potenciales que puedan afectar a la organización, ges-tionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridadrazonable sobre el logro de los objetivos.

Esta definición recoge los siguientes conceptos básicos de la gestión de riesgos cor-porativos:

• Es un proceso continuo que fluye por toda la entidad.• Es realizado por su personal en todos los niveles de la organización.• Se aplica en el establecimiento de la estrategia.• Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una pers-

pectiva del riesgo a nivel conjunto de la entidad.• Está diseñado para identificar acontecimientos potenciales que, de ocurrir, afecta-

rían a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado.• Es capaz de proporcionar una seguridad razonable al consejo de administración y

a la dirección de una entidad.• Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aun-

que susceptibles de solaparse.

La definición es amplia en sus fines y recoge los conceptos claves de la gestión deriesgos por parte de empresas y otras organizaciones, proporcionando una base parasu aplicación en todas las organizaciones, industrias y sectores. Se centra directa-mente en la consecución de los objetivos establecidos por una entidad determinaday proporciona una base para definir la eficacia de la gestión de riesgos corporativos.


RESUMEN EJECUTIVO

17

Consecución de Objetivos

Dentro del contexto de misión o visión establecida en una entidad, su dirección esta-blece los objetivos estratégicos, selecciona la estrategia y fija objetivos alineados quefluyen en cascada en toda la entidad. El presente Marco de gestión de riesgos cor-porativos está orientado a alcanzar los objetivos de la entidad, que se pueden clasi-ficar en cuatro categorías:

• Estrategia: Objetivos a alto nivel, alineados con la misión de la entidad y dándoleapoyo

• Operaciones: Objetivos vinculados al uso eficaz y eficiente de recursos• Información: Objetivos de fiabilidad de la información suministrada• Cumplimiento: Objetivos relativos al cumplimiento de leyes y normas aplicables

Esta clasificación de los objetivos de una entidad permite centrarse en aspectos dife-renciados de la gestión de riesgos corporativos. Estas categorías distintas, aunquesolapables –un objetivo individual puede incidir en más de una categoría– se dirigena necesidades diferentes de la entidad y pueden ser de responsabilidad directa dediferentes ejecutivos. También permiten establecer diferencias entre lo que cabeesperar de cada una de ellas. Otra categoría utilizada por algunas entidades es la sal-vaguarda de activos.

Dado que los objetivos relacionados con la fiabilidad de la información y el cumpli-miento de leyes y normas están integrados en el control de la entidad, puede esperar-se que la gestión de riesgos corporativos facilite una seguridad razonable de su con-secución. El logro de los objetivos estratégicos y operativos, sin embargo, está sujetoa acontecimientos externos no siempre bajo control de la entidad; por tanto, respectoa ellos, la gestión de riesgos corporativos puede proporcionar una seguridad razonablede que la dirección, y el consejo de administración en su papel de supervisión, esténsiendo informados oportunamente del progreso de la entidad hacia su consecución.

Componentes de la Gestión de Riesgos Corporativos

La gestión de riesgos corporativos consta de ocho componentes relacionados entre sí,que se derivan de la manera en que la dirección conduce la empresa y cómo están inte-grados en el proceso de gestión. A continuación, se describen estos componentes:

• Ambiente interno Abarca el talante de una organización y establece la base de cómo el personal dela entidad percibe y trata los riesgos, incluyendo la filosofía para su gestión, el ries-go aceptado, la integridad y valores éticos y el entorno en que se actúa.

• Establecimiento de objetivosLos objetivos deben existir antes de que la dirección pueda identificar potencialeseventos que afecten a su consecución. La gestión de riesgos corporativos aseguraque la dirección ha establecido un proceso para fijar objetivos y que los objetivosseleccionados apoyan la misión de la entidad y están en línea con ella, además deser consecuentes con el riesgo aceptado.

• Identificación de eventosLos acontecimientos internos y externos que afectan a los objetivos de la entidaddeben ser identificados, diferenciando entre riesgos y oportunidades. Estas últimasrevierten hacia la estrategia de la dirección o los procesos para fijar objetivos.



18

• Evaluación de riesgosLos riesgos se analizan considerando su probabilidad e impacto como base paradeterminar cómo deben ser gestionados y se evalúan desde una doble perspecti-va, inherente y residual.

• Respuesta a los riesgosLa dirección selecciona las posibles respuestas - evitar, aceptar, reducir o compar-tir los riesgos - desarrollando una serie de acciones para alinearlos con el riesgoaceptado y las tolerancias al riesgo de la entidad.

• Actividades de controlLas políticas y procedimientos se establecen e implantan para ayudar a asegurarque las respuestas a los riesgos se llevan a cabo eficazmente.

• Información y comunicaciónLa información relevante se identifica, capta y comunica en forma y plazo adecua-do para permitir al personal afrontar sus responsabilidades. Una comunicación efi-caz debe producirse en un sentido amplio, fluyendo en todas direcciones dentro dela entidad.

• SupervisiónLa totalidad de la gestión de riesgos corporativos se supervisa, realizando modifi-caciones oportunas cuando se necesiten. Esta supervisión se lleva a cabo median-te actividades permanentes de la dirección, evaluaciones independientes o ambasactuaciones a la vez.

La gestión de riesgos corporativos no constituye estrictamente un proceso en serie,donde cada componente afecta sólo al siguiente, sino un proceso multidireccional eiterativo en que casi cualquier componente puede influir en otro.

Relación entre objetivos y componentes

Existe una relación directa entre los objetivos que la entidad desea lograr y los com-ponentes de la gestión de riesgos corporativos, que representan lo que hace faltapara lograr aquellos. La relación se representa con una matriz tridimensional, enforma de cubo.

Las cuatro categorías de objetivos–estrategia, operaciones, información ycumplimiento– están representadas porcolumnas verticales, los ocho compo-nentes lo están por filas horizontales ylas unidades de la entidad, por la terceradimensión del cubo. Este gráfico reflejala capacidad de centrarse sobre la totali-dad de la gestión de riesgos corporativosde una entidad o bien por categoría deobjetivos, componente, unidad o cual-quier subconjunto deseado.


RESUMEN EJECUTIVO

19

Eficacia

La afirmación de que la gestión de riesgos corporativos de una entidad es “eficaz” esun juicio resultante de la evaluación de si los ocho componentes están presentes yfuncionan de modo eficaz. Así, estos componentes también son criterios para esti-mar la eficacia de dicha gestión. Para que estén presentes y funcionen de forma ade-cuada, no puede existir ninguna debilidad material y los riesgos necesitan estar den-tro del nivel de riesgo aceptado por la entidad.

Cuando se determine que la gestión de riesgos es eficaz en cada una de las cuatrocategorías de objetivos, respectivamente, el consejo de administración y la direccióntendrán la seguridad razonable de que conocen el grado de consecución de los obje-tivos estratégicos y operativos de la entidad, que su información es fiable y que secumplen las leyes y la normas aplicables.

Los ocho componentes no funcionan de modo idéntico en todas las entidades. Suaplicación en las pequeñas y medianas empresas, por ejemplo, puede ser menosformal y estructurada. Sin embargo, estas entidades podrían poseer una gestión efi-caz de riesgos corporativos, siempre que cada componente esté presente y funcioneadecuadamente.

Limitaciones

Aunque la gestión de riesgos corporativos proporciona ventajas importantes, tambiénpresenta limitaciones. Además de los factores comentados anteriormente, las limita-ciones se derivan de hechos como que el juicio humano puede ser erróneo durantela toma de decisiones, que las decisiones sobre la respuesta al riesgo y el estableci-miento de controles necesitan tener en cuenta los costes y beneficios relativos, quepueden darse fallos por error humano, que pueden eludirse los controles medianteconnivencia de dos o más personas y que la dirección puede hacer caso omiso a lasdecisiones relacionadas con la gestión de riesgos corporativos. Estas limitacionesimpiden que el consejo o la dirección tengan seguridad absoluta de la consecuciónde los objetivos de la entidad.

Inclusión del Control Interno

El control interno constituye una parte integral de la gestión de riesgos corporativos.Este Marco lo incluye, constituyendo una conceptualización y una herramienta mássólidas para la dirección. El control interno se define y describe en el documentoControl Interno – Marco integrado. Dado que éste ha perdurado a lo largo del tiempoy es la base para las reglas, normas y leyes existentes, se mantiene vigente para defi-nir y enmarcar el control interno. Aunque el presente documento sólo recoge partesde Control Interno – Marco integrado, su estructura entera se incorpora en él a travésde referencias.

Roles y Responsabilidades

Todas las personas que integran una entidad tienen alguna responsabilidad en la ges-tión de riesgos corporativos. El consejero delegado es su responsable último y debe-



20

ría asumir su titularidad. Otros directivos apoyan la filosofía de gestión de riesgos dela entidad, promueven el cumplimiento del riesgo aceptado y gestionan los riesgosdentro de sus áreas de responsabilidad en conformidad con la tolerancia al riesgo. Eldirector de riesgos, director financiero, auditor interno u otros, desempeñan normal-mente responsabilidades claves de apoyo. El restante personal de la entidad es res-ponsable de ejecutar la gestión de riesgos corporativos de acuerdo con las directri-ces y protocolos establecidos.

El consejo de administración desarrolla una importante supervisión de la gestión deriesgos corporativos, es consciente del riesgo aceptado por la entidad y está deacuerdo con él. Algunos terceros, como los clientes, proveedores, colaboradores,auditores externos, reguladores y analistas financieros, proporcionan a menudo infor-mación útil para el desarrollo de la gestión de riesgos corporativos, aunque no sonresponsables de su eficacia en la entidad ni forman parte de ella.

Estructura de este Documento

El presente documento se divide en dos partes. La primera contiene el Marco y unResumen Ejecutivo. El Marco define la gestión de riesgos corporativos y describeprincipios y conceptos, proporcionando orientación a todos los niveles de direcciónen empresas y otras organizaciones para ser usada en la evaluación y mejora de laeficacia de dicha gestión. El Resumen Ejecutivo es una perspectiva de alto nivel diri-gida a los consejeros delegados, otros altos directivos, consejeros y reguladores. Lasegunda parte del documento corresponde a las Técnicas de aplicación y proporcio-na ejemplos de técnicas útiles para aplicar los componentes del Marco.

Uso de este Informe

Las acciones sugeridas que podrían adoptarse como resultado de este documentodependen de la posición y papel de las partes implicadas:

• Consejo de AdministraciónEl consejo debería comentar con la alta dirección el estado de la gestión de riesgoscorporativos de la entidad y aportar su supervisión según se necesite. Asimismo,debería asegurarse de que es informado de los riesgos más significativos, de lasacciones que la dirección está realizando y cómo ésta asegura una gestión eficazde riesgos.

• Alta direcciónEste documento sugiere que el consejero delegado evalúe las capacidades de ges-tión de riesgos corporativos de la organización. Por ejemplo, un consejero delega-do reúne a los responsables de unidad de negocio y al personal clave del staff paracomentar una evaluación inicial de las capacidades y eficacia de la gestión de ries-gos corporativos. Sea cual sea su forma, esta evaluación inicial debería determinarsi existe la necesidad de otra evaluación más profunda y amplia y, en caso afirma-tivo, cómo proceder a realizarla.

• Otro personal de la entidadLos directivos y demás personal deberían considerar cómo están desempeñandosus responsabilidades a la luz del presente Marco y comentar sus ideas con res-


RESUMEN EJECUTIVO

21

ponsables superiores para reforzar la gestión de riesgos corporativos. Los audito-res internos deberían considerar el alcance de su enfoque sobre dicha gestión.

• ReguladoresEste Marco puede fomentar una visión compartida de la gestión de riesgos corpo-rativos, incluyendo lo que se puede hacer y sus limitaciones. Los reguladores pue-den referirse a este Marco al establecer sus expectativas, bien mediante normas oguías o en la realización de inspecciones en las entidades bajo su supervisión.

• Organizaciones profesionalesLas entidades encargadas de establecer normas y otras organizaciones que pro-porcionan orientación sobre gestión financiera, auditoría y temas afines, deberíanconsiderar sus normas y guías a la luz de este Marco. A medida que se eliminendivergencias de conceptos y terminología, todas las partes se beneficiarán de ello.

• EducadoresEste Marco puede ser tema de investigación y análisis universitario, para ver dóndese pueden realizar futuras mejoras. En la idea de que este documento sea acepta-do como base compartida de comprensión, sus conceptos y términos deberíanencontrar una forma de integrarse en los programas de estudios universitarios.

Establecidos estos cimientos para una comprensión mutua, todas las partes podránhablar un lenguaje común y se comunicarán más eficazmente. Los directivos estaránen posición de evaluar el proceso de gestión de riesgos corporativos de su entidadrespecto a una norma y podrán potenciar el proceso de consecución de los objetivosestablecidos. La investigación futura puede apoyarse en esta base sólida, mientrasque los legisladores y reguladores podrán incrementar su comprensión de la gestiónde riesgos corporativos, incluidas sus ventajas y limitaciones. Si todas las partes inte-resadas utilizan este Marco común para dicha gestión, se podrán obtener las venta-jas comentadas.


Gestión de Riesgos Corporativos - Marco Integrado

Marco


25

1. Definición

Resumen del capítulo: Todas las entidades se enfrentan a la ausencia decerteza sobre el futuro y el reto para su dirección es determinar qué nivel deincertidumbre puede aceptar mientras se esfuerza en hacer crecer el valorpara sus grupos de interés. La gestión de riesgos corporativos capacita a ladirección para identificar, evaluar y gestionar los riesgos en caso de incerti-dumbre y es esencial para la creación y conservación de valor. Dicha gestiónes un proceso realizado por el consejo de administración, la dirección ydemás personal de una entidad, que se aplica a la definición de estrategia entoda la entidad. Está diseñada para identificar los eventos potenciales quepuedan afectar a la entidad y gestionar los riesgos para que estén dentro delriesgo aceptado por ella, facilitando una seguridad razonable respecto al logrode sus objetivos. Está constituida por ocho componentes relacionados entresí, que integran el modo en que la dirección conduce la empresa. Estos com-ponentes están vinculados entre sí y sirven de criterio para determinar si lagestión de riesgos corporativos es eficaz.

Un objetivo clave del presente Marco es ayudar a las direcciones de empresas y otrasentidades a enfrentarse mejor al riesgo en su intento por alcanzar sus objetivos. Pero lagestión de riesgos corporativos tiene diferentes significados para personas distintas,porque presenta una amplia gama de definiciones y contenidos que impiden una com-prensión común. Por esto, un objetivo importante es integrar los diferentes conceptosde la gestión de riesgos en un marco en el que se establezca una definición común, seidentifiquen los componentes y se describan los conceptos claves. Este marco integrala mayoría de perspectivas posibles y proporciona un punto de partida para la evalua-ción y mejora de cada entidad y para futuras iniciativas regulatorias y educativas.

Incertidumbre y Valor

Una premisa subyacente en la gestión de riesgos corporativos es que cada entidad,tenga ánimo de lucro o no o sea un organismo estatal, existe para generar valor parasus grupos de interés. Todas las entidades se enfrentan a la incertidumbre y el retopara su dirección es determinar cuánta incertidumbre puede aceptar mientras seesfuerza en hacer crecer el valor para dichos grupos. La incertidumbre presenta a lavez riesgos y oportunidades, con un potencial para erosionar o mejorar el valor. Lagestión de riesgos corporativos permite a la dirección tratar eficazmente la incerti-dumbre y sus riesgos y oportunidades asociados, mejorando así la capacidad de laentidad para generar valor.



26

Las empresas funcionan en entornos donde factores como la globalización, tecnolo-gía, reestructuraciones, mercados cambiantes, competencia y regulación crean incer-tidumbre. La incertidumbre emana de la incapacidad para determinar acertadamentela probabilidad de ocurrencia de los eventos y sus impactos correspondientes. Laincertidumbre también se presenta y crea como consecuencia de las decisionesestratégicas de la entidad. Por ejemplo, pensemos en una entidad que tenga unaestrategia de crecimiento basada en la expansión de sus operaciones a otro país.Esta estrategia elegida presenta tanto riesgos como oportunidades, relacionados conla estabilidad de su entorno político, recursos, mercados, canales, capacidades de lafuerza laboral y costes.

Las decisiones de la dirección en todas sus actividades, desde el establecimiento dela estrategia hasta las operaciones cotidianas de la empresa, crean, conservan o ero-sionan el valor. La creación de valor se produce a través del despliegue de recursos,incluyendo personas, capital, tecnología y marca, siempre que el beneficio derivadosupere a los recursos utilizados. La conservación de valor tiene lugar cuando el valorcreado perdura a través de, entre otros factores, una calidad superior del producto, lacapacidad productiva y la satisfacción del cliente. El valor puede erosionarse cuandono se alcanzan los objetivos debido a una estrategia o ejecución inadecuada. Implícitoen las decisiones para reconocer los riesgos y oportunidades, está el requisito de quela dirección considere la información de los entornos interno y externo, desplieguerecursos valiosos y reajuste las actividades a las circunstancias cambiantes.

El valor se maximiza cuando la dirección establece una estrategia y unos objetivosque consiguen un equilibrio óptimo entre las metas de crecimiento y rentabilidad y losriesgos asociados y despliega eficiente y eficazmente los recursos a fin de alcanzarlos objetivos de la entidad. La gestión de riesgos corporativos abarca las siguientescapacidades:

• Alinear el riesgo aceptado y la estrategiaLa dirección considera el riesgo aceptado por la entidad primeramente al evaluar lasalternativas estratégicas y luego, al establecer los objetivos alineados con la estra-tegia seleccionada y desarrollar mecanismos para gestionar los riesgos relativos.Por ejemplo, una empresa farmacéutica tiene un bajo riesgo aceptado respecto alvalor de marca, por lo que, para protegerla, mantiene unos amplios protocolos queafiancen la seguridad del producto e invierte regularmente recursos significativos enlas fases preliminares de investigación y desarrollo, con lo que refuerza la creaciónde valor de marca.

• Mejorar las decisiones de respuesta a los riesgosLa gestión de riesgos corporativos proporciona rigor para identificar respuestasalternativas al riesgo y seleccionar entre ellas –evitar, reducir, compartir y aceptar elriesgo–. Por ejemplo, la dirección de una empresa que usa vehículos de su propie-dad y opera con ellos para efectuar los repartos, reconoce los riesgos inherentes ensu proceso de entrega, incluyendo el coste de los daños y perjuicios de los cochesy empleados. Las alternativas disponibles son reducir los riesgos a través de unaeficaz selección, contratación y formación de conductores, evitarlos mediante laexternalización del reparto, compartirlos a través de seguros o simplemente acep-tarlos. La gestión de riesgos corporativos facilita la metodología y técnicas paratomar estas decisiones.


DEFINICIÓN

27

• Reducir sorpresas y pérdidas operativasLas entidades mejoran su capacidad para identificar eventos potenciales, evaluarlos riesgos y establecer respuestas a ellos, reduciendo así las sorpresas y sus cos-tes o pérdidas derivados. Por ejemplo, una empresa industrial hace un seguimien-to de los ratios de defectos en componentes y equipos usando múltiples criterios,incluyendo los del tiempo de reparación, la incapacidad de satisfacer la demandade clientes, la seguridad laboral y el coste de las reparaciones previstas frente a lasimprevistas, y responde estableciendo programas concordantes de mantenimiento.

• Identificar y gestionar riesgos en toda la entidadCada entidad se enfrenta a múltiples riesgos que afectan a diferentes partes de laorganización. Su dirección no sólo necesita gestionar los riesgos individuales, sinotambién entender los impactos interrelacionados. Por ejemplo, un banco se enfren-ta a una variedad de riesgos al efectuar sus actividades comerciales en toda la enti-dad y la dirección ha desarrollado un sistema informático que analiza los datos delas transacciones y del mercado procedentes de otros sistemas internos, que, juntocon información relevante generada externamente, proporcionan una visión agre-gada de los riesgos en todas las actividades de negocio. El sistema informáticopermite la capacidad de ahondar hasta los niveles de departamento, cliente, inter-mediario y transacción y cuantifica los riesgos en las categorías establecidas enrelación con sus respectivas tolerancias. El sistema permite que el banco agreguedatos previamente dispares para responder más eficazmente a los riesgos usandoperspectivas tanto agregadas como seleccionadas por objetivos.

• Facilitar respuestas integradas a riesgos múltiplesLos procesos empresariales implican muchos riesgos inherentes y la gestión deriesgos corporativos permite soluciones integradas para gestionarlos. Por ejemplo,un mayorista se enfrenta a riesgos de defecto o exceso de existencias, de provee-dores poco fiables y de precios de compra innecesariamente altos. La direcciónidentificó y evaluó el riesgo en el contexto de la estrategia, objetivos y respuestasalternativas de la entidad y desarrolló un sistema de control de inventarios deamplio alcance. El sistema se integraba con los proveedores, compartiendo infor-mación de ventas e inventario, permitiendo una colaboración estratégica y evitan-do roturas de inventario y costes innecesarios de transporte, mediante contratos desuministros a largo plazo y mejores precios. Los proveedores asumieron la respon-sabilidad de reponer existencias, generando reducciones adicionales de costes.

• Aprovechar las oportunidadesAl considerar una amplia gama de eventos potenciales, en lugar de limitarse sólo alos riesgos, la dirección identifica los eventos que representan oportunidades. Porejemplo, una empresa de alimentación consideró los eventos potenciales queprobablemente afectarían a su objetivo de crecimiento perdurable de los ingresos.Al evaluar los eventos, la dirección determinó que los principales consumidores dela empresa eran cada vez más conscientes de los temas de salud y cambiaban suspreferencias dietéticas, lo que indicaba un declive de la demanda futura de losproductos actuales de la empresa. Al determinar su respuesta, la direcciónidentificó formas para aplicar sus capacidades existentes al desarrollo de productosnuevos, permitiendo a la empresa no sólo mantener los ingresos por clientesactuales, sino también crear otros adicionales atrayendo a una base consumidoramás amplia.



28

• Mejorar la aplicación de capitalLa obtención de información sólida sobre los riesgos permite que la dirección eva-lúe eficazmente las necesidades globales de capital y mejore su asignación. Porejemplo, una entidad financiera quedó sometida a nuevas normas reguladoras queaumentarían sus requisitos de capital, a menos que la dirección calculara más espe-cíficamente los niveles de riesgo crediticio y operativo y las respectivas necesida-des de capital. La entidad evaluó el riesgo en términos de coste del desarrollo desistemas frente al coste de capital adicional y tomó una decisión consensuada. Conlas aplicaciones informáticas existentes fácilmente modificables, la entidad des-arrolló cálculos más precisos, evitando así la necesidad de buscar fuentes de capi-tal adicional.

Estas capacidades están implícitas en la gestión de riesgos corporativos, que ayudaa la dirección a lograr los objetivos de rendimiento y rentabilidad de la entidad e impe-dir la pérdida de recursos, así como a asegurar una información eficaz y que se cum-plan las leyes y normas, evitando daños a su reputación y consecuencias derivadas.En definitiva, la gestión de riesgos corporativos ayuda a la entidad a llegar al destinodeseado, salvando obstáculos y sorpresas en el camino.

Eventos – Riesgos y Oportunidades

Un evento es un incidente o acontecimiento procedente de fuentes internas o exter-nas que afecta a la consecución de objetivos y que puede tener un impacto negativoo positivo o de ambos tipos a la vez. Los eventos de signo negativo constituyen ries-gos. Por tanto, un riesgo se define como sigue:

Riesgo es la posibilidad de que un evento ocurra y afecte desfavorablementeal logro de objetivos.

Los eventos con impacto negativo impiden la creación del valor o erosionan el valorexistente. Ejemplos de esto lo constituyen las averías de la maquinaria, un incendio opérdidas de crédito. Este tipo de eventos pueden derivarse de condiciones aparente-mente positivas, como, por ejemplo, cuando la demanda de productos por los clientessupera a la capacidad productiva, provocando fallos al atender las solicitudes de loscompradores, la erosión de la fidelidad del cliente y el declive de pedidos futuros.

Los eventos con impacto positivo pueden compensar otros impactos negativos orepresentar oportunidades. Una oportunidad se define como sigue:

Oportunidad es la posibilidad de que un evento ocurra y afecte positivamen-te a la consecución de objetivos.

Las oportunidades refuerzan la creación de valor o su conservación. La dirección lasrevierte hacia la estrategia o los procesos de fijación de objetivos, para que se pue-dan formular acciones que aprovechen las oportunidades.


La gestión de riesgos corporativos se ocupa de los riesgos y oportunidades que afec-tan a la creación de valor o su preservación. Se define de la siguiente manera:


DEFINICIÓN

29

La gestión de riesgos corporativos es un proceso efectuado por el consejo deadministración de una entidad, su dirección y restante personal, aplicado enla definición de la estrategia y en toda la entidad y diseñado para identificareventos potenciales que puedan afectar a la organización y gestionar sus ries-gos dentro del riesgo aceptado, proporcionandor una seguridad razonablesobre el logro de objetivos.

Esta definición refleja algunos conceptos fundamentales de la gestión de riesgos cor-porativos:

• Es un proceso continuo que fluye a través de una entidad.

• Se realiza por personas en cada nivel de una organización.

• Se aplica al establecimiento de la estrategia.

• Se aplica en toda la empresa, a cada nivel y unidad, e incluye una perspectiva delriesgo al nivel de entidad

• Está diseñada para identificar eventos potenciales que afecten a la entidad y ges-tionar los riesgos dentro del riesgo aceptado.

• Puede proporcionar una seguridad razonable a la dirección y al consejo de admi-nistración de una entidad.

• Está orientada a la consecución de objetivos en una o varias categorías separadas,aunque solapables - es un medio para conseguir un fin, no un fin en sí mismo.

La definición es conscientemente amplia por varias razones. Capta los conceptosclaves fundamentales de cómo las empresas y otras organizaciones gestionan el ries-go y proporciona una base para su aplicación en todas las entidades y sectores. Secentra directamente en el cumplimiento de los objetivos establecidos por una entidaddeterminada y proporciona una base para definir la eficacia en la gestión de riesgoscorporativos que se comentará posteriormente en este capítulo.

A continuación, se presentan los conceptos fundamentales mencionados antes.

Un Proceso

La gestión de riesgos corporativos no es estática, sino más bien un intercambio con-tinuo o iterativo de acciones que fluyen por toda la entidad, que se difunden y estánimplícitas en la forma como la dirección lleva el negocio.

La gestión de riesgos corporativos es diferente de la perspectiva de algunos obser-vadores, que la ven como un mero apéndice de las actividades de una entidad. Conesto no queremos decir que una eficaz gestión de riesgos corporativos no requieraun esfuerzo adicional, llegado el caso. Al considerar los riesgos crediticios o de tipode cambio, por ejemplo, puede requerirse un esfuerzo adicional para desarrollarmodelos adecuados y elaborar análisis y cálculos necesarios. Sin embargo, estosmecanismos de gestión de riesgos corporativos están integrados en las actividadesoperativas de una entidad y existen gracias a razones empresariales de fondo. Dehecho, dicha gestión resulta más eficaz cuando esos mecanismos están integrados



30

en la infraestructura de la entidad y forman parte de su esencia. Al integrarlos, la ges-tión de riesgos corporativos puede afectar directamente a la capacidad de la entidadpara implantar su estrategia y cumplir su misión.

La integración de la gestión de riesgos corporativos tiene implicaciones importantespara la contención de costes, especialmente en los mercados altamente competiti-vos a los que se enfrentan muchas empresas. Añadir nuevos procedimientos inde-pendientes de los ya existentes, provoca un aumento de costes. Al centrarse en lasoperaciones existentes y su aportación a la gestión de riesgos corporativos e integrarésta en las actividades operativas básicas, una entidad puede evitar procedimientosy costes innecesarios. Además, la práctica de construir la mencionada gestión den-tro del tejido operativo ayuda a identificar nuevas oportunidades que la direcciónpuede aprovechar para hacer crecer el negocio.

Realizado por Personas

La gestión de riesgos corporativos se realiza por el consejo de administración, ladirección y demás personal de una entidad. Son las personas de la organización,mediante lo que hacen y dicen, quienes la hacen realidad. Las personas establecenla misión, estrategia y objetivos de la entidad y colocan los mecanismos de dichagestión en el lugar adecuado.

De forma similar, la gestión de riesgos corporativos afecta a las acciones de las per-sonas, reconociendo que éstas no siempre se entienden, se comunican o actúan demodo consistente. Cada individuo aporta a su puesto de trabajo su historial y capa-cidades técnicas propias y, a su vez, tiene necesidades y prioridades diferentes.

Estos hechos afectan a la gestión de riesgos corporativos y son afectados por ésta.Cada persona tiene su propio punto de vista, que influye en su manera de identificar,evaluar y responder al riesgo. La gestión de riesgos corporativos proporciona losmecanismos necesarios para ayudar a las personas a entender el riesgo en el con-texto de los objetivos de la entidad. Las personas deben conocer sus responsabili-dades y límites de autoridad. Asimismo, deberá existir un vínculo claro y estrechoentre los deberes de las personas y el modo de realizarlos, así como con la estrate-gia y objetivos de la entidad.

El personal de una organización incluye al consejo de administración, la dirección ydemás empleados. Aunque los consejeros aportan primordialmente la supervisión dela entidad, también proporcionan orientación y aprueban la estrategia y políticas.Como tal, el consejo de administración de una empresa constituye un componenteimportante de su gestión de riesgos corporativos.

Aplicado al Establecimiento de la Estrategia

Una entidad fija su misión o visión y establece los objetivos estratégicos, que son lasmetas de alto nivel que están en línea con aquella y la apoyan. Para alcanzar susobjetivos estratégicos, la entidad establece una estrategia y también fija los objetivosconexos que desea realizar y se derivan de ella, fluyendo en cascada hacia las uni-dades de negocio, divisiones y procesos.


DEFINICIÓN

31

La gestión de riesgos corporativos se aplica durante el proceso del establecimientode la estrategia, en el que la dirección contempla los riesgos relacionados con lasopciones alternativas. Por ejemplo, una alternativa puede ser la de adquirir otrasempresas para incrementar la cuota de mercado y otra, la de recortar los costes deaprovisionamiento para obtener una tasa más alta de margen bruto. Cada una deellas plantea diferentes riesgos. Si la dirección selecciona la primera, es posible quela empresa se vea obligada a penetrar en mercados nuevos y, así, sus competidorespueden ganar cuota en los mercados actualmente existentes o que la entidad notenga la capacidad de implantar eficazmente su estrategia. Con la segunda alternati-va, los riesgos implicarán, incluso, la utilización de nuevas tecnologías o proveedoreso la formación de nuevas alianzas. Las técnicas de gestión de riesgos corporativosse aplican a este nivel para ayudar a la dirección a evaluar y elegir la estrategia de laentidad y los objetivos asociados a ella.

Aplicado en toda la Empresa

Al aplicar la gestión de riesgos corporativos, una entidad debería considerar toda lagama de sus actividades en los diferentes niveles de la organización, desde aquellasal nivel de empresa, como son la planificación estratégica y la asignación de recur-sos, hasta las de unidades de negocio, como son el marketing y los recursos huma-nos, y las de procesos de negocio, como son la producción y la revisión de solven-cia de los clientes. La gestión de riesgos corporativos también se aplica en proyec-tos especiales y nuevas iniciativas que podrían no tener aún un lugar en la jerarquíao el organigrama de la organización.

La gestión de riesgos corporativos requiere que una entidad adopte una perspectivade cartera global para los riesgos. Esto puede implicar que cada directivo responsa-ble de una unidad de negocio, función, proceso o cualquier actividad tenga que des-arrollar una evaluación de sus riesgos, que se puede efectuar de modo cuantitativo ocualitativo. Con una visión compuesta de cada nivel sucesivo de la organización, laalta dirección está en posición de determinar si la cartera de riesgo global de la enti-dad se corresponde a su riesgo aceptado.

La dirección considera los riesgos interrelacionados desde una perspectiva de carte-ra a nivel de entidad. Los riesgos de las unidades individuales pueden mantenersedentro de las tolerancias al riesgo de cada una de ellas, aunque es posible que suma-dos superen el riesgo aceptado por la entidad en su conjunto. O, al contrario, ciertoseventos potenciales pueden representar un riesgo inaceptable para una unidad denegocio, pero generar un efecto compensatorio en otra. Es preciso identificar los ries-gos interrelacionados y actuar sobre ellos para que la totalidad de los riesgos seanconcordantes con el riesgo aceptado por la entidad de forma global.

Riesgo Aceptado

El riesgo aceptado es el volumen de riesgo, a un nivel amplio, que una entidad estádispuesta a aceptar en su búsqueda de valor. Refleja la filosofía de gestión de ries-gos de la entidad y, por consiguiente, influye en su cultura y estilo operativo. Muchasentidades consideran el riesgo aceptado de manera cualitativa, calificándolo como



32

alto, moderado o bajo, mientras existen otras que adoptan un enfoque cuantitativo,reflejando y equilibrando los objetivos de crecimiento, rendimiento y riesgo. Unaempresa con un riesgo aceptado alto puede estar dispuesta a asignar una gran partedel capital a áreas de alto riesgo, como son los mercados emergentes. Por el contra-rio, una compañía con un riesgo aceptado bajo podría optar por limitar su riesgo acorto plazo de amplias pérdidas de capital, invirtiendo sólo en mercados maduros yestables.

El riesgo aceptado se relaciona directamente con la estrategia de una entidad y setiene en cuenta para establecerla, ya que diferentes estrategias exponen a una enti-dad a riesgos distintos. La gestión de riesgos corporativos ayuda a la dirección a ele-gir una estrategia que ponga en línea la creación anticipada de valor con el riesgoaceptado por la entidad.

El riesgo aceptado orienta la asignación de recursos, pues la dirección dota de recur-sos a las diferentes unidades de negocio e iniciativas teniendo en cuenta el riesgoaceptado por la entidad y los planes de cada unidad para generar el rendimientodeseado a partir de los recursos invertidos. La dirección considera su riesgo acepta-do al alinear la organización, personal y procesos y diseña la infraestructura necesa-ria para supervisar eficazmente los riesgos y responder a ellos.

Las tolerancias al riesgo están relacionadas con los objetivos de la entidad. La tole-rancia al riesgo es el nivel aceptable de variación relativa al logro de un objetivo con-creto y a menudo se mide mejor en las mismas unidades usadas para medir dichoobjetivo.

Al fijar la tolerancia al riesgo, la dirección considera la importancia relativa del objeti-vo correspondiente y alinea las tolerancias al riesgo con el riesgo aceptado. Operardentro de las tolerancias al riesgo ayuda a asegurar que la entidad se mantenga den-tro de su riesgo aceptado y, por consiguiente, que la entidad consiga sus objetivos.

Proporciona una Seguridad Razonable

Una gestión de riesgos corporativos bien diseñada y realizada puede facilitar a ladirección y al consejo de administración una seguridad razonable sobre la consecu-ción de objetivos de la entidad. Este concepto de seguridad razonable refleja la ideade que la incertidumbre y el riesgo están relacionados con el futuro, que nadie puedepredecir con precisión, y no implica que la gestión de riesgos corporativos fracasecon mucha frecuencia.

Muchos factores, individual y colectivamente, refuerzan el concepto de seguridadrazonable. El efecto acumulativo de las respuestas al riesgo que satisfacen objetivosmúltiples y el carácter multifuncional de los controles internos reducen el riesgo deque una entidad pueda no alcanzar sus objetivos. Es más, las actividades y respon-sabilidades operativas y cotidianas de las personas que actúan en varios niveles deuna organización están orientadas a la consecución de sus objetivos. Evidentemente,entre una muestra de entidades bien controladas, es probable que de forma regularla mayoría esté informada del progreso hacia su estrategia y objetivos operativos,alcance sus objetivos de cumplimiento y genere consistentemente –periodo trasperiodo y ejercicio tras ejercicio- informes fiables. Sin embargo, puede producirse unevento incontrolable, un error o un inadecuado incidente con la información. En otras


DEFINICIÓN

33

palabras, incluso una gestión eficaz de riesgos corporativos puede experimentar elfracaso. La seguridad razonable no es una seguridad absoluta.


Dentro del contexto de la misión establecida, la dirección fija objetivos estratégicos,selecciona su estrategia y establece otros objetivos que fluyen en cascada por todala entidad y están en línea con la estrategia y vinculados a ella. Aunque muchos obje-tivos son específicos para una entidad determinada, algunos son ampliamente com-partidos. Por ejemplo, son objetivos comunes para prácticamente todas las entida-des la consecución y mantenimiento de una reputación positiva en el ámbito empre-sarial y de negocio, la generación de información fiable para los grupos de interés oun desarrollo de operaciones en concordancia con las leyes y normas.

