Algunas claves para Implantar un Programa de Gestión de Riesgos con Éxito.

En primer lugar, queremos disculparnos por el retraso en la publicación de entradas en nuestro blog durante las últimas semanas. Hemos estado muy ocupados ayudando a mejorar el Sistema ERM de una empresa cotizada y no nos ha dejado tiempo para nada.

En Control Solutions consideramos que la Gestión de Riesgos Corporativos (ERM) se asimila más a un arte que a una técnica. Un arte que difiere de una organización a otra, puesto que las estructuras, los negocios, los sectores de actividad y las personas son diferentes unas de otras. No obstante, creemos que todos los Programas o Sistemas de Gestión de Riesgos deben reunir una serie de requisitos básicos para ser implantados con éxito. 

En línea con el post de nuestro blog en el que tratábamos los motivos por los qué pueden fracasar los Programas de Gestión de Riesgos Corporativos, queremos compartir con vosotros, basándonos en nuestra experiencia, cuales son estos pasos que pueden ayudaros a implantar con éxito un Programa ERM en vuestra organización:

1. Construir el business case para un ERM.

Es crítico tener claro cuál es la justificación real que va a soportar y comprometer tanto el tiempo como los recursos y las inversiones necesarias para llevar a cabo un trabajo de esta naturaleza. Los motivos para implementar un sistema ERM deben fundamentarse en lo que realmente proporcione valor a la organización (minimización de pérdidas, mejoras de la gestión, reputación corporativa, etc).

Por ejemplo, si la razón adoptada para la implantación del sistema de gestión de riesgos es únicamente el cumplimiento de obligaciones legales o regulatorias, la aportación de valor a la organización será muy limitada, impidiendo a ésta generar los benéficos contrastados del ERM.

En definitiva, se trata de adoptar una visión integral y clara para el tratamiento de la incertidumbre sobre el día a día de la organización, incorporando la perspectiva de la relación riesgo/retorno, con el último objetivo de proporcionar un nivel de seguridad razonable para la consecución de los objetivos de la organización, a todos sus niveles.

2. Contar con el sponsor adecuado.

Muchos son los stakeholders dentro de una organización y cada uno de ellos con intereses diferenciados de los del resto. Por ello, es necesario que sepan que el sistema ERM de la organización no es un proyecto de carácter puntual, sino que se trata de un proceso continuado que no debe perder la inercia con el paso del tiempo.

Es crítico el apoyo y la iniciativa desde las más altas estancias de la organización, lo que se traduce en la necesidad de implicación directa de los órganos de gobierno y la dirección. Se necesita garantizar la motivación y tutela directa del Consejo y de la Alta Dirección mediante su implicación por tres vías distintas; 1) asignándoles roles y responsabilidades específicas en el propio proceso de gestión de riesgos, 2) proporcionándoles información útil para sus procesos de toma de decisiones y 3) informándoles de manera periódica sobre el perfil de riesgo y los resultados obtenidos.

  

3. Plan de implantación.

Es necesario realizar una planificación cuidadosa y detallada.

En primer lugar, se debe establecer el alcance del sistema ERM, aplicando un enfoque total, parcial o escalonado, de acuerdo a las características que presente la organización, tales como la existencia de varias líneas de negocio, su estructura, su localización geográfica, etc.

En segundo lugar, planificar bien los recursos necesarios para poner en marcha el sistema ERM; ya se trata de recursos humanos, materiales y/o económicos.

En tercer lugar, determinar el cronograma de actividades, de acuerdo a las fases en que se haya planificado el proyecto.

El empleo de modelos de madurez puede ser una herramienta interesante para trazar la hoja de ruta y monitorizar su progreso.

4. Integración con el negocio, descentralizar la gestión del riesgo y centralizar su reporte.

El sistema ERM no está aislado del negocio y debe considerarse como un proceso transversal común a todas las actividades de la organización.

Incorporar la gestión de riesgos en las organizaciones supone un verdadero cambio cultural, al exigir la adopción de un enfoque proactivo orientado a pensar e informar en clave de riesgos. La resistencia al cambio constituye un verdadero reto que debe ser superado si se quiere adoptar el sistema ERM con éxito.

Quien mejor gestiona el riesgo es el especialista que convive con él. Es recomendable que la gestión directa del riesgo se encuentre descentralizada al máximo nivel, lo más cerca posible del propio riesgo. La organización debe promover esta descentralización, en función de la naturaleza del propio riesgo, para mejorar la eficacia de su gestión.

Por el contrario, y para romper los silos de información, es necesario que el reporte de la información sobre riesgos se encuentre centralizada, lo que permitirá a los organismos de gobierno de la organización contrastar si se está operando de acuerdo al apetito y tolerancia al riesgo establecido.

5. Arquitectura a medida.

Cada organización tiene unas características concretas; su dimensión, el mercado en el que opera, sus clientes, su estructura interna, su ubicación geográfica, su filosofía y cultura empresarial… A la hora de diseñar la arquitectura del sistema ERM (políticas, procedimientos, metodologías y herramientas) se deberán tomar en cuenta todas estas características y realizar un “diseño a medida” de cada organización.

XVIII Jornadas de Auditoría Interna.

Esta semana damos algo de tregua a la polémica y os contamos nuestra participación en las XVIII Jornadas de Auditoría Interna, que se celebraron en Madrid los pasados días 24 y 25 de octubre. Control Solutions estuvo presente desde dos perspectivas diferentes; además del ya tradicional stand en la zona de expositores, Andy Douglas, Socio-Director de la Firma, junto con José Enrique Díaz Menaya, Director de Auditoría Interna de Bergé y Cía., fueron los encargados de desarrollar la ponencia "Auditando el Proceso de Gestión de Riesgos como proyecto de alto valor añadido".

