la responsabilidad social empresarial y la …imef.org.mx/ponencia/2006/ppt/cap6.pdf · •...
TRANSCRIPT
Capítulo 6
LA RESPONSABILIDAD SOCIAL EMPRESARIAL Y LA ADMINISTRACIÓN INTEGRAL DE RIESGOS DE
NEGOCIO
C.P. Alfonso Gómez Cardoso Presidente del Comité Técnico Nacional de
Administración Integral de Riesgos Socio de Consultoría en Administración Integral de Riesgos de
Deloitte
Lic. Walter Zehle Herrera Presidente del Comité Técnico Nacional de Ética
Gerente de Consultoría de Deloitte
6 - 1
Contenido
1. Introducción.
2. La Responsabilidad Social Empresarial (RSE).
2.1. La importancia de la Responsabilidad Social Empresarial. 2.2. Una forma de poner en práctica la RSE. 2.3. Criterios que le dan sentido a la RSE. 2.4. Cadenas de valor (Red de Transparencia Empresarial).
3. La Administración Integral de Riesgos de Negocio.
3.1. Establecer el proceso de administración de riesgos de negocio.
3.1.1. Adoptar un lenguaje de riesgos del negocio.
3.1.1.1 Un lenguaje para los procesos.
3.1.2. Establecer metas y objetivos.
3.2. Evaluar los riesgos del negocio. 3.3. Desarrollar estrategias de administración de riesgos de negocio. 3.4. Diseñar / implementar capacidades de administración de riesgos. 3.5. Monitorear al desempeño de la administración de riesgos. 3.6. Mejorar en forma continua las capacidades de administración de riesgos. 3.7. Desarrollar información para la toma de decisiones.
4. Conclusiones. 5. Propuestas.
6 - 2
1. Introducción.
Como parte de las estrategias para el crecimiento y desarrollo en México, pero a nivel de una organización, se consideró importante reflexionar sobre la Responsabilidad Social Empresarial y sobre un enfoque estructurado y disciplinado que coordine estrategias, recursos humanos, tecnológicos y conocimientos con el fin de evaluar y administrar los riesgos que podrían impactar a la empresa y que contribuya a la actuación ética en los negocios. Hoy en día es relevante enfocar nuestros esfuerzos en la Responsabilidad Social Empresarial (RSE) debido a la pérdida de confianza que ha generado la corrupción, la competencia desleal y los fraudes, los cuales impactan en la competitividad de las empresas y del país. La RSE promueve la actuación correcta y responsable de las personas, así como establece reglas que armonizan los negocios, con el fin de generar valor en la sociedad y su entorno; con el compromiso de ser competitivos, productivos, rentables y sustentables. La RSE visualiza a toda la empresa en su conjunto y es muy amplia, por lo que es importante contar con un enfoque que permita orientar los esfuerzos hacia la estrategia y que a su vez evalué los eventos que podrían impactar a la organización. Dentro de sus responsabilidades, los Directores Generales (DG) se concentran en la inversión y el retorno, en las oportunidades y las recompensas y en la ventaja competitiva y el crecimiento. La administración de los riesgos del negocio es una herramienta que nos ayuda a generar valor y a conservar el valor creado por la empresa, está centrada en la estrategia del negocio y disminuye el riesgo de no ser responsable ante la sociedad. • ¿Inversión y retorno? – Toda inversión conlleva incertidumbre. Encarar y dominar el riesgo constituye una de las claves para la administración de la inversión y el retorno. • ¿Oportunidad y recompensa? – El riesgo y la oportunidad van de la mano. La conducta orientada a la búsqueda de oportunidades se ve fortalecida si los gerentes poseen la confianza que surge de saber que comprenden los riesgos y de que cuentan con las capacidades necesarias para su administración.
6 - 3
• ¿Ventaja competitiva y crecimiento? – La administración de los riesgos del negocio es mucho más que simplemente evitar los riesgos o compensar las apuestas. También entraña la capacidad de discernir al seleccionar las apuestas más racionales que ha de efectuar una empresa en el marco de las fuerzas dinámicas y poderosas que gobiernan la nueva economía. Estas mismas fuerzas ofrecen interesantes oportunidades para la creación de nuevas fuentes de ventaja competitiva y crecimiento. Los DG deben enfrentar numerosos desafíos. Deben capacitar y motivar a sus organizaciones para capitalizar las oportunidades cambiantes. Deben invertir recursos en forma continua en la búsqueda de actividades de negocio prometedoras, aunque inciertas. Deben administrar las actividades existentes del negocio a la luz de las circunstancias cambiantes. Y, al mismo tiempo que llevan a cabo todo esto, deben encontrarse en una posición desde la cual garantizar con total confianza a los inversores y otros accionistas que sus organizaciones encaran y dominan el riesgo al tiempo que prosperan en la nueva economía. Nuestra premisa es la siguiente: un proceso de administración de riesgos del negocio para toda la empresa ayuda al DG a vencer estos desafíos al mejorar la relación entre riesgo y oportunidad y colocar la Administración de riesgos del negocio como fuente de ventaja competitiva. A medida que las leyes de la creación y preservación de la riqueza evolucionan en un mundo que cambia vertiginosamente, los enfoques tradicionales de la administración de riesgos no lograrán cumplir con los objetivos a menos que sean lo suficientemente sólidos – incluso lo suficientemente integrales – para garantizar el éxito. De hecho, pueden llegar incluso a contribuir al fracaso.
Los enfoques actuales de administración de riesgos son fragmentados y consideran los riesgos como entidades dispares y que pueden colocarse fácilmente en compartimentos estancos. Si bien el hecho de que se concentren en la prevención de pérdidas no es necesariamente algo malo, tampoco es del todo bueno porque no están integrados en forma adecuada con la identificación, evaluación y optimización del crecimiento y el capital. Además, los enfoques actuales están demasiado arraigados en la era del dominio y el control, lo cual significa que aún no han encontrado los medios para equilibrar el deseo de control con la necesidad de agilidad y cooperación interfuncional. Si bien es cierto que pueden crear una visión bastante abarcadora de los riesgos ocurridos en el pasado reciente de una empresa, no pueden tratar en forma adecuada con los riesgos y oportunidades en constante evolución de la empresa: su futuro. Una vez más, es discutible si ayudan o no a los gerentes a controlar todo el potencial de la empresa. Dado que el riesgo forma parte de la realidad de la vida y la vida cambia constantemente en la nueva economía, el estado actual de la Administración de riesgos del negocio debe evolucionar en forma drástica. Se necesita un nuevo proceso de negocios estratégico que identifique la gama completa de riesgos y oportunidades y se ocupe de ella.
6 - 4
El nuevo modelo que proponemos es la Administración Integral de Riesgos de Negocio (AIRN). Este incluye objetivos compartidos y amplia coordinación o “control estratégico” y ofrece al mismo tiempo la libertad necesaria para actuar dentro de límites bien definidos. Este modelo facilita la Administración de riesgos en un mundo caracterizado por la incertidumbre y conduce a la optimización de las oportunidades, los riesgos, el crecimiento y el capital. Además logra el control de los grandes avances en tecnología y difusión de la información disponible en la actualidad para construir y mejorar las capacidades en materia de administración de riesgos de la empresa. La solución que imaginamos reside en la evolución hacia o el camino hacia la AIRN. 2. La Responsabilidad Social Empresarial (RSE). Definiciones que nos dan un panorama global y que nos describen la RSE de manera sencilla y clara:
• “Es aquella que fundamenta su visión y compromiso social en políticas y programas que benefician a su negocio e impactan positivamente a las comunidades en las que operan, más allá de sus obligaciones y de las expectativas de la comunidad”. (AliaRSE)
• “Operación de una empresa que cumple o excede las expectativas éticas,
legales, comerciales y públicas que la sociedad tiene de ella, en función de todos los públicos: accionistas, empleados, clientes, proveedores, gobierno, industria y comunidad”. (Banco Mundial).
• “Significa, no solamente satisfacer las expectativas legales, sino ir más
allá de su acatamiento e invertir más en el capital humano, el medioambiente y las relaciones con las partes interesadas” (Comisión Europea).
En resumen es la actitud de hacer lo correcto, de la mejora continua en los negocios, de cumplir con la finalidad económica y social de la empresa, que hace posible mantener su competitividad, cumpliendo con las expectativas sociales, éticas, económicas y ambientales de sus participantes, respetando la dignidad de la persona, de las comunidades en las que opera y de su entorno. (Gustavo de la Torre, Director de CRT México). Entendiendo los conceptos mencionados anteriormente de la siguiente manera:
• Mejora continua: Es el proceso de autocrítica que permite mantener una superación permanente de los procesos de negocios a través del aprovechamiento de áreas de oportunidad y la corrección de desviaciones o riesgos detectados.
6 - 5
• Competitividad: Es un elemento indispensable para la supervivencia de
las empresas en la economía global que se deriva de índices comparables ventajosamente con los de la competencia en cuatro campos:
- Productividad. - Rentabilidad. - Calidad de bienes y servicios. - Prevención de riesgos.
• Dignidad de la persona: Se refiere al respeto de todos los seres humanos como tales, sin distinción de raza, sexo, credo y estado físico.