Este Marco establece cuatro categorías de objetivos de una entidad:

• EstrategiaRelativos a los objetivos de alto nivel, alineados con la misión de la entidad y pres-tándole apoyo

• OperacionesRelativos al uso eficaz y eficiente de los recursos de la entidad

• InformaciónRelativos a la fiabilidad de los informes de la entidad

• CumplimientoRelativos al cumplimiento por la entidad de las leyes y normas aplicables

Esta clasificación de los objetivos de una entidad por categorías permite enfocar losaspectos diferenciados de la gestión de riesgos corporativos. Estas categorías dis-tintas, aunque solapables (un objetivo concreto puede incidir en más de una catego-ría) atienden a las distintas necesidades de la entidad y posiblemente a la responsa-bilidad directa de diferentes directivos, permitiendo también distinguir entre lo quepuede esperarse de cada una de ellas.

Algunas entidades utilizan otra categoría de objetivos, la “salvaguarda de recursos”,a veces denominada “salvaguarda de activos”. Desde una perspectiva amplia, tratade la prevención de pérdidas de activos o recursos de una entidad por robo, despil-farro, ineficiencia o simplemente por decisiones empresariales equivocadas, talescomo vender productos a un precio demasiado bajo, no haber podido retener aempleados claves o evitar infracciones de patentes o incurrir en pasivos imprevistos.Son principalmente objetivos operacionales, aunque ciertos aspectos de la salva-guarda pueden clasificarse en otras categorías. Cuando se aplican requisitos legaleso normativos, se trata de temas de cumplimiento. Cuando se consideran conjunta-mente con la información al público, a menudo se usa una definición más restringidade la salvaguarda de activos, que trata de la prevención o detección oportuna decualquier adquisición, uso o disposición no autorizada de los activos de la entidadque podría tener un efecto material sobre los estados financieros.

Se puede esperar de la gestión de riesgos corporativos que proporcione una seguri-dad razonable del logro de objetivos relativos a la fiabilidad de la información y el



34

cumplimiento de leyes y normas. La consecución de estas categorías de objetivosestá dentro del control de la entidad y depende de su grado de éxito en la realizaciónde actividades relativas a ellas.

Sin embargo, el logro de objetivos estratégicos, como la obtención de una cuota demercado específica, y de objetivos operativos, como el lanzamiento con éxito de unanueva línea de producto, no está siempre dentro del control de la entidad. La gestiónde riesgos corporativos no puede prevenir juicios o decisiones equivocadas, ni even-tos externos que puedan provocar que una entidad falle en la consecución de obje-tivos operativos. Sin embargo, sí mejora la probabilidad de que la dirección tomemejores decisiones. Respecto a dichos objetivos, la gestión de riesgos corporativospuede proporcionar una seguridad razonable de que la dirección y el consejo deadministración, en su papel de supervisión, sean informados oportunamente delgrado de progreso de la entidad hacia la consecución de sus objetivos.

Componentes de la Gestión de Riesgos Corporativos

La gestión de riesgos corporativos consta de ocho componentes interrelacionados,derivados de la manera como la dirección lleva el negocio, que se integran en el pro-ceso de gestión. Estos componentes son:

• Ambiente internoLa dirección fija una filosofía respecto al riesgo y determina el riesgo aceptado. Elambiente interno establece la base de cómo el personal de la empresa debe perci-bir y afrontar el control y el riesgo. El núcleo de cualquier negocio está constituidopor sus personas – con sus atributos individuales, incluyendo integridad, valoreséticos y competencia- y el entorno en el que actúan.

• Establecimiento de objetivosLos objetivos deben existir antes de que la dirección pueda identificar los eventospotenciales que afectan a su consecución. La gestión de riesgos corporativos ase-gura que la dirección ha establecido un proceso para fijar objetivos y que los obje-tivos seleccionados apoyan la misión de la entidad y se alinean con ella, además deser consistentes con el riesgo aceptado.

• Identificación de eventosDeben identificarse los eventos potenciales que pueden tener un impacto en la enti-dad. Esto implica la identificación de posibles acontecimientos internos o externosque afectan a la consecución de objetivos, diferenciándolos según su procedencia,e incluye la distinción entre los que representan riesgos u oportunidades o ambascircunstancias a la vez. Las oportunidades se reenvían hacia la estrategia de ladirección o a los procesos para fijar objetivos.

• Evaluación de riesgosLos riesgos identificados se analizan para formar una base que determine cómodeben gestionarse y se asocian a los objetivos a los que pueden afectar, evaluán-dose desde la doble perspectiva de riesgo inherente y residual y considerando tantosu probabilidad como su impacto.

• Respuesta a los riesgosEl personal identifica y evalúa las posibles respuestas a los riesgos: evitar, aceptar,


DEFINICIÓN

35

reducir o compartir. La dirección selecciona un conjunto de acciones para poner enlínea los riesgos con sus tolerancias respectivas y el riesgo aceptado por la entidad.

• Actividades de controlLas políticas y procedimientos se establecen y ejecutan para asegurar que se llevana cabo eficazmente las respuestas a los riesgos seleccionadas por la dirección.

• Información y comunicaciónLa información relevante se identifica, capta y comunica de un modo y en un plazoque permita a las personas desarrollar sus responsabilidades. Hace falta informa-ción a todos los niveles de una entidad para identificar, evaluar y responder a losriesgos. También puede darse una comunicación eficaz en sentido amplio, cuandofluye en todas direcciones dentro de la entidad. El personal debe recibir comunica-ciones claras sobre su papel y responsabilidades.

• SupervisiónToda la gestión de riesgos corporativos se supervisa, realizando en ella las modifi-caciones que sean necesarias. De este modo, se puede reaccionar dinámicamentey cambiar si varían las circunstancias. Esta supervisión se lleva a cabo a través deactividades permanentes de la dirección, evaluaciones independientes de la gestiónde riesgos corporativos o una combinación de ambas actuaciones.

La gestión de riesgos corporativos es un proceso dinámico. Por ejemplo, la evalua-ción de los riesgos induce una respuesta a ellos y puede influir en las actividades decontrol, así como destacar la conveniencia de reconsiderar las necesidades informa-tivas y de comunicación o las actividades de supervisión de la entidad. Así, la ges-tión de riesgos corporativos no sólo constituye estrictamente un proceso en serie,donde cada componente afecta sólo al siguiente, sino que es un proceso multidirec-cional e iterativo en que casi cualquier componente puede influir en otro.

No existen dos entidades que apliquen o debieran aplicar la gestión de riesgos cor-porativos del mismo modo. Las empresas y sus capacidades y necesidades de ges-tión de riesgos corporativos difieren enormemente según su dimensión y sector ysegún la filosofía y cultura de la dirección. Así, aunque todas las entidades deberíantener cada componente en su lugar y operando eficazmente, la aplicación de la ges-tión de riesgos corporativos en una entidad –incluyendo las herramientas y técnicasaplicadas y la asignación de papeles y responsabilidades - a menudo no tendrá elmismo aspecto que la empleada en otras entidades.

Relación entre Objetivos y Componentes

Existe una relación directa entre los objetivos que una entidad intenta alcanzar y loscomponentes de la gestión de riesgos corporativos, que representan lo que hace faltapara lograr aquellos. Esta relación se muestra a través de la matriz tridimensional enforma de cubo que se muestra en la figura 1.1.



36

• Las cuatro categorías de objetivos –estrategia, operaciones, información y cumplimiento– están represen-tadas por las columnas verticales.

• Los ochos componentes están representados por las filas horizontales.

• La entidad y sus unidades están representadas por la tercera dimensión del cubo.

Cada fila con un componente cruza y afecta a las cuatro categorías de objetivos. Porejemplo, los datos financieros y no financieros generados desde fuentes internas yexternas, que forman parte del componente de información y comunicación, sonnecesarios para fijar la estrategia, gestionar eficazmente las operaciones del nego-cio, informar adecuadamente y determinar si la entidad cumple o no las leyes apli-cables.

Asimismo, si observamos las categorías de objetivos, los ocho componentes sonrelevantes para cualquiera de ellas. Tomando una categoría, por ejemplo, la eficaciay eficiencia operativa, le resultan aplicables los ocho componentes, que son impor-tantes para su consecución.

Debería reconocerse que las cuatro columnas representan categorías de objetivos deuna entidad y no partes o unidades de ésta. De acuerdo con esto, cuando se consi-dere la categoría de objetivos relativos a la información, por ejemplo, será necesarioconocer una amplia gama de datos sobre las operaciones de la entidad. Pero en estecaso, el foco está en la segunda columna desde la derecha en la cara horizontalsuperior –“información de objetivos”– y no en la tercera –“operaciones”– como podríaparecer.

Eficacia

Aunque la gestión de riesgos corporativos es un proceso, su eficacia es un estado ocondición en un momento determinado. Discernir si la gestión de riesgos corporati-vos es “eficaz” es un juicio que se deriva de una evaluación acerca de si están pre-

(Gráfico del cubo)

Figura 1.1


DEFINICIÓN

37

sentes los ocho componentes y funcionan eficazmente. Así, los componentes tam-bién constituyen criterios para una gestión eficaz de riesgos corporativos. Para quelos componentes estén presentes y funcionen adecuadamente, no puede haber debi-lidades materiales y los riesgos deben haberse encajado dentro del riesgo aceptadopor la entidad.

Cuando se determine que la gestión de riesgos corporativos es eficaz en cada unade las cuatro categorías de objetivos, respectivamente, el consejo de administracióny la dirección tendrán una seguridad razonable de que:

• Se conoce el grado de consecución de los objetivos estratégicos de la entidad

• Se conoce el grado de consecución de los objetivos operativos de la entidad

• La información de la entidad es fiable

• Se cumplen las leyes y normas aplicables

Aunque para que la gestión de riesgos corporativos pueda considerarse eficaz, losocho componentes deben estar presentes y funcionar correctamente – aplicando losprincipios descritos en capítulos siguientes -, pueden existir entre ellos algunos con-flictos. Dado que las técnicas de gestión de riesgos corporativos sirven para unavariedad de propósitos, algunas de las que se aplican a un determinado componen-te también pueden cubrir el propósito de técnicas normalmente aplicables a otros.Adicionalmente, las respuestas a los riesgos pueden diferir en su grado de atencióna uno concreto, por lo que las respuestas y controles complementarios, cada uno deefecto limitado, pueden ser satisfactorios en conjunto.

Los conceptos que comentamos aquí son aplicables a todas las entidades, sea cualsea su dimensión. Aunque algunas pequeñas y medianas empresas puedan implan-tar factores de componentes en forma diferente a otras más grandes, también pue-den conseguir una gestión eficaz de riesgos corporativos. La metodología para cadacomponente probablemente sea menos formal y estructurada en las entidadespequeñas que en las grandes, pero los conceptos básicos deberán estar presentesen todas ellas.

Normalmente, la gestión de riesgos corporativos se considera dentro del contexto deuna entidad en su conjunto, lo que implica considerar su aplicación a las unidadessignificativas de negocio. Sin embargo, puede haber circunstancias en las que la efi-cacia de dicha gestión deba ser evaluada de modo individual en una determinada uni-dad de negocio. En tales casos, para que exista eficacia en la gestión en esta unidad,los ocho componentes tienen que estar presentes y funcionar eficazmente en ella.Así, por ejemplo, como contar con un consejo de administración con característicasespecíficas forma parte del ámbito interno, la gestión de riesgos corporativos de unaespecifica unidad de negocio sólo podrá juzgarse como eficaz cuando dicha unidadtenga un consejo de administración u organismo similar que funcione adecuadamen-te (o cuando el consejo de administración de la entidad lleve a cabo una adecuadasupervisión directa sobre la unidad de negocio). De forma similar, debido a que elcomponente de respuesta a los riesgos se describe desde una perspectiva de carte-ra de riesgos, para que la gestión de riesgos corporativos en dicha unidad de nego-cio pueda considerarse eficaz, también debería aplicarse en ella este tipo de pers-pectiva.



38


El control interno es una parte integral de la gestión de riesgos corporativos y, en con-secuencia, el Marco de esta última incluye a aquél, aportando así a la dirección unaconceptualización y herramienta más robustas. El control interno se define y descri-be en el documento Control Interno – Marco integrado. Como este documento com-pone la base de las reglas, normas y leyes existentes y ha resistido la prueba deltiempo, continúa vigente como fuente de la definición y el marco del control interno.Aunque en el presente documento sólo se reproduzcan algunas secciones de Controlinterno – Marco integrado, su totalidad sí queda integrada en él mediante referencias.El anexo C describe la relación existente entre la gestión de riesgos corporativos y elcontrol interno.

Gestión de Riesgos Corporativos y Proceso de Dirección

Como la gestión de riesgos corporativos forma parte del proceso de dirección, loscomponentes del presente Marco se comentan dentro del contexto de lo que hace lagerencia al dirigir una empresa u otro tipo de entidad. Por el contrario, no todo lo quehace la dirección de una entidad forma parte de la gestión de riesgos corporativos yasí, muchos juicios aplicados en la toma de decisiones directivas y otras accionesasociadas, aunque constituyan parte del proceso de dirección, no forman parte deesa gestión. Por ejemplo:

• Constituye un componente crítico de la gestión de riesgos corporativos el que exis-ta un proceso apropiado para fijar objetivos en la entidad, pero determinados obje-tivos seleccionados por la dirección no forman parte de dicha gestión.

• Responder a los riesgos, desde una adecuada evaluación suya, forma parte de lagestión de riesgos corporativos, pero no así determinadas respuestas al riesgoseleccionadas y la correspondiente asignación de recursos de la entidad.

• Establecer y ejecutar actividades de control para ayudar a asegurar que se llevan acabo de modo eficaz las respuestas a los riesgos que la dirección selecciona, formaparte de la gestión de riesgos corporativos, pero no así las particulares actividadesde control seleccionadas.

En general, la gestión de riesgos corporativos implica a aquellos elementos del pro-ceso de dirección que permiten a la gerencia tomar decisiones informadas basadasen el riesgo, pero determinadas decisiones seleccionadas dentro de una gama deopciones apropiadas no sirven para establecer si la gestión de riesgos corporativoses eficaz o no. Sin embargo, aunque los objetivos, respuestas al riesgo y actividadesde control elegidas sean temas a juicio de la dirección, la selección efectuada debedar como resultado la reducción del riesgo a un nivel aceptable, determinado por elriesgo aceptado y una seguridad razonable respecto a la consecución de los objeti-vos de la entidad.


39

2. Ámbiente interno

Resumen del capítulo: El ambiente interno abarca el talante de una organi-zación, que influye en la conciencia de sus empleados sobre el riesgo y formala base de los otros componentes de la gestión de riesgos corporativos, pro-porcionando disciplina y estructura. Los factores del ambiente interno inclu-yen la filosofía de gestión de riesgos de una entidad, su riesgo aceptado, lasupervisión ejercida por el consejo de administración, la integridad, valoreséticos y competencia de su personal y la forma en que la dirección asigna laautoridad y responsabilidad y organiza y desarrolla a sus empleados.

El ambiente interno constituye la base de todos los demás componentes de la gestiónde riesgos corporativos, proporcionando disciplina y estructura, e influye en cómo seestablecen las estrategias y objetivos, se estructuran las actividades de negocio, seidentifican y evalúan los riesgos y se actúa sobre ellos. Asimismo, incide en el diseño y



40

funcionamiento de las actividades de control, los sistemas de información y comunica-ción y las actividades de supervisión.

El ambiente interno se ve influido por la historia y cultura de una entidad y comprendemuchos elementos, incluyendo los valores éticos de la entidad, la competencia y des-arrollo del personal, la filosofía de la dirección para gestionar riesgos y la forma de asig-nar la autoridad y responsabilidad. El consejo de administración es una parte crítica delambiente interno e influye de modo significativo en sus otros factores.

Aunque todos los elementos sean importantes, el alcance del tratamiento de cada unovariará según la entidad. Por ejemplo, el consejero delegado de una empresa con unaplantilla reducida y operaciones centralizadas podría no establecer líneas formales deresponsabilidad ni políticas operativas detalladas. Sin embargo, la empresa podría con-tar con un ambiente interno que proporcionase cimientos adecuados para la gestión deriesgos corporativos.

Filosofía de Gestión de Riesgos

La filosofía de gestión de riesgos de una entidad es el conjunto de creencias y actitu-des compartidas que caracterizan cómo se contempla el riesgo en ella, desde el des-arrollo e implantación de la estrategia hasta sus actividades cotidianas. Refleja los valo-res de la entidad, influye en su cultura y estilo operativo y afecta a cómo se aplican loscomponentes de dicha gestión, incluyendo la identificación de riegos, los tipos de ries-go aceptados y cómo son gestionados.

Una entidad que ha tenido éxito aceptando riesgos significativos probablemente tengauna visión diferente de la gestión de riesgos corporativos que otra que se haya enfren-tado a severas consecuencias económicas o reguladoras por haberse aventurado enterritorio peligroso. Aunque algunas entidades pueden trabajar para conseguir una ges-tión de riesgos corporativos que satisfaga las exigencias de algún grupo de interésexterno, como su empresa matriz o un posible regulador, es más frecuente que se hagaporque su dirección reconoce que una gestión eficaz de riesgos corporativos ayuda ala entidad a crear y conservar valor.

Cuando la filosofía de gestión de riesgos esté bien desarrollada, entendida y acepta-da por el personal, la entidad estará en posición de reconocer y gestionar los riesgoseficazmente. De lo contrario, puede existir de manera inaceptable una aplicación des-igual de la gestión de riesgos corporativos en las unidades de negocio, funciones odepartamentos. Pero incluso cuando la filosofía de la entidad esté muy desarrollada,pueden existir diferencias culturales entre las unidades, lo que provocará una variaciónen la aplicación de dicha gestión. Los directivos de algunas unidades pueden estarpreparados para asumir un mayor riesgo, mientras que otros pueden ser más conser-vadores. Por ejemplo, una función de ventas agresiva puede poner su énfasis en la eje-cución de la venta, sin una cuidadosa atención a temas de cumplimiento normativo,mientras que el personal de la unidad de contratación de personal centra significati-vamente su atención en asegurarse del cumplimiento de todas las políticas y normas,internas y externas, relevantes. Vistas de manera separada, estas distintas subcultu-ras podrían tener efectos adversos sobre la entidad. Sin embargo, trabajando bienconjuntamente, las unidades pueden reflejar adecuadamente la filosofía de gestión deriesgos.


AMBIENTE INTERNO

41

Esta filosofía se refleja en casi todo el quehacer de la dirección para gestionar la enti-dad y se plasma en las declaraciones de políticas, las comunicaciones verbales y escri-tas y la toma de decisiones. Tanto si la dirección pone su énfasis en las políticas escri-tas, normas de conducta, indicadores de rendimiento e informes de excepción, comosi prefiere operar más informalmente mediante contactos personales con los directivosclaves, lo críticamente importante es que desde ella se potencie la filosofía, no sólo conpalabras, sino con acciones diarias.

Riesgo Aceptado

El riesgo aceptado es el volumen de riesgo, a un nivel amplio, que una entidad está dis-puesta a aceptar en su búsqueda de valor. Refleja la filosofía de gestión de riesgo de laentidad e impacta a su vez en su cultura y estilo operativo.

El riesgo aceptado debe tenerse en cuenta al fijar la estrategia, pues el rendimientodeseado de la estrategia debe estar alineado con el riesgo aceptado de la entidad.Diferentes estrategias expondrán a la entidad a niveles diferentes de riesgo y la gestiónde riesgos corporativos, aplicada en esta fase de fijación de estrategias, ayuda a ladirección a seleccionar una estrategia coherente con el riesgo aceptado.

Las entidades pueden considerar el riesgo aceptado de un modo cualitativo, usandocategorías como alto, moderado o bajo, o bien optar por un enfoque cuantitativo, querefleje los objetivos de crecimiento y rendimiento y los equilibre con los riesgos.

El Consejo de Administración

El consejo de administración de una entidad es una parte crítica del ámbito interno einfluye de modo significativo en sus elementos. Su independencia frente a la dirección,la experiencia y reputación de sus miembros, su grado de implicación y supervisión delas actividades y la adecuación de sus acciones juegan un papel muy importante. Otrascaracterísticas son el alcance con que se plantean y persiguen, junto con la dirección,cuestiones difíciles relativas a estrategias, planes y rendimientos y su interacción o ladel comité de auditoría con los auditores internos y externos.

Un consejo de administración u organismo similar activo e implicado debería poseer unaadecuada experiencia directiva, técnica y de otro tipo, junto con la necesaria mentalidadpara llevar a cabo sus responsabilidades de supervisión. Esto es crítico para un entornoeficaz de gestión de riesgos corporativos. Y, dado que el consejo tiene que estar prepa-rado para cuestionar y fiscalizar las actividades de la dirección, presentar enfoques alter-nativos y actuar frente a prácticas ilícitas, debería contar con consejeros externos.

Los miembros de la alta dirección pueden ser partícipes eficaces en el consejo, apor-tando su conocimiento profundo de la empresa. Sin embargo, debe existir un númerosuficiente de miembros externos independientes que no sólo faciliten consejo y orien-tación razonables, sino que también sirvan como una necesaria verificación y supervi-sión de la dirección. Se puede concluir que, para que el ámbito interno sea eficaz, elconsejo debe tener al menos una mayoría de miembros externos independientes.

Los consejos de administración eficaces aseguran que la dirección mantiene una ade-cuada gestión de riesgos corporativos. Aunque una empresa podría históricamente no



42

haber sufrido pérdidas ni estar expuesta a riesgos significativos, el consejo no debesucumbir a la idea mítica de que los eventos con serias consecuencias adversas “nopueden tener lugar aquí”. Hay que reconocer que, aunque una compañía pueda teneruna estrategia sólida, empleados competentes, sólidos procesos de negocio y una tec-nología fiable, es vulnerable al riesgo como cualquier entidad y necesita un proceso degestión de riesgos corporativos que funcione eficazmente.

Integridad y Valores éticos

La estrategia y objetivos de una entidad y la manera en que se ponen en práctica sebasan en las preferencias, juicios de valor y estilos de gestión. La integridad de la direc-ción y su compromiso con los valores éticos influyen en dichas preferencias y juicios,que se traducen en normas de conducta. Dado que la reputación de una entidad es tanvaliosa, las normas de conducta deben ir más allá del mero cumplimiento de la ley. Losdirectivos de empresas bien gestionadas aceptan cada vez más la idea de que la éticaes rentable y que una conducta íntegra es un buen negocio.

La integridad de la dirección es un requisito previo de la conducta ética en todos losaspectos de la actividad de una entidad. La eficacia de la gestión de riesgos corpora-tivos no debe sobreponerse a la integridad y los valores éticos de las personas quecrean, administran y controlan sus actividades. La integridad y valores éticos son ele-mentos esenciales del ámbito interno de una entidad y afectan al diseño, administra-ción y seguimiento de los otros componentes de la gestión de riesgos corporativos.

A menudo, resulta difícil establecer los valores éticos, dada la necesidad de tener encuenta las preocupaciones de varias partes. Los valores de la dirección deben equili-brar los intereses de la empresa, sus empleados, proveedores, clientes y competidoresy del público en general. La búsqueda de este equilibrio entre intereses, a menudo con-trarios, puede resultar complicada y frustrante. Por ejemplo, las actividades empresa-riales para proveer un producto esencial (petróleo, madera o comida) pueden provocarrepercusiones medioambientales.

La conducta ética y la integridad de la dirección se derivan de la cultura corporativa,que abarca las normas éticas y de conducta y cómo son comunicadas y potenciadas.Las políticas oficiales especifican lo que el consejo y la dirección quieren que suceda.La cultura corporativa determina lo que actualmente ocurre y qué reglas son acatadas,manipuladas o ignoradas. La alta dirección –empezando por el consejero delegado–juega un papel clave a la hora de establecer la cultura corporativa. Como personalidaddominante en la entidad, es precisamente el consejero delegado quien establece amenudo el talante ético de la entidad.

Ciertos factores organizativos también pueden influir en la probabilidad de que existanprácticas fraudulentas y cuestionables en la información financiera. Estos mismos fac-tores probablemente también influyan en la conducta ética. Los individuos puedenimplicarse en actos deshonestos, ilegales o no éticos, simplemente porque la entidadles proporciona importantes incentivos o tentaciones para hacerlo. Un énfasis indebidosobre los resultados, particularmente a corto plazo, puede fomentar un ambiente inter-no inadecuado. Enfocarse solamente a los resultados a corto plazo puede dañar a laentidad, incluso en ese mismo corto plazo. Centrarse en los resultados –ventas o bene-ficios a cualquier coste– a menudo provoca acciones o reacciones no deseadas. Las


AMBIENTE INTERNO

43

tácticas agresivas de venta, las negociaciones sin piedad, las ofertas tácitas de sobor-nos, por ejemplo, pueden provocar reacciones con efectos inmediatos (e, incluso, dura-deros).

Otros incentivos para implicarse en prácticas de información fraudulentas o cuestiona-bles y, por extensión, en otras formas de conducta no ética, pueden incluir recompen-sas altamente dependientes de la información facilitada, financiera y no financiera, par-ticularmente respecto a los resultados a corto plazo.

Eliminar o reducir los incentivos y tentaciones inadecuadas supone un buen caminohacia la eliminación de conductas no deseadas. Como se ha sugerido, esto puede con-seguirse siguiendo prácticas empresariales sólidas y rentables. Por ejemplo, los incen-tivos sobre el funcionamiento –acompañados de controles adecuados– pueden ser unatécnica muy útil de gestión siempre que los objetivos de rendimiento sean realistas.Fijar objetivos de este tipo constituye una buena práctica de motivación, que reducetensiones contraproducentes y el interés por presentar información fraudulenta. Deforma similar, un sistema bien controlado de información puede servir de proteccióncontra la tentación de presentar erróneamente los datos de la entidad.

Otra causa de prácticas cuestionables es la ignorancia. Los valores éticos no sólodeben ser comunicados, sino también acompañados por una orientación explícita de loque está bien y mal. Los códigos formales de conducta corporativa son importantes ysirven de base para un programa eficaz de ética. Los códigos tratan una variedad detemas de conducta, tales como integridad y ética, conflictos de interés, pagos ilegaleso inadecuados y acuerdos contra la libre competencia. También son importantes loscanales ascendentes de comunicación, para que los empleados se sientan cómodosaportando información relevante.

La existencia de un código escrito de conducta, de documentación donde conste quelos empleados lo han recibido y entendido y un adecuado canal de comunicaciones noaseguran por sí mismos que el código se esté cumpliendo. También son importantespara su cumplimiento las sanciones resultantes para los empleados que lo violen, losmecanismos que animen al personal a denunciar presuntas violaciones y las accionesdisciplinarias contra empleados que conscientemente no denuncien las infracciones.Sin embargo, el cumplimiento de las normas éticas, formalizadas o no en un códigoescrito, está igualmente, si no más, asegurado eficazmente por las acciones de la altadirección y su ejemplo. Es probable que los empleados desarrollen las mismas actitu-des hacia lo correcto e incorrecto -y acerca de los riesgos y controles- que las exhibi-das por la alta dirección. Los mensajes transmitidos por las acciones de la dirección seincorporan rápidamente a la cultura corporativa. El conocimiento de que el consejerodelegado ha “hecho lo correcto” éticamente cuando se ha enfrentado a una decisiónempresarial ardua, difunde un mensaje poderoso por toda la entidad.

Compromiso con la Competencia

La competencia refleja los conocimientos y habilidades necesarios para realizar elcometido asignado. La dirección decide el nivel de realización de los cometidos, sope-sando la estrategia y objetivos de la entidad respecto a sus planes de implantación yrealización. Existe a menudo un conflicto entre competencia y coste –no es necesario,por ejemplo, contratar a un ingeniero eléctrico para cambiar una bombilla.



44

La dirección establece los niveles de competencia para trabajos concretos y los trans-forma en conocimientos y habilidades requeridos. A su vez, éstos pueden depender dela inteligencia, formación y experiencia del individuo. Los factores a tener en cuenta enel desarrollo de niveles de conocimiento y habilidad incluyen la naturaleza y grado deljuicio a aplicar en un trabajo concreto. A menudo, existe un conflicto entre el grado desupervisión y el nivel de competencia requerido del individuo.

Estructura Organizativa

La estructura organizativa de una entidad proporciona el marco para planificar, ejecu-tar, controlar y supervisar sus actividades. Una estructura organizativa relevante inclu-ye la definición de áreas claves de autoridad y responsabilidad y el establecimiento delíneas adecuadas de información. Por ejemplo, una función de auditoría interna debe-ría estructurarse de manera que alcance objetividad organizativa y que se permita suacceso ilimitado a la alta dirección y al comité de auditoría del consejo, al mismo tiem-po que su máximo responsable debe informar y reportar a un nivel de la organizaciónque permita que la auditoría interna cumpla con su cometido.

Una entidad desarrolla una estructura organizativa ajustada a sus necesidades. Algunasson centralizadas y otras descentralizadas. Unas presentan relaciones directas dedependencia, mientras otras tienen una organización del tipo matricial. Ciertas entida-des están organizadas por sector de actividad o línea de producto, por ubicación geo-gráfica, por un modo concreto de distribución o por una determinada red comercial.Otras entidades, incluyendo muchos organismos gubernamentales, estatales o locales,y entidades sin ánimo de lucro, están organizadas por funciones.

La adecuación de la estructura organizativa de una entidad depende en parte de sudimensión y de la naturaleza de sus actividades. Una organización muy estructuradacon líneas formales de dependencia y responsabilidad puede resultar adecuada parauna entidad grande con muchas divisiones operativas, incluyendo las operaciones enel extranjero. Sin embargo, en una empresa reducida, esta estructura podría impedir elflujo necesario de información. Sea cual sea dicha estructura, una entidad debería orga-nizarse para permitir una gestión eficaz de riesgos corporativos, desarrollar sus activi-dades y alcanzar sus objetivos.

Asignación de Autoridad y Responsabilidad

La asignación de autoridad y responsabilidad implica el punto hasta el que los indivi-duos y equipos están autorizados y animados a utilizar su iniciativa para tratar lostemas y resolver problemas, así como los límites de dicha autoridad. Incluye el esta-blecimiento de relaciones de información y protocolos de autorización, además de polí-ticas que describan las prácticas empresariales adecuadas, los conocimientos y expe-riencia del personal clave y los recursos proporcionados para que lleven a cabo suscometidos.

Algunas entidades han descentralizado la toma de decisiones a niveles inferiores paraaproximar la toma de decisiones al personal de línea. Una empresa puede tomar estaopción para estar más orientada al mercado o centrada en temas de calidad o, quizás,para eliminar defectos, reducir la duración de los ciclos o aumentar la satisfacción del


AMBIENTE INTERNO

45

cliente. La alineación de la autoridad y la responsabilidad a menudo se efectúa para ani-mar las iniciativas individuales dentro de límites. La delegación de autoridad significatraspasar el control central de algunas decisiones de negocio hacia niveles inferiores –alos individuos que están más cerca de las transacciones empresariales cotidianas. Estopuede implicar la delegación de facultades para vender productos con descuento,negociar contratos con proveedores, licencias o patentes a largo plazo y formar alian-zas o joint ventures.

Un reto crítico será delegar sólo en la cuantía requerida para alcanzar objetivos, lo queimplica asegurar que la toma de decisiones se basa en prácticas sólidas de identifica-ción y evaluación de riesgos, incluyendo su dimensionamiento y la relación entre pérdi-das potenciales y ganancias posibles al determinar los riesgos aceptables y cómo ges-tionarlos.

Otro reto será asegurarse de que todo el personal entiende los objetivos de la entidad.Es esencial que los individuos conozcan cómo sus acciones se relacionan entre sí ycontribuyan a la consecución de objetivos.

Una mayor delegación a veces va intencionalmente acompañada o lleva como resulta-do a una simplificación o “aplanamiento” de la estructura organizativa. Un cambioestructural útil que fomente la creatividad, la toma de iniciativas y reduzca los tiemposde respuesta, puede mejorar la competitividad y la satisfacción del cliente. Esta mayordelegación de facultades puede acarrear como requisito implícito un mayor nivel decompetencia del empleado, además de un aumento de su responsabilidad. Tambiénpuede exigir procedimientos efectivos para que la dirección controle los resultados,asegurándose de que las decisiones puedan anularse o aceptarse según el caso. Encombinación con mejores decisiones orientadas al mercado, delegar puede aumentarel número de decisiones indeseadas o no anticipadas. Por ejemplo, si un directorcomercial regional decide que su autoridad para vender con un descuento del 35%sobre precio de catálogo le permite aplicar un descuento temporal del 45% a fin deaumentar la cuota de mercado, la dirección posiblemente debiera conocerlo, parapoder anular o aceptar dicha decisión.

El ámbito interno se ve muy influenciado por el grado de responsabilidad reconocidopor los individuos, algo aplicable hasta al consejero delegado, quien, conjuntamentecon la supervisión del consejo de administración, es el máximo responsable de todaslas actividades de la entidad.

Los principios adicionales relativos a los papeles y responsabilidades de las partes inte-grantes para una gestión eficaz de riesgos corporativos se establecen en el capítuloPapeles y Responsabilidades.

Normas para Recursos Humanos

Las prácticas de recursos humanos relacionadas con la contratación, orientación, for-mación, evaluación, tutoría, promoción, compensación y adopción de acciones reme-diadoras transmiten mensajes a los empleados en relación con los niveles esperadosde integridad, conducta ética y competencia. Por ejemplo, las normas de contrataciónde las personas más cualificadas, poniendo el énfasis en su historial académico, expe-riencia laboral previa, logros anteriores y pruebas de su integridad y conducta ética,muestran el compromiso de una entidad con las personas competentes y de confian-



46

za. Lo mismo se aplica cuando las prácticas de selección e incorporación de personalincluyen entrevistas formales y unos cursos de formación sobre la historia, cultura yestilo operativo de la entidad.

Las políticas de formación pueden potenciar los niveles esperados de rendimiento yconducta mediante la comunicación de los papeles y responsabilidades futuras y lainclusión de prácticas, tales como los talleres y seminarios de formación, estudio decasos simulados y ejercicios de interpretación de papeles. Los traslados y ascensosimpulsados por evaluaciones periódicas del rendimiento muestran el compromiso de laentidad con la promoción de sus empleados cualificados. Los programas competitivosde compensación que incluyen incentivos sirven para motivar y potenciar el rendimien-to destacable –aunque los sistemas de compensación deberán estar estructurados ydebidamente controlados, para evitar la indebida tentación de falsificar los resultadoscomunicados. Las acciones disciplinarias transmiten el mensaje de que no serán tole-radas las violaciones de la conducta esperada.

Es esencial que los empleados estén preparados para enfrentarse a nuevos retos amedida que los temas y riesgos cambian en la entidad y se hacen más complejos–impulsados en parte por tecnologías que cambian rápidamente y el aumento de lacompetitividad. La educación y formación, basadas en cursos, autoestudio o enseñan-za en el puesto de trabajo, deberían ayudar al personal a mantenerse a nivel con unentorno en evolución y enfrentarse eficazmente a él. No es suficiente la contratación depersonas competentes a las que se les proporciona solo formación en el momento ini-cial. El proceso formativo debe ser constante.

Implicaciones

Es difícil valorar en exceso la importancia del ambiente interno de una entidad y elimpacto –positivo o negativo- que pueda tener en los otros componentes de la gestiónde riesgos corporativos. El impacto de un ambiente interno ineficaz puede teneramplias consecuencias, tales como pérdidas financieras, una imagen pública mancilla-da o la quiebra.

Por ejemplo, se pensaba que cierta compañía de energía mantenía una eficaz gestiónde riesgos corporativos, ya que contaba con directivos muy cualificados y respetados,un prestigioso consejo de administración, una estrategia innovadora, sistemas de infor-mación y controles bien diseñados, amplios manuales de políticas sobre las funcionesde riesgo y control y detallados procedimientos integrales de conciliación y supervisión.Sin embargo, su ambiente interno tenía un defecto significativo: La dirección participa-ba en prácticas empresariales muy cuestionables y el consejo miraba para otro lado. Seaveriguó que la compañía había falseado sus resultados financieros y que sufría unaperdida de confianza de los accionistas, una crisis de liquidez y la destrucción de valorde la entidad. Finalmente, dió lugar a una de las quiebras más sonadas de la historia.