El Stand.

Fuente: Control Solutions

Nuestra compañera Ana Peña y Bárbara Ximénez, de Yucan QM (nuestro partner en el desarrollo del CS Audit Portal), atendieron a los visitantes que se acercaron a nuestro stand para informarse sobre los servicios que prestamos a nuestros clientes.

En la foto, Ana y Bárbara explican una demo en directo a Javier Faleato, Director del Instituto de Auditores Internos de España. La demo versaba sobre la nueva funcionalidad en materia de Gestión de Riesgos de nuestro CS Audit Portal.

La ponencia.

Andy y José Enrique hablaron sobre la necesidad y la importancia de auditar el Proceso de Gestión de Riesgos de las organizaciones. 

En todas las organizaciones se afronta la incertidumbre y, en consecuencia, se gestionan riesgos, independientemente del tamaño y la estructura de las mismas. Ese proceso por el que se gestionan tales situaciones, tanto si se encuentra formalizado como si no, adquiere una importancia capital dentro de las organizaciones, puesto que aporta una serie de importantes beneficios, entre otros:

• Ayuda a reducir impactos de situaciones negativas.
• Contribuye a salvaguardar la reputación.
• Permite tratar situaciones transversales dentro de la organización.
• Mejora el Gobierno Corporativo, la Ética y la Responsabilidad Social Corporativa.
• Mejora la gestión, proporciona una mayor transparencia y soporta el proceso para la toma de decisiones.

De esta importancia se deriva la necesidad de someterlo a revisión. No solamente desde el punto de vista del cumplimiento del estándar en el que se encuentre basado (para el caso de sistemas formales), sino también desde la perspectiva de la propia eficacia del sistema, es decir, de si la gestión de riesgos de la organización se encuentra bien diseñada y cubre las necesidades del propio negocio (en cuanto a estructura e información generada). El modelo propuesto para ello se fundamenta en la evaluación de los siguientes cinco pilares:

A. Filosofía y cultura de gestión de riesgos: mandato, responsabilidad, compromiso.

B. Arquitectura: roles, comunicación, estructura de reporting.

C. Protocolos: normas, procedimientos, metodologías.

D. Estrategia: apetito, estrategia, política.

E. Procesos de gestión de riesgos: identificación, evaluación, priorización.

Todo ello con el objetivo final de contrastar la evaluación de estos pilares en relación a un modelo de madurez de las capacidades (en este caso, desarrollado por la Universidad Carnagie Mellon), clasificándose los resultados de acuerdo a las siguientes categorías (de menor a mayor nivel de madurez):

• Inicial – El proceso depende exclusivamente de individuos – No es patrimonio de la organización.
• Repetible -  Existe la disciplina y los procesos necesarios para basar las acciones en lo que se hizo en el pasado.
• Definido – Los procesos, los programas y las herramientas se estandarizan.
• Gestionado -  Se introducen métricas para medir la eficacia de los procesos de gestión de riesgos.
• Optimizado  - Un enfoque universal hacia la mejora contínua (Plan-Do-Check-Act).

Fuente: Control Solutions

No dudéis en hacernos llegar cualquier petición sobre temas que os gustaría que tratáramos en este blog: vuestras sugerencias siempre son bienvenidas.

¿Auditoría Interna dentro del Sistema de Gestión de Riesgos?

La última entrada de nuestro blog puso de relevancia cierta polémica en cuanto a la relación existente entre la función de Auditoría Interna y la de Gestión de Riesgos. Continuamos con cuestiones polémicas: ¿debería encontrarse Auditoría Interna, como una de las funciones clave dentro de la organización, dentro del alcance del Sistema de Gestión de Riesgos?

A lo largo de los últimos años, en Control Solutions hemos colaborado en la implantación de modelos de gestión de riesgos con varios clientes de diferentes sectores de actividad, diferentes tamaños y diferentes formas de organizarse. Durante estas colaboraciones hemos observado un hecho que nos llama poderosamente la atención; el departamento de Auditoría Interna no reportaba situaciones que pudieran afectar negativamente a la misión que le había sido encomendada por la organización, en consonancia con el Sistema de Gestión de Riesgos.

Según la definición de la profesión que proporciona el propio Instituto de Auditores Internos, "Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a la organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno”[1].

¿Por qué, entonces, Auditoría Interna no se encuentra sujeta, tradicionalmente, al Sistema de Gestión de Riesgos? 

El argumento principal podría ser que al tratarse de una actividad independiente del negocio, el alcance del modelo de Gestión de Riesgos no debería cubrir a Auditoría Interna. Nada más alejado de nuestra opinión; la independencia del negocio no debe ser entendida como un eximente para un departamento tan importante como éste. 

La misión de Auditoría Interna es clara: agregar valor y mejorar las operaciones de la organización, mediante la evaluación y mejora de la eficacia de los procesos de gestión de riesgos, control y gobierno. Se le atribuye, por tanto, una misión y unos objetivos ambiciosos que, hoy en día, no escapan de las garras de la incertidumbre, independientemente de que se trate de un área de negocio, de soporte o de aseguramiento y consulta.

