El 24 de junio de 2013 se publicó en el Boletín Oficial del Estado la Circular
5/2013, de 12 de junio, de la Comisión Nacional del Mercado de Valores (CNMV), que establece los modelos de Informe Anual de Gobierno Corporativo
(IAGC) para las siguientes organizaciones:
- Sociedades
Anónimas Cotizadas.
- Cajas de Ahorros.
- Otras Entidades
que Emitan Valores Admitidos a Negociación en Mercados Oficiales de Valores.
El organismo supervisor ha actualizado el antiguo modelo y las directrices sobre contenidos y estructura del IAGC que entró en vigor en el ejercicio 2008 (Circular 4/2007 de la CNMV), para que estas organizaciones realicen el reporte de la información sobre sus estándares de gobierno corporativo a partir del 1 de enero de 2014. La Circular define los modelos de informe y su estructura, para cada uno de los tres tipos de organizaciones sujetas a la norma.
En esta primera entrada de nuestro blog vamos a dar nuestra opinión y una serie de recomendaciones sobre el apartado de “Sistemas de Control y Gestión de Riesgos” (en el modelo de IAGD de la Circular, apartado E para el caso de las Sociedades Anónimas Cotizadas y Otras Entidades Distintas de las Cajas de Ahorro, y apartado J en el caso de las Cajas de Ahorros).
Principales novedades.
Para los
tres tipos de organizaciones señaladas en la norma, existen apartados
específicos que tratan sobre el “Sistema
de Control y Gestión de Riesgos” de la
organización. En todos los casos se comparte la misma estructura de apartados, contando
con los siguientes puntos:
- Explicar el
alcance del Sistema de Gestión de Riesgos de la organización.
- Identificar
los órganos de la organización que son responsables de la elaboración y
ejecución del Sistema de Gestión de Riesgos.
- Señalar
los principales riesgos que pueden afectar a la consecución de los objetivos de
negocio.
- Identificar
si la entidad cuenta con un nivel de tolerancia al riesgo.
- Indicar
qué riesgos se han materializado durante el ejercicio.
- Explicar
los planes de respuesta y supervisión para los principales riesgos de la
entidad.
En comparación con los requerimientos de información sobre los Sistemas de Control y Gestión de Riesgos del anterior modelo de IAGC, el nuevo modelo aumenta de cuatro a seis las preguntas a contestar y se introducen algunas novedades, desatancando las siguientes:
1) Desaparece
el requerimiento expreso de aportar información sobre los procesos de
cumplimiento normativo de regulaciones que afecten a la organización (punto
D.4 del antiguo modelo).
2) La
descripción requerida en el antiguo modelo (punto D.1), sobre la Política de
Riesgos y el detalle y la evaluación de los riesgos cubiertos por el sistema, da
paso al requerimiento de aportar una descripción más amplia e integral sobre
el alcance del Sistema de Gestión de Riesgos, en relación al funcionamiento
integral y continuo del Sistema sobre las áreas o unidades del negocio, las filiales,
las diferentes localizaciones geográficas, las áreas de soporte, etc. (punto E1/J1).
3) El
requerimiento de información que hacía el antiguo modelo (punto D3) sobre la existencia
de una Comisión u otro Órgano de Gobierno encargado de establecer y supervisar los
dispositivos de control, da paso en el nuevo modelo a la solicitud de
información sobre la participación de los Órganos de la organización
responsables de la elaboración (diseño) y la ejecución del Sistema de Gestión
de Riesgos. (punto E2/J2).
4) En el
nuevo modelo (punto E5/J5) se mantiene la solicitud de información sobre
materialización de riesgos durante el ejercicio, adquiriendo una especial
relevancia la explicación de las circunstancias que lo han motivado y si han
funcionado las medidas de respuesta y/o control establecidos.
5) Por
último, se introducen las siguientes novedades, en cuanto a los requerimientos
de información:
5. a) Principales
riesgos que pueden afectar a la consecución de objetivos de negocio.(punto E3/J3).