La actitud e interés de la alta dirección por una gestión eficaz de riesgos corporativoshan de ser claros y definitivos y deben calar en la organización. No es suficiente condecir las palabras adecuadas, pues una actitud de “haz como digo, pero no comohago” sólo provocará un entorno ineficaz.


47

3. Establecimiento de objetivos

Resumen del capítulo: Los objetivos se fijan a escala estratégica, estable-ciendo con ellos una base para los objetivos operativos, de información y decumplimiento. Cada entidad se enfrenta a una gama de riesgos procedentesde fuentes externas e internas y una condición previa para la identificacióneficaz de eventos, la evaluación de sus riesgos y la respuesta a ellos es fijarlos objetivos, que tienen que estar alineados con el riesgo aceptado por laentidad, que orienta a su vez los niveles de tolerancia al riesgo de la misma.

El establecimiento de objetivos es condición previa para la identificación de eventos,la evaluación de riesgos y la respuestas a ellos. Tienen que existir primero los objeti-vos para que la dirección pueda identificar y evaluar los riesgos que impidan su con-secución y adoptar las medidas necesarias para gestionar éstos últimos.



48

Objetivos Estratégicos

La misión de una entidad establece en amplios términos lo que se aspira a alcanzar.Sea cual sea el término empleado, como “misión”, “visión” o “finalidad”, es impor-tante que la dirección –con la supervisión del consejo– establezca expresamente larazón de ser de la entidad en términos generales. A partir de esto, la dirección fija losobjetivos estratégicos, formula la estrategia y establece los correspondientes objeti-vos operativos, de información y de cumplimiento para la organización. Aunque lamisión de una entidad y sus objetivos estratégicos sean generalmente estables, suestrategia y muchos objetivos relacionados con ella son más dinámicos y se adecuanmejor a las cambiantes condiciones internas y externas. A medida que éstas cam-bian, la estrategia y los objetivos conexos deben volver a situarse en línea con losobjetivos estratégicos.

Estos objetivos estratégicos son de alto nivel, están alineados con la misión/visión dela entidad y la dan su apoyo. Reflejan la opción que ha elegido la dirección en cuan-to a cómo la entidad creará valor para sus grupos de interés.

Al considerar las posibles formas alternativas de alcanzar los objetivos estratégicos,la dirección identifica los riesgos asociados a una gama amplia de elecciones estra-tégicas y considera sus implicaciones. Se pueden aplicar diferentes técnicas de iden-tificación y evaluación de los riesgos, que se expondrán en capítulos posteriores,durante el proceso de establecimiento de la estrategia. De este modo, en la fijaciónde estrategias y objetivos, se usan técnicas de gestión de riesgos corporativos.

Objetivos Relacionados

Constituye un factor crítico de éxito el establecimiento de objetivos adecuados queapoyen a la estrategia seleccionada, correspondiente a todas las actividades de laentidad, y estén en línea con ella. Al enfocar primero los objetivos estratégicos y laestrategia, una entidad está en posición de desarrollar los objetivos globales, cuyaconsecución creará y conservará el valor. Los objetivos al nivel de empresa están vin-culados y se integran con otros objetivos más específicos, que repercuten en casca-da en la organización hasta llegar a subobjetivos establecidos, por ejemplo, en lasdiversas actividades de ventas, producción, ingeniería e infraestructura.

Al fijar sus objetivos a los niveles de entidad y actividades, la organización puede iden-tificar los factores críticos de éxito, que han de funcionar bien si se quieren alcanzar losobjetivos. Estos factores críticos afectan a la entidad, a cada unidad de negocio, funcióno departamento y a los individuos. Al fijar sus objetivos, la dirección puede identificar loscriterios de medida del rendimiento, con atención a los factores críticos de éxito.

Cuando los objetivos guardan conformidad con las prácticas y rendimientos anterio-res, se conoce la conexión entre actividades. Sin embargo, cuando los objetivos sedesvían de estas prácticas anteriores de la entidad, la dirección debe reorientar lasconexiones o aceptar unos riegos mayores. En dichos casos, existe incluso unamayor necesidad de que los objetivos o subobjetivos por unidad de negocio estén enconsonancia con la nueva orientación.

Los objetivos deben ser fácilmente entendibles y mensurables. La gestión de riesgoscorporativos exige que el personal a todos los niveles tenga un entendimiento nece-


ESTABLECIMIENTO DE OBJETIVOS

49

sario de los objetivos de la entidad, en cuanto se relacionan con el ámbito del indivi-duo. Todos los empleados deben tener una comprensión mutua de lo que se ha delograr y de los medios para medir lo que se consiga.

Categorías de Objetivos Relacionados

A pesar de la diversidad de objetivos entre entidades, se pueden establecer algunascategorías amplias:

• Objetivos operativosSe corresponden con la eficacia y eficiencia de las operaciones de la entidad, inclu-yendo los objetivos de rendimiento y rentabilidad y de salvaguarda de recursos fren-te a pérdidas. Varían según las opciones de la dirección respecto a estructura y ren-dimiento.

• Objetivos de informaciónRelativos a la fiabilidad de la información. Incluyen información interna y externa eimplican la financiera y no financiera.

• Objetivos de cumplimientoSe refieren al cumplimiento de leyes y normas relevantes. Dependen de factoresexternos y tienden a ser similares entre entidades, en algunos casos, y sectorial-mente, en otros.

Ciertos objetivos dependen del tipo de negocio de la entidad. Algunas empresas, porejemplo, remiten información a agencias medioambientales y otras que cotizan enbolsa la remiten a los reguladores de los mercados de valores. Estos requisitos exter-nos se establecen por leyes o normas y se incluyen en las categorías de informacióno cumplimiento o, como en estos ejemplos, en ambas.

Por contra, los objetivos operativos, así como los relativos a la información interna degestión, se basan más en las preferencias, juicios y estilo de la dirección. Varíanmucho entre entidades, simplemente porque personas capaces y honestas puedenseleccionar objetivos diferentes. Respecto al desarrollo de productos, por ejemplo,una entidad decide adaptarse inmediatamente a los cambios, otra prefiere hacerlocon cierta rapidez y otra, incluso, con cierta lentitud. Estas opciones afectan a laestructura, competencias, equipo humano y controles de la función de investigacióny desarrollo. Por tanto, no existe una fórmula óptima de establecimiento de objetivospara todas las entidades.

Objetivos Operativos

Los objetivos operativos se refieren a la eficacia y eficiencia de las operaciones de laentidad e incluyen otros subobjetivos orientados a mejorar ambas característicasmediante la movilización de la empresa hacia sus metas finales.

Los objetivos operativos deben reflejar los entornos empresarial, sectorial y econó-mico en los que actúa la entidad. Necesitan, por ejemplo, ser relevantes respecto alas presiones competitivas hacia la calidad, una menor duración del ciclo de puesta



50

a disposición del producto en el mercado o hacia los cambios tecnológicos. La direc-ción debe asegurar que los objetivos reflejan la realidad y las exigencias del merca-do y que están expresados en términos que permitan conocer las principales medi-das del rendimiento. Un conjunto claro de objetivos operativos, vinculados a subob-jetivos, es esencial para el éxito. Los objetivos operativos proporcionan un punto defocalización para orientar la asignación de recursos. Si los objetivos no son claros ono están bien concebidos, dicha asignación puede resultar desenfocada.

Objetivos de Información

Una información fiable proporciona a la dirección datos seguros y completos, ade-cuados para la finalidad pretendida, y la presta apoyo en su toma de decisiones y enel seguimiento de las actividades y rendimientos de la entidad. Ejemplos de dichainformación son los resultados de las campañas de marketing, los informes de ven-tas diarias, la calidad de producción y los resultados de encuestas sobre la satisfac-ción de clientes y empleados. La información también está relacionada con los docu-mentos preparados para su difusión externa, como es el caso de los estados finan-cieros y sus notas de detalle, los comentarios y análisis de la dirección y los informespresentados a entidades reguladoras.

Objetivos de Cumplimiento

Las entidades deben llevar a cabo sus actividades y a menudo acciones concretasde acuerdo con las leyes y normas relevantes. Estos requisitos pueden referirse almercado, precios e impuestos, medioambiente, bienestar de los empleados ycomercio exterior. Las leyes y normas aplicables establecen pautas mínimas deconducta, que la entidad integra en sus objetivos de cumplimiento. Por ejemplo, lasnormas sobre higiene y salud laboral hacen que una empresa defina uno de susobjetivos como “Empaquetar y etiquetar todas los productos químicos segúnnormativa”. En este caso, las políticas y procedimientos se dirigen a los programasde comunicación, inspecciones in situ y formación. El historial del cumplimiento deuna entidad puede afectar de modo significativo –positiva o negativamente– a sureputación en la comunidad y el mercado.

Subcategorías

Las categorías de objetivos forman parte del lenguaje común establecido por esteMarco y facilitan la comprensión y la comunicación. Una entidad puede, sin embar-go, encontrar útil plantear un subconjunto de una o más de estas categorías, parafacilitar la comunicación interna y externa sobre un tema más específico. Una empre-sa podría optar por comunicar la eficacia de una parte de la categoría de información,por ejemplo la gestión de riesgos corporativos en la información externa o quizás sóloen la información externa de índole financiera. Actuando así, permite que la comuni-cación se mantenga dentro del contexto del presente Marco para dicha gestión y, asu vez, permite las comunicaciones sobre determinados subconjuntos de categorías.



51

Sobreposición de Objetivos

Un objetivo de una categoría puede reforzar a otro objetivo de otra o solaparse conél. La categoría en que incide un objetivo depende a veces de las circunstancias. Porejemplo, proporcionar información fiable a la dirección de una unidad de negociopara que gestione y controle sus actividades de producción, puede servir para alcan-zar objetivos operativos y de información. Incluso, si esta información sirve paracomunicar datos medioambientales a la Administración, también se están alcanzan-do objetivos de cumplimiento.

Algunas entidades usan otra categoría de objetivos, la “salvaguarda de recursos”, aveces denominada “salvaguarda de activos”, que se solapa con las otras categoríasde objetivos. Vista con amplitud, la salvaguarda de activos trata de prevenir la pérdi-da de activos o recursos de una entidad por robo, despilfarro, ineficiencia o lo queresulta ser simplemente malas decisiones empresariales - como la venta de produc-tos a un precio demasiado bajo, la ausencia de retención de empleados claves, nohaber prevenido la violación de patentes o incurrir en pasivos no previstos. Son prin-cipalmente objetivos operativos, aunque algunos aspectos de la salvaguarda de acti-vos pueden incluirse en otras categorías. Sin embargo, cuando se aplican requisitoslegales o de normas, se convierten en objetivos de cumplimiento. Por otro lado, elreflejo adecuado de las pérdidas de activos en los estados financieros de la entidadrepresenta un objetivo de información.

Considerada conjuntamente con la información pública, se usa a menudo una defini-ción más estrecha de la salvaguarda de activos, que trata de la oportuna prevencióno detección de la adquisición, uso o disposición no autorizada de los activos de unaentidad. Para más información sobre esta categoría de objetivos, hay que referirse aldocumento Control Interno – Marco Integrado, que incluye el módulo Addenda a lainformación para terceros.


Un proceso adecuado para establecer objetivos es un componente crítico de la ges-tión de riesgos corporativos. Aunque los objetivos proporcionan metas mensurablesa las que se encamina la entidad cuando realiza sus actividades, existen en ellos dife-rentes grados de importancia y prioridad. Por tanto, aunque una entidad deba tenerseguridad razonable de que ciertos objetivos se están alcanzando, puede que ésteno sea el caso para todos ellos.

Una gestión eficaz de riesgos corporativos proporciona seguridad razonable de quelos objetivos de información de una entidad se están cumpliendo. De forma similar,también debería existir seguridad razonable de que los objetivos de cumplimiento seestán alcanzando. La consecución de ambos tipos de objetivos está ampliamentebajo el control de la entidad. O sea, una vez definidos los objetivos, la entidad tieneel control sobre su capacidad de hacer lo que haga falta para lograrlos.

Sin embargo, existe una diferencia entre los objetivos estratégicos y operativos, por-que su consecución no está exclusivamente bajo el control de la entidad. Una empre-sa puede actuar tal como está previsto, pero es posible que un competidor le lleveventaja. Está sujeta a eventos externos –como un cambio de gobierno, mal tiempo u



52

otros– cuya existencia no esté bajo su control. Incluso, es posible que la entidad hayacontemplado alguno de dichos eventos en el proceso de fijación de objetivos, tra-tándolos como si su probabilidad fuera remota y elaborando un plan de contingenciapara el caso en que tuviesen lugar. Sin embargo, tal plan sólo mitiga el impacto de loseventos externos y no asegura que los objetivos se vayan a alcanzar.

La gestión de riesgos corporativos sobre las operaciones se centra principalmente enel desarrollo de una coherencia de objetivos y metas en toda la organización, en laidentificación de factores de éxito y riesgos claves, en la evaluación de riesgos y laformulación de respuestas acertadas, en las respuestas adecuadas a los riesgos, enel establecimiento de los controles necesarios y en la información oportuna del fun-cionamiento y expectativas. En cuanto a los objetivos estratégicos y operativos, lagestión de riesgos corporativos puede proporcionar seguridad razonable de que ladirección y el consejo, en su papel de supervisión, estén informados oportunamentedel progreso de la entidad en su camino hacia el logro de dichos objetivos.

Objetivos Seleccionados

Como parte de la gestión de riesgos corporativos, la dirección no sólo elige los obje-tivos y considera cómo apoyan la misión de la entidad, sino que también asegura queestén alineados con el riesgo aceptado por la entidad. Un error en dicha alineaciónpodría dar como resultado una aceptación insuficiente del riesgo existente en el logrode objetivos o, por el contrario, una aceptación de un riesgo excesivo. Una gestióneficaz de riesgos corporativos no dicta los objetivos que la dirección debe elegir, perole proporciona un proceso para alinear los objetivos estratégicos con la misión de laentidad y asegurar que éstos, junto con sus correspondientes objetivos conexos,concuerdan con el riesgo aceptado por la entidad.

Riesgo Aceptado

El riesgo aceptado, establecido por la dirección bajo control del consejo de adminis-tración, es una orientación para establecer los objetivos. Las empresas puedenexpresar su riesgo aceptado como un equilibrio adecuado entre crecimiento, riesgoy rendimiento o como unas medidas de adición de valor para el accionista, ajustadasa su propio nivel de riesgo. Algunas entidades, como son las organizaciones sinánimo de lucro, expresan su riesgo aceptado como el nivel de riesgo que aceptaríana cambio de crear valor para sus grupos de interés.

Existe una relación entre el riesgo aceptado de una entidad y su estrategia.Normalmente se pueden diseñar muchas estrategias diferentes para conseguir losobjetivos deseados de crecimiento y rendimiento, cada uno con riesgos diferentes.La gestión de riesgos corporativos, aplicada al establecimiento de la estrategia,ayuda a la dirección a seleccionar una estrategia consecuente con su riesgo acepta-do. Si el riesgo asociado a la estrategia no está alineado con el riesgo aceptado porla entidad, se revisa la estrategia, lo que puede ocurrir cuando la dirección formuleinicialmente una estrategia que exceda del riesgo aceptado por la entidad o cuandodicha estrategia no contemple riesgo suficiente para permitir que la entidad alcancesus objetivos estratégicos y su misión.



53

El riesgo aceptado se ve reflejado en la estrategia de la entidad, que, a su vez orien-ta la asignación de recursos. La dirección distribuye los recursos entre las unidadesde negocio teniendo en cuenta el riesgo aceptado por la entidad y los planes estra-tégicos de cada unidad de negocio, para así generar el rendimiento deseado sobrelos recursos invertidos. La dirección busca alinear la organización, el personal, losprocesos y la infraestructura para facilitar la implantación de la estrategia con éxito ycapacitar a la entidad a mantenerse dentro de los límites de su riesgo aceptado.

Tolerancias al Riesgo

Las tolerancias al riesgo son los niveles aceptables de desviación relativa a la conse-cución de objetivos. Pueden medirse, y a menudo resulta mejor, con las mismas uni-dades que los objetivos correspondientes.

Las medidas de rendimiento se usan para ayudar a asegurar que los resultados rea-les se ciñen a las tolerancias al riesgo establecidas. Por ejemplo, una empresa fija unobjetivo del 98% de puntualidad para sus entregas, con una desviación aceptableentre el 97% y el 100%; fija como objetivo de formación una nota de aprobado del90%, con un rendimiento aceptable mínimo del 75%; y espera que el personal res-ponda a todas las reclamaciones de los clientes en un plazo de 24 horas, aunqueacepta que hasta un 25% de ellas se atiendan entre 24 y 36 horas.

Al fijar las tolerancias al riesgo, la dirección tiene en cuenta la importancia relativa delos objetivos correspondientes y alinea aquellas con el riesgo aceptado. Operar den-tro de las tolerancias al riesgo proporciona a la dirección una mayor confianza en quela entidad permanece dentro de su riesgo aceptado, que, a su vez, proporciona unaseguridad más elevada de que la entidad alcanzará sus objetivos.


55

4. Identificación de eventos

Resumen del capítulo: La dirección identifica los eventos potenciales que,de ocurrir, afectarán a la entidad y determina si representan oportunidades osi pueden afectar negativamente a la capacidad de la empresa para implantarla estrategia y lograr los objetivos con éxito. Los eventos con impacto negati-vo representan riesgos, que exigen la evaluación y respuesta de la dirección.Los eventos con impacto positivo representan oportunidades, que la direc-ción reconduce hacia la estrategia y el proceso de fijación de objetivos.Cuando identifica los eventos, la dirección contempla una serie de factoresinternos y externos que pueden dar lugar a riesgos y oportunidades, en elcontexto del ámbito global de la organización.

Eventos

Un evento es un incidente o acontecimiento, derivado de fuentes internas o externas,que afecta a la implantación de la estrategia o la consecución de objetivos. Los even-tos pueden tener un impacto positivo, negativo o de ambos tipos a la vez.



56

Al identificar eventos, la dirección reconoce que existen incertidumbres, por lo que nosabe si alguno en particular tendrá lugar y, de tenerlo, cuándo será, ni su impacto exac-to. La dirección considera inicialmente una gama de eventos potenciales, derivados defuentes internas o externas, sin tener que centrarse necesariamente sobre si su impac-to es positivo o negativo. De esta forma, la dirección identifica no sólo los eventos poten-ciales negativos, sino también aquellos que representan oportunidades a aprovechar.

Los eventos abarcan desde lo evidente a lo desconocido y sus efectos, desde loinconsecuente a lo muy significativo. Para evitar una consideración excesiva de even-tos relevantes, procede realizar de forma separada su identificación y la evaluaciónde su probabilidad de ocurrencia e impacto, aspecto este último que corresponde ala Evaluación de Riesgos. Sin embargo, existen limitaciones prácticas y a menudo esdifícil saber distinguirlas. Pero incluso los eventos con una probabilidad de ocurren-cia relativamente baja no deberían ignorarse si es grande su impacto sobre la conse-cución de un objetivo importante.

Factores Influyentes

Son muchos los factores externos e internos que provocan eventos que afectan a laimplantación de la estrategia y la consecución de objetivos. Como parte de la gestiónde riesgos corporativos, la dirección reconoce la importancia de entender dichos fac-tores y el tipo de evento que puede derivarse de ellos. Los factores externos, juntocon ejemplos de eventos relacionados y sus implicaciones, incluyen los siguientes:

• EconómicosEventos tales como los cambios de precios, la disponibilidad de capital o unasmenores barreras a la entrada de la competencia, que generan mayores o menorescostes de capital y competidores nuevos.

• MedioambientalesIncluyen las inundaciones, incendios y terremotos, que provocan daños a las insta-laciones o edificios, un acceso restringido a las materias primas o la pérdida decapital humano.

• PolíticosIncluyen la elección de gobiernos con nuevos programas políticos, leyes y normas,que provocan, por ejemplo, nuevas restricciones o aperturas en el acceso a merca-dos extranjeros o impuestos mayores o menores.

• SocialesRelacionados con los cambios demográficos, costumbres sociales, estructurasfamiliares, prioridades trabajo/ocio y actividades terroristas, que tienen como resul-tado cambios en la demanda de productos y servicios, nuevos puntos de venta,aspectos relacionados con recursos humanos y paros en la producción.

• TecnológicosRelativos a los nuevos medios de comercio electrónico, que generan una mayor dis-ponibilidad de datos, reducciones de costes de infraestructura y un mayor aumen-to en la demanda de servicios basados en la tecnología.

Los eventos también se derivan de las decisiones de la dirección respecto a cómo seproducirán. La aptitud y capacidad de una entidad para reflejar las decisiones previas


IDENTIFICACIÓN DE EVENTOS

57

influye en los acontecimientos futuros y afecta a las decisiones de la dirección. Losfactores internos, junto con ejemplos de eventos relacionados y sus implicaciones,incluyen los siguientes:

• InfraestructuraEventos como el incremento de asignación de capital para mantenimiento preven-tivo y el apoyo a los centros de atención a clientes reducen el tiempo de inactividaddel equipo y se mejora la satisfacción del cliente.

• PersonalEventos como los accidentes laborales, las actividades fraudulentas y el venci-miento de convenios colectivos, causan pérdidas de personal disponible o moneta-rias, daños de imagen y paros en la producción.

• ProcesosEventos como la modificación de procesos sin adecuados protocolos para la ges-tión de los cambios, los errores en su ejecución y la externalización de entregas alcliente con un control insuficiente, provocan pérdidas de cuota de mercado, inefi-ciencias e insatisfacción y pérdidas de clientes.

• TecnologíaEventos como el aumento de recursos para gestionar la volatilidad de volumen, losfallos de seguridad y la potencial caída de los sistemas dan lugar a atrasos en laproducción, transacciones fraudulentas e incapacidad para continuar las operacio-nes del negocio.

La identificación de factores internos y externos que impactan en los eventos es útil,a su vez, para identificar a estos últimos. Una vez que se han identificado los princi-pales factores contribuyentes, la dirección puede considerar su relevancia y centrar-se en los eventos que puedan afectar al logro de objetivos.

Un fabricante e importador de calzado, por ejemplo, estableció una visión de ser líderdel sector del calzado masculino de alta calidad. Para conseguirla, procedió a fabricarproductos que combinaban estilo, confort y durabilidad, usando técnicas avanzadas yproveedores muy selectos. La empresa revisó su entorno operativo externo e identifi-có factores sociales y eventos, tales como la edad cambiante de sus consumidorespotenciales o las tendencias cambiantes del vestir para el trabajo. Eventos relaciona-dos con factores económicos eran las fluctuaciones en los tipos de cambio e interés.Los factores internos tecnológicos indicaban un sistema desfasado de gestión de ladistribución y los factores de personal, una inadecuada formación en marketing.

Además de identificar los eventos al nivel de entidad, también deben identificarse alnivel de actividad, lo que ayuda a centrar la evaluación de riesgos (el tema del capí-tulo siguiente) sobre las principales unidades de negocio o funciones, tales comoventas, producción, marketing, avances tecnológicos e investigación y desarrollo.

Técnicas de Identificación de Eventos

La metodología de identificación de eventos de una entidad puede comprender unacombinación de técnicas, junto con herramientas de apoyo. Por ejemplo, la direcciónpuede usar talleres interactivos de trabajo como parte de dicha metodología, con unmonitor que emplee alguna herramienta tecnológica para ayudar a los participantes.



58

Las técnicas de identificación de eventos se aplican tanto al pasado como al futuro.Aquellas centradas en eventos y tendencias pasadas consideran temas tales comohistoriales de impagos, cambios en los precios de los bienes y accidentes que pro-vocan pérdidas de tiempo. Las técnicas que se centran en los riesgos futuros consi-deran temas tales como cambios demográficos, nuevas condiciones de mercado yacciones de los competidores.

Las técnicas varían ampliamente en su nivel de sofisticación. Aunque muchas de lasmás sofisticadas corresponden a sectores específicos, la mayoría se derivan de unenfoque común. Por ejemplo, tanto los servicios financieros como los del sector dela seguridad e higiene utilizan técnicas de rastreo e identificación de eventos quegeneren pérdidas. Estas técnicas empiezan con un enfoque sobre los eventos histó-ricos comunes –los enfoques más básicos estudian acontecimientos derivados depercepciones del personal, mientras que las técnicas más avanzadas se basan enfuentes reales de eventos observables– y luego, se introducen los datos en modelosde previsión más sofisticados. Las empresas más avanzadas en la gestión de riesgoscorporativos normalmente aplican una combinación de técnicas que contemplan a lavez eventos pasados y futuros potenciales.

Las técnicas también varían según dónde se estén aplicando dentro de una entidad.Algunas se centran en el análisis detallado de datos y crean una perspectiva ascen-dente de eventos, mientras que otras lo enfocan al contrario. La figura 4.1 proporcio-na ejemplos de las técnicas de identificación de eventos.

• Inventarios de eventosSon relaciones detalladas de acontecimientos potenciales comunes a empresas de un sector deter-minado o a un proceso o actividad específica que se da en diversos sectores. Las aplicaciones desoftware pueden generar relaciones relevantes de eventos genéricos potenciales, que algunas enti-dades usan como punto de partida para la identificación de eventos. Por ejemplo, una empresa queesté acometiendo un proyecto de desarrollo de software elaborará un inventario que describa even-tos genéricos relativos a este tipo de proyecto.

• Análisis internoPuede llevarse a cabo como parte de un proceso rutinario del ciclo de planificación empresarial,normalmente mediante reuniones del personal de la unidad de negocio. El análisis interno utiliza aveces la información procedente de grupos de interés de dicha unidad (clientes, proveedores y otrasunidades de negocio) o de expertos en el tema ajenos a ella (expertos funcionales internos o exter-nos o la auditoría interna). Por ejemplo, una empresa que esté considerando introducir un nuevoproducto, usa su propia experiencia histórica, junto con investigación externa de mercado que iden-tifique eventos que hayan afectado al éxito de productos de los competidores.

• Dispositivos de escala o umbralEstos dispositivos alertan a la dirección respecto a áreas con problemas comparando transaccio-nes o eventos actuales con criterios predefinidos. Una vez que suena la alarma, es posible que unevento exija una evaluación ulterior o una respuesta inmediata. Por ejemplo, la dirección de unaempresa hace un seguimiento del volumen de ventas en mercados seleccionados con vista a nue-vos programas de marketing o publicidad y reorienta los recursos según los resultados. La direc-ción de otra empresa sigue las estructuras de precios de los competidores y contempla cambios ensus propios precios cuando se franquea un determinado umbral.

• Talleres de trabajo y entrevistas Estas técnicas identifican los eventos aprovechando el conocimiento y la experiencia acumulada dela dirección, el personal y los grupos de interés, a través de discusiones estructuradas. Un monitorlidera y facilita la discusión sobre los eventos que pueden afectar a la consecución de objetivos de



59

Figura 4.1

La profundidad, amplitud, calendario y disciplina en la identificación de eventos varí-an según entidades. La dirección selecciona técnicas que encajan con su filosofía degestión de riesgos y asegura que la entidad desarrolla las capacidades necesarias deidentificación de eventos y que están operativas las herramientas de apoyo. Por enci-ma de todo, la identificación de eventos necesita ser potente y fiable, ya que formala base de los componentes de la evaluación de riesgos y de la respuesta a ellos.

Interdependencias

Frecuentemente, los eventos no ocurren de forma aislada. Un acontecimiento puedehacer que se desencadene otro, por lo que pueden ocurrir de forma concurrente. Enla identificación de eventos, la dirección debería entender cómo éstos se relacionanentre sí. Evaluando estas relaciones, se puede determinar dónde mejor deberían apli-carse los esfuerzos en la gestión de riesgos. Por ejemplo, un cambio en el tipo deinterés de un banco central afecta a los tipos de cambio de moneda extranjera, rele-vantes para las ganancias y pérdidas en las transacciones de una entidad. Una deci-sión para reducir la inversión en capital pospone una actualización de los sistemas degestión de distribución, provocando más tiempo de inactividad y un aumento de cos-

la entidad o alguna de sus unidades. Por ejemplo, un controller financiero dirige un taller de traba-jo con miembros del equipo contable, para identificar eventos que puedan afectar a los objetivos deinformación financiera externa. Al combinar los conocimientos y la experiencia de los miembros delequipo, se identifican eventos importantes que de otro modo podrían haberse olvidado.

• Análisis del flujo del procesoEsta técnica considera la combinación de inputs, tareas, responsabilidades y outputs de un proce-so. Al considerar los factores internos y externos que afectan en cierto proceso a los inputs de lasactividades o a estas mismas, una entidad identifica los eventos que podrían afectar a la consecu-ción de los objetivos. Por ejemplo, un laboratorio médico elabora mapas de los procesos de recep-ción y análisis de muestras de sangre. Utilizándolos, se considera la gama de factores que podríanafectar a los elementos del proceso citados anteriormente, identificando así riesgos relativos al eti-quetado de muestras, transferencias en el proceso y cambios de turno del personal.

• Indicadores de eventos importantes Supervisando datos correlacionados con los eventos, las entidades identifican la existencia de con-diciones que podrían dar lugar a un acontecimiento. Por ejemplo, las instituciones financieras reco-nocen desde hace mucho tiempo la correlación entre la demora en el pago de préstamos y su even-tual impago futuro, así como el efecto positivo de una intervención anticipada. Por ello, el controlde las pautas de pago permite mitigar el impago mediante acciones oportunas anticipadas.

• Metodologías para datos de eventos con pérdidasLos archivos de datos sobre eventos individuales con pérdidas en el pasado son una fuente útil deinformación para identificar las tendencias y causas principales. Una vez que se identifica una deéstas, la dirección puede averiguar qué es más efectivo, si evaluarla y tratarla o afrontar los even-tos individuales. Por ejemplo, una empresa que explota una gran flota de coches mantiene una basede datos de las reclamaciones por accidentes y, mediante su análisis, averigua que un porcentajedesproporcionado de ellos, tanto en número como en importe, se vincula a conductores del equipoen ciertas unidades, localizaciones geográficas y franjas de edad. Este análisis capacita a la direc-ción para identificar las causas principales de los eventos y tomar acciones.



60

tes operativos. Una decisión para ampliar la formación en marketing puede mejorarlas capacidades de venta y la calidad de servicio, lo que dará lugar a un aumento dela frecuencia y volumen de los pedidos recurrentes de clientes. Una decisión paraentrar en una nueva línea de negocio, con incentivos importantes vinculados al ren-dimiento, puede incrementar los riesgos de error en la aplicación de principios con-tables y de que se genere una información fraudulenta.

Categorías de Eventos

Puede ser útil agrupar los eventos potenciales en categorías. Al agregarlos horizon-talmente en toda la entidad y verticalmente dentro de las unidades operativas, ladirección desarrolla un entendimiento de las relaciones entre eventos, obteniendouna mejor información como base para la evaluación los riesgos. Mediante esta agre-gación de eventos similares, la dirección puede determinar mejor las oportunidadesy riesgos.

La clasificación de eventos por categorías también permite a la dirección considerarla totalidad de los esfuerzos aplicados a su identificación. Por ejemplo, una empresapuede haber clasificado los eventos relacionados con los cobros de deudores en unaúnica categoría denominada impago de deudores. Si la dirección estudia los eventosrelacionados con esta categoría, puede evaluar si se han identificado todos los posi-bles eventos significativos relacionados con dicho impago.

Algunas empresas desarrollan categorías de eventos basadas en la clasificación desus objetivos por categorías, usando una jerarquía que empieza con los objetivos dealto nivel y luego, en cascada hasta los objetivos relevantes para las unidades orga-nizativas, funciones o procesos de negocio.

La figura 4.2 ilustra un enfoque usado para establecer las categorías de eventos den-tro de un contexto de amplios factores internos y externos.



61

Figura 4.2

Distinción entre Riesgos y Oportunidades

Los eventos, si ocurren, tienen un impacto negativo, positivo o de ambos tipos a lavez. Los de signo negativo representan riesgos, que requieren la evaluación y res-puesta de la dirección. Por tanto, un riesgo es la posibilidad de que ocurra un even-to que afecte de modo adverso a la consecución de objetivos.

Los eventos de signo positivo representan oportunidades, que compensan los impac-tos negativos de los riesgos. Una oportunidad es la posibilidad de que ocurra un

Categorías de eventos

Factores externos Factores internos

Económicos• Disponibilidad del capital• Emisión de deuda, impago• Concentración• Liquidez• Mercados financieros• Desempleo• Competecia• Fusiones/Adquisiciones

Infraestructura• Disponibilidad de activos• Capacidad de los activos• Acceso al capital• Complejidad

Medioambientales• Emisiones y residuos• Energía• Catástrofes naturales• Desarrollo sostenible

Personal• Capacidad del personal• Actividad fraudulenta• Seguridad e higiene

Políticos• Cambios de gobierno• Legislación• Políticas públicas• Regulación

Procesos• Capacidad• Diseño• Ejecución• Proveedores/Subordinados

Sociales• Demografía• Comportamiento del consumidor• Responsabilidad social corporativa• Privacidad• Terrorismo

Tecnológicos• Interrupciones• Comercio electrónico• Datos externos• Tecnología emergente

Tecnología• Integridad de datos• Disponibilidad de datos y sistemas• Selección de sistemas• Desarrollo• Despliegue• Mantenimiento



62

evento que afecte positivamente a la consecución de objetivos y la creación de valor.Los eventos que implican oportunidades son canalizados hacia los procesos de ladirección en que se establecen la estrategia y objetivos de la entidad, de forma quepuedan formularse acciones para aprovechar las oportunidades. Los eventos quecompensen el impacto negativo de los riesgos deben tenerse en cuenta por parte dela dirección al evaluar los riesgos y darles respuesta.


63

5. Evaluación de riesgos

Resumen del capítulo: La evaluación de riesgos permite a una entidad con-siderar la amplitud con que los eventos potenciales impactan en la consecu-ción de objetivos. La dirección evalúa estos acontecimientos desde una dobleperspectiva – probabilidad e impacto- y normalmente usa una combinaciónde métodos cualitativos y cuantitativos. Los impactos positivos y negativos delos eventos potenciales deben examinarse, individualmente o por categoría,en toda la entidad. Los riesgos se evalúan con un doble enfoque: riesgo inhe-rente y riesgo residual.

Contexto de la Evaluación de Riesgos

Los factores externos e internos determinan qué eventos pueden ocurrir y hasta quépunto afectarán a los objetivos de una entidad. Aunque algunos factores son comu-nes a empresas de un mismo sector, los eventos resultantes son a menudo únicos



64

para una entidad determinada, debido a sus objetivos establecidos y sus decisionesanteriores. En la gestión de riesgos, la dirección tiene en cuenta la mezcla de poten-ciales eventos futuros relevantes para la entidad y sus actividades, dentro del con-texto de los aspectos que conforman el perfil de riesgo de la entidad, como son sudimensión, la complejidad de sus operaciones y el grado de regulación de sus activi-dades.

Al evaluar los riesgos, la dirección considera los eventos esperados e inesperados.Muchos de éstos son rutinarios y recurrentes y ya se contemplan en los programasde gestión y presupuestos operativos, pero otros son inesperados. La dirección eva-lúa el riesgo de los eventos potenciales inesperados y, si todavía no lo ha hecho, loseventos esperados que puedan tener un impacto significativo en la entidad.

Aunque el término “evaluación de riesgos” se aplica a veces en relación con una acti-vidad puntual, en el contexto de la gestión de riesgos corporativos su componentecon esa misma denominación constituye una continua e iterativa interacción deacciones que tienen lugar a través de la entidad.

Riesgo Inherente y Riesgo Residual

La dirección considera a la vez ambos conceptos de riesgo. El riesgo inherente esaquél al que se enfrenta una entidad en ausencia de acciones de la dirección paramodificar su probabilidad o impacto. El riesgo residual es el que permanece despuésde que la dirección desarrolle sus respuestas a los riesgos.

Estimación de Probabilidad e Impacto

La incertidumbre de los eventos potenciales se evalúa desde dos perspectivas – pro-babilidad e impacto. La primera representa la posibilidad de que ocurra un eventodeterminado, mientras que la segunda refleja su efecto. Ambos términos se aplicande forma común, aunque algunas entidades usen otros, tales como frecuencia, seve-ridad, seriedad o consecuencia. A veces, las palabras adquieren connotaciones másespecificas y el concepto “probabilidad” puede indicar tanto la posibilidad de queocurra cierto evento en términos cualitativos como alta, media y baja o derivados deotras escalas de medida o bien en términos cuantitativos como porcentaje, frecuen-cia y ocurrencia o derivados de otras métricas numéricas.

