Sin riesgo no hay recompensa. Ésta es la base del capitalismo: arriesgar el capital y hacer apuestas rentables. La empresa exitosa es mejor cuando hace apuestas rentables.

 

Antecedentes

 

Las recientes crisis  corporativas alrededor del mundo, derivadas desde auditorias mal ejecutadas hasta deficientes estructuras corporativas, guardan diferentes lecciones para cada uno de los participantes en un mercado de valores.  Sin embargo, existe una lección que todos comparten: los estados financieros no presentan una imagen completa de la solidez de la compañía. En algunos casos, un énfasis excesivo respecto al logro de las metas, no sólo ha cegado los ejecutivos, inversionistas y otros en lo que se refiere a los problemas fundamentales del negocio, sino que hasta los ha agravado.

 

Los organismos reguladores de empresas públicas han respondido ajustando las reglas para mejorar los órganos de gobierno corporativo, las revelaciones respecto de hechos relevantes, la transparencia y confiabilidad de la información financiera y las infraestructuras de control interno. En Estados Unidos, las compañías públicas deben cumplir con la ley Sarbanes – Oxley de 2002; en Europa, Canadá, Australia, Asia e inclusive en México, han entrado con vigor o están por hacerlo nuevos códigos de conducta corporativa.

 

Sin embargo, dichas reglas se concentran en la detección y prevención de situaciones conocidas y probables tales como fraude, malversación de fondos, y/o alteración de registros contables; es decir, situaciones dentro de la operación diaria de cada empresa. No obstante, muy pocos se hacen la siguiente pregunta: ¿están los miembros del concejo de administración, comités, directivos e inversionistas realmente monitoreando los indicadores correctos de la salud corporativa a mediano y largo plazo?

 

Hoy en día, muchas compañías están tomando más  conciencia respecto de la necesidad de contar con un programa para la administración integral de riesgos. Sin embargo, aún  para dicha compañías, este mayor conocimiento está todavía  lejos de convertirse en acciones efectivas. Sin duda, cuando se tiene que manejar el riesgo, muchas compañías todavía se plantean lo siguiente:

 

• ¿El cumplimiento con la normatividad relacionada brinda la protección que necesita la empresa?

• ¿Qué  riesgos debemos atender y sobre qué base se deben priorizar?

• ¿Cómo  nos podemos proteger mejor?

 

Hace diez años, el termino de “administración integral de riesgos” (AIR) era prácticamente desconocido. En la actualidad, se posiciona como una prioridad en la agenda corporativa pero, ¿qué circunstancias han motivado este interés sin precedente? , ¿Realmente existe una definición clara y consistente? , ¿Cómo se prepara un caso de negocios para la implementación de un programa para la administración integral de riesgos?

 

 

Definición

 

Mientras que la estructura  para la administración integral de riesgos incluye muchos elementos muy importantes, uno de los primeros puntos a considerar es su definición. Expertos en el tema están de acuerdo en que una definición básica para la AIR es:

“La administración integral de riesgos es un proceso diseñado para la identificación y consecuente administración de eventos que puedan afectar negativamente la consecución de los objetivos estratégicos, financieros, operativos y de cumplimiento en una entidad”.

 

Esta definición incorpora varios conceptos fundamentales sobre lo que se basa la AIR, entre dichos conceptos se encuentran:

• La AIR no es una acción o actividad única, sino una serie de acciones o actividades.

• Realizado por la gente, el proceso AIR es ejecutado por ella misma y afecta sus acciones.

• Se aplica a todas las áreas y departamentos de la empresa.

• Considera el apetito al riesgo; es decir, la cantidad de riesgo que una compañía está dispuesta a aceptar para el logro de sus objetivos.

• Provee una seguridad razonable, pues ayuda a determinar si una compañía puede alcanzar sus objetivos.

 

Una definición básica es un primer paso para entender el concepto AIR:

La administración integral de riesgos es:

• Un proceso que se construye para la evaluación de los riesgos e incorpora esa evolución en la toma de decisiones claves en la vida de una entidad.

• Un proceso  mediante el cual proactivamente se identifican, evalúan y priorizan los riesgos en una entidad, con el fin de lograr eficiencia y eficacia en las operaciones.