La
circular no establece directrices concretas en este sentido, por lo que
entendemos que, en un ejercicio de transparencia orientada a los diferentes
grupos de interés de las organizaciones (accionistas, reguladores, etc), se
solicita información sobre aquellas situaciones de amenaza que afectan, o pueden
afectar, en última instancia, a la estrategia de la organización y que, si
llegan a materializarse, podrían afectar de lleno a los objetivos de negocio de
la organización.
5.b) Existencia
de un nivel de tolerancia al riesgo en la organización.(punto E4/J4).
Según la propia
Circular (en sus Anexos correspondientes), se trata de identificar si la
entidad cuenta con un nivel de tolerancia al riesgo (nivel de riesgo aceptable)
establecido a nivel corporativo. En caso de contar con él, deberá explicarse el
proceso de evaluación de riesgos establecido (identificación, definición de
tolerancias y escalas de valoración), debiendo indicarse en función de qué
criterios se realiza la evaluación de los principales riesgos y quién
interviene en la misma.
5.c) Explicar
los planes de respuesta y supervisión para los principales riesgos de la
entidad.(Punto E6/J6).
Nuevamente
la circular no establece directrices concretas en este sentido, por lo que
entendemos que deberá relacionarse en este punto la información referente a los
controles puestos en práctica y a los Planes de Acción que serán adoptados para
tratar los principales riesgos de la entidad. De igual manera, entendemos que
deberá aportarse información sobre aquellas medidas acordadas para la
realización del seguimiento de la evolución del riesgo a lo largo del tiempo,
así como de sus posibles consecuencias sobre la organización, en caso de que éste
llegue a materializarse.
Existen, en nuestra opinión, tres requerimientos que pueden ser objeto de un intenso debate en las organizaciones:
1) Punto E3/J3. “Señale
los principales riesgos que pueden afectar a la consecución de los objetivos de
negocio”.
Este
apartado solicita información sobre situaciones que amenazan directamente la estrategia
de la organización mediante el desglose de los riesgos que afectan los
objetivos que conforman la estrategia.
¿Cuál es el nivel de objetivos al que se refiere? Mientras aplaudimos el intento de vincular los riesgos a los objetivos, algo que se hace con demasiada poca frecuencia, opinamos que el término “objetivos de negocio” es algo ambiguo y demasiado abierto a interpretaciones dispares. En el modelo COSO II-ERM (marco aprobado para el SCIIF), por ejemplo, se relacionan cuatro niveles de objetivos: Estratégicos, Operacionales, de Reporting e Información Financiera y de Cumplimiento Normativo.
¿Objetivos de negocio se refiere a todos ellos? ¿A todos ellos menos a los de Información Financiera, que se cubren en el SCIIF? ¿O solo a los de carácter estratégico?
En cualquier caso, la diversidad de posiciones puede dificultar la interpretación que se haga de los IAGC por parte de los stakeholders. Este mismo punto trasciende claramente al siguiente.
¿Cuántos
riesgos se consideran “los principales”? No existe un número mágico, hay organizaciones que, dependiendo de su tamaño,
volumen de operaciones, estructura geográfica, etc, tratan en el Consejo un
número variable de riesgos principales; hay empresas que reportan un Top 5 de
riesgos, otras el Top 10 e incluso algunas el Top 20.
Existe una dicotomía entre Trasparencia - Confidencialidad. Para que el sistema de gestión de riesgos aporte valor, éste tiene que emplearse en toda la organización, desde la generación y la creación de la estrategia hasta la ejecución de la misma en todos los niveles. Mientras estamos completamente a favor de la transparencia en el reporting, en nuestra opinión, la propia naturaleza del requerimiento puede dificultar el propósito por el que creemos que ha sido introducido, puesto que hay Consejos que pueden opinar claramente que existe una dicotomía para la entidad a la hora de elegir entre revelación total de información (full disclosure) y confidencialidad en cuestiones relacionadas con los asuntos estratégicos.
