Inform Eco So
Short Description
Download Inform Eco So...
Description
Committee of Sponsoring Organizations of the Treadway Commission (COSO)
Gestión de Riesgos Corporativos - Marco Integrado
Gestión de Riesgos
Corporativos
Marco Integrado
Committee of Sponsoring Organizations of the Treadway Commission (COSO)
Copyright © del Committee of Sponsoring Organizations of the Treadway Commission. 1 2 3 4 5 6 7 8 9 MPI 0 9 8 7 6 5 4 Copyright © 2009 de la versión española: PricewaterhouseCoopers Se pueden solicitar ejemplares adicionales de Gestión de Riesgos Corporativos – Marco Integrado: Resumen Ejecutivo y Marco y Gestión de Riesgos Corporativos – Marco Integrado: Técnicas de Aplicación, 2 vol. Set, item # 990015 llamando de modo gratuito al 1 – 888 – 777 – 7077 o acudiendo a www.cpa2biz.com. Se reservan todos los derechos. Para más información sobre permisos y licencias de reimpresión, llame al (201) 938 – 3245. Hay disponible un formulario de solicitud de permisos para solicitudes enviadas por correo electrónico en la dirección www.aicpa.org/cpright.htm. De lo contrario, deberán enviarse las solicitudes, por escrito y por correo ordinario, a Permissions Editor, AICPA, Harborside Financial Center, 201 Plaza Three, Jersey City, NJ 07311-3881. Traducido de: “Enterprise Risk Management – Integrated Framework”
INFORME COSO-OKJ
25/5/05
18:14
Página 1
INFORME COSO-OKJ
25/5/05
18:14
Página 152
INFORME COSO-OKJ
25/5/05
18:14
Página 3
Gestión de Riesgos Corporativos Marco Integrado Resumen Ejecutivo Marco
Committee of Sponsoring Organizations of the Treadway Commission (COSO)
INFORME COSO-OKJ PWC
6/7/05
13:01
Página 4
Committee of Sponsoring Organizations of the Treadway Comission (COSO) SUPERVISIÓN PRESIDENCIA COSO: John J. Flaherty AMERICAN ACCOUNTING ASSOCIATION: Larry E. Rittenberg AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS: Alan W. Anderson FINANCIAL EXECUTIVES INTERNACIONAL: John P. Jessup, Nicholas S. Cyprus INSTITUTE OF MANAGEMENT ACCOUNTANTS: Frank C. Minter, Dennis E. Neider THE INSTITUTE OF INTERNAL AUDITORS: William G. Bishop, III, David A. Richards
Consejo asesor del proyecto COSO GUÍA Tony Maki (Presidente) Socio MOSS ADAMS LLP
James W. DeLoach Director ejecutivo PROTIVIFI INC.
John P. Jessup Vicepresidente y Tesorero E. I. DUPONT DE NEMOURS AND CO.
Mark S. Beasley Catedrático NORTH CAROLINA STATE UNIVERSITY
Andrew J. Jackson Vicepresidente primero de los Servicios de aseguramiento de riesgos AMERICAN EXPRESS COMPANY
Tony M. Knapp Vicepresidente primero y Controller MOTOROLA, INC.
Jerry W. DeFoor Vicepresidente y Controller PROTECTIVE LIFE CORPORATION
Steven E. Jameson Vicepresidente ejecutivo, Director de Auditoría interna y Responsable de riesgos COMMUNITY TRUST BANCORP, INC.
Douglas F. Prawitt Catedrático BRIGHAM YOUNG UNIVERSITY
PricewaterhouseCoopers LLP AUTORÍA Richard M. Steinberg Anterior Socio responsable de Gobierno Corporativo (Actualmente, en Steinberg Governance Advisors)
Miles E.A. Everson Socio responsable de Servicios Financieros Finanzas, Operaciones, Riesgos y Cumplimiento Normativo Nueva York
Frank J. Martens Director Ejecutivo Servicios a Clientes Vancouver (Canadá)
Lucy E. Nottingham Gerente Servicios Internos Boston
Depósito Legal: M-30224-2005 “Copyright © 2005 by The Committee of Sponsoring Organization, C/O AICPA, Harborside Financial Center, 201 Plaza three, Jersey City, NJ 07311 – 3881, USA. All rights reserved.” “Permission has been obtained from the copyright holder, The Committee of Sponsoring Organization, C/O AICPA, Harborside Financial Center, 201 Plaza three, jersey City, NJ 07311 – 3881, U.S.A., to publish this translation, which is the same in all material respects, as the original, unless approved as changed. Permission has been obtained to publish this translation in the following publication: [Gestión de Riesgos Corporativos - Marco Integrado] No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form, or by any means electronic, mechanical, photocopying, recording, or otherwise, without prior written permission of The Committee of Sponsoring Organizations of the Treadway Commission.” “El permiso para publicar esta traducción ha sido obtenido del titular de derechos de autor: The Committee of Sponsoring Organization, C/O AICPA, Harborside Centro Financiero, 201 Plaza tres, ciudad de Jersey, NJ 07311 - 3881, EE.UU., que es la misma que el original, a no ser que el cambio haya sido aprobado previamente. El permiso para publicar esta traducción ha sido otorgado a la siguiente publicación: [Gestión de Riesgos Corporativos - Marco Integrado]. Esta publicación no se podrá reproducir, almacenar en sistemas de recuperación, transmitir en forma alguna, por medio mecánico, electrónico, fotocopiado, grabado u otro, ni en su totalidad ni en parte, sin autorización escrita del Committee of Sponsoring Organization of the Treadway Commission.” Se pueden solicitar ejemplares adicionales de Gestión de Riesgos Corporativos – Marco Integrado: Resumen Ejecutivo y Marco y Gestión de Riesgos Corporativos – Marco Integrado: Técnicas de Aplicación, 2 vol. Set, item # 990015 llamando de modo gratuito al 1 – 888 – 777 – 7077 o acudiendo a www.cpa2biz.com. Se reservan todos los derechos. Para más información sobre permisos y licencias de reimpresión, llame al (201) 938 – 3245. Hay disponible un formulario de solicitud de permisos para solicitudes enviadas por correo electrónico en la dirección www.aicpa.org/cpright.htm. De lo contrario, deberán enviarse las solicitudes, por escrito y por correo ordinario, a Permissions Editor, AICPA, Harborside Financial Center, 201 Plaza Three, Jersey City, NJ 07311-3881. Traducido de: “Enterprise Risk Management – Integrated Framework”
4
INFORME COSO-OKJ
25/5/05
18:14
Página 5
ÍNDICE
GESTIÓN DE RIESGOS CORPORATIVOS - MARCO INTEGRADO PRÓLOGO Luis Aranaz Zuza y José Luis Madariaga Gandarias ................................................
7
INTRODUCCIÓN John J. Flaherty y Toni Maki .....................................................................................
9
RESUMEN EJECUTIVO .........................................................................................
15
MARCO 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12.
Definición ...................................................................................................... Ambiente interno ........................................................................................... Establecimiento de objetivos ........................................................................ Identificación de eventos .............................................................................. Evaluación de riesgos ................................................................................... Respuesta a los riesgos ................................................................................ Actividades de control .................................................................................. Información y comunicación ......................................................................... Supervisión ................................................................................................... Roles y responsabilidades ............................................................................ Limitaciones de la gestión de riesgos corporativos ..................................... Qué hacer ......................................................................................................
25 39 47 55 63 71 77 85 93 101 111 115
ANEXOS A Objetivos y Metodología ............................................................................... B Resumen de principios clave ........................................................................ C Relación entre Gestión de riesgos corporativos – Marco integrado y Control interno – Marco integrado ............................................................. D Bibliogafía seleccionada ............................................................................... E Consideración a los comentarios ................................................................. F Glosario ......................................................................................................... G Agradecimientos ...........................................................................................
121 125 135 139 141 147 151
5
INFORME COSO-OKJ
25/5/05
18:14
Página 6
INFORME COSO-OKJ
25/5/05
18:14
Página 7
PRÓLOGO
Han pasado 8 años desde que, en 1997 PricewaterhouseCoopers y el Instituto de Auditores Internos de España publicaran la traducción al castellano del “Control Interno-Marco Integrado” más conocido como Informe COSO. Este documento, emitido por el Committee of Sponsoring Organizations of the Treadway Commission (COSO) formado por representantes de la American Accounting Association, American Institute of Certified Public Accountants, Financial Executives International, Institute of Management Accountants y The Institute of Internal Auditors, se ha constituido como un elemento fundamental dentro de las organizaciones para la consecución de sus objetivos a través de la definición de un marco común de control interno. Tras el éxito cosechado por esta publicación, en los últimos años ha ido cobrando cada vez más relevancia el concepto de gestión de riesgos, como pieza clave en la creación de valor para los grupos de interés de las organizaciones. Debido a esta tendencia, en el año 2001, COSO percibe la necesidad de desarrollar un marco integrado de gestión de riesgos corporativos que defina las pautas y conceptos fundamentales así como una terminología común en esta área. Para su desarrollo cuenta con PricewaterhouseCoopers y en septiembre de 2004 emite, precedido por una extraordinaria expectación, el informe definitivo “Gestión de Riesgos Corporativos-Marco Integrado”. Con enorme satisfacción presentamos ahora, fruto de la colaboración de PricewaterhouseCoopers en España y el Instituto de Auditores Internos de España, la edición de esta traducción al castellano del Informe COSO sobre Gestión de Riesgos Corporativos. Tanto desde el Instituto de Auditores Internos como desde PricewaterhouseCoopers consideramos fundamental la difusión del conocimiento de los conceptos de gestión de riesgos, claramente definidos en este documento, no solo dirigida a los profesionales de la auditoría interna, sino a todos los niveles de la organización y de otros ámbitos de la sociedad mercantil española. El presente documento se divide en dos partes. La primera contiene un Resumen Ejecutivo y el Marco Integrado. El Resumen Ejecutivo es una perspectiva de alto nivel dirigida a los consejeros delegados, otros altos directivos, consejeros y reguladores. El Marco Integrado define la gestión de riesgos corporativos y describe principios y conceptos, proporcionando orientación a todos los niveles de dirección en empresas y otras organizaciones para ser usada en la evaluación y mejora de la eficacia de dicha gestión. Determina ocho componentes a considerar dentro de la gestión de riesgos relacionándolos con cuatro categorías de objetivos organizacionales y con las distintas divisiones o unidades de las entidades. La segunda parte del documento
7
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 8
RIESGOS CORPORATIVOS – MARCO INTEGRADO
corresponde a las Técnicas de aplicación y proporciona ejemplos de algunas técnicas de gestión de riesgos para las entidades relacionadas con los componentes y contenidos del Marco. Este Marco Integrado se encuentra también estrechamente relacionado con el Informe COSO sobre Control Interno que considera la gestión de riesgos corporativos como pieza fundamental entre sus elementos. Desde estas líneas, nos gustaría transmitir nuestro agradecimiento a todos los profesionales de PricewaterhouseCoopers que, bajo la dirección de Enric Doménech y la supervisión de Ramón Abella han puesto gran empeño y dedicación en la traducción de este informe y a los del Instituto de Auditores Internos de España encabezado por su Director General Javier Faleato y que, con la colaboración de Rafael González Marín han hecho posible esta edición del informe en castellano, informe que, sin duda, constituirá una guía práctica y un elemento de consulta indispensable sobre todos los aspectos relacionados con los riesgos de las entidades, su gestión y control, incluyendo, la responsabilidad del auditor interno en la supervisión de la gestión integral de riesgos.
Mayo 2005
8
Luis Aranaz Zuza
José Luis Madariaga Gandarias
PRESIDENTE Instituto de Auditores Internos de España
PRESIDENTE PricewaterhouseCoopers
INFORME COSO-OKJ
25/5/05
18:14
Página 9
INTRODUCCIÓN
Hace más de una década, el Comittee of Sponsoring Organizations of the Treadway Commission (COSO) emitió Control Interno – Marco Integrado, para ayudar a compañías y otras entidades a evaluar y mejorar sus sistemas de control interno. Desde ese momento, dicho marco fue incorporado a las políticas, normativas y regulaciones y utilizado por miles de compañías para controlar mejor sus actividades en su progreso hacia el logro de sus objetivos. En los últimos años hemos visto una conciencia y enfoque más sensibles respecto a la gestión de riesgos, y se ha hecho cada vez más patente que existe la necesidad de establecer un marco sólido para identificar, evaluar y gestionar los riesgos de modo eficaz. En el año 2001 COSO inició un proyecto, contratando a PricewaterhouseCoopers, para desarrollar un marco que fuera accesible para el uso de la dirección de las empresas en la evaluación y mejora de la gestión de riesgos en sus organizaciones. Durante el desarrollo de este marco han acontecido una serie de escándalos mercantiles y fallos donde los inversores, personal y demás grupos de interés han sufrido pérdidas tremendas. Después han habido requerimientos para mejorar el gobierno corporativo y la gestión de riesgos a través de nuevas legislaciones, normativas y estándares para la cotización de las sociedades. La necesidad de un marco de gestión de riesgos que facilitara los conceptos y principios más importantes, un lenguaje común, y una orientación clara, se hizo más acuciante. COSO considera que este informe Gestión de Riesgos Corporativos – Marco Integrado cubre esta necesidad, y espera que sea ampliamente aceptado por compañías y demás organizaciones y, claro está, por todos los grupos de interés. Entre las consecuencias en los EEUU de la situación descrita anteriormente, está la Ley Sarbanes-Oxley de 2002, y la normativa similar promulgada o por promulgar en otros países. Esta ley amplía el requisito de siempre, en virtud del cual, las sociedades anónimas deben mantener sistemas de control interno, exigiendo que la dirección certifique la eficacia de dichos sistemas y que el auditor acredite la misma. Control Interno – Marco Integrado, que sigue en vigor a lo largo del tiempo, sirve como estándar ampliamente aceptado para satisfacer dichos requisitos de reporting. Este informe, Gestión de Riesgos Corporativos – Marco Integrado profundiza en el control interno, facilitando un enfoque más extenso y sólido sobre el tema de la gestión de riesgos en las empresas. Aunque no se pretende sustituir el marco de control interno, la intención es incorporar el mismo dentro del marco de gestión de riesgos para que las compañías puedan decidir su utilización tanto para satisfacer sus necesidades de control interno como para progresar hacia un proceso de gestión de riesgos más completo.
9
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 10
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Entre los retos más críticos a los que se enfrentan los directivos de hoy está el determinar cuánto riesgo está dispuesta a aceptar la entidad y cuánto riesgo acepta a medida que se esfuerza en crear valor. Este informe les ayudará a enfrentarse mejor a este reto.
10
John J. Flaherty
Tony Maki
Presidente COSO
Presidente, Consejo Asesor COSO
INFORME COSO-OKJ
25/5/05
18:14
Página 11
INFORME COSO-OKJ
25/5/05
18:14
Página 12
INFORME COSO-OKJ
25/5/05
18:14
Página 13
Gestión de Riesgos Corporativos Marco Integrado
Resumen Ejecutivo
INFORME COSO-OKJ
25/5/05
18:14
Página 14
INFORME COSO-OKJ
25/5/05
18:14
Página 15
RESUMEN EJECUTIVO
La premisa subyacente en la gestión de riesgos corporativos es que las entidades existen con el fin último de generar valor para sus grupos de interés. Todas se enfrentan a la ausencia de certeza y el reto para su dirección es determinar cuánta incertidumbre se puede aceptar mientras se esfuerzan en incrementar el valor para sus grupos de interés. La incertidumbre implica riesgos y oportunidades y posee el potencial de erosionar o aumentar el valor. La gestión de riesgos corporativos permite a la dirección tratar eficazmente la incertidumbre y sus riesgos y oportunidades asociados, mejorando así la capacidad de generar valor. Se maximiza el valor cuando la dirección establece una estrategia y objetivos para encontrar un equilibrio óptimo entre los objetivos de crecimiento y rentabilidad y los riesgos asociados, además de desplegar recursos eficaz y eficientemente a fin de lograr los objetivos de la entidad. La gestión de riesgos corporativos incluye las siguientes capacidades: • Alinear el riesgo aceptado y la estrategia En su evaluación de alternativas estratégicas, la dirección considera el riesgo aceptado por la entidad, estableciendo los objetivos correspondientes y desarrollando mecanismos para gestionar los riesgos asociados. • Mejorar las decisiones de respuesta a los riesgos La gestión de riesgos corporativos proporciona rigor para identificar los riesgos y seleccionar entre las posibles alternativas de respuesta a ellos: evitar, reducir, compartir o aceptar. • Reducir las sorpresas y pérdidas operativas Las entidades consiguen mejorar su capacidad para identificar los eventos potenciales y establecer respuestas, reduciendo las sorpresas y los costes o pérdidas asociados. • Identificar y gestionar la diversidad de riesgos para toda la entidad Cada entidad se enfrenta a múltiples riesgos que afectan a las distintas partes de la organización y la gestión de riesgos corporativos facilita respuestas eficaces e integradas a los impactos interrelacionados de dichos riesgos. • Aprovechar las oportunidades Mediante la consideración de una amplia gama de potenciales eventos, la dirección está en posición de identificar y aprovechar las oportunidades de modo proactivo. • Mejorar la dotación de capital La obtención de información sólida sobre el riesgo permite a la dirección evaluar eficazmente las necesidades globales de capital y mejorar su asignación.
15
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 16
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Estas capacidades, inherentes en la gestión de riesgos corporativos, ayudan a la dirección a alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos. La gestión de riesgos corporativos permite asegurar una información eficaz y el cumplimiento de leyes y normas, además de ayudar a evitar daños a la reputación de la entidad y sus consecuencias derivadas. En suma, la gestión de riesgos corporativos ayuda a una entidad a llegar al destino deseado, evitando baches y sorpresas por el camino.
Eventos – Riesgos y Oportunidades Los eventos pueden tener un impacto negativo, positivo o de ambos tipos a la vez. Los que tienen un impacto negativo representan riesgos que pueden impedir la creación de valor o erosionar el valor existente. Los eventos con impacto positivo pueden compensar los impactos negativos o representar oportunidades, que derivan de la posibilidad de que ocurra un acontecimiento que afecte positivamente al logro de los objetivos, ayudando a la creación de valor o a su conservación. La dirección canaliza las oportunidades que surgen, para que reviertan en la estrategia y el proceso de definición de objetivos, y formula planes que permitan aprovecharlas.
Definición de la Gestión de Riesgos Corporativos La gestión de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creación de valor o su preservación. Se define de la siguiente manera: La gestión de riesgos corporativos es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. Esta definición recoge los siguientes conceptos básicos de la gestión de riesgos corporativos: • • • •
Es un proceso continuo que fluye por toda la entidad. Es realizado por su personal en todos los niveles de la organización. Se aplica en el establecimiento de la estrategia. Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva del riesgo a nivel conjunto de la entidad. • Está diseñado para identificar acontecimientos potenciales que, de ocurrir, afectarían a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado. • Es capaz de proporcionar una seguridad razonable al consejo de administración y a la dirección de una entidad. • Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque susceptibles de solaparse. La definición es amplia en sus fines y recoge los conceptos claves de la gestión de riesgos por parte de empresas y otras organizaciones, proporcionando una base para su aplicación en todas las organizaciones, industrias y sectores. Se centra directamente en la consecución de los objetivos establecidos por una entidad determinada y proporciona una base para definir la eficacia de la gestión de riesgos corporativos.
16
INFORME COSO-OKJ
25/5/05
18:14
Página 17
RESUMEN EJECUTIVO
Consecución de Objetivos Dentro del contexto de misión o visión establecida en una entidad, su dirección establece los objetivos estratégicos, selecciona la estrategia y fija objetivos alineados que fluyen en cascada en toda la entidad. El presente Marco de gestión de riesgos corporativos está orientado a alcanzar los objetivos de la entidad, que se pueden clasificar en cuatro categorías: • Estrategia: Objetivos a alto nivel, alineados con la misión de la entidad y dándole apoyo • Operaciones: Objetivos vinculados al uso eficaz y eficiente de recursos • Información: Objetivos de fiabilidad de la información suministrada • Cumplimiento: Objetivos relativos al cumplimiento de leyes y normas aplicables Esta clasificación de los objetivos de una entidad permite centrarse en aspectos diferenciados de la gestión de riesgos corporativos. Estas categorías distintas, aunque solapables –un objetivo individual puede incidir en más de una categoría– se dirigen a necesidades diferentes de la entidad y pueden ser de responsabilidad directa de diferentes ejecutivos. También permiten establecer diferencias entre lo que cabe esperar de cada una de ellas. Otra categoría utilizada por algunas entidades es la salvaguarda de activos. Dado que los objetivos relacionados con la fiabilidad de la información y el cumplimiento de leyes y normas están integrados en el control de la entidad, puede esperarse que la gestión de riesgos corporativos facilite una seguridad razonable de su consecución. El logro de los objetivos estratégicos y operativos, sin embargo, está sujeto a acontecimientos externos no siempre bajo control de la entidad; por tanto, respecto a ellos, la gestión de riesgos corporativos puede proporcionar una seguridad razonable de que la dirección, y el consejo de administración en su papel de supervisión, estén siendo informados oportunamente del progreso de la entidad hacia su consecución. Componentes de la Gestión de Riesgos Corporativos La gestión de riesgos corporativos consta de ocho componentes relacionados entre sí, que se derivan de la manera en que la dirección conduce la empresa y cómo están integrados en el proceso de gestión. A continuación, se describen estos componentes: • Ambiente interno Abarca el talante de una organización y establece la base de cómo el personal de la entidad percibe y trata los riesgos, incluyendo la filosofía para su gestión, el riesgo aceptado, la integridad y valores éticos y el entorno en que se actúa. • Establecimiento de objetivos Los objetivos deben existir antes de que la dirección pueda identificar potenciales eventos que afecten a su consecución. La gestión de riesgos corporativos asegura que la dirección ha establecido un proceso para fijar objetivos y que los objetivos seleccionados apoyan la misión de la entidad y están en línea con ella, además de ser consecuentes con el riesgo aceptado. • Identificación de eventos Los acontecimientos internos y externos que afectan a los objetivos de la entidad deben ser identificados, diferenciando entre riesgos y oportunidades. Estas últimas revierten hacia la estrategia de la dirección o los procesos para fijar objetivos.
17
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 18
RIESGOS CORPORATIVOS – MARCO INTEGRADO
• Evaluación de riesgos Los riesgos se analizan considerando su probabilidad e impacto como base para determinar cómo deben ser gestionados y se evalúan desde una doble perspectiva, inherente y residual. • Respuesta a los riesgos La dirección selecciona las posibles respuestas - evitar, aceptar, reducir o compartir los riesgos - desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las tolerancias al riesgo de la entidad. • Actividades de control Las políticas y procedimientos se establecen e implantan para ayudar a asegurar que las respuestas a los riesgos se llevan a cabo eficazmente. • Información y comunicación La información relevante se identifica, capta y comunica en forma y plazo adecuado para permitir al personal afrontar sus responsabilidades. Una comunicación eficaz debe producirse en un sentido amplio, fluyendo en todas direcciones dentro de la entidad. • Supervisión La totalidad de la gestión de riesgos corporativos se supervisa, realizando modificaciones oportunas cuando se necesiten. Esta supervisión se lleva a cabo mediante actividades permanentes de la dirección, evaluaciones independientes o ambas actuaciones a la vez. La gestión de riesgos corporativos no constituye estrictamente un proceso en serie, donde cada componente afecta sólo al siguiente, sino un proceso multidireccional e iterativo en que casi cualquier componente puede influir en otro.
Relación entre objetivos y componentes Existe una relación directa entre los objetivos que la entidad desea lograr y los componentes de la gestión de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relación se representa con una matriz tridimensional, en forma de cubo.
Las cuatro categorías de objetivos –estrategia, operaciones, información y cumplimiento– están representadas por columnas verticales, los ocho componentes lo están por filas horizontales y las unidades de la entidad, por la tercera dimensión del cubo. Este gráfico refleja la capacidad de centrarse sobre la totalidad de la gestión de riesgos corporativos de una entidad o bien por categoría de objetivos, componente, unidad o cualquier subconjunto deseado.