Es una tarea difícil y llena de retos la determinación de cuánta atención hay que pres-tar a la evaluación de la gama de riesgos a los que se enfrenta una entidad. Su direc-ción reconoce que generalmente no merece ulterior consideración un riesgo conpoca probabilidad de ocurrencia y escaso impacto potencial. Por otro lado, exige unaatención considerable un riesgo con alta probabilidad de ocurrencia y significativoimpacto potencial. Las circunstancias entre ambos extremos normalmente requierenjuicios difíciles. Es importante que el análisis sea racional y cuidadoso.

El horizonte temporal usado para evaluar los riesgos debería ser consecuente con elhorizonte temporal de la estrategia y objetivos correspondientes. Como estos dosconceptos apuntan en muchas entidades a horizontes de tiempo entre el corto ymedio plazo, la dirección se centra naturalmente en los riesgos asociados con estos


EVALUACIÓN DE RIESGOS

65

plazos de tiempo. Sin embargo, algunos aspectos de la orientación y objetivos estra-tégicos se extienden hasta el largo plazo. Como resultado, la dirección necesita serconsciente de los marcos temporales más dilatados y no obviar los riesgos quepueda deparar un futuro distante.

Por ejemplo, una empresa que opera en California puede tener en cuenta el riesgo deinterrupción de sus operaciones a causa de un terremoto. Sin un horizonte temporalespecífico para la evaluación de riesgos, la probabilidad de que un terremoto superelos seis grados en la escala de Richter es alta, quizá con una certeza virtual. Por otrolado, la probabilidad de que un terremoto de tal intensidad suceda dentro de dosaños es sustancialmente menor. Al establecer un horizonte de tiempo, la entidadentiende mejor la importancia relativa del riesgo y mejora su capacidad para compa-rar riesgos múltiples.

La dirección usa a menudo medidas del funcionamiento para determinar el grado deconsecución de objetivos y normalmente aplica la misma unidad de medida, u otracongruente con ella, que la utilizada para considerar el impacto potencial de un ries-go sobre la consecución de un objetivo concreto. Una empresa, por ejemplo, quetiene establecido el objetivo de mantener un nivel determinado de servicio al cliente,habrá diseñado un coeficiente u otro tipo de medida para dicho objetivo –tales comoel índice de satisfacción del cliente, el número de reclamaciones o el volumen denegocio recurrente. Cuando se evalúa el impacto de un riesgo que podría afectar alservicio al cliente –tal como la posibilidad de que la web de la empresa pueda estarno disponible durante un periodo de tiempo– se determina mejor el impacto usandolas mismas medidas.

Fuentes de Datos

A menudo, las estimaciones de la probabilidad del riesgo y su impacto se determinanusando datos procedentes de eventos anteriores observables, que proporcionan unabase más objetiva que las estimaciones totalmente subjetivas. Los datos generadosinternamente a partir de la experiencia propia de la entidad pueden reflejar un menorsesgo subjetivo personal y proporcionan mejores resultados que los datos proceden-tes de fuentes externas. Sin embargo, incluso cuando los datos generados interna-mente sean un input primordial, los datos externos pueden resultar útiles como puntode contraste o para mejorar el análisis. Por ejemplo, la dirección de una empresa queevalúa el riesgo de paradas en la producción por fallos de los equipos, primero estu-dia la frecuencia e impacto de fallos anteriores de su propio equipo productivo. Acontinuación complementa dichos datos con datos comparativos del sector, lo quepermite una estimación más exacta de la probabilidad e impacto de los fallos, lo quepermite una programación más eficaz del mantenimiento preventivo. Se debe sercauto cuando se usan eventos pasados para establecer previsiones futuras, ya quelos factores que influyen en los eventos pueden cambiar con el tiempo.

Perspectivas

La dirección formula a menudo juicios subjetivos sobre la incertidumbre y, al haceresto, debe reconocer sus limitaciones inherentes. Los resultados de investigaciones



66

psicológicas indican que las personas que toman decisiones a varios niveles decapacidad, incluyendo los directivos de empresa, tienen demasiada confianza en sucapacidad de estimación y no reconocen el volumen de incertidumbre que realmen-te existe. Los estudios muestran un marcado sesgo de confianza excesiva, que llevaa intervalos de confianza inadecuadamente estrechos respecto a las estimaciones oprobabilidades, tal como se aplican, por ejemplo, en las metodologías del valor enriesgo. Esta inclinación hacia el exceso de confianza al estimar la incertidumbrepuede minimizarse mediante el uso eficaz de datos empíricos generados interna oexternamente. En ausencia de éstos, una aguda conciencia de la penetración de lossesgos puede ayudar a mitigar los efectos de ese exceso de confianza.

Las tendencias humanas respecto a la toma de decisiones se muestran de otraforma, pues no es infrecuente que las personas tomen diferentes opciones en bús-queda de ganancias antes que en evitar pérdidas. Al reconocer estas tendencias, losdirectivos pueden estructurar la información para reforzar el riesgo aceptado y elcomportamiento hacia el riesgo en toda la entidad. La manera de presentar la infor-mación puede afectar de modo significativo a su interpretación y cómo se percibenlos riesgos y oportunidades asociados, tal como se expone en la Figura 5.1

Figura 5.1

Técnicas de Evaluación

La metodología de evaluación de riesgos de una entidad consiste en una combina-ción de técnicas cualitativas y cuantitativas. La dirección aplica a menudo técnicascualitativas cuando los riesgos no se prestan a la cuantificación o cuando no estándisponibles datos suficientes y creíbles para una evaluación cuantitativa o la obten-ción y análisis de ellos no resulte eficaz por su coste. Las técnicas cuantitativas típi-

Los individuos tienen reacciones diferentes ante pérdidas potenciales que frente a ganancias poten-ciales. La manera de enmarcar un riesgo –enfocando hacia lo positivo (una ganancia potencial) o lonegativo (una pérdida potencial)- influirá a menudo en la respuesta. La teoría de la prospección, queexplora la toma de decisiones del ser humano, dice que los individuos no son neutrales ante el riesgoy de hecho, una respuesta a pérdidas tiende a ser más extrema que otra frente a ganancias. Y conesto surge una inclinación hacia la mala interpretación de las probabilidades y las reacciones hacia lamejor solución. A modo ilustrativo, un individuo se enfrenta a dos conjuntos de opciones:

1. Aceptar una ganancia segura de 240 u.m. o bien una posibilidad del 25% de ganar 1.000 u.m. másla restante probabilidad del 75% de no ganar nada.

2. Aceptar una pérdida segura de 750 u.m. o bien una posibilidad del 75% de perder 1.000 u.m. másla restante probabilidad del 25% de no perder nada.

En el primer conjunto de opciones, la mayoría de las personas selecciona una “ganancia segura de240”, debido a la inclinación a evitar riesgos en las ganancias y a las preguntas planteadas de formapositiva. En contraste, la mayoría de las personas selecciona una “posibilidad del 75% de perder1.000”, debido a la inclinación a asumir riesgos en las pérdidas y a las preguntas planteadas de modonegativo. La teoría de la prospectiva mantiene que las personas no quieren arriesgar lo que ya tieneno piensan que pueden tener, pero tendrán mayores tolerancias al riesgo cuando crean que puedenminimizar pérdidas.



67

camente aportan más precisión y se usan en actividades más complejas y sofistica-das, para complementar las técnicas cualitativas.

Las técnicas cuantitativas de evaluación normalmente exigen un mayor grado deesfuerzo y rigor y a veces emplean modelos matemáticos. Estas técnicas dependenmucho de la calidad de los datos e hipótesis de soporte y resultan más relevantespara riesgos con un historial y una frecuencia de variabilidad conocidos, pues permi-ten una proyección fiable. La figura 5.2 proporciona ejemplos de técnicas cuantitati-vas de evaluación de riesgos.

Figura 5.2

Para conseguir un consenso sobre probabilidad e impacto usando técnicas cualitati-vas de evaluación, las entidades pueden aplicar el mismo enfoque que usan en laidentificación de eventos, tales como las entrevistas y grupos de trabajo. Un proce-so de autoevaluación del riesgo capta los puntos de vista de los participantes sobrela probabilidad y el impacto potencial de eventos futuros, usando escalas descripti-vas o numéricas.

Una entidad no necesita aplicar las mismas técnicas de evaluación en todas sus uni-dades de negocio. Antes bien, la selección de técnicas debería reflejar la necesidad deprecisión y la cultura de cada unidad. En una empresa, por ejemplo, al identificar y eva-luar los riesgos al nivel de proceso, una unidad usa cuestionarios de autoevaluación,mientras que otra utiliza grupos de trabajo. Los riesgos se evalúan de modo inherenteo residual y luego, se organizan y agrupan según las categorías de riesgo y objetivosde ambas unidades. Aunque se apliquen métodos distintos, ambos proporcionan sufi-ciente concordancia para facilitar la evaluación de riesgos en toda la entidad.

La dirección puede generar una medida del impacto cuantitativo de un evento entoda la entidad cuando todas las evaluaciones individuales de riesgo referentes almismo se expresen en términos cuantitativos. Por ejemplo, el impacto de un cambio

• BenchmarkingEs un proceso comparativo entre entidades, que enfoca eventos o procesos concretos, comparamedidas y resultados mediante métricas comunes e identifica oportunidades de mejora. Se des-arrollan datos sobre dichos eventos y procesos y mediciones para comparar el funcionamiento.Algunas empresas usan esta técnica para evaluar la probabilidad e impacto de eventos en un sec-tor determinado.

• Modelos probalísticosSobre la base de ciertas hipótesis, los modelos probabilísticos relacionan una gama de eventos consu probabilidad de ocurrencia e impacto resultante. Ambos conceptos se evalúan a partir de datoshistóricos o resultados simulados que reflejen hipótesis de comportamiento futuro. Se usan mode-los probabilísticos para evaluar el valor en riesgo, el flujo de caja en riesgo y los resultados en ries-go y también para desarrollar distribuciones de pérdidas operacionales y crediticias. Los modelosprobabilísticos pueden usarse con diferentes horizontes de tiempo para estimar resultados talescomo la franja de valores de los instrumentos financieros a lo largo del tiempo y también, para eva-luar resultados medios o esperados frente a impactos extremos o inesperados.

• Modelos no probalísticosLos modelos no probabilísticos aplican hipótesis subjetivas para estimar el impacto de eventos sinuna probabilidad asociada cuantificada. La evaluación del impacto de eventos se basa en datos his-tóricos o simulados e hipótesis de comportamiento futuro. Ejemplos de este tipo de modelos son lasmedidas de sensibilidad, las pruebas de carga y los análisis de escenarios.



68

en el precio de la energía sobre el margen bruto se calcula en todas las unidades denegocio y se determina así el impacto global para toda la entidad. Cuando exista unamezcla de medidas cualitativas y cuantitativas, la dirección desarrolla una evaluacióncualitativa a través de ambos tipos de medición, con el resultado de una evaluacióncompuesta expresada en términos cualitativos. La generación de estas evaluacionescompuestas se facilita estableciendo términos comunes de probabilidad e impactopara toda la entidad y categorías comunes de riesgo para las medidas cualitativas.

Relaciones entre Eventos

Cuando los eventos potenciales no están relacionados entre sí, la dirección los eva-lúa individualmente. Por ejemplo, una empresa con unidades de negocio expuestasa diferentes fluctuaciones de precios –tales como el de la pasta de papel o el demonedas extranjeras– evaluaría los riesgos independientemente de los movimientosdel mercado. Pero cuando exista correlación entre los eventos o éstos se combinene interaccionen para crear probabilidades o impactos significativamente diferentes, ladirección los evaluará en conjunto. Aunque el impacto de un solo evento pueda serligero, el impacto de una secuencia o combinación de eventos puede ser más signi-ficativo.

Por ejemplo, una válvula defectuosa de un depósito de propano en un almacén dedistribución origina un escape de gas, mientras se mantienen cerradas las puertas dela instalación para retener el calor de las oficinas adyacentes. Cuando el conductorde un camión que se acerca al almacén activa un dispositivo a control remoto paraabrir las puertas, la presencia conjunta del gas y la chispa del motor de la puerta cau-san una explosión. Eventos distintos interaccionan y dan como resultado un riesgosignificativo. En otro ejemplo, una empresa se introduce en un mercado extranjero,donde cuenta con nuevos directivos contratados localmente, sistemas de informa-ción no probados y poca base para que la dirección central pueda juzgar su corres-pondiente funcionamiento, lo que da como resultado un riesgo significativo de infor-mación errónea o fraudulenta.

Cuando sea probable que los riesgos afecten a múltiples unidades de negocio, ladirección puede agruparlos en categorías comunes de eventos y después, conside-rarlos primero según unidad y luego conjuntamente para toda la entidad. Por ejem-plo, las unidades de una empresa de servicios están sujetas al riesgo de modificacióndel tipo de interés oficial y su dirección evalúa este riesgo no sólo en cada unidad,sino también de una forma combinada global. Una empresa industrial tiene muchasunidades de negocio, cada una expuesta a las fluctuaciones en el precio del oro, porlo que la dirección agrega el riesgo de los cambios potenciales en dicho precio en unaúnica medida que muestra el efecto neto de un cambio de 1 u.m. por onza del metalsobre su inventario total de oro.

La naturaleza de los eventos y el hecho de que estén relacionados o no, puede afec-tar a las técnicas de evaluación utilizadas. Por ejemplo, al evaluar el impacto de even-tos que podrían tener un efecto extremo, la dirección puede usar pruebas de “stresstesting”, mientras que para evaluar el efecto de eventos múltiples, la dirección puedeencontrar más útil el uso de simulaciones o análisis de escenarios.



69

La observación de interrelaciones entre probabilidad e impacto de los riesgos cons-tituye una importante responsabilidad de la dirección. Una gestión eficaz de riesgoscorporativos requiere que su evaluación se realice atendiendo tanto al riesgo inhe-rente como a la repuesta a él, como se expone en el capítulo siguiente.


71

6. Respuesta a los riesgos

Resumen del capítulo: Una vez evaluados los riesgos relevantes, la direccióndetermina cómo responder a ellos. Las respuestas pueden ser las de evitar,reducir, compartir y aceptar el riesgo. Al considerar su respuesta, la direcciónevalúa su efecto sobre la probabilidad e impacto del riesgo, así como los cos-tes y beneficios, y selecciona aquella que sitúe el riesgo residual dentro de lastolerancias al riesgo establecidas. La dirección identifica cualquier oportuni-dad que pueda existir y asume una perspectiva del riesgo globalmente para laentidad o bien una perspectiva de la cartera de riesgos, determinando si elriesgo residual global concuerda con el riesgo aceptado por la entidad.

Las respuestas a los riesgos se incluyen en las siguientes categorías:

• EvitarSupone salir de las actividades que generen riesgos. Evitar el riesgo puede implicarel cese de una línea de producto, frenar la expansión hacia un nuevo mercado geo-gráfico o la venta de una división.

(Gráfico del cubo)



72

• ReducirImplica llevar a cabo acciones para reducir la probabilidad o el impacto del riesgoo ambos conceptos a la vez. Esto implica típicamente a algunas de las muchasdecisiones empresariales cotidianas.

• CompartirLa probabilidad o el impacto del riesgo se reducen trasladando o, de otro modo,compartiendo una parte del riesgo. Las técnicas comunes incluyen la contrataciónde seguros, la realización de operaciones de cobertura o la externalización de unaactividad.

• AceptarNo se emprende ninguna acción que afecte a la probabilidad o el impacto del riesgo.

La figura 6.1 muestra ejemplos de cómo se aplican dichas respuestas a los riesgos.

Figura 6.1

La respuesta de evitar el riesgo sugiere que no se identificó ninguna opción de res-puesta que redujera el impacto y probabilidad hasta un nivel aceptable. Las respues-tas de reducir o compartir reducen el riesgo residual a un nivel en línea con las tole-rancias de riesgo deseadas, mientras que una respuesta de aceptación sugiere queel riesgo inherente ya está dentro de las tolerancias de riesgo.

Para muchos riesgos, las opciones de respuesta adecuadas son evidentes y bienaceptadas. Por ejemplo, para el riesgo de perder la disponibilidad de los sistemasinformáticos, una opción típica de respuesta es la implantación de un plan de conti-nuidad del negocio. Para otros riesgos, las opciones disponibles pueden no ser tanevidentes, lo que exigirá investigación y análisis. Por ejemplo, las opciones de res-puesta relevantes para mitigar el efecto de las actividades de un competidor sobre elvalor de la marca pueden requerir un estudio y análisis del mercado.

• EvitarUna organización sin ánimo de lucro identificó y evaluó los riesgos generados por el suministrodirecto de servicios médicos a sus miembros y decidió no aceptar los riesgos correspondientes,decidiendo facilitar en su lugar un servicio de referencia a terceros.

• ReducirUna empresa dedicada a la compensación de valores bursátiles identificó y evaluó el riesgo de quesus sistemas no estuvieran disponibles durante más de tres horas y concluyó que no podía aceptarel impacto de tal evento. La empresa invirtió en tecnología y mejoró sus sistemas de autodetecciónde fallos y seguridad, reduciendo así la probabilidad de que no estuviesen disponibles.

• CompartirUna universidad identificó y evaluó el riesgo asociado a la gestión de sus residencias de estudian-tes y concluyó que no tenía la capacidad interna suficiente para gestionar eficazmente dichas impor-tantes instalaciones residenciales. La universidad externalizó la gestión de las residencias a unaempresa de gestión inmobiliaria, con la consiguiente reducción del impacto y probabilidad de losriesgos correspondientes.

• AceptarUna agencia gubernamental identificó y evaluó los riesgos de incendio de sus infraestructuras envarias regiones geográficas y también evaluó el coste de compartir su impacto mediante una pólizade seguros. Concluyó que el coste adicional del seguro y las franquicias correspondientes excedíandel coste probable de reposición y decidió aceptar el riesgo.


RESPUESTA A LOS RIESGOS

73

Al determinar la respuesta a los riesgos, la dirección debería tener en cuenta losiguiente:

• Los efectos de las respuestas potenciales sobre la probabilidad y el impacto delriesgo –y qué opciones de respuesta están en línea con las tolerancias al riesgo dela entidad

• Los costes y beneficios de las respuestas potenciales

• Las posibles oportunidades para alcanzar los objetivos de la entidad, lo que va másallá del tratamiento de un riesgo concreto

Para los riesgos significativos, una entidad considera típicamente las respuestasposibles dentro de una gama de opciones de respuesta, lo que proporciona profun-didad a la selección de respuesta y se enfrenta al “status quo”.

Evaluación de Posibles Respuestas

Los riesgos inherentes se analizan y las respuestas a ellos se evalúan con el propó-sito de conseguir un nivel de riesgo residual en línea con las tolerancias al riesgo dela entidad. A menudo, cualquiera de las diversas respuestas posibles situará dichoriesgo residual dentro del marco de esas tolerancias y, a veces, una combinación deellas proporcionará el resultado óptimo. Por otro lado, a veces una respuesta afecta-rá a múltiples riesgos, en cuyo caso la dirección puede decidir que no se precisanacciones adicionales para tratar un riesgo determinado.

Evaluación del Efecto sobre la Probabilidad y el Impacto del Riesgo

Al evaluar las opciones de respuesta, la dirección considera el efecto sobre la proba-bilidad del riesgo y su impacto, reconociendo que una respuesta puede afectarlas demodo diferente. Por ejemplo, una empresa con un centro informático ubicado en unaregión con fuerte actividad tormentosa establece un plan de continuidad de negocioque, aunque no tiene efecto alguno sobre la probabilidad de que se produzca una tor-menta, mitiga el impacto de los daños en el edificio o de la dificultad para que el per-sonal acceda a su trabajo. Por otro lado, la opción de trasladar el centro informáticoa otra región no reducirá el impacto de posibles tormentas que puedan producirse,pero sí reduce la probabilidad de que tengan lugar en este nuevo centro.

Al analizar las respuestas, la dirección puede tener en cuenta los eventos y tenden-cias pasadas y los posibles escenarios futuros. Al evaluar las respuestas alternativas,la dirección típicamente determina su efecto potencial usando las mismas unidadesde medición, u otras congruentes, que las usadas para el objetivo correspondiente.

Evaluación de Costes y Beneficios

Los recursos siempre presentan restricciones y las entidades pueden considerar loscostes y beneficios derivados de opciones alternativas de respuesta a este tipo deriesgo. Las medidas de coste/beneficio para la puesta en práctica de respuestas serealizan con varios niveles de precisión. Generalmente, es más fácil tratar los costes,



74

pues en muchos casos pueden cuantificarse con bastante detalle. Normalmente, setienen en cuenta todos los costes directos relacionados con la implantación de unarespuesta y los costes indirectos que se puedan medir de un modo práctico. Algunasentidades también incluyen los costes de oportunidad relativos al uso de recursos.

En algunos casos, sin embargo, es difícil cuantificar los costes de la respuesta al ries-go. Surgen retos respecto a la cuantificación al estimar el tiempo y el esfuerzo aso-ciados a una determinada respuesta, como puede ser el caso, por ejemplo, de reca-bar información de mercado sobre las preferencias en evolución de los clientes, lasactividades de los competidores u otra información generada externamente.

El lado de los beneficios implica a menudo valoraciones mucho más subjetivas. Porejemplo, las ventajas de los programas de formación son normalmente evidentes,pero son difíciles de cuantificar. En muchos casos, sin embargo, el beneficio de unarespuesta al riesgo puede evaluarse dentro del contexto de beneficios ligados a laconsecución del objetivo correspondiente.

Al considerar las relaciones coste-beneficio, la atención a los riesgos como si estu-vieran interrelacionados permite a la dirección agrupar las respuestas para reducir ycompartir el riesgo de la entidad. Por ejemplo, cuando se comparte un riesgomediante un seguro, puede ser beneficioso combinar los riesgos en una sola pólizaya que el precio normalmente se reduce cuando se aseguran conjuntamente diversasexposiciones a riesgos bajo un mismo acuerdo de cobertura.

Oportunidades en las Opciones de Respuesta

El capítulo sobre identificación de eventos describe cómo la dirección identificaaquellos potenciales que afectan a la consecución de objetivos de la entidad, bienpositiva o negativamente. Los eventos con impacto positivo representan las oportu-nidades y se revierten hacia los procesos de fijación de objetivos o estrategias.

De forma similar, las oportunidades pueden identificarse al contemplar las respuestas alos riesgos. Las consideraciones sobre estas respuestas a los riesgos no deberían limi-tarse exclusivamente a la reducción de los riesgos identificados, sino que tambiéndeberían incluir la consideración de nuevas oportunidades para la entidad. La direcciónpuede identificar las respuestas innovadoras, que, aunque pertenezcan a las categorí-as de respuestas descritas anteriormente en este capítulo, pueden ser totalmentenuevas para la entidad e, incluso, para el sector. Dichas oportunidades pueden surgircuando existen opciones de respuesta a los riesgos que están alcanzando los límitesde eficacia y cuando ulteriores actualizaciones probablemente sólo faciliten cambiosmarginales en el impacto y probabilidad del riesgo. Un ejemplo es la respuesta creati-va de una empresa de seguros automovilísticos que, ante el alto número de siniestrosen ciertos cruces de carreteras, decidió financiar mejoras en la señalización con semá-foros, reduciendo así las reclamaciones por accidentes y mejorando los márgenes.

Respuestas Seleccionadas

Una vez evaluados los efectos de las respuestas alternativas a los riesgos, la direc-ción decide cómo pretende gestionar los riesgos, seleccionando una respuesta o una


RESPUESTA A LOS RIESGOS

75

combinación de ellas diseñada para situar la probabilidad e impacto del riesgo den-tro de las tolerancias establecidas. Sin embargo, cuando una respuesta a los riesgospudiera desembocar en que el riesgo residual superará la tolerancia establecida, ladirección tiene que volver sobre sus pasos y revisar su respuesta o, bajo ciertas cir-cunstancias, reconsiderar la tolerancia al riesgo establecida. Por tanto, el equilibrioentre riesgo y tolerancia al riesgo puede implicar un proceso iterativo.

Evaluar las respuestas alternativas a los riesgos inherentes requiere tener en cuentalos riesgos adicionales que pueden derivarse de cada respuesta, lo que puede iniciarun proceso iterativo en que la dirección, antes de tomar su decisión, considere dichosriesgos adicionales, incluyendo aquellos que pudieran no ser evidentes de modoinmediato.

Una vez que la dirección selecciona una respuesta, es posible que necesite desarro-llar un plan de implantación para ejecutarla. Una parte crítica de dicho plan es el esta-blecimiento de acciones de control (presentadas en el capítulo siguiente) para ase-gurar que se lleva a cabo la respuesta a los riesgos.

La dirección reconoce que siempre existirá algún nivel de riesgo residual, no sólo porlas limitaciones de los recursos, sino también por la incertidumbre del futuro y demáslimitaciones inherentes a todas las actividades.

Perspectiva de Carteras de Riesgos

La gestión de riesgos corporativos requiere que el riesgo se considere desde unaperspectiva: de toda la entidad o desde otra perspectiva de carteras de riesgos.Normalmente, la dirección elige un enfoque en que primero se contemplan los ries-gos de cada unidad de negocio, departamento o función y luego su director respon-sable desarrolla una evaluación compuesta de ellos, que refleja su perfil de riesgoresidual respecto a sus objetivos y tolerancias al riesgo.

Con una perspectiva del riesgo para cada unidad individual, la alta dirección de unaempresa está bien situada para tener una perspectiva de carteras y determinar si elperfil de riesgo residual de la entidad está a la par del riesgo aceptado global res-pecto a sus objetivos. Los riesgos de las diferentes unidades pueden estar dentro desus respectivas tolerancias individuales, pero en conjunto pueden superar al riesgoaceptado globalmente por la entidad, en cuyo caso hacen falta respuestas adiciona-les o diferentes para emplazar el riesgo dentro del nivel de riesgo aceptado. A lainversa, los riesgos pueden compensarse naturalmente a través de la entidad cuan-do, por ejemplo, algunas unidades individuales tienen un mayor riesgo y otras sonrelativamente adversas a él, de tal modo que el riesgo global está dentro del riesgoaceptado por la entidad, evitando la necesidad de una respuesta diferente a los ries-gos.

Una perspectiva de carteras de riesgos puede ser representada de muchas maneras.Puede alcanzarse centrándose en los principales riesgos o categorías de riesgo delas unidades de negocio o de la empresa en su totalidad, usando métricas como elcapital ajustado al riesgo o el capital en riesgo. Dichas medidas compuestas son par-ticularmente útiles para medir el riesgo frente a objetivos establecidos en términos deresultados, crecimiento u otras medidas de funcionamiento, a veces relacionadas conel capital asignado o disponible. Estas medidas de la perspectiva de carteras pueden



76

facilitar información útil para la reasignación del capital entre unidades y la modifica-ción de la orientación estratégica.

Un ejemplo es una empresa industrial que aplica una perspectiva de carteras de ries-gos en el contexto de su objetivo de resultados operativos. La dirección aplica lascategorías comunes de eventos para captar riesgos en todas las unidades de nego-cio. A continuación, elabora un gráfico que muestra, por categoría y unidad de nego-cio, la probabilidad de riesgo en términos de frecuencia en un horizonte temporal ylos impactos relativos sobre resultados. El resultado es una perspectiva compuesta,o de carteras, del riesgo al que se enfrenta la empresa, con la dirección y el consejode administración en situación de considerar la naturaleza, probabilidad y dimensiónrelativa de los riesgos y cómo pueden afectar a los resultados.

Otro ejemplo es una entidad financiera que requiera de sus unidades de negocio queestablezcan objetivos, tolerancias al riesgo y medidas de rendimiento, todo en térmi-nos de rendimiento del capital ajustado al riesgo. Esta métrica, consistentementeaplicada, ayuda a la dirección a englobar las evaluaciones combinadas de riesgo delas unidades en una perspectiva de carteras de riesgos para la entidad en su conjun-to y le permite considerar los riesgos de las unidades por objetivo y determinar si laentidad está dentro de su riesgo aceptado.

Cuando se mira el riesgo desde una perspectiva de carteras, la dirección está enposición de considerar si permanece dentro del riesgo aceptado establecido.Además, puede volver a evaluar la naturaleza y tipo del riesgo que desea asumir. Encasos donde la perspectiva de carteras contemple significativamente menores ries-gos que el riesgo aceptado por la entidad, la dirección puede decidir motivar a losdirectores de unidades individuales de negocio para que acepten un mayor riesgo enáreas seleccionadas, esforzándose en mejorar el crecimiento y rendimiento global dela entidad.


77

7. Actividades de control

Resumen del capítulo: Las actividades de control son las políticas y proce-dimientos que ayudan a asegurar que se llevan a cabo las respuestas de ladirección a los riesgos. Las actividades de control tienen lugar a través de laorganización, a todos los niveles y en todas las funciones. Incluyen una gamade actividades –tan diversas como aprobaciones, autorizaciones, verificacio-nes, conciliaciones, revisiones del funcionamiento operativo, seguridad de losactivos y segregación de funciones.

Las actividades de control son las políticas y procedimientos. Estos últimos son lasacciones de las personas para implantar las políticas, directamente o a través de laaplicación de tecnología, y ayudar a asegurar que se llevan a cabo las respuestas dela dirección a los riesgos. Las actividades de control pueden ser clasificadas por lanaturaleza de los objetivos de la entidad con la que están relacionadas: estrategia,operaciones, información y cumplimiento.

(Gráfico del cubo)



78

Aunque algunas actividades de control corresponden exclusivamente a una solacategoría, a menudo se solapan. Según circunstancias, una determinada actividad decontrol podría ayudar a alcanzar los objetivos de la entidad en más de una categoría.Por ejemplo, ciertos controles sobre operaciones también pueden ayudar a aseguraruna información fiable y las actividades de control sobre la información también pue-den servir para llevar a cabo el cumplimiento.

Integración con la respuesta al riesgo

Después de haber seleccionado las respuestas al riesgo, la dirección identifica lasactividades de control necesarias para ayudar a asegurar que las respuestas a losriesgos se lleven a cabo adecuada y oportunamente.

El siguiente ejemplo sirve para ilustrar el vínculo entre objetivos, respuestas a los ries-gos y actividades de control. Una empresa fija un objetivo de alcanzar o superar lasventas presupuestadas, identificando como riesgo la falta de conocimientos suficien-tes sobre factores externos tales como las necesidades actuales y potenciales de losclientes. Para reducir la probabilidad de ocurrencia y el impacto del riesgo, la direc-ción establece historiales de compra de los clientes actuales y realiza unas nuevasiniciativas de investigación de mercado. Estas respuestas al riesgo sirven como pun-tos básicos para establecer las actividades de control, incluyendo el seguimiento deldesarrollo de dichos historiales en comparación con los calendarios establecidos y laadopción de medidas para asegurar la exactitud de los datos informados. En estesentido, las actividades de control están integradas directamente en el proceso degestión.

Al seleccionar las actividades de control, la dirección considera cómo se relacionanentre sí. En algunos ejemplos, una sola de ellas afecta a riesgos múltiples. En otros,son necesarias muchas actividades de control para una respuesta al riesgo. Incluso,en otros, la dirección puede descubrir que las actividades de control existentes sonsuficientes para asegurar que las nuevas respuestas a los riesgos se ejecutan eficaz-mente.

Aunque las actividades de control se establecen generalmente para asegurar que lasrespuestas a los riesgos se lleven a cabo de modo adecuado, con respecto a ciertosobjetivos, también constituyen por sí mismas una respuesta al riesgo. Por ejemplo,para un objetivo que establece que unas transacciones específicas deben estar debi-damente autorizadas, la respuesta será probablemente unas actividades de controltales como la segregación de funciones o la aprobación por personal supervisor.

De igual manera que la selección de respuestas a los riesgos considera su adecua-ción y el riesgo residual que resulta de ellas, la selección o revisión de las actividadesde control debería incluir la consideración de su relevancia y adecuación a la res-puesta al riesgo y los objetivos relacionados. Esto puede llevarse a cabo consideran-do por separado la adecuación de dichas actividades o bien contemplando el riesgoresidual dentro del contexto formado por las respuestas al riesgo y las correspon-dientes actividades de control.

Estas últimas son una parte importante del proceso con el que una empresa seesfuerza en alcanzar sus objetivos de negocio. No se realizan simplemente porque sío porque parezcan la cosa correcta o adecuada a hacer. En el ejemplo anterior, la


ACTIVIDADES DE CONTROL

79

dirección necesita tomar medidas para asegurar que se consiguen los objetivos deventa. Las actividades de control sirven como mecanismos para gestionar la conse-cución de tal objetivo.

Tipos de actividades de control

Se han propuesto muchas descripciones diferentes de los tipos de actividades decontrol, incluyendo los controles de prevención, detección, manuales, informáticos yde dirección. Las actividades de control también pueden tipificarse según objetivosconcretos de control, tales como los de asegurar la integridad y exactitud del proce-samiento de datos.

La figura 7.1 describe las actividades de control utilizadas normalmente. Son solounos cuantos de entre muchos procedimientos normalmente aplicados por el perso-nal en distintos niveles de la organización que sirven para potenciar la adhesión a losplanes de acción establecidos y mantener el rumbo de las entidades hacia el logro desus objetivos. Se presentan a continuación para ilustrar la amplitud y variedad de lasactividades de control y no para sugerir una determinada clasificación.

• Revisiones a alto nivelLa alta dirección revisa el funcionamiento real en contraste con presupuestos, previsiones y datosde periodos previos y de competidores. Se hace un seguimiento de las iniciativas importantes –talescomo las campañas de marketing, la mejora de los procesos de producción y los programas de con-tención o reducción del coste- para medir hasta qué punto se consiguen los objetivos. También sesupervisa la implantación de planes financieros, de desarrollo de nuevos productos y de joint ven-tures.

• Gestión directa de funciones o actividadesLos directivos que gestionan las funciones o actividades revisan los informes de rendimiento. Undirectivo responsable de los créditos al consumo de un banco revisa los informes por sucursal,región y tipo de préstamo (garantías), verificando los resúmenes, identificando tendencias y compa-rando los resultados con estadísticas y objetivos económicos. A su vez, los directores de oficinareciben datos de las nuevas operaciones, clasificadas por responsable del préstamo y por segmen-to de cliente local. Estos directores también se centran en temas de cumplimiento, revisando losinformes que requieren los reguladores sobre nuevos depósitos que superen unos importes especí-ficos. Se realizan conciliaciones de los flujos de caja diarios, reportando las posiciones netas a lacentral para su posterior transferencia e inversión durante la noche.

• Procesamiento de la informaciónSe lleva a cabo una variedad de controles para verificar la exactitud, integridad y autorización de lastransacciones. Los datos introducidos están sometidos a comprobaciones en línea y conciliacionescon ficheros de control aprobados. Se aceptará un pedido de un cliente, por ejemplo, sólo tras con-trastarse con un fichero de clientes y verificarse el límite de crédito autorizado. Las secuenciasnuméricas de las transacciones son registradas y se hace un seguimiento de las excepciones, quese comunican a niveles superiores. Se controlan el desarrollo de nuevos sistemas y las modificacio-nes en los existentes, como es el caso del acceso a datos, ficheros y programas.

• Controles físicosLos equipos, existencias, valores, efectivo y demás activos están físicamente asegurados, se some-ten periódicamente a recuentos y se contrastan con los importes de los registros de control.

• Indicadores de rendimientoEl contraste entre sí de diferentes conjuntos de datos –operativos o financieros–, junto con el análi-sis de relaciones y las acciones de investigación y corrección, constituye una actividad de control.Los indicadores de rendimiento incluyen, por ejemplo, la rotación de plantilla por unidad. Al investi-gar resultados inesperados o tendencias inusuales, la dirección identifica las circunstancias en que



80

Figura 7.1

A menudo, se pone en marcha una combinación de controles para tratar las corres-pondientes respuestas al riesgo. Por ejemplo, la dirección de una empresa fija loslímites de transacción para gestionar los riesgos relativos a una cartera de inversióny establece actividades de control diseñadas para ayudar a asegurar que no se supe-ran los límites de contratación. Las actividades de control incluyen controles preven-tivos, para frenar ciertas transacciones antes de su ejecución, y controles de detec-ción, para identificar otras oportunamente. Las actividades de control combinan con-troles informáticos y manuales, incluyendo aquellos automatizados que aseguran lacaptación correcta de la información, y procedimientos de autorización y aprobaciónde las decisiones de inversión por parte de las personas responsables.