Por consiguiente, y en nuestra opinión, al igual que en el caso de cualquier otro área dentro de la organización, el modelo de Gestión de Riesgos está plenamente vigente y tiene que hacerse extensivo a este departamento, desarrollando los procesos de identificación, evaluación y reporte de aquellas situaciones de amenaza sobre sus objetivos concretos (garantizar la protección de los activos, el cumplimiento de las leyes y regulaciones, la disponibilidad de información íntegra y fiable y la eficiencia en la utilización de los recursos), con el objeto de priorizar y actuar en consecuencia para proporcionar una respuesta adecuada.

Entendemos que las situaciones de riesgo asociadas a las funciones y actividades de Auditoría Interna no se encontrarán presentes en todas y cada una de las categorías del inventario de riesgos del Sistema de la organización (como por ejemplo riesgos de entorno, financieros, legales o algunos operacionales), pero sí que tendrán cabida en algunas de ellas (recursos humanos, gestión y seguridad de la información e incluso fraude), por lo que creemos que será necesario prestar una especial atención a las siguientes cuestiones:

1. La naturaleza de los propios trabajos: en relación a posibles situaciones "comprometidas" al haber desarrollado Auditoría Interna papeles de aseguramiento y de consultoría.
2. La disponibilidad de recursos: ya sean desde el punto de vista humano (número de efectivos, formación, conocimientos, aptitudes, etc), material (licencias, herramientas tecnológicas) o económico (suficiente dotación presupuestaria).
3. La realización de los trabajos: en relación al modo de llevar a cabo los trabajos por parte de los profesionales (aptitud y competencia profesional) y su adscripción y respecto, por ejemplo, al Código de Ética de la Profesión.
4. Los resultados de los trabajos: puesto que deben garantizar unos resultados con los mínimos estándares de calidad que sean útiles y suficientes para una correcta toma de decisiones.
5. Las relaciones con el resto de la organización: teniendo en cuenta posibles conflictos o relaciones pobres con otras áreas de la organización, que puedan traducirse en impedimentos a la consecución de sus objetivos.

En definitiva, creemos que un Sistema de Gestión Integral de Riesgos correctamente implantado y desarrollado debe garantizar la aplicación de los procesos de identificación, evaluación, respuesta y reporte de riesgos a todas las áreas y departamentos de una organización (independientemente de que se traten de áreas operativas o de soporte), con el objetivo final de manejar aquellas situaciones de riesgo que afecten al proceso de toma de decisiones y a los objetivos de la organización en su conjunto.

____________________________________

[1] http://www.auditoresinternos.es/sobre-nosotros/la-profesi%C3%B3n/definici%C3%B3n

¿Por qué fracasa la Gestión de Riesgos?

La Gestión de Riesgos es una gran idea y un pilar básico para el Buen Gobierno de una organización. Los que creemos en ello estamos convencidos de que si se implementa y gestiona de manera correcta, un proyecto de Gestión de Riesgos añade un enorme valor a la organización. Sin embargo, muchos de estos proyectos no avanzan más allá de su estatus inicial y, por tanto, terminan por convertirse en un activo infravalorado y susceptible de ser enajenado. 

¿Cuales son, entonces, los motivos por los que fracasa un proyecto de Gestión de Riesgos? Para dar respuesta a esta pregunta es poco probable que podamos argumentar la existencia de un único factor. Por lo tanto, a continuación enumeramos  una serie de razones que se encuentran vinculadas entre sí y que ofrecen una idea concreta de las principales causas que provocan el estancamiento de este tipo de proyectos. No obstante, entendemos que, dadas ciertas características específicas de cada una de las organizaciones de que se trate, puedan existir otras causas que no identificamos aquí.

Principales factores que influyen en el fracaso:

Errores en la razón de ser. En primer lugar, es necesario plantearse por qué se tomó la decisión de adoptar un sistema de gestión de riesgos en la organización. Seguramente existan muchas argumentaciones al respecto, pero únicamente si el motivo fue plantar la semilla para mejorar la gestión integral del negocio, entonces se recolectarán los resultados de éxito en el futuro. Demasiados programas de gestión de riesgos se han promovido por dar cumplimiento a obligaciones de carácter legal o regulatorio; si este fuera el caso, nos encontraríamos ante una de las razones más débiles, aquellas que se orientan a la "cultura del aprobado raspado" (el 4,5 de nota que se obtiene en el examen y que finalmente se convierte en el 5 después de la revisión). Está claro que el Consejo (u órgano de gobierno) apoyará el proyecto (otra condición sine qua non) pero, desde luego, el proyecto será visto como un gasto necesario, un tipo de "impuesto revolucionario" por operar en un sector determinado de la economía o por cotizar en un mercado determinado. En este caso, la Gestión de Riesgos se convierte en un fin en sí mismo y no un medio para mejorar la toma de decisiones que afectan a la organización.

No se cuenta con el apoyo de los órganos de gobierno: Como hemos precisado anteriormente, constituye una condición indispensable para que el sistema de gestión de riesgos funcione, e incluso si apuramos, para que llegue a ver la luz.  El apoyo del Consejo es como la forma física de nuestros cuerpos; es un estado de gracia temporal. En cuanto no se aprecie el valor añadido del proyecto, el apoyo se irá desvaneciendo.

Alcances demasiados optimistas: Las organizaciones casi siempre optarán, en muchos casos apoyados por las firmas de consultoría, por un despliegue del sistema con un máximo alcance. Estamos de acuerdo en que la gestión de riesgos es algo parecido a un ultra maratón (una carrera exigente de larga distancia para la que hay que estar bien entrenado) y que con el tiempo debemos tener una cobertura total de la organización. No obstante, identificar y valorar todos los riesgos en toda la organización, sin disponer del conocimiento y los medios para mantener su relevancia actualizada al día, podría ser entendido como un despilfarro de recursos de diferente naturaleza. Creemos que es necesario apostar siempre por un enfoque piloto; probemos cómo funciona a una escala razonable para perfeccionarlo antes de hacerlo extensivo a toda la organización.