18
INFORME COSO-OKJ
25/5/05
18:14
Página 19
RESUMEN EJECUTIVO
Eficacia La afirmación de que la gestión de riesgos corporativos de una entidad es “eficaz” es un juicio resultante de la evaluación de si los ocho componentes están presentes y funcionan de modo eficaz. Así, estos componentes también son criterios para estimar la eficacia de dicha gestión. Para que estén presentes y funcionen de forma adecuada, no puede existir ninguna debilidad material y los riesgos necesitan estar dentro del nivel de riesgo aceptado por la entidad. Cuando se determine que la gestión de riesgos es eficaz en cada una de las cuatro categorías de objetivos, respectivamente, el consejo de administración y la dirección tendrán la seguridad razonable de que conocen el grado de consecución de los objetivos estratégicos y operativos de la entidad, que su información es fiable y que se cumplen las leyes y la normas aplicables. Los ocho componentes no funcionan de modo idéntico en todas las entidades. Su aplicación en las pequeñas y medianas empresas, por ejemplo, puede ser menos formal y estructurada. Sin embargo, estas entidades podrían poseer una gestión eficaz de riesgos corporativos, siempre que cada componente esté presente y funcione adecuadamente.
Limitaciones Aunque la gestión de riesgos corporativos proporciona ventajas importantes, también presenta limitaciones. Además de los factores comentados anteriormente, las limitaciones se derivan de hechos como que el juicio humano puede ser erróneo durante la toma de decisiones, que las decisiones sobre la respuesta al riesgo y el establecimiento de controles necesitan tener en cuenta los costes y beneficios relativos, que pueden darse fallos por error humano, que pueden eludirse los controles mediante connivencia de dos o más personas y que la dirección puede hacer caso omiso a las decisiones relacionadas con la gestión de riesgos corporativos. Estas limitaciones impiden que el consejo o la dirección tengan seguridad absoluta de la consecución de los objetivos de la entidad.
Inclusión del Control Interno El control interno constituye una parte integral de la gestión de riesgos corporativos. Este Marco lo incluye, constituyendo una conceptualización y una herramienta más sólidas para la dirección. El control interno se define y describe en el documento Control Interno – Marco integrado. Dado que éste ha perdurado a lo largo del tiempo y es la base para las reglas, normas y leyes existentes, se mantiene vigente para definir y enmarcar el control interno. Aunque el presente documento sólo recoge partes de Control Interno – Marco integrado, su estructura entera se incorpora en él a través de referencias.
Roles y Responsabilidades Todas las personas que integran una entidad tienen alguna responsabilidad en la gestión de riesgos corporativos. El consejero delegado es su responsable último y debe-
19
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 20
RIESGOS CORPORATIVOS – MARCO INTEGRADO
ría asumir su titularidad. Otros directivos apoyan la filosofía de gestión de riesgos de la entidad, promueven el cumplimiento del riesgo aceptado y gestionan los riesgos dentro de sus áreas de responsabilidad en conformidad con la tolerancia al riesgo. El director de riesgos, director financiero, auditor interno u otros, desempeñan normalmente responsabilidades claves de apoyo. El restante personal de la entidad es responsable de ejecutar la gestión de riesgos corporativos de acuerdo con las directrices y protocolos establecidos. El consejo de administración desarrolla una importante supervisión de la gestión de riesgos corporativos, es consciente del riesgo aceptado por la entidad y está de acuerdo con él. Algunos terceros, como los clientes, proveedores, colaboradores, auditores externos, reguladores y analistas financieros, proporcionan a menudo información útil para el desarrollo de la gestión de riesgos corporativos, aunque no son responsables de su eficacia en la entidad ni forman parte de ella.
Estructura de este Documento El presente documento se divide en dos partes. La primera contiene el Marco y un Resumen Ejecutivo. El Marco define la gestión de riesgos corporativos y describe principios y conceptos, proporcionando orientación a todos los niveles de dirección en empresas y otras organizaciones para ser usada en la evaluación y mejora de la eficacia de dicha gestión. El Resumen Ejecutivo es una perspectiva de alto nivel dirigida a los consejeros delegados, otros altos directivos, consejeros y reguladores. La segunda parte del documento corresponde a las Técnicas de aplicación y proporciona ejemplos de técnicas útiles para aplicar los componentes del Marco.
Uso de este Informe Las acciones sugeridas que podrían adoptarse como resultado de este documento dependen de la posición y papel de las partes implicadas:
• Consejo de Administración El consejo debería comentar con la alta dirección el estado de la gestión de riesgos corporativos de la entidad y aportar su supervisión según se necesite. Asimismo, debería asegurarse de que es informado de los riesgos más significativos, de las acciones que la dirección está realizando y cómo ésta asegura una gestión eficaz de riesgos. • Alta dirección Este documento sugiere que el consejero delegado evalúe las capacidades de gestión de riesgos corporativos de la organización. Por ejemplo, un consejero delegado reúne a los responsables de unidad de negocio y al personal clave del staff para comentar una evaluación inicial de las capacidades y eficacia de la gestión de riesgos corporativos. Sea cual sea su forma, esta evaluación inicial debería determinar si existe la necesidad de otra evaluación más profunda y amplia y, en caso afirmativo, cómo proceder a realizarla. • Otro personal de la entidad Los directivos y demás personal deberían considerar cómo están desempeñando sus responsabilidades a la luz del presente Marco y comentar sus ideas con res-
20
INFORME COSO-OKJ
25/5/05
18:14
Página 21
RESUMEN EJECUTIVO
ponsables superiores para reforzar la gestión de riesgos corporativos. Los auditores internos deberían considerar el alcance de su enfoque sobre dicha gestión. • Reguladores Este Marco puede fomentar una visión compartida de la gestión de riesgos corporativos, incluyendo lo que se puede hacer y sus limitaciones. Los reguladores pueden referirse a este Marco al establecer sus expectativas, bien mediante normas o guías o en la realización de inspecciones en las entidades bajo su supervisión. • Organizaciones profesionales Las entidades encargadas de establecer normas y otras organizaciones que proporcionan orientación sobre gestión financiera, auditoría y temas afines, deberían considerar sus normas y guías a la luz de este Marco. A medida que se eliminen divergencias de conceptos y terminología, todas las partes se beneficiarán de ello. • Educadores Este Marco puede ser tema de investigación y análisis universitario, para ver dónde se pueden realizar futuras mejoras. En la idea de que este documento sea aceptado como base compartida de comprensión, sus conceptos y términos deberían encontrar una forma de integrarse en los programas de estudios universitarios. Establecidos estos cimientos para una comprensión mutua, todas las partes podrán hablar un lenguaje común y se comunicarán más eficazmente. Los directivos estarán en posición de evaluar el proceso de gestión de riesgos corporativos de su entidad respecto a una norma y podrán potenciar el proceso de consecución de los objetivos establecidos. La investigación futura puede apoyarse en esta base sólida, mientras que los legisladores y reguladores podrán incrementar su comprensión de la gestión de riesgos corporativos, incluidas sus ventajas y limitaciones. Si todas las partes interesadas utilizan este Marco común para dicha gestión, se podrán obtener las ventajas comentadas.
21
INFORME COSO-OKJ
25/5/05
18:14
Página 22
INFORME COSO-OKJ
25/5/05
18:14
Página 23
Gestión de Riesgos Corporativos Marco Integrado
Marco
INFORME COSO-OKJ
25/5/05
18:14
Página 24
INFORME COSO-OKJ
25/5/05
18:14
Página 25
1. Definición
Resumen del capítulo: Todas las entidades se enfrentan a la ausencia de certeza sobre el futuro y el reto para su dirección es determinar qué nivel de incertidumbre puede aceptar mientras se esfuerza en hacer crecer el valor para sus grupos de interés. La gestión de riesgos corporativos capacita a la dirección para identificar, evaluar y gestionar los riesgos en caso de incertidumbre y es esencial para la creación y conservación de valor. Dicha gestión es un proceso realizado por el consejo de administración, la dirección y demás personal de una entidad, que se aplica a la definición de estrategia en toda la entidad. Está diseñada para identificar los eventos potenciales que puedan afectar a la entidad y gestionar los riesgos para que estén dentro del riesgo aceptado por ella, facilitando una seguridad razonable respecto al logro de sus objetivos. Está constituida por ocho componentes relacionados entre sí, que integran el modo en que la dirección conduce la empresa. Estos componentes están vinculados entre sí y sirven de criterio para determinar si la gestión de riesgos corporativos es eficaz.
Un objetivo clave del presente Marco es ayudar a las direcciones de empresas y otras entidades a enfrentarse mejor al riesgo en su intento por alcanzar sus objetivos. Pero la gestión de riesgos corporativos tiene diferentes significados para personas distintas, porque presenta una amplia gama de definiciones y contenidos que impiden una comprensión común. Por esto, un objetivo importante es integrar los diferentes conceptos de la gestión de riesgos en un marco en el que se establezca una definición común, se identifiquen los componentes y se describan los conceptos claves. Este marco integra la mayoría de perspectivas posibles y proporciona un punto de partida para la evaluación y mejora de cada entidad y para futuras iniciativas regulatorias y educativas.
Incertidumbre y Valor Una premisa subyacente en la gestión de riesgos corporativos es que cada entidad, tenga ánimo de lucro o no o sea un organismo estatal, existe para generar valor para sus grupos de interés. Todas las entidades se enfrentan a la incertidumbre y el reto para su dirección es determinar cuánta incertidumbre puede aceptar mientras se esfuerza en hacer crecer el valor para dichos grupos. La incertidumbre presenta a la vez riesgos y oportunidades, con un potencial para erosionar o mejorar el valor. La gestión de riesgos corporativos permite a la dirección tratar eficazmente la incertidumbre y sus riesgos y oportunidades asociados, mejorando así la capacidad de la entidad para generar valor.
25
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 26
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Las empresas funcionan en entornos donde factores como la globalización, tecnología, reestructuraciones, mercados cambiantes, competencia y regulación crean incertidumbre. La incertidumbre emana de la incapacidad para determinar acertadamente la probabilidad de ocurrencia de los eventos y sus impactos correspondientes. La incertidumbre también se presenta y crea como consecuencia de las decisiones estratégicas de la entidad. Por ejemplo, pensemos en una entidad que tenga una estrategia de crecimiento basada en la expansión de sus operaciones a otro país. Esta estrategia elegida presenta tanto riesgos como oportunidades, relacionados con la estabilidad de su entorno político, recursos, mercados, canales, capacidades de la fuerza laboral y costes. Las decisiones de la dirección en todas sus actividades, desde el establecimiento de la estrategia hasta las operaciones cotidianas de la empresa, crean, conservan o erosionan el valor. La creación de valor se produce a través del despliegue de recursos, incluyendo personas, capital, tecnología y marca, siempre que el beneficio derivado supere a los recursos utilizados. La conservación de valor tiene lugar cuando el valor creado perdura a través de, entre otros factores, una calidad superior del producto, la capacidad productiva y la satisfacción del cliente. El valor puede erosionarse cuando no se alcanzan los objetivos debido a una estrategia o ejecución inadecuada. Implícito en las decisiones para reconocer los riesgos y oportunidades, está el requisito de que la dirección considere la información de los entornos interno y externo, despliegue recursos valiosos y reajuste las actividades a las circunstancias cambiantes. El valor se maximiza cuando la dirección establece una estrategia y unos objetivos que consiguen un equilibrio óptimo entre las metas de crecimiento y rentabilidad y los riesgos asociados y despliega eficiente y eficazmente los recursos a fin de alcanzar los objetivos de la entidad. La gestión de riesgos corporativos abarca las siguientes capacidades:
• Alinear el riesgo aceptado y la estrategia La dirección considera el riesgo aceptado por la entidad primeramente al evaluar las alternativas estratégicas y luego, al establecer los objetivos alineados con la estrategia seleccionada y desarrollar mecanismos para gestionar los riesgos relativos. Por ejemplo, una empresa farmacéutica tiene un bajo riesgo aceptado respecto al valor de marca, por lo que, para protegerla, mantiene unos amplios protocolos que afiancen la seguridad del producto e invierte regularmente recursos significativos en las fases preliminares de investigación y desarrollo, con lo que refuerza la creación de valor de marca. • Mejorar las decisiones de respuesta a los riesgos La gestión de riesgos corporativos proporciona rigor para identificar respuestas alternativas al riesgo y seleccionar entre ellas –evitar, reducir, compartir y aceptar el riesgo–. Por ejemplo, la dirección de una empresa que usa vehículos de su propiedad y opera con ellos para efectuar los repartos, reconoce los riesgos inherentes en su proceso de entrega, incluyendo el coste de los daños y perjuicios de los coches y empleados. Las alternativas disponibles son reducir los riesgos a través de una eficaz selección, contratación y formación de conductores, evitarlos mediante la externalización del reparto, compartirlos a través de seguros o simplemente aceptarlos. La gestión de riesgos corporativos facilita la metodología y técnicas para tomar estas decisiones.
26
INFORME COSO-OKJ
25/5/05
18:14
Página 27
DEFINICIÓN
• Reducir sorpresas y pérdidas operativas Las entidades mejoran su capacidad para identificar eventos potenciales, evaluar los riesgos y establecer respuestas a ellos, reduciendo así las sorpresas y sus costes o pérdidas derivados. Por ejemplo, una empresa industrial hace un seguimiento de los ratios de defectos en componentes y equipos usando múltiples criterios, incluyendo los del tiempo de reparación, la incapacidad de satisfacer la demanda de clientes, la seguridad laboral y el coste de las reparaciones previstas frente a las imprevistas, y responde estableciendo programas concordantes de mantenimiento. • Identificar y gestionar riesgos en toda la entidad Cada entidad se enfrenta a múltiples riesgos que afectan a diferentes partes de la organización. Su dirección no sólo necesita gestionar los riesgos individuales, sino también entender los impactos interrelacionados. Por ejemplo, un banco se enfrenta a una variedad de riesgos al efectuar sus actividades comerciales en toda la entidad y la dirección ha desarrollado un sistema informático que analiza los datos de las transacciones y del mercado procedentes de otros sistemas internos, que, junto con información relevante generada externamente, proporcionan una visión agregada de los riesgos en todas las actividades de negocio. El sistema informático permite la capacidad de ahondar hasta los niveles de departamento, cliente, intermediario y transacción y cuantifica los riesgos en las categorías establecidas en relación con sus respectivas tolerancias. El sistema permite que el banco agregue datos previamente dispares para responder más eficazmente a los riesgos usando perspectivas tanto agregadas como seleccionadas por objetivos. • Facilitar respuestas integradas a riesgos múltiples Los procesos empresariales implican muchos riesgos inherentes y la gestión de riesgos corporativos permite soluciones integradas para gestionarlos. Por ejemplo, un mayorista se enfrenta a riesgos de defecto o exceso de existencias, de proveedores poco fiables y de precios de compra innecesariamente altos. La dirección identificó y evaluó el riesgo en el contexto de la estrategia, objetivos y respuestas alternativas de la entidad y desarrolló un sistema de control de inventarios de amplio alcance. El sistema se integraba con los proveedores, compartiendo información de ventas e inventario, permitiendo una colaboración estratégica y evitando roturas de inventario y costes innecesarios de transporte, mediante contratos de suministros a largo plazo y mejores precios. Los proveedores asumieron la responsabilidad de reponer existencias, generando reducciones adicionales de costes. • Aprovechar las oportunidades Al considerar una amplia gama de eventos potenciales, en lugar de limitarse sólo a los riesgos, la dirección identifica los eventos que representan oportunidades. Por ejemplo, una empresa de alimentación consideró los eventos potenciales que probablemente afectarían a su objetivo de crecimiento perdurable de los ingresos. Al evaluar los eventos, la dirección determinó que los principales consumidores de la empresa eran cada vez más conscientes de los temas de salud y cambiaban sus preferencias dietéticas, lo que indicaba un declive de la demanda futura de los productos actuales de la empresa. Al determinar su respuesta, la dirección identificó formas para aplicar sus capacidades existentes al desarrollo de productos nuevos, permitiendo a la empresa no sólo mantener los ingresos por clientes actuales, sino también crear otros adicionales atrayendo a una base consumidora más amplia.
27
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 28
RIESGOS CORPORATIVOS – MARCO INTEGRADO
• Mejorar la aplicación de capital La obtención de información sólida sobre los riesgos permite que la dirección evalúe eficazmente las necesidades globales de capital y mejore su asignación. Por ejemplo, una entidad financiera quedó sometida a nuevas normas reguladoras que aumentarían sus requisitos de capital, a menos que la dirección calculara más específicamente los niveles de riesgo crediticio y operativo y las respectivas necesidades de capital. La entidad evaluó el riesgo en términos de coste del desarrollo de sistemas frente al coste de capital adicional y tomó una decisión consensuada. Con las aplicaciones informáticas existentes fácilmente modificables, la entidad desarrolló cálculos más precisos, evitando así la necesidad de buscar fuentes de capital adicional. Estas capacidades están implícitas en la gestión de riesgos corporativos, que ayuda a la dirección a lograr los objetivos de rendimiento y rentabilidad de la entidad e impedir la pérdida de recursos, así como a asegurar una información eficaz y que se cumplan las leyes y normas, evitando daños a su reputación y consecuencias derivadas. En definitiva, la gestión de riesgos corporativos ayuda a la entidad a llegar al destino deseado, salvando obstáculos y sorpresas en el camino.
Eventos – Riesgos y Oportunidades Un evento es un incidente o acontecimiento procedente de fuentes internas o externas que afecta a la consecución de objetivos y que puede tener un impacto negativo o positivo o de ambos tipos a la vez. Los eventos de signo negativo constituyen riesgos. Por tanto, un riesgo se define como sigue: Riesgo es la posibilidad de que un evento ocurra y afecte desfavorablemente al logro de objetivos. Los eventos con impacto negativo impiden la creación del valor o erosionan el valor existente. Ejemplos de esto lo constituyen las averías de la maquinaria, un incendio o pérdidas de crédito. Este tipo de eventos pueden derivarse de condiciones aparentemente positivas, como, por ejemplo, cuando la demanda de productos por los clientes supera a la capacidad productiva, provocando fallos al atender las solicitudes de los compradores, la erosión de la fidelidad del cliente y el declive de pedidos futuros. Los eventos con impacto positivo pueden compensar otros impactos negativos o representar oportunidades. Una oportunidad se define como sigue: Oportunidad es la posibilidad de que un evento ocurra y afecte positivamente a la consecución de objetivos. Las oportunidades refuerzan la creación de valor o su conservación. La dirección las revierte hacia la estrategia o los procesos de fijación de objetivos, para que se puedan formular acciones que aprovechen las oportunidades.
Definición de la Gestión de Riesgos Corporativos La gestión de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creación de valor o su preservación. Se define de la siguiente manera:
28
INFORME COSO-OKJ
25/5/05
18:14
Página 29
DEFINICIÓN
La gestión de riesgos corporativos es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicado en la definición de la estrategia y en toda la entidad y diseñado para identificar eventos potenciales que puedan afectar a la organización y gestionar sus riesgos dentro del riesgo aceptado, proporcionandor una seguridad razonable sobre el logro de objetivos.
Esta definición refleja algunos conceptos fundamentales de la gestión de riesgos corporativos: • Es un proceso continuo que fluye a través de una entidad. • Se realiza por personas en cada nivel de una organización. • Se aplica al establecimiento de la estrategia. • Se aplica en toda la empresa, a cada nivel y unidad, e incluye una perspectiva del riesgo al nivel de entidad • Está diseñada para identificar eventos potenciales que afecten a la entidad y gestionar los riesgos dentro del riesgo aceptado. • Puede proporcionar una seguridad razonable a la dirección y al consejo de administración de una entidad. • Está orientada a la consecución de objetivos en una o varias categorías separadas, aunque solapables - es un medio para conseguir un fin, no un fin en sí mismo. La definición es conscientemente amplia por varias razones. Capta los conceptos claves fundamentales de cómo las empresas y otras organizaciones gestionan el riesgo y proporciona una base para su aplicación en todas las entidades y sectores. Se centra directamente en el cumplimiento de los objetivos establecidos por una entidad determinada y proporciona una base para definir la eficacia en la gestión de riesgos corporativos que se comentará posteriormente en este capítulo. A continuación, se presentan los conceptos fundamentales mencionados antes.
Un Proceso La gestión de riesgos corporativos no es estática, sino más bien un intercambio continuo o iterativo de acciones que fluyen por toda la entidad, que se difunden y están implícitas en la forma como la dirección lleva el negocio. La gestión de riesgos corporativos es diferente de la perspectiva de algunos observadores, que la ven como un mero apéndice de las actividades de una entidad. Con esto no queremos decir que una eficaz gestión de riesgos corporativos no requiera un esfuerzo adicional, llegado el caso. Al considerar los riesgos crediticios o de tipo de cambio, por ejemplo, puede requerirse un esfuerzo adicional para desarrollar modelos adecuados y elaborar análisis y cálculos necesarios. Sin embargo, estos mecanismos de gestión de riesgos corporativos están integrados en las actividades operativas de una entidad y existen gracias a razones empresariales de fondo. De hecho, dicha gestión resulta más eficaz cuando esos mecanismos están integrados
29
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 30
RIESGOS CORPORATIVOS – MARCO INTEGRADO
en la infraestructura de la entidad y forman parte de su esencia. Al integrarlos, la gestión de riesgos corporativos puede afectar directamente a la capacidad de la entidad para implantar su estrategia y cumplir su misión. La integración de la gestión de riesgos corporativos tiene implicaciones importantes para la contención de costes, especialmente en los mercados altamente competitivos a los que se enfrentan muchas empresas. Añadir nuevos procedimientos independientes de los ya existentes, provoca un aumento de costes. Al centrarse en las operaciones existentes y su aportación a la gestión de riesgos corporativos e integrar ésta en las actividades operativas básicas, una entidad puede evitar procedimientos y costes innecesarios. Además, la práctica de construir la mencionada gestión dentro del tejido operativo ayuda a identificar nuevas oportunidades que la dirección puede aprovechar para hacer crecer el negocio.
Realizado por Personas La gestión de riesgos corporativos se realiza por el consejo de administración, la dirección y demás personal de una entidad. Son las personas de la organización, mediante lo que hacen y dicen, quienes la hacen realidad. Las personas establecen la misión, estrategia y objetivos de la entidad y colocan los mecanismos de dicha gestión en el lugar adecuado. De forma similar, la gestión de riesgos corporativos afecta a las acciones de las personas, reconociendo que éstas no siempre se entienden, se comunican o actúan de modo consistente. Cada individuo aporta a su puesto de trabajo su historial y capacidades técnicas propias y, a su vez, tiene necesidades y prioridades diferentes. Estos hechos afectan a la gestión de riesgos corporativos y son afectados por ésta. Cada persona tiene su propio punto de vista, que influye en su manera de identificar, evaluar y responder al riesgo. La gestión de riesgos corporativos proporciona los mecanismos necesarios para ayudar a las personas a entender el riesgo en el contexto de los objetivos de la entidad. Las personas deben conocer sus responsabilidades y límites de autoridad. Asimismo, deberá existir un vínculo claro y estrecho entre los deberes de las personas y el modo de realizarlos, así como con la estrategia y objetivos de la entidad. El personal de una organización incluye al consejo de administración, la dirección y demás empleados. Aunque los consejeros aportan primordialmente la supervisión de la entidad, también proporcionan orientación y aprueban la estrategia y políticas. Como tal, el consejo de administración de una empresa constituye un componente importante de su gestión de riesgos corporativos.
Aplicado al Establecimiento de la Estrategia Una entidad fija su misión o visión y establece los objetivos estratégicos, que son las metas de alto nivel que están en línea con aquella y la apoyan. Para alcanzar sus objetivos estratégicos, la entidad establece una estrategia y también fija los objetivos conexos que desea realizar y se derivan de ella, fluyendo en cascada hacia las unidades de negocio, divisiones y procesos.
30
INFORME COSO-OKJ
25/5/05
18:14
Página 31
DEFINICIÓN
La gestión de riesgos corporativos se aplica durante el proceso del establecimiento de la estrategia, en el que la dirección contempla los riesgos relacionados con las opciones alternativas. Por ejemplo, una alternativa puede ser la de adquirir otras empresas para incrementar la cuota de mercado y otra, la de recortar los costes de aprovisionamiento para obtener una tasa más alta de margen bruto. Cada una de ellas plantea diferentes riesgos. Si la dirección selecciona la primera, es posible que la empresa se vea obligada a penetrar en mercados nuevos y, así, sus competidores pueden ganar cuota en los mercados actualmente existentes o que la entidad no tenga la capacidad de implantar eficazmente su estrategia. Con la segunda alternativa, los riesgos implicarán, incluso, la utilización de nuevas tecnologías o proveedores o la formación de nuevas alianzas. Las técnicas de gestión de riesgos corporativos se aplican a este nivel para ayudar a la dirección a evaluar y elegir la estrategia de la entidad y los objetivos asociados a ella.