2.1 La importancia de la Responsabilidad Social Empresarial. La Responsabilidad Social Empresarial (RSE) ha sufrido un cambio radical debido a las nuevas relaciones entre la sociedad y los negocios, que han obligado a los actores sociales de este ámbito a buscar respuestas más creativas para enfrentar los cambios estructurales que se han generado a nivel mundial. Entre los aspectos importantes se encuentra la globalización, que ha generado nuevas oportunidades para las empresas, pero a su vez ha aumentado también el grado de complejidad organizacional, al tiempo que la creciente expansión de las actividades en las sociedades más desarrolladas han propiciado y exigido nuevas responsabilidades a escala global y en particular en las sociedades emergentes como la mexicana. Otro aspecto relevante de este problema lo están jugando los activos intangibles que deben poseer las organizaciones: la imagen, mismas que desempeñan un papel cada vez más importante para la competitividad en el contexto empresarial, ya que la sociedad exige más información sobre las condiciones de producción de bienes y servicios, y tiende a premiar el comportamiento de las empresas social y medioambientalmente responsables. Por otra parte, los recientes escándalos financieros de Enron o WorldCom han provocado que los accionistas e inversionistas exijan a las organizaciones, que la divulgación de su información no se limite a los tradicionales informes financieros, a fin de poder identificar mejor los factores de éxito y de riesgo inherentes a las actividades empresariales. En este contexto, el conocimiento y la innovación cobran gran importancia hoy en día para la competitividad y el desempeño organizacional, ya que esto aumenta el interés de las empresas por mantener una mano de obra competente y altamente calificada. Otro de los factores de peso que motivan a las organizaciones o empresas a modificar sus viejos paradigmas, es la presión que ejercen algunos sectores y grupos de la sociedad, así como organismos multilaterales. Ante esto las
6 - 6
empresas han visto en la Responsabilidad Social Empresarial (RSE) la forma de responder ante las preocupaciones sociales y medioambientales, sin dejar de lado el manejo de una estrategia que les permita mejorar sus resultados financieros, por lo que cada vez más los empresarios procuran mantener su imagen corporativa, cumplir las normas laborales y medioambientales, sin excluir las preocupaciones sociales y el desarrollo de la comunidad. En México existe una gran necesidad de superar las limitaciones sobre el tema de la Responsabilidad Social Empresarial y de avanzar hacia el logro de la aplicación de ésta materia tanto por parte del Estado, como por el sector privado, y social, para coadyuvar a las organizaciones a contar con un sistema de gestión integral, que contemple el cumplimiento de las prácticas económicas, laborales y ambientales que permita el desarrollo armónico sostenible del país. La tendencia mundial demuestra que temas como la responsabilidad social, integridad, transparencia, comercio ético y el desarrollo sostenible, se están convirtiendo en una exigencia para el comercio y la inversión extranjera directa. Actualmente las empresas mexicanas se están enfrentando a la presión ejercida por clientes extranjeros, gobierno, consumidores, etc., quienes les demandan que sus procesos y estándares de trabajo, cumplan con requisitos legales y éticos y sean organizaciones socialmente responsables. Anteriormente, el pensamiento dominante sobre la responsabilidad de las empresas manejaba como la única responsabilidad de una empresa, la de generar utilidades, posición validada por Milton Fridman, premio Nobel de Economía. Al día de hoy, muchos piensan que ya no es suficiente ni aceptable que la única preocupación de una empresa sea la de generar utilidades para sus accionistas, sin tomar en cuenta las actividades que pueden afectar, ya sea positiva o negativamente, la vida de sus empleados o de las comunidades donde realizan sus operaciones. La esfera de responsabilidades de las empresas se ha ampliado. La rendición de cuentas ya no se hace solamente ante los accionistas, sino también ante todos los grupos que se ven afectados por sus actividades. A estos grupos se le llaman las partes interesadas o “stakeholders”, y son los empleados, los proveedores, los clientes, los accionistas, el gobierno, consumidores, competidores, la comunidad u otros.
6 - 7
2.2 Una forma de poner en práctica la RSE. La Responsabilidad Social Empresarial descansa en los siguientes elementos fundamentales:
• Comités de Ética y Valores • Normatividad expresa • Información e indicadores de gestión • Supervisión y medición • Talleres de mejora continúa
Comités de Ética y Valores: El comité será según la complejidad de la empresa para poder cubrir todos sus procesos y mantener su funcionalidad en un esquema de autoridad jerárquica pero abierta a la participación de los líderes de opinión que más confianza merezcan entre sus compañeros de trabajo (Ombudsmen). A este comité deberán asignarse funciones de emisión de normatividad, solución de consultas, promoción de ética y valores y solución de casos que requieran estímulos y sanciones. Normatividad expresa: Se refiere a un código de conducta completo, conciso y entendible por toda la organización que establezca principios y valores éticos y políticas generales de responsabilidad social empresarial. Deberá ser un documento dinámico revisable y flexible que además pueda complementarse con un manual de políticas y procedimientos más detallados para la realización de los cuatro pasos de la APV. Información e indicadores de gestión: La alineación del código de conducta con la planeación estratégica permitirá establecer un sistema ágil de información que genere un juego de indicadores de gestión para el monitoreo de cumplimiento de sus estrategias y tácticas vigilando que no se infrinjan en ningún momento sus principios y valores, ya que nunca el fin justificará a los medios. Supervisión y medición: los métodos de supervisión y medición pueden ser muy variados pero siempre caerán dentro de 3 grupos principales de procedimientos:
• Auto evaluación (Self assessment). • Medición comparativa (Benchmarking). • Certificación o auditoria.
Talleres de mejora continua: Con la información de los casos y de los indicadores, se realizan talleres que buscan mejorar el proceso, reafirmar los valores y prevenir conductas indeseables 2.3 Criterios que le dan sentido a la RSE. Para poder elaborar el código de conducta debemos también tener presente los criterios en los que se puede dividir la Responsabilidad Social Empresarial para cumplir de forma equilibrada en cada uno de los ámbitos de la empresa.
6 - 8
# Criterios Temas relacionados 1 Medidas anticorrupción Gobierno Corporativo, Código de Mejores Prácticas
Corporativas, transparencia y confidencialidad, prevención de lavado de dinero, Ley Sarbanes Oxley, autoridades.
2 Ética Corporativa Filosofía de las empresas, valores, código de conducta (conflictos de interés), comité de ética y/o metodologías, premios y sanciones, indicadores, sistema de medición.
3 Legalidad y Aspectos Laborales
Legalidad y normatividad, derechos humanos, seguridad e higiene y relación con autoridades, auditorias, clima organizacional, discriminación.
4 Medio ambiente Ecología, contaminación, preservar y conservar la naturaleza y los seres vivos, (la responsabilidad de mis procesos y mis productos en relación al impacto que tendrán en el medio ambiente).
5 Competitividad Rentabilidad, sustentable, calidad, productividad, inversión y crecimiento. (tecnología, educación, capacitación, metodologías, sistemas, maquinaria y equipo).
6 Civismo empresarial Filantropía, contribuir a la disminución de la pobreza y desarrollo de la comunidad.
Estos criterios se relacionan directamente con cada uno de los interesados del negocio “stakeholders” que esperan el cumplimiento responsable de la organización y el valor agregado. # Participantes Valor que persigue 1 Clientes Calidad, buen precio, disponibilidad, excelente servicio y
garantía. 2 Empleados Trato digno, desarrollo personal y profesional, ingresos justos y
equitativos, y equilibrio entre trabajo y ocio (familia). 3 Inversionistas Sustentable, Rentabilidad, Prestigio, trascendencia y corto
tiempo del retorno sobre la inversión. 4 Proveedores Pago justo y en tiempo, respeto por las reglas, cumplimiento de
contrato, competencia justa y participativa. 5 Competidores Competencia justa, no monopolios, respeto de patentes, no
publicidad que desprestigie, no corromper. 6 Sociedad Cuidado del medio ambiente, evitar poner en riesgo a la
ciudadanía, desarrollo de la comunidad, disminución de la pobreza (filantropía).
7 Autoridades Pago de impuestos oportuno y completo, respeto y cumplimiento de la ley, adherirse a normas voluntarias nacionales e internacionales.
6 - 9
2.4 Cadenas de valor (Red de Transparencia Empresarial). La Red de Transparencia Empresarial es una manera de promover la competitividad y la calidad con metodologías de mejora continua; derivada de la relación de confianza con los participantes del negocio (stakeholders). La Red de Transparencia es la forma de extender la responsabilidad social empresarial al alcance de las Pymes para poder cumplir con: - Las personas que laboran en la organización - Los productos y/o servicios que se ofertan - La conservación y desarrollo de la ecología - La comunidad en donde opera con respeto y fomento del desarrollo - El cumplimiento y transparencia frente a las autoridades - La subsidiaridad y competitividad con los inversionistas La Red de Transparencia Empresarial es una estrategia que las empresas grandes, líderes en el mercado, consideran como prioridad en su organización, sobre todo hoy en día que se ha venido minando la confianza, situación derivada de los abusos de corrupción, simulación y otros actos que impactan las relaciones de negocios. Consecuencia de ello es la instalación de diversos controles y reglas en el mundo, como el Gobierno Corporativo, la Ley Sarbanes Oxley, obligatoria para empresas que cotizan en la Bolsa de Nueva York, y en México el Código de Mejores Prácticas Corporativas, para las empresas que cotizan en la Bolsa Mexicana de Valores y a nivel gobierno federal la Ley de Transparencia. La Red de Transparencia Empresarial es resultado de una iniciativa integrada por un grupo de empresas comprometidas con la responsabilidad social empresarial, dispuestas a intercambiar información, establecer compromisos y promover con todos sus participantes del negocio (stakeholders) la adopción de esta cultura. Esta Red surge de la necesidad de tener un proceso que permita obtener un reconocimiento efectivo y económico a las prácticas de competitividad, integridad y transparencia de las Pymes, ya que son ellas las que tienen un doble reto frente a la globalización económica. Este reto se traduce en mantener niveles de competitividad internacional en cuanto a su permanencia, calidad, productividad y rentabilidad, así como en demostrar sus niveles de integridad y transparencia como empresas socialmente responsables. Es así que organizaciones sin fines de lucro como Administración por Valores (Aval) y Alianza de Responsabilidad Social Empresarial (Aliarse), por medio del Centro Mexicano para la Filantropía (Cemefi), han apoyado la generación de este proceso denominado "Red de Transparencia Empresarial", sistema que
6 - 10
lleva las mejores prácticas de las grandes empresas, al alcance de otras que no las tienen, sobre todo al alcance de las Pymes. Su objetivo es crear una red de empresas transparentes a partir del código de conducta establecido por la organización, para que sea difundido a todos los clientes y proveedores de bienes y servicios. Lo anterior, con el fin de que lo conozcan, se familiaricen con él e implanten el proceso de "Administración por Valores" en sus propias organizaciones. Esto quiere decir que a partir de la experiencia en Responsabilidad Social Empresarial de la empresa líder, se realiza una serie de esfuerzos para poder transmitirla de manera efectiva y así:
Dar a conocer a los participantes del negocio, el compromiso de la organización en implantación de mecanismos de Responsabilidad Social Empresarial y demostrar con hechos cómo se convierte en una ventaja competitiva.