Políticas y procedimientos

Las actividades de control normalmente implican dos componentes: una política queestablece lo que debe hacerse y procedimientos para llevarla a cabo. Por ejemplo,una política podría exigir la revisión de las actividades de contratación de clientes porparte de un director de oficina de una entidad de gestión bursátil. El procedimiento loconstituye dicha revisión en sí misma, realizada de manera oportuna y con atencióna los factores establecidos en la política, tales como la naturaleza y volumen de losvalores contratados y su relación con el patrimonio y edad del cliente.

Muchas veces, las políticas se comunican verbalmente. Las políticas no escritas pue-den ser eficaces cuando la política lleve años en vigor y constituya una práctica biencomprendida y en organizaciones reducidas donde los canales de comunicaciónimpliquen pocos niveles directivos y una interacción estrecha, junto con la supervi-sión del personal. Pero independientemente de si está escrita o no, una política debe-ría implantarse de forma meditada, consciente y consecuente. Un procedimiento noserá útil si se lleva a cabo mecánicamente y sin un enfoque claro y continuo sobre lascondiciones a las que se orienta la política. Posteriormente, es esencial investigar lascondiciones identificadas como resultado del procedimiento y adoptar las accionescorrectivas necesarias. Las acciones de seguimiento podrían variar según la dimen-sión y estructura organizativa de una empresa. Pueden abarcar desde procesos for-males de información de una empresa grande –donde las unidades de negocio expli-can por qué no se alcanzan los objetivos y qué acciones se están adoptando para

una capacidad insuficiente para completar los procesos claves puede significar que los objetivostengan una menor probabilidad de alcanzarse. El uso de esta información por los directivos –sólopara decisiones operativas o también para seguir los resultados inesperados en los sistemas deinformación– determina si el análisis de los indicadores de rendimiento sólo tienen efectos operati-vos o también de control sobre la información.

• Segregación de funcionesLas funciones se dividen o segregan entre diferentes personas para reducir el riesgo de error o frau-de. Por ejemplo, están segregadas las responsabilidades para autorizar transacciones, registrarlas ymanejar el activo correspondiente. Un director que autoriza las ventas a crédito no puede ser res-ponsable del mantenimiento de las cuentas a cobrar o la custodia de los cobros. Asimismo, el per-sonal comercial no tendrá capacidad para modificar los ficheros de precio de productos o los por-centajes de comisión.



81

evitar la repetición de ello– hasta el caso de un director-propietario de una empresapequeña que se desplaza personalmente para hablar con el responsable de plantasobre lo que ha fallado y qué es necesario hacer.

Controles sobre los sistemas de información

Con una dependencia importante de los sistemas de información para operar unaempresa y alcanzar los objetivos de información y cumplimiento, hacen falta contro-les sobre dichos sistemas. Pueden usarse dos amplios grupos de actividades de con-trol de los sistemas de información. El primero lo forman los controles generales, quese aplican a muchos de esos sistemas, si no a todos, y ayudan a asegurar que siguenfuncionando continua y adecuadamente. El segundo son los controles de aplicación,que incluyen fases informatizadas dentro del software para controlar el proceso.Ambos tipos de controles, combinados con controles manuales de proceso cuandosea necesario, operan juntos para asegurar la integridad, exactitud y validez de lainformación.

Controles Generales

Los controles generales incluyen controles sobre la gestión de la tecnología de infor-mación, su infraestructura, la gestión de seguridad y la adquisición, desarrollo y man-tenimiento del software. Se aplican a todos los sistemas –desde entornos de main-frames o cliente/servidor hasta ordenadores de sobremesa o portátiles. La Figura 7.2propone ejemplos de controles comunes dentro de estas categorías.

• Gestión de la tecnología de informaciónUn comité de trabajo proporciona supervisión, seguimiento e información de las actividades de tec-nología informática y las iniciativas para su mejora.

• Infraestructuras de la tecnología de informaciónLos controles se aplican a la definición, adquisición, instalación, configuración, integración y mante-nimiento de los sistemas. Pueden incluir acuerdos de servicio que establezcan y potencien su fun-cionamiento, los planes de continuidad del negocio que mantienen la disponibilidad del sistema, elseguimiento del rendimiento de la red para detectar fallos operativos y la programación de tiempospara las operaciones informáticas. El componente del software del sistema dentro de la infraestruc-tura de la tecnología de información puede incluir controles tales como la revisión y aprobación denuevas adquisiciones significativas por parte de la dirección o un comité de trabajo, la restricción deaccesos a la configuración del sistema y al software del sistema operativo, las conciliaciones auto-máticas de datos a los que se accede a través del software “middleware” y la detección de bit deparidad en los errores de comunicación. Los controles del software del sistema también incluyen elseguimiento de incidencias, el “logging” del sistema y la revisión de informes de detalle sobre el usode utilidades informáticas que alteren los datos.

• Gestión de la seguridadSon controles de acceso lógico tales como contraseñas seguras de restricción de accesos a la red,bases de datos y aplicaciones. Las cuentas y números de usuario y los correspondientes controlesdel privilegio de acceso ayudan a limitar éste sólo a las aplicaciones o funciones necesarias para quecada usuario autorizado desempeñe su cometido. Los “firewalls” de Internet y las redes privadas vir-tuales protegen los datos contra acceso externo sin autorización.

• Adquisición, desarrollo y mantenimiento del softwareLos controles sobre la adquisición e implantación del software se incorporan a un proceso estable-



82

Figura 7.2

Controles de Aplicación

Los controles de aplicación se centran directamente en la integridad, exactitud, auto-rización y validez de la captación y procesamiento de datos. Ayudan a asegurar quelos datos se captan o generan en el momento de necesitarlos, que las aplicacionesde soporte estén disponibles y que los errores de interfaz se detecten rápidamente.

Un objetivo importante de los controles de aplicación es prevenir que los errores se intro-duzcan en el sistema, así como detectarlos y corregirlos una vez introducidos en él. Paraello, los controles de aplicación a menudo implican comprobaciones informatizadas deedición, que consisten en formato, existencia, razonabilidad y otras comprobaciones dedatos integrados ya en las aplicaciones durante su desarrollo. Si se diseñan correcta-mente, pueden facilitar el control sobre los datos introducidos en el sistema.

La Figura 7.3 ofrece ejemplos de controles de aplicación. Son sólo unos cuantosentre múltiples controles realizados cada día, mediante cálculo y contraste, que sir-ven para prevenir y detectar la captación y procesamiento de datos inexactos,incompletos, inconsecuentes o inadecuados.

Figura 7.3

cido para gestionar el cambio, incluyendo los requisitos de documentación, la comprobación de laaceptación del usuario, las pruebas de carga y las evaluaciones del riesgo de proyectos. El accesoa los códigos fuente está controlado mediante una librería de códigos. Las personas que desarro-llan software sólo trabajan en entornos segregados de desarrollo/prueba y no tienen acceso al entor-no de producción. Los controles sobre los cambios en el sistema incluyen la necesaria autorizaciónde las solicitudes de modificación, revisión de los cambios, aprobaciones, documentación, com-probaciones, implicaciones de los cambios para otros componentes de la tecnología de información,resultados de las pruebas de carga y protocolos de implantación.

• Equilibrar las actividades de controlDetectar los errores en la captación de datos, mediante la conciliación entre los importes introduci-dos, manual o automáticamente, y un total de control. Una empresa cuadra automáticamente elnúmero total de transacciones procesadas y transferidas desde su sistema on-line de introducciónde pedidos con el número de transacciones recibidas en su sistema de facturación.

• Dígitos de controlValidan los datos mediante cálculos. La numeración de los repuestos de una empresa contiene undígito de control que detecta y corrige pedidos inexactos a sus proveedores.

• Listados predefinidos de datosProporcionan al usuario listas preestablecidas de datos aceptables. La Intranet de una empresaofrece listas de selección de productos disponibles para su compra.

• Pruebas de razonabilidad de datosComparan los datos captados con una pauta existente o aprendida de razonabilidad. Un pedido soli-citado a un proveedor por un minorista del sector de bricolaje por un volumen inusual de tablerosde madera provoca una revisión.

• Pruebas lógicasIncluyen el uso de límites de rango o pruebas alfanuméricas o de valor. Una agencia gubernamentaldetecta errores potenciales en los números de la seguridad social verificando si todos los númerosintroducidos contienen nueve dígitos.



83

Aspectos Específicos de las Entidades

Debido a que cada entidad tiene su propio conjunto de objetivos y enfoques deimplantación, existirán diferencias en las respuestas al riesgo y las actividades decontrol relacionadas. Incluso cuando dos entidades tuvieran objetivos idénticos ytomasen decisiones similares respecto a cómo alcanzarlos, las actividades de controlprobablemente serían distintas. Cada entidad está gestionada por personas diferen-tes que tienen criterios individuales diferentes en la aplicación de controles. Es más,los controles reflejan el entorno y sector en que opera una entidad, así como sudimensión y complejidad de organización, la naturaleza y alcance de sus actividadesy sus antecedentes y cultura.

Las organizaciones grandes y complejas con diversidad de actividades puedenenfrentarse a situaciones de control más difíciles que las organizaciones pequeñas ysencillas con actividades menos variadas. Una entidad con operaciones descentrali-zadas y un énfasis en la autonomía e innovación local presenta diferentes circuns-tancias de control que otra altamente centralizada. Otros factores que influyen en lacomplejidad de una entidad, y, por tanto, la naturaleza de sus controles, incluyen laubicación y dispersión geográfica, la extensión y sofisticación de las operaciones ylos métodos de procesamiento de información.


85

8. Información y comunicación

Resumen del capítulo: La información pertinente se identifica, capta y comu-nica de una forma y en un marco de tiempo que permiten a las personas lle-var a cabo sus responsabilidades Los sistemas de información usan datosgenerados internamente y otras entradas de fuentes externas y sus salidasinformativas facilitan la gestión de riesgos y la toma de decisiones informadasrelativas a los objetivos. También existe una comunicación eficaz fluyendo entodas direcciones dentro de la organización. Todo el personal recibe un men-saje claro desde la alta dirección de que deben considerar seriamente las res-ponsabilidades de gestión de los riesgos corporativos. Las personas entien-den su papel en dicha gestión y cómo las actividades individuales se relacio-nan con el trabajo de los demás. Asimismo, deben tener unos medios paracomunicar hacia arriba la información significativa. También debe haber unacomunicación eficaz con terceros, tales como los clientes, proveedores, regu-ladores y accionistas.

(Gráfico del cubo)



86

Cada empresa identifica y capta una amplia gama de información, relativa a los even-tos y actividades tanto externos como internos, relevantes para dirigir la entidad. Estainformación se facilita al personal de una forma y en un marco de tiempo que le per-mitan llevar a cabo su gestión de riesgos corporativos y demás responsabilidades.

Información

La información se necesita a todos los niveles de la organización para identificar, eva-luar y responder a los riesgos y por otra parte dirigir la entidad y conseguir sus obje-tivos. Se usa mucha información, relevante para una o más categorías de objetivos.

La información operativa de fuentes internas y externas, tanto financiera como nofinanciera, es relevante para múltiples objetivos de negocio. La información financie-ra, por ejemplo, se usa para elaborar los estados financieros con fines de informacióny también para tomar decisiones operativas, tales como la supervisión del funciona-miento y la asignación de recursos. Una información financiera fiable es básica paraplanificar, presupuestar, fijar precios, evaluar el rendimiento del vendedor, evaluarjoint ventures y alianzas y llevar a cabo otras actividades de gestión.

De forma similar, la información operativa es esencial para elaborar los informesfinancieros y de otro tipo. Esto incluye aquella más rutinaria –compras, ventas ydemás transacciones– junto con la correspondiente a nuevas versiones de productoo condiciones económicas de los competidores, que pueden afectar a las existenciasy las valoraciones de cuentas a cobrar. La información necesaria a efectos de cum-plimiento, tal como la relativa a las emisiones de partículas a la atmósfera o datos delpersonal, también puede aplicarse a objetivos de información financiera.

La información procede de muchas fuentes –internas y externas, de forma cuantita-tiva y cualitativa– y facilita respuestas a las condiciones cambiantes. Un reto para ladirección es cómo procesar y depurar grandes volúmenes de datos para convertirlosen información manejable y se enfrenta a él estableciendo una infraestructura de sis-temas de información para buscar, captar, procesar, analizar y comunicar la informa-ción relevante. Estos sistemas –habitualmente informatizados, pero conteniendotambién entradas manuales o interfaces– se ven a menudo dentro del contexto delprocesamiento de datos generados internamente. Pero los sistemas de informacióntienen una aplicación más amplia. También abordan características o circunstanciasde eventos externos, por ejemplo, datos económicos específicos de un mercado osector que muestran cambios en la demanda de los productos o servicios de unaempresa, datos sobre productos y servicios para los procesos de producción, infor-mación de mercado sobre la evolución de preferencias o demandas del consumidor,información sobre las actividades de desarrollo de productos de los competidores einiciativas legislativas o normativas.

Los sistemas de información pueden ser formales o informales. Las conversacionescon clientes, proveedores, reguladores y personal de la entidad a menudo proporcio-nan información crítica necesaria para identificar riesgos y oportunidades. De formasimilar, la asistencia a seminarios profesionales o del sector y la participación en aso-ciaciones mercantiles o de otro tipo pueden ser una fuente de información valiosa.

Es particularmente importante mantener la información en forma coherente con lasnecesidades cuando una entidad se enfrenta a cambios fundamentales en el sector,


INFORMACIÓN Y COMUNICACIÓN

87

competidores muy innovadores y rápidos o cambios significativos en la demanda delos consumidores. Los sistemas de información cambian según la necesidad deapoyo a nuevos objetivos, por lo que deben identificar y captar la información finan-ciera y no financiera y procesarla y comunicarla en un marco de tiempo y una formaque sean útiles para controlar las actividades de la entidad.

Sistemas Estratégicos e Integrados

Como las empresas se han hecho más colaboradoras con los clientes, proveedoresy socios de negocio y se integran más con ellos, la división entre la arquitectura delos sistemas de información de una entidad y la de los terceros es cada vez másténue. Como resultado, el procesamiento y la gestión de datos a menudo llega a seruna responsabilidad compartida de múltiples entidades. En tales casos, la arquitec-tura de los sistemas de información de una organización debe ser suficientementeflexible y ágil como para integrarse eficazmente con los terceros vinculados.

El diseño de una arquitectura de sistemas de información y la adquisición de la tec-nología son aspectos importantes de la estrategia de una entidad y las decisionesrespecto a la tecnología pueden resultar críticas para lograr los objetivos. Las deci-siones sobre la selección e implantación de tecnología dependen de muchos facto-res, incluyendo objetivos organizativos, necesidades del mercado y exigencias com-petitivas. Aunque los sistemas de información sean fundamentales para una gestióneficaz de riesgos corporativos, también las técnicas empleadas en esta gestión pue-den ayudar a tomar decisiones tecnológicas.

Desde hace mucho tiempo, los sistemas de información se diseñan y aplican paraapoyar la estrategia de negocio. Este papel se hace crítico a medida que las necesi-dades del negocio cambian y la tecnología crea nuevas oportunidades para aprove-char una ventaja estratégica. En algunos casos, los cambios tecnológicos han redu-cido la ventaja adquirida en el despliegue inicial, al impulsar un nuevo rumbo estra-tégico. Por ejemplo, los sistemas de reserva de las líneas aéreas que facilitaron a losagentes de viajes un acceso fácil a la información de vuelo, luego se desplazaronhacia el cliente –enfrentándose a sistemas de reserva por Internet, reduciendo o eli-minando de modo significativo la implicación de la agencia de viajes tradicional.

Integración con las Operaciones

Los sistemas de información a menudo están totalmente integrados en la mayoría delos aspectos de las operaciones. Los sistemas de Internet o basados en la red sonfrecuentes y muchas empresas tienen sistemas de información para toda la entidad,tales como la planificación corporativa de recursos. Estas aplicaciones facilitan elacceso a información previamente enmarcada en silos funcionales o departamenta-les, haciéndola así disponible para un uso amplio de la dirección. Las transaccionesse registran y siguen en tiempo real, permitiendo a los directivos acceder inmediata-mente a información financiera y operativa de forma más eficaz para controlar lasactividades del negocio. Por ejemplo, una empresa constructora dedicada a proyec-tos a gran escala utiliza un sistema integrado, basado en una extranet, para alcanzarlas expectativas del mercado y de eficiencia. El sistema proporciona información que



88

ayuda a los directivos a seguir las existencias y componentes suministrados a losclientes, identificar los excesos y defectos de suministros de material en muchasobras, obtener un ahorro de costes respecto a los proveedores de materiales usua-les, vincularse a organizaciones similares para obtener descuentos por volumen ysupervisar las actividades de los subcontratistas. Esto también permite al personalcompartir sin fisuras los planos actuales con arquitectos e ingenieros, clientes, sub-contratistas y reguladores, aunque manteniendo el control de las versiones de losplanos. Adicionalmente, el sistema abarca las capacidades de gestión del conoci-miento que permite a los empleados de la empresa compartir soluciones innovado-ras en toda la organización.

Para apoyar una gestión eficaz de riesgos corporativos, una entidad capta y usadatos actuales e históricos. Los datos históricos permiten seguir el funcionamientoreal respecto a objetivos, planes y expectativas y proporcionan ideas sobre el rendi-miento de la entidad bajo condiciones pasadas, permitiendo a la dirección identificarcorrelaciones y tendencias y prever el funcionamiento futuro. Los datos históricostambién pueden facilitar un aviso anticipado de eventos potenciales que merecen laatención de la dirección.

Los datos presentes o actuales permiten a la entidad determinar si se mantiene den-tro de las tolerancias al riesgo establecidas y permiten a la dirección tener una pers-pectiva en tiempo real de los riesgos existentes en un proceso, función o unidad eidentificar variaciones frente a las expectativas.

Los desarrollos en los sistemas de información han mejorado la capacidad demuchas organizaciones para medir y supervisar el funcionamiento y presentar infor-mación analítica a escala corporativa. La complejidad e integración de los sistemascontinua, con organizaciones que utilizan nuevas capacidades tecnológicas a medi-da que éstas surgen. Sin embargo, la creciente dependencia de los sistemas de infor-mación a niveles estratégico y operativo genera nuevos riesgos –tales como los fallosde seguridad o los fraudes informáticos- que deben integrarse en la gestión de ries-gos corporativos de la entidad.

Profundidad y Oportunidad de la Información

La infraestructura de la información busca y capta datos dentro de un marco de tiem-po y con una profundidad consecuentes con la necesidad de la entidad de identifi-car, evaluar y responder al riesgo y permanecer dentro de las tolerancias a él. Laoportunidad del flujo de información necesita ser coherente con el ritmo de cambiode los ámbitos externo e interno de la entidad.

La importancia de la profundidad de los datos se ilustra si observamos diferenteseventos que afectan a una agencia de valores ubicada en una ciudad propensa a lasinundaciones. Para planificar la continuidad del negocio, la dirección mantiene unconocimiento general de las condiciones de inundación potencial y está en situaciónde aconsejar al personal cuándo desplazarse a las instalaciones de seguridad. Lainformación captada a este alto nivel es suficiente para permitir que la firma gestioneadecuadamente el riesgo. En contraste, como agencia de valores que es, la firmabusca y capta continuamente cambios en los precios de valores, bonos y bienes tan-gibles hasta con varios decimales. Este nivel de oportunidad y detalle de los datos es



89

consecuente con la necesidad que tiene la firma de responder inmediatamente a loscambios de precios que puedan generar riesgos, tales como una posición que asumedemasiado riesgos respecto a un solo sector de mercado o un valor que no con-cuerda con el riesgo aceptado de la firma.

La infraestructura de información transforma los datos no tratados en informaciónrelevante que ayuda al personal a llevar a cabo su gestión de riesgos corporativos ydemás responsabilidades. La información se proporciona en una forma y dentro deun marco de tiempo que permite las actuaciones, es utilizable con facilidad y estánvinculadas a las responsabilidades definidas.

Los avances en la recogida, procesamiento y almacenamiento de datos han dadocomo resultado un crecimiento exponencial del volumen de datos. Con más datosdisponibles –a menudo en tiempo real– para más gente en una organización, el retoes evitar la “sobrecarga de información”, asegurando el flujo de la información ade-cuada, en la forma adecuada, al nivel de detalle adecuado, a las personas adecua-das y en el momento adecuado. En el desarrollo de la infraestructura de conocimien-tos e información, hay que contemplar los distintos requisitos de información de losusuarios y departamentos y la información de resumen necesaria para los diferentesniveles de dirección.

Calidad de la Información

Dada la creciente dependencia en sofisticados sistemas de información y en siste-mas y procesos para la toma de decisiones automatizados e impulsados por losdatos, es esencial la fiabilidad de estos últimos. Unos datos inexactos pueden darcomo resultado riesgos no identificados o pobres evaluaciones y decisiones empre-sariales equivocadas.

La calidad de la información incluye averiguar si:

• Su contenido es adecuado – ¿Está al nivel correcto de detalle?

• Es oportuna – ¿Está disponible cuando se necesita y dentro de un plazo adecuado?

• Está actualizada – ¿Es la última información disponible?

• Es exacta – ¿Sus datos son correctos?

• Está accesible – ¿Las personas que la necesitan pueden obtenerla fácilmente?

Para impulsar la calidad de los datos, las entidades establecen programas corporati-vos para su gestión que abarcan la adquisición, mantenimiento y distribución deinformación relevante. Sin tales programas, los sistemas de información no podríanfacilitar la información que la dirección y otro personal requieren.

Los retos son muchos, pues los conflictos entre necesidades funcionales, restriccio-nes del sistema y procesos no integrados pueden inhibir la adquisición y uso efecti-vo de los datos. Para enfrentarse a ellos, la dirección establece un plan estratégicocon claras responsabilidades sobre la integridad de los datos y realiza periódica-mente evaluaciones de su calidad.



90

Para realizar una gestión de riesgos corporativos, es fundamental disponer de unainformación correcta y en el lugar y momento adecuados. Por esto, los sistemas deinformación, aunque constituyan un componente de la gestión de riesgos corporati-vos, también deben ser controlados.

Comunicación

La comunicación es inherente a los sistemas de información. Como ya se ha comen-tado antes, estos sistemas deben proporcionar información al personal adecuado,para que pueda llevar a cabo sus responsabilidades operativas, de información y decumplimiento. Pero la comunicación también debe tener lugar en un sentido másamplio, abordando las expectativas, las responsabilidades de los individuos y gruposy otros temas importantes.

Comunicación Interna

La dirección proporciona comunicaciones específicas y orientadas que se dirigen alas expectativas de comportamiento y las responsabilidades del personal. Esto inclu-ye una exposición clara de la filosofía y enfoque de la gestión de riesgos corporati-vos de la entidad y una delegación clara de autoridad. La comunicación sobre pro-cesos y procedimientos debería alinearse con la cultura deseada y reforzarla.

La comunicación debe expresar eficazmente:

• La importancia y relevancia de una gestión eficaz de riesgos corporativos

• Los objetivos de la entidad

• El riesgo aceptado y las tolerancias al riesgo de la entidad

• Un lenguaje común de riesgos

• Los papeles y responsabilidades del personal al desarrollar y apoyar los compo-nentes de la gestión de riesgos corporativos

Todo el personal, sobre todo aquél con responsabilidades importantes en la gestiónoperativa o financiera, necesita recibir de la alta dirección un mensaje claro acerca deque la gestión de riesgos corporativos debe realizarse seriamente. Son importantesla claridad del mensaje y la eficacia con que se comunique.

El personal también debe saber cómo sus actividades se relacionan con el trabajo delos demás. Este conocimiento es necesario para reconocer un problema o determi-nar su causa y la acción correctora. También deben saber qué comportamiento esconsiderado aceptable o no. Ha habido ejemplos muy difundidos de informaciónfraudulenta, en los que los directivos, bajo presión de cumplir los presupuestos, alte-raron los resultados operativos. En algunos de estos casos, nadie les había dicho aestos individuos que esta práctica podría ser ilegal o inadecuada, lo que subraya lanaturaleza crítica de cómo se comunican los mensajes dentro de una organización.Un directivo que da instrucciones a sus subordinados diciendo “Hay que cumplir elpresupuesto. No me importa cómo lo hagan, pero háganlo” puede estar enviando unmensaje equivocado sin darse cuenta.



91

Los empleados de línea que tratan los temas operativos críticos cada día son a menu-do los mejor situados para reconocer los problemas cuando surgen y los canales decomunicación deberían asegurar que el personal puede comunicar la informaciónbasada en el riesgo a todas las unidades de negocio, procesos o funciones, ademásde enviarla a sus superiores. Por ejemplo, los representantes comerciales o los gesto-res de cuenta pueden enterarse de las necesidades importantes del cliente sobre eldiseño de un producto, el personal de producción puede conocer unas deficienciascostosas de proceso y el personal de compras puede encontrarse con incentivosinadecuados procedentes de los proveedores. Los fallos de comunicación puedenocurrir cuando se disuade a personas o unidades de negocio de que faciliten infor-mación importante a otras personas o unidades o bien cuando aquellas no tienenherramientas para hacerlo. El personal podría ser consciente de los riesgos importan-tes, pero puede estar poco dispuesto a informar de ellos o ser incapaz de hacerlo.

Para que tal información sea informada, debe haber canales abiertos de comunica-ción y una clara disposición de escucha. El personal debe creer que sus superioresrealmente quieren conocer los problemas y tratarlos eficazmente. La mayoría de losdirectivos reconocen intelectualmente que deberían evitar la reacción de “matar almensajero”. Sin embargo, al calor del momento, pueden ser poco receptivos a laspersonas que aportan problemas legítimos. El personal absorbe rápidamente lasseñales orales o no orales cuando un superior no tiene el tiempo ni el interés para tra-tar los problemas detectados. Y para colmo, el directivo poco receptivo es el últimoen saber que el canal de comunicaciones ha sido efectivamente sellado.

En la mayoría de los casos, las líneas normales de información de una organización sonlos canales adecuados de comunicación. En algunas circunstancias, sin embargo,hacen falta líneas de comunicación independientes que sirvan como mecanismo deseguridad en caso de que los canales normales no sean operativos. Junto con la super-visión del consejo o del comité de auditoría, muchas empresas proporcionan, y hacenque los empleados lo sepan, un canal directo al responsable de auditoría interna, alasesor legal o a otro alto directivo con acceso al consejo de administración y las leyesy normas exigen cada vez más que las compañías establezcan estos mecanismos.Debido a su importancia, una gestión eficaz de riesgos corporativos requiere dichocanal alternativo de comunicaciones. Sin ambos canales de comunicación abiertos ysin disposición a escuchar, el flujo ascendente de información puede bloquearse.

Es importante que el personal entienda que no habrá represalias por comunicar infor-mación relevante. Se envía un mensaje claro con la existencia de mecanismos queanimen a los empleados a informar de las violaciones sospechadas del código deconducta de una entidad o por el trato que se dé al personal que presente denuncias.

Puede potenciarse estos mensajes importantes con un código de conducta integral yrelevante, sesiones de formación del personal, mecanismos corporativos permanentesde comunicaciones y retroalimentación y un ejemplo adecuado de la alta dirección.

Entre los canales más críticos de comunicación está aquél entre la alta dirección y elconsejo de administración. La dirección debe mantener al día al consejo sobre el fun-cionamiento de la entidad, los riesgos que afronta, la gestión corporativa de estosúltimos y demás eventos o temas relevantes. Cuanto mejor sean las comunicaciones,más eficaz será el consejo en llevar a cabo sus responsabilidades supervisoras–actuando como una caja de resonancia para la dirección en temas críticos, siguien-do sus actividades y facilitando consejos y orientación. Del mismo modo, el consejo



92

debería comunicar sus necesidades de información a la dirección y, a su vez, pro-porcionarle retroalimentación y guía.

Comunicación Externa

Existe la necesidad de una comunicación adecuada no sólo dentro de la entidad, sinotambién con el mundo exterior. Con canales de comunicación externos abiertos, losclientes y proveedores pueden proporcionar inputs muy significativos sobre el dise-ño o la calidad de los productos o servicios, permitiendo a la empresa tratar lasdemandas o preferencias del cliente en evolución. Por ejemplo, las quejas y reclama-ciones presentadas por los clientes o proveedores acerca de entregas, cobros, fac-turas o demás actividades a menudo señalan problemas operativos y posiblementeprácticas fraudulentas o inadecuadas. La dirección debería estar dispuesta a reco-nocer las implicaciones de tales circunstancias e investigar y tomar las necesariasmedidas correctivas, centrándose en el impacto sobre la información financiera, elcumplimiento y los objetivos operativos.

Una comunicación abierta sobre el riesgo tolerado y la tolerancia al riesgo es impor-tante, particularmente para entidades vinculadas con otras en cadenas de suministroo empresas de comercio electrónico. En tales casos, la dirección considera cómoambos conceptos se alinean con los de sus asociados, asegurando que no se acep-te inadvertidamente demasiado riesgo a través de sus socios.

La comunicación con grupos de interés, reguladores, analistas financieros y otros ter-ceros les proporciona información relevante para sus necesidades, pues puedencomprender rápidamente las circunstancias y riesgos a los que se enfrenta la entidad.Esta comunicación debería ser significativa, pertinente y oportuna y estar de acuer-do con las disposiciones legales y regulatorias.

El compromiso de la dirección con la comunicación hacia terceros –si es abierta, fran-ca y seria en el seguimiento o no lo es– también envía un mensaje a través de la orga-nización.

Medios de Comunicación

La comunicación puede tomar formas tales como un manual de políticas, escritosinternos, correos electrónicos, novedades en los tablones de anuncios, mensajes enla web y de vídeo. Cuando los mensajes se transmiten verbalmente –en grandes gru-pos, reuniones reducidas o entrevistas personales– el tono de voz y el lenguaje cor-poral ponen énfasis a lo que se está diciendo.

La manera como la dirección trata al personal puede comunicar un mensaje potente.Los directivos deberían recordar que sus acciones hablan más fuerte que sus palabras.Dichas acciones están, a su vez, influidas por la historia y cultura de la entidad, basa-das en observaciones anteriores de cómo sus mentores trataron situaciones similares.

Una entidad con un historial de integridad operativa y cuya cultura está bien asumi-da por las personas de la organización, probablemente tenga poca dificultad paracomunicar su mensaje. Una entidad sin tal tradición necesitará esforzarse más en laforma en que comunique sus mensajes.


93

9. Supervisión

Resumen del capítulo: La gestión de riesgos corporativos se supervisa - revi-sando la presencia y funcionamiento de sus componentes a lo largo del tiempo,lo que se lleva a cabo mediante actividades permanentes de supervisión, eva-luaciones independientes o una combinación de ambas técnicas. Durante eltranscurso normal de las actividades de gestión, tiene lugar una supervisión per-manente. El alcance y frecuencia de las evaluaciones independientes depende-rá fundamentalmente de la evaluación de riesgos y la eficacia de los procedi-mientos de supervisión permanente. Las deficiencias en la gestión de riesgoscorporativos se comunican de forma ascendente, trasladando los temas másimportantes a la alta dirección y al consejo de administración.

La gestión de riesgos corporativos de una entidad cambia con el tiempo. Las res-puestas a los riesgos que antaño eran eficaces pueden llegar a ser irrelevantes, lasactividades de control pueden resultar menos eficaces o inexistentes o los objetivosde la entidad pueden cambiar. Esto puede ser debido a la llegada de nuevo personal,



94

cambios en la estructura u orientación de la entidad o la introducción de nuevos pro-cesos. Enfrentada a tales cambios, la dirección necesita determinar si el funciona-miento de la gestión de riesgos corporativos continua siendo eficaz.

La supervisión puede realizarse de dos maneras: a través de actividades permanen-tes o mediante evaluaciones independientes. Los mecanismos de gestión de riesgoscorporativos normalmente se estructuran para que puedan autocontrolarse perma-nentemente, al menos hasta cierto punto. Cuanto mayor es el alcance y eficacia dela supervisión permanente, existe menor necesidad de elaborar evaluaciones inde-pendientes. La frecuencia necesaria de éstas últimas para que la dirección tenga unaseguridad razonable de la eficacia de la gestión de riesgos corporativos es una cues-tión de criterio de la dirección. Para determinarla, se tendrá en cuenta la naturaleza yalcance de los cambios producidos y sus riesgos correspondientes, la competenciay experiencia del personal que implanta las respuestas a los riesgos y sus controlescorrespondientes y, también, los resultados de la supervisión permanente.Normalmente, alguna combinación de supervisión permanente y evaluaciones inde-pendientes asegurará que la gestión de riesgos corporativos mantiene su eficacia enel tiempo.

La supervisión permanente está integrada en las actividades operativas normales yrecurrentes de una entidad. La supervisión se lleva a cabo en tiempo real, reaccionade modo dinámico a las condiciones cambiantes y está integrada en la entidad, detal manera que resulta más eficaz que las evaluaciones independientes. Como lasevaluaciones independientes tienen lugar después de los hechos, a menudo los pro-blemas se identificarán más rápidamente con las pautas de supervisión permanente.Muchas entidades con sólidas actividades de supervisión permanente realizan, sinembargo, evaluaciones independientes de la gestión de riesgos corporativos periódi-camente. Una entidad que perciba alguna necesidad de realizar frecuentes evalua-ciones independientes debería centrarse en la mejora de sus actividades de supervi-sión permanente.

Actividades de Supervisión Permanente

Muchas actividades sirven para seguir la eficacia de la gestión de riesgos corporati-vos durante el transcurso normal del negocio. Se derivan de las actividades norma-les de gestión, que podrían implicar análisis de varianza, comparaciones de informa-ción procedente de fuentes diferentes y el análisis y tratamiento de acontecimientosinesperados.

Son los directivos de línea o función de apoyo quienes llevan a cabo las actividadesde supervisión y dan meditada consideración a las implicaciones de la informaciónque reciben. Al centrarse en relaciones, incoherencias u otras implicaciones relevan-tes, plantean cuestiones y las siguen con otro personal, según sea necesario, paradeterminar si es precisa una acción correctiva o de otro tipo. Las actividades perma-nentes de supervisión se distinguen de las actividades de funcionamiento según lorequiera la política de procesos de negocio. Por ejemplo, se definen mejor como acti-vidades de control las aprobaciones de transacciones, las conciliaciones de saldos yla verificación de exactitud de los cambios en los ficheros maestros, realizadas segúnlas pautas marcadas por los sistemas informáticos o los procesos de contabilidad.


SUPERVISIÓN

95

La figura 9.1 incluye ejemplos de actividades de supervisión permanente.

Figura 9.1

Evaluaciones Independientes

Aunque los procedimientos de seguimiento permanente normalmente proporcionanuna retroalimentación importante sobre la eficacia de otros componentes de la ges-tión de riesgos corporativos, puede resultar provechoso echar un nuevo vistazo devez en cuando, centrándose directamente sobre la eficacia de dicha gestión. Estotambién proporciona una oportunidad de tener en cuenta la eficacia continuada delos procedimientos de supervisión permanente.

• Los directivos que revisan los informes operativos, usados para gestionar las operaciones de modopermanente, pueden detectar inexactitudes o excepciones relativas a los resultados esperados. Porejemplo, los directores de ventas, compras y producción al nivel de división, filial y entidad que estánen contacto con las operaciones pueden cuestionar los informes que discrepen significativamentede su conocimiento de las operaciones. Una información oportuna y completa y la resolución dedichas excepciones mejoran la eficacia del proceso.

• Los cambios en la información incluida en los modelos de valor en riesgo usados para evaluar losimpactos de los movimientos potenciales del mercado sobre la posición financiera de la entidad serefieren a las transacciones financieras comunicadas, centrándose en las relaciones esperadas.

• Las comunicaciones de terceros corroboran la información generada internamente o indican inci-dencias. De hecho, los clientes contrastan implícitamente los datos de facturación efectuando supago. Por otro lado, las reclamaciones de clientes sobre facturas podrían indicar deficiencias en elsistema de procesamiento de las transacciones de ventas. Asimismo, los informes de los directoresde inversión sobre beneficios, pérdidas e ingresos en operaciones con valores pueden confirmar losregistros de la entidad (o los propios de los directores) o señalar problemas en ellos. La revisión delas políticas y prácticas de seguridad en una empresa aseguradora proporciona información sobrela seguridad operativa y el grado de cumplimiento.

• Los reguladores se comunican con la dirección sobre temas de cumplimiento u otros que reflejan elfuncionamiento de la gestión de riesgos corporativos.