Aplicado en toda la Empresa Al aplicar la gestión de riesgos corporativos, una entidad debería considerar toda la gama de sus actividades en los diferentes niveles de la organización, desde aquellas al nivel de empresa, como son la planificación estratégica y la asignación de recursos, hasta las de unidades de negocio, como son el marketing y los recursos humanos, y las de procesos de negocio, como son la producción y la revisión de solvencia de los clientes. La gestión de riesgos corporativos también se aplica en proyectos especiales y nuevas iniciativas que podrían no tener aún un lugar en la jerarquía o el organigrama de la organización. La gestión de riesgos corporativos requiere que una entidad adopte una perspectiva de cartera global para los riesgos. Esto puede implicar que cada directivo responsable de una unidad de negocio, función, proceso o cualquier actividad tenga que desarrollar una evaluación de sus riesgos, que se puede efectuar de modo cuantitativo o cualitativo. Con una visión compuesta de cada nivel sucesivo de la organización, la alta dirección está en posición de determinar si la cartera de riesgo global de la entidad se corresponde a su riesgo aceptado. La dirección considera los riesgos interrelacionados desde una perspectiva de cartera a nivel de entidad. Los riesgos de las unidades individuales pueden mantenerse dentro de las tolerancias al riesgo de cada una de ellas, aunque es posible que sumados superen el riesgo aceptado por la entidad en su conjunto. O, al contrario, ciertos eventos potenciales pueden representar un riesgo inaceptable para una unidad de negocio, pero generar un efecto compensatorio en otra. Es preciso identificar los riesgos interrelacionados y actuar sobre ellos para que la totalidad de los riesgos sean concordantes con el riesgo aceptado por la entidad de forma global.
Riesgo Aceptado El riesgo aceptado es el volumen de riesgo, a un nivel amplio, que una entidad está dispuesta a aceptar en su búsqueda de valor. Refleja la filosofía de gestión de riesgos de la entidad y, por consiguiente, influye en su cultura y estilo operativo. Muchas entidades consideran el riesgo aceptado de manera cualitativa, calificándolo como
31
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 32
RIESGOS CORPORATIVOS – MARCO INTEGRADO
alto, moderado o bajo, mientras existen otras que adoptan un enfoque cuantitativo, reflejando y equilibrando los objetivos de crecimiento, rendimiento y riesgo. Una empresa con un riesgo aceptado alto puede estar dispuesta a asignar una gran parte del capital a áreas de alto riesgo, como son los mercados emergentes. Por el contrario, una compañía con un riesgo aceptado bajo podría optar por limitar su riesgo a corto plazo de amplias pérdidas de capital, invirtiendo sólo en mercados maduros y estables. El riesgo aceptado se relaciona directamente con la estrategia de una entidad y se tiene en cuenta para establecerla, ya que diferentes estrategias exponen a una entidad a riesgos distintos. La gestión de riesgos corporativos ayuda a la dirección a elegir una estrategia que ponga en línea la creación anticipada de valor con el riesgo aceptado por la entidad. El riesgo aceptado orienta la asignación de recursos, pues la dirección dota de recursos a las diferentes unidades de negocio e iniciativas teniendo en cuenta el riesgo aceptado por la entidad y los planes de cada unidad para generar el rendimiento deseado a partir de los recursos invertidos. La dirección considera su riesgo aceptado al alinear la organización, personal y procesos y diseña la infraestructura necesaria para supervisar eficazmente los riesgos y responder a ellos. Las tolerancias al riesgo están relacionadas con los objetivos de la entidad. La tolerancia al riesgo es el nivel aceptable de variación relativa al logro de un objetivo concreto y a menudo se mide mejor en las mismas unidades usadas para medir dicho objetivo. Al fijar la tolerancia al riesgo, la dirección considera la importancia relativa del objetivo correspondiente y alinea las tolerancias al riesgo con el riesgo aceptado. Operar dentro de las tolerancias al riesgo ayuda a asegurar que la entidad se mantenga dentro de su riesgo aceptado y, por consiguiente, que la entidad consiga sus objetivos.
Proporciona una Seguridad Razonable Una gestión de riesgos corporativos bien diseñada y realizada puede facilitar a la dirección y al consejo de administración una seguridad razonable sobre la consecución de objetivos de la entidad. Este concepto de seguridad razonable refleja la idea de que la incertidumbre y el riesgo están relacionados con el futuro, que nadie puede predecir con precisión, y no implica que la gestión de riesgos corporativos fracase con mucha frecuencia. Muchos factores, individual y colectivamente, refuerzan el concepto de seguridad razonable. El efecto acumulativo de las respuestas al riesgo que satisfacen objetivos múltiples y el carácter multifuncional de los controles internos reducen el riesgo de que una entidad pueda no alcanzar sus objetivos. Es más, las actividades y responsabilidades operativas y cotidianas de las personas que actúan en varios niveles de una organización están orientadas a la consecución de sus objetivos. Evidentemente, entre una muestra de entidades bien controladas, es probable que de forma regular la mayoría esté informada del progreso hacia su estrategia y objetivos operativos, alcance sus objetivos de cumplimiento y genere consistentemente –periodo tras periodo y ejercicio tras ejercicio- informes fiables. Sin embargo, puede producirse un evento incontrolable, un error o un inadecuado incidente con la información. En otras
32
INFORME COSO-OKJ
25/5/05
18:14
Página 33
DEFINICIÓN
palabras, incluso una gestión eficaz de riesgos corporativos puede experimentar el fracaso. La seguridad razonable no es una seguridad absoluta.
Consecución de Objetivos Dentro del contexto de la misión establecida, la dirección fija objetivos estratégicos, selecciona su estrategia y establece otros objetivos que fluyen en cascada por toda la entidad y están en línea con la estrategia y vinculados a ella. Aunque muchos objetivos son específicos para una entidad determinada, algunos son ampliamente compartidos. Por ejemplo, son objetivos comunes para prácticamente todas las entidades la consecución y mantenimiento de una reputación positiva en el ámbito empresarial y de negocio, la generación de información fiable para los grupos de interés o un desarrollo de operaciones en concordancia con las leyes y normas. Este Marco establece cuatro categorías de objetivos de una entidad: • Estrategia Relativos a los objetivos de alto nivel, alineados con la misión de la entidad y prestándole apoyo • Operaciones Relativos al uso eficaz y eficiente de los recursos de la entidad • Información Relativos a la fiabilidad de los informes de la entidad • Cumplimiento Relativos al cumplimiento por la entidad de las leyes y normas aplicables Esta clasificación de los objetivos de una entidad por categorías permite enfocar los aspectos diferenciados de la gestión de riesgos corporativos. Estas categorías distintas, aunque solapables (un objetivo concreto puede incidir en más de una categoría) atienden a las distintas necesidades de la entidad y posiblemente a la responsabilidad directa de diferentes directivos, permitiendo también distinguir entre lo que puede esperarse de cada una de ellas. Algunas entidades utilizan otra categoría de objetivos, la “salvaguarda de recursos”, a veces denominada “salvaguarda de activos”. Desde una perspectiva amplia, trata de la prevención de pérdidas de activos o recursos de una entidad por robo, despilfarro, ineficiencia o simplemente por decisiones empresariales equivocadas, tales como vender productos a un precio demasiado bajo, no haber podido retener a empleados claves o evitar infracciones de patentes o incurrir en pasivos imprevistos. Son principalmente objetivos operacionales, aunque ciertos aspectos de la salvaguarda pueden clasificarse en otras categorías. Cuando se aplican requisitos legales o normativos, se trata de temas de cumplimiento. Cuando se consideran conjuntamente con la información al público, a menudo se usa una definición más restringida de la salvaguarda de activos, que trata de la prevención o detección oportuna de cualquier adquisición, uso o disposición no autorizada de los activos de la entidad que podría tener un efecto material sobre los estados financieros. Se puede esperar de la gestión de riesgos corporativos que proporcione una seguridad razonable del logro de objetivos relativos a la fiabilidad de la información y el
33
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 34
RIESGOS CORPORATIVOS – MARCO INTEGRADO
cumplimiento de leyes y normas. La consecución de estas categorías de objetivos está dentro del control de la entidad y depende de su grado de éxito en la realización de actividades relativas a ellas. Sin embargo, el logro de objetivos estratégicos, como la obtención de una cuota de mercado específica, y de objetivos operativos, como el lanzamiento con éxito de una nueva línea de producto, no está siempre dentro del control de la entidad. La gestión de riesgos corporativos no puede prevenir juicios o decisiones equivocadas, ni eventos externos que puedan provocar que una entidad falle en la consecución de objetivos operativos. Sin embargo, sí mejora la probabilidad de que la dirección tome mejores decisiones. Respecto a dichos objetivos, la gestión de riesgos corporativos puede proporcionar una seguridad razonable de que la dirección y el consejo de administración, en su papel de supervisión, sean informados oportunamente del grado de progreso de la entidad hacia la consecución de sus objetivos.
Componentes de la Gestión de Riesgos Corporativos La gestión de riesgos corporativos consta de ocho componentes interrelacionados, derivados de la manera como la dirección lleva el negocio, que se integran en el proceso de gestión. Estos componentes son: • Ambiente interno La dirección fija una filosofía respecto al riesgo y determina el riesgo aceptado. El ambiente interno establece la base de cómo el personal de la empresa debe percibir y afrontar el control y el riesgo. El núcleo de cualquier negocio está constituido por sus personas – con sus atributos individuales, incluyendo integridad, valores éticos y competencia- y el entorno en el que actúan. • Establecimiento de objetivos Los objetivos deben existir antes de que la dirección pueda identificar los eventos potenciales que afectan a su consecución. La gestión de riesgos corporativos asegura que la dirección ha establecido un proceso para fijar objetivos y que los objetivos seleccionados apoyan la misión de la entidad y se alinean con ella, además de ser consistentes con el riesgo aceptado. • Identificación de eventos Deben identificarse los eventos potenciales que pueden tener un impacto en la entidad. Esto implica la identificación de posibles acontecimientos internos o externos que afectan a la consecución de objetivos, diferenciándolos según su procedencia, e incluye la distinción entre los que representan riesgos u oportunidades o ambas circunstancias a la vez. Las oportunidades se reenvían hacia la estrategia de la dirección o a los procesos para fijar objetivos. • Evaluación de riesgos Los riesgos identificados se analizan para formar una base que determine cómo deben gestionarse y se asocian a los objetivos a los que pueden afectar, evaluándose desde la doble perspectiva de riesgo inherente y residual y considerando tanto su probabilidad como su impacto. • Respuesta a los riesgos El personal identifica y evalúa las posibles respuestas a los riesgos: evitar, aceptar,
34
INFORME COSO-OKJ
25/5/05
18:14
Página 35
DEFINICIÓN
reducir o compartir. La dirección selecciona un conjunto de acciones para poner en línea los riesgos con sus tolerancias respectivas y el riesgo aceptado por la entidad. • Actividades de control Las políticas y procedimientos se establecen y ejecutan para asegurar que se llevan a cabo eficazmente las respuestas a los riesgos seleccionadas por la dirección. • Información y comunicación La información relevante se identifica, capta y comunica de un modo y en un plazo que permita a las personas desarrollar sus responsabilidades. Hace falta información a todos los niveles de una entidad para identificar, evaluar y responder a los riesgos. También puede darse una comunicación eficaz en sentido amplio, cuando fluye en todas direcciones dentro de la entidad. El personal debe recibir comunicaciones claras sobre su papel y responsabilidades. • Supervisión Toda la gestión de riesgos corporativos se supervisa, realizando en ella las modificaciones que sean necesarias. De este modo, se puede reaccionar dinámicamente y cambiar si varían las circunstancias. Esta supervisión se lleva a cabo a través de actividades permanentes de la dirección, evaluaciones independientes de la gestión de riesgos corporativos o una combinación de ambas actuaciones. La gestión de riesgos corporativos es un proceso dinámico. Por ejemplo, la evaluación de los riesgos induce una respuesta a ellos y puede influir en las actividades de control, así como destacar la conveniencia de reconsiderar las necesidades informativas y de comunicación o las actividades de supervisión de la entidad. Así, la gestión de riesgos corporativos no sólo constituye estrictamente un proceso en serie, donde cada componente afecta sólo al siguiente, sino que es un proceso multidireccional e iterativo en que casi cualquier componente puede influir en otro. No existen dos entidades que apliquen o debieran aplicar la gestión de riesgos corporativos del mismo modo. Las empresas y sus capacidades y necesidades de gestión de riesgos corporativos difieren enormemente según su dimensión y sector y según la filosofía y cultura de la dirección. Así, aunque todas las entidades deberían tener cada componente en su lugar y operando eficazmente, la aplicación de la gestión de riesgos corporativos en una entidad –incluyendo las herramientas y técnicas aplicadas y la asignación de papeles y responsabilidades - a menudo no tendrá el mismo aspecto que la empleada en otras entidades.
Relación entre Objetivos y Componentes Existe una relación directa entre los objetivos que una entidad intenta alcanzar y los componentes de la gestión de riesgos corporativos, que representan lo que hace falta para lograr aquellos. Esta relación se muestra a través de la matriz tridimensional en forma de cubo que se muestra en la figura 1.1.
35
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 36
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Figura 1.1
(Gráfico del cubo)
• Las cuatro categorías de objetivos –estrategia, operaciones, información y cumplimiento– están representadas por las columnas verticales. • Los ochos componentes están representados por las filas horizontales. • La entidad y sus unidades están representadas por la tercera dimensión del cubo.
Cada fila con un componente cruza y afecta a las cuatro categorías de objetivos. Por ejemplo, los datos financieros y no financieros generados desde fuentes internas y externas, que forman parte del componente de información y comunicación, son necesarios para fijar la estrategia, gestionar eficazmente las operaciones del negocio, informar adecuadamente y determinar si la entidad cumple o no las leyes aplicables. Asimismo, si observamos las categorías de objetivos, los ocho componentes son relevantes para cualquiera de ellas. Tomando una categoría, por ejemplo, la eficacia y eficiencia operativa, le resultan aplicables los ocho componentes, que son importantes para su consecución. Debería reconocerse que las cuatro columnas representan categorías de objetivos de una entidad y no partes o unidades de ésta. De acuerdo con esto, cuando se considere la categoría de objetivos relativos a la información, por ejemplo, será necesario conocer una amplia gama de datos sobre las operaciones de la entidad. Pero en este caso, el foco está en la segunda columna desde la derecha en la cara horizontal superior –“información de objetivos”– y no en la tercera –“operaciones”– como podría parecer.
Eficacia Aunque la gestión de riesgos corporativos es un proceso, su eficacia es un estado o condición en un momento determinado. Discernir si la gestión de riesgos corporativos es “eficaz” es un juicio que se deriva de una evaluación acerca de si están pre-
36
INFORME COSO-OKJ
25/5/05
18:14
Página 37
DEFINICIÓN
sentes los ocho componentes y funcionan eficazmente. Así, los componentes también constituyen criterios para una gestión eficaz de riesgos corporativos. Para que los componentes estén presentes y funcionen adecuadamente, no puede haber debilidades materiales y los riesgos deben haberse encajado dentro del riesgo aceptado por la entidad. Cuando se determine que la gestión de riesgos corporativos es eficaz en cada una de las cuatro categorías de objetivos, respectivamente, el consejo de administración y la dirección tendrán una seguridad razonable de que: • Se conoce el grado de consecución de los objetivos estratégicos de la entidad • Se conoce el grado de consecución de los objetivos operativos de la entidad • La información de la entidad es fiable • Se cumplen las leyes y normas aplicables Aunque para que la gestión de riesgos corporativos pueda considerarse eficaz, los ocho componentes deben estar presentes y funcionar correctamente – aplicando los principios descritos en capítulos siguientes -, pueden existir entre ellos algunos conflictos. Dado que las técnicas de gestión de riesgos corporativos sirven para una variedad de propósitos, algunas de las que se aplican a un determinado componente también pueden cubrir el propósito de técnicas normalmente aplicables a otros. Adicionalmente, las respuestas a los riesgos pueden diferir en su grado de atención a uno concreto, por lo que las respuestas y controles complementarios, cada uno de efecto limitado, pueden ser satisfactorios en conjunto. Los conceptos que comentamos aquí son aplicables a todas las entidades, sea cual sea su dimensión. Aunque algunas pequeñas y medianas empresas puedan implantar factores de componentes en forma diferente a otras más grandes, también pueden conseguir una gestión eficaz de riesgos corporativos. La metodología para cada componente probablemente sea menos formal y estructurada en las entidades pequeñas que en las grandes, pero los conceptos básicos deberán estar presentes en todas ellas. Normalmente, la gestión de riesgos corporativos se considera dentro del contexto de una entidad en su conjunto, lo que implica considerar su aplicación a las unidades significativas de negocio. Sin embargo, puede haber circunstancias en las que la eficacia de dicha gestión deba ser evaluada de modo individual en una determinada unidad de negocio. En tales casos, para que exista eficacia en la gestión en esta unidad, los ocho componentes tienen que estar presentes y funcionar eficazmente en ella. Así, por ejemplo, como contar con un consejo de administración con características específicas forma parte del ámbito interno, la gestión de riesgos corporativos de una especifica unidad de negocio sólo podrá juzgarse como eficaz cuando dicha unidad tenga un consejo de administración u organismo similar que funcione adecuadamente (o cuando el consejo de administración de la entidad lleve a cabo una adecuada supervisión directa sobre la unidad de negocio). De forma similar, debido a que el componente de respuesta a los riesgos se describe desde una perspectiva de cartera de riesgos, para que la gestión de riesgos corporativos en dicha unidad de negocio pueda considerarse eficaz, también debería aplicarse en ella este tipo de perspectiva.
37
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 38
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Inclusión del Control Interno El control interno es una parte integral de la gestión de riesgos corporativos y, en consecuencia, el Marco de esta última incluye a aquél, aportando así a la dirección una conceptualización y herramienta más robustas. El control interno se define y describe en el documento Control Interno – Marco integrado. Como este documento compone la base de las reglas, normas y leyes existentes y ha resistido la prueba del tiempo, continúa vigente como fuente de la definición y el marco del control interno. Aunque en el presente documento sólo se reproduzcan algunas secciones de Control interno – Marco integrado, su totalidad sí queda integrada en él mediante referencias. El anexo C describe la relación existente entre la gestión de riesgos corporativos y el control interno.
Gestión de Riesgos Corporativos y Proceso de Dirección Como la gestión de riesgos corporativos forma parte del proceso de dirección, los componentes del presente Marco se comentan dentro del contexto de lo que hace la gerencia al dirigir una empresa u otro tipo de entidad. Por el contrario, no todo lo que hace la dirección de una entidad forma parte de la gestión de riesgos corporativos y así, muchos juicios aplicados en la toma de decisiones directivas y otras acciones asociadas, aunque constituyan parte del proceso de dirección, no forman parte de esa gestión. Por ejemplo: • Constituye un componente crítico de la gestión de riesgos corporativos el que exista un proceso apropiado para fijar objetivos en la entidad, pero determinados objetivos seleccionados por la dirección no forman parte de dicha gestión. • Responder a los riesgos, desde una adecuada evaluación suya, forma parte de la gestión de riesgos corporativos, pero no así determinadas respuestas al riesgo seleccionadas y la correspondiente asignación de recursos de la entidad. • Establecer y ejecutar actividades de control para ayudar a asegurar que se llevan a cabo de modo eficaz las respuestas a los riesgos que la dirección selecciona, forma parte de la gestión de riesgos corporativos, pero no así las particulares actividades de control seleccionadas. En general, la gestión de riesgos corporativos implica a aquellos elementos del proceso de dirección que permiten a la gerencia tomar decisiones informadas basadas en el riesgo, pero determinadas decisiones seleccionadas dentro de una gama de opciones apropiadas no sirven para establecer si la gestión de riesgos corporativos es eficaz o no. Sin embargo, aunque los objetivos, respuestas al riesgo y actividades de control elegidas sean temas a juicio de la dirección, la selección efectuada debe dar como resultado la reducción del riesgo a un nivel aceptable, determinado por el riesgo aceptado y una seguridad razonable respecto a la consecución de los objetivos de la entidad.
38
INFORME COSO-OKJ
25/5/05
18:14
Página 39
2. Ámbiente interno
Resumen del capítulo: El ambiente interno abarca el talante de una organización, que influye en la conciencia de sus empleados sobre el riesgo y forma la base de los otros componentes de la gestión de riesgos corporativos, proporcionando disciplina y estructura. Los factores del ambiente interno incluyen la filosofía de gestión de riesgos de una entidad, su riesgo aceptado, la supervisión ejercida por el consejo de administración, la integridad, valores éticos y competencia de su personal y la forma en que la dirección asigna la autoridad y responsabilidad y organiza y desarrolla a sus empleados.
El ambiente interno constituye la base de todos los demás componentes de la gestión de riesgos corporativos, proporcionando disciplina y estructura, e influye en cómo se establecen las estrategias y objetivos, se estructuran las actividades de negocio, se identifican y evalúan los riesgos y se actúa sobre ellos. Asimismo, incide en el diseño y
39
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 40
RIESGOS CORPORATIVOS – MARCO INTEGRADO
funcionamiento de las actividades de control, los sistemas de información y comunicación y las actividades de supervisión. El ambiente interno se ve influido por la historia y cultura de una entidad y comprende muchos elementos, incluyendo los valores éticos de la entidad, la competencia y desarrollo del personal, la filosofía de la dirección para gestionar riesgos y la forma de asignar la autoridad y responsabilidad. El consejo de administración es una parte crítica del ambiente interno e influye de modo significativo en sus otros factores. Aunque todos los elementos sean importantes, el alcance del tratamiento de cada uno variará según la entidad. Por ejemplo, el consejero delegado de una empresa con una plantilla reducida y operaciones centralizadas podría no establecer líneas formales de responsabilidad ni políticas operativas detalladas. Sin embargo, la empresa podría contar con un ambiente interno que proporcionase cimientos adecuados para la gestión de riesgos corporativos.
Filosofía de Gestión de Riesgos La filosofía de gestión de riesgos de una entidad es el conjunto de creencias y actitudes compartidas que caracterizan cómo se contempla el riesgo en ella, desde el desarrollo e implantación de la estrategia hasta sus actividades cotidianas. Refleja los valores de la entidad, influye en su cultura y estilo operativo y afecta a cómo se aplican los componentes de dicha gestión, incluyendo la identificación de riegos, los tipos de riesgo aceptados y cómo son gestionados. Una entidad que ha tenido éxito aceptando riesgos significativos probablemente tenga una visión diferente de la gestión de riesgos corporativos que otra que se haya enfrentado a severas consecuencias económicas o reguladoras por haberse aventurado en territorio peligroso. Aunque algunas entidades pueden trabajar para conseguir una gestión de riesgos corporativos que satisfaga las exigencias de algún grupo de interés externo, como su empresa matriz o un posible regulador, es más frecuente que se haga porque su dirección reconoce que una gestión eficaz de riesgos corporativos ayuda a la entidad a crear y conservar valor. Cuando la filosofía de gestión de riesgos esté bien desarrollada, entendida y aceptada por el personal, la entidad estará en posición de reconocer y gestionar los riesgos eficazmente. De lo contrario, puede existir de manera inaceptable una aplicación desigual de la gestión de riesgos corporativos en las unidades de negocio, funciones o departamentos. Pero incluso cuando la filosofía de la entidad esté muy desarrollada, pueden existir diferencias culturales entre las unidades, lo que provocará una variación en la aplicación de dicha gestión. Los directivos de algunas unidades pueden estar preparados para asumir un mayor riesgo, mientras que otros pueden ser más conservadores. Por ejemplo, una función de ventas agresiva puede poner su énfasis en la ejecución de la venta, sin una cuidadosa atención a temas de cumplimiento normativo, mientras que el personal de la unidad de contratación de personal centra significativamente su atención en asegurarse del cumplimiento de todas las políticas y normas, internas y externas, relevantes. Vistas de manera separada, estas distintas subculturas podrían tener efectos adversos sobre la entidad. Sin embargo, trabajando bien conjuntamente, las unidades pueden reflejar adecuadamente la filosofía de gestión de riesgos.