Invitar a los “stakeholders” a involucrarse en la Red de Transparencia
Empresarial.
Aportar las vivencias de la organización en el proceso de Responsabilidad Social Empresarial y las herramientas con que cuenta, para que los “stakeholders” que deseen adoptar una cultura similar, puedan seguir un patrón de referencia y les facilite vivirlo en su organización.
Bajo este panorama, cada vez son y serán más las empresas que ven en este sistema una buena manera de hacer sinergias con las Pymes a partir de sus experiencias de Responsabilidad Social Empresarial, ofrecer acceso a las mejores prácticas y lograr la competitividad, sobre todo con mejoras en la atención a clientes, apertura al cambio, lealtad y confidencialidad. Estas cadenas de suministros o proveedores, se convertirán en una gran cadena de valor y de valores para la sociedad, en donde la persona ocupa el primer nivel y de esta manera, las relaciones de negocio en competencia se vuelven productivas para todos, ya que todos debemos ser responsables en las causas y en los efectos.
6 - 11
3. La Administración Integral de Riesgos de Negocio. La Responsabilidad Social Empresarial es un proceso de administración por valores que va más allá de la ley, que responde a las necesidades del negocio y que genera valor, asimismo la AIRN proporciona la disciplina y las herramientas necesarias para dominar el riesgo a medida que la empresa crea valor. Imagine una organización en la cual: • El directorio y la alta gerencia se encuentran en una posición tal que son capaces
de tomar decisiones fundamentadas en la información en lo que respecta al equilibrio entre riesgo y recompensa y las decisiones cotidianas del negocio de nivel operativo se toman dentro del contexto la estrategia de la empresa en relación con el riesgo y de su capacidad de administrarlo;
• Los riesgos relacionados con el valor de los activos tales como la base de clientes
de la empresa, sus socios de distribución, su cadena de distribución, su capital intelectual y de conocimientos, sus procesos y sistemas, se reconocen y se optimizan de idéntica forma que sus activos físicos y financieros;
• La necesidad de control operativo se equilibra con el empowerment de su
gerencia empresarial; • Los ejecutivos identifican y administran los riesgos sistemáticamente en forma
integral; • Se evalúan inversiones nuevas –y existentes- tanto sobre la base individual como
de la cartera; • La empresa comprende sus capacidades en materia de administración de riesgos
en forma tan exhaustiva y sus procesos se encuentran tan bien diseñados, que puede actuar de inmediato ante oportunidades que generarían temor o fracaso de empresas menos sofisticadas.
Tales organizaciones ya existen o están evolucionando a un ritmo acelerado. El proceso de administración que están incorporando es el que denominamos Administración Integral de Riesgos del Negocio. La AIRN es un enfoque estructurado y disciplinado: alinea la estrategia, los procesos, las personas, la tecnología y el conocimiento con el propósito de evaluar y administrar las incertidumbres que la empresa enfrenta al crear valor. “Para toda la empresa” significa justamente eso: la erradicación de las barreras funcionales, departamentales o culturales de modo de adoptar un enfoque integral, integrado, anticipado y orientado hacia los procesos para administrar los riesgos y oportunidades clave del negocio –
6 - 12
no sólo los financieros- con el objetivo de maximizar el valor de los accionistas para la empresa en su conjunto. Este nuevo paradigma de administración de riesgos constituye un cambio:
De Hacia • Fragmentado • Negativo
• Integrado • Positivo
• Reactivo • Anticipado • Ad hoc • Continuo • Basado en el costo • Basado en el valor • De enfoque estrecho • De enfoque abarcador
• De orientación funcional • Orientado hacia los procesos
La AIRN redefine la proposición de valor de la administración de riesgos al brindar a las empresas los procesos y las herramientas que necesitan para ser capaces de lograr una mayor anticipación y efectividad en la evaluación, el aprovechamiento y la administración de las incertidumbres que deben enfrentar al crear valor sostenible para los accionistas. Las capacidades relacionadas con la AIRN proporcionan al menos dos beneficios: • En primer lugar, ofrecen a la gerencia un argumento más contundente y
potencialmente diferenciador para comunicarse con los inversores que a su vez puede conducir a múltiplos de beneficios/ precios más altos en el valor de las acciones.
• En segundo lugar, permiten a la empresa procurar oportunidades de crecimiento
estratégicas con mayor velocidad, habilidad y confianza. Los ejecutivos saben que los riesgos inherentes a las operaciones existentes se están administrando en forma efectiva; también aportan evaluación y administración de riesgos calificadas a emprendimientos de toma de riesgo.
En suma, el enfoque de la AIRN (Administración Integral de Riesgos de Negocio) contribuye a la diferenciación del modelo de negocios de la empresa y construye su imagen y reputación con los clientes, proveedores, empleados y los mercados de capital, todos los cuales son fundamentales para mantener un negocio exitoso. La implementación de la AIRN permite a la organización alinear en forma idónea, coherente y continua la necesidad de preservar el capital con el deseo de generar un mayor retorno en un negocio creciente. No se trata de tecnología espacial, pero tampoco se la puede implementar de la noche a la mañana. Al observar a las organizaciones avanzar hacia la AIRN, nos damos cuenta de que la implementación de la misma requiere avances en dos áreas:
6 - 13
1. Un compromiso con el camino hacia la AIRN. Los pasos a lo largo de dicho camino, tal como nosotros lo vemos, incluyen: • Adoptar un lenguaje común. • Establecer metas, objetivos y estructura de control de administración de riesgos
generales. • Desarrollar e implementar procesos uniformes para evaluar el riesgo del negocio y
desarrollar estrategias de Administración de riesgos. • Desarrollar e implementar capacidades de administración de riesgos para ejecutar
estrategias de Administración de riesgos definidas. • Construir sobre dichos cimientos para mejorar las estrategias, los procesos y las
medidas para los riesgos individuales. • Medidas de riesgo múltiple generales. • Establecer un vínculo entre la medición y el desempeño de la empresa. • Construir a partir de las capacidades mencionadas en los puntos precedentes
para formular estrategias de riesgo para toda la empresa, que dé como resultado nuevas concepciones que desarrollen nuevas habilidades de administración de riesgo.
2. La aplicación de una concepción uniforme para toda la empresa de proceso de administración de riesgos del negocio. Los pasos mencionados hacia la implementación de la AIRN se ven facilitados por una visión integral de la administración de riesgos de negocio, tal como se ilustra en el modelo denominado “Business Risk Management Process” o Proceso de Administración de Riesgos del Negocio (PARN). Al crear procesos coherentes para evaluar, administrar y monitorear los riesgos y aplicarlos en el ámbito de toda la empresa, la organización facilita la comunicación, mejora la formación de la estrategia, ofrece herramientas y técnicas y, en general, aumenta las capacidades de la organización. Según el PARN, la gerencia ejecuta tareas específicas. Primero establece sus metas y objetivos, desarrolla su lenguaje común e implementa una estructura de supervisión. Estas tareas, ejecutadas en forma coincidente, posibilitan e impulsan el proceso. A partir de allí, el modelo “cobra vida” utilizando el lenguaje común y las metas y objetivos como guía a través de cinco tareas iterativas de mejora continua. Nótese que en la siguiente figura, dichas cinco tareas iterativas están sustentadas por información para la toma de decisiones y reproducen con fidelidad los pasos iniciales del camino hacia la AIRN.