• Integrar los riesgos en una sola cartera o repositorio para su fácil visión, análisis y seguimiento.

• Proporcionar una seguridad razonable respecto al logro de los objetivos  de la entidad  y permitir la toma de riesgos dentro de los límites establecidos.

La administración  integral de riesgos no es:

• Un sustituto respecto del criterio de la administración en la toma de decisiones.

• Una iniciativa única o ejercicio burocrático para el cumplimiento de una regulación.

• Un programa para  la evasión o aversión al riesgo.

• Una excusa para la petición de recursos adicionales.

• Una revisión retrospectiva a las operaciones de la empresa. (ver gráfica 1).

 

 

AIR  ¿por qué ahora?

 

Los escándalos corporativos tambalean al mundo de los negocios y los efectos de la globalización desafían el status quo y los reguladores  promulgan requerimientos regulatorios nuevos y actualizados. El requerimiento del que más se habla en la actualidad es Basilea II  o Basel Capital Accord  II. Adicionalmente, existe un torrente de nuevas reglas relacionadas con el gobierno corporativo, revelaciones respecto de hechos relevantes, ética, control interno y otras, tales como la ley Sarbanes-Oxley y  la ley de seguridad financiera.

 

Es claro para los administradores de riesgos, ejecutivos, reguladores e inversionistas de instituciones financieras que la administración integral de riesgos es un concepto indispensable en las actuales circunstancias, donde queda establecido que nadie es inmune a los riesgos.

 

• Casi 50% de las 1,000 compañías globales más importantes, perdieron 20%  o más en el precio de las acciones en menos de un mes durante los pasados 10 años y algunas nunca las recuperaron.

• De las pérdidas, 80% se debe a la interacción de múltiples riesgos.

• Casi todas las organizaciones tienen administración de riesgos en “silos   de especialistas” o administración de riesgos vertical.

 

De la  administración por “silos” a la administración integral

¿Por qué integrar  las funciones  existentes  para  la administración de riesgos?

1. Efectividad

• 80% de las mayores pérdidas del valor incluyen la interacción de múltiples riesgos.

• El riesgo puede inadvertidamente ser transferido de una función a otra.

• Las reacciones en cadena a menudo rebasan las especializaciones.

• La mayoría de las grandes  pérdidas fueron el resultado de una serie de eventos de alto impacto, pero poco probable.

 

2. Eficiencia

• Un creciente número de empresas encuentran que sus negocios están siendo “evaluados con respecto al riesgo a un nivel

intolerable”.

• Un creciente número de especialistas en riesgos:

- Hacen  preguntas similares pero no iguales, para propósitos similares pero no iguales.

- Uso de diferentes escalas, criterios y herramientas y falta de un lenguaje común, por, tanto incapaces de confiar en el trabajo del otro.

- Para  reportes similares pero no iguales para los mismos ejecutivos (ver  gráfica 2).

 

 

Las metas de un programa AIR

 

Éstas  deben ser las siguientes:

• Permitir al concejo y  alta dirección comprender cómo se están manejando día a día los riesgos por los cuales son finalmente responsables.

• Agregar e integrar/correlacionar información importante sobre riesgos por medio de la  entidad para crear una visión amplia y detallada respecto del perfil de riesgos y sus controles.

• Equipar a la administración de una entidad, así como a cada una de sus áreas corporativas con las capacidades necesarias para identificar, evaluar y reportar de manera proactiva sobre el control de los riesgos en cualquier momento dado, dentro del contexto de los objetivos de negocios.

 

Con objetivos claros, consistentes y definidos, una organización puede moverse hacia una implementación de un programa para la administración integral de riesgos que permita, a su vez, definir la capacidad requerida para la administración de dichos riesgos. Comenzar con un proyecto pequeño y discreto pude ayudar a la administración de los riesgos más elementales y evidentes  dentro de una empresa y así, moverse hacia un proyecto con un alcance mayor e integral.