40
INFORME COSO-OKJ
25/5/05
18:14
Página 41
AMBIENTE
INTERNO
Esta filosofía se refleja en casi todo el quehacer de la dirección para gestionar la entidad y se plasma en las declaraciones de políticas, las comunicaciones verbales y escritas y la toma de decisiones. Tanto si la dirección pone su énfasis en las políticas escritas, normas de conducta, indicadores de rendimiento e informes de excepción, como si prefiere operar más informalmente mediante contactos personales con los directivos claves, lo críticamente importante es que desde ella se potencie la filosofía, no sólo con palabras, sino con acciones diarias.
Riesgo Aceptado El riesgo aceptado es el volumen de riesgo, a un nivel amplio, que una entidad está dispuesta a aceptar en su búsqueda de valor. Refleja la filosofía de gestión de riesgo de la entidad e impacta a su vez en su cultura y estilo operativo. El riesgo aceptado debe tenerse en cuenta al fijar la estrategia, pues el rendimiento deseado de la estrategia debe estar alineado con el riesgo aceptado de la entidad. Diferentes estrategias expondrán a la entidad a niveles diferentes de riesgo y la gestión de riesgos corporativos, aplicada en esta fase de fijación de estrategias, ayuda a la dirección a seleccionar una estrategia coherente con el riesgo aceptado. Las entidades pueden considerar el riesgo aceptado de un modo cualitativo, usando categorías como alto, moderado o bajo, o bien optar por un enfoque cuantitativo, que refleje los objetivos de crecimiento y rendimiento y los equilibre con los riesgos.
El Consejo de Administración El consejo de administración de una entidad es una parte crítica del ámbito interno e influye de modo significativo en sus elementos. Su independencia frente a la dirección, la experiencia y reputación de sus miembros, su grado de implicación y supervisión de las actividades y la adecuación de sus acciones juegan un papel muy importante. Otras características son el alcance con que se plantean y persiguen, junto con la dirección, cuestiones difíciles relativas a estrategias, planes y rendimientos y su interacción o la del comité de auditoría con los auditores internos y externos. Un consejo de administración u organismo similar activo e implicado debería poseer una adecuada experiencia directiva, técnica y de otro tipo, junto con la necesaria mentalidad para llevar a cabo sus responsabilidades de supervisión. Esto es crítico para un entorno eficaz de gestión de riesgos corporativos. Y, dado que el consejo tiene que estar preparado para cuestionar y fiscalizar las actividades de la dirección, presentar enfoques alternativos y actuar frente a prácticas ilícitas, debería contar con consejeros externos. Los miembros de la alta dirección pueden ser partícipes eficaces en el consejo, aportando su conocimiento profundo de la empresa. Sin embargo, debe existir un número suficiente de miembros externos independientes que no sólo faciliten consejo y orientación razonables, sino que también sirvan como una necesaria verificación y supervisión de la dirección. Se puede concluir que, para que el ámbito interno sea eficaz, el consejo debe tener al menos una mayoría de miembros externos independientes. Los consejos de administración eficaces aseguran que la dirección mantiene una adecuada gestión de riesgos corporativos. Aunque una empresa podría históricamente no
41
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 42
RIESGOS CORPORATIVOS – MARCO INTEGRADO
haber sufrido pérdidas ni estar expuesta a riesgos significativos, el consejo no debe sucumbir a la idea mítica de que los eventos con serias consecuencias adversas “no pueden tener lugar aquí”. Hay que reconocer que, aunque una compañía pueda tener una estrategia sólida, empleados competentes, sólidos procesos de negocio y una tecnología fiable, es vulnerable al riesgo como cualquier entidad y necesita un proceso de gestión de riesgos corporativos que funcione eficazmente.
Integridad y Valores éticos La estrategia y objetivos de una entidad y la manera en que se ponen en práctica se basan en las preferencias, juicios de valor y estilos de gestión. La integridad de la dirección y su compromiso con los valores éticos influyen en dichas preferencias y juicios, que se traducen en normas de conducta. Dado que la reputación de una entidad es tan valiosa, las normas de conducta deben ir más allá del mero cumplimiento de la ley. Los directivos de empresas bien gestionadas aceptan cada vez más la idea de que la ética es rentable y que una conducta íntegra es un buen negocio. La integridad de la dirección es un requisito previo de la conducta ética en todos los aspectos de la actividad de una entidad. La eficacia de la gestión de riesgos corporativos no debe sobreponerse a la integridad y los valores éticos de las personas que crean, administran y controlan sus actividades. La integridad y valores éticos son elementos esenciales del ámbito interno de una entidad y afectan al diseño, administración y seguimiento de los otros componentes de la gestión de riesgos corporativos. A menudo, resulta difícil establecer los valores éticos, dada la necesidad de tener en cuenta las preocupaciones de varias partes. Los valores de la dirección deben equilibrar los intereses de la empresa, sus empleados, proveedores, clientes y competidores y del público en general. La búsqueda de este equilibrio entre intereses, a menudo contrarios, puede resultar complicada y frustrante. Por ejemplo, las actividades empresariales para proveer un producto esencial (petróleo, madera o comida) pueden provocar repercusiones medioambientales. La conducta ética y la integridad de la dirección se derivan de la cultura corporativa, que abarca las normas éticas y de conducta y cómo son comunicadas y potenciadas. Las políticas oficiales especifican lo que el consejo y la dirección quieren que suceda. La cultura corporativa determina lo que actualmente ocurre y qué reglas son acatadas, manipuladas o ignoradas. La alta dirección –empezando por el consejero delegado– juega un papel clave a la hora de establecer la cultura corporativa. Como personalidad dominante en la entidad, es precisamente el consejero delegado quien establece a menudo el talante ético de la entidad. Ciertos factores organizativos también pueden influir en la probabilidad de que existan prácticas fraudulentas y cuestionables en la información financiera. Estos mismos factores probablemente también influyan en la conducta ética. Los individuos pueden implicarse en actos deshonestos, ilegales o no éticos, simplemente porque la entidad les proporciona importantes incentivos o tentaciones para hacerlo. Un énfasis indebido sobre los resultados, particularmente a corto plazo, puede fomentar un ambiente interno inadecuado. Enfocarse solamente a los resultados a corto plazo puede dañar a la entidad, incluso en ese mismo corto plazo. Centrarse en los resultados –ventas o beneficios a cualquier coste– a menudo provoca acciones o reacciones no deseadas. Las
42
INFORME COSO-OKJ
25/5/05
18:14
Página 43
AMBIENTE
INTERNO
tácticas agresivas de venta, las negociaciones sin piedad, las ofertas tácitas de sobornos, por ejemplo, pueden provocar reacciones con efectos inmediatos (e, incluso, duraderos). Otros incentivos para implicarse en prácticas de información fraudulentas o cuestionables y, por extensión, en otras formas de conducta no ética, pueden incluir recompensas altamente dependientes de la información facilitada, financiera y no financiera, particularmente respecto a los resultados a corto plazo. Eliminar o reducir los incentivos y tentaciones inadecuadas supone un buen camino hacia la eliminación de conductas no deseadas. Como se ha sugerido, esto puede conseguirse siguiendo prácticas empresariales sólidas y rentables. Por ejemplo, los incentivos sobre el funcionamiento –acompañados de controles adecuados– pueden ser una técnica muy útil de gestión siempre que los objetivos de rendimiento sean realistas. Fijar objetivos de este tipo constituye una buena práctica de motivación, que reduce tensiones contraproducentes y el interés por presentar información fraudulenta. De forma similar, un sistema bien controlado de información puede servir de protección contra la tentación de presentar erróneamente los datos de la entidad. Otra causa de prácticas cuestionables es la ignorancia. Los valores éticos no sólo deben ser comunicados, sino también acompañados por una orientación explícita de lo que está bien y mal. Los códigos formales de conducta corporativa son importantes y sirven de base para un programa eficaz de ética. Los códigos tratan una variedad de temas de conducta, tales como integridad y ética, conflictos de interés, pagos ilegales o inadecuados y acuerdos contra la libre competencia. También son importantes los canales ascendentes de comunicación, para que los empleados se sientan cómodos aportando información relevante. La existencia de un código escrito de conducta, de documentación donde conste que los empleados lo han recibido y entendido y un adecuado canal de comunicaciones no aseguran por sí mismos que el código se esté cumpliendo. También son importantes para su cumplimiento las sanciones resultantes para los empleados que lo violen, los mecanismos que animen al personal a denunciar presuntas violaciones y las acciones disciplinarias contra empleados que conscientemente no denuncien las infracciones. Sin embargo, el cumplimiento de las normas éticas, formalizadas o no en un código escrito, está igualmente, si no más, asegurado eficazmente por las acciones de la alta dirección y su ejemplo. Es probable que los empleados desarrollen las mismas actitudes hacia lo correcto e incorrecto -y acerca de los riesgos y controles- que las exhibidas por la alta dirección. Los mensajes transmitidos por las acciones de la dirección se incorporan rápidamente a la cultura corporativa. El conocimiento de que el consejero delegado ha “hecho lo correcto” éticamente cuando se ha enfrentado a una decisión empresarial ardua, difunde un mensaje poderoso por toda la entidad.
Compromiso con la Competencia La competencia refleja los conocimientos y habilidades necesarios para realizar el cometido asignado. La dirección decide el nivel de realización de los cometidos, sopesando la estrategia y objetivos de la entidad respecto a sus planes de implantación y realización. Existe a menudo un conflicto entre competencia y coste –no es necesario, por ejemplo, contratar a un ingeniero eléctrico para cambiar una bombilla.
43
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 44
RIESGOS CORPORATIVOS – MARCO INTEGRADO
La dirección establece los niveles de competencia para trabajos concretos y los transforma en conocimientos y habilidades requeridos. A su vez, éstos pueden depender de la inteligencia, formación y experiencia del individuo. Los factores a tener en cuenta en el desarrollo de niveles de conocimiento y habilidad incluyen la naturaleza y grado del juicio a aplicar en un trabajo concreto. A menudo, existe un conflicto entre el grado de supervisión y el nivel de competencia requerido del individuo.
Estructura Organizativa La estructura organizativa de una entidad proporciona el marco para planificar, ejecutar, controlar y supervisar sus actividades. Una estructura organizativa relevante incluye la definición de áreas claves de autoridad y responsabilidad y el establecimiento de líneas adecuadas de información. Por ejemplo, una función de auditoría interna debería estructurarse de manera que alcance objetividad organizativa y que se permita su acceso ilimitado a la alta dirección y al comité de auditoría del consejo, al mismo tiempo que su máximo responsable debe informar y reportar a un nivel de la organización que permita que la auditoría interna cumpla con su cometido. Una entidad desarrolla una estructura organizativa ajustada a sus necesidades. Algunas son centralizadas y otras descentralizadas. Unas presentan relaciones directas de dependencia, mientras otras tienen una organización del tipo matricial. Ciertas entidades están organizadas por sector de actividad o línea de producto, por ubicación geográfica, por un modo concreto de distribución o por una determinada red comercial. Otras entidades, incluyendo muchos organismos gubernamentales, estatales o locales, y entidades sin ánimo de lucro, están organizadas por funciones. La adecuación de la estructura organizativa de una entidad depende en parte de su dimensión y de la naturaleza de sus actividades. Una organización muy estructurada con líneas formales de dependencia y responsabilidad puede resultar adecuada para una entidad grande con muchas divisiones operativas, incluyendo las operaciones en el extranjero. Sin embargo, en una empresa reducida, esta estructura podría impedir el flujo necesario de información. Sea cual sea dicha estructura, una entidad debería organizarse para permitir una gestión eficaz de riesgos corporativos, desarrollar sus actividades y alcanzar sus objetivos.
Asignación de Autoridad y Responsabilidad La asignación de autoridad y responsabilidad implica el punto hasta el que los individuos y equipos están autorizados y animados a utilizar su iniciativa para tratar los temas y resolver problemas, así como los límites de dicha autoridad. Incluye el establecimiento de relaciones de información y protocolos de autorización, además de políticas que describan las prácticas empresariales adecuadas, los conocimientos y experiencia del personal clave y los recursos proporcionados para que lleven a cabo sus cometidos. Algunas entidades han descentralizado la toma de decisiones a niveles inferiores para aproximar la toma de decisiones al personal de línea. Una empresa puede tomar esta opción para estar más orientada al mercado o centrada en temas de calidad o, quizás, para eliminar defectos, reducir la duración de los ciclos o aumentar la satisfacción del
44
INFORME COSO-OKJ
25/5/05
18:14
Página 45
AMBIENTE
INTERNO
cliente. La alineación de la autoridad y la responsabilidad a menudo se efectúa para animar las iniciativas individuales dentro de límites. La delegación de autoridad significa traspasar el control central de algunas decisiones de negocio hacia niveles inferiores –a los individuos que están más cerca de las transacciones empresariales cotidianas. Esto puede implicar la delegación de facultades para vender productos con descuento, negociar contratos con proveedores, licencias o patentes a largo plazo y formar alianzas o joint ventures. Un reto crítico será delegar sólo en la cuantía requerida para alcanzar objetivos, lo que implica asegurar que la toma de decisiones se basa en prácticas sólidas de identificación y evaluación de riesgos, incluyendo su dimensionamiento y la relación entre pérdidas potenciales y ganancias posibles al determinar los riesgos aceptables y cómo gestionarlos. Otro reto será asegurarse de que todo el personal entiende los objetivos de la entidad. Es esencial que los individuos conozcan cómo sus acciones se relacionan entre sí y contribuyan a la consecución de objetivos. Una mayor delegación a veces va intencionalmente acompañada o lleva como resultado a una simplificación o “aplanamiento” de la estructura organizativa. Un cambio estructural útil que fomente la creatividad, la toma de iniciativas y reduzca los tiempos de respuesta, puede mejorar la competitividad y la satisfacción del cliente. Esta mayor delegación de facultades puede acarrear como requisito implícito un mayor nivel de competencia del empleado, además de un aumento de su responsabilidad. También puede exigir procedimientos efectivos para que la dirección controle los resultados, asegurándose de que las decisiones puedan anularse o aceptarse según el caso. En combinación con mejores decisiones orientadas al mercado, delegar puede aumentar el número de decisiones indeseadas o no anticipadas. Por ejemplo, si un director comercial regional decide que su autoridad para vender con un descuento del 35% sobre precio de catálogo le permite aplicar un descuento temporal del 45% a fin de aumentar la cuota de mercado, la dirección posiblemente debiera conocerlo, para poder anular o aceptar dicha decisión. El ámbito interno se ve muy influenciado por el grado de responsabilidad reconocido por los individuos, algo aplicable hasta al consejero delegado, quien, conjuntamente con la supervisión del consejo de administración, es el máximo responsable de todas las actividades de la entidad. Los principios adicionales relativos a los papeles y responsabilidades de las partes integrantes para una gestión eficaz de riesgos corporativos se establecen en el capítulo Papeles y Responsabilidades.
Normas para Recursos Humanos Las prácticas de recursos humanos relacionadas con la contratación, orientación, formación, evaluación, tutoría, promoción, compensación y adopción de acciones remediadoras transmiten mensajes a los empleados en relación con los niveles esperados de integridad, conducta ética y competencia. Por ejemplo, las normas de contratación de las personas más cualificadas, poniendo el énfasis en su historial académico, experiencia laboral previa, logros anteriores y pruebas de su integridad y conducta ética, muestran el compromiso de una entidad con las personas competentes y de confian-
45
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 46
RIESGOS CORPORATIVOS – MARCO INTEGRADO
za. Lo mismo se aplica cuando las prácticas de selección e incorporación de personal incluyen entrevistas formales y unos cursos de formación sobre la historia, cultura y estilo operativo de la entidad. Las políticas de formación pueden potenciar los niveles esperados de rendimiento y conducta mediante la comunicación de los papeles y responsabilidades futuras y la inclusión de prácticas, tales como los talleres y seminarios de formación, estudio de casos simulados y ejercicios de interpretación de papeles. Los traslados y ascensos impulsados por evaluaciones periódicas del rendimiento muestran el compromiso de la entidad con la promoción de sus empleados cualificados. Los programas competitivos de compensación que incluyen incentivos sirven para motivar y potenciar el rendimiento destacable –aunque los sistemas de compensación deberán estar estructurados y debidamente controlados, para evitar la indebida tentación de falsificar los resultados comunicados. Las acciones disciplinarias transmiten el mensaje de que no serán toleradas las violaciones de la conducta esperada. Es esencial que los empleados estén preparados para enfrentarse a nuevos retos a medida que los temas y riesgos cambian en la entidad y se hacen más complejos –impulsados en parte por tecnologías que cambian rápidamente y el aumento de la competitividad. La educación y formación, basadas en cursos, autoestudio o enseñanza en el puesto de trabajo, deberían ayudar al personal a mantenerse a nivel con un entorno en evolución y enfrentarse eficazmente a él. No es suficiente la contratación de personas competentes a las que se les proporciona solo formación en el momento inicial. El proceso formativo debe ser constante.
Implicaciones Es difícil valorar en exceso la importancia del ambiente interno de una entidad y el impacto –positivo o negativo- que pueda tener en los otros componentes de la gestión de riesgos corporativos. El impacto de un ambiente interno ineficaz puede tener amplias consecuencias, tales como pérdidas financieras, una imagen pública mancillada o la quiebra. Por ejemplo, se pensaba que cierta compañía de energía mantenía una eficaz gestión de riesgos corporativos, ya que contaba con directivos muy cualificados y respetados, un prestigioso consejo de administración, una estrategia innovadora, sistemas de información y controles bien diseñados, amplios manuales de políticas sobre las funciones de riesgo y control y detallados procedimientos integrales de conciliación y supervisión. Sin embargo, su ambiente interno tenía un defecto significativo: La dirección participaba en prácticas empresariales muy cuestionables y el consejo miraba para otro lado. Se averiguó que la compañía había falseado sus resultados financieros y que sufría una perdida de confianza de los accionistas, una crisis de liquidez y la destrucción de valor de la entidad. Finalmente, dió lugar a una de las quiebras más sonadas de la historia. La actitud e interés de la alta dirección por una gestión eficaz de riesgos corporativos han de ser claros y definitivos y deben calar en la organización. No es suficiente con decir las palabras adecuadas, pues una actitud de “haz como digo, pero no como hago” sólo provocará un entorno ineficaz.
46
INFORME COSO-OKJ
25/5/05
18:14
Página 47
3. Establecimiento de objetivos
Resumen del capítulo: Los objetivos se fijan a escala estratégica, estableciendo con ellos una base para los objetivos operativos, de información y de cumplimiento. Cada entidad se enfrenta a una gama de riesgos procedentes de fuentes externas e internas y una condición previa para la identificación eficaz de eventos, la evaluación de sus riesgos y la respuesta a ellos es fijar los objetivos, que tienen que estar alineados con el riesgo aceptado por la entidad, que orienta a su vez los niveles de tolerancia al riesgo de la misma.
El establecimiento de objetivos es condición previa para la identificación de eventos, la evaluación de riesgos y la respuestas a ellos. Tienen que existir primero los objetivos para que la dirección pueda identificar y evaluar los riesgos que impidan su consecución y adoptar las medidas necesarias para gestionar éstos últimos.
47
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 48
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Objetivos Estratégicos La misión de una entidad establece en amplios términos lo que se aspira a alcanzar. Sea cual sea el término empleado, como “misión”, “visión” o “finalidad”, es importante que la dirección –con la supervisión del consejo– establezca expresamente la razón de ser de la entidad en términos generales. A partir de esto, la dirección fija los objetivos estratégicos, formula la estrategia y establece los correspondientes objetivos operativos, de información y de cumplimiento para la organización. Aunque la misión de una entidad y sus objetivos estratégicos sean generalmente estables, su estrategia y muchos objetivos relacionados con ella son más dinámicos y se adecuan mejor a las cambiantes condiciones internas y externas. A medida que éstas cambian, la estrategia y los objetivos conexos deben volver a situarse en línea con los objetivos estratégicos. Estos objetivos estratégicos son de alto nivel, están alineados con la misión/visión de la entidad y la dan su apoyo. Reflejan la opción que ha elegido la dirección en cuanto a cómo la entidad creará valor para sus grupos de interés. Al considerar las posibles formas alternativas de alcanzar los objetivos estratégicos, la dirección identifica los riesgos asociados a una gama amplia de elecciones estratégicas y considera sus implicaciones. Se pueden aplicar diferentes técnicas de identificación y evaluación de los riesgos, que se expondrán en capítulos posteriores, durante el proceso de establecimiento de la estrategia. De este modo, en la fijación de estrategias y objetivos, se usan técnicas de gestión de riesgos corporativos.
Objetivos Relacionados Constituye un factor crítico de éxito el establecimiento de objetivos adecuados que apoyen a la estrategia seleccionada, correspondiente a todas las actividades de la entidad, y estén en línea con ella. Al enfocar primero los objetivos estratégicos y la estrategia, una entidad está en posición de desarrollar los objetivos globales, cuya consecución creará y conservará el valor. Los objetivos al nivel de empresa están vinculados y se integran con otros objetivos más específicos, que repercuten en cascada en la organización hasta llegar a subobjetivos establecidos, por ejemplo, en las diversas actividades de ventas, producción, ingeniería e infraestructura. Al fijar sus objetivos a los niveles de entidad y actividades, la organización puede identificar los factores críticos de éxito, que han de funcionar bien si se quieren alcanzar los objetivos. Estos factores críticos afectan a la entidad, a cada unidad de negocio, función o departamento y a los individuos. Al fijar sus objetivos, la dirección puede identificar los criterios de medida del rendimiento, con atención a los factores críticos de éxito. Cuando los objetivos guardan conformidad con las prácticas y rendimientos anteriores, se conoce la conexión entre actividades. Sin embargo, cuando los objetivos se desvían de estas prácticas anteriores de la entidad, la dirección debe reorientar las conexiones o aceptar unos riegos mayores. En dichos casos, existe incluso una mayor necesidad de que los objetivos o subobjetivos por unidad de negocio estén en consonancia con la nueva orientación. Los objetivos deben ser fácilmente entendibles y mensurables. La gestión de riesgos corporativos exige que el personal a todos los niveles tenga un entendimiento nece-
48
INFORME COSO-OKJ
25/5/05
18:14
Página 49
ESTABLECIMIENTO
DE OBJETIVOS
sario de los objetivos de la entidad, en cuanto se relacionan con el ámbito del individuo. Todos los empleados deben tener una comprensión mutua de lo que se ha de lograr y de los medios para medir lo que se consiga.
Categorías de Objetivos Relacionados A pesar de la diversidad de objetivos entre entidades, se pueden establecer algunas categorías amplias:
• Objetivos operativos Se corresponden con la eficacia y eficiencia de las operaciones de la entidad, incluyendo los objetivos de rendimiento y rentabilidad y de salvaguarda de recursos frente a pérdidas. Varían según las opciones de la dirección respecto a estructura y rendimiento. • Objetivos de información Relativos a la fiabilidad de la información. Incluyen información interna y externa e implican la financiera y no financiera. • Objetivos de cumplimiento Se refieren al cumplimiento de leyes y normas relevantes. Dependen de factores externos y tienden a ser similares entre entidades, en algunos casos, y sectorialmente, en otros. Ciertos objetivos dependen del tipo de negocio de la entidad. Algunas empresas, por ejemplo, remiten información a agencias medioambientales y otras que cotizan en bolsa la remiten a los reguladores de los mercados de valores. Estos requisitos externos se establecen por leyes o normas y se incluyen en las categorías de información o cumplimiento o, como en estos ejemplos, en ambas. Por contra, los objetivos operativos, así como los relativos a la información interna de gestión, se basan más en las preferencias, juicios y estilo de la dirección. Varían mucho entre entidades, simplemente porque personas capaces y honestas pueden seleccionar objetivos diferentes. Respecto al desarrollo de productos, por ejemplo, una entidad decide adaptarse inmediatamente a los cambios, otra prefiere hacerlo con cierta rapidez y otra, incluso, con cierta lentitud. Estas opciones afectan a la estructura, competencias, equipo humano y controles de la función de investigación y desarrollo. Por tanto, no existe una fórmula óptima de establecimiento de objetivos para todas las entidades.