6 - 14
El proceso de administración de riesgos de negocio Establecer un proceso de
gestión de riesgos del negocio• Metas y objetivos• Lenguaje común• Estructura de supervisión
Evaluar los riesgosdel negocio
• Identificar• Determinar la fuente• Medir
Controlar el desempeño enmateria de gestión de
riesgo
Diseñar/ Implementarcapacidades de gestión de
riesgo
Desarrollar estrategias degestión de los riesgos del
negocio- Evitar - Retener - Reducir- Aprovechar - Transferir
Mejorar en forma continualas capacidades de gestión
de riesgo
Información para la
Toma de decisiones
Si se implementa de manera efectiva, el PARN logra dos objetivos. En primer lugar, proporciona a los responsables de riesgos y procesos designados un marco útil para definir las tareas esenciales de la administración de riesgos. En segundo lugar, se trata de un proceso sistemático para crear y mejorar las capacidades de administración de riesgos abarcadoras que, a medida que evolucionan a lo largo de toda la empresa, ofrecen el puntapié inicial para un verdadero ambiente de AIRN. La administración de riesgos del negocio efectiva no es algo accidental ni incidental. La AIRN convierte a la administración de riesgos del negocio en un proceso disciplinado y racional para procurar oportunidades que, de acuerdo con el modelo de negocios de la empresa, incluso puede aumentar el grado de exposición de la misma a la variabilidad de desempeño. Además, la AIRN mantiene el foco del modelo de administración de riesgos tradicional en reducir la exposición a pérdidas a un nivel aceptable. No existen prototipos perfectos dado que un verdadero entorno de AIRN representa un cambio hacia una nueva concepción estratégica. Es el resultado de una evolución natural y responde a los generadores del riesgo que aparece en el entorno y al surgimiento de nuevas herramientas y procesos para administrarlo. El proceso que se describe en la siguiente figura ilustra este cambio evolutivo que eleva el valor de la administración de riesgos al nivel estratégico.
6 - 15
Pasos en el camino hacia la AIRN (Administración Integral de Riesgos de Negocio)
Va
lor a
port
ado
*
Perspectiva de gestión de riesgos
Foco: riesgo de perjuiciofinanciero y controles internosVínculo con oportunidad:subestimadoAlcance: tesoro, seguros yoperaciones pertinentes
Foco: riesgo del negocioVínculo con oportunidad: másclaroAlcance: gerentes responsables(riesgo-por-riesgo)
Foco: riesgo del negocioVínculo con oportunidad:cristalinoAlcance: alineación de estrategia,procesos, gente, tecnología yconocimiento sobre la base detoda la empresa
Estrategia
Gestión de riesgos
Gestión de riesgosde negocios
Gestión integral deriesgos empresarios
Financiero
Operaciones
Gestión
* Observe que el “valor contribuido significa la contribución de la gestión de riesgos a fin deestablecer una ventaja competitiva sostenible, mejorando el rendimiento del negocio y optimizandolos costos.
Al implementar la AIRN, la gerencia debe determinar qué significa adoptar una concepción que abarque toda la empresa. De hecho, una concepción de este tipo significa que toda decisión que se toma está destinada a mejorar la organización en su conjunto. La filosofía operativa de la gerencia, la definición formal de los límites de la empresa, los grupos de interés de la empresa y la alineación de los objetivos de la gerencia y los incentivos de desempeño con los de la empresa constituyen factores a tener en cuenta al decidir qué significa “para toda la empresa” desde un punto de vista práctico. La economía también está haciendo más difusos los límites de las organizaciones e impulsando una concepción más expansiva de las partes interesadas de la empresa. 3.1 Establecer el proceso de administración de riesgos del negocio. Para que la administración de riesgos sea efectiva, debe concordar con las capacidades, procesos y estrategias de negocios de la empresa. Debe además delinear las tareas específicas y relaciones de jerarquía así como también designar responsables claros del riesgo. Por último, debe especificar acciones permisibles –y deseables- y al mismo tiempo proporcionar a los responsables del riesgo un espacio amplio para llevar a cabo la administración día tras día. En esencia, debe institucionalizar sus metas, objetivos y estructuras de supervisión, todas las cuales están facilitadas por la AIRN.
6 - 16
La implementación de la AIRN esta íntimamente relacionada con el funcionamiento del PARN. Los primeros dos pasos del camino hacia la AIRN (adoptar un lenguaje común y establecer metas, objetivos y estructura de control) también constituyen los elementos clave de la primera fase de implementación del proceso de administración de riesgos del negocio (PARN). No se trata de una progresión lineal; estos pasos evolucionan en forma coincidente y las elecciones respecto de seguir uno u otro paso ejerce influencia sobre los demás. Sin embargo, se las presenta aquí en orden de aparición como los “ladrillos” necesarios para construir la AIRN. 3.1.1 Adoptar un lenguaje de riesgos del negocio. La comunicación es esencial. La falta de un lenguaje compartido inhibe la comunicación y la posibilidad de compartir las mejores prácticas y así altera la administración de riesgos efectiva. Además, sin un lenguaje común que sirva de sustento a marco o un proceso uniforme, todos comienzan con una “hoja en blanco” cada vez que se confronta el tema del riesgo. Se trata de una herramienta para facilitar un dialogo ininterrumpido entre los gerentes y empleados de la empresa acerca del riesgo y los procesos que se ven afectados por el riesgo. Es esencial tanto para implementar el PARN y constituye la piedra fundamental de la AIRN. La introducción de un lenguaje común de riesgos del negocio constituye el primer paso para garantizar que la organización sigue un proceso uniforme para examinar sus riesgos en forma exhaustiva y coherente. Los elementos esenciales de un lenguaje común en materia de riesgo incluyen: • Una definición de riesgos coherente con la concepción dinámica de creación de
valor en un negocio; • Un lenguaje de riesgo coherente con la nueva proposición de valor de la
administración de riesgo; es decir, el riesgo va de la mano de la oportunidad: utilizado para ayudar a las empresas con la tarea de identificar los riesgos y como base para el análisis y el debate continuos;
• Un esquema de clasificación de proceso que divide el negocio en los componentes operativos, de administración y de soporte;
• Otros marcos que simplifican y concentran las comunicaciones acerca del riesgo y las capacidades de administración de riesgo.
El riesgo del negocio es el nivel de exposición a las incertidumbres que la empresa debe comprender y administrar en forma efectiva a medida que ejecuta sus estrategias para lograr los objetivos del negocio y crear valor. Esas incertidumbres suelen ser externas a las operaciones normales de la empresa pero en muchos casos constituyen cuestiones relacionadas con los procesos internos.
6 - 17
La exposición es toda fuente de valor de una empresa que se ve afectada por cambios en las variables subyacentes clave. En la nueva economía, las exposiciones de una empresa se extienden mucho más allá de sus activos financieros y físicos dado que también incluyen fuentes de valor tales como las relaciones con los clientes y los proveedores, los empleados, las marcas y los procesos internos. Comprender las variables que generan incertidumbre para cada una de las exposiciones de la empresa constituye la base fundamental para la medición y administración del riesgo. Ejemplos de las variables clave incluyen las tasas de interés, dependencias de los proveedores, tipos de cambio y desempeño humano. Para permitir a la organización establecer prioridades y recoger la información adecuada en relación con sus exposiciones e incertidumbres, es necesario contar con un marco de referencia. Dicho marco debe ser lo suficientemente abarcador de modo que incluya todas las fuentes y clasificaciones de riesgo: debe tender una red amplia de forma tal que constituya una herramienta útil para identificar los riesgos y establecer prioridades. Por ejemplo, los riesgos del negocio se dividen en tres grupos amplios: • Riesgo del entorno que surge cuando existen fuerzas externas que pueden afectar
el rendimiento de una empresa (mercados, competidores, entidades reguladoras) o hacer que elementos de su modelo de negocio se vuelvan obsoletos o dejen de ser efectivos.
• Riesgo del proceso que surge cuando los procesos del negocio no logran los
objetivos para los que se les diseñó como sustento del modelo de negocio de la empresa.
• Riesgo relacionado con la información para la toma de decisiones que surge
cuando la información utilizada para apoyar las decisiones del negocio es incompleta, desactualizada, inexacta, inoportuna o simplemente irrelevante para el proceso de toma de decisiones.
Estos tres componentes del riesgo del negocio ofrecen una base amplia sobre la cual se puede identificar y detallar categorías de riesgo más específicas. Se les ilustra en la siguiente figura utilizando el Modelo de Riesgo del Negocio.
6 - 18
El Modelo de Riesgo del Negocio
Riesgo del entorno Incertidumbres que afectan la viabilidad de nuestromodelo de negocios
Riesgo del proceso Incertidumbres que afectan la ejecución de nuestromodelo de negocios
Riesgo relativo a la tomade decisiones
Incertidumbres acerca de la pertinencia yconfiabilidad de la información sobre la cual sebasan nuestras decisiones para la creación de
valor
Fuentes deIncertidumbre
Mediante el uso de este modelo se pueden identificar riesgos más específicos dentro de cada categoría de riesgo. El uso de un lenguaje común de administración de riesgos comienza en un nivel estratégico. La mayor parte de los lenguajes comunes comienzan con un modelo similar al de la figura anterior, pero luego se les adapta a las circunstancias únicas de la empresa, unidad de negocios por unidad de negocios y proceso por proceso. Un modelo bien conceptualizado es un buen punto de partida para profundizar los debates y la comprensión del riesgo, un primer paso esencial en el camino hacia la AIRN. De acuerdo con nuestras investigaciones, uno de los enfoques de desarrollo más efectivos es el que va “de arriba hacia abajo”. Es decir, la gerencia define los objetivos de la organización y los riegos más amplios que ofrecen estos objetivos. Luego se identifican los riesgos específicos en forma de “cascada”. A medida que la identificación de riesgos penetra más profundamente en los diversos procesos o unidades del negocio de la empresa, el lenguaje básico en materia de riesgo se expande en mayor detalle. 3.1.1.1 Un lenguaje para los procesos. Un lenguaje en materia de riesgos se complementa con un esquema de clasificación del proceso. Todo negocio puede descomponerse en procesos operativos, de administración y de apoyo. Un esquema de clasificación de procesos es un resumen de los procesos de una empresa y se convierte en una herramienta útil en el momento de evaluar la fuente de los riesgos.