• Los auditores y asesores internos y externos facilitan periódicamente recomendaciones para refor-zar la gestión de riesgos corporativos. Los auditores pueden prestar una atención considerable a losriesgos claves, las respuestas a ellos y el diseño de las actividades de control. Pueden identificarsedebilidades potenciales y recomendarse a la dirección acciones alternativas, acompañadas de infor-mación útil para efectuar determinaciones sobre coste-beneficio. Los auditores internos y otro per-sonal que desarrolle funciones similares de revisión pueden ser particularmente eficaces en la super-visión de las actividades de la entidad.

• Los seminarios de formación, sesiones de planificación y otras reuniones proporcionan una retroa-limentación importante a la dirección sobre si la gestión de riesgos corporativos está siendo eficaz.Junto a problemas particulares que pueden indicar la presencia de temas de riesgo, a menudo sehace patente la consciencia de los participantes respecto al riesgo y el control interno.

• Durante el transcurso normal de la gestión del negocio, los directivos comentan con el personaltemas tales como su entendimiento del código de conducta de la identidad, cómo identifican losriesgos y asuntos relacionados con el control de las actividades. Estos comentarios confirman elfuncionamiento correcto de los componentes de la gestión de riesgos corporativos o sacan a lasuperficie cuestiones que requieren atención.



96

Alcance y Frecuencia

Las evaluaciones de la gestión de riesgos corporativos varían en alcance y frecuen-cia según la significatividad de los riesgos y la importancia de las respuestas a ellos,así como los correspondientes controles disponibles para gestionarlos. Las áreas deriesgo de alta prioridad y sus respuestas tienden a evaluarse más a menudo. La eva-luación de la totalidad de la gestión de riesgos corporativos –que generalmente senecesita con menor frecuencia que la evaluación de partes concretas de la entidad-puede estar suscitada por diversas razones: cambios importantes en la estrategia ogestión, adquisiciones o enajenaciones, cambios en las condiciones económicasopolíticas y cambios en las operaciones o los métodos de procesamiento de datos.Cuando se toma la decisión de realizar una evaluación integral de la gestión de ries-gos corporativos de una entidad, hay que dirigir la atención hacia su aplicación enel establecimiento de la estrategia, así como en relación con las actividades signifi-cativas. El alcance de la evaluación también dependerá de qué categorías de objeti-vos –estratégicos, operativos, de información y de cumplimiento- van a tenerse encuenta.

Quién Evalúa

A menudo, las evaluaciones tienen la forma de autoevaluaciones, en las que los res-ponsables de una determinada unidad o función establecen la eficacia de la gestiónde riesgos corporativos en sus actividades. Por ejemplo, el consejero delegado deuna división dirige la evaluación de sus actividades de gestión de riesgos.Personalmente, evalúa las actividades relativas a las decisiones estratégicas y losobjetivos de alto nivel, junto al componente de ámbito interno, mientras que las per-sonas responsables de las diversas actividades operativas de la división evalúan laeficacia de los componentes de la gestión de riesgos relacionados con sus respecti-vas áreas de responsabilidad. Los directores de línea se centran en los objetivos ope-rativos y de cumplimiento y el controller de la división afronta los objetivos de infor-mación. A continuación, la alta dirección considera las evaluaciones de la división,junto con las de otras divisiones de la empresa.

Los auditores internos normalmente realizan evaluaciones como parte de sus funcio-nes normales o a petición expresa de la alta dirección, el consejo de administracióno los directivos de filiales y divisiones. Asimismo, la dirección puede utilizar informa-ción de los auditores externos para considerar la eficacia de la gestión de riesgoscorporativos. Se puede aplicar una combinación de esfuerzos a la realización de losprocedimientos de evaluación que la dirección estime necesarios.

Proceso de Evaluación

La evaluación de la gestión de riesgos corporativos constituye un proceso en símisma. Aunque los enfoques o técnicas varían, hay que aportar al proceso una dis-ciplina, con ciertos fundamentos inherentes a ella.

El evaluador debe entender cada actividad de la entidad y cada componente de lagestión de riesgos corporativos a abordar. Puede resultar útil centrarse primero en


SUPERVISIÓN

97

cómo la gestión de riesgos corporativos funciona de manera significativa –a veces,esto se denomina diseño del sistema o proceso.

El evaluador debe determinar cómo funciona el sistema en realidad. Los procedi-mientos diseñados para operar de un modo concreto pueden ser modificados con eltiempo para operar de forma diferente o ser eliminados. A veces, se establecen pro-cedimientos nuevos que no son conocidos por aquellos que describieron el procesoy no están incluidos en la documentación disponible. Una determinación sobre el fun-cionamiento real puede realizarse manteniendo entrevistas con el personal operativoo que resulte afectado por la gestión de riesgos corporativos, con análisis de losregistros de funcionamiento o una combinación de procedimientos.

El evaluador analiza el diseño del proceso de gestión de riesgos corporativos y losresultados de las pruebas realizadas. El análisis se lleva a cabo contrastado el fun-cionamiento con el trasfondo de normas establecidas por la dirección para cadacomponente, con el objetivo último de determinar si el proceso proporciona seguri-dad razonable respecto a los objetivos fijados.

Metodología

Se dispone de una variedad de metodologías y herramientas de evaluación, incluyen-do listas de comprobación, cuestionarios, cuadros de mando y técnicas de diagramasde flujo. Como parte de su metodología de evaluación, algunas empresas comparan suproceso de gestión de riesgos corporativos con el de otras empresas con buena repu-tación en este terreno, que pueden facilitar información comparativa. Las comparacio-nes pueden realizarse directamente o bajo el control de asociaciones mercantiles o sec-toriales y, así, las funciones de revisión cercana de algunos sectores pueden ayudar auna empresa a evaluar su gestión de riesgos corporativos respecto a sus iguales. Peroes necesaria cierta precaución pues, en el momento de realizar las comparaciones, hayque tener en cuenta las diferencias respectivas que existen en objetivos, hechos y cir-cunstancias. Los ocho componentes de la gestión de riesgos corporativos, además delas limitaciones inherentes a ella, se deberán tener en consideración.

Documentación

El alcance de la documentación sobre gestión de riesgos corporativos de una enti-dad varía con su dimensión, complejidad y factores similares. Las organizacionesmás grandes normalmente disponen de manuales escritos de políticas, organigramasformales, descripciones escritas de las funciones del personal, instrucciones opera-tivas y diagramas de flujo de los sistemas de información. Las entidades más peque-ñas habitualmente tienen un volumen considerablemente menor de documentación.Muchos aspectos de su gestión de riesgos corporativos son informales y no estándocumentados, aunque se llevan a cabo de manera periódica y muy eficaz. Se pue-den efectuar comprobaciones de estas actividades del mismo modo que en el casode actividades documentadas. El hecho de que los componentes de la gestión deriesgos corporativos no estén documentados no significa que no sean eficaces o queno puedan evaluarse. Sin embargo, un nivel adecuado de documentación normal-mente hace que las evaluaciones sean más eficaces y eficientes.



98

El evaluador puede decidir documentar el proceso de evaluación en sí mismo.Normalmente, se parte de documentación existente en la gestión de riesgos corpo-rativos de la entidad y, habitualmente, se complementa este proceso con documen-tación adicional, junto con descripciones de las pruebas y los análisis efectuadosdurante la evaluación.

Si la dirección tiene la intención de enviar una declaración a terceros relativa a la efi-cacia de su gestión de riesgos corporativos, debería tener en cuenta el desarrollo yretención de la documentación que dé soporte a tal afirmación. Esta documentaciónpuede resultar útil si posteriormente se pone dicho mensaje en entredicho.

Información de Deficiencias

Las deficiencias en la gestión de riesgos corporativos de una entidad pueden proce-der de muchas fuentes, incluyendo los procedimientos de supervisión permanente dela entidad, las evaluaciones independientes e información de terceros. Una deficien-cia es una situación dentro de la gestión de riesgos corporativos que merece aten-ción y que puede representar una debilidad percibida, potencial o real, o una oportu-nidad para fortalecer la gestión de riesgos corporativos y aumentar la probabilidad deque se logren los objetivos de la entidad.

Fuentes de Información

Una de las mejores fuentes de información sobre las deficiencias de la gestión deriesgos corporativos es la misma gestión de riesgos. Las actividades de supervisiónpermanente de una empresa, incluyendo las acciones directivas y la supervisión dia-ria de los empleados, generan ideas de aquellos directamente involucrados en lasactividades de la entidad. Estas ideas surgen en tiempo real y pueden proporcionaruna rápida identificación de deficiencias. Otras fuentes de éstas son las evaluacionesindependientes de gestión de riesgos corporativos. Tanto las realizadas por la direc-ción, los auditores internos u otras funciones, pueden destacar áreas con necesida-des de mejora.

Los terceros proporcionan frecuentemente información importante sobre el funciona-miento de la gestión de riesgos corporativos de una entidad. Entre ellos se incluyenclientes, proveedores, y otros que colaboran con la entidad, así como los auditoresexternos y reguladores. Los informes procedentes de fuentes externas deberían con-templarse cuidadosamente por sus implicaciones para la gestión de riesgos corpora-tivos y las acciones correctivas que deban aplicarse.

De qué se Informa

¿Qué es lo que se debería informar?. Aunque no sea posible una respuesta universal,hay ciertos parámetros que pueden delimitarse.

Todas las deficiencias identificadas de gestión de riesgos corporativos que afectan ala capacidad de la entidad para desarrollar e implantar su estrategia y establecer yalcanzar sus objetivos deberían comunicarse a quienes se encuentran en posición de


SUPERVISIÓN

99

tomar las medidas necesarias. La naturaleza de los temas a comunicar variará segúnla autoridad individual para abordar las circunstancias que surjan y las actividades desupervisión de sus superiores. Al considerar qué se necesita comunicar, es precisoobservar las implicaciones de los resultados. No sólo es esencial que se informe deuna transacción o evento determinado, sino también que se vuelvan a evaluar aque-llos procedimientos potencialmente defectuosos.

Se puede argumentar que no existe ningún problema tan insignificante que no merez-ca una investigación de sus implicaciones. Que un empleado coja un poco de dinerode la caja para su uso personal, por ejemplo, no es un hecho significativo en sí mismoy probablemente ni en términos del importe total manejado en dicha caja. Así que lainvestigación podría no valer la pena. Sin embargo, la aparente aprobación del usopersonal del dinero de la entidad que esa inacción supondría, transmitiría un mensa-je equivocado a los empleados.

Junto a las deficiencias, también debería informarse de las oportunidades identifica-das que puedan aumentar la probabilidad de conseguir los objetivos de la entidad.

A quién se Informa

La información generada en el transcurso de las actividades operativas es usual-mente comunicada a través de los canales normales a los superiores inmediatos,quienes, a su vez, pueden trasladarla en todas direcciones de la organización, paraque acabe en las personas que pueden y deberían actuar al respecto. Los canales decomunicación alternativos también deberían existir para difundir la información sen-sible, tales como los actos ilegales o inadecuados. Ante el hallazgo de deficienciasen la gestión de riesgos corporativos, normalmente debería informarse no sólo al res-ponsable de la función o actividad implicada, sino también, al menos, al nivel inme-diato por encima de esta persona. Un nivel superior de la dirección proporciona elnecesario apoyo o supervisión para tomar acciones correctoras y está en posición decomunicarse con otras personas de la organización cuyas actividades pueden estarafectadas. Cuando lo averiguado traspasa demarcaciones organizativas, la informa-ción también debería atravesarlas, dirigiéndose a un nivel superior suficientementealto para asegurar que se toman las medidas adecuadas.

Directrices de Información

Es esencial facilitar al responsable adecuado la necesaria información sobre las defi-ciencias de gestión de riesgos corporativos. Hay que establecer protocolos paraidentificar qué información se necesita a un nivel determinado para tomar decisioneseficazmente.

Tales protocolos reflejan la regla general de que un directivo debería recibir la infor-mación que afecta a las acciones o el comportamiento del personal bajo su respon-sabilidad, además de aquella otra necesaria para alcanzar objetivos específicos. Unconsejero delegado normalmente desearía estar informado, por ejemplo, de lasinfracciones serias de políticas y procedimientos y también querría recibir informaciónde soporte sobre temas que pudieran tener impacto financiero o implicaciones estra-tégicas significativas o afectar a la reputación de la entidad.



100

Los altos directivos deberían ser informados de las deficiencias en la gestión de ries-gos y de control que afecten a sus unidades. Ejemplos de ellas son las circunstan-cias en que los activos con un determinado valor monetario no están protegidos ade-cuadamente, donde la competencia de los empleados es insuficiente o cuando no sellevan a cabo correctamente las conciliaciones financieras. Los directivos deberíanser informados de las deficiencias en sus unidades, con niveles de detalle en aumen-to cuanto más se desciende por la estructura organizativa.

Los supervisores definen los protocolos de información para sus subordinados. Elgrado de especificidad variará, aumentando normalmente en los niveles inferiores dela organización. Aunque dichos protocolos puedan impedir una información eficaz sise definen de modo demasiado restrictivo, ésta se puede mejorar proporcionándoleflexibilidad suficiente.

Las partes interesadas a las que hay que comunicar las deficiencias a veces propor-cionan directrices concretas respecto a lo que debería comunicarse. Un consejo deadministración o comité de auditoría, por ejemplo, puede solicitar a la dirección o alos auditores internos o externos que comuniquen sólo aquellas deficiencias quealcancen un determinado umbral de importancia.


101

10. Roles y responsabilidades

Resumen del capítulo: Todo el personal de una entidad tiene alguna respon-sabilidad en la gestión de riesgos corporativos. El consejero delegado es res-ponsable en último lugar y debería asumir su “titularidad”. Otros directivos apo-yan la filosofía de gestión de riesgos, promocionan el cumplimiento del riesgoaceptado y gestionan los riesgos dentro de sus áreas de responsabilidad, encoherencia con las tolerancias al riesgo. Otras personas son responsables dedesarrollar la gestión de riesgos corporativos según las directivas y protocolosestablecidos. El consejo de administración proporciona una importante super-visión de dicha gestión. Algunos terceros facilitan a menudo información útilpara llevarla a cabo, aunque no sean responsables de su eficacia.

La gestión de riesgos corporativos es efectuada por diversas partes implicadas, cadauna con responsabilidades importantes. El consejo de administración (directamenteo través de sus comités), la dirección, los auditores internos y otro personal, todoshacen importantes contribuciones a la gestión de riesgos. Otras partes afectadas,tales como los auditores externos y los organismos reguladores, son asociados aveces a las evaluaciones de riesgo y el control interno. Sin embargo, existe una dis-tinción entre aquellos que forman parte del proceso de la gestión de riesgos corpo-rativos de una entidad y los que no, cuyas acciones, sin embargo, pueden afectar alproceso o, de otro modo, ayudar a la entidad a conseguir sus objetivos. Ayudar demodo directo o indirecto a una entidad a conseguir sus objetivos, sin embargo, nohace que un tercero forme parte de la gestión de riesgos corporativos de la entidado sea responsable de ella.

Personal de la Entidad

El consejo de administración, la dirección, los directores financieros y de riesgos, losauditores internos y, de hecho, toda persona de la entidad, contribuyen a una gestióneficaz de riesgos corporativos.

Consejo de Administración

La alta dirección responde ante el consejo de administración, que proporciona super-visión, asesoramiento y orientación. Mediante la selección del equipo directivo, elconsejo desempeña su principal papel en la definición de lo que espera en cuanto a



102

integridad y valores éticos, y mediante sus actividades de supervisión puede deter-minar si se cumplen sus expectativas. De forma similar, al reservarse autoridad enciertas decisiones claves, el consejo juega un papel en la formulación de la estrate-gia, estableciendo los objetivos de alto nivel, y en la asignación de recursos en sen-tido amplio.

El consejo facilita su supervisión con respecto a la gestión de riesgos corporativoscuando:

• Sabe hasta qué punto la dirección ha establecido una gestión eficaz de riesgos cor-porativos en la organización

• Es consciente del riesgo aceptado por la entidad y está de acuerdo con él

• Revisa la perspectiva de carteras de riesgos de la entidad y la contrasta con el ries-go aceptado por ella

• Está informado de los riesgos más significativos y de si la dirección está respon-diendo adecuadamente

El consejo forma parte del componente de ámbito interno de la gestión de riesgoscorporativos y debe tener la composición y enfoque necesarios para conseguir queésta sea eficaz.

Los miembros eficaces de un consejo son objetivos, capaces e inquisitivos. Tienenun conocimiento práctico de las actividades y el entorno de la entidad y dedican eltiempo necesario al cumplimiento de sus responsabilidades como consejeros.Utilizan los recursos necesarios para dirigir investigaciones especiales y mantienencomunicaciones abiertas y sin restricciones con los auditores internos y externos ycon los asesores legales.

Los consejos de administración pueden utilizar comités para llevar a cabo sus fun-ciones. Su uso y enfoque varían de una entidad a otra, aunque los comités máscomunes son los de nombramientos/gobierno corporativo, remuneración y auditoría,cada uno de ellos atendiendo a componentes de la gestión de riesgos corporativos.El comité de nombramientos, por ejemplo, identifica y tiene en cuenta las cualifica-ciones de los previsibles miembros del consejo, mientras que el comité de remune-ración considera la adecuación de los sistemas de motivación y compensación, equi-librando programas sanos de incentivos, con la necesidad de evitar la innecesariatentación de manipular las variables base de la compensación. El comité de audito-ría tiene un papel directo en la fiabilidad de la información al exterior y debe conocerlos riegos claves relativos a ella. El consejo y sus comités forman una parte impor-tante de la gestión de riesgos corporativos.

La Dirección

La dirección es responsable de todas las actividades de una entidad, incluyendo lagestión de riesgos corporativos. Naturalmente, los directivos a diferentes niveles tie-nen distintas responsabilidades en la gestión de riesgos corporativos, que varíansegún las características de una entidad, a veces de modo significativo.

En cualquier entidad, el consejero delegado tiene la responsabilidad última sobre lagestión de riesgos corporativos. Uno de los aspectos más importantes de dicha res-


ROLES Y RESPONSABILIDADES

103

ponsabilidad es el de asegurar la presencia de un ambiente interno positivo. Más quecualquier otro individuo o función, el consejero delegado marca el talante en la cum-bre de la organización, que influye en los factores del ambiente interno y en otroscomponentes de la gestión de riesgos corporativos. Un consejero delegado tambiénpuede influir en el consejo de administración, a través de cualquier influencia quetenga en la identificación de nuevos miembros, en marcar un ejemplo que sirva paraatraer o alejar candidatos para el consejo. Cada vez más, estos candidatos miran concuidado la integridad y valores éticos de la alta dirección en el momento de decidir siquieren aceptar el nombramiento que se les ha ofrecido. Los potenciales consejerostambién están centrados en si la gestión de riesgos corporativos de la entidad poseelos fundamentos críticos necesarios de integridad y valores éticos que hagan posiblesu eficacia.

Las responsabilidades del consejero delegado incluyen asegurar que están en sulugar todos los componentes de la gestión de riesgos corporativos. El consejero dele-gado generalmente realiza esta función a través de las siguientes actuaciones:

• Proporcionar liderazgo y orientación a los altos directivos. Junto con ellos, el con-sejero delegado configura los valores, principios y políticas operativas importantesque constituyen los cimientos de la gestión de riesgos corporativos de la entidad.El consejero delegado y los altos directivos establecen los objetivos estratégicos, laestrategia y los correspondientes objetivos de alto nivel. También formulan las polí-ticas, en sentido amplio, desarrollan la cultura de la entidad y establecen su filoso-fía de gestión de riesgos y el nivel de riesgo aceptado. Ejecutan acciones que con-ciernen a la estructura organizativa de la entidad, el contenido y comunicación delas políticas claves y el tipo de planificación y sistemas de información a usar

• Reunirse periódicamente con los altos directivos responsables de las áreas funcio-nales importantes –ventas, marketing, producción, compras, finanzas, recursoshumanos– para revisar sus responsabilidades, incluyendo cómo gestionan los ries-gos. El consejero delegado adquiere conocimientos de los riesgos inherentes a lasoperaciones, las respuestas a ellos, las mejoras necesarias de control y la situaciónde las acciones en marcha. Para desempeñar esta responsabilidad, el consejerodelegado debe definir claramente la información que necesita.

Con sus conocimientos, el consejero delegado está en posición de supervisar lasactividades y riesgos en relación con el riesgo aceptado por la entidad. Cuando laevolución de las circunstancias, los riesgos emergentes, la implantación de la estra-tegia o acciones esperadas indiquen un potencial desajuste con el riesgo aceptado,el consejero delegado tomará las medidas necesarias para restablecer la concordan-cia y comentará con el consejo de administración la posibilidad de acciones ulterio-res o de ajustar el riesgo aceptado por la entidad.

Los altos directivos a cargo de las unidades organizativas tienen la responsabilidadde gestionar los riesgos relacionados con los objetivos de sus unidades. Conviertenla estrategia en operaciones, identifican los eventos, evalúan los riesgos y deciden lasrespuestas a éstos. Los directivos orientan la aplicación de los componentes de lagestión de riesgos corporativos en sus áreas de responsabilidad y aseguran que seacoherente con las tolerancias al riesgo. En este sentido, existe una cadena descen-dente de responsabilidad, donde cada directivo es como un consejero delegado desu área de responsabilidad.



104

Los altos directivos normalmente delegan la responsabilidad sobre los procedimien-tos específicos de gestión de riesgos corporativos en los respectivos directivos de losprocesos, funciones o departamentos. Por tanto, estos directivos normalmente jue-gan un papel muy participativo en el diseño y desarrollo de procedimientos de riesgorelativos a los objetivos de la unidad, tales como las técnicas para identificar eventosy evaluar riesgos, y en la determinación de respuestas, tales como el desarrollo deprotocolos para la compra de materias primas o la aceptación de nuevos clientes.También formulan recomendaciones sobre las actividades de control, supervisan suaplicación y se reúnen con los directivos de nivel superior para informarles de su fun-cionamiento.

Esto puede implicar la investigación de eventos o condiciones externas, errores en laentrada de datos y transacciones que aparecen en los informes de excepciones, ana-lizando las causas de desviación frente a los presupuestos de gastos de un departa-mento y haciendo un seguimiento de los pedidos rechazados por clientes o los nive-les de inventario de productos. Los temas significativos, tanto si corresponden a unatransacción determinada o son un índice de una preocupación más importante, secomunican de manera ascendente en la organización.

Las funciones de apoyo, tales como las de recursos humanos, cumplimiento y ase-soría legal, también tienen importantes papeles de soporte en el diseño o configura-ción de los componentes de una gestión eficaz de riesgos corporativos. La funciónde recursos humanos puede diseñar y ayudar a implantar programas de formaciónsobre el código de conducta de la entidad y otras políticas amplias, a menudo des-arrollados junto con los líderes de las unidades de negocio. Las funciones legalesfacilitan información a los directores de línea sobre las nuevas legislaciones y normasque afectan a las políticas operativas y además, bien sus propios responsables o losde la función de cumplimiento, suministran información esencial sobre si las transac-ciones planificadas o los protocolos se adecuan a los requisitos legales y éticos.

Las responsabilidades de los directivos deberían abarcar tanto la autoridad como la ren-dición de cuentas. Cada directivo debería responder ante su nivel inmediato superior porsu parte de gestión de riesgos corporativos, siendo el consejero delegado el responsa-ble último ante el consejo de administración. Aunque diferentes niveles de dirección tie-nen distintas responsabilidades y funciones de gestión de riesgos corporativos, susacciones deberían fundirse en la gestión de riesgos corporativos de la entidad.

Responsable de Riesgos

Algunas empresas han establecido un punto centralizado de coordinación para faci-litar la gestión de riesgos corporativos. Un responsable de riesgo – denominado enalgunas organizaciones como director o gerente de riesgos– trabaja junto a otrosdirectivos para establecer una gestión eficaz de riesgos corporativos en sus respec-tivas áreas de responsabilidad. Este responsable, nombrado por el consejero dele-gado y en dependencia directa de él, tiene recursos para ayudar a efectuar la gestiónde riesgos a través de las filiales, negocios, departamentos, funciones y actividades.El director de riesgos puede tener la responsabilidad de supervisar el progreso dedicha gestión y ayudar a los demás directivos a informar sobre los riesgos relevantesque existen en la entidad en todas direcciones. El director de riesgos también puedeservir como un canal complementario de información.



105

Algunas empresas asignan este papel a otro alto directivo, tales como el directorfinanciero, el máximo responsable legal, el director de auditoría interna o el directorde cumplimiento. Otras han decidido que la importancia y amplitud del alcance deesta función requieren una asignación funcional y recursos diferenciados.

Las empresas han visto que este papel tiene más éxito cuando se establecen clara-mente sus responsabilidades como función de apoyo –proporcionando soporte yayuda a los directores de línea. Para que la gestión de riesgos corporativos sea efi-caz, los directores de línea deben asumir la responsabilidad primordial de dicha ges-tión en sus áreas respectivas.

Las responsabilidades del director de riesgos pueden incluir lo siguiente:

• Establecer las políticas de la gestión de riesgos corporativos, incluyendo la defini-ción de papeles y responsabilidades, y participar en la formulación de objetivospara su implantación

• Enmarcar la autoridad y responsabilidad de la gestión de riesgos corporativos enlas unidades de negocio

• Promover las capacidades de gestión de riesgos corporativos en toda la entidad,facilitando el desarrollo de pericia técnica en dicha gestión y ayudando a los direc-tivos a alinear las respuestas a los riesgos con las tolerancias a ellos y la aplicaciónde adecuados controles

• Guiar la integración de la gestión de riesgos corporativos con otras actividades deplanificación del negocio y de gestión

• Establecer un lenguaje común para la gestión de riesgos que incluya la unificaciónde medidas de su probabilidad e impacto y de las categorías de riesgo

• Ayudar a los directivos a desarrollar protocolos de información, incluyendo umbra-les cuantitativos y cualitativos, y a supervisar el proceso de distribución de informes

• Informar al consejero delegado sobre el progreso y las excepciones resultantes, asícomo de las acciones necesarias recomendadas

Directivos Financieros

Los controllers y directores financieros, con sus equipos, son particularmente impor-tantes para las actividades de gestión de riesgos corporativos, pues sus actividadespropias inciden ascendente y descendentemente en todas las unidades operativas yde negocio. Con mucha frecuencia, estos directivos están implicados en el desarrollode presupuestos y planes globales de la entidad, al mismo tiempo que siguen y ana-lizan su funcionamiento, a menudo desde una perspectiva operativa, de cumplimien-to y de información. Estas actividades usualmente forman parte de una organizacióncentral o “corporativa”, aunque normalmente también tienen una responsabilidad“autorizativa” para supervisar las actividades de divisiones, filiales y demás unidades.El director financiero, el director de contabilidad, el controller y otros responsables dela función financiera son esenciales en el modo con que la dirección ejerce la gestiónde riesgos corporativos. Todos juegan un papel importante en la prevención y detec-ción de la información fraudulenta y, además, el director financiero, como parte de laalta dirección, ayuda a establecer el talante de conducta ética de la organización, es



106

el máximo responsable de los estados financieros e influye en el diseño, implantacióny supervisión de los sistemas de información de la empresa.

Cuando se atiende a los componentes de la gestión de riesgos corporativos, es evi-dente que el director financiero y sus colaboradores juegan papeles esenciales. Estedirectivo es un agente clave en el establecimiento de objetivos, la determinación deestrategias, el análisis de riesgos y la toma de decisiones sobre cómo gestionar loscambios que afecten a la entidad. Facilita información y orientación valiosa y se cen-tra en la supervisión y posterior seguimiento de las acciones decididas.

Debería considerarse al director financiero como un igual a los otros responsablesfuncionales. Cualquier intento de la dirección de tenerlo estrechamente centrado -limitado principalmente a áreas de información financiera y tesorería, por ejemplo-podría minorar seriamente la capacidad de la entidad para tener éxito.

Auditores Internos

Los auditores internos juegan un papel clave en la evaluación de la eficacia de la ges-tión de riesgos corporativos y en la recomendación de mejoras en ella. Las normasdel Instituto de Auditores Internos establecen que el alcance de la auditoría internadebería abarcar la gestión del riesgo y los sistemas de control, lo que incluye la eva-luación de la fiabilidad de la información, la eficacia y eficiencia de las operaciones yel cumplimiento de leyes y normas aplicables. Al llevar a cabo sus responsabilidades,los auditores internos ayudan a la dirección y al consejo de administración o su comi-té de auditoria examinando, evaluando e informando sobre la adecuación y eficaciade la gestión de riesgos corporativos de la entidad y recomendando mejoras en ella.

Las normas del mencionado Instituto también determinan qué papeles son los ade-cuados para la auditoría interna, estableciendo claramente que los auditores internosdeberían ser objetivos respecto a las actividades que auditan. Esta objetividad debe-rá reflejarse en su posición y autoridad dentro de la entidad y en una adecuada asig-nación de personal. El hecho de contar con una adecuada posición y autoridad en laorganización implica temas tales como la existencia de una línea de información a lapersona con autoridad suficiente para asegurar una debida cobertura, consideracióny respuesta a la auditoría, el nombramiento y cese del director de auditoría internacomo responsabilidad exclusiva directa del consejo de administración o comité deauditoría, el acceso permanente a ambos órganos de gobierno y la facultad parahacer el seguimiento de los resultados y recomendaciones.

Otro Personal de la Entidad

La gestión de riesgos corporativos es, hasta cierto punto, responsabilidad de todapersona de una entidad y, por esto, debería ser una parte explícita o implícita de sudescripción de funciones. Esto es verdad desde una doble perspectiva:

• Virtualmente, todo el personal juega algún papel en el ejercicio de la gestión de ries-gos corporativos. Puede generar información usada en la identificación o evaluaciónde los riesgos o tomar otras acciones necesarias para llevarla a cabo. El esmero conque se realicen estas actividades afecta directamente a la eficacia de dicha gestión.



107

• Todo el personal es responsable de dar apoyo a los flujos de información y comu-nicación inherentes a la gestión de riesgos corporativos. Esto incluye comunicar aniveles superiores de la organización cualquier problema en las operaciones,incumplimiento del código de conducta, violación de políticas o acto ilegal. La ges-tión de riesgos corporativos descansa en las comprobaciones y comparaciones,incluyendo la segregación de funciones y que el personal no “mire hacia otro lado”.Los empleados deberían entender la necesidad de resistir la presión de sus supe-riores para que participen en actividades inadecuadas y, asimismo, deberían estardisponibles canales independientes de las líneas normales de información para per-mitir informar de tal circunstancia.

La gestión de riesgos corporativos es un asunto de todos y los papeles y responsa-bilidades de cada empleado deberían definirse bien y comunicarse eficazmente.

Terceros

Varios terceros pueden contribuir a la consecución de objetivos de la entidad, a vecesmediante acciones que van en paralelo a las realizadas dentro de la entidad. En otroscasos, estos terceros pueden facilitar información útil para la entidad en sus activi-dades de gestión de riesgos corporativos.

Auditores Externos

Los auditores externos aportan al consejo de administración y a la dirección unaperspectiva única, independiente y objetiva que puede contribuir al logro de sus obje-tivos de información financiera externa por parte de una entidad, así como de otrosobjetivos.

Durante una auditoría de los estados financieros, el auditor expresa su opinión sobrela imagen fiel transmitida, de acuerdo con principios contables generalmente acepta-dos, con lo que contribuye a alcanzar objetivos de información financiera externa.Este auditor puede contribuir aun más al logro de dichos objetivos, facilitando infor-mación útil a la dirección para que lleve a cabo sus responsabilidades relativas a lagestión de riesgos. Tal información incluye:

• Averiguaciones de la auditoría, información analítica y recomendaciones de accio-nes necesarias para alcanzar los objetivos establecidos

• Averiguaciones sobre deficiencias en la gestión de riesgos y el control que llamanla atención del auditor y recomendaciones para mejorarlas

El informe de auditoría se relacionará frecuentemente no sólo con el proceso de infor-mación de la entidad, sino también con sus actividades estratégicas, operativas y decumplimiento, y puede hacer importantes contribuciones a la consecución de susobjetivos en todas estas áreas. La información se comunica a la dirección y, según surelevancia, al consejo de administración o a su comité de auditoría.

Es importante reconocer que una auditoría de los estados financieros normalmenteno incluye un enfoque significativo sobre la gestión de riesgos corporativos y, encualquier caso, no da como resultado la expresión de una opinión del auditor sobre



108

dicha gestión. Sin embargo, cuando las leyes o normas exigen que el auditor evalúelas declaraciones de una empresa relativas a su control interno sobre la informaciónfinanciera y los fundamentos en que se apoyan dichas declaraciones, el alcance deltrabajo dirigido a dichas áreas será más amplio y se obtendrá información y seguri-dad adicionales.

Legisladores y Reguladores

Los legisladores y reguladores afectan a la gestión de riesgos corporativos demuchas entidades, bien a través de requisitos para establecer mecanismos de ges-tión de riesgos o controles internos o bien mediante inspección de determinadas enti-dades. Muchas de las leyes y normas relevantes abordan primordialmente los riesgosy controles de la información financiera. Algunas, sin embargo –particularmenteaquéllas que se aplican a los organismos gubernamentales– también pueden tratarobjetivos operativos y de cumplimiento. Muchas entidades están sujetas desde hacemucho tiempo a requisitos legales de control interno. Por ejemplo, las sociedadesanónimas de Estados Unidos están obligadas a establecer y mantener sistemas decontrol interno contable que satisfagan determinados objetivos. La más recientelegislación exige que la alta dirección de empresas que cotizan en bolsa certifique laeficacia del control interno de la entidad sobre su información financiera, junto con laconformidad del auditor.

Varios organismos reguladores examinan directamente las entidades sobre las queostentan responsabilidad supervisora. Por ejemplo, los inspectores de un banco cen-tral llevan a cabo inspecciones de los bancos bajo su jurisdicción y a menudo se cen-tran en aspectos de sus sistemas de gestión de riesgos y de control interno. Estosorganismos emiten recomendaciones y adoptan acciones de refuerzo.

Por tanto, los legisladores y reguladores afectan a la gestión de riesgos corporativosde dos maneras. Primero, establecen las reglas que impulsan a la dirección a asegu-rar que la gestión de riesgos y los sistemas de control satisfacen los requisitos míni-mos legales y estatutarios. Después, tras inspeccionar una entidad, facilitan informa-ción útil para aplicar su gestión de riesgos corporativos, recomendaciones y a vecesdirectrices a su dirección respecto a las mejoras necesarias.

Terceros en Interacción con la Entidad

Los clientes, proveedores, socios de negocio y otros terceros que colaboran en losnegocios de una entidad son una fuente importante de información usada en las acti-vidades de gestión de riesgos corporativos. La información puede ser variada, desdela demanda emergente de productos o servicios nuevos, discrepancias sobre envíosy facturas, temas de calidad o acciones de empleados que desbordan las fronterasdel comportamiento ético. Esta información puede ser muy importante para la enti-dad en el logro de sus objetivos estratégicos, operativos, de información y de cum-plimiento. La entidad debe disponer de mecanismos para recibir tal información ytomar las acciones adecuadas. Estas últimas no sólo implican abordar la situación dela que se ha informado, sino también investigar el origen subyacente del problema yremediarlo.



109

Además de los clientes y proveedores, otros terceros, tales como los acreedores,pueden facilitar una supervisión respecto a la consecución de objetivos de la entidad.Un banco, por ejemplo, puede solicitar informes sobre el cumplimiento por parte deuna entidad de ciertos acuerdos sobre la deuda. También puede recomendar indica-dores de funcionamiento u otros objetivos o controles deseados.

Proveedores de Servicios Externos

Muchas organizaciones externalizan a veces funciones de negocio, tales como lasoperaciones administrativas, financieras y otras internas, delegando su gestión coti-diana en proveedores externos, a fin de obtener acceso a capacidades superiores ypara reducir el coste de servicios. Una institución financiera puede externalizar suproceso de revisión de préstamos a terceros; una empresa tecnológica, la operacióny mantenimiento de su proceso de información y un minorista, su auditoría interna.Aunque los proveedores externos realicen actividades para cada entidad y por sucuenta, las respectivas direcciones no puede abdicar de su responsabilidad de ges-tionar los riesgos correspondientes y deberían implantar un programa para supervi-sarlos.

Analistas financieros, Agencias calificadoras de solvencia financiera yMedios de comunicación

Los analistas financieros y las agencias calificadoras de solvencia financiera tienen encuenta muchos factores relevantes para el valor de una entidad como inversión.Analizan la estrategia y objetivos de la dirección, los estados financieros históricos yla información financiera proyectada, las acciones tomadas en respuesta a las condi-ciones económicas y de mercado, el potencial de éxito a corto y medio plazo, el ren-dimiento del sector y comparaciones con otras entidades similares. Los medios decomunicación, particularmente los periodistas financieros, también pueden realizaranálisis similares.