Objetivos Operativos Los objetivos operativos se refieren a la eficacia y eficiencia de las operaciones de la entidad e incluyen otros subobjetivos orientados a mejorar ambas características mediante la movilización de la empresa hacia sus metas finales. Los objetivos operativos deben reflejar los entornos empresarial, sectorial y económico en los que actúa la entidad. Necesitan, por ejemplo, ser relevantes respecto a las presiones competitivas hacia la calidad, una menor duración del ciclo de puesta
49
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 50
RIESGOS CORPORATIVOS – MARCO INTEGRADO
a disposición del producto en el mercado o hacia los cambios tecnológicos. La dirección debe asegurar que los objetivos reflejan la realidad y las exigencias del mercado y que están expresados en términos que permitan conocer las principales medidas del rendimiento. Un conjunto claro de objetivos operativos, vinculados a subobjetivos, es esencial para el éxito. Los objetivos operativos proporcionan un punto de focalización para orientar la asignación de recursos. Si los objetivos no son claros o no están bien concebidos, dicha asignación puede resultar desenfocada.
Objetivos de Información Una información fiable proporciona a la dirección datos seguros y completos, adecuados para la finalidad pretendida, y la presta apoyo en su toma de decisiones y en el seguimiento de las actividades y rendimientos de la entidad. Ejemplos de dicha información son los resultados de las campañas de marketing, los informes de ventas diarias, la calidad de producción y los resultados de encuestas sobre la satisfacción de clientes y empleados. La información también está relacionada con los documentos preparados para su difusión externa, como es el caso de los estados financieros y sus notas de detalle, los comentarios y análisis de la dirección y los informes presentados a entidades reguladoras.
Objetivos de Cumplimiento Las entidades deben llevar a cabo sus actividades y a menudo acciones concretas de acuerdo con las leyes y normas relevantes. Estos requisitos pueden referirse al mercado, precios e impuestos, medioambiente, bienestar de los empleados y comercio exterior. Las leyes y normas aplicables establecen pautas mínimas de conducta, que la entidad integra en sus objetivos de cumplimiento. Por ejemplo, las normas sobre higiene y salud laboral hacen que una empresa defina uno de sus objetivos como “Empaquetar y etiquetar todas los productos químicos según normativa”. En este caso, las políticas y procedimientos se dirigen a los programas de comunicación, inspecciones in situ y formación. El historial del cumplimiento de una entidad puede afectar de modo significativo –positiva o negativamente– a su reputación en la comunidad y el mercado.
Subcategorías Las categorías de objetivos forman parte del lenguaje común establecido por este Marco y facilitan la comprensión y la comunicación. Una entidad puede, sin embargo, encontrar útil plantear un subconjunto de una o más de estas categorías, para facilitar la comunicación interna y externa sobre un tema más específico. Una empresa podría optar por comunicar la eficacia de una parte de la categoría de información, por ejemplo la gestión de riesgos corporativos en la información externa o quizás sólo en la información externa de índole financiera. Actuando así, permite que la comunicación se mantenga dentro del contexto del presente Marco para dicha gestión y, a su vez, permite las comunicaciones sobre determinados subconjuntos de categorías.
50
INFORME COSO-OKJ
25/5/05
18:14
Página 51
ESTABLECIMIENTO
DE OBJETIVOS
Sobreposición de Objetivos Un objetivo de una categoría puede reforzar a otro objetivo de otra o solaparse con él. La categoría en que incide un objetivo depende a veces de las circunstancias. Por ejemplo, proporcionar información fiable a la dirección de una unidad de negocio para que gestione y controle sus actividades de producción, puede servir para alcanzar objetivos operativos y de información. Incluso, si esta información sirve para comunicar datos medioambientales a la Administración, también se están alcanzando objetivos de cumplimiento. Algunas entidades usan otra categoría de objetivos, la “salvaguarda de recursos”, a veces denominada “salvaguarda de activos”, que se solapa con las otras categorías de objetivos. Vista con amplitud, la salvaguarda de activos trata de prevenir la pérdida de activos o recursos de una entidad por robo, despilfarro, ineficiencia o lo que resulta ser simplemente malas decisiones empresariales - como la venta de productos a un precio demasiado bajo, la ausencia de retención de empleados claves, no haber prevenido la violación de patentes o incurrir en pasivos no previstos. Son principalmente objetivos operativos, aunque algunos aspectos de la salvaguarda de activos pueden incluirse en otras categorías. Sin embargo, cuando se aplican requisitos legales o de normas, se convierten en objetivos de cumplimiento. Por otro lado, el reflejo adecuado de las pérdidas de activos en los estados financieros de la entidad representa un objetivo de información. Considerada conjuntamente con la información pública, se usa a menudo una definición más estrecha de la salvaguarda de activos, que trata de la oportuna prevención o detección de la adquisición, uso o disposición no autorizada de los activos de una entidad. Para más información sobre esta categoría de objetivos, hay que referirse al documento Control Interno – Marco Integrado, que incluye el módulo Addenda a la información para terceros.
Consecución de Objetivos Un proceso adecuado para establecer objetivos es un componente crítico de la gestión de riesgos corporativos. Aunque los objetivos proporcionan metas mensurables a las que se encamina la entidad cuando realiza sus actividades, existen en ellos diferentes grados de importancia y prioridad. Por tanto, aunque una entidad deba tener seguridad razonable de que ciertos objetivos se están alcanzando, puede que éste no sea el caso para todos ellos. Una gestión eficaz de riesgos corporativos proporciona seguridad razonable de que los objetivos de información de una entidad se están cumpliendo. De forma similar, también debería existir seguridad razonable de que los objetivos de cumplimiento se están alcanzando. La consecución de ambos tipos de objetivos está ampliamente bajo el control de la entidad. O sea, una vez definidos los objetivos, la entidad tiene el control sobre su capacidad de hacer lo que haga falta para lograrlos. Sin embargo, existe una diferencia entre los objetivos estratégicos y operativos, porque su consecución no está exclusivamente bajo el control de la entidad. Una empresa puede actuar tal como está previsto, pero es posible que un competidor le lleve ventaja. Está sujeta a eventos externos –como un cambio de gobierno, mal tiempo u
51
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 52
RIESGOS CORPORATIVOS – MARCO INTEGRADO
otros– cuya existencia no esté bajo su control. Incluso, es posible que la entidad haya contemplado alguno de dichos eventos en el proceso de fijación de objetivos, tratándolos como si su probabilidad fuera remota y elaborando un plan de contingencia para el caso en que tuviesen lugar. Sin embargo, tal plan sólo mitiga el impacto de los eventos externos y no asegura que los objetivos se vayan a alcanzar. La gestión de riesgos corporativos sobre las operaciones se centra principalmente en el desarrollo de una coherencia de objetivos y metas en toda la organización, en la identificación de factores de éxito y riesgos claves, en la evaluación de riesgos y la formulación de respuestas acertadas, en las respuestas adecuadas a los riesgos, en el establecimiento de los controles necesarios y en la información oportuna del funcionamiento y expectativas. En cuanto a los objetivos estratégicos y operativos, la gestión de riesgos corporativos puede proporcionar seguridad razonable de que la dirección y el consejo, en su papel de supervisión, estén informados oportunamente del progreso de la entidad en su camino hacia el logro de dichos objetivos.
Objetivos Seleccionados Como parte de la gestión de riesgos corporativos, la dirección no sólo elige los objetivos y considera cómo apoyan la misión de la entidad, sino que también asegura que estén alineados con el riesgo aceptado por la entidad. Un error en dicha alineación podría dar como resultado una aceptación insuficiente del riesgo existente en el logro de objetivos o, por el contrario, una aceptación de un riesgo excesivo. Una gestión eficaz de riesgos corporativos no dicta los objetivos que la dirección debe elegir, pero le proporciona un proceso para alinear los objetivos estratégicos con la misión de la entidad y asegurar que éstos, junto con sus correspondientes objetivos conexos, concuerdan con el riesgo aceptado por la entidad.
Riesgo Aceptado El riesgo aceptado, establecido por la dirección bajo control del consejo de administración, es una orientación para establecer los objetivos. Las empresas pueden expresar su riesgo aceptado como un equilibrio adecuado entre crecimiento, riesgo y rendimiento o como unas medidas de adición de valor para el accionista, ajustadas a su propio nivel de riesgo. Algunas entidades, como son las organizaciones sin ánimo de lucro, expresan su riesgo aceptado como el nivel de riesgo que aceptarían a cambio de crear valor para sus grupos de interés. Existe una relación entre el riesgo aceptado de una entidad y su estrategia. Normalmente se pueden diseñar muchas estrategias diferentes para conseguir los objetivos deseados de crecimiento y rendimiento, cada uno con riesgos diferentes. La gestión de riesgos corporativos, aplicada al establecimiento de la estrategia, ayuda a la dirección a seleccionar una estrategia consecuente con su riesgo aceptado. Si el riesgo asociado a la estrategia no está alineado con el riesgo aceptado por la entidad, se revisa la estrategia, lo que puede ocurrir cuando la dirección formule inicialmente una estrategia que exceda del riesgo aceptado por la entidad o cuando dicha estrategia no contemple riesgo suficiente para permitir que la entidad alcance sus objetivos estratégicos y su misión.
52
INFORME COSO-OKJ
25/5/05
18:14
Página 53
ESTABLECIMIENTO
DE OBJETIVOS
El riesgo aceptado se ve reflejado en la estrategia de la entidad, que, a su vez orienta la asignación de recursos. La dirección distribuye los recursos entre las unidades de negocio teniendo en cuenta el riesgo aceptado por la entidad y los planes estratégicos de cada unidad de negocio, para así generar el rendimiento deseado sobre los recursos invertidos. La dirección busca alinear la organización, el personal, los procesos y la infraestructura para facilitar la implantación de la estrategia con éxito y capacitar a la entidad a mantenerse dentro de los límites de su riesgo aceptado.
Tolerancias al Riesgo Las tolerancias al riesgo son los niveles aceptables de desviación relativa a la consecución de objetivos. Pueden medirse, y a menudo resulta mejor, con las mismas unidades que los objetivos correspondientes. Las medidas de rendimiento se usan para ayudar a asegurar que los resultados reales se ciñen a las tolerancias al riesgo establecidas. Por ejemplo, una empresa fija un objetivo del 98% de puntualidad para sus entregas, con una desviación aceptable entre el 97% y el 100%; fija como objetivo de formación una nota de aprobado del 90%, con un rendimiento aceptable mínimo del 75%; y espera que el personal responda a todas las reclamaciones de los clientes en un plazo de 24 horas, aunque acepta que hasta un 25% de ellas se atiendan entre 24 y 36 horas. Al fijar las tolerancias al riesgo, la dirección tiene en cuenta la importancia relativa de los objetivos correspondientes y alinea aquellas con el riesgo aceptado. Operar dentro de las tolerancias al riesgo proporciona a la dirección una mayor confianza en que la entidad permanece dentro de su riesgo aceptado, que, a su vez, proporciona una seguridad más elevada de que la entidad alcanzará sus objetivos.
53
INFORME COSO-OKJ
25/5/05
18:14
Página 54
INFORME COSO-OKJ
25/5/05
18:14
Página 55
4. Identificación de eventos
Resumen del capítulo: La dirección identifica los eventos potenciales que, de ocurrir, afectarán a la entidad y determina si representan oportunidades o si pueden afectar negativamente a la capacidad de la empresa para implantar la estrategia y lograr los objetivos con éxito. Los eventos con impacto negativo representan riesgos, que exigen la evaluación y respuesta de la dirección. Los eventos con impacto positivo representan oportunidades, que la dirección reconduce hacia la estrategia y el proceso de fijación de objetivos. Cuando identifica los eventos, la dirección contempla una serie de factores internos y externos que pueden dar lugar a riesgos y oportunidades, en el contexto del ámbito global de la organización.
Eventos Un evento es un incidente o acontecimiento, derivado de fuentes internas o externas, que afecta a la implantación de la estrategia o la consecución de objetivos. Los eventos pueden tener un impacto positivo, negativo o de ambos tipos a la vez.
55
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 56
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Al identificar eventos, la dirección reconoce que existen incertidumbres, por lo que no sabe si alguno en particular tendrá lugar y, de tenerlo, cuándo será, ni su impacto exacto. La dirección considera inicialmente una gama de eventos potenciales, derivados de fuentes internas o externas, sin tener que centrarse necesariamente sobre si su impacto es positivo o negativo. De esta forma, la dirección identifica no sólo los eventos potenciales negativos, sino también aquellos que representan oportunidades a aprovechar. Los eventos abarcan desde lo evidente a lo desconocido y sus efectos, desde lo inconsecuente a lo muy significativo. Para evitar una consideración excesiva de eventos relevantes, procede realizar de forma separada su identificación y la evaluación de su probabilidad de ocurrencia e impacto, aspecto este último que corresponde a la Evaluación de Riesgos. Sin embargo, existen limitaciones prácticas y a menudo es difícil saber distinguirlas. Pero incluso los eventos con una probabilidad de ocurrencia relativamente baja no deberían ignorarse si es grande su impacto sobre la consecución de un objetivo importante.
Factores Influyentes Son muchos los factores externos e internos que provocan eventos que afectan a la implantación de la estrategia y la consecución de objetivos. Como parte de la gestión de riesgos corporativos, la dirección reconoce la importancia de entender dichos factores y el tipo de evento que puede derivarse de ellos. Los factores externos, junto con ejemplos de eventos relacionados y sus implicaciones, incluyen los siguientes: • Económicos Eventos tales como los cambios de precios, la disponibilidad de capital o unas menores barreras a la entrada de la competencia, que generan mayores o menores costes de capital y competidores nuevos. • Medioambientales Incluyen las inundaciones, incendios y terremotos, que provocan daños a las instalaciones o edificios, un acceso restringido a las materias primas o la pérdida de capital humano. • Políticos Incluyen la elección de gobiernos con nuevos programas políticos, leyes y normas, que provocan, por ejemplo, nuevas restricciones o aperturas en el acceso a mercados extranjeros o impuestos mayores o menores. • Sociales Relacionados con los cambios demográficos, costumbres sociales, estructuras familiares, prioridades trabajo/ocio y actividades terroristas, que tienen como resultado cambios en la demanda de productos y servicios, nuevos puntos de venta, aspectos relacionados con recursos humanos y paros en la producción. • Tecnológicos Relativos a los nuevos medios de comercio electrónico, que generan una mayor disponibilidad de datos, reducciones de costes de infraestructura y un mayor aumento en la demanda de servicios basados en la tecnología. Los eventos también se derivan de las decisiones de la dirección respecto a cómo se producirán. La aptitud y capacidad de una entidad para reflejar las decisiones previas
56
INFORME COSO-OKJ
25/5/05
18:14
Página 57
IDENTIFICACIÓN
DE EVENTOS
influye en los acontecimientos futuros y afecta a las decisiones de la dirección. Los factores internos, junto con ejemplos de eventos relacionados y sus implicaciones, incluyen los siguientes: • Infraestructura Eventos como el incremento de asignación de capital para mantenimiento preventivo y el apoyo a los centros de atención a clientes reducen el tiempo de inactividad del equipo y se mejora la satisfacción del cliente. • Personal Eventos como los accidentes laborales, las actividades fraudulentas y el vencimiento de convenios colectivos, causan pérdidas de personal disponible o monetarias, daños de imagen y paros en la producción. • Procesos Eventos como la modificación de procesos sin adecuados protocolos para la gestión de los cambios, los errores en su ejecución y la externalización de entregas al cliente con un control insuficiente, provocan pérdidas de cuota de mercado, ineficiencias e insatisfacción y pérdidas de clientes. • Tecnología Eventos como el aumento de recursos para gestionar la volatilidad de volumen, los fallos de seguridad y la potencial caída de los sistemas dan lugar a atrasos en la producción, transacciones fraudulentas e incapacidad para continuar las operaciones del negocio. La identificación de factores internos y externos que impactan en los eventos es útil, a su vez, para identificar a estos últimos. Una vez que se han identificado los principales factores contribuyentes, la dirección puede considerar su relevancia y centrarse en los eventos que puedan afectar al logro de objetivos. Un fabricante e importador de calzado, por ejemplo, estableció una visión de ser líder del sector del calzado masculino de alta calidad. Para conseguirla, procedió a fabricar productos que combinaban estilo, confort y durabilidad, usando técnicas avanzadas y proveedores muy selectos. La empresa revisó su entorno operativo externo e identificó factores sociales y eventos, tales como la edad cambiante de sus consumidores potenciales o las tendencias cambiantes del vestir para el trabajo. Eventos relacionados con factores económicos eran las fluctuaciones en los tipos de cambio e interés. Los factores internos tecnológicos indicaban un sistema desfasado de gestión de la distribución y los factores de personal, una inadecuada formación en marketing. Además de identificar los eventos al nivel de entidad, también deben identificarse al nivel de actividad, lo que ayuda a centrar la evaluación de riesgos (el tema del capítulo siguiente) sobre las principales unidades de negocio o funciones, tales como ventas, producción, marketing, avances tecnológicos e investigación y desarrollo.
Técnicas de Identificación de Eventos La metodología de identificación de eventos de una entidad puede comprender una combinación de técnicas, junto con herramientas de apoyo. Por ejemplo, la dirección puede usar talleres interactivos de trabajo como parte de dicha metodología, con un monitor que emplee alguna herramienta tecnológica para ayudar a los participantes.
57
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 58
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Las técnicas de identificación de eventos se aplican tanto al pasado como al futuro. Aquellas centradas en eventos y tendencias pasadas consideran temas tales como historiales de impagos, cambios en los precios de los bienes y accidentes que provocan pérdidas de tiempo. Las técnicas que se centran en los riesgos futuros consideran temas tales como cambios demográficos, nuevas condiciones de mercado y acciones de los competidores. Las técnicas varían ampliamente en su nivel de sofisticación. Aunque muchas de las más sofisticadas corresponden a sectores específicos, la mayoría se derivan de un enfoque común. Por ejemplo, tanto los servicios financieros como los del sector de la seguridad e higiene utilizan técnicas de rastreo e identificación de eventos que generen pérdidas. Estas técnicas empiezan con un enfoque sobre los eventos históricos comunes –los enfoques más básicos estudian acontecimientos derivados de percepciones del personal, mientras que las técnicas más avanzadas se basan en fuentes reales de eventos observables– y luego, se introducen los datos en modelos de previsión más sofisticados. Las empresas más avanzadas en la gestión de riesgos corporativos normalmente aplican una combinación de técnicas que contemplan a la vez eventos pasados y futuros potenciales. Las técnicas también varían según dónde se estén aplicando dentro de una entidad. Algunas se centran en el análisis detallado de datos y crean una perspectiva ascendente de eventos, mientras que otras lo enfocan al contrario. La figura 4.1 proporciona ejemplos de las técnicas de identificación de eventos. • Inventarios de eventos Son relaciones detalladas de acontecimientos potenciales comunes a empresas de un sector determinado o a un proceso o actividad específica que se da en diversos sectores. Las aplicaciones de software pueden generar relaciones relevantes de eventos genéricos potenciales, que algunas entidades usan como punto de partida para la identificación de eventos. Por ejemplo, una empresa que esté acometiendo un proyecto de desarrollo de software elaborará un inventario que describa eventos genéricos relativos a este tipo de proyecto. • Análisis interno Puede llevarse a cabo como parte de un proceso rutinario del ciclo de planificación empresarial, normalmente mediante reuniones del personal de la unidad de negocio. El análisis interno utiliza a veces la información procedente de grupos de interés de dicha unidad (clientes, proveedores y otras unidades de negocio) o de expertos en el tema ajenos a ella (expertos funcionales internos o externos o la auditoría interna). Por ejemplo, una empresa que esté considerando introducir un nuevo producto, usa su propia experiencia histórica, junto con investigación externa de mercado que identifique eventos que hayan afectado al éxito de productos de los competidores. • Dispositivos de escala o umbral Estos dispositivos alertan a la dirección respecto a áreas con problemas comparando transacciones o eventos actuales con criterios predefinidos. Una vez que suena la alarma, es posible que un evento exija una evaluación ulterior o una respuesta inmediata. Por ejemplo, la dirección de una empresa hace un seguimiento del volumen de ventas en mercados seleccionados con vista a nuevos programas de marketing o publicidad y reorienta los recursos según los resultados. La dirección de otra empresa sigue las estructuras de precios de los competidores y contempla cambios en sus propios precios cuando se franquea un determinado umbral. • Talleres de trabajo y entrevistas Estas técnicas identifican los eventos aprovechando el conocimiento y la experiencia acumulada de la dirección, el personal y los grupos de interés, a través de discusiones estructuradas. Un monitor lidera y facilita la discusión sobre los eventos que pueden afectar a la consecución de objetivos de
58
INFORME COSO-OKJ
25/5/05
18:14
Página 59
IDENTIFICACIÓN
DE EVENTOS
la entidad o alguna de sus unidades. Por ejemplo, un controller financiero dirige un taller de trabajo con miembros del equipo contable, para identificar eventos que puedan afectar a los objetivos de información financiera externa. Al combinar los conocimientos y la experiencia de los miembros del equipo, se identifican eventos importantes que de otro modo podrían haberse olvidado. • Análisis del flujo del proceso Esta técnica considera la combinación de inputs, tareas, responsabilidades y outputs de un proceso. Al considerar los factores internos y externos que afectan en cierto proceso a los inputs de las actividades o a estas mismas, una entidad identifica los eventos que podrían afectar a la consecución de los objetivos. Por ejemplo, un laboratorio médico elabora mapas de los procesos de recepción y análisis de muestras de sangre. Utilizándolos, se considera la gama de factores que podrían afectar a los elementos del proceso citados anteriormente, identificando así riesgos relativos al etiquetado de muestras, transferencias en el proceso y cambios de turno del personal. • Indicadores de eventos importantes Supervisando datos correlacionados con los eventos, las entidades identifican la existencia de condiciones que podrían dar lugar a un acontecimiento. Por ejemplo, las instituciones financieras reconocen desde hace mucho tiempo la correlación entre la demora en el pago de préstamos y su eventual impago futuro, así como el efecto positivo de una intervención anticipada. Por ello, el control de las pautas de pago permite mitigar el impago mediante acciones oportunas anticipadas. • Metodologías para datos de eventos con pérdidas Los archivos de datos sobre eventos individuales con pérdidas en el pasado son una fuente útil de información para identificar las tendencias y causas principales. Una vez que se identifica una de éstas, la dirección puede averiguar qué es más efectivo, si evaluarla y tratarla o afrontar los eventos individuales. Por ejemplo, una empresa que explota una gran flota de coches mantiene una base de datos de las reclamaciones por accidentes y, mediante su análisis, averigua que un porcentaje desproporcionado de ellos, tanto en número como en importe, se vincula a conductores del equipo en ciertas unidades, localizaciones geográficas y franjas de edad. Este análisis capacita a la dirección para identificar las causas principales de los eventos y tomar acciones.
Figura 4.1
La profundidad, amplitud, calendario y disciplina en la identificación de eventos varían según entidades. La dirección selecciona técnicas que encajan con su filosofía de gestión de riesgos y asegura que la entidad desarrolla las capacidades necesarias de identificación de eventos y que están operativas las herramientas de apoyo. Por encima de todo, la identificación de eventos necesita ser potente y fiable, ya que forma la base de los componentes de la evaluación de riesgos y de la respuesta a ellos.
Interdependencias Frecuentemente, los eventos no ocurren de forma aislada. Un acontecimiento puede hacer que se desencadene otro, por lo que pueden ocurrir de forma concurrente. En la identificación de eventos, la dirección debería entender cómo éstos se relacionan entre sí. Evaluando estas relaciones, se puede determinar dónde mejor deberían aplicarse los esfuerzos en la gestión de riesgos. Por ejemplo, un cambio en el tipo de interés de un banco central afecta a los tipos de cambio de moneda extranjera, relevantes para las ganancias y pérdidas en las transacciones de una entidad. Una decisión para reducir la inversión en capital pospone una actualización de los sistemas de gestión de distribución, provocando más tiempo de inactividad y un aumento de cos-
59
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 60
RIESGOS CORPORATIVOS – MARCO INTEGRADO
tes operativos. Una decisión para ampliar la formación en marketing puede mejorar las capacidades de venta y la calidad de servicio, lo que dará lugar a un aumento de la frecuencia y volumen de los pedidos recurrentes de clientes. Una decisión para entrar en una nueva línea de negocio, con incentivos importantes vinculados al rendimiento, puede incrementar los riesgos de error en la aplicación de principios contables y de que se genere una información fraudulenta.