Nuestra Recomendación al Punto E3/J3
Nos encontramos ante una situación complicada que corresponde, en última instancia, al ámbito de decisión del Consejo de Administración.
No obstante, y desde nuestro punto de vista, creemos que la mejor respuesta residirá en efectuar una correcta y equilibrada ponderación en el binomio transparencia / confidencialidad.
Como hemos indicado anteriormente, un riesgo desprovisto de una clara vinculación con un objetivo carece de valor real, tanto para la toma de decisiones internas, como para la evaluación por parte de terceros. En ningún caso el sistema de gestión de riesgos ha de suplantar al proceso de planificación estratégica de una organización, ni a la fijación de objetivos, sino que tiene que formar parte de él. Por lo tanto, nos gustaría ver a las organizaciones realizando un disclosure en este punto cuyo catalizador principal fueran las principales iniciativas estratégicas y sus objetivos relacionados.
Un ejemplo puede aclarar más las cosas:
Objetivo: Diversificación Geográfica y de Actividad
La ejecución del proyecto de diversificación se ve sujeta a distintos riesgos, todos los cuales están siendo monitorizados por la organización:
1) Restricciones crediticias del sistema bancario europeo pueden dificultar la obtención del préstamo sindicado necesario para financiar el proyecto.
2) La liquidación de las subvenciones europeas para el tipo de proyectos que acometemos, mientras tenemos compromisos firmados, puede no llegar a materializarse debido a las restricciones presupuestarias estatales y comunitarias.
3) Creciente incertidumbre regulatoria que dificulta el establecimiento de un caso base para el plan de negocio de expansión.
Como se puede apreciar, abogamos por que sea el Objetivo a perseguir por la organización el que determine qué riesgos se revelan al mercado, en lugar de facilitar una lista de riesgos típicos cuya revelación no agrega ningún tipo de valor.
2) En
relación al punto E4/J4 “Identifique si
la entidad cuenta con un nivel de tolerancia al riesgo”.
Para que la información detallada en el IAGC sea de utilidad, es necesario que haya un entendimiento o una definición única del término “Tolerancia al Riesgo”. Nuestra experiencia nos indica que, incluso entre los expertos en la materia, existen interpretaciones variables de lo que representa la Tolerancia al Riesgo. En el caso de personas menos expertas, la confusión puede ser mayúscula.
Por nuestra parte, la definición de Tolerancia al Riesgo que consideramos más acertada es la que se propone en el documento sobre Definición e Implantación del Apetito de Riesgo en las Organizaciones[1], desarrollado por la Fábrica de Pensamiento del Instituto de Auditores Internos de España, iniciativa en la que hemos participado.
Consideramos la tolerancia como uno de los tres pilares que sustentan el perfil de riesgo de una organización. Entendemos que son tres conceptos clave que, a nuestro juicio, deberían haber sido tratados de manera conjunta:
a. Capacidad
de Riesgo o nivel
máximo de riesgo que la organización puede soportar sin comprometer su
existencia. Definido por las características propias y la estructura, incluida
la financiera, de la organización.
b. Apetito
de Riesgo o nivel
de riesgo que la organización tiene voluntad de aceptar, dados los objetivos
establecidos que ésta quiere alcanzar. Es, efectivamente, su riesgo objetivo. Aprobado por el Consejo, como principal Órgano de Gobierno de la entidad.
c. Tolerancia
al Riesgo o
desviación existente respecto al nivel de riesgo en el que la organización se tiene
como objetivo (es decir, en relación al apetito). Establecido por la Dirección
de la organización, como impulsor de las operaciones de la compañía encaminadas
a obtener resultados y cumplir los objetivos establecidos por la estrategia
definida, en última instancia, por los Órganos de Gobierno.