Las actividades investigadoras y de seguimiento de dichos terceros pueden propor-cionar ideas sobre cómo otros perciben el funcionamiento de la entidad, los riesgoseconómicos y sectoriales a los que se enfrenta la entidad, las estrategias innovado-ras operativas o financieras que pueden mejorar el rendimiento y las tendencias delsector. Esta información a veces se facilita directamente a la entidad en reunionespersonales o bien, indirectamente, la propia entidad la capta de análisis externos parainversores reales o potenciales y del público. En cualquier caso, la dirección deberíatener en cuenta las observaciones e ideas de los analistas financieros, las agenciascalificadoras de solvencia financiera y los medios de comunicación que puedanmejorar la gestión de riesgos corporativos.


111

11. Limitaciones de la gestiónde riesgos corporativos

Resumen del capítulo: Una eficaz gestión de riesgos corporativos, sin impor-tar su grado de buen diseño y ejecución, sólo proporciona una seguridadrazonable a la dirección y al consejo de administración respecto a la conse-cución de objetivos de la entidad. Esta consecución está afectada por las limi-taciones inherentes a cualquier proceso de gestión, que incluyen los factoresde que el juicio humano en la toma de decisiones puede ser defectuoso y quepueden ocurrir problemas por causa de fallos humanos como simples erroreso equivocaciones. Adicionalmente, cabe considerar que los controles puedenevadirse con la connivencia de dos o más personas y la dirección tiene capa-cidad para obviar el proceso de gestión de riesgos corporativos, incluyendolas decisiones de respuesta a los riesgos y las actividades de control. Otrofactor limitativo es la necesidad de considerar los costes y beneficios relativosa las respuestas a los riesgos

Para algunos observadores, la gestión de riesgos corporativos, con un control inter-no integrado, asegura que la entidad no fallará –esto es, que la entidad siemprealcanzará sus objetivos. Esta perspectiva es errónea.

Al considerar las limitaciones de la gestión de riesgos corporativos, hay que recono-cer tres conceptos distintos:

• El riesgo corresponde al futuro, que es inherentemente incierto.

• La gestión de riesgos corporativos –incluso una que sea eficaz– opera a distintosniveles con respecto a objetivos diferentes. Respecto a los objetivos estratégicos yoperativos, dicha gestión puede ayudar a asegurar que la dirección, y el consejo ensu papel supervisor, es consciente en forma oportuna sólo del grado de progresode la entidad hacia la consecución de dichos objetivos. Sin embargo, no puede pro-porcionar ni siquiera una seguridad razonable de que los objetivos en sí mismos sealcancen.

• La gestión de riesgos corporativos no puede facilitar una seguridad absoluta res-pecto a ninguna de las categorías de objetivos.

La primera limitación recuerda que nadie puede predecir el futuro con certeza. Lasegunda reconoce que ciertos eventos están sencillamente fuera del control de ladirección. La tercera tiene que ver con el hecho de que ningún proceso hará siempretodo aquello para lo que lo ha sido diseñado.

El concepto de seguridad razonable no implica que la gestión de riesgos corporati-vos vaya a fracasar frecuentemente y muchos factores, individual y colectivamente,



112

lo refuerzan. El efecto acumulativo de las respuestas al riesgo que satisfacen múlti-ples objetivos y la naturaleza “multifinalista” de los controles internos reducen el ries-go de que una entidad no pueda conseguir sus objetivos. Es más, las habituales ycotidianas actividades operativas y responsabilidades personales que funcionan envarios niveles de una organización se orientan al logro de los objetivos de la entidad.De hecho, en una muestra de entidades bien controladas, es probable que la mayo-ría esté informada regularmente de su avance hacia los objetivos estratégicos y ope-rativos, alcance sus objetivos de cumplimiento con regularidad y genere periódica-mente informes fiables. Sin embargo, puede ocurrir un evento incontrolable, un erroro una información errónea. En otras palabras, incluso una gestión eficaz de riesgoscorporativos puede experimentar un fallo. La seguridad razonable no constituye unaseguridad absoluta.

Juicios

La eficacia de la gestión de riesgos corporativos está limitada por las realidades dela fragilidad humana al tomar decisiones empresariales, algo a hacer aplicando un jui-cio humano en el tiempo disponible, a partir de la información existente y bajo las pre-siones de la dirección del negocio. Con la clarividencia de la retrospección, es posi-ble averiguar más tarde que algunas decisiones han producido resultados inferioresa lo esperado y que podrían necesitar un cambio.

Fracasos

Una gestión de riesgos corporativos bien diseñada puede fallar. Es posible que el per-sonal no entienda bien las instrucciones y que cometa errores de juicio o por desidia,distracción o fatiga. Un supervisor de un departamento de contabilidad que sea res-ponsable de la investigación de incidencias sencillamente puede olvidarse de hacerel seguimiento o fallar al no continuar la investigación hasta el punto convenientedonde efectuar correcciones adecuadas. El personal temporal que realiza funcionesde control supliendo a empleados de baja por enfermedad o vacaciones puede des-empeñar mal su cometido. Los cambios de sistema pueden haberse implantadoantes de formar al personal para que reaccione adecuadamente ante los signos defuncionamiento incorrecto.

Connivencia

Las situaciones de connivencia entre dos o más individuos pueden provocar fallos enla gestión de riesgos corporativos. Las personas que actúan colectivamente para per-petrar y ocultar un acto a menudo pueden alterar datos financieros u otra informaciónde gestión de una forma que no pueda ser identificada por el proceso de gestión deriesgos corporativos. Por ejemplo, puede haber confabulación entre un empleadoque realiza una importante función de control y un cliente, un proveedor u otro emple-ado. A un nivel distinto, varios niveles de la dirección de ventas o de otra divisiónpodrían conspirar para eludir controles y conseguir que los resultados a informarcoincidan o superen los objetivos presupuestados o fijados como incentivo.


LIMITACIONES DE LA GESTIÓN DE RIESGOS CORPORATIVOS

113

Costes y Beneficios

Como se comenta en el capítulo Evaluación de riesgos, siempre existen restriccionesen los recursos y las entidades deben tener en cuenta los costes y beneficios relati-vos que las decisiones implican, incluyendo aquellos relacionados con la respuestaal riesgo y las actividades de control.

Al determinar si debe decidirse una acción o establecerse un control, deben consi-derarse tanto el riesgo de fracaso y el efecto potencial en la entidad, como los cos-tes correspondientes. Por ejemplo, es posible que no resulte provechoso para unaempresa instalar controles sofisticados de inventario para supervisar los niveles dematerias primas, si es bajo el coste de las que se usan en un proceso de producción,si el material no es perecedero, si existen suministros externos disponibles y si hayespacio libre en los almacenes.

Los costes y beneficios de implantar unas capacidades de identificación de eventosy evaluación de riesgos y las correspondientes respuestas y actividades de controlpueden medirse con niveles distintos de precisión, que a menudo varían según lanaturaleza de la entidad. El reto es encontrar el equilibrio adecuado. Del mismo modoque los recursos limitados no deberían asignarse a riesgos no significativos, un con-trol excesivo es costoso y contraproducente. Los clientes que realizan pedidos tele-fónicamente no van a tolerar procedimientos de aceptación demasiado complicadoso largos. Un banco que hace “pasar por el aro” a potenciales clientes solventes noconcederá muchos préstamos nuevos. Un control demasiado escaso, por el contra-rio, presenta riesgos innecesarios de morosidad. Hace falta un equilibrio adecuado enun entorno muy competitivo. A pesar de las dificultades, se seguirán tomando deci-siones coste-beneficio.

Imposición de la Dirección

La gestión de riesgos corporativos es tan eficaz como lo sean las personas respon-sables de su funcionamiento. Incluso en entidades gestionadas y controladas eficaz-mente –aquellas con niveles generalmente altos de integridad y conciencia de losriesgos y del control, canales alternativos de comunicaciones y un consejo de admi-nistración activo e informado que posea un adecuado proceso de gobierno corpora-tivo– un directivo todavía podría hacer caso omiso de la gestión de riesgos corpora-tivos. Ningún sistema de control o gestión es infalible y aquellas personas con inten-ciones delictivas se empeñarán en burlar los sistemas. Sin embargo, una gestión efi-caz de riesgos corporativos mejorará la capacidad de la entidad para prevenir ydetectar aquellas actividades que hagan caso omiso de ella.

El término “imposición de la dirección” se usa aquí con el significado de hacer casoomiso de las políticas o procedimientos estipulados con fines no legítimos – talescomo el enriquecimiento personal o la presentación mejorada de la posición finan-ciera o del nivel cumplimiento de una entidad. Un director de una división o unidad oun miembro de la alta dirección pueden prescindir de la gestión de riesgos corpora-tivos por muchas razones: aumentar los ingresos informados para cubrir una reduc-ción inesperada de cuota de mercado, alterar los resultados informados a fin dealcanzar presupuestos no realistas, incrementar el valor de mercado de la entidadantes de una oferta publica de venta, lograr las proyecciones de ventas o resultados



114

a fin de agrandar los incentivos vinculados al rendimiento o valor de las opcionessobre acciones, encubrir violaciones de contratos de préstamos y ocultar la falta decumplimiento de las normas legales. Son prácticas de omisión las presentaciones fal-sas deliberadas a bancos, auditores y proveedores y la emisión intencionada dedocumentos falsos tales como pedidos de compra o facturas de venta.

La imposición de la dirección no debería confundirse con su intervención. Esta últimarepresenta las acciones de la dirección para desviarse con fines legítimos de las polí-ticas o procedimientos establecidos. La intervención de la dirección es necesariapara tratar con transacciones no recurrentes y poco habituales o eventos que, de otromodo, podrían manejarse inadecuadamente. Es necesario dar margen a la interven-ción de la dirección, porque no se puede diseñar ningún proceso que anticipe todoslos riesgos y circunstancias. Las acciones de la dirección para efectuar tal tipo deintervención están generalmente abiertas y documentadas o, de otra forma, son reve-ladas al personal adecuado. Hacer caso omiso de la gestión de riesgos corporativosnormalmente no genera documentación ni revelaciones y tiene la intención de encu-brir las acciones.


115

12. Qué hacer

Las acciones que podrían llevarse a cabo como consecuencia de este documentodependen de la posición y papel de las partes implicadas.

• Miembros del consejo de administraciónLos miembros del consejo de administración deberían comentar con la alta direc-ción el estado de la gestión de riesgos corporativos de la entidad y efectuar susupervisión según se necesite. El consejo también debería asegurar que los meca-nismos de dicha gestión proporcionan una evaluación de los riesgos más significa-tivos relacionados con la estrategia y los objetivos, incluyendo las acciones que ladirección esté realizando y su propio grado de implicación en la supervisión de lagestión de riesgos corporativos. El consejo debería buscar y obtener información delos auditores internos y externos y sus asesores.

• Alta direcciónEste documento sugiere que el consejero delegado debería evaluar las capacidadesde gestión de riesgos corporativos de la entidad. Usando el presente Marco, un con-sejero delegado, junto con los directivos operativos y financieros claves, puede cen-trar su atención donde sea necesario. Con un determinado enfoque, el consejerodelegado reúne a los responsables de las unidades de negocio y las funciones clavesde apoyo para comentar una evaluación inicial de dichas capacidades y la eficacia dela gestión de riesgos. Independientemente de su forma, esta evaluación inicial debe-ría determinar si hay necesidad de otra evaluación más exhaustiva y amplia y cómoproceder a ella. También debería confirmarse que los procesos permanentes desupervisión están implantados. El tiempo dedicado a evaluar la gestión de riesgoscorporativos representa una inversión, capaz de generar un beneficio importante.

• Otro personal de la entidadLos directivos y demás personas deberían considerar, a la vista de este Marco,cómo llevan a cabo sus responsabilidades de gestión de riesgos corporativos eintercambiar ideas para potenciarlas con otras personas de mayor rango en la enti-dad. Los auditores internos deberían considerar la ampliación de su enfoque sobrela gestión de riesgos corporativos.

• ReguladoresLas expectativas de la gestión de riesgos corporativos varían mucho con respectoa lo que se puede conseguir con ella y a qué significa el concepto de “seguridadrazonable” y cómo se aplica. Este Marco puede promover una visión compartida dedicha gestión, incluyendo lo que puede conseguir y sus limitaciones. Los regulado-res pueden referirse a él al establecer sus expectativas, bien mediante normas orecomendaciones o a través de inspecciones en las entidades que supervisan.



116

• Asociaciones profesionalesLas asociaciones profesionales que establecen reglas y otras profesionales quefacilitan orientación sobre la gestión financiera, auditoría y temas relacionadosdeberían examinar sus normas y orientaciones a la luz de este Marco. En la medi-da en que se elimine la diversidad en conceptos y terminología, todas las partes sebeneficiarán.

• EducadoresEste Marco debería estar sujeto a la investigación y análisis universitario, para verdónde se pueden hacer futuras mejoras. En la idea de que este documento lleguea aceptarse como una base común de comprensión y entendimiento, sus concep-tos y términos deberían encontrar su lugar en los planes de estudios universitarios.

Creemos que su contenido ofrece numerosos beneficios. Con esta base de entendi-miento mutuo, todas las partes podrán hablar un lenguaje común y comunicarse máseficazmente. Los directivos estarán en posición de evaluar los procesos de gestiónde riesgos corporativos respecto a una norma, potenciando el proceso y dirigiendosus empresas hacia los objetivos establecidos. La investigación futura puede apo-yarse sobre una base sólida. Los legisladores y reguladores podrán conseguir unincremento de su comprensión acerca de la gestión de riesgos corporativos, susbeneficios y limitaciones. Con todas las partes implicadas utilizando un marco comúnpara dicha gestión, se conseguirán beneficios para todos.


Gestión de Riesgos Corporativos - Marco Integrado

Anexos


121

Anexo AObjetivos y metodología

A finales de 2001, el Committee of Sponsoring Organizations of the TreadwayCommission (COSO) inició un estudio diseñado para ayudar a organizaciones a ges-tionar los riesgos. A pesar de la abundancia de literatura sobre el tema, COSO con-cluyó que hacía falta que dicho estudio diseñara y construyera un marco y las corres-pondientes técnicas de aplicación. PricewaterhouseCoopers fue contratada para diri-gir este proyecto, que dio como resultado este informe, Gestión de RiesgosCorporativos – Marco Integrado.

El Marco define el riesgo y la gestión de riesgos corporativos y proporciona defini-ciones básicas, conceptos, categorías de objetivos, componentes y principios de unmarco integral de la gestión de riesgos corporativos. Proporciona orientación a lasempresas y demás organizaciones para determinar cómo mejorar dicha gestión, pro-porcionando el contexto y facilitando su aplicación en el mundo real. El documentoha sido diseñado también para proveer una base para uso de las entidades cuandodeterminen si su gestión de riesgos corporativos es eficaz y, en caso negativo, quénecesitan para que lo sea.

Las Técnicas de Aplicación están vinculadas directamente con el Marco.Proporcionan ejemplos de técnicas de gestión de riesgos que las empresas y otrasorganizaciones pueden aplicar a varios niveles –empresa, línea de negocio, procesoo función– y para apoyar la mejora puntual o evolutiva.

Dadas las necesidades diversas de los lectores, se obtuvo información de directivoscorporativos de organizaciones de varias dimensiones, incluyendo empresas públi-cas y privadas de sectores diversos y organismos gubernamentales. Este grupo dedirectivos estaba compuesto por consejeros delegados, directores financieros, direc-tores de riesgo, controllers, auditores internos, legisladores, reguladores, abogados,auditores externos, consultores, profesores universitarios y otros.

Durante el proyecto, su equipo responsable recibió consejos y asesoramiento de unConsejo Asesor de la Junta del COSO, compuesto por personas de direcciones finan-cieras, auditoría interna y externa y de universidades. Este Consejo se reunió perió-dicamente con el equipo del proyecto y los miembros de la Junta del COSO para revi-sar el plan de trabajo, su progreso y los borradores del Marco y comentar los temasque pudieran derivarse. En los hitos más importantes del proyecto, el Consejo Asesory el equipo de trabajo establecieron comunicación con la Junta del COSO.

La metodología aplicada en este estudio fue diseñada para generar un informe deacuerdo con los objetivos establecidos. El proyecto se estructuró en cinco fases:



122

1. Evaluación

El equipo de proyecto evaluó los modelos actuales de gestión de riesgos corporativosa través de una revisión de literatura, encuestas y grupos de trabajo, con el propósitode obtener la información a través del amplio espectro de dicha gestión. Esta fase abar-có el análisis de información, comparando y contrastando los conceptos y prácticas delas filosofías y protocolos de gestión de riesgos corporativos, entendiendo las necesi-dades del usuario e identificando los temas y preocupaciones críticas.

2. Visión

El equipo creó un modelo conceptual de trabajo para el marco de la gestión de ries-gos corporativos y desarrolló un inventario preliminar de herramientas como base delas técnicas de aplicación. Usando técnicas individualizadas de solicitud de informa-ción, el equipo contrastó los conceptos con grupos de interés y de usuarios claves y,con la retroalimentación obtenida, refinó el modelo conceptual.

3. Construcción y Diseño

Usando el modelo conceptual refinado como un anteproyecto, el equipo desarrolló elMarco, incluyendo definiciones, categorías de objetivos, componentes, principios,infraestructura y el contexto directivo, junto con los comentarios correspondientes.Esta fase también abarcó el diseño de la organización y el enfoque para desarrollarlas técnicas de aplicación. Tanto el borrador del marco como las técnicas fueron revi-sadas con los grupos de interés y de usuarios claves ya citados y se obtuvieroncomentarios y sugerencias.

4. Preparación de la Presentación al Público

En esta fase, el equipo refinó el Marco y desarrolló en mayor amplitud las técnicas deaplicación, revisándolas con los directivos de varias empresas, que facilitaron retroa-limentación sobre su valor y utilidad.

5. Finalización

Esta fase abarcó la presentación del volumen del Marco para información públicadurante noventa días y comprobaciones de campo en varias empresas. Una vezrecogidos los comentarios, el equipo de proyecto los revisó y analizó, identificandolas modificaciones necesarias. El equipo finalizó el Marco y las Técnicas deAplicación y remitió los textos definitivos al Consejo Asesor y la Junta del COSO parasu revisión y aprobación.

Como parte del proceso, el equipo de proyecto consideró cuidadosamente toda lainformación recibida, incluyendo otros marcos ya existentes. Una relación de algunas


ANEXO A - OBJETIVOS Y METODOLOGÍA

123

de las fuentes publicadas se incluye en el Anexo D – Bibliografía seleccionada. Comocabría esperar, se expresaron muchas opiniones, a veces contradictorias, sobretemas fundamentales –dentro de una fase de proyecto o entre fases. El equipo de tra-bajo, junto con el Consejo Asesor del COSO y con la supervisión de la Junta, hizo unareflexión exhaustiva sobre los fundamentos de las posiciones planteadas, tanto indi-vidualmente como dentro del contexto de los temas correspondientes, incluyendoaquellas que facilitaran el desarrollo de un marco relevante, lógico e internamenteconsecuente. El Consejo Asesor y la Junta del COSO han dado su total apoyo almarco resultante de este proceso y lo han aprobado.


125

Anexo BResumen de principios claves

A continuación, se destacan los principios claves inherentes a los ocho componen-tes de la gestión de riesgos corporativos. Este anexo no pretende facilitar una rela-ción completa de los principios establecidos en el Marco, ni precisarlos o describir-los totalmente.

ÁMBIENTE INTERNO

Filosofía de la gestión de riesgos

• La filosofía de la gestión de riesgos de la entidad representa las convicciones y acti-tudes compartidas que caracterizan cómo la entidad contempla el riesgo en todassus actividades

• Refleja los valores de la entidad, influyendo en su cultura y estilo operativo

• Afecta a cómo se aplican los componentes de la gestión de riesgos corporativos,incluyendo la identificación de eventos, los tipos de riesgo aceptado y la gestión deriesgos

• Está bien desarrollada, entendida y aceptada por el personal de la entidad

• Se ha integrado en las declaraciones de políticas de la entidad, las comunicacionesverbales y escritas y la toma de decisiones

• La dirección refuerza la filosofía no sólo con palabras, sino también con accionescotidianas

Riesgo aceptado

• El riesgo aceptado por la entidad refleja su filosofía de gestión de riesgos e influyeen la cultura y estilo operativo

• Se tiene en consideración en el establecimiento de la estrategia, que queda en líneacon el riesgo aceptado


• El consejo es activo y posee una adecuada experiencia directiva y técnica y de otrotipo, junto con la mentalidad necesaria para realizar sus funciones supervisoras



126

• Está preparado para cuestionar y fiscalizar las actividades de la dirección, presen-tar perspectivas alternativas y actuar contra el dolo

• Tiene al menos una mayoría de consejeros externos e independientes

• Proporciona la supervisión de la gestión de riesgos corporativos y es consciente delriesgo aceptado por la entidad y está de acuerdo con él

Integridad y valores éticos

• Las normas de conducta de la entidad reflejan la integridad y valores éticos

• Los valores éticos no sólo se comunican, sino que también van acompañados deuna orientación explícita sobre lo que es correcto o incorrecto

• La integridad y los valores éticos son comunicados a través de un código formal deconducta

• Los canales ascendentes de comunicación existen cuando los empleados se sien-ten cómodos aportando información relevante

• Las sanciones se aplican a los empleados que violan el código. Los mecanismosaniman al empleado a presentar denuncias por sospechas de violaciones y setoman acciones disciplinarias contra empleados que conscientemente optan por noinformar sobre ellas

• La integridad y los valores éticos se comunican a través de acciones de la direccióny sus ejemplos

Compromiso con las competencias

• Las competencias de los empleados de la entidad reflejan los conocimientos yhabilidades necesarios para realizar las tareas asignadas

• La dirección alinea las competencias y el coste

Estructura organizativa

• La estructura organizativa define las áreas clave de responsabilidad

• Establece las líneas de información

• Se desarrolla teniendo en cuenta la dimensión de la entidad y la naturaleza de susactividades

• Permite una gestión eficaz de riesgos corporativos

Delegación de autoridad y responsabilidad

• Ambos tipos de delegación marcan los límites de la autoridad y establecen hastaqué punto se confiere ésta a los equipos y personas y se les anima a usar su ini-ciativa para abordar temas y resolver problemas


ANEXO B - RESUMEN DE PRINCIPIOS CLAVE

127

• Las asignaciones correspondientes establecen las relaciones de información y losprotocolos de autorización

• Las políticas describen las prácticas empresariales adecuadas, el conocimiento yexperiencia del personal clave y los recursos asociados

• Las personas conocen cómo sus acciones se relacionan entre sí y contribuyen a laconsecución de objetivos

Normas de recursos humanos

• Estas normas abordan la contratación, orientación, formación, evaluación, aseso-ramiento, promoción, compensación y acciones correctoras e impulsan los nivelesesperados de integridad, comportamiento ético y competencias

• Las acciones disciplinarias transmiten el mensaje de que las violaciones del com-portamiento esperado no serán toleradas


Objetivos estratégicos

• Los objetivos estratégicos de la entidad establecen objetivos de alto nivel, en líneacon su misión / visión y dando apoyo a ésta

• Reflejan las decisiones estratégicas de la dirección respecto a cómo la entidad pre-tenderá crear valor para sus grupos de interés

• La dirección identifica los riesgos asociados a las decisiones estratégicas y consi-dera sus implicaciones

Objetivos conexos

• Los objetivos conexos apoyan la estrategia seleccionada, relativa a todas las acti-vidades de la entidad

• Cada nivel de objetivos está vinculado a objetivos más específicos que fluyen encascada por toda la organización

• Los objetivos son fácilmente comprensibles y medibles

• Están en línea con el riesgo aceptado

Objetivos seleccionados

• La dirección tiene un proceso que alinea los objetivos estratégicos con la misión dela entidad, asegurando que los objetivos estratégicos y relacionados son conse-cuentes con el riesgo aceptado por la entidad



128

Riesgo aceptado

• El riesgo aceptado por la entidad es la guía principal para establecer la estrategia

• Orienta la dotación de recursos

• Alinea a la organización, personas, procesos e infraestructura

Tolerancias al riesgo

• Las tolerancias al riesgo son medibles, preferiblemente en las mismas unidades quelos objetivos conexos

• Están en línea con el riesgo aceptado


Eventos

• La dirección identifica los eventos potenciales que afectan a la implantación de laestrategia o a la consecución de los objetivos – aquéllos que pueden tener unimpacto positivo o negativo o de ambos tipos

• Se tienen en cuenta incluso los eventos con una posibilidad de ocurrencia relativa-mente baja siempre que su impacto sobre la consecución de algún objetivo seaimportante

Factores influyentes

• La dirección reconoce la importancia de entender los factores internos y externos yel tipo de eventos que pueden emanar de ellos

• Se identifican los eventos tanto a nivel de entidad como de actividad

Técnicas de identificación de eventos

• Las técnicas aplicadas miran tanto al pasado como al futuro

• La dirección selecciona técnicas adecuadas para su filosofía de gestión de riesgos yasegura que la entidad desarrolla las capacidades de identificación de eventos

• La identificación de los eventos es sólida, formando la base de la evaluación deriesgos y los componentes de respuesta a ellos

Interdependencias

• La dirección entiende cómo los eventos se relacionan entre sí



129

Distinción entre riesgos y oportunidades

• Los eventos con impactos negativos representan riesgos, que la dirección evalúa ya los cuales responde

• Los eventos que representan oportunidades son canalizados hacia el proceso deestablecimiento de estrategia y objetivos


• Al evaluar los riesgos, la dirección considera los eventos esperados e inesperados

Riesgo inherente y residual

• La dirección evalúa los riesgos inherentes previamente

• Una vez desarrolladas las respuestas, la dirección considera el riesgo residual

Estimación de probabilidad e impacto

• Los eventos potenciales son evaluados desde dos perspectivas: probabilidad eimpacto

• Al evaluar el impacto, la dirección normalmente utiliza la misma unidad de medi-ción, u otra coherente, que la empleada para el objetivo

• El horizonte temporal aplicado para evaluar los riesgos debería ser consecuentecon el horizonte de tiempo de la estrategia y objetivos correspondientes

Técnicas de evaluación

• La dirección usa una combinación de técnicas cualitativas y cuantitativas

• Las técnicas apoyan el desarrollo de una evaluación compuesta de los riesgos

Relaciones entre los eventos

• Donde existe una correlación entre eventos o donde se combinen e interaccionen,la dirección los evalúa en conjunto

RESPUESTA AL RIESGO

• Al responder a los riesgos, la dirección considera entre evitar, reducir, compartir oaceptar el riesgo



130

Evaluación de posibles respuestas

• Las respuestas se evalúan con la intención de alinear el riesgo residual y las tole-rancias al riesgo de la entidad

• Al evaluar las respuestas a los riesgos, la dirección considera sus efectos sobre laprobabilidad y el impacto

• La dirección considera sus costes y beneficios, además de las nuevas oportunida-des

Respuestas seleccionadas

• Las respuestas elegidas por la dirección están diseñadas para enmarcar la proba-bilidad de riesgo esperada y el impacto dentro de las tolerancias de riesgo

• La dirección considera los riesgos adicionales que pueden derivarse de una res-puesta

Perspectiva de carteras de riesgos

• La dirección considera los riesgos desde la perspectiva de toda la entidad o la decarteras de riesgos

• La dirección determina si el perfil de riesgo residual de la entidad es consecuentecon su riesgo aceptado global


Integración con la respuesta a los riesgos

• La dirección identifica las actividades de control necesarias para ayudar a asegurarque las respuestas a los riesgos se llevan a cabo de modo adecuado y oportuno

• La selección o revisión de las actividades de control incluye la consideración de surelevancia y adecuación a las respuestas a los riesgos y al objetivo relacionado

• Al seleccionar las actividades de control, la dirección considera cómo se interrela-cionan las actividades de control

Tipos de actividades de control

• La dirección selecciona entre varios tipos de actividades de control, incluyendo loscontroles de detección, manuales, informáticos y de gestión.

Políticas y procedimientos

• Las políticas se implantan de forma meditada, consciente y coherente



131

• Los procedimientos se llevan a cabo con un enfoque claro y permanente sobre lascondiciones hacia las que se orienta la política

• Las condiciones identificadas como resultado del procedimiento son investigadas yse toman las acciones correctoras adecuadas

Controles informáticos

• Se implantan adecuados controles generales y de aplicaciones


Información

• La información relevante se obtiene de fuentes internas y externas

• La entidad capta y usa los datos históricos y actuales, según necesidad, para apo-yar una gestión eficaz de riesgos corporativos

• La infraestructura de información convierte los datos no tratados en informaciónrelevante que ayuda al personal a realizar su gestión de riesgos corporativos y otrasresponsabilidades. La información se facilita con profundidad, forma y marco tem-poral adecuados para que resulte disponible, utilizable y vinculada a responsabili-dades definidas –incluyendo la necesidad de identificar y evaluar el riesgo y res-ponder al mismo

• Los datos e información fuente son fiables y facilitados a tiempo en el lugar ade-cuado para permitir una toma eficaz de decisiones

• La oportunidad del flujo de información es coherente con el ritmo de cambios en losentornos externos e internos de la entidad

• Los sistemas de información cambian según se necesite para apoyar a los objeti-vos nuevos

Comunicación

• La dirección proporciona una comunicación específica y directa relativa a lasexpectativas de comportamiento y responsabilidades del personal, incluyendo unanítida exposición de la filosofía y enfoque de gestión de riesgos corporativos de laentidad y una clara delegación de autoridad

• La comunicación sobre procesos y procedimientos está en línea con la culturadeseada y se ajusta a ella

• Todo el personal recibe un mensaje claro desde la alta dirección de que la gestiónde riesgos corporativos ha de tomarse en serio

• El personal sabe cómo sus actividades se relacionan con el trabajo de los demás,permitiéndoles reconocer los problemas, determinar sus causas y tomar accionescorrectoras



132

• El personal sabe qué comportamiento se considera aceptable y no aceptable

• Existen canales abiertos de comunicación y una disposición a escuchar y el perso-nal cree que sus superiores realmente desean conocer los problemas y que losabordarán eficazmente

• Hay canales de comunicación independientes de las líneas normales de informa-ción y el personal entiende que no habrá represalias por trasladar información rele-vante

• Un canal abierto de comunicaciones existe entre la alta dirección y el consejo deadministración, siendo comunicada oportunamente la información adecuada

• Están abiertos unos canales externos de comunicaciones y a través de ellos losclientes y proveedores pueden facilitar información significativa

• La entidad comunica la información relevante a los reguladores, analistas financie-ros y otros terceros

SUPERVISIÓN

• La dirección determina, a través de actividades permanente de supervisión, eva-luaciones independientes o una combinación de ambas, si el funcionamiento de lagestión de riesgos corporativos sigue siendo eficaz

Actividades permanentes de supervisión

• Las actividades permanentes de supervisión están integradas en las operacionesnormales y recurrentes de la entidad realizadas durante el transcurso normal delnegocio

• Se llevan a cabo en tiempo real y reaccionan dinámicamente ante las condicionescambiantes

Evaluaciones independientes

• Las evaluaciones independientes se centran directamente en la eficacia de la ges-tión de riesgos corporativos y proporcionan una oportunidad para considerar laefectividad de las actividades de supervisión permanente.

• El evaluador entiende cada una de las actividades de la entidad y cada componen-te de la gestión de riesgos corporativos que está siendo abordado

• El evaluador analiza el diseño de la gestión de riesgos corporativos de la entidad ylos resultados de las pruebas realizadas frente al trasfondo de normas establecidaspor la dirección, determinando si dicha gestión proporciona una seguridad razona-ble respecto a los objetivos fijados



133

Información de deficiencias

• Las deficiencias informadas desde fuentes internas o externas se consideran cui-dadosamente por sus implicaciones para la gestión de riesgos corporativos y seadoptan las acciones correctoras adecuadas

• Todas las deficiencias identificadas que afectan a la capacidad de la entidad paradesarrollar e implantar su estrategia y alcanzar sus objetivos establecidos se comu-nican a aquellas personas en posición de efectuar las acciones necesarias

• No sólo se informa de las transacciones o eventos investigados y corregidos, sinoque también se vuelven a evaluar los procedimientos subyacentes potencialmentedefectuosos

• Se establecen protocolos para identificar qué información es necesaria a un niveldeterminado para tomar decisiones eficazmente



• El consejo sabe hasta qué punto la dirección ha establecido una gestión eficaz deriesgos corporativos en la organización

• Es consciente del riesgo aceptado por la entidad y está de acuerdo con él

• Revisa la perspectiva de carteras de riesgos y la contrasta con el riesgo aceptado

• Está informado de los riesgos más significativos y si la dirección está respondien-do adecuadamente

Dirección

• El consejero delegado tiene la última responsabilidad de la gestión de riesgos cor-porativos

• Asegura la presencia de un ámbito interno positivo y que todos los componentesde la gestión de riesgos corporativos están implantados

• Los altos directivos a cargo de las unidades organizativas tienen la responsabilidadde gestionar los riesgos relacionados con los objetivos de sus unidades

• Guía la aplicación de la gestión de riesgos corporativos, asegurando que su aplica-ción es coherente con las tolerancias al riesgo

• Cada directivo es responsable ante el nivel superior inmediato de su parte de ges-tión de riesgos corporativos, siendo el consejero delegado el último responsableante el consejo de administración



134

Otro personal de la entidad

• La gestión de riesgos corporativos es una parte implícita o explícita de la descrip-ción de funciones de cada persona

• El personal entiende la necesidad de resistirse a la presión de sus superiores a par-ticipar en actividades impropias y están disponibles canales independientes de laslíneas normales de información para permitir informar de dichas circunstancias

• Los papeles y responsabilidades del personal en la gestión de riesgos corporativosestán bien definidos y eficazmente comunicados

Terceros que interaccionan con la entidad

• Existen mecanismos para recibir información pertinente de terceros que interaccio-nan con la entidad y tomar las acciones adecuadas

• Una acción no sólo incluye abordar la situación particular informada, sino tambiénla investigación del origen subyacente del problema y su resolución

• Respecto a las actividades externalizadas, la dirección ha implantado un programapara supervisarlas

• La dirección considera las observaciones e ideas de los analistas financieros, lasagencias calificadoras de solvencia financiera y los medios de comunicación quepuedan mejorar la gestión de riesgos corporativos


Anexo CRelación entre Gestión de

riesgos corporativos – Marcointegrado y Control interno –

Marco integrado

Control Interno – Marco Integrado

En 1992, el Committee of Sponsoring Organizations of the Treadway Commission(COSO) emitió Control interno – Marco integrado, que establece un marco para el con-trol interno y proporciona herramientas de evaluación que las empresas y otras entida-des pueden usar para evaluar sus sistemas de control. Dicho marco identifica y descri-be cinco componentes interrelacionados, necesarios para un control interno eficaz.

Control interno – Marco integrado define al control interno como un proceso, efec-tuado por el consejo de administración, la dirección y demás personal de una enti-dad, diseñado para facilitar una seguridad razonable respecto de la consecución deobjetivos en las siguientes categorías:

• Eficacia y eficiencia de las operaciones

• Fiabilidad de la información financiera

• Cumplimiento de leyes y normas aplicables

El presente anexo presenta la relación entre los respectivos marcos del control inter-no y de la gestión de riesgos corporativos.

Más amplia que el Control interno

El control interno está inmerso en la gestión de riesgos corporativos y forma parteíntegra de ella. Dicha gestión es más amplia que el control interno, concepto este últi-mo que va ampliando y elaborando para formar una conceptualización sólida centra-da más concretamente en los riesgos. El Control interno – Marco integrado siguesiendo válido para las entidades que se focalicen en el control interno en sí mismo.

Categorías de Objetivos

El Control interno – Marco integrado especifica tres categorías de objetivos –opera-ciones, información financiera y cumplimiento– y, a su vez, la gestión de riesgos cor-porativos contiene también tres categorías casi iguales– operaciones, información y

135


cumplimiento. La categoría de información del marco de control interno se definecomo relativa a la fiabilidad de los estados financieros publicados, mientras que en elmarco de gestión de riesgos corporativos, esta categoría ha sido ampliada de modosignificativo, para cubrir todos los informes desarrollados por una entidad, divulga-dos tanto interna como externamente. Se incluyen en ella los informes usados inter-namente por la dirección y los emitidos a terceros, incluyendo las presentaciones aorganismos reguladores y los informes enviados a los grupos de interés. Es más, sualcance se expande desde los estados financieros, pero no limitándose a cubrirlos deun modo más amplio, sino a incorporar también la información no financiera.