Categorías de Eventos Puede ser útil agrupar los eventos potenciales en categorías. Al agregarlos horizontalmente en toda la entidad y verticalmente dentro de las unidades operativas, la dirección desarrolla un entendimiento de las relaciones entre eventos, obteniendo una mejor información como base para la evaluación los riesgos. Mediante esta agregación de eventos similares, la dirección puede determinar mejor las oportunidades y riesgos. La clasificación de eventos por categorías también permite a la dirección considerar la totalidad de los esfuerzos aplicados a su identificación. Por ejemplo, una empresa puede haber clasificado los eventos relacionados con los cobros de deudores en una única categoría denominada impago de deudores. Si la dirección estudia los eventos relacionados con esta categoría, puede evaluar si se han identificado todos los posibles eventos significativos relacionados con dicho impago. Algunas empresas desarrollan categorías de eventos basadas en la clasificación de sus objetivos por categorías, usando una jerarquía que empieza con los objetivos de alto nivel y luego, en cascada hasta los objetivos relevantes para las unidades organizativas, funciones o procesos de negocio. La figura 4.2 ilustra un enfoque usado para establecer las categorías de eventos dentro de un contexto de amplios factores internos y externos.
60
INFORME COSO-OKJ
25/5/05
18:14
Página 61
IDENTIFICACIÓN
DE EVENTOS
Categorías de eventos Factores externos
Factores internos
Económicos • Disponibilidad del capital • Emisión de deuda, impago • Concentración • Liquidez • Mercados financieros • Desempleo • Competecia • Fusiones/Adquisiciones
Infraestructura • Disponibilidad de activos • Capacidad de los activos • Acceso al capital • Complejidad
Medioambientales • Emisiones y residuos • Energía • Catástrofes naturales • Desarrollo sostenible
Personal • Capacidad del personal • Actividad fraudulenta • Seguridad e higiene
Políticos • Cambios de gobierno • Legislación • Políticas públicas • Regulación
Procesos • Capacidad • Diseño • Ejecución • Proveedores/Subordinados
Sociales • Demografía • Comportamiento del consumidor • Responsabilidad social corporativa • Privacidad • Terrorismo
Tecnología • Integridad de datos • Disponibilidad de datos y sistemas • Selección de sistemas • Desarrollo • Despliegue • Mantenimiento
Tecnológicos • Interrupciones • Comercio electrónico • Datos externos • Tecnología emergente
Figura 4.2
Distinción entre Riesgos y Oportunidades Los eventos, si ocurren, tienen un impacto negativo, positivo o de ambos tipos a la vez. Los de signo negativo representan riesgos, que requieren la evaluación y respuesta de la dirección. Por tanto, un riesgo es la posibilidad de que ocurra un evento que afecte de modo adverso a la consecución de objetivos. Los eventos de signo positivo representan oportunidades, que compensan los impactos negativos de los riesgos. Una oportunidad es la posibilidad de que ocurra un
61
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 62
RIESGOS CORPORATIVOS – MARCO INTEGRADO
evento que afecte positivamente a la consecución de objetivos y la creación de valor. Los eventos que implican oportunidades son canalizados hacia los procesos de la dirección en que se establecen la estrategia y objetivos de la entidad, de forma que puedan formularse acciones para aprovechar las oportunidades. Los eventos que compensen el impacto negativo de los riesgos deben tenerse en cuenta por parte de la dirección al evaluar los riesgos y darles respuesta.
62
INFORME COSO-OKJ
25/5/05
18:14
Página 63
5. Evaluación de riesgos
Resumen del capítulo: La evaluación de riesgos permite a una entidad considerar la amplitud con que los eventos potenciales impactan en la consecución de objetivos. La dirección evalúa estos acontecimientos desde una doble perspectiva – probabilidad e impacto- y normalmente usa una combinación de métodos cualitativos y cuantitativos. Los impactos positivos y negativos de los eventos potenciales deben examinarse, individualmente o por categoría, en toda la entidad. Los riesgos se evalúan con un doble enfoque: riesgo inherente y riesgo residual.
Contexto de la Evaluación de Riesgos Los factores externos e internos determinan qué eventos pueden ocurrir y hasta qué punto afectarán a los objetivos de una entidad. Aunque algunos factores son comunes a empresas de un mismo sector, los eventos resultantes son a menudo únicos
63
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 64
RIESGOS CORPORATIVOS – MARCO INTEGRADO
para una entidad determinada, debido a sus objetivos establecidos y sus decisiones anteriores. En la gestión de riesgos, la dirección tiene en cuenta la mezcla de potenciales eventos futuros relevantes para la entidad y sus actividades, dentro del contexto de los aspectos que conforman el perfil de riesgo de la entidad, como son su dimensión, la complejidad de sus operaciones y el grado de regulación de sus actividades. Al evaluar los riesgos, la dirección considera los eventos esperados e inesperados. Muchos de éstos son rutinarios y recurrentes y ya se contemplan en los programas de gestión y presupuestos operativos, pero otros son inesperados. La dirección evalúa el riesgo de los eventos potenciales inesperados y, si todavía no lo ha hecho, los eventos esperados que puedan tener un impacto significativo en la entidad. Aunque el término “evaluación de riesgos” se aplica a veces en relación con una actividad puntual, en el contexto de la gestión de riesgos corporativos su componente con esa misma denominación constituye una continua e iterativa interacción de acciones que tienen lugar a través de la entidad.
Riesgo Inherente y Riesgo Residual La dirección considera a la vez ambos conceptos de riesgo. El riesgo inherente es aquél al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto. El riesgo residual es el que permanece después de que la dirección desarrolle sus respuestas a los riesgos.
Estimación de Probabilidad e Impacto La incertidumbre de los eventos potenciales se evalúa desde dos perspectivas – probabilidad e impacto. La primera representa la posibilidad de que ocurra un evento determinado, mientras que la segunda refleja su efecto. Ambos términos se aplican de forma común, aunque algunas entidades usen otros, tales como frecuencia, severidad, seriedad o consecuencia. A veces, las palabras adquieren connotaciones más especificas y el concepto “probabilidad” puede indicar tanto la posibilidad de que ocurra cierto evento en términos cualitativos como alta, media y baja o derivados de otras escalas de medida o bien en términos cuantitativos como porcentaje, frecuencia y ocurrencia o derivados de otras métricas numéricas. Es una tarea difícil y llena de retos la determinación de cuánta atención hay que prestar a la evaluación de la gama de riesgos a los que se enfrenta una entidad. Su dirección reconoce que generalmente no merece ulterior consideración un riesgo con poca probabilidad de ocurrencia y escaso impacto potencial. Por otro lado, exige una atención considerable un riesgo con alta probabilidad de ocurrencia y significativo impacto potencial. Las circunstancias entre ambos extremos normalmente requieren juicios difíciles. Es importante que el análisis sea racional y cuidadoso. El horizonte temporal usado para evaluar los riesgos debería ser consecuente con el horizonte temporal de la estrategia y objetivos correspondientes. Como estos dos conceptos apuntan en muchas entidades a horizontes de tiempo entre el corto y medio plazo, la dirección se centra naturalmente en los riesgos asociados con estos
64
INFORME COSO-OKJ
25/5/05
18:14
Página 65
EVALUACIÓN
DE RIESGOS
plazos de tiempo. Sin embargo, algunos aspectos de la orientación y objetivos estratégicos se extienden hasta el largo plazo. Como resultado, la dirección necesita ser consciente de los marcos temporales más dilatados y no obviar los riesgos que pueda deparar un futuro distante. Por ejemplo, una empresa que opera en California puede tener en cuenta el riesgo de interrupción de sus operaciones a causa de un terremoto. Sin un horizonte temporal específico para la evaluación de riesgos, la probabilidad de que un terremoto supere los seis grados en la escala de Richter es alta, quizá con una certeza virtual. Por otro lado, la probabilidad de que un terremoto de tal intensidad suceda dentro de dos años es sustancialmente menor. Al establecer un horizonte de tiempo, la entidad entiende mejor la importancia relativa del riesgo y mejora su capacidad para comparar riesgos múltiples. La dirección usa a menudo medidas del funcionamiento para determinar el grado de consecución de objetivos y normalmente aplica la misma unidad de medida, u otra congruente con ella, que la utilizada para considerar el impacto potencial de un riesgo sobre la consecución de un objetivo concreto. Una empresa, por ejemplo, que tiene establecido el objetivo de mantener un nivel determinado de servicio al cliente, habrá diseñado un coeficiente u otro tipo de medida para dicho objetivo –tales como el índice de satisfacción del cliente, el número de reclamaciones o el volumen de negocio recurrente. Cuando se evalúa el impacto de un riesgo que podría afectar al servicio al cliente –tal como la posibilidad de que la web de la empresa pueda estar no disponible durante un periodo de tiempo– se determina mejor el impacto usando las mismas medidas.
Fuentes de Datos A menudo, las estimaciones de la probabilidad del riesgo y su impacto se determinan usando datos procedentes de eventos anteriores observables, que proporcionan una base más objetiva que las estimaciones totalmente subjetivas. Los datos generados internamente a partir de la experiencia propia de la entidad pueden reflejar un menor sesgo subjetivo personal y proporcionan mejores resultados que los datos procedentes de fuentes externas. Sin embargo, incluso cuando los datos generados internamente sean un input primordial, los datos externos pueden resultar útiles como punto de contraste o para mejorar el análisis. Por ejemplo, la dirección de una empresa que evalúa el riesgo de paradas en la producción por fallos de los equipos, primero estudia la frecuencia e impacto de fallos anteriores de su propio equipo productivo. A continuación complementa dichos datos con datos comparativos del sector, lo que permite una estimación más exacta de la probabilidad e impacto de los fallos, lo que permite una programación más eficaz del mantenimiento preventivo. Se debe ser cauto cuando se usan eventos pasados para establecer previsiones futuras, ya que los factores que influyen en los eventos pueden cambiar con el tiempo.
Perspectivas La dirección formula a menudo juicios subjetivos sobre la incertidumbre y, al hacer esto, debe reconocer sus limitaciones inherentes. Los resultados de investigaciones
65
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 66
RIESGOS CORPORATIVOS – MARCO INTEGRADO
psicológicas indican que las personas que toman decisiones a varios niveles de capacidad, incluyendo los directivos de empresa, tienen demasiada confianza en su capacidad de estimación y no reconocen el volumen de incertidumbre que realmente existe. Los estudios muestran un marcado sesgo de confianza excesiva, que lleva a intervalos de confianza inadecuadamente estrechos respecto a las estimaciones o probabilidades, tal como se aplican, por ejemplo, en las metodologías del valor en riesgo. Esta inclinación hacia el exceso de confianza al estimar la incertidumbre puede minimizarse mediante el uso eficaz de datos empíricos generados interna o externamente. En ausencia de éstos, una aguda conciencia de la penetración de los sesgos puede ayudar a mitigar los efectos de ese exceso de confianza. Las tendencias humanas respecto a la toma de decisiones se muestran de otra forma, pues no es infrecuente que las personas tomen diferentes opciones en búsqueda de ganancias antes que en evitar pérdidas. Al reconocer estas tendencias, los directivos pueden estructurar la información para reforzar el riesgo aceptado y el comportamiento hacia el riesgo en toda la entidad. La manera de presentar la información puede afectar de modo significativo a su interpretación y cómo se perciben los riesgos y oportunidades asociados, tal como se expone en la Figura 5.1
Los individuos tienen reacciones diferentes ante pérdidas potenciales que frente a ganancias potenciales. La manera de enmarcar un riesgo –enfocando hacia lo positivo (una ganancia potencial) o lo negativo (una pérdida potencial)- influirá a menudo en la respuesta. La teoría de la prospección, que explora la toma de decisiones del ser humano, dice que los individuos no son neutrales ante el riesgo y de hecho, una respuesta a pérdidas tiende a ser más extrema que otra frente a ganancias. Y con esto surge una inclinación hacia la mala interpretación de las probabilidades y las reacciones hacia la mejor solución. A modo ilustrativo, un individuo se enfrenta a dos conjuntos de opciones: 1. Aceptar una ganancia segura de 240 u.m. o bien una posibilidad del 25% de ganar 1.000 u.m. más la restante probabilidad del 75% de no ganar nada. 2. Aceptar una pérdida segura de 750 u.m. o bien una posibilidad del 75% de perder 1.000 u.m. más la restante probabilidad del 25% de no perder nada. En el primer conjunto de opciones, la mayoría de las personas selecciona una “ganancia segura de 240”, debido a la inclinación a evitar riesgos en las ganancias y a las preguntas planteadas de forma positiva. En contraste, la mayoría de las personas selecciona una “posibilidad del 75% de perder 1.000”, debido a la inclinación a asumir riesgos en las pérdidas y a las preguntas planteadas de modo negativo. La teoría de la prospectiva mantiene que las personas no quieren arriesgar lo que ya tienen o piensan que pueden tener, pero tendrán mayores tolerancias al riesgo cuando crean que pueden minimizar pérdidas.
Figura 5.1
Técnicas de Evaluación La metodología de evaluación de riesgos de una entidad consiste en una combinación de técnicas cualitativas y cuantitativas. La dirección aplica a menudo técnicas cualitativas cuando los riesgos no se prestan a la cuantificación o cuando no están disponibles datos suficientes y creíbles para una evaluación cuantitativa o la obtención y análisis de ellos no resulte eficaz por su coste. Las técnicas cuantitativas típi-
66
INFORME COSO-OKJ
25/5/05
18:14
Página 67
EVALUACIÓN
DE RIESGOS
camente aportan más precisión y se usan en actividades más complejas y sofisticadas, para complementar las técnicas cualitativas. Las técnicas cuantitativas de evaluación normalmente exigen un mayor grado de esfuerzo y rigor y a veces emplean modelos matemáticos. Estas técnicas dependen mucho de la calidad de los datos e hipótesis de soporte y resultan más relevantes para riesgos con un historial y una frecuencia de variabilidad conocidos, pues permiten una proyección fiable. La figura 5.2 proporciona ejemplos de técnicas cuantitativas de evaluación de riesgos.
• Benchmarking Es un proceso comparativo entre entidades, que enfoca eventos o procesos concretos, compara medidas y resultados mediante métricas comunes e identifica oportunidades de mejora. Se desarrollan datos sobre dichos eventos y procesos y mediciones para comparar el funcionamiento. Algunas empresas usan esta técnica para evaluar la probabilidad e impacto de eventos en un sector determinado. • Modelos probalísticos Sobre la base de ciertas hipótesis, los modelos probabilísticos relacionan una gama de eventos con su probabilidad de ocurrencia e impacto resultante. Ambos conceptos se evalúan a partir de datos históricos o resultados simulados que reflejen hipótesis de comportamiento futuro. Se usan modelos probabilísticos para evaluar el valor en riesgo, el flujo de caja en riesgo y los resultados en riesgo y también para desarrollar distribuciones de pérdidas operacionales y crediticias. Los modelos probabilísticos pueden usarse con diferentes horizontes de tiempo para estimar resultados tales como la franja de valores de los instrumentos financieros a lo largo del tiempo y también, para evaluar resultados medios o esperados frente a impactos extremos o inesperados. • Modelos no probalísticos Los modelos no probabilísticos aplican hipótesis subjetivas para estimar el impacto de eventos sin una probabilidad asociada cuantificada. La evaluación del impacto de eventos se basa en datos históricos o simulados e hipótesis de comportamiento futuro. Ejemplos de este tipo de modelos son las medidas de sensibilidad, las pruebas de carga y los análisis de escenarios.
Figura 5.2
Para conseguir un consenso sobre probabilidad e impacto usando técnicas cualitativas de evaluación, las entidades pueden aplicar el mismo enfoque que usan en la identificación de eventos, tales como las entrevistas y grupos de trabajo. Un proceso de autoevaluación del riesgo capta los puntos de vista de los participantes sobre la probabilidad y el impacto potencial de eventos futuros, usando escalas descriptivas o numéricas. Una entidad no necesita aplicar las mismas técnicas de evaluación en todas sus unidades de negocio. Antes bien, la selección de técnicas debería reflejar la necesidad de precisión y la cultura de cada unidad. En una empresa, por ejemplo, al identificar y evaluar los riesgos al nivel de proceso, una unidad usa cuestionarios de autoevaluación, mientras que otra utiliza grupos de trabajo. Los riesgos se evalúan de modo inherente o residual y luego, se organizan y agrupan según las categorías de riesgo y objetivos de ambas unidades. Aunque se apliquen métodos distintos, ambos proporcionan suficiente concordancia para facilitar la evaluación de riesgos en toda la entidad. La dirección puede generar una medida del impacto cuantitativo de un evento en toda la entidad cuando todas las evaluaciones individuales de riesgo referentes al mismo se expresen en términos cuantitativos. Por ejemplo, el impacto de un cambio
67
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 68
RIESGOS CORPORATIVOS – MARCO INTEGRADO
en el precio de la energía sobre el margen bruto se calcula en todas las unidades de negocio y se determina así el impacto global para toda la entidad. Cuando exista una mezcla de medidas cualitativas y cuantitativas, la dirección desarrolla una evaluación cualitativa a través de ambos tipos de medición, con el resultado de una evaluación compuesta expresada en términos cualitativos. La generación de estas evaluaciones compuestas se facilita estableciendo términos comunes de probabilidad e impacto para toda la entidad y categorías comunes de riesgo para las medidas cualitativas.
Relaciones entre Eventos Cuando los eventos potenciales no están relacionados entre sí, la dirección los evalúa individualmente. Por ejemplo, una empresa con unidades de negocio expuestas a diferentes fluctuaciones de precios –tales como el de la pasta de papel o el de monedas extranjeras– evaluaría los riesgos independientemente de los movimientos del mercado. Pero cuando exista correlación entre los eventos o éstos se combinen e interaccionen para crear probabilidades o impactos significativamente diferentes, la dirección los evaluará en conjunto. Aunque el impacto de un solo evento pueda ser ligero, el impacto de una secuencia o combinación de eventos puede ser más significativo. Por ejemplo, una válvula defectuosa de un depósito de propano en un almacén de distribución origina un escape de gas, mientras se mantienen cerradas las puertas de la instalación para retener el calor de las oficinas adyacentes. Cuando el conductor de un camión que se acerca al almacén activa un dispositivo a control remoto para abrir las puertas, la presencia conjunta del gas y la chispa del motor de la puerta causan una explosión. Eventos distintos interaccionan y dan como resultado un riesgo significativo. En otro ejemplo, una empresa se introduce en un mercado extranjero, donde cuenta con nuevos directivos contratados localmente, sistemas de información no probados y poca base para que la dirección central pueda juzgar su correspondiente funcionamiento, lo que da como resultado un riesgo significativo de información errónea o fraudulenta. Cuando sea probable que los riesgos afecten a múltiples unidades de negocio, la dirección puede agruparlos en categorías comunes de eventos y después, considerarlos primero según unidad y luego conjuntamente para toda la entidad. Por ejemplo, las unidades de una empresa de servicios están sujetas al riesgo de modificación del tipo de interés oficial y su dirección evalúa este riesgo no sólo en cada unidad, sino también de una forma combinada global. Una empresa industrial tiene muchas unidades de negocio, cada una expuesta a las fluctuaciones en el precio del oro, por lo que la dirección agrega el riesgo de los cambios potenciales en dicho precio en una única medida que muestra el efecto neto de un cambio de 1 u.m. por onza del metal sobre su inventario total de oro. La naturaleza de los eventos y el hecho de que estén relacionados o no, puede afectar a las técnicas de evaluación utilizadas. Por ejemplo, al evaluar el impacto de eventos que podrían tener un efecto extremo, la dirección puede usar pruebas de “stress testing”, mientras que para evaluar el efecto de eventos múltiples, la dirección puede encontrar más útil el uso de simulaciones o análisis de escenarios.
68
INFORME COSO-OKJ
25/5/05
18:14
Página 69
EVALUACIÓN
DE RIESGOS
La observación de interrelaciones entre probabilidad e impacto de los riesgos constituye una importante responsabilidad de la dirección. Una gestión eficaz de riesgos corporativos requiere que su evaluación se realice atendiendo tanto al riesgo inherente como a la repuesta a él, como se expone en el capítulo siguiente.
69
INFORME COSO-OKJ
25/5/05
18:14
Página 70
INFORME COSO-OKJ
25/5/05
18:14
Página 71
6. Respuesta a los riesgos
Resumen del capítulo: Una vez evaluados los riesgos relevantes, la dirección determina cómo responder a ellos. Las respuestas pueden ser las de evitar, reducir, compartir y aceptar el riesgo. Al considerar su respuesta, la dirección evalúa su efecto sobre la probabilidad e impacto del riesgo, así como los costes y beneficios, y selecciona aquella que sitúe el riesgo residual dentro de las tolerancias al riesgo establecidas. La dirección identifica cualquier oportunidad que pueda existir y asume una perspectiva del riesgo globalmente para la entidad o bien una perspectiva de la cartera de riesgos, determinando si el riesgo residual global concuerda con el riesgo aceptado por la entidad.
(Gráfico del cubo)
Las respuestas a los riesgos se incluyen en las siguientes categorías: • Evitar Supone salir de las actividades que generen riesgos. Evitar el riesgo puede implicar el cese de una línea de producto, frenar la expansión hacia un nuevo mercado geográfico o la venta de una división.
71
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 72
RIESGOS CORPORATIVOS – MARCO INTEGRADO
• Reducir Implica llevar a cabo acciones para reducir la probabilidad o el impacto del riesgo o ambos conceptos a la vez. Esto implica típicamente a algunas de las muchas decisiones empresariales cotidianas. • Compartir La probabilidad o el impacto del riesgo se reducen trasladando o, de otro modo, compartiendo una parte del riesgo. Las técnicas comunes incluyen la contratación de seguros, la realización de operaciones de cobertura o la externalización de una actividad. • Aceptar No se emprende ninguna acción que afecte a la probabilidad o el impacto del riesgo. La figura 6.1 muestra ejemplos de cómo se aplican dichas respuestas a los riesgos. • Evitar Una organización sin ánimo de lucro identificó y evaluó los riesgos generados por el suministro directo de servicios médicos a sus miembros y decidió no aceptar los riesgos correspondientes, decidiendo facilitar en su lugar un servicio de referencia a terceros. • Reducir Una empresa dedicada a la compensación de valores bursátiles identificó y evaluó el riesgo de que sus sistemas no estuvieran disponibles durante más de tres horas y concluyó que no podía aceptar el impacto de tal evento. La empresa invirtió en tecnología y mejoró sus sistemas de autodetección de fallos y seguridad, reduciendo así la probabilidad de que no estuviesen disponibles. • Compartir Una universidad identificó y evaluó el riesgo asociado a la gestión de sus residencias de estudiantes y concluyó que no tenía la capacidad interna suficiente para gestionar eficazmente dichas importantes instalaciones residenciales. La universidad externalizó la gestión de las residencias a una empresa de gestión inmobiliaria, con la consiguiente reducción del impacto y probabilidad de los riesgos correspondientes. • Aceptar Una agencia gubernamental identificó y evaluó los riesgos de incendio de sus infraestructuras en varias regiones geográficas y también evaluó el coste de compartir su impacto mediante una póliza de seguros. Concluyó que el coste adicional del seguro y las franquicias correspondientes excedían del coste probable de reposición y decidió aceptar el riesgo. Figura 6.1
La respuesta de evitar el riesgo sugiere que no se identificó ninguna opción de respuesta que redujera el impacto y probabilidad hasta un nivel aceptable. Las respuestas de reducir o compartir reducen el riesgo residual a un nivel en línea con las tolerancias de riesgo deseadas, mientras que una respuesta de aceptación sugiere que el riesgo inherente ya está dentro de las tolerancias de riesgo. Para muchos riesgos, las opciones de respuesta adecuadas son evidentes y bien aceptadas. Por ejemplo, para el riesgo de perder la disponibilidad de los sistemas informáticos, una opción típica de respuesta es la implantación de un plan de continuidad del negocio. Para otros riesgos, las opciones disponibles pueden no ser tan evidentes, lo que exigirá investigación y análisis. Por ejemplo, las opciones de respuesta relevantes para mitigar el efecto de las actividades de un competidor sobre el valor de la marca pueden requerir un estudio y análisis del mercado.