La conjunción de estos tres conceptos es lo que, en definitiva, define el éxito o el fracaso en el modo de actuar de en materia de gestión de riesgos de una organización.
Si, por ejemplo, el Consejo aprueba una postura de apetito de riesgo elevada y la capacidad de absorción de riesgos de la organización es limitada (bien sea debido a su estructura financiera, productiva o de otra clase), por mucho que el nivel de tolerancia se encuentre definido formalmente, todo hace pensar que los resultados no podrán ser buenos. Es más importante, entonces, detallar lo que hace la organización para operar dentro de su tolerancia, y monitorizar su exposición, que revelar la existencia o no de una definición de su Tolerancia al Riesgo. Además, existen otras razones que soportan nuestro punto de vista sobre este apartado del IAGC:
a) La naturaleza de los riesgos no es homogénea: En cualquier organización (independientemente del sector en el que opere) coexisten diferentes riesgos a los que se tiene que hacer frente. Estos riesgos suelen ser de diferente naturaleza: riesgos financieros, riesgos operacionales, riesgos reputacionales, etc. Dado que la propia naturaleza de los riesgos no es homogénea, creemos que tiene mucho sentido establecer diferentes apetitos y tolerancias según el riesgo que se esté tratando.
De ahí
que consideremos incompleto el requerimiento de información que hace el IAGC, al
hablar de “si la entidad cuenta con un
nivel de tolerancia al riesgo”, cuando debería hacer referencia a niveles
de apetito y tolerancia por cada tipo de riesgo.
b) La tolerancia mide la variabilidad en relación a un valor definido. Entendemos la tolerancia como una medida sobre la variabilidad en torno al apetito de riesgo, a la hora de conseguir objetivos.
Imaginemos que el Consejo de una empresa aprueba un apetito de riesgo en relación a una inversión determinada, a través del establecimiento de un objetivo de rentabilidad del 25%. Dada la actual estructura productiva y financiera de la empresa, la Dirección es consciente de que es difícil conseguir de manera exacta esa rentabilidad, sin comprometer en exceso los activos de la compañía. Por eso define un nivel de tolerancia al riesgo del 10%, lo que se traduce en que la inversión será un éxito si la rentabilidad real efectiva oscila en el rango situado entre el 22,5% - 27,5%.
Imaginemos
la misma tolerancia del 10% pero en una situación en la que el Consejo
aprueba una rentabilidad objetivo del 5%. En esta ocasión, la inversión será
considerada como un éxito si su rentabilidad real efectiva se sitúa en el rango
4,5% - 5,5%.
En ambos casos contamos con un mismo nivel de tolerancia definido, pero asociado a niveles de apetito al riesgo diferentes. En el primer caso, el apetito al riesgo es muy alto a través de una inversión bastante agresiva, mientras que en el segundo caso, el apetito al riesgo es bastante más moderado, al tratarse de una inversión más conservadora.
Nuestra Recomendación en relación al punto E4/J4
En definitiva, proporcionar información únicamente sobre el nivel de tolerancia, sin hacer lo propio sobre el apetito de riesgo, en nuestra opinión ofrece información incompleta al usuario del IAGC, puesto que para entender bien el perfil de riesgo de la organización, se deben conocer tanto las capacidades, como el nivel de apetito como el de tolerancia, en el caso de que ésta se encuentre definida. A este respecto, consideramos necesario que, a la hora de cumplimentar este apartado, se aporte información adicional sobre las siguientes cuestiones:
1) Descripción general del proceso de Gestión de Riesgos de la Organización: haciendo referencia a los subprocesos de identificación, evaluación-valoración, seguimiento y reporting de la información.
2) Existencia de un proceso para determinar y comunicar el Apetito de Riesgo de la Organización: haciendo referencia a la relación entre capacidad-apetito-tolerancia y diferenciando entre tipos de riesgo y señalando las metodologías de cálculo.
3) Participantes en ambos procesos, señalando sus roles y responsabilidades asociadas.