6 - 19
Al igual que en el caso de los riesgos del negocio, las categorías amplias de procesos se dividen luego en sub-procesos que pueden aplicarse o adaptarse a cualquier negocio o industria. El punto es que la empresa debe elaborar su propio marco para organizar su esquema de clasificación de procesos y rellenar el marco a lo largo del tiempo. Un esquema de procesos ofrece una herramienta útil durante el proceso de evaluación del riesgo que se introduce más adelante en el presente resumen. Para comunicarse en forma efectiva en sentido vertical y horizontal y entre las unidades, funciones y departamentos, los gerentes y empleados necesitan un lenguaje común. Al igual que ocurre con todo aquello que depende en gran medida de la comunicación efectiva, la ausencia de un lenguaje conduce a errores de comunicación y a que algunas cosas se pasen por alto. Un lenguaje común, construido en función de los procesos y riesgos del negocio de la empresa, proporciona la base para encarar los riesgos y procesos que requieren mayor atención. Otros marcos pueden incrementar el lenguaje común si y solo si son efectivos para simplificar y concentrar las comunicaciones. 3.1.2 Establecer metas y objetivos. Los DG sientan las bases para la administración de riesgos del negocio al definir la misión de la empresa. La misión debe traducirse en un conjunto de estrategias y políticas del negocio específicas. Las estructuras formales de la política y la estrategia se desarrollan de forma tal que los responsables del riesgo y otros interesados compartan un conocimiento común de la filosofía de toma de riesgos, la tolerancia de riesgo y los estándares de conducta esperados de la empresa. Las estrategias del negocio definen el modelo de negocio para alcanzar los objetivos de la organización; las políticas, en tanto, incorporan detalles tácticos a la implementación de las estrategias. Las estrategias del negocio proporcionan el contexto para comprender qué riesgos desea tomar la empresa; las políticas, por otra parte, ofrecen garantías al directorio y la gerencia ejecutiva de que la tolerancia al riesgo de la empresa se transmite y monitorea en forma efectiva. Por lo tanto, las políticas pueden constituir una herramienta útil para delinear los riesgos deseados y no deseados. La estrategia de riesgo debe ser coherente con otras estrategias de la empresa. En una situación ideal, tanto la estrategia de riesgo como la del negocio deben desarrollarse en forma coincidente, al menos a un nivel alto de modo que estén sincronizadas. Si se formula la estrategia de riesgo después de que se desarrolla la estrategia del negocio, entonces la estrategia del negocio debe volver a evaluarse sobre la base de un ajuste según los riesgos. Este punto es esencial dado que nuestra investigación se orienta a empresas que determinaron que ciertas estrategias del negocio justificaban una revisión profunda una vez que se obtenía una comprensión cabal de los riesgos pertinentes. Por lo tanto, el establecimiento de metas y objetivos se define con mayor precisión cuando se formulan estrategias de riesgo para riesgos específicos.
6 - 20
Además de definir las metas y objetivos generales en materia de administración de riesgo, la gerencia ejecutiva también debe garantizar una evolución comparable de la supervisión. Una estructura de supervisión efectiva incluye comités de trabajo de la dirección administrativa, un director responsable de la administración de riesgos para toda la empresa, descripciones de puestos de trabajo y bases formales, niveles de autorización claros y cadenas de mando efectivas. Quizás aún más importante, sin establecer claramente que el objetivo es la AIRN y que un conjunto de gerentes específico están a cargo de lograr dicho objetivo, los avances pueden ser mínimos. Los elementos esenciales de la organización de administración de riesgos incluyen lo siguiente: • El Directorio cumple un papel de supervisión, comprende los riesgos críticos,
aprueba las estrategias y políticas referidas a la AIRN y determina que la administración de riesgos es efectiva.
• El DG es el “ejecutivo general de riesgos”. Es responsable en última instancia de
las prioridades, tolerancias, estrategias y políticas en materia de AIRN y actúa como el responsable final de la implementación en relación con dichas cuestiones.
• El Comité Ejecutivo de Administración de Riesgos (CEAR) coordina la toma de
decisiones. Por ejemplo, recomienda los perfiles y niveles de tolerancia de riesgo al DG y al Directorio. Evalúa los métodos de medición. Establece marcos de asignación de capital. Desarrolla políticas de riesgo específicas y para toda la empresa. Asigna responsables de para los riesgos más significativos. Y evalúa la efectividad de la infraestructura existente para la administración de riesgos específicos.
• El “Chief Risk Officer” o funcionario responsable de riesgo (FRR) - FRR es un
miembro del CEAR y rinde cuentas directamente al DG o a un director ejecutivo. El FRR supervisa la función de administración de riesgos del negocio (ver más abajo) y es el responsable último del PARN. El FRR también puede tener autoridad para ocuparse de la administración de riesgos determinados.
• Las gerencias operativas y de apoyo efectúan la administración de riesgos e
informan los resultados. Por ejemplo, evalúan los riesgos y procesos y proveen información respecto de las estrategias y prioridades en materia de riesgo para toda la empresa. Formulan estrategias para las distintas unidades coherentes con las estrategias generales para la empresa. Se ocupan de las actividades de desarrollo de producto y negocio para crear nuevas fuentes de valor coherentes con los niveles de tolerancia generales de la empresa. Establecen umbrales de riesgo de unidad coherentes con las políticas generales de la empresa. Asignan responsabilidades y obligaciones relacionadas con la administración de riesgos dentro de sus respectivas unidades. También informan acerca de la calidad general de los procesos de administración de riesgo. El éxito en materia de AIRN se determina en última instancia por el grado en el cual la gerencia funcional y de
6 - 21
línea participan en el proceso con un enfoque integrado y se los considera responsables de resultados a nivel de toda la empresa.
• La Función de Administración de Riesgos del Negocio (FARN) proporciona
“modelos de facilitación” que unen el tope de la organización y sus unidades de negocios con sus actividades. Dichas herramientas, tales como un lenguaje común, facilitan la recolección, análisis y síntesis de información y presentación de informes de exposiciones y resultados del proceso en el ámbito de la empresa en su conjunto. La FARN suele rendir cuentas a un director ejecutivo (es decir el FRR) y/o al CEAR. El director ejecutivo designado o CEAR suele definir su carta orgánica, la cual es aprobada por la dirección de la compañía.
• Por último, auditoría interna y cumplimiento de la administración de riesgos
cumplen el papel de convalidación. En algunas organizaciones, pueden estar unidas. Realizan auditorías y revisiones para garantizar al CEAR y al Directorio que los procesos críticos se están llevando a cabo en forma efectiva, los informes y medidas clave son confiables y las políticas establecidas se encuentran en un estado de cumplimiento permanente.
Al evaluar la estructura de supervisión de la empresa para la administración de riesgo, existen muchos modelos alternativos que deben tenerse en cuenta. Si bien es difícil generalizar, las diferencias entre ellos pueden resumirse en términos de varios principios de diseño relacionados con los papeles y autoridades en los diversos niveles de la empresa, según lo expresan las siguientes preguntas: • ¿Cuál es el papel del directorio y el DG? La administración de riesgos efectiva
comienza en el nivel más alto de la empresa. • ¿Existe un CEAR? ¿Quiénes lo componen? ¿Qué papel cumple y cuáles son sus
responsabilidades? • ¿La empresa designa a un único funcionario para asumir la responsabilidad de la
administración de riesgo, es decir un FRR o puesto ejecutivo equivalente? ¿Dicho funcionario es independiente de las operaciones, es decir, rinde cuentas directamente al DG o CEAR?
Si no se cuenta con un único funcionario responsable de riesgo, ¿existe un comité (o grupo equivalente) con responsabilidades similares? • Si existe un único funcionario responsable del riesgo o un comité (o grupo
equivalente): − ¿A quién rinde cuentas el funcionario o comité? − ¿Cuál es la naturaleza de los riesgos integrados del funcionario o comité? − Si cuenta con un CEAR, ¿cómo está constituido? − ¿Cuáles son sus papeles y responsabilidades?
6 - 22
− ¿El papel es consultivo (evaluación y recomendación) o autoritario (aprobación) o ambos?
− ¿Se cuenta con personal de apoyo adecuado? • ¿Cuáles son los papeles y responsabilidades de los gerentes de las unidades de
negocios y de división? • ¿Qué funciones independientes de validación y cumplimiento existen? ¿A quién
rinden cuentas dichas funciones? Algunos ejemplos de dichas funciones incluyen auditoría interna, cumplimiento/ supervisión de administración de riesgos y revisión de valor de riesgos.
• ¿Cómo se determina la responsabilidad de administración de riesgos? ¿Quién es
el “dueño” de la responsabilidad de administración de riesgos específicos y a través de qué canales se informan los resultados?
De acuerdo con las respuestas a éstas y otras preguntas, se diseña una estructura de supervisión para actuar tanto como “árbitro” y patrocinador para hacer avanzar a la organización. Definir un lenguaje común y establecer metas, objetivos y supervisión ofrece los medios para que un grupo de trabajo de ejecutivos de alto nivel dirija la transición hacia la AIRN desde el tope de la organización. Constituye una base sólida para la administración de riesgos del negocio. 3.2 Evaluar los riesgos del negocio. Una vez cumplida la primera tarea del PARN, la organización está lista para utilizar sus metas y objetivos como foco y su lenguaje común y estructura de supervisión como herramientas que permiten el logro de los mismos. Una organización que ha alcanzado la implementación de la AIRN evalúa continuamente los riesgos del negocio de acuerdo con sus metas y objetivos generales. En este punto, la organización aprende a aplicar en forma coherente un conjunto fundamental de técnicas de evaluación que varían en niveles de sofisticación: • Identificar los riesgos que se debe administrar para garantizar el éxito del modelo
de negocio de la empresa. • Determinar por qué, cómo y dónde se originan los riesgos, ya sea fuera de la
organización o en el marco de sus procesos o actividades. • Medir la severidad, probabilidad y el impacto financiero del riesgo. Existen muchos
métodos de medición de acuerdo con el grado de precisión necesario.