 

En la industria de servicios financieros, la capacidad para la administración de riesgos  es un indicador básico de qué tan  bien se dirige una organización. Esto es, una institución con una pobre administración de riesgos es una institución pobremente administrada, ya que  las instituciones financieras actúan como intermediarios de riesgo y obtienen sus utilidades al administrar el riesgo inherente a sus negocios. La administración efectiva del riesgo es una expectativa fundamental por parte de los accionistas, clientes, aseguradoras, reguladores y calificadoras de valores. Los riesgos inherentes al core busines son aceptados y asumidos en busca de una utilidad, mientras que los riesgos que emanan de las transacciones son considerados como costos por hacer dichas operaciones.

 

Incorporar   valor en la AIR:

1. Distinguir entre el riesgo retribuido y no retribuido

2. Ligar directamente el riesgo a la creación y preservación del valor.

3. Comprender las vulnerabilidades tanto en escenarios favorables como desfavorables y los detonadores.

4. Concentrarse e integrar la administración de riesgos dentro, fuera a través de toda la empresa.

5. Tomar decisiones con información completa y confiable respecto de los riesgos asociados.

6. Desarrollar capacidad sustentable para la identificación y administración de riesgos.

7. Enfatizar en la vulnerabilidad, no en la probabilidad.

 

La incertidumbre de los eventos potenciales se evalúa desde dos perspectivas:

• Probabilidad e impacto.

- La probabilidad representa la posibilidad de que un evento ocurra, mientras que el impacto representa su efecto.

- Es importante que el análisis sea racional y cuidadoso. La perspectiva del Tiempo utilizada para evaluar riesgos debe ser consistente con la perspectiva de tiempo de la estrategia y objetivos relacionados.1

 

• WILMA: vulnerabilidad, no probabilidad.

- Proceso.

> Se  desatendieron estudios que señalaban las vulnerabilidades  ante un fenómeno de esa naturaleza.

> Falta de preparación  considerando la baja probabilidad de ocurrencia.

 

- Lineamientos/ protocolos incompletos para la coordinación de operaciones de emergencia.

- Falta de equipo/ materiales o procedimientos para administrarlos.

- Falta de planes adecuados  para la recuperación en desastres (cadena de  abastecimiento).

- Falta de programa general para búsqueda y rescate.

 

- Gente

> Confusión en cuanto a responsabilidades y respuestas entre gobiernos locales, estatales  y federales.

> Lentitud para reconocer la severidad del problema (aún después de la tormenta).

> Cadena de mando no clara -  autoridad no visible.

 

- Sistemas.

> Falta de alternativas al fallar la energía.

> Falta de información.

 

En la administración integral de riesgos  se debe  considerar la siguiente relación inversa:

La  Meta: Inteligencia en riesgos.

 

“Tomar riesgos inteligentes sobre cosas nuevas y excitantes no es únicamente una estrategia  legitima, es la única estrategia que funciona con el tiempo. Irse a la segura perderá    a  larga, porque todos los demás están tomando riesgos inteligentes. Irse a la segura no es una opción.”2

 

La inteligencia en  riesgos debe incorporarse  en el proceso para la toma de decisiones  tales como: definición de estrategia, planeación, aplicación de recursos, inversiones y des-inversiones, administración de recursos  materiales, humanos, entre otros factores; dicha incorporación mantiene mejor preparada a la entidad ante escenarios adversos.

 

Cinco preguntas clave que cada compañía debería  hacerse sobre riesgos, son las siguientes:

• ¿Cuál es nuestra política y procedimientos para administrar riesgos de manera integrada para toda la empresa?

• ¿Cuáles son los riesgos  y  vulnerabilidades con independencia a la probabilidad de ocurrencia, clave de la compañía y los planes para administrarlos?

• ¿Cuál  es nuestro apetito al riesgo?

• ¿Quién tiene la autoridad para tomar riesgos en nombre de la compañía?

• ¿Cuál es nuestra capacidad  para administrar el riesgo de manera integrada?

 

Las compañías que son más efectivas  y eficientes para administrar riesgos, a largo plazo, superan a aquellas  que no lo son.

 

 

1. COSO ERM

2. Bob   Lurz, Vicepresidente   de General  Motors, Septiembre   1 de 2005, en  Detroit  free  Press

C.P.  Israel  Zagal

Socio  Enterprise  Risk  Management,  Delville

Fuente: Revista Contaduría Pública www.contaduriapublica.org.mx del Instituto Mexicano de Contadores Públicos www.imcp.org.mx 

publicado en auditool