La información que genera no es relevante: aunque quizás esto sea más una consecuencia que una causa. Las causas de la irrelevancia de la información son múltiples:

1. No existe vínculo con objetivos: Un riesgo que no se vincule con un objetivo es una fuente de información incompleta y, a veces, inútil.  Adicionalmente, a los diferentes niveles de la organización les interesará un nivel de desagregación de información diferente. Por ejemplo, al Consejo de Administración le interesará más un riesgo que impacte en los objetivos estratégicos de la compañía que un asunto de protección de datos en la filial situada en un país suramericano. Sin embargo, los responsables de la filial del país suramericano tendrán más interés por los riesgos de índole operacional en su territorio. 
2. La información no se actualiza con suficiente frecuencia: Hoy en día, más que nunca, el entorno es extremadamente volátil y la información se vuelve perenne en cortos períodos de tiempo.  Es posible que lo que hace seis meses fueran objetivos estratégicos, hoy se encuentren en la papelera, sustituidos por otros más adecuados al entorno actual. Entonces es cuando nos asalta la duda: ¿por qué creemos que tenemos un buen sistema de gestión de riesgos, si la última vez que se actualizó la información fue hace 12 meses?
3. Es bidimensional: algo estrechamente relacionado con lo anterior es que casi todas las organizaciones utilizan el binomio impacto /probabilidad para evaluar los riesgos. Se trata de un binomio muy, pero que muy estático. Creemos necesario considerar, además, el criterio de la velocidad del riesgo, es decir, su potencial para cambiar o materializarse de repente. Es especialmente importante intentar incorporar este concepto sobre  aquellos riesgos de impacto potencial muy alto pero baja probabilidad de ocurrencia (los famosos cisnes negros de Nassim Nicholas Taleb[1]). Nosotros abogamos por una perspectiva tridimensional la P x I x V!
4. Cuantificación: En realidad, se trata de un tema espinoso donde los haya. Existen auténticos evangelistas de la cuantificación, que abogan por ponerle un valor económico a todo. En nuestra opinión, no es el enfoque más práctico ni ágil y, en muchos casos, la cuantificación puede encontrarse muy lejos de la realidad, al no contemplar el impacto cruzado o las coberturas naturales de los riesgos. Cuantifiquemos, sí, pero lo que podamos hacer sin excesiva complejidad. Con el resto de situaciones, busquemos alternativas cualitativas para la valoración del riesgo.

No se monitoriza: Pocas organizaciones utilizan Key Risk Indicators. Si no somos capaces de determinar unos KRI, nuestra capacidad de hacer un seguimiento de P x I x V será muy limitada. De nuevo, elijamos un piloto; un área o un proyecto clave para la organización y probemos lo que funcione. Nos ayudará a anticipar las situaciones de riesgo, sus posibles consecuencias y elegir el control o la acción de tratamiento de riesgo más adecuada.

No se aplica a proyectos: Los proyectos y la innovación en el negocio son elementos críticos para la creación de valor y para la definición de una ventaja competitiva en el mercado. Las organizaciones que solo aplican la gestión de riesgos a sus negocios actuales están instrumentalizando un aseguramiento mucho más defensivo que ofensivo, a nuestro entender, una gestión de riesgos parcial.

Se  encuentra aislado del proceso de toma de decisiones. El proceso de gestión de riesgos tiene que ser imbuido en el día a día de la organización. No debe ser algo aislado, periódico y alejado de la cultura. Entender el proceso como algo tangente al negocio solo creará rechazo entre los propios stakeholders.

Se promueve la Gestión de Riesgos por Auditoría Interna: lo que puede generar bastante controversia. De verdad creemos que no es el órgano más adecuado para promover la función de Gestión de Riesgos, a pesar de ser una de las áreas (si no el área) que más conoce del negocio en su conjunto.  Los auditores internos promueven su independencia del negocio y esto está directamente contrapuesto a lo que requiere el proceso de gestión de riesgos.

---

[1] "The Black Swan: The Impact of the Highly Improbable"; The New York Times, 22 de abril de 2007: "Lo que aquí llamamos un Cisne Negro (y con mayúscula) es un evento con los tres atributos siguientes. En primer lugar, es un caso atípico, ya que se encuentra fuera del ámbito de las expectativas regulares, porque no hay nada en el pasado que puede apuntar de manera convincente a su posibilidad. En segundo lugar, conlleva a un impacto extremo. En tercer lugar, a pesar de su condición de rareza, la naturaleza humana nos hace inventar explicaciones de su presencia después de los hechos, por lo que es explicable y predecible.(...)"

"Sistemas de control y gestión de riesgos" en el Informe Anual de Gobierno Corporativo.

El 24 de junio de 2013 se publicó en el Boletín Oficial del Estado la Circular 5/2013, de 12 de junio, de la Comisión Nacional del Mercado de Valores (CNMV), que establece los modelos de Informe Anual de Gobierno Corporativo (IAGC) para las siguientes organizaciones:

• Sociedades Anónimas Cotizadas.
• Cajas de Ahorros.
• Otras Entidades que Emitan Valores Admitidos a Negociación en Mercados Oficiales de Valores.