6 - 23
La siguiente figura constituye un buen ejemplo de un mapa de riesgos.
Perfil de riesgos del negocio
6 2 3
4715
16
12
13
14
1
89
1011
Probable
Impa
cto
Probabilidad
Man
ejab
leIm
port
ante
Crít
ica
Remota Posible
Objetivosrectores:
Triplicar UP (utilidadespor acción) en un períodode cincoañosmediante:
• El crecimiento• La maximizaciónde la creaciónde valor• La motivacióndel personal y la retenciónde laspersonas valiosas• El desarrollode marcasdistintivas
Composicióndel riesgo
Patrimoniode la marcaAccionesde clase(o colectivas) en materiade salud públicaCostosde productosbásicosTendenciasde consumidoresMercados financierosy riesgoseconómicosRecursoshumanosSistemasde informaciónLegislación/ marcoregulatorioJuiciosCatástrofesnaturalesEntornopolíticoConfianzaen otrosReputacióncon inversoresEjecuciónde estrategiaCuestiones relacionadascon la cadenade proveedoresImpuestos / tasas / impuestosespecíficos
La delimitación de riesgos es la herramienta más útil y de uso más extendido para la identificación de riesgos y el establecimiento de prioridades de riesgos. Esta técnica, si bien es algo subjetiva, provee de todas formas un medio efectivo, uniforme y poderoso para identificar los riesgos y establecer las prioridades. Los responsables del proceso y directores del negocio evalúan sus riesgos en términos de la severidad y la probabilidad. La delimitación de riesgos, en especial cuando se la ejecuta mediante un lenguaje de riesgo común, ofrece numerosos beneficios a los responsables del proceso, gerentes y a la organización en su conjunto. Por ejemplo: • Concentra la atención en los riesgos más vitales a efectos de determinar su origen
y de su medición. • Sirve de punto focal para el desarrollo de las estrategias de riesgos (la tarea
siguiente a la evaluación de riesgo en el PARN). • Alinea el logro de los objetivos del negocio con la administración de riesgos. • Reduce las posibilidades de pasar por alto riesgos u oportunidades importantes. • Resalta oportunidades de compartir información y aplicar mejores prácticas para la
administración de riesgos que son comunes en diversas unidades de negocios y procesos.
6 - 24
• Ofrece una plantilla para la presentación conjunta de los riesgos en toda la
empresa. La administración de riesgos coherente se ocupa de las preguntas críticas que deben responderse a efectos de formular una estrategia de riesgo adecuada. La siguiente figura sirve de ejemplo.
Ejemplos de preguntas críticas que deben contestarse para formular una estrategia de riesgos adecuada
Evaluar los riesgosdel negocio
• Identificar• Determinar la
fuente• Medir
Identificar
• ¿Qué está ocurriendo en el entorno?• ¿Nuestro modelo de negocio está funcionando con efectividad en
la creación de valor?• ¿Qué estamos tratando de lograr?• ¿Podemos hacerlo mejor, más rápido y a menor costo? ¿Qué
ocurrirá si no lo hacemos?• ¿Algo puede salir mal? Si ocurre, ¿cómo lo sabríamos?• De los riesgos que enfrentamos en el negocio, ¿cuáles son
deseables?• ¿Existe algún riesgo no deseado que no podemos aceptar?
Determinar
• ¿Los riesgos están impulsados por factores externos? En esecaso, ¿cuáles?
• ¿Los riesgos están impulsados por factores internos? En ese caso,¿cuáles?
Medir
¿Cuán grandes son nuestros riesgos? ¿Cuál es la repercusión sobreel capital, los beneficios, el flujo de efectivo, otros indicadores clavede desempeño y la reputación?¿Qué grado de probabilidad de ocurrir tienen los posibles resultadosfuturos que dan origen a nuestros riesgos?
Si bien la delimitación de riesgos es relativamente subjetiva, prepara el terreno para priorizar los riesgos clave. Se deben determinar el origen y los elementos clave que impulsan los riesgos de alta prioridad a través de análisis de la industria, análisis de los competidores, análisis de procesos y otras técnicas. Se los debe medir con rigurosidad mediante técnicas lo suficientemente sólidas tales como: • Análisis de indicador de riesgo. Esta técnica utiliza ayuda para la toma de
decisiones que permita a los usuarios identificar y evaluar indicadores de riesgo cualitativos.
• Medición de exposición a riesgos. Las exposiciones a riesgos suelen asociarse
con el monto bruto o teórico en riesgo, aunque una visión más sofisticada incorpora la naturaleza contingente de todas las exposiciones, es decir, incorpora los valores reales de la opción: ¿cuál es el costo o beneficio de la incertidumbre luego de que se han jugado todas las cartas probables para mitigarlos y explotarlos? Las exposiciones en el marco de la nueva economía van más allá de
6 - 25
los tradicionales activos físicos y financieros medidos e incluidos en el balance. Por ejemplo, incluyen los flujos de ingresos y las ganancias de marcas específicas, relaciones con los clientes y canales.
• Medición de riesgo. Mientras que la exposición es una medida bruta (total de
cuentas a cobrar o flujos de ingresos), el riesgo es una medida de la incertidumbre o variabilidad del desempeño relacionado con retornos de dicha medida bruta.
• Calificación de riesgo. Un enfoque sistemático y transparente para “calificar” el
nivel de riesgo. Este método utiliza plantillas y sistemas analíticos basados en la aplicación de criterios pre-definidos.
• Medición de desempeño. El riesgo existe debido a la incertidumbre que encierra el
futuro. Las mediciones de riesgos deberían, por lo tanto, mirar hacia delante. Sin embargo, cuando esto no es posible las mediciones de desempeño (por ej., mediciones de desempeño de costo, calidad y tiempo) suelen ser sustitutos útiles.
• Analíticos y modelos de riesgo. La evaluación rigurosa está sustentada por
modelos y analíticos disponibles en innumerables variedades y grados de complejidad.
Por supuesto, también existen otros métodos. Los factores que influyen sobre la elección de métodos de medición incluyen la complejidad del entorno, el grado de volatilidad, el nivel de capacidad deseado por la gerencia, la disponibilidad de información y los costos de implementación. 3.3 Desarrollar estrategias de administración de riesgos del negocio. Luego de la evaluación, el paso siguiente del PARN es el desarrollo de estrategias específicas. La siguiente figura resume las opciones fundamentales (las empresas pueden evitar, retener, reducir, transferir o explotar sus riesgos).
6 - 26
Desarrollo de la estrategia de riesgos: opciones fundamentales
Desarrollar estrategias degestión de los riesgos delnegocio- Evitar - Retener -Reducir - Aprovechar -Transferir
Evitar
• Enajenar• Detener• Controlar
Retener
• Aceptar• Autoasegurar• Planificar
• Prohibir• Apuntar• Eliminar
• Fijar nuevo precio• Compensar
Reducir
• Dispensar • Controlar
Transferir
• Asegurar• Limitar• Securitizar• Tercerizar
• Reasegurar• Indemnizar• Dividir
Explotar
• Asignar• Expandir• Rediseñar• Fijar precio• Renegociar
• Diversificar• Crear• Reorganizar• Arbitrar• Influenciar
Si bien las diversas opciones de administración de riesgos son claras en sí mismas, en su mayor parte, es apropiado agregar algunos comentarios: • La empresa decide en primera instancia si aceptar o rechazar un riesgo una vez
evaluado si es deseable o no. Un riesgo deseable es aquel inherente al modelo de negocios de la empresa o las operaciones futuras normales. Si el riesgo no es deseable, por ejemplo, se encuentra fuera de la estrategia, ofrece recompensas poco atractivas o la empresa no cuenta con las capacidades necesarias para efectuar la administración del mismo, entonces se rechaza el riesgo y las opciones para evitar son las apropiadas.
• Si la empresa acepta un riesgo, hay varias opciones disponibles. En primer lugar,
puede retener el riesgo en su nivel actual. En segundo lugar, puede reducir la severidad del riesgo y/ o la probabilidad de que ocurra. Los procesos de control de riesgo reducen la probabilidad de que ocurran. La dispersión geográfica de los activos reduce la repercusión de que una empresa sufra a partir de un único riesgo. En tercer lugar, la empresa puede explotar el riesgo al aumentar la exposición de la empresa al mismo. Por último, puede transferir el riesgo siempre y cuando participe un tercero independiente y financieramente capaz.
• Las cuatro opciones – evitar, retener, reducir y transferir- se ocupan de acciones
que se suelen aplicar a riesgos individuales. Dichas opciones también se aplican a grupos de riesgos relacionados que consisten en familias naturales o conjuntos de riesgos que comparten características fundamentales, como por ejemplo impulsores comunes, correlaciones positivas o negativas, etc. La quinta opción,
6 - 27
explotar, refleja una decisión anticipada y consciente de adoptar nuevos riesgos o aumentar los riesgos existentes cuando la empresa realiza apuestas en busca de oportunidades de valor agregado. Cuando las empresas adoptan riesgos o aumentan los existentes, deben conocer muy bien sus competencias fundamentales.