3) En relación al punto E6/J6 “Explicar los planes de respuesta y supervisión para los principales riesgos de la entidad”.
Una vez más, la norma no establece pautas concretas para la elaboración de la respuesta en este apartado y, lo que es más importante, no establece ni siquiera una definición clara de lo que se entiende por Plan de respuesta.
¿Se entiende únicamente la selección de la estrategia para tratar el riesgo, es decir: mitigar, evitar, transferir o asumir? ¿O habría que añadir, además, información concreta sobre los responsables, los costes asociados, los beneficios esperados, el cronograma de actuaciones, etc?
Nosotros entendemos que las respuestas a los riesgos deben ser planificadas en función de la importancia del riesgo, en consonancia con el proceso de priorización de riesgos, pero también teniendo en cuenta la relación coste/beneficio de las medidas propuestas y que éstas deben ser realistas y factibles de acuerdo al contexto de la organización.
Asimismo, para garantizar una correcta asignación de roles y funciones en el proceso de asignar una respuesta al riesgo, las medidas a adoptar deberían ser acordadas entre todas las partes involucradas, plasmarse en un cronograma de implementación y establecer responsabilidades concretas en personas concretas, en cuanto a ejecución y coordinación. Entendemos también la necesidad de proporcionar información sobre aquellos mecanismos de seguimiento y supervisión establecidos en el seno de la organización (formalmente o no) para efectuar el seguimiento de la evolución del riesgo y de sus respuestas, en función de la propia evolución del entorno de la organización.
Nuestra Recomendación en relación al punto E6/J6
Partiendo de los principales riesgos identificados (ligados a los objetivos), entendemos que debería proporcionarse información completa sobre aquellas medidas específicas adoptadas para tratar el riesgo, en función de la respuesta que se haya elegido. Consideramos necesario, como mínimo, proporcionar información sobre las siguientes cuestiones:
- Contextualización de la respuesta elegida para
el riesgo mediante una breve descripción de en qué consiste;
establecimiento/mejora de controles, transferencia a entidad aseguradora,
alianza estratégica con un socio, etc.
- Responsable de la implementación de la
respuesta.
- Otros participantes, con sus responsabilidades
asociadas.
- Cronograma de actividades.
- Presupuesto asociado / evaluación
coste.beneficio.
- Estimación sobre resultados esperados, en
consonancia con la evaluación de impacto y probabilidad asociados al riesgo.
De igual forma, en cuanto a las medidas de supervisión, recomendamos proporcionar una descripción completa del método por el que se realiza este seguimiento, bien se trate de comités transversales a la organización (Comité de Riesgos o similar) o grupos de trabajo organizados por proyectos, departamentos o líneas de negocio. En cualquier caso, debería aportarse información que trate sobre:
- Integrantes.
- Composición y estructura.
- Periodicidad de reuniones.
- Medidas para la comunicación al resto de la organización de sus acuerdos/decisiones.
En general, creemos que con la nueva definición de la estructura del IAGC se ha dado un paso importante para dotar de una mayor transparencia y un mayor conocimiento sobre la estructura y la administración de las sociedades cotizadas, lo cual es sin duda necesario en momentos como los que vivimos actualmente,. En definitiva, se trata de adoptar medidas para tratar de ofrecer confianza y seguridad.
Centrándonos en los riesgos del negocio, también contribuye a poner en conocimiento de los principales actores del mercado (supervisores, inversores, grupos de interés,) la forma en la que afrontan estas organizaciones aquellas situaciones que pueden suponer una amenaza real para sus operaciones.
Y por último, otro aspecto a destacar, que no entendemos muy bien, es el tratamiento asimétrico que se da en la norma a los sistemas de gestión y control de riesgos (a secas) y los sistemas internos de control y gestión de riesgos sobre información financiera (SCIIF), cuando este último es, en sí mismo, una parte integrante del sistema general de gestión de riesgos de la organización.