72
INFORME COSO-OKJ
25/5/05
18:14
Página 73
RESPUESTA
A LOS RIESGOS
Al determinar la respuesta a los riesgos, la dirección debería tener en cuenta lo siguiente: • Los efectos de las respuestas potenciales sobre la probabilidad y el impacto del riesgo –y qué opciones de respuesta están en línea con las tolerancias al riesgo de la entidad • Los costes y beneficios de las respuestas potenciales • Las posibles oportunidades para alcanzar los objetivos de la entidad, lo que va más allá del tratamiento de un riesgo concreto Para los riesgos significativos, una entidad considera típicamente las respuestas posibles dentro de una gama de opciones de respuesta, lo que proporciona profundidad a la selección de respuesta y se enfrenta al “status quo”.
Evaluación de Posibles Respuestas Los riesgos inherentes se analizan y las respuestas a ellos se evalúan con el propósito de conseguir un nivel de riesgo residual en línea con las tolerancias al riesgo de la entidad. A menudo, cualquiera de las diversas respuestas posibles situará dicho riesgo residual dentro del marco de esas tolerancias y, a veces, una combinación de ellas proporcionará el resultado óptimo. Por otro lado, a veces una respuesta afectará a múltiples riesgos, en cuyo caso la dirección puede decidir que no se precisan acciones adicionales para tratar un riesgo determinado.
Evaluación del Efecto sobre la Probabilidad y el Impacto del Riesgo Al evaluar las opciones de respuesta, la dirección considera el efecto sobre la probabilidad del riesgo y su impacto, reconociendo que una respuesta puede afectarlas de modo diferente. Por ejemplo, una empresa con un centro informático ubicado en una región con fuerte actividad tormentosa establece un plan de continuidad de negocio que, aunque no tiene efecto alguno sobre la probabilidad de que se produzca una tormenta, mitiga el impacto de los daños en el edificio o de la dificultad para que el personal acceda a su trabajo. Por otro lado, la opción de trasladar el centro informático a otra región no reducirá el impacto de posibles tormentas que puedan producirse, pero sí reduce la probabilidad de que tengan lugar en este nuevo centro. Al analizar las respuestas, la dirección puede tener en cuenta los eventos y tendencias pasadas y los posibles escenarios futuros. Al evaluar las respuestas alternativas, la dirección típicamente determina su efecto potencial usando las mismas unidades de medición, u otras congruentes, que las usadas para el objetivo correspondiente.
Evaluación de Costes y Beneficios Los recursos siempre presentan restricciones y las entidades pueden considerar los costes y beneficios derivados de opciones alternativas de respuesta a este tipo de riesgo. Las medidas de coste/beneficio para la puesta en práctica de respuestas se realizan con varios niveles de precisión. Generalmente, es más fácil tratar los costes,
73
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 74
RIESGOS CORPORATIVOS – MARCO INTEGRADO
pues en muchos casos pueden cuantificarse con bastante detalle. Normalmente, se tienen en cuenta todos los costes directos relacionados con la implantación de una respuesta y los costes indirectos que se puedan medir de un modo práctico. Algunas entidades también incluyen los costes de oportunidad relativos al uso de recursos. En algunos casos, sin embargo, es difícil cuantificar los costes de la respuesta al riesgo. Surgen retos respecto a la cuantificación al estimar el tiempo y el esfuerzo asociados a una determinada respuesta, como puede ser el caso, por ejemplo, de recabar información de mercado sobre las preferencias en evolución de los clientes, las actividades de los competidores u otra información generada externamente. El lado de los beneficios implica a menudo valoraciones mucho más subjetivas. Por ejemplo, las ventajas de los programas de formación son normalmente evidentes, pero son difíciles de cuantificar. En muchos casos, sin embargo, el beneficio de una respuesta al riesgo puede evaluarse dentro del contexto de beneficios ligados a la consecución del objetivo correspondiente. Al considerar las relaciones coste-beneficio, la atención a los riesgos como si estuvieran interrelacionados permite a la dirección agrupar las respuestas para reducir y compartir el riesgo de la entidad. Por ejemplo, cuando se comparte un riesgo mediante un seguro, puede ser beneficioso combinar los riesgos en una sola póliza ya que el precio normalmente se reduce cuando se aseguran conjuntamente diversas exposiciones a riesgos bajo un mismo acuerdo de cobertura.
Oportunidades en las Opciones de Respuesta El capítulo sobre identificación de eventos describe cómo la dirección identifica aquellos potenciales que afectan a la consecución de objetivos de la entidad, bien positiva o negativamente. Los eventos con impacto positivo representan las oportunidades y se revierten hacia los procesos de fijación de objetivos o estrategias. De forma similar, las oportunidades pueden identificarse al contemplar las respuestas a los riesgos. Las consideraciones sobre estas respuestas a los riesgos no deberían limitarse exclusivamente a la reducción de los riesgos identificados, sino que también deberían incluir la consideración de nuevas oportunidades para la entidad. La dirección puede identificar las respuestas innovadoras, que, aunque pertenezcan a las categorías de respuestas descritas anteriormente en este capítulo, pueden ser totalmente nuevas para la entidad e, incluso, para el sector. Dichas oportunidades pueden surgir cuando existen opciones de respuesta a los riesgos que están alcanzando los límites de eficacia y cuando ulteriores actualizaciones probablemente sólo faciliten cambios marginales en el impacto y probabilidad del riesgo. Un ejemplo es la respuesta creativa de una empresa de seguros automovilísticos que, ante el alto número de siniestros en ciertos cruces de carreteras, decidió financiar mejoras en la señalización con semáforos, reduciendo así las reclamaciones por accidentes y mejorando los márgenes.
Respuestas Seleccionadas Una vez evaluados los efectos de las respuestas alternativas a los riesgos, la dirección decide cómo pretende gestionar los riesgos, seleccionando una respuesta o una
74
INFORME COSO-OKJ
25/5/05
18:14
Página 75
RESPUESTA
A LOS RIESGOS
combinación de ellas diseñada para situar la probabilidad e impacto del riesgo dentro de las tolerancias establecidas. Sin embargo, cuando una respuesta a los riesgos pudiera desembocar en que el riesgo residual superará la tolerancia establecida, la dirección tiene que volver sobre sus pasos y revisar su respuesta o, bajo ciertas circunstancias, reconsiderar la tolerancia al riesgo establecida. Por tanto, el equilibrio entre riesgo y tolerancia al riesgo puede implicar un proceso iterativo. Evaluar las respuestas alternativas a los riesgos inherentes requiere tener en cuenta los riesgos adicionales que pueden derivarse de cada respuesta, lo que puede iniciar un proceso iterativo en que la dirección, antes de tomar su decisión, considere dichos riesgos adicionales, incluyendo aquellos que pudieran no ser evidentes de modo inmediato. Una vez que la dirección selecciona una respuesta, es posible que necesite desarrollar un plan de implantación para ejecutarla. Una parte crítica de dicho plan es el establecimiento de acciones de control (presentadas en el capítulo siguiente) para asegurar que se lleva a cabo la respuesta a los riesgos. La dirección reconoce que siempre existirá algún nivel de riesgo residual, no sólo por las limitaciones de los recursos, sino también por la incertidumbre del futuro y demás limitaciones inherentes a todas las actividades.
Perspectiva de Carteras de Riesgos La gestión de riesgos corporativos requiere que el riesgo se considere desde una perspectiva: de toda la entidad o desde otra perspectiva de carteras de riesgos. Normalmente, la dirección elige un enfoque en que primero se contemplan los riesgos de cada unidad de negocio, departamento o función y luego su director responsable desarrolla una evaluación compuesta de ellos, que refleja su perfil de riesgo residual respecto a sus objetivos y tolerancias al riesgo. Con una perspectiva del riesgo para cada unidad individual, la alta dirección de una empresa está bien situada para tener una perspectiva de carteras y determinar si el perfil de riesgo residual de la entidad está a la par del riesgo aceptado global respecto a sus objetivos. Los riesgos de las diferentes unidades pueden estar dentro de sus respectivas tolerancias individuales, pero en conjunto pueden superar al riesgo aceptado globalmente por la entidad, en cuyo caso hacen falta respuestas adicionales o diferentes para emplazar el riesgo dentro del nivel de riesgo aceptado. A la inversa, los riesgos pueden compensarse naturalmente a través de la entidad cuando, por ejemplo, algunas unidades individuales tienen un mayor riesgo y otras son relativamente adversas a él, de tal modo que el riesgo global está dentro del riesgo aceptado por la entidad, evitando la necesidad de una respuesta diferente a los riesgos. Una perspectiva de carteras de riesgos puede ser representada de muchas maneras. Puede alcanzarse centrándose en los principales riesgos o categorías de riesgo de las unidades de negocio o de la empresa en su totalidad, usando métricas como el capital ajustado al riesgo o el capital en riesgo. Dichas medidas compuestas son particularmente útiles para medir el riesgo frente a objetivos establecidos en términos de resultados, crecimiento u otras medidas de funcionamiento, a veces relacionadas con el capital asignado o disponible. Estas medidas de la perspectiva de carteras pueden
75
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 76
RIESGOS CORPORATIVOS – MARCO INTEGRADO
facilitar información útil para la reasignación del capital entre unidades y la modificación de la orientación estratégica. Un ejemplo es una empresa industrial que aplica una perspectiva de carteras de riesgos en el contexto de su objetivo de resultados operativos. La dirección aplica las categorías comunes de eventos para captar riesgos en todas las unidades de negocio. A continuación, elabora un gráfico que muestra, por categoría y unidad de negocio, la probabilidad de riesgo en términos de frecuencia en un horizonte temporal y los impactos relativos sobre resultados. El resultado es una perspectiva compuesta, o de carteras, del riesgo al que se enfrenta la empresa, con la dirección y el consejo de administración en situación de considerar la naturaleza, probabilidad y dimensión relativa de los riesgos y cómo pueden afectar a los resultados. Otro ejemplo es una entidad financiera que requiera de sus unidades de negocio que establezcan objetivos, tolerancias al riesgo y medidas de rendimiento, todo en términos de rendimiento del capital ajustado al riesgo. Esta métrica, consistentemente aplicada, ayuda a la dirección a englobar las evaluaciones combinadas de riesgo de las unidades en una perspectiva de carteras de riesgos para la entidad en su conjunto y le permite considerar los riesgos de las unidades por objetivo y determinar si la entidad está dentro de su riesgo aceptado. Cuando se mira el riesgo desde una perspectiva de carteras, la dirección está en posición de considerar si permanece dentro del riesgo aceptado establecido. Además, puede volver a evaluar la naturaleza y tipo del riesgo que desea asumir. En casos donde la perspectiva de carteras contemple significativamente menores riesgos que el riesgo aceptado por la entidad, la dirección puede decidir motivar a los directores de unidades individuales de negocio para que acepten un mayor riesgo en áreas seleccionadas, esforzándose en mejorar el crecimiento y rendimiento global de la entidad.
76
INFORME COSO-OKJ
25/5/05
18:14
Página 77
7. Actividades de control
Resumen del capítulo: Las actividades de control son las políticas y procedimientos que ayudan a asegurar que se llevan a cabo las respuestas de la dirección a los riesgos. Las actividades de control tienen lugar a través de la organización, a todos los niveles y en todas las funciones. Incluyen una gama de actividades –tan diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones del funcionamiento operativo, seguridad de los activos y segregación de funciones.
(Gráfico del cubo)
Las actividades de control son las políticas y procedimientos. Estos últimos son las acciones de las personas para implantar las políticas, directamente o a través de la aplicación de tecnología, y ayudar a asegurar que se llevan a cabo las respuestas de la dirección a los riesgos. Las actividades de control pueden ser clasificadas por la naturaleza de los objetivos de la entidad con la que están relacionadas: estrategia, operaciones, información y cumplimiento.
77
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 78
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Aunque algunas actividades de control corresponden exclusivamente a una sola categoría, a menudo se solapan. Según circunstancias, una determinada actividad de control podría ayudar a alcanzar los objetivos de la entidad en más de una categoría. Por ejemplo, ciertos controles sobre operaciones también pueden ayudar a asegurar una información fiable y las actividades de control sobre la información también pueden servir para llevar a cabo el cumplimiento.
Integración con la respuesta al riesgo Después de haber seleccionado las respuestas al riesgo, la dirección identifica las actividades de control necesarias para ayudar a asegurar que las respuestas a los riesgos se lleven a cabo adecuada y oportunamente. El siguiente ejemplo sirve para ilustrar el vínculo entre objetivos, respuestas a los riesgos y actividades de control. Una empresa fija un objetivo de alcanzar o superar las ventas presupuestadas, identificando como riesgo la falta de conocimientos suficientes sobre factores externos tales como las necesidades actuales y potenciales de los clientes. Para reducir la probabilidad de ocurrencia y el impacto del riesgo, la dirección establece historiales de compra de los clientes actuales y realiza unas nuevas iniciativas de investigación de mercado. Estas respuestas al riesgo sirven como puntos básicos para establecer las actividades de control, incluyendo el seguimiento del desarrollo de dichos historiales en comparación con los calendarios establecidos y la adopción de medidas para asegurar la exactitud de los datos informados. En este sentido, las actividades de control están integradas directamente en el proceso de gestión. Al seleccionar las actividades de control, la dirección considera cómo se relacionan entre sí. En algunos ejemplos, una sola de ellas afecta a riesgos múltiples. En otros, son necesarias muchas actividades de control para una respuesta al riesgo. Incluso, en otros, la dirección puede descubrir que las actividades de control existentes son suficientes para asegurar que las nuevas respuestas a los riesgos se ejecutan eficazmente. Aunque las actividades de control se establecen generalmente para asegurar que las respuestas a los riesgos se lleven a cabo de modo adecuado, con respecto a ciertos objetivos, también constituyen por sí mismas una respuesta al riesgo. Por ejemplo, para un objetivo que establece que unas transacciones específicas deben estar debidamente autorizadas, la respuesta será probablemente unas actividades de control tales como la segregación de funciones o la aprobación por personal supervisor. De igual manera que la selección de respuestas a los riesgos considera su adecuación y el riesgo residual que resulta de ellas, la selección o revisión de las actividades de control debería incluir la consideración de su relevancia y adecuación a la respuesta al riesgo y los objetivos relacionados. Esto puede llevarse a cabo considerando por separado la adecuación de dichas actividades o bien contemplando el riesgo residual dentro del contexto formado por las respuestas al riesgo y las correspondientes actividades de control. Estas últimas son una parte importante del proceso con el que una empresa se esfuerza en alcanzar sus objetivos de negocio. No se realizan simplemente porque sí o porque parezcan la cosa correcta o adecuada a hacer. En el ejemplo anterior, la
78
INFORME COSO-OKJ
25/5/05
18:14
Página 79
ACTIVIDADES
DE CONTROL
dirección necesita tomar medidas para asegurar que se consiguen los objetivos de venta. Las actividades de control sirven como mecanismos para gestionar la consecución de tal objetivo.
Tipos de actividades de control Se han propuesto muchas descripciones diferentes de los tipos de actividades de control, incluyendo los controles de prevención, detección, manuales, informáticos y de dirección. Las actividades de control también pueden tipificarse según objetivos concretos de control, tales como los de asegurar la integridad y exactitud del procesamiento de datos. La figura 7.1 describe las actividades de control utilizadas normalmente. Son solo unos cuantos de entre muchos procedimientos normalmente aplicados por el personal en distintos niveles de la organización que sirven para potenciar la adhesión a los planes de acción establecidos y mantener el rumbo de las entidades hacia el logro de sus objetivos. Se presentan a continuación para ilustrar la amplitud y variedad de las actividades de control y no para sugerir una determinada clasificación. • Revisiones a alto nivel La alta dirección revisa el funcionamiento real en contraste con presupuestos, previsiones y datos de periodos previos y de competidores. Se hace un seguimiento de las iniciativas importantes –tales como las campañas de marketing, la mejora de los procesos de producción y los programas de contención o reducción del coste- para medir hasta qué punto se consiguen los objetivos. También se supervisa la implantación de planes financieros, de desarrollo de nuevos productos y de joint ventures. • Gestión directa de funciones o actividades Los directivos que gestionan las funciones o actividades revisan los informes de rendimiento. Un directivo responsable de los créditos al consumo de un banco revisa los informes por sucursal, región y tipo de préstamo (garantías), verificando los resúmenes, identificando tendencias y comparando los resultados con estadísticas y objetivos económicos. A su vez, los directores de oficina reciben datos de las nuevas operaciones, clasificadas por responsable del préstamo y por segmento de cliente local. Estos directores también se centran en temas de cumplimiento, revisando los informes que requieren los reguladores sobre nuevos depósitos que superen unos importes específicos. Se realizan conciliaciones de los flujos de caja diarios, reportando las posiciones netas a la central para su posterior transferencia e inversión durante la noche. • Procesamiento de la información Se lleva a cabo una variedad de controles para verificar la exactitud, integridad y autorización de las transacciones. Los datos introducidos están sometidos a comprobaciones en línea y conciliaciones con ficheros de control aprobados. Se aceptará un pedido de un cliente, por ejemplo, sólo tras contrastarse con un fichero de clientes y verificarse el límite de crédito autorizado. Las secuencias numéricas de las transacciones son registradas y se hace un seguimiento de las excepciones, que se comunican a niveles superiores. Se controlan el desarrollo de nuevos sistemas y las modificaciones en los existentes, como es el caso del acceso a datos, ficheros y programas. • Controles físicos Los equipos, existencias, valores, efectivo y demás activos están físicamente asegurados, se someten periódicamente a recuentos y se contrastan con los importes de los registros de control. • Indicadores de rendimiento El contraste entre sí de diferentes conjuntos de datos –operativos o financieros–, junto con el análisis de relaciones y las acciones de investigación y corrección, constituye una actividad de control. Los indicadores de rendimiento incluyen, por ejemplo, la rotación de plantilla por unidad. Al investigar resultados inesperados o tendencias inusuales, la dirección identifica las circunstancias en que
79
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 80
RIESGOS CORPORATIVOS – MARCO INTEGRADO
una capacidad insuficiente para completar los procesos claves puede significar que los objetivos tengan una menor probabilidad de alcanzarse. El uso de esta información por los directivos –sólo para decisiones operativas o también para seguir los resultados inesperados en los sistemas de información– determina si el análisis de los indicadores de rendimiento sólo tienen efectos operativos o también de control sobre la información. • Segregación de funciones Las funciones se dividen o segregan entre diferentes personas para reducir el riesgo de error o fraude. Por ejemplo, están segregadas las responsabilidades para autorizar transacciones, registrarlas y manejar el activo correspondiente. Un director que autoriza las ventas a crédito no puede ser responsable del mantenimiento de las cuentas a cobrar o la custodia de los cobros. Asimismo, el personal comercial no tendrá capacidad para modificar los ficheros de precio de productos o los porcentajes de comisión. Figura 7.1
A menudo, se pone en marcha una combinación de controles para tratar las correspondientes respuestas al riesgo. Por ejemplo, la dirección de una empresa fija los límites de transacción para gestionar los riesgos relativos a una cartera de inversión y establece actividades de control diseñadas para ayudar a asegurar que no se superan los límites de contratación. Las actividades de control incluyen controles preventivos, para frenar ciertas transacciones antes de su ejecución, y controles de detección, para identificar otras oportunamente. Las actividades de control combinan controles informáticos y manuales, incluyendo aquellos automatizados que aseguran la captación correcta de la información, y procedimientos de autorización y aprobación de las decisiones de inversión por parte de las personas responsables.
Políticas y procedimientos Las actividades de control normalmente implican dos componentes: una política que establece lo que debe hacerse y procedimientos para llevarla a cabo. Por ejemplo, una política podría exigir la revisión de las actividades de contratación de clientes por parte de un director de oficina de una entidad de gestión bursátil. El procedimiento lo constituye dicha revisión en sí misma, realizada de manera oportuna y con atención a los factores establecidos en la política, tales como la naturaleza y volumen de los valores contratados y su relación con el patrimonio y edad del cliente. Muchas veces, las políticas se comunican verbalmente. Las políticas no escritas pueden ser eficaces cuando la política lleve años en vigor y constituya una práctica bien comprendida y en organizaciones reducidas donde los canales de comunicación impliquen pocos niveles directivos y una interacción estrecha, junto con la supervisión del personal. Pero independientemente de si está escrita o no, una política debería implantarse de forma meditada, consciente y consecuente. Un procedimiento no será útil si se lleva a cabo mecánicamente y sin un enfoque claro y continuo sobre las condiciones a las que se orienta la política. Posteriormente, es esencial investigar las condiciones identificadas como resultado del procedimiento y adoptar las acciones correctivas necesarias. Las acciones de seguimiento podrían variar según la dimensión y estructura organizativa de una empresa. Pueden abarcar desde procesos formales de información de una empresa grande –donde las unidades de negocio explican por qué no se alcanzan los objetivos y qué acciones se están adoptando para
80
INFORME COSO-OKJ
25/5/05
18:14
Página 81
ACTIVIDADES
DE CONTROL
evitar la repetición de ello– hasta el caso de un director-propietario de una empresa pequeña que se desplaza personalmente para hablar con el responsable de planta sobre lo que ha fallado y qué es necesario hacer.
Controles sobre los sistemas de información Con una dependencia importante de los sistemas de información para operar una empresa y alcanzar los objetivos de información y cumplimiento, hacen falta controles sobre dichos sistemas. Pueden usarse dos amplios grupos de actividades de control de los sistemas de información. El primero lo forman los controles generales, que se aplican a muchos de esos sistemas, si no a todos, y ayudan a asegurar que siguen funcionando continua y adecuadamente. El segundo son los controles de aplicación, que incluyen fases informatizadas dentro del software para controlar el proceso. Ambos tipos de controles, combinados con controles manuales de proceso cuando sea necesario, operan juntos para asegurar la integridad, exactitud y validez de la información.
Controles Generales Los controles generales incluyen controles sobre la gestión de la tecnología de información, su infraestructura, la gestión de seguridad y la adquisición, desarrollo y mantenimiento del software. Se aplican a todos los sistemas –desde entornos de mainframes o cliente/servidor hasta ordenadores de sobremesa o portátiles. La Figura 7.2 propone ejemplos de controles comunes dentro de estas categorías.
• Gestión de la tecnología de información Un comité de trabajo proporciona supervisión, seguimiento e información de las actividades de tecnología informática y las iniciativas para su mejora. • Infraestructuras de la tecnología de información Los controles se aplican a la definición, adquisición, instalación, configuración, integración y mantenimiento de los sistemas. Pueden incluir acuerdos de servicio que establezcan y potencien su funcionamiento, los planes de continuidad del negocio que mantienen la disponibilidad del sistema, el seguimiento del rendimiento de la red para detectar fallos operativos y la programación de tiempos para las operaciones informáticas. El componente del software del sistema dentro de la infraestructura de la tecnología de información puede incluir controles tales como la revisión y aprobación de nuevas adquisiciones significativas por parte de la dirección o un comité de trabajo, la restricción de accesos a la configuración del sistema y al software del sistema operativo, las conciliaciones automáticas de datos a los que se accede a través del software “middleware” y la detección de bit de paridad en los errores de comunicación. Los controles del software del sistema también incluyen el seguimiento de incidencias, el “logging” del sistema y la revisión de informes de detalle sobre el uso de utilidades informáticas que alteren los datos. • Gestión de la seguridad Son controles de acceso lógico tales como contraseñas seguras de restricción de accesos a la red, bases de datos y aplicaciones. Las cuentas y números de usuario y los correspondientes controles del privilegio de acceso ayudan a limitar éste sólo a las aplicaciones o funciones necesarias para que cada usuario autorizado desempeñe su cometido. Los “firewalls” de Internet y las redes privadas virtuales protegen los datos contra acceso externo sin autorización. • Adquisición, desarrollo y mantenimiento del software Los controles sobre la adquisición e implantación del software se incorporan a un proceso estable-
81
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 82
RIESGOS CORPORATIVOS – MARCO INTEGRADO
cido para gestionar el cambio, incluyendo los requisitos de documentación, la comprobación de la aceptación del usuario, las pruebas de carga y las evaluaciones del riesgo de proyectos. El acceso a los códigos fuente está controlado mediante una librería de códigos. Las personas que desarrollan software sólo trabajan en entornos segregados de desarrollo/prueba y no tienen acceso al entorno de producción. Los controles sobre los cambios en el sistema incluyen la necesaria autorización de las solicitudes de modificación, revisión de los cambios, aprobaciones, documentación, comprobaciones, implicaciones de los cambios para otros componentes de la tecnología de información, resultados de las pruebas de carga y protocolos de implantación.