El organismo supervisor ha actualizado el antiguo modelo y las directrices sobre contenidos y estructura del IAGC que entró en vigor en el ejercicio 2008 (Circular 4/2007 de la CNMV), para que estas organizaciones realicen el reporte de la información sobre sus estándares de gobierno corporativo a partir del 1 de enero de 2014. La Circular define los modelos de informe y su estructura, para cada uno de los tres tipos de organizaciones sujetas a la norma.

En esta primera entrada de nuestro blog vamos a dar nuestra opinión y una serie de recomendaciones sobre el apartado de “Sistemas de Control y Gestión de Riesgos” (en el modelo de IAGD de la Circular, apartado E para el caso de las Sociedades Anónimas Cotizadas y Otras Entidades Distintas de las Cajas de Ahorro, y apartado J en el caso de las Cajas de Ahorros).

Principales novedades.

Para los tres tipos de organizaciones señaladas en la norma, existen apartados específicos que tratan sobre el “Sistema de Control y Gestión de Riesgos” de la organización. En todos los casos se comparte la misma estructura de apartados, contando con los siguientes puntos:

1. Explicar el alcance del Sistema de Gestión de Riesgos de la organización.
2. Identificar los órganos de la organización que son responsables de la elaboración y ejecución del Sistema de Gestión de Riesgos.
3. Señalar los principales riesgos que pueden afectar a la consecución de los objetivos de negocio.
4. Identificar si la entidad cuenta con un nivel de tolerancia al riesgo.
5. Indicar qué riesgos se han materializado durante el ejercicio.
6. Explicar los planes de respuesta y supervisión para los principales riesgos de la entidad.

En comparación con los requerimientos de información sobre los Sistemas de Control y Gestión de Riesgos del anterior modelo de IAGC, el nuevo modelo aumenta de cuatro a seis las preguntas a contestar y se introducen algunas novedades, desatancando las siguientes:

1) Desaparece el requerimiento expreso de aportar información sobre los procesos de cumplimiento normativo de regulaciones que afecten a la organización (punto D.4 del antiguo modelo).

2) La descripción requerida en el antiguo modelo (punto D.1), sobre la Política de Riesgos y el detalle y la evaluación de los riesgos cubiertos por el sistema, da paso al requerimiento de aportar una descripción más amplia e integral sobre el alcance del Sistema de Gestión de Riesgos, en relación al funcionamiento integral y continuo del Sistema sobre las áreas o unidades del negocio, las filiales, las diferentes localizaciones geográficas, las áreas de soporte, etc. (punto E1/J1).

3) El requerimiento de información que hacía el antiguo modelo (punto D3) sobre la existencia de una Comisión u otro Órgano de Gobierno encargado de establecer y supervisar los dispositivos de control, da paso en el nuevo modelo a la solicitud de información sobre la participación de los Órganos de la organización responsables de la elaboración (diseño) y la ejecución del Sistema de Gestión de Riesgos. (punto E2/J2).

4) En el nuevo modelo (punto E5/J5) se mantiene la solicitud de información sobre materialización de riesgos durante el ejercicio, adquiriendo una especial relevancia la explicación de las circunstancias que lo han motivado y si han funcionado las medidas de respuesta y/o control establecidos.

5) Por último, se introducen las siguientes novedades, en cuanto a los requerimientos de información:

5. a) Principales riesgos que pueden afectar a la consecución de objetivos de negocio.(punto E3/J3).

La circular no establece directrices concretas en este sentido, por lo que entendemos que, en un ejercicio de transparencia orientada a los diferentes grupos de interés de las organizaciones (accionistas, reguladores, etc), se solicita información sobre aquellas situaciones de amenaza que afectan, o pueden afectar, en última instancia, a la estrategia de la organización y que, si llegan a materializarse, podrían afectar de lleno a los objetivos de negocio de la organización.

5.b) Existencia de un nivel de tolerancia al riesgo en la organización.(punto E4/J4).

Según la propia Circular (en sus Anexos correspondientes), se trata de identificar si la entidad cuenta con un nivel de tolerancia al riesgo (nivel de riesgo aceptable) establecido a nivel corporativo. En caso de contar con él, deberá explicarse el proceso de evaluación de riesgos establecido (identificación, definición de tolerancias y escalas de valoración), debiendo indicarse en función de qué criterios se realiza la evaluación de los principales riesgos y quién interviene en la misma.

5.c) Explicar los planes de respuesta y supervisión para los principales riesgos de la entidad.(Punto E6/J6).

Nuevamente la circular no establece directrices concretas en este sentido, por lo que entendemos que deberá relacionarse en este punto la información referente a los controles puestos en práctica y a los Planes de Acción que serán adoptados para tratar los principales riesgos de la entidad. De igual manera, entendemos que deberá aportarse información sobre aquellas medidas acordadas para la realización del seguimiento de la evolución del riesgo a lo largo del tiempo, así como de sus posibles consecuencias sobre la organización, en caso de que éste llegue a materializarse.

• Nuestro Análisis.

Existen, en nuestra opinión, tres requerimientos que pueden ser objeto de un  intenso debate en las organizaciones:

1) Punto E3/J3.  “Señale los principales riesgos que pueden afectar a la consecución de los objetivos de negocio”.

Este apartado solicita información sobre situaciones que amenazan directamente la estrategia de la organización mediante el desglose de los riesgos que afectan los objetivos que conforman la estrategia.

¿Cuál es el nivel de objetivos al que se refiere? Mientras aplaudimos el intento de vincular los riesgos a los objetivos, algo que se hace con demasiada poca frecuencia, opinamos que el término “objetivos de negocio” es algo ambiguo y demasiado abierto a interpretaciones dispares. En el modelo COSO II-ERM (marco aprobado para el SCIIF), por ejemplo, se relacionan cuatro niveles de objetivos: Estratégicos, Operacionales, de Reporting e Información Financiera y de Cumplimiento Normativo.