• Formular estrategias de riesgo es un proceso iterativo y fluido impulsado por los
hechos, medidas y análisis disponibles. No se trata necesariamente de una cuestión de seleccionar una u otra opción. La mejor elección puede ser una combinación de opciones. Por ejemplo, al ocuparse de la administración de la seguridad en el lugar de trabajo, la empresa puede querer implementar controles de riesgo apropiados para reducir el riesgo en materia de seguridad e higiene en el marco de sus procesos internos tanto como sea posible, obtener un seguro de trabajo adecuado para transferir una parte de los riesgos residuales y retener el resto del riesgo residual a través de deducibles.
La administración de riesgos se ocupa de efectuar elecciones basadas en la información acerca de dónde realizar las mejores apuestas, dónde reducir las apuestas y dónde evitarlas o dejar de apostar. Hay muchos factores que considerar al evaluar las estrategias de riesgo alternativas. Por ejemplo, existen factores relacionados con los efectos de las decisiones de negocios más abarcadoras que toma la gerencia respecto de la estrategia de riesgo. Dichos factores incluyen los objetivos y estrategias de la empresa, sus capacidades de administración de riesgos, el límite de tiempo para evaluar el riesgo y la capacidad de administración del riesgo. También existen factores relacionados con la naturaleza del riesgo y su repercusión sobre la estrategia de riesgos. Por ejemplo, los riesgos pueden ser controlables o incontrolables, operativos o contractuales, de cumplimiento por naturaleza o extendidos en toda la empresa. También pueden surgir de hechos que tienen lugar con o sin una frecuencia determinada. Dichos factores repercuten sobre la selección de las estrategias de riesgos. 3.4 Diseñar / implementar capacidades de administración de riesgos. El siguiente paso en el camino de la AIRN hace que todo ocurra y lo posibilita la siguiente tarea del PARN: diseñar / implementar las capacidades de administración de riesgos. El término capacidades abarca los procesos, personas, informes, métodos y tecnologías (sistemas e información) necesarios para implementar una estrategia en particular. Nos referimos a estos seis elementos (que incluyen las estrategias y las políticas) como los componentes de la infraestructura, e incluyen lo siguiente: • Estrategias y políticas del negocio. El marco formal de la política y la estrategia
incluye pautas específicas para tipos de riesgos, productos u operaciones así como también los principios más generales que se aplican a todos los aspectos del negocio, tal como se mencionó en el presente resumen. Permite a los responsables del riesgo comprender qué se intenta lograr con las capacidades de administración de riesgos.
6 - 28
• Procesos de administración de riesgos y de negocios. Los procesos de la
organización son sus medios primarios de ejecutar las estrategias y políticas del negocio. Las actividades de administración de riesgos están integradas en la medida de lo deseable a los procesos de negocio porque la administración de riesgos y el control de los mismos es mejor cuanto más cerca de la fuente. Las definiciones de procesos deberían precisamente describir la secuencia de actividades y tareas que deben llevarse a cabo para lograr el objetivo de administración de riesgos deseado.
• La gente. La gente ejecuta los procesos. Deberían definirse y delinearse los
papeles y responsabilidades de la toma de riesgos versus las funciones de control de riesgos así como también la interacción y los flujos de información y decisión entre funciones relacionadas. La responsabilidad general de la implementación de las capacidades mejoradas de administración de riesgos debería recaer en uno o más individuos calificados con los conocimientos, pericia y experiencia necesarios.
• Informes de administración. El sistema de presentación de informes de la
organización está diseñado en función de las necesidades de información de las personas responsables de ejecutar procesos de acuerdo con la estrategia de riesgos. El proceso de informes de riesgos tiene por objeto brindar a la gerencia conocimientos acerca de los riesgos, incluido el nivel de exposiciones en función de los límites, hipotéticos “qué pasaría si...”, tendencias en impulsores de riesgo, diversificación y concentración de riesgos, violaciones a los límites y otro tipo de información. Los informes a la gerencia deben ser prácticos, fáciles de usar, ligados a responsabilidades bien definidas y elaborados con frecuencias adecuadas.
• Métodos. La solidez de los informes a la gerencia se ve incrementada o limitada
por los métodos que los sustentan. Los métodos efectivos ayudan a identificar los riesgos y a establecer las prioridades, rastrear los riesgos hasta sus fuentes clave y cuantificar los mismos. También sirven de sustento al análisis de compensación de riesgos/recompensa, intercambio, diversificación de cartera, evaluación de la efectividad de las alternativas de disminución del riesgo desde el punto de vista del costo, asignación de capital para absorber pérdidas potenciales, fijación de precios de productos y servicios para compensar de manera adecuada los riesgos adoptados y planeamiento para contingencias en caso de resultados inciertos. Cuando sea posible, los modelos y métricas de riesgo deben normalizarse para proporcionar un denominador común para comparar alternativas de estrategia distintas.
• Sistemas e información. Los sistemas de información sustentan la confección y
elaboración de informes que son parte integral de las capacidades de administración de riesgos. Proporcionan información relevante, precisa y oportuna. Las nuevas tecnologías están generando mediciones más exactas y están haciendo más fácil la identificación y comprensión de los riesgos, los propulsores
6 - 29
de riesgo y la repercusión de los mismos en la empresa. En suma, los sistemas de información deben satisfacer los requisitos de negocios de la empresa y ser flexibles para su futura mejora, gradación e integración con otros sistemas.
Cuando los gerentes comienzan a organizar y alinear la infraestructura de la empresa para la administración de riesgos, envían una señal clara de que sus intenciones respecto de la administración de riesgos son serias. Los componentes individuales de la infraestructura en si mismos son importantes, pero la interrelación entre los componentes es igualmente crítica. Sin alineación, es difícil obtener capacidades de administración de riesgos orientadas hacia el valor y abarcadoras. Si cualquiera de los componentes de la infraestructura es deficiente, la efectividad de los demás componentes puede verse afectada en forma significativa, como lo muestra la siguiente figura.
Integración de los componentes de la infraestructura
Estrategias y políticas del
negocio
Procesos de gestión de
riesgos y del negocio
Gente Informes a la gerencia Métodos Sistemas e
información
La información no se encuentra disponible
para su análisis y elaboración de
informes
Riesgo si un componente es deficiente:
El proceso no logra cumplir con la
estrategia
La gente no puede llevar a cabo los
procesos
Los informes no proporcionan
información para una gestión efectiva
Los métodos no analizan la información
en forma adecuada
Los componentes clave deben estar relacionados por diseño:
Una infraestructura efectiva provee las capacidades de administración de riesgos para ejecutar las estrategias de riesgos y volver el PARN operativo. Si bien destinado a ser un enfoque más bien iterativo que estrictamente lineal, la infraestructura se desarrolla un vínculo por vez: cada componente impulsado por el anterior. Estas capacidades de administración de riesgos tornan operativas las demás tareas del PARN y allanan el camino para los siguientes pasos en dirección a la AIRN. Los siguientes dos pasos del PARN son controlar el desempeño en materia de administración de riesgos y mejorar las capacidades de administración de riesgos en forma continua. Al igual que todas las tareas del PARN, estas se basan en la información para la toma de decisiones. Si bien el camino hacia la AIRN se vuelve a mezclar con el funcionamiento del PARN, es aquí donde comienza a evolucionar una verdadera etapa de AIRN. Para comprender la evolución, debemos analizar primero estas tres tareas finales del PARN.
6 - 30
3.5 Monitorear el desempeño de la administración de riesgos. La efectividad del proceso, las personas, los informes, los métodos y las tecnologías específicamente diseñados para ejecutar la estrategia de administración de riesgos seleccionada debe monitorearse (controlarse) en forma continua. El monitoreo está compuesto tanto por procesos formales como informales aplicados por gerentes/directores ejecutivos, responsables de proceso/actividad, responsables de riesgo y auditores internos. Mientras que las personas que mejor conocen el proceso (los “responsables o propietarios”) tienen la responsabilidad primaria de auto evaluar su desempeño, es necesario que ejecutivos independientes del proceso efectúen el control de su desempeño. El control se ocupa de preguntas clave del tipo “¿Cómo sabemos …” que toda persona responsable necesita preguntar, tal como lo ilustra la siguiente figura, que utiliza el PARN como telón de fondo.
Preguntas que formula el control
¿Si nuestros riesgos hancambiado?
¿Nuestro control esefectivo?
¿Nuestras capacidadesestán ejecutando las
estrategias?
¿Nuestros controles ysupervisión de riesgo son
efectivos?
¿Nuestras estrategias sonlas correctas?
¿Estamos mejorando enforma oportuna?
¿Cómosabemos
…
¿Estamos lograndonuestras metas y objetivos?
¿Contamos con laestructura de supervisión
correcta?
El control real consiste en una combinación de mediciones, comunicaciones regulares y auditorías y evaluaciones periódicas a cargo de ejecutivos y funciones independientes a niveles apropiados de la empresa. La AIRN expande la concepción del papel de control al ofrecer a los directores y ejecutivos las garantías vitales a medida que la organización administra el cambio.