Adicionalmente, Gestión de riesgos corporativos – Marco integrado añade otra cate-goría de objetivos, denominados objetivos estratégicos, que operan a un nivel mayorque los otros y se derivan de la misión o visión de la entidad, con las que deberíanestar alineados los objetivos operativos, de información y de cumplimiento. La ges-tión de riesgos corporativos se aplica en el establecimiento de la estrategia, así comoen las actuaciones para alcanzar los objetivos de las otras tres categorías.

El marco de gestión de riesgos corporativos introduce los conceptos de riesgo acep-tado y tolerancia al riesgo. El riesgo aceptado es el volumen amplio de riesgo que unaentidad está dispuesta a aceptar en la realización de su misión/visión. Sirve de puntode orientación para establecer la estrategia y seleccionar los objetivos conexos. Lastolerancias al riesgo son los niveles aceptables de variación en relación con el logrode objetivos. Al establecerlas, la dirección considera la importancia relativa de losobjetivos relacionados y alinea las tolerancias al riesgo con el riesgo aceptado.Operar dentro de las tolerancias al riesgo proporciona a la dirección una mayor segu-ridad de que la entidad permanece dentro de su riesgo aceptado, lo que, a su vez,facilita un mayor nivel de confianza en que la entidad alcanzará sus objetivos.

Perspectiva de Carteras

La perspectiva de carteras de riesgos es un concepto no contemplado en el marcode control interno. Además de centrarse en los riesgos considerando el alcance deobjetivos de la entidad a escala individual, es necesario tener en cuenta los riesgoscompuestos desde una perspectiva de “cartera”.

Componentes

Con un enfoque mejorado sobre el riesgo, el marco de gestión de riesgos corporati-vos expande el componente de evaluación de riesgos del marco del control interno,creando cuatro componentes –establecimiento de objetivos (que es un requisito pre-vio para el control interno), identificación de eventos, evaluación de riesgos y res-puesta al riesgo.

Ambiente Interno

Al comentar este componente, el marco de gestión de riesgos corporativos habla dela filosofía de gestión de riesgos de una entidad, que es el conjunto de creencias y


136


actitudes compartidas que caracterizan cómo la entidad contempla los riesgos, refle-ja sus valores e impacta en su cultura y estilo operativo. Según lo descrito antes,dicho marco abarca el concepto del riesgo aceptado de una entidad, que está apo-yado en tolerancias al riesgo más específicas.

Dada la importancia crítica del consejo de administración y su composición, el marcode gestión de riesgos corporativos amplía la necesidad establecida en el marco delcontrol interno de tener una masa crítica mínima de miembros independientes –nor-malmente, al menos dos miembros independientes- y establece que, para que seaeficaz la gestión de riesgos corporativos, el consejo deberá tener al menos una mayo-ría de miembros externos e independientes.

Identificación de Eventos

Los marcos de la gestión de riesgos corporativos y del control interno reconocen quelos riesgos existen en cualquier nivel de la entidad y que resultan de una variedad defactores internos y externos. Ambos marcos consideran la identificación de los ries-gos en el contexto del impacto potencial sobre la consecución de objetivos.

El primero de estos dos marcos plantea el concepto de eventos potenciales, defi-niendo un evento como un incidente o acontecimiento emanado de fuentes internaso externas que afecta a la implantación de la estrategia o al logro de objetivos. Lospotenciales eventos de impacto positivo representan oportunidades, mientras que losde impacto negativo representan riesgos. La gestión de riesgos corporativos implicala identificación de eventos potenciales, usando una combinación de técnicas quecontemplan tanto el pasado como las tendencias emergentes, y qué los provoca.

Evaluación de Riesgos

Aunque ambos marcos requieren una evaluación de riesgos en términos de probabi-lidad de que un determinado riesgo ocurra y de su impacto potencial, el marco degestión de riesgos corporativos sugiere que se ha de mirar la evaluación de riesgosde manera más afinada. Los riesgos se consideran como inherentes o residuales,preferiblemente expresados en la misma unidad de medida de los objetivos a los quese refieran. Los horizontes temporales deben ser coherentes con las estrategias yobjetivos de la entidad y, cuando sea posible, con los datos observables. El marco degestión de riesgos corporativos también reclama atención a los riesgos interrelacio-nados, describiendo cómo un solo evento puede crear múltiples riesgos.

Como ya se ha comentado, dicha gestión abarca la necesidad para la dirección dedesarrollar una perspectiva de cartera al nivel de entidad. Mientras que el responsa-ble de cada unidad de negocio, función, proceso u otra actividad desarrolla una eva-luación compuesta de los riesgos de su unidad individual, la dirección de la entidadconsidera los riesgos desde una perspectiva de “carteras”.

Respuesta a los Riesgos

El marco de gestión de riesgos corporativos identifica cuatro categorías de respues-

ANEXO C - RELACIÓN ENTRE GESTIÓN DE RIESGOS CORPORATIVOS – MARCO INTEGRADO Y CONTROL INTERNO – MARCO INTEGRADO

137


ta al riesgo –evitar, reducir, compartir y aceptar. Como parte de dicha gestión, ladirección considera las respuestas potenciales en estas categorías y las tiene encuenta con la intención de conseguir un nivel de riesgo residual en línea con las tole-rancias al riesgo de la entidad. Tras considerar las respuestas a los riesgos a escalaindividual o de grupo, la dirección contempla su efecto agregado en toda la entidad.

Actividades de Control

Ambos marcos presentan las actividades de control como una ayuda para asegurarque las respuestas al riesgo de la dirección se llevan a cabo. El marco de gestión deriesgos corporativos hace ver explícitamente que en algunos casos las mismas acti-vidades de control sirven de respuesta a los riesgos.

Información y Comunicación

El marco de gestión de riesgos corporativos amplía el componente de comunicacióne información del control interno, destacando la consideración de datos derivados deeventos pasados y presentes y datos potenciales futuros. Los datos históricos per-miten a la entidad seguir el funcionamiento actual respecto a los objetivos, planes yexpectativas y proporcionan ideas sobre cómo la entidad se comportó en periodosanteriores bajo condiciones diversas. Los datos actuales facilitan información adicio-nal importante, mientras que los datos sobre posibles eventos futuros y sus factoressubyacentes completan el análisis de la información. La infraestructura de esta últi-ma busca y capta los datos en un marco de tiempo y con una profundidad de deta-lle concordantes con la necesidad de la entidad de identificar eventos, evaluar ries-gos y responder a ellos y mantenerse dentro de su riesgo aceptado.

El comentario respecto a la existencia en el marco del control interno de un canalalternativo de comunicaciones, independiente de las líneas normales de información,tiene mayor énfasis en el marco de gestión de riesgos corporativos, que estableceque ésta gestión, para ser eficaz requiere dicho canal.

Roles y Responsabilidades

Ambos marcos centran la atención en los papeles y responsabilidades de algunas“partes organizativas” que forman parte del control interno y la gestión de riesgoscorporativos o que les facilitan importante información. El marco de gestión de ries-gos corporativos describe los roles y responsabilidades de los directores de riesgosy amplían el papel del consejo de administración de la entidad.


138


Anexo DBibliografía seleccionada

American Institute of Certified Public Accountants and The Canadian Institute of CharteredAccounts, Managing Risk in the New Economy, New York AICP. 2000

Banham, Russ. A High Level of Intolerance. CFO, The Magazine for Senior Financial Executives.April 2000.

Barton, Thomas L., William G. Shenkir and Paul L. Walker. Making Enterprise Risk ManagementPay Off: How Leading Companies Implement Risk Management. Financial Executive. 2001.

Bazerman, Max H. Judgement in Managerial Decision Making. New York. John Wiley & Sons.2001

Committee of Sponsoring Organization of the Treadway Commission (COSO). Internal Control– Integrated Framework. New York AICPA. 1992.

Crouhy, Michael, Dan Galai and Robert Mark. Risk Management. New York. McGraw-Hill. 2001.

Davidson, Clive. Lofty Ambitions for Measuring Global Risk. Securities Industry News. June 5,2000.

DeLoach, James W. Enterprise-Wide Risk Management: Strategies for Linking Risk andOpportunity. London. Financial Times Prentice Hall. 2000.

DiPiazza, Samuel A., Jr. y Robert G. Eccles. Building Public Trust: the Future of CorporateReporting. New York. John Wiley & Sons. 2002

Everson, Miles. Creating an Operational Risk-Sensitive Culture. The RMA Journal. March 1, 2002.

Economist Intelligence Unit, en colaboración con Arthur Andersen & Co. Managing BusinessRisk – An Integrated Approach. The Economist Intelligence Unit. 1995.

Economist Intelligence Unit, en colaboración con MCC Enterprise Risk. Enterprise RiskManagement – Implementing New Solutions. The Economist Intelligence Unit. 2001.

FEI Research Foundation, en colaboración con Andersen. Risk Management: An EnterprisePerspective. Financial Executive. 2002.

Haubenstock, Michael and John Gontero. Operational Risk Management: The Next Frontier.New York. RMA. 2001.

Institute of Chartered Accountants in England and Wales. Internal Control Guidance forDirectors on the Combined Code. London. ICAEW. 1999.

Institute of Directors in Southern Africa. King Report on Corporate Governance for South Africa2001. The Institute of Directors in Southern Africa. 2001.

International Organisation for Standardization. ISO/IEC Guide 73. 2002.

Lam, James. The CRO is Here to Stay. Risk Management. April 2001.

National Commission on Fraudulent Financial Información. Report of the National Commissionon Fraudulent Financial Información. 1987.

139


Nottingham, Lucy. A Conceptual Framework for Integrated Risk Management. Ottawa.Conference Board of Canada. 1997.

Risk Management Group of the Basel Committee on Banking Supervision. Sound Practices forthe Management and Supervision of Operational Risk. 2001.

Root, Stephen J. Beyond COSO Internal Control to Enhance Corporate Governance. New York.John Wiley & Sons. 1998.

Standards Australia and Standards New Zealand. Australian/New Zealand Standard 4360:1990:Risk Management. Standards Australia and Standards New Zealand. 1999.

Steinberg, Richard M. The CEO and the Board: Enhancing the Relationship. G100 Insights. April2003.

Steinberg, Richard M. and Catherine L. Bromilow. Corporate Governance and the Board – WhatWorks Best. The Institute of Internal Auditors Research Foundation. 2001.

The Institute of Risk Management (IRM), The Association of Insurance and Risk Managers (AIR-MIC) and ALARM The National Forum for Risk Management in the Public Sector. A RiskManagement Standard. AIRMIC, ALARM, and IRM. 2002.

Thiessen, Karen. A Composite Sketch of Chief Risk Officer. Ottawa. Conference Board ofCanada. 2001.

Thiessen, Karen. Don’t Gamble with Goodwill – The Value of Effectively Communicating Risks.Ottawa. Conference Board of Canada. 2000.

Tillinghast – Towers Perrin. Enterprise Risk Management: Trends and Emerging Practices. NewYork. Tillinghast – Towers Perrin. 2001.

Walker, Paul L., William G. Shenkir and Thomas L. Barton. Enterprise Risk Management: PullingIt All Together. The Institute of Internal Auditors Research Foundation. 2002.


140


Anexo EConsideración a los comentarios

Según se indica en el Anexo A, un borrador de este Marco se ha expuesto a revisiónpública. Las 78 cartas de respuesta recibidas contienen cientos de comentarios indi-viduales sobre una amplia gama de temas y su contenido ha sido considerado en laformulación de revisiones del documento final. Este anexo resume los temas más sig-nificativos y las modificaciones resultantes reflejadas en este informe definitivo y tam-bién facilita una perspectiva sobre por qué algunos enfoques han sido aceptados yotros no.


Generar valor para los grupos de interés

El borrador describía cómo la gestión de riesgos corporativos permite a una organi-zación generar valor para sus grupos de interés, aunque el concepto de valor no estu-viera explícitamente reflejado en la definición de dicha gestión. Algunas personassugirieron que esta definición debería contener tal referencia explícita.

Se llegó a la conclusión de que la definición debería mantenerse tal como se presen-taba. La definición dice explícitamente que la gestión de riesgos corporativos impli-ca facilitar una seguridad respecto a la consecución de objetivos de la entidad, lo queinherentemente genera valor. Es más, el texto que enmarca a la definición describecómo la gestión de riesgos corporativos proporciona valor para los grupos de interés.Debido a esta vinculación existente con el concepto de valor y su descripción y paraevitar una definición irrazonablemente larga (tal como sugieren otras respuestas), seha mantenido la definición.

Oportunidades

El borrador describía como la gestión de riesgos corporativos implica identificar yabordar los eventos potenciales que tengan un impacto negativo sobre una entidad,denominados riesgos, y los eventos de impacto positivo, denominados oportunida-des. Algunas de las personas que respondieron han dicho que, dada la importanciade la identificación de oportunidades, la definición del riesgo debería ampliarse paraincluir este concepto. Unas personas argumentaban que excluir a las oportunidadescomo parte de la definición del riesgo podría llevar al lector a no ver a dicho concep-to como parte de la gestión de riesgos corporativos, socavando así la relevancia delMarco. Por contra, algunas otras sugirieron que se eliminara del informe final todareferencia a las oportunidades.

141


La conclusión fue que, dada la importancia de identificar y aprovechar las oportuni-dades, se debería mantener en el Marco, e incluso mejorar, los comentarios sobreellas. Así, el informe final amplía las reflexiones dedicadas a la identificación de opor-tunidades y la reacción a ellas, formando ambos conceptos una parte integral de lagestión de riesgos corporativos. Los comentarios de los capítulos del informe finalsobre componentes describen aún más el proceso por el que la dirección consideraen la gestión del riesgo los efectos negativos y positivos de los eventos potenciales.En cuanto a la definición del riesgo, se decidió que añadir el concepto de oportuni-dad enturbiaría los conceptos y haría más difícil la comunicación. Mantener la distin-ción entre un evento negativo y uno positivo aporta claridad al lenguaje de la gestiónde riesgos corporativos.

Un proceso

El borrador definía la gestión de riesgos corporativos como un proceso y establecíacomponentes que pueden verse como elementos de un proceso. Algunas respuestasaludían a que el término “proceso” implicaba de forma inadecuada la realizaciónsecuencial de pasos o tareas predefinidas.

El informe ha sido revisado para potenciar el concepto de que la gestión de riesgoscorporativos no se realiza necesariamente de modo secuencial, sino que constituyeuna interacción permanente e iterativa de acciones llevadas a cabo en toda la enti-dad.

Aplicado al establecimiento de la estrategia

El borrador describía cómo los objetivos deben establecerse y comunicarse clara-mente antes de que puedan ser identificados y abordados los riesgos que amenazansu consecución. También exponía que las técnicas de gestión de riesgos corporati-vos se aplican al establecimiento de la estrategia para ayudar a la dirección a evaluary seleccionar la estrategia de la entidad y vincularla a los objetivos correspondientes.Algunos comentarios indicaban que la gestión de riesgos es secundaria frente al des-arrollo de la estrategia de la entidad por su dirección y que el Marco pone un énfasisindebido en el riesgo en lugar de hacerlo en el establecimiento de objetivos.

Se llegó a la conclusión de que no es necesario ni útil presentar un concepto, el esta-blecimiento de la estrategia, como más importante que el otro, la gestión de riesgos.Ambos son importantes e inherentes a la gestión de riesgos corporativos. El docu-mento final, sin embargo, sí contiene una exposición mejorada del proceso del esta-blecimiento de la estrategia y de los objetivos al efectuar dicha gestión empresarial.

Riesgo aceptado y Tolerancia al riesgo

El borrador abordó los conceptos de riesgo aceptado y tolerancia al riesgo. Algunoscomentarios sugerían que hacía falta incluir información adicional, incluyendo orien-tación sobre cómo expresar y medir el riesgo aceptado. Otros destacaban que exis-tía poca diferencia entre los dos conceptos y que deberían combinarse en uno.

El informe final mantiene la distinción entre riesgo aceptado y tolerancia al riesgo,


142


perteneciendo el primero a un nivel alto de la entidad en su conjunto, mientras que elsegundo se refiere a objetivos específicos. Las Técnicas de aplicación proporcionanejemplos de la aplicación de ambos conceptos.

Seguridad razonable

Algunos comentarios recibidos sugerían que el concepto de seguridad razonabledebería definirse de forma más precisa.

Se decidió que la discusión en torno a dicho término es adecuada y que una mayorprecisión en su definición excedería del alcance de este proyecto.

Categorías de objetivos

Algunas respuestas decían que establecer cuatro categorías de objetivos de una enti-dad no ayuda y complica innecesariamente el marco.

El documento final mantiene todas estas categorías, sobre la base de que esa clasi-ficación permite centrarse en distintos aspectos de la gestión de riesgos corporati-vos, facilita la distinción entre lo que puede esperarse de cada categoría de objetivosy apoya el uso de un lenguaje común en dicha gestión.

Consecución de objetivos

Algunas personas que respondieron preguntaban por qué la seguridad razonable seaplica sólo a la amplitud con que se están consiguiendo los objetivos estratégicos yoperativos, antes bien que a su consecución real.

Se pensó que la distinción entre lo que puede esperarse de la gestión de riesgos cor-porativos respecto al alcance de objetivos estratégicos y operativos, en relación conlos objetivos de información y cumplimiento, continuaba siendo adecuada por lasrazones expuestas en el documento, centradas en si dicha consecución está dentroo fuera del control de la entidad.

Eficacia

Algunas respuestas exponían que la eficacia de la gestión de riesgos corporativosdebería definirse en relación con los resultados logrados, medidos en términos derealizaciones que el proceso está intentando alcanzar, antes que en un juicio subjeti-vo sobre si los ocho componentes están presentes y funcionan adecuadamente.

Los criterios de eficacia –la presencia y funcionamiento eficaz de cada componente-permanecen en el documento final. Se llegó a la conclusión de que el principio des-arrollado en el marco del control interno y extendido al marco de gestión de riesgoscorporativos es lógico y sirve para mejorar las necesidades de los usuarios - quecuando los ocho componentes estén presentes y funcionen eficazmente (y no existaninguna debilidad material), el resultado o producto es que la dirección y el consejode administración obtengan una seguridad razonable de la consecución de los obje-tivos establecidos. El documento final mantiene dicho principio y destaca además

ANEXO E - CONSIDERACIÓN A LOS COMENTARIOS

143


que la contención de los riesgos dentro del riesgo aceptado por la entidad es un ele-mento necesario para una eficaz gestión de riesgos. Se ha eliminado el concepto dejuicio subjetivo, como el de la presencia y funcionamiento de los ocho componentes,sobre la base de que los juicios pueden ser objetivos y estar basados en los princi-pios de este Marco.


El borrador contenía parte del texto de Control interno – Marco integrado e indicabaque su totalidad se había incorporado mediante referencia al marco de la gestión deriesgos corporativos. El borrador incluía un anexo que comparaba y contrastabaambos marcos.

Algunos comentarios sugerían que el informe final debería identificar de forma desta-cada aquellas secciones tomadas del texto Control interno – Marco integrado y otrosrecomendaban que su totalidad se incorporara como un anexo al presente informe,con un contraste detallado de las diferencias entre ambos documentos. Finalmente,otras respuestas recibidas solicitaban que este informe describiera detalladamentede qué modo el Control interno – Marco integrado se había expandido hacia el marcode gestión de riesgos corporativos. Algunas personas comentaron que el presentedocumento debía destacar y clarificar el objetivo y el propósito de cada marco.

Se decidió que la descripción de las diferencias entre los dos marcos estaba en elnivel adecuado. El Anexo C destaca las diferencias claves e identifica qué conceptosdel marco de gestión de riesgos corporativos han sido incorporados directamente delControl interno – Marco integrado, qué otros conceptos procedentes del marco decontrol interno han sido ampliados y cuáles son nuevos. Se estimó innecesario incluirel marco de control interno como anexo, ya que está fácilmente disponible para losusuarios. El propósito y el público objetivo de cada uno de los marcos ya están des-critos con suficiente profundidad.

Gestión de riesgos corporativos y Proceso de gestión

Algunos comentarios sugerían que el anexo que compara las actividades de gestióncon las actividades de gestión de riesgos corporativos facilitaba poca información útily podía provocar confusión en los lectores. Algunas personas dijeron que el estable-cimiento de las actividades de gestión como algo distinto a las actividades de ges-tión de riesgos corporativos podría reducir –en lugar de reforzar– la noción de inte-grar la gestión de riesgos dentro de las actividades de negocio y gestión.

La figura del borrador no ha sido incluida en el informe final y, en su lugar, se pre-sentan mensajes relevantes en el texto.

Información y comunicación

Algunos comentarios se referían a la importancia de un canal de comunicacionesajeno a las líneas normales de información y sugerían que era un elemento necesariode la gestión de riesgos corporativos.

El informe final refleja este enfoque y afirma que, para que la gestión de riesgos cor-


144


porativos sea eficaz, una entidad debe mantener un canal de comunicaciones de esetipo.

Roles y responsabilidades

Algunas respuestas planteaban que se necesitaba una mayor claridad respecto a lasdiferentes responsabilidades en la gestión de riesgos corporativos por parte del con-sejo de administración, la dirección, otro personal de la entidad y terceros.

El informe final amplía este aspecto y clarifica los respectivos roles y responsabilida-des de cada una de estas partes.

Otras consideraciones

Forma y presentación

Algunas personas que respondieron aludían a la extensión, formato y estilo del borra-dor y expresaban una variedad de perspectivas sobre cómo se podría organizar yperfeccionar el informe.

Se llegó a la conclusión de que el informe debería reorganizarse y depurarse, paramejorar su legibilidad y claridad y eliminar redundancias. El Resumen Ejecutivo delborrador ha sido sustituido por un resumen más breve. El capítulo 1 del borrador, Larelevancia de la gestión de riesgos corporativos ha sido eliminado, incorporando losconceptos más importantes en el capítulo 1 definitivo del informe, Definición. Se hanreducido las redundancias, se han eliminado o abreviado los planteamientos menosimportantes y se ha simplificado el estilo.

Relación entre Gestión de riesgos corporativos – Marco integrado y otros infor-mes y legislación

Algunas respuestas recibidas decían que sería útil abordar las relaciones entre elmarco de gestión de riesgos corporativos y la Ley Sarbanes-Oxley de 2002, el NewBasel Capital Accord del Basel Committee on Banking Supervision y la legislaciónsobre gestión de riesgos de Australia, Canadá, Alemania, Japón, Reino Unido y otrospaíses. Algunos comentarios recomendaban que el documento indicase claramenteque el documento Control interno – Marco integrado continua siendo un marco acep-table para el cumplimiento de la Sección 404 de la Ley Sarbanes-Oxley y que la emi-sión del texto Gestión de riesgos corporativos – Marco integrado no requería que lasempresas lo aplicasen con fines de cumplimiento de dicha sección.

Se llegó a la conclusión de que la conciliación entre la Gestión de riesgos corporati-vos – Marco integrado y otros documentos va más allá del alcance de este proyecto.Respecto al cumplimiento de la Sección 404 antes citada, el COSO está comunican-do, a través del “Prólogo” de este informe, que el texto Control Interno- Marco inte-grado permanece vigente y de manera adecuada se percibe como una base de infor-mación bajo ciertos requisitos legislativos como la Ley Sarbanes-Oxley.

ANEXO E - CONSIDERACIÓN A LOS COMENTARIOS

145


Consejos para la aplicación

Algunas sugerencias aludían a la inclusión de un contenido específico para el volu-men de consejos para la aplicación. Algunos pedían que se incluyeran uno o máscasos monográficos para ayudar a implantar el marco a organizaciones de dimensio-nes diferentes. Otras sugerían que el documento Marco y los consejos para la apli-cación contuvieran enlaces de referencia cruzada.

Se decidió que el volumen de consejos para la aplicación debería incluir cierto con-tenido sugerido, incluyendo ejemplos de cómo las entidades pueden aplicar concep-tos específicos descritos en el Marco. El informe final contiene esta información, aun-que se decidió que no era práctico identificar o desarrollar un caso monográfico queilustrara la aplicación de todos los conceptos del Marco y que, de hacerlo, se estaríaexcediendo el alcance del proyecto. Con un enfoque más nítido para el contenido deeste volumen, se concluyó que su título más apropiado sería el de Técnicas de apli-cación y el nombre se modificó en consonancia. También se han incluido enlacesentre Técnicas de aplicación y el Marco.


146


Anexo FGlosario

Categoría de objetivos. Cada una de las cuatro categorías de objetivos de la entidad – estrategia, eficacia yeficiencia de las operaciones, fiabilidad de la información y cumplimiento de leyes ynormas aplicables. Las categorías se solapan, de modo que un objetivo determinadopuede incidir en más de una categoría.

Componente. Hay ocho componentes en la gestión de riesgos corporativos: ambiente interno de laentidad, establecimiento de objetivos, identificación de eventos, evaluación de ries-gos, respuesta a los riesgos, actividades de control, información y comunicación, ysupervisión.

Control.1. Sustantivo que indica un concepto. Por ejemplo, existencia de un control – una

política o procedimiento que forma parte del control interno. Un control puedeexistir en cualquiera de los ocho componentes.

2. Sustantivo que indica un estado o condición. Por ejemplo, efectuar control – elresultado de políticas y procedimientos diseñados para controlar. Este resultadopuede ser o no un control interno eficaz.

3. Verbo como palabra derivada. Por ejemplo, controlar – regular. Establecer oimplantar una política que efectúe el control

Controles de aplicación. Procedimientos programados en el software de aplicación y procedimientos manua-les relacionados con ellos, diseñados para ayudar a asegurar la integridad y fiabilidaddel procesamiento de la información. Los ejemplos incluyen las comprobacionesinformatizadas de edición, verificaciones de secuencia numérica y procedimientosmanuales para seguir temas identificados en los informes de incidencias.

Controles generales. Políticas y procedimientos que ayudan a asegurar el funcionamiento adecuado y per-manente de los sistemas de información. Se incluyen en este concepto los controlesde gestión de la tecnología de información, de la infraestructura de la tecnologíainformática, de la gestión de la seguridad y de la adquisición, desarrollo y manteni-miento del software. Los controles generales apoyan el funcionamiento de los con-troles de aplicación programados. Otros términos similares son controles generalesinformáticos y controles de tecnología informática.

147


Control interno. Un proceso, efectuado por el consejo de administración, la dirección y demás perso-nal de una entidad, diseñado para proporcionar una seguridad razonable respecto ala consecución de objetivos en las siguientes categorías:

• Eficacia y eficiencia de las operaciones

• Fiabilidad de la información financiera

• Cumplimiento de leyes y normas aplicables

Controles manuales. Controles realizados manualmente y no por ordenador.

Criterios. Un conjunto de normas frente a las que se puede medir la gestión de riesgos corpora-tivos al determinar su eficacia. Los ocho componentes de la gestión de riesgos corpo-rativos, tomados en el contexto de las limitaciones inherentes a dicha gestión, repre-sentan criterios de eficacia de ella para cada una de sus cuatro categorías de objetivos.

Cumplimiento. Término usado en relación con el concepto “objetivos” y que tiene que ver con elcumplimiento de leyes y normas aplicables a la entidad.

Deficiencia. Una condición dentro de la gestión de riesgos corporativos merecedora de atención,que puede representar una debilidad percibida, potencial o real, o una oportunidadpara potenciar dicha gestión y propiciar una mayor probabilidad de que se alcancenlos objetivos de la entidad.

Diseño1. Intención. Según aparece en su propia definición, la gestión de riesgos corporati-

vos intenta identificar los eventos potenciales que puedan afectar a la entidad ygestionar los riesgos dentro del riesgo aceptado, proporcionando una seguridadrazonable del logro de objetivos.

1. Plan. La manera como se espera que funcione un proceso, que puede contrastarcon la realidad de cómo funciona.

Efectuado. Se usa en la gestión de riesgos corporativos: concebido y mantenido.

Entidad. Una organización de cualquier dimensión establecida para servir un propósito deter-minado. Una entidad, por ejemplo, puede ser una empresa, una organización sinánimo de lucro, un organismo gubernamental o una institución universitaria. Otrostérminos sinónimos son organización y empresa.

Estratégico. Término usado en relación con el concepto “objetivos”. Tiene que ver con los objetivosde alto nivel que están alineados con la misión (o visión) de la entidad y que la apoyan.


148


Evento. Un incidente o acontecimiento, derivado de fuentes internas o externas a la entidad,que afecta a la consecución los objetivos.

Grupos de interés. Conjunto de personas físicas o jurídicas que colaboran con una entidad o están afec-tados por ella, tales como accionistas, comunidad en que opera, empleados, clientesy proveedores.

Impacto. El resultado o efecto de un evento. Puede existir una gama de posibles impactos aso-ciados a un evento. El impacto de un evento puede ser positivo o negativo sobre losobjetivos relacionados de la entidad.

Imposición de la dirección. Las acciones de la dirección para saltarse las políticas o procedimientos con propó-sitos ilegítimos de enriquecimiento personal o de presentación alterada de las condi-ciones financieras de la entidad o su cumplimiento de normas. Este concepto con-trasta con el de Intervención de la dirección.

Incertidumbre. La incapacidad de saber anticipadamente la probabilidad e impacto exactos de even-tos futuros.

Información. Término usado en relación con el concepto “objetivos”. Tiene que ver con la integri-dad y fiabilidad de la información de la entidad, incluyendo la interna y externa y lafinanciera y no financiera.

Integridad. La calidad o condición de tener principios morales sólidos, de poseer virtud, honra-dez y sinceridad, de desear hacer lo correcto y de profesar y vivir una serie de valo-res y expectativas.

Intervención de la dirección. Las acciones de la dirección para saltarse las políticas o procedimientos prescritospor razones legítimas. Esta intervención es normalmente necesaria para abordartransacciones no habituales ni recurrentes o eventos que de otro modo podrían sermanejados incorrectamente por el sistema. Este concepto contrasta con el deImposición de la dirección.

Limitaciones inherentes. Las limitaciones en la gestión de riesgos corporativos relativas a los límites del juiciohumano, las restricciones de los recursos, la necesidad de tener en cuenta el costede los controles respecto a los beneficios esperados, la realidad de que los fallospueden ocurrir y la posibilidad de que la dirección prescinda de los controles o estéen connivencia para incumplirlos.

Operaciones. Término usado en relación con el concepto “objetivos”. Tiene que ver con la eficaciay eficiencia de las actividades de una entidad, incluyendo metas de rendimiento yrentabilidad, y con la salvaguarda de recursos frente a pérdidas.

ANEXO F - GLOSARIO

149


Oportunidad. La posibilidad de que un evento ocurra y afecte positivamente a la consecución deobjetivos.

Política. Las directrices de la dirección de lo que debería hacerse para efectuar el control. Unapolítica sirve como base para la implantación de procedimientos.

Probabilidad. La posibilidad de que un evento dado ocurra. Los términos a veces adquieren con-notaciones más específicas y, así, “probabilidad” tanto puede indicar dicha posibili-dad en términos cualitativos como alto, medio y bajo o derivados de otras escalas dejuicio o bien indicarla mediante una medida cuantitativa, como porcentaje, frecuenciau otra métrica numérica.

Procedimiento. Una acción para poner en práctica una política.

Proceso de gestión. La serie de acciones tomadas por la dirección para conducir una entidad. La gestiónde riesgos corporativos es una parte del proceso de gestión y está integrada en él.

Proceso de gestión de riesgos corporativos. Otra forma de denominar a la gestión de riesgos corporativos desarrollada en unaentidad.

Riesgo. La posibilidad de que un evento ocurra y afecte adversamente a la consecución deobjetivos.

Riesgo aceptado. La cuantía, en sentido amplio del riesgo, que una entidad está dispuesta a asumirpara realizar su misión (o visión).

Riesgo inherente. El riesgo al que se somete una entidad en ausencia de acciones de la dirección paraalterar o reducir su probabilidad de ocurrencia e impacto.

Riesgo residual. El riesgo remanente después de que la dirección haya llevado a cabo una acción paramodificar la probabilidad o impacto de un riesgo.

Seguridad razonable. El concepto de que la gestión de riesgos corporativos, por muy bien diseñada y ope-rativa que esté, no puede proporcionar una garantía de la consecución de objetivosde la entidad, debido a las Limitaciones Inherentes a dicha gestión.

Sistema de control interno. Un sinónimo del control interno existente en una entidad.

Tolerancia al riesgo. La variación aceptable en la consecución de un objetivo.


150


Anexo GAgradecimientos

El COSO Board, el Consejo Asesor y PricewaterhouseCoopers LLP desean agrade-cer a los muchos directivos, legisladores, reguladores, auditores, profesores de uni-versidad y otros que dedicaron su tiempo y esfuerzo colaborando y contribuyendo avarios aspectos del estudio. También quisiéramos reconocer los esfuerzos significa-tivos de las organizaciones del COSO y sus miembros que respondieron a lasencuestas, participaron en los grupos de trabajo y reuniones y facilitaron comentariose ideas durante el desarrollo de este marco.

Los siguientes socios y personal de PricewaterhouseCoopers hicieron una aportaciónimportante a este marco: Dick Anderson, Jeffrey Boyle, Glenn Brady, Michael Bridge,John Bromfield, Gary Chamblee, Nicholas Chipman, John Copley, Michael deCrspigny, Stephen Delvecchio, Scout Dillman, P. Gregory Garrison, Bruno Passer,Susan Kenney, Brian Kinman, Robert Lamoureux, James LaTorre, Mike Maali, JorgeManoel, Cathy McKeon, Juan Pujadas, Richard Reynolds, Mark Stephen, RobertSullivan, Jeffrey Thompson y Shyam Venkat.

Las siguientes personas también hicieron una aportación al presente estudio: MichaelHaubenstock, Director de Gestión de riesgos corporativos, Capital One FinanceCorporation; Adrienne Willich, Gerente de Riesgo operacional, Capital One FinanceCorporation; y Daniel Mudge, Presidente y Consejero Delegado, OpVantage. RichardA. Scott, William G. Shenkir, y Paul L. Walker de la University of Virginia realizaron lainvestigación inicial que llevó a este estudio. Gracias también a Myra Cleary por suorientación editorial.

Asimismo quisiéramos hacer una mención especial a Robert G. Eccles, Presidente,de Advisory Capital Partners, Inc. y antiguo Profesor de la Harvard Business School,por sus amplias aportaciones a este marco.

Por último, es nuestro deseo rendir homenaje a William H. Bishop, III, Presidente delInstitute of Internal Auditors, quien, hasta su muerte esforzó enormemente en mejo-rar el papel y valor de la profesión de auditoría. La aportación de Bill al presente pro-yecto, y, en realidad, al proyecto del marco de control interno de COSO, ha ayudadoa mejorar estos informes. Como compañero y amigo, se le echará mucho de menos.

151


Copyright © del Committee of Sponsoring Organizations of the Treadway Commission. 1 2 3 4 5 6 7 8 9 MPI 0 9 8 7 6 5 4

Copyright © 2009 de la versión española: PricewaterhouseCoopers

Se pueden solicitar ejemplares adicionales de Gestión de Riesgos Corporativos – Marco Integrado: ResumenEjecutivo y Marco y Gestión de Riesgos Corporativos – Marco Integrado: Técnicas de Aplicación, 2 vol. Set,item # 990015 llamando de modo gratuito al 1 – 888 – 777 – 7077 o acudiendo a www.cpa2biz.com.

Se reservan todos los derechos. Para más información sobre permisos y licencias de reimpresión, llame al(201) 938 – 3245. Hay disponible un formulario de solicitud de permisos para solicitudes enviadas por correoelectrónico en la dirección www.aicpa.org/cpright.htm. De lo contrario, deberán enviarse las solicitudes, porescrito y por correo ordinario, a Permissions Editor, AICPA, Harborside Financial Center, 201 Plaza Three, Jersey City, NJ 07311-3881.


Gestiónde RiesgosCorporativosMarco IntegradoCommittee of Sponsoring Organizations of the Treadway Commission (COSO)

Ges

tión

de

Rie

sgos

Cor

por

ativ

os -

Mar

co In

tegr

ado

Com

mitt

ee o

f S

pon

sorin

g O

rgan

izat

ions

of

the

Trea

dw

ay C

omm

issi

on (C

OS

O)

inform eco so

Documents

auditora interna y responsable

harborside financial

los servicios

jersey city

ni en su totalidad ni

almacenar en sistemas

por medio mecnico

se reservan todos los