¿Objetivos de negocio se refiere a todos ellos? ¿A todos ellos menos a los de Información Financiera, que se cubren en el SCIIF? ¿O solo a los de carácter estratégico?

En cualquier caso, la diversidad de posiciones puede dificultar la interpretación que se haga de los IAGC por parte de los stakeholders. Este mismo punto trasciende claramente al siguiente.

¿Cuántos riesgos se consideran “los principales”? No existe un número mágico, hay organizaciones que, dependiendo de su tamaño, volumen de operaciones, estructura geográfica, etc, tratan en el Consejo un número variable de riesgos principales; hay empresas que reportan un Top 5 de riesgos, otras el Top 10 e incluso algunas el Top 20.

Existe una dicotomía entre Trasparencia - Confidencialidad. Para que el sistema de gestión de riesgos aporte valor, éste tiene que emplearse en toda la organización, desde la generación y la creación de la estrategia hasta la ejecución de la misma en todos los niveles. Mientras estamos completamente a favor de la transparencia en el reporting, en nuestra opinión, la propia naturaleza del requerimiento puede dificultar el propósito por el que creemos que ha sido introducido, puesto que hay Consejos que pueden opinar claramente que existe una dicotomía para la entidad a la hora de elegir entre revelación total de información (full disclosure) y confidencialidad en cuestiones relacionadas con los asuntos estratégicos.

Nuestra Recomendación al Punto E3/J3

Nos encontramos ante una situación complicada que corresponde, en última instancia, al ámbito de decisión del Consejo de Administración. 

No obstante, y desde nuestro punto de vista, creemos que la mejor respuesta residirá en efectuar una correcta y equilibrada ponderación en el binomio transparencia / confidencialidad. 

Como hemos indicado anteriormente, un riesgo desprovisto de una clara vinculación con un objetivo carece de valor real, tanto para la toma de decisiones internas, como para la evaluación por parte de terceros. En ningún caso el sistema de gestión de riesgos ha de suplantar al proceso de planificación estratégica de una organización, ni a la fijación de objetivos, sino que tiene que formar parte de él. Por lo tanto, nos gustaría ver a las organizaciones realizando un disclosure en este punto cuyo catalizador principal fueran las principales iniciativas estratégicas y sus objetivos relacionados. 

Un ejemplo puede aclarar más las cosas:

Objetivo: Diversificación Geográfica y de Actividad

La ejecución del proyecto de diversificación se ve sujeta a distintos riesgos, todos los cuales están siendo monitorizados por la organización: 

1) Restricciones crediticias del sistema bancario europeo pueden dificultar la obtención del préstamo sindicado necesario para financiar el proyecto.

2) La liquidación de las subvenciones europeas para el tipo de proyectos que acometemos, mientras tenemos compromisos firmados, puede no llegar a materializarse debido a las restricciones presupuestarias estatales y comunitarias.

3) Creciente incertidumbre regulatoria que dificulta el establecimiento de un caso base para el plan de negocio de expansión. 

Como se puede apreciar, abogamos por que sea el Objetivo a perseguir por la organización el que determine qué riesgos se revelan al mercado, en lugar de facilitar una lista de riesgos típicos cuya revelación no agrega ningún tipo de valor.

2) En relación al punto E4/J4 “Identifique si la entidad cuenta con un nivel de tolerancia al riesgo”.

Para que la información detallada en el IAGC sea de utilidad, es necesario que haya un entendimiento o una definición única del término “Tolerancia al Riesgo”. Nuestra experiencia nos indica que, incluso entre los expertos en la materia, existen interpretaciones variables de lo que representa la Tolerancia al Riesgo. En el caso de personas menos expertas, la confusión puede ser mayúscula.

Por nuestra parte, la definición de Tolerancia al Riesgo que consideramos más acertada es la que se propone en el documento sobre Definición e Implantación del Apetito de Riesgo en las Organizaciones[1], desarrollado por la Fábrica de Pensamiento del Instituto de Auditores Internos de España, iniciativa en la que hemos participado.

Consideramos la tolerancia como uno de los tres pilares que sustentan el perfil de riesgo de una organización. Entendemos que son tres conceptos clave que, a nuestro juicio, deberían haber sido tratados de manera conjunta:

a. Capacidad de Riesgo o nivel máximo de riesgo que la organización puede soportar sin comprometer su existencia. Definido por las características propias y la estructura, incluida la financiera, de la organización.

b. Apetito de Riesgo o nivel de riesgo que la organización tiene voluntad de aceptar, dados los objetivos establecidos que ésta quiere alcanzar. Es, efectivamente, su riesgo objetivo. Aprobado por el Consejo, como principal Órgano de Gobierno de la entidad.

c. Tolerancia al Riesgo o desviación existente respecto al nivel de riesgo en el que la organización se tiene como objetivo (es decir, en relación al apetito). Establecido por la Dirección de la organización, como impulsor de las operaciones de la compañía encaminadas a obtener resultados y cumplir los objetivos establecidos por la estrategia definida, en última instancia, por los Órganos de Gobierno.

La conjunción de estos tres conceptos es lo que, en definitiva, define el éxito o el fracaso en el modo de actuar de en materia de gestión de riesgos de una organización. 