6 - 31
3.6 Mejorar en forma continua las capacidades de administración de riesgos. La necesidad de implementar mejoras en los procesos, las personas, los informes, los métodos y los sistemas identificadas mediante el control deben evaluarse e implementarse, según sea pertinente, en forma coherente con una filosofía de mejora continua. Encontramos tres facilitadores de tal filosofía: • Realizar un “benchmarking” del desempeño para identificar las mejores prácticas; • Distribución de la información y comunicaciones interactivas de cuatro vías; e • Integración del lenguaje y el proceso de la empresa en materia de riesgo a los
programas de aprendizaje de los empleados. Si se ejecutan en forma competente las tareas del PARN, la empresa está lista para dar un paso significativo hacia una verdadera etapa de AIRN. Las capacidades de administración de riesgos deben procurarse en forma explícita y, dados recursos finitos, selectiva. La gerencia enfrenta dos desafíos en la tarea de mantener una concepción dinámica de aprendizaje continuo y renovación constante en su administración de riesgos: 1. Definir el objetivo para los esfuerzos iniciales. ¿Cuán capaz queremos que sea nuestra administración de riesgos a medida que mejoramos nuestras estrategias, procesos y mediciones para cada uno de nuestros riesgos prioritarios? ¿Variamos las capacidades de administración de riesgos por riesgo? Para ayudar en el proceso, estamos a punto de introducir una herramienta: el continuo de madurez de la capacidad de administración de riesgo. 2. Estimular la mejora continua una vez que hemos alcanzado el objetivo. Una vez que hemos decidido acerca de las capacidades para un riesgo en particular y hemos alcanzado dichas capacidades, ¿cómo garantizamos que nuestras ganancias se mantienen y se incrementan? 3.7 Desarrollar información para la toma de decisiones. Si una empresa ha hecho su tarea hasta este punto, ya posee una riqueza de información que constituye ese núcleo fundamental del PARN y que sustenta sus capacidades de administración de riesgos. Una concepción integral que abarca toda la empresa conduce en última instancia a la empresa a integrar su información en materia de administración de riesgos del negocio para la toma de decisiones con otros tipos de información utilizados en el negocio. La empresa mide e informa aquello que importa (esto significa que toda la información crítica relacionada con la calidad, el costo, el tiempo y los riesgos debe integrarse en su agenda en forma equilibrada). Si bien es más fácil decirlo que hacerlo, las empresas comprometidas con la AIRN trabajan para convertirlo en realidad. La tecnología está aportando a esta capacidad. Por ejemplo, vemos empresas que implementan soluciones tecnológicas basadas en la Intranet como apoyo a la
6 - 32
implementación de un enfoque integrado que abarca toda la empresa de evaluación y administración de riesgos del negocio, para administrar el conocimiento respecto del riesgo empresario y para mejorar las capacidades de Administración de riesgos. Los sistemas de administración de riesgos sustentados a través de la red organizan la información acerca de los riesgos y de la administración de riesgos para extracción manual y electrónica y análisis por parte de los responsables de riesgo y de un grupo central. Muchos tipos de información son pertinentes para los encargados de la administración de riesgos, incluida la información histórica calculada, de las operaciones y cargos. Las bases de datos no sólo deben mantener esa información, también deben apoyar la administración de riesgos en todos los niveles de la empresa al brindar un marco para la identificación, captura y organización de los elementos de información de riesgo que se encuentran disponibles para los encargados de la toma de decisiones. Hasta aquí hemos armado el rompecabezas del PARN. Hemos enfatizado la importancia de desarrollar capacidades apropiadas para la administración de riesgos. Hemos esbozado el vínculo de los componentes de la infraestructura que fluyen de las estrategias y las políticas a través de los procesos, las personas, los informes a la gerencia y los métodos hasta la información y los sistemas necesarios. También hemos señalado la necesidad de efectuar el control de las capacidades y crear un entorno que favorezca la mejora continua.
6 - 33
4. Conclusiones. El riesgo constituye una realidad de la vida y la vida cambia constantemente. La AIRN es un nuevo proceso estratégico que identifica el espectro completo de oportunidades y riesgos del negocio y se ocupa de ellos. La RSE es un proceso de administración por valores que va más allá de la ley, que responde a las necesidades del negocio y que genera valor, así mismo la AIRN proporciona la disciplina y las herramientas necesarias para dominar el riesgo a medida que la empresa crea valor. La AIRN representa un cambio notable en la actitud y la conducta en la organización. Al igual que en el caso de todo cambio significativo, la adopción de la AIRN es fundamentalmente un proceso de concientización, de presentar la idea y en última instancia generar la idea de responsabilidad de la misma por toda la organización. Por lo tanto, las prácticas que posibilitan el cambio son un aspecto significativo de toda iniciativa de esta magnitud. El camino hacia la AIRN (posible a través de un PARN efectivo) lleva a la empresa a mejorar sus capacidades de administración de riesgos y a cumplir con la RSE. A medida que avanza por el camino, la organización se vuelve más sensible a los cambios en el entorno y dentro de sus propios procesos. Esta sensibilidad en la cultura es importante dado que si hay algo que podemos esperar en la economía es esto: las oportunidades y los riesgos seguirán surgiendo y cambiando rápidamente a medida que evoluciona el dinámico mercado internacional. Por lo tanto, desarrollar una visión efectiva que abarque toda la empresa de la administración de riesgos del negocio siempre representa un camino signado por el aprendizaje y las mejoras constantes, y no como un hecho que va y viene. Las empresas comienzan a recorrer su camino para transformar su administración de riesgos del negocio en un verdadero proceso que abarque toda la empresa de modo que se convierta en una fuente de ventaja competitiva, de mejora del desempeño del negocio y de optimización. Los lectores del presente documento tienen la oportunidad de convertirse en líderes en sus empresas adoptando una visión fresca respecto a la RSE y la utilización de una herramienta como la AIRN para alcanzarla y mantenerla. Es vital introducir un cambio de cultura, ya que el riesgo es inherente a todas las actividades de negocios; de hecho, el riesgo va de la mano de la oportunidad. A aquellas empresas que deciden comenzar a recorrer el camino hacia la RSE con la ayuda de la AIRN, les deseamos suerte. Confiamos en que sus esfuerzos serán recompensados. Respecto de aquellas empresas que ya han comenzado a recorrer ese camino, esperamos aprender lecciones valiosas y obtener conocimientos a partir de su éxito. Por último, a aquellas empresas que se encuentran en una fase avanzada del camino, esperamos ansiosamente los resultados positivos y avances surgidos de su actitud pionera.
6 - 34
5. Propuestas. Es necesario adoptar una cultura de responsabilidad social empresarial y utilizar al mismo tiempo un enfoque de administración integral de riesgos, para lograr los objetivos estratégicos de la empresa y crear una ventaja competitiva; para lo anterior, a continuación se presentan las principales propuestas:
• La empresa debe proveer de bienes y/o servicios lícitos que contribuyan al desarrollo de la sociedad.
• La empresa debe promover una cultura de responsabilidad social
empresarial para generar valor que se traduzca en competitividad.
• La empresa que adopta una cultura de responsabilidad social empresarial puede utilizar el enfoque de administración integral de riesgos del negocio para cuidar y generar el valor agregado.
• La empresa debe asegurarse que la Misión, Visión, Estrategia y Valores
sean congruentes entre sí.
• La empresa debe implantar una administración por valores para generar confianza.
• La empresa debe desarrollar una visión integral de los riesgos, para
fortalecer su permanencia en el mercado.
• La empresa debe establecer mecanismos que le permitan identificar, medir, monitorear, limitar, controlar, informar y revelar los riesgos del negocio.
• El Consejo de Administración y la Dirección General deben administrar
integralmente los riesgos de su negocio para mejorar su desempeño, generar ventaja competitiva e incrementar su valor de mercado.
• La alta Dirección debe integrar el resultado de la administración integral de
riesgos en su planeación estratégica y el proceso de toma de decisiones.
• Las estrategias de riesgo y de negocio deben alinearse de tal forma que sean compatibles y complementarias.
• La empresa debe contar con un enfoque estructurado y disciplinado que
coordine sus estrategias, procesos de negocio, recursos humanos, tecnológicos y conocimientos con el fin de evaluar y administrar los riesgos enfrentados.
6 - 35
• La empresa debe administrar integralmente sus riesgos, a través de un Comité de Administración de Riesgos y un área de Administración de Riesgos independiente de las áreas de negocio tomadoras de riesgos.
• La empresa debe implementar una infraestructura adecuada para
administrar sus riesgos, considerando: estrategias y políticas, procesos, estructura organizacional, reportes de gestión, modelos y metodologías y sistemas e información.
• La empresa debe identificar sus riesgos de negocio, considerando el
entorno, los procesos de negocio y la información para la toma de decisiones.
• La empresa debe diseñar estrategias básicas para gestionar sus riesgos, ya
sea para: asumirlos, reducirlos, transferirlos, aprovecharlos o evitarlos.
• La empresa debe monitorear el desempeño del proceso de administración integral de riesgos de negocio, así como mejorar sus capacidades de manera continua.
• La empresa debe contar con la evaluación de un experto independiente en
materia de administración integral de riesgos.
• Las empresas deben constituir reservas de capital encaminadas a enfrentar una eventual materialización de los riesgos y la aplicación de técnicas de mitigación que les permitan disminuir su nivel de exposición al riesgo.
• La empresa debe preparar información de la administración de riesgos y
presentarla periódicamente al Consejo de Administración, al Comité de Administración de Riesgos, a la Alta Dirección y a los responsables de las unidades de negocio, procesos o áreas.
• La empresa debe revelar a los accionistas, inversionistas y calificadoras los
resultados del proceso de administración integral de riesgos.
• La empresa debe invertir en la administración integral de riesgos en función del tamaño y complejidad de su actividad.
6 - 36