Si, por ejemplo, el Consejo aprueba una postura de apetito de riesgo elevada y la capacidad de absorción de riesgos de la organización es limitada (bien sea debido a su estructura financiera, productiva o de otra clase), por mucho que el nivel de tolerancia se encuentre definido formalmente, todo hace pensar que los resultados no podrán ser buenos. Es más importante, entonces, detallar lo que hace la organización para operar dentro de su tolerancia, y monitorizar su exposición, que revelar la existencia o no de una definición de su Tolerancia al Riesgo. Además, existen otras razones que soportan nuestro punto de vista sobre este apartado del IAGC:

a) La naturaleza de los riesgos no es homogénea: En cualquier organización (independientemente del sector en el que opere) coexisten diferentes riesgos a los que se tiene que hacer frente. Estos riesgos suelen ser de diferente naturaleza: riesgos financieros, riesgos operacionales, riesgos reputacionales, etc. Dado que la propia naturaleza de los riesgos no es homogénea, creemos que tiene mucho sentido establecer diferentes apetitos y tolerancias según el riesgo que se esté tratando.

De ahí que consideremos incompleto el requerimiento de información que hace el IAGC, al hablar de “si la entidad cuenta con un nivel de tolerancia al riesgo”, cuando debería hacer referencia a niveles de apetito y tolerancia por cada tipo de riesgo.

b) La tolerancia mide la variabilidad en relación a un valor definido. Entendemos la tolerancia como una medida sobre la variabilidad en torno al apetito de riesgo, a la hora de conseguir objetivos.

Imaginemos que el Consejo de una empresa aprueba un apetito de riesgo en relación a una inversión determinada, a través del establecimiento de un objetivo de rentabilidad del 25%. Dada la actual estructura productiva y financiera de la empresa, la Dirección es consciente de que es difícil conseguir de manera exacta esa rentabilidad, sin comprometer en exceso los activos de la compañía. Por eso define un nivel de tolerancia al riesgo del 10%, lo que se traduce en que la inversión será un éxito si la rentabilidad real efectiva oscila en el rango situado entre el 22,5% - 27,5%. Imaginemos la misma tolerancia del 10% pero en una situación en la que el Consejo aprueba una rentabilidad objetivo del 5%. En esta ocasión, la inversión será considerada como un éxito si su rentabilidad real efectiva se sitúa en el rango 4,5% - 5,5%.

En ambos casos contamos con un mismo nivel de tolerancia definido, pero asociado a niveles de apetito al riesgo diferentes. En el primer caso, el apetito al riesgo es muy alto a través de una inversión bastante agresiva, mientras que en el segundo caso, el apetito al riesgo es bastante más moderado, al tratarse de una inversión más conservadora.

Nuestra Recomendación en relación al punto E4/J4

En definitiva, proporcionar información únicamente sobre el nivel de tolerancia, sin hacer lo propio sobre el apetito de riesgo, en nuestra opinión ofrece información incompleta al usuario del IAGC, puesto que para entender bien el perfil de riesgo de la organización, se deben conocer tanto las capacidades, como el nivel de apetito como el de tolerancia, en el caso de que ésta se encuentre definida. A este respecto, consideramos necesario que, a la hora de cumplimentar este apartado, se aporte información adicional sobre las siguientes cuestiones:

1) Descripción general del proceso de Gestión de Riesgos de la Organización: haciendo referencia a los subprocesos de identificación, evaluación-valoración, seguimiento y reporting de la información. 

2) Existencia de un proceso para determinar y comunicar el Apetito de Riesgo de la Organización: haciendo referencia a la relación entre capacidad-apetito-tolerancia y diferenciando entre tipos de riesgo y señalando las metodologías de cálculo. 

3) Participantes en ambos procesos, señalando sus roles y responsabilidades asociadas.

3) En relación al punto E6/J6 “Explicar los planes de respuesta y supervisión para los principales riesgos de la entidad”.

Una vez más, la norma no establece pautas concretas para la elaboración de la respuesta en este apartado y, lo que es más importante, no establece ni siquiera una definición clara de lo que se entiende por Plan de respuesta.

¿Se entiende únicamente la selección de la estrategia para tratar el riesgo, es decir: mitigar, evitar, transferir o asumir? ¿O habría que añadir, además, información concreta sobre los responsables, los costes asociados, los beneficios esperados, el cronograma de actuaciones, etc?

Nosotros entendemos que las respuestas a los riesgos deben ser planificadas en función de la importancia del riesgo, en consonancia con el proceso de priorización de riesgos, pero también teniendo en cuenta la relación coste/beneficio de las medidas propuestas y que éstas deben ser realistas y factibles de acuerdo al contexto de la organización. 

Asimismo, para garantizar una correcta asignación de roles y funciones en el proceso de asignar una respuesta al riesgo, las medidas a adoptar deberían ser acordadas entre todas las partes involucradas, plasmarse en un cronograma de implementación y establecer responsabilidades concretas en personas concretas, en cuanto a ejecución y coordinación. Entendemos también la necesidad de proporcionar información sobre aquellos mecanismos de seguimiento y supervisión establecidos en el seno de la organización (formalmente o no) para efectuar el seguimiento de la evolución del riesgo y de sus respuestas, en función de la propia evolución del entorno de la organización.

Nuestra Recomendación en relación al punto E6/J6  

Partiendo de los principales riesgos identificados (ligados a los objetivos), entendemos que debería proporcionarse información completa sobre aquellas medidas específicas adoptadas para tratar el riesgo, en función de la respuesta que se haya elegido. Consideramos necesario, como mínimo, proporcionar información sobre las siguientes cuestiones:

• Contextualización de la respuesta elegida para el riesgo mediante una breve descripción de en qué consiste; establecimiento/mejora de controles, transferencia a entidad aseguradora, alianza estratégica con un socio, etc. 
• Responsable de la implementación de la respuesta. 
• Otros participantes, con sus responsabilidades asociadas. 
• Cronograma de actividades. 
• Presupuesto asociado / evaluación coste.beneficio. 
• Estimación sobre resultados esperados, en consonancia con la evaluación de impacto y probabilidad asociados al riesgo.

De igual forma, en cuanto a las medidas de supervisión, recomendamos proporcionar una descripción completa del método por el que se realiza este seguimiento, bien se trate de comités transversales a la organización (Comité de Riesgos o similar) o grupos de trabajo organizados por proyectos, departamentos o líneas de negocio. En cualquier caso, debería aportarse información que trate sobre: 

- Integrantes.
- Composición y estructura.
- Periodicidad de reuniones.
- Medidas para la comunicación al resto de la organización de sus acuerdos/decisiones.

• Conclusión Final:

En general, creemos que con la nueva definición de la estructura del IAGC se ha dado un paso importante para dotar de una mayor transparencia y un mayor conocimiento sobre la estructura y la administración de las sociedades cotizadas, lo cual es sin duda necesario en momentos como los que vivimos actualmente,. En definitiva, se trata de adoptar medidas para tratar de ofrecer confianza y seguridad.

Centrándonos en los riesgos del negocio, también contribuye a poner en conocimiento de los principales actores del mercado (supervisores, inversores, grupos de interés,) la forma en la que afrontan estas organizaciones aquellas situaciones que pueden suponer una amenaza real para sus operaciones.

Y por último, otro aspecto a destacar, que no entendemos muy bien, es el tratamiento asimétrico que se da en la norma a los sistemas de gestión y control de riesgos (a secas) y los sistemas internos de control y gestión de riesgos sobre información financiera (SCIIF), cuando este último es, en sí mismo, una parte integrante del sistema general de gestión de riesgos de la organización.

---

[1] “Definición e implantación de Apetito de Riesgo”, Instituto de Auditores Internos de España (varios autores, 2013).

Todo sobre ERM 2.0. Empezamos!

Mark Zuckerberg, CEO y fundador de Facebook.com, dijo una vez:

"El mayor riesgo es no correr ningún riesgo. En un mundo que cambia rápidamente, la única estrategia que garantiza fallar es no correr riesgos".

Y no le falta razón. 

Organizaciones de diversa índole conviven y lidian con las situaciones que les afectan. De manera independiente a su sector de actividad, todas ellas funcionan de forma similar; todas tienen misiones específicas, todas fijan objetivos que pretenden conseguir, todas adoptan estrategias para ello, aunque sus fines, su filosofía y su cultura sean distintos. 

En un mundo perfecto, estas organizaciones fijarían sus objetivos para poder conseguir sus fines, definirían su estrategia para alcanzar los primeros y lo conseguirían mediante la ejecución de sus operaciones en consonancia con esa estrategia definida. Todos contentos.

Pero el Universo nos guarda muchas sorpresas; como dice Zuckerberg "el mundo cambia rápidamente" y estas organizaciones tienen que hacer frente a un entorno en constante cambio y evolución, en el que entran en juego multitud de variables que escapan a su alcance. Es entonces cuando aparece en escena la verdadera protagonista de la película: la incertidumbre.

La incertidumbre (o la falta de certidumbre, como la define la Real Academia Española de la Lengua) consiste, en última instancia, en la ausencia de un conocimiento seguro y claro sobre algo. Tanto empresas como instituciones, asociaciones y ONG´s disponen de un conocimiento seguro y claro de muy pocas cosas y, en definitiva, este grado de incertidumbre puede suponer consecuencias positivas (oportunidades) o negativas (riesgos) sobre sus modos de actuar. 

Eliminar esa incertidumbre es francamente difícil, si no imposible. Siempre quedarán variables dentro de la ecuación sobre las que no se pueda influir. Por eso surge la Gestión Integral de Riesgos (Gestión de Riesgos Corporativos o Enterprise Risk Management, como queramos llamarlo). Surge como una disciplina cuyo objetivo último no es tanto eliminar la incertidumbre, sino tratar con ella, jugar con ella, sacarle todo el provecho posible en beneficio de la organización de que se trate.

Todos, de una manera u otra, gestionamos riesgos. Tomar decisiones en cualquier ámbito, ya sea en el personal, en el familiar o en el profesional, implica elegir entre diferentes opciones sobre las que existe un mayor o menor nivel de incertidumbre. En el mejor de los casos, sabemos qué es lo que queremos, intuimos como podemos conseguirlo pero no podemos estar seguros del resultado final que obtendremos.

• ¿Qué pretendemos con este blog?

Control Solutions crea este blog para establecer un punto de encuentro y de referencia para los profesionales de cualquier sector que estén interesados en esta apasionante materia. Periódicamente abordaremos las cuestiones más relevantes de la gestión de riesgos como disciplina, hablaremos sobre diferentes perspectivas, trataremos sobre herramientas metodológicas, comentaremos novedades normativas y hechos significativos que se produzcan; todo ello enfocándolo desde nuestra experiencia, nuestros conocimientos y nuestro punto de vista. 

Os recibimos con los brazos abiertos y nos gustaría mucho que nos acompañéis en este viaje que hoy comenzamos.

Esperamos vuestros comentarios, sugerencias y críticas constructivas.

¡Bienvenidos!