Figura 7.2
Controles de Aplicación Los controles de aplicación se centran directamente en la integridad, exactitud, autorización y validez de la captación y procesamiento de datos. Ayudan a asegurar que los datos se captan o generan en el momento de necesitarlos, que las aplicaciones de soporte estén disponibles y que los errores de interfaz se detecten rápidamente. Un objetivo importante de los controles de aplicación es prevenir que los errores se introduzcan en el sistema, así como detectarlos y corregirlos una vez introducidos en él. Para ello, los controles de aplicación a menudo implican comprobaciones informatizadas de edición, que consisten en formato, existencia, razonabilidad y otras comprobaciones de datos integrados ya en las aplicaciones durante su desarrollo. Si se diseñan correctamente, pueden facilitar el control sobre los datos introducidos en el sistema. La Figura 7.3 ofrece ejemplos de controles de aplicación. Son sólo unos cuantos entre múltiples controles realizados cada día, mediante cálculo y contraste, que sirven para prevenir y detectar la captación y procesamiento de datos inexactos, incompletos, inconsecuentes o inadecuados. • Equilibrar las actividades de control Detectar los errores en la captación de datos, mediante la conciliación entre los importes introducidos, manual o automáticamente, y un total de control. Una empresa cuadra automáticamente el número total de transacciones procesadas y transferidas desde su sistema on-line de introducción de pedidos con el número de transacciones recibidas en su sistema de facturación. • Dígitos de control Validan los datos mediante cálculos. La numeración de los repuestos de una empresa contiene un dígito de control que detecta y corrige pedidos inexactos a sus proveedores. • Listados predefinidos de datos Proporcionan al usuario listas preestablecidas de datos aceptables. La Intranet de una empresa ofrece listas de selección de productos disponibles para su compra. • Pruebas de razonabilidad de datos Comparan los datos captados con una pauta existente o aprendida de razonabilidad. Un pedido solicitado a un proveedor por un minorista del sector de bricolaje por un volumen inusual de tableros de madera provoca una revisión. • Pruebas lógicas Incluyen el uso de límites de rango o pruebas alfanuméricas o de valor. Una agencia gubernamental detecta errores potenciales en los números de la seguridad social verificando si todos los números introducidos contienen nueve dígitos.
Figura 7.3
82
INFORME COSO-OKJ
25/5/05
18:14
Página 83
ACTIVIDADES
DE CONTROL
Aspectos Específicos de las Entidades
Debido a que cada entidad tiene su propio conjunto de objetivos y enfoques de implantación, existirán diferencias en las respuestas al riesgo y las actividades de control relacionadas. Incluso cuando dos entidades tuvieran objetivos idénticos y tomasen decisiones similares respecto a cómo alcanzarlos, las actividades de control probablemente serían distintas. Cada entidad está gestionada por personas diferentes que tienen criterios individuales diferentes en la aplicación de controles. Es más, los controles reflejan el entorno y sector en que opera una entidad, así como su dimensión y complejidad de organización, la naturaleza y alcance de sus actividades y sus antecedentes y cultura. Las organizaciones grandes y complejas con diversidad de actividades pueden enfrentarse a situaciones de control más difíciles que las organizaciones pequeñas y sencillas con actividades menos variadas. Una entidad con operaciones descentralizadas y un énfasis en la autonomía e innovación local presenta diferentes circunstancias de control que otra altamente centralizada. Otros factores que influyen en la complejidad de una entidad, y, por tanto, la naturaleza de sus controles, incluyen la ubicación y dispersión geográfica, la extensión y sofisticación de las operaciones y los métodos de procesamiento de información.
83
INFORME COSO-OKJ
25/5/05
18:14
Página 84
INFORME COSO-OKJ
25/5/05
18:14
Página 85
8. Información y comunicación
Resumen del capítulo: La información pertinente se identifica, capta y comunica de una forma y en un marco de tiempo que permiten a las personas llevar a cabo sus responsabilidades Los sistemas de información usan datos generados internamente y otras entradas de fuentes externas y sus salidas informativas facilitan la gestión de riesgos y la toma de decisiones informadas relativas a los objetivos. También existe una comunicación eficaz fluyendo en todas direcciones dentro de la organización. Todo el personal recibe un mensaje claro desde la alta dirección de que deben considerar seriamente las responsabilidades de gestión de los riesgos corporativos. Las personas entienden su papel en dicha gestión y cómo las actividades individuales se relacionan con el trabajo de los demás. Asimismo, deben tener unos medios para comunicar hacia arriba la información significativa. También debe haber una comunicación eficaz con terceros, tales como los clientes, proveedores, reguladores y accionistas.
(Gráfico del cubo)
85
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 86
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Cada empresa identifica y capta una amplia gama de información, relativa a los eventos y actividades tanto externos como internos, relevantes para dirigir la entidad. Esta información se facilita al personal de una forma y en un marco de tiempo que le permitan llevar a cabo su gestión de riesgos corporativos y demás responsabilidades.
Información La información se necesita a todos los niveles de la organización para identificar, evaluar y responder a los riesgos y por otra parte dirigir la entidad y conseguir sus objetivos. Se usa mucha información, relevante para una o más categorías de objetivos. La información operativa de fuentes internas y externas, tanto financiera como no financiera, es relevante para múltiples objetivos de negocio. La información financiera, por ejemplo, se usa para elaborar los estados financieros con fines de información y también para tomar decisiones operativas, tales como la supervisión del funcionamiento y la asignación de recursos. Una información financiera fiable es básica para planificar, presupuestar, fijar precios, evaluar el rendimiento del vendedor, evaluar joint ventures y alianzas y llevar a cabo otras actividades de gestión. De forma similar, la información operativa es esencial para elaborar los informes financieros y de otro tipo. Esto incluye aquella más rutinaria –compras, ventas y demás transacciones– junto con la correspondiente a nuevas versiones de producto o condiciones económicas de los competidores, que pueden afectar a las existencias y las valoraciones de cuentas a cobrar. La información necesaria a efectos de cumplimiento, tal como la relativa a las emisiones de partículas a la atmósfera o datos del personal, también puede aplicarse a objetivos de información financiera. La información procede de muchas fuentes –internas y externas, de forma cuantitativa y cualitativa– y facilita respuestas a las condiciones cambiantes. Un reto para la dirección es cómo procesar y depurar grandes volúmenes de datos para convertirlos en información manejable y se enfrenta a él estableciendo una infraestructura de sistemas de información para buscar, captar, procesar, analizar y comunicar la información relevante. Estos sistemas –habitualmente informatizados, pero conteniendo también entradas manuales o interfaces– se ven a menudo dentro del contexto del procesamiento de datos generados internamente. Pero los sistemas de información tienen una aplicación más amplia. También abordan características o circunstancias de eventos externos, por ejemplo, datos económicos específicos de un mercado o sector que muestran cambios en la demanda de los productos o servicios de una empresa, datos sobre productos y servicios para los procesos de producción, información de mercado sobre la evolución de preferencias o demandas del consumidor, información sobre las actividades de desarrollo de productos de los competidores e iniciativas legislativas o normativas. Los sistemas de información pueden ser formales o informales. Las conversaciones con clientes, proveedores, reguladores y personal de la entidad a menudo proporcionan información crítica necesaria para identificar riesgos y oportunidades. De forma similar, la asistencia a seminarios profesionales o del sector y la participación en asociaciones mercantiles o de otro tipo pueden ser una fuente de información valiosa. Es particularmente importante mantener la información en forma coherente con las necesidades cuando una entidad se enfrenta a cambios fundamentales en el sector,
86
INFORME COSO-OKJ
25/5/05
18:14
Página 87
INFORMACIÓN
Y COMUNICACIÓN
competidores muy innovadores y rápidos o cambios significativos en la demanda de los consumidores. Los sistemas de información cambian según la necesidad de apoyo a nuevos objetivos, por lo que deben identificar y captar la información financiera y no financiera y procesarla y comunicarla en un marco de tiempo y una forma que sean útiles para controlar las actividades de la entidad.
Sistemas Estratégicos e Integrados Como las empresas se han hecho más colaboradoras con los clientes, proveedores y socios de negocio y se integran más con ellos, la división entre la arquitectura de los sistemas de información de una entidad y la de los terceros es cada vez más ténue. Como resultado, el procesamiento y la gestión de datos a menudo llega a ser una responsabilidad compartida de múltiples entidades. En tales casos, la arquitectura de los sistemas de información de una organización debe ser suficientemente flexible y ágil como para integrarse eficazmente con los terceros vinculados. El diseño de una arquitectura de sistemas de información y la adquisición de la tecnología son aspectos importantes de la estrategia de una entidad y las decisiones respecto a la tecnología pueden resultar críticas para lograr los objetivos. Las decisiones sobre la selección e implantación de tecnología dependen de muchos factores, incluyendo objetivos organizativos, necesidades del mercado y exigencias competitivas. Aunque los sistemas de información sean fundamentales para una gestión eficaz de riesgos corporativos, también las técnicas empleadas en esta gestión pueden ayudar a tomar decisiones tecnológicas. Desde hace mucho tiempo, los sistemas de información se diseñan y aplican para apoyar la estrategia de negocio. Este papel se hace crítico a medida que las necesidades del negocio cambian y la tecnología crea nuevas oportunidades para aprovechar una ventaja estratégica. En algunos casos, los cambios tecnológicos han reducido la ventaja adquirida en el despliegue inicial, al impulsar un nuevo rumbo estratégico. Por ejemplo, los sistemas de reserva de las líneas aéreas que facilitaron a los agentes de viajes un acceso fácil a la información de vuelo, luego se desplazaron hacia el cliente –enfrentándose a sistemas de reserva por Internet, reduciendo o eliminando de modo significativo la implicación de la agencia de viajes tradicional.
Integración con las Operaciones Los sistemas de información a menudo están totalmente integrados en la mayoría de los aspectos de las operaciones. Los sistemas de Internet o basados en la red son frecuentes y muchas empresas tienen sistemas de información para toda la entidad, tales como la planificación corporativa de recursos. Estas aplicaciones facilitan el acceso a información previamente enmarcada en silos funcionales o departamentales, haciéndola así disponible para un uso amplio de la dirección. Las transacciones se registran y siguen en tiempo real, permitiendo a los directivos acceder inmediatamente a información financiera y operativa de forma más eficaz para controlar las actividades del negocio. Por ejemplo, una empresa constructora dedicada a proyectos a gran escala utiliza un sistema integrado, basado en una extranet, para alcanzar las expectativas del mercado y de eficiencia. El sistema proporciona información que
87
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 88
RIESGOS CORPORATIVOS – MARCO INTEGRADO
ayuda a los directivos a seguir las existencias y componentes suministrados a los clientes, identificar los excesos y defectos de suministros de material en muchas obras, obtener un ahorro de costes respecto a los proveedores de materiales usuales, vincularse a organizaciones similares para obtener descuentos por volumen y supervisar las actividades de los subcontratistas. Esto también permite al personal compartir sin fisuras los planos actuales con arquitectos e ingenieros, clientes, subcontratistas y reguladores, aunque manteniendo el control de las versiones de los planos. Adicionalmente, el sistema abarca las capacidades de gestión del conocimiento que permite a los empleados de la empresa compartir soluciones innovadoras en toda la organización. Para apoyar una gestión eficaz de riesgos corporativos, una entidad capta y usa datos actuales e históricos. Los datos históricos permiten seguir el funcionamiento real respecto a objetivos, planes y expectativas y proporcionan ideas sobre el rendimiento de la entidad bajo condiciones pasadas, permitiendo a la dirección identificar correlaciones y tendencias y prever el funcionamiento futuro. Los datos históricos también pueden facilitar un aviso anticipado de eventos potenciales que merecen la atención de la dirección. Los datos presentes o actuales permiten a la entidad determinar si se mantiene dentro de las tolerancias al riesgo establecidas y permiten a la dirección tener una perspectiva en tiempo real de los riesgos existentes en un proceso, función o unidad e identificar variaciones frente a las expectativas. Los desarrollos en los sistemas de información han mejorado la capacidad de muchas organizaciones para medir y supervisar el funcionamiento y presentar información analítica a escala corporativa. La complejidad e integración de los sistemas continua, con organizaciones que utilizan nuevas capacidades tecnológicas a medida que éstas surgen. Sin embargo, la creciente dependencia de los sistemas de información a niveles estratégico y operativo genera nuevos riesgos –tales como los fallos de seguridad o los fraudes informáticos- que deben integrarse en la gestión de riesgos corporativos de la entidad.
Profundidad y Oportunidad de la Información La infraestructura de la información busca y capta datos dentro de un marco de tiempo y con una profundidad consecuentes con la necesidad de la entidad de identificar, evaluar y responder al riesgo y permanecer dentro de las tolerancias a él. La oportunidad del flujo de información necesita ser coherente con el ritmo de cambio de los ámbitos externo e interno de la entidad. La importancia de la profundidad de los datos se ilustra si observamos diferentes eventos que afectan a una agencia de valores ubicada en una ciudad propensa a las inundaciones. Para planificar la continuidad del negocio, la dirección mantiene un conocimiento general de las condiciones de inundación potencial y está en situación de aconsejar al personal cuándo desplazarse a las instalaciones de seguridad. La información captada a este alto nivel es suficiente para permitir que la firma gestione adecuadamente el riesgo. En contraste, como agencia de valores que es, la firma busca y capta continuamente cambios en los precios de valores, bonos y bienes tangibles hasta con varios decimales. Este nivel de oportunidad y detalle de los datos es
88
INFORME COSO-OKJ
25/5/05
18:14
Página 89
INFORMACIÓN
Y COMUNICACIÓN
consecuente con la necesidad que tiene la firma de responder inmediatamente a los cambios de precios que puedan generar riesgos, tales como una posición que asume demasiado riesgos respecto a un solo sector de mercado o un valor que no concuerda con el riesgo aceptado de la firma. La infraestructura de información transforma los datos no tratados en información relevante que ayuda al personal a llevar a cabo su gestión de riesgos corporativos y demás responsabilidades. La información se proporciona en una forma y dentro de un marco de tiempo que permite las actuaciones, es utilizable con facilidad y están vinculadas a las responsabilidades definidas. Los avances en la recogida, procesamiento y almacenamiento de datos han dado como resultado un crecimiento exponencial del volumen de datos. Con más datos disponibles –a menudo en tiempo real– para más gente en una organización, el reto es evitar la “sobrecarga de información”, asegurando el flujo de la información adecuada, en la forma adecuada, al nivel de detalle adecuado, a las personas adecuadas y en el momento adecuado. En el desarrollo de la infraestructura de conocimientos e información, hay que contemplar los distintos requisitos de información de los usuarios y departamentos y la información de resumen necesaria para los diferentes niveles de dirección.
Calidad de la Información Dada la creciente dependencia en sofisticados sistemas de información y en sistemas y procesos para la toma de decisiones automatizados e impulsados por los datos, es esencial la fiabilidad de estos últimos. Unos datos inexactos pueden dar como resultado riesgos no identificados o pobres evaluaciones y decisiones empresariales equivocadas.
La calidad de la información incluye averiguar si: • Su contenido es adecuado – ¿Está al nivel correcto de detalle? • Es oportuna – ¿Está disponible cuando se necesita y dentro de un plazo adecuado? • Está actualizada – ¿Es la última información disponible? • Es exacta – ¿Sus datos son correctos? • Está accesible – ¿Las personas que la necesitan pueden obtenerla fácilmente? Para impulsar la calidad de los datos, las entidades establecen programas corporativos para su gestión que abarcan la adquisición, mantenimiento y distribución de información relevante. Sin tales programas, los sistemas de información no podrían facilitar la información que la dirección y otro personal requieren. Los retos son muchos, pues los conflictos entre necesidades funcionales, restricciones del sistema y procesos no integrados pueden inhibir la adquisición y uso efectivo de los datos. Para enfrentarse a ellos, la dirección establece un plan estratégico con claras responsabilidades sobre la integridad de los datos y realiza periódicamente evaluaciones de su calidad.
89
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 90
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Para realizar una gestión de riesgos corporativos, es fundamental disponer de una información correcta y en el lugar y momento adecuados. Por esto, los sistemas de información, aunque constituyan un componente de la gestión de riesgos corporativos, también deben ser controlados.
Comunicación La comunicación es inherente a los sistemas de información. Como ya se ha comentado antes, estos sistemas deben proporcionar información al personal adecuado, para que pueda llevar a cabo sus responsabilidades operativas, de información y de cumplimiento. Pero la comunicación también debe tener lugar en un sentido más amplio, abordando las expectativas, las responsabilidades de los individuos y grupos y otros temas importantes.
Comunicación Interna La dirección proporciona comunicaciones específicas y orientadas que se dirigen a las expectativas de comportamiento y las responsabilidades del personal. Esto incluye una exposición clara de la filosofía y enfoque de la gestión de riesgos corporativos de la entidad y una delegación clara de autoridad. La comunicación sobre procesos y procedimientos debería alinearse con la cultura deseada y reforzarla. La comunicación debe expresar eficazmente: • La importancia y relevancia de una gestión eficaz de riesgos corporativos • Los objetivos de la entidad • El riesgo aceptado y las tolerancias al riesgo de la entidad • Un lenguaje común de riesgos • Los papeles y responsabilidades del personal al desarrollar y apoyar los componentes de la gestión de riesgos corporativos Todo el personal, sobre todo aquél con responsabilidades importantes en la gestión operativa o financiera, necesita recibir de la alta dirección un mensaje claro acerca de que la gestión de riesgos corporativos debe realizarse seriamente. Son importantes la claridad del mensaje y la eficacia con que se comunique. El personal también debe saber cómo sus actividades se relacionan con el trabajo de los demás. Este conocimiento es necesario para reconocer un problema o determinar su causa y la acción correctora. También deben saber qué comportamiento es considerado aceptable o no. Ha habido ejemplos muy difundidos de información fraudulenta, en los que los directivos, bajo presión de cumplir los presupuestos, alteraron los resultados operativos. En algunos de estos casos, nadie les había dicho a estos individuos que esta práctica podría ser ilegal o inadecuada, lo que subraya la naturaleza crítica de cómo se comunican los mensajes dentro de una organización. Un directivo que da instrucciones a sus subordinados diciendo “Hay que cumplir el presupuesto. No me importa cómo lo hagan, pero háganlo” puede estar enviando un mensaje equivocado sin darse cuenta.
90
INFORME COSO-OKJ
25/5/05
18:14
Página 91
INFORMACIÓN
Y COMUNICACIÓN
Los empleados de línea que tratan los temas operativos críticos cada día son a menudo los mejor situados para reconocer los problemas cuando surgen y los canales de comunicación deberían asegurar que el personal puede comunicar la información basada en el riesgo a todas las unidades de negocio, procesos o funciones, además de enviarla a sus superiores. Por ejemplo, los representantes comerciales o los gestores de cuenta pueden enterarse de las necesidades importantes del cliente sobre el diseño de un producto, el personal de producción puede conocer unas deficiencias costosas de proceso y el personal de compras puede encontrarse con incentivos inadecuados procedentes de los proveedores. Los fallos de comunicación pueden ocurrir cuando se disuade a personas o unidades de negocio de que faciliten información importante a otras personas o unidades o bien cuando aquellas no tienen herramientas para hacerlo. El personal podría ser consciente de los riesgos importantes, pero puede estar poco dispuesto a informar de ellos o ser incapaz de hacerlo. Para que tal información sea informada, debe haber canales abiertos de comunicación y una clara disposición de escucha. El personal debe creer que sus superiores realmente quieren conocer los problemas y tratarlos eficazmente. La mayoría de los directivos reconocen intelectualmente que deberían evitar la reacción de “matar al mensajero”. Sin embargo, al calor del momento, pueden ser poco receptivos a las personas que aportan problemas legítimos. El personal absorbe rápidamente las señales orales o no orales cuando un superior no tiene el tiempo ni el interés para tratar los problemas detectados. Y para colmo, el directivo poco receptivo es el último en saber que el canal de comunicaciones ha sido efectivamente sellado. En la mayoría de los casos, las líneas normales de información de una organización son los canales adecuados de comunicación. En algunas circunstancias, sin embargo, hacen falta líneas de comunicación independientes que sirvan como mecanismo de seguridad en caso de que los canales normales no sean operativos. Junto con la supervisión del consejo o del comité de auditoría, muchas empresas proporcionan, y hacen que los empleados lo sepan, un canal directo al responsable de auditoría interna, al asesor legal o a otro alto directivo con acceso al consejo de administración y las leyes y normas exigen cada vez más que las compañías establezcan estos mecanismos. Debido a su importancia, una gestión eficaz de riesgos corporativos requiere dicho canal alternativo de comunicaciones. Sin ambos canales de comunicación abiertos y sin disposición a escuchar, el flujo ascendente de información puede bloquearse. Es importante que el personal entienda que no habrá represalias por comunicar información relevante. Se envía un mensaje claro con la existencia de mecanismos que animen a los empleados a informar de las violaciones sospechadas del código de conducta de una entidad o por el trato que se dé al personal que presente denuncias. Puede potenciarse estos mensajes importantes con un código de conducta integral y relevante, sesiones de formación del personal, mecanismos corporativos permanentes de comunicaciones y retroalimentación y un ejemplo adecuado de la alta dirección. Entre los canales más críticos de comunicación está aquél entre la alta dirección y el consejo de administración. La dirección debe mantener al día al consejo sobre el funcionamiento de la entidad, los riesgos que afronta, la gestión corporativa de estos últimos y demás eventos o temas relevantes. Cuanto mejor sean las comunicaciones, más eficaz será el consejo en llevar a cabo sus responsabilidades supervisoras –actuando como una caja de resonancia para la dirección en temas críticos, siguiendo sus actividades y facilitando consejos y orientación. Del mismo modo, el consejo
91
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 92
RIESGOS CORPORATIVOS – MARCO INTEGRADO
debería comunicar sus necesidades de información a la dirección y, a su vez, proporcionarle retroalimentación y guía.
Comunicación Externa Existe la necesidad de una comunicación adecuada no sólo dentro de la entidad, sino también con el mundo exterior. Con canales de comunicación externos abiertos, los clientes y proveedores pueden proporcionar inputs muy significativos sobre el diseño o la calidad de los productos o servicios, permitiendo a la empresa tratar las demandas o preferencias del cliente en evolución. Por ejemplo, las quejas y reclamaciones presentadas por los clientes o proveedores acerca de entregas, cobros, facturas o demás actividades a menudo señalan problemas operativos y posiblemente prácticas fraudulentas o inadecuadas. La dirección debería estar dispuesta a reconocer las implicaciones de tales circunstancias e investigar y tomar las necesarias medidas correctivas, centrándose en el impacto sobre la información financiera, el cumplimiento y los objetivos operativos. Una comunicación abierta sobre el riesgo tolerado y la tolerancia al riesgo es importante, particularmente para entidades vinculadas con otras en cadenas de suministro o empresas de comercio electrónico. En tales casos, la dirección considera cómo ambos conceptos se alinean con los de sus asociados, asegurando que no se acepte inadvertidamente demasiado riesgo a través de sus socios. La comunicación con grupos de interés, reguladores, analistas financieros y otros terceros les proporciona información relevante para sus necesidades, pues pueden comprender rápidamente las circunstancias y riesgos a los que se enfrenta la entidad. Esta comunicación debería ser significativa, pertinente y oportuna y estar de acuerdo con las disposiciones legales y regulatorias. El compromiso de la dirección con la comunicación hacia terceros –si es abierta, franca y seria en el seguimiento o no lo es– también envía un mensaje a través de la organización.
Medios de Comunicación La comunicación puede tomar formas tales como un manual de políticas, escritos internos, correos electrónicos, novedades en los tablones de anuncios, mensajes en la web y de vídeo. Cuando los mensajes se transmiten verbalmente –en grandes grupos, reuniones reducidas o entrevistas personales– el tono de voz y el lenguaje corporal ponen énfasis a lo que se está diciendo. La manera como la dirección trata al personal puede comunicar un mensaje potente. Los directivos deberían recordar que sus acciones hablan más fuerte que sus palabras. Dichas acciones están, a su vez, influidas por la historia y cultura de la entidad, basadas en observaciones anteriores de cómo sus mentores trataron situaciones similares. Una entidad con un historial de integridad operativa y cuya cultura está bien asumida por las personas de la organización, probablemente tenga poca dificultad para comunicar su mensaje. Una entidad sin tal tradición necesitará esforzarse más en la forma en que comunique sus mensajes.
92
INFORME COSO-OKJ
25/5/05
18:14
Página 93
9. Supervisión
Resumen del capítulo: La gestión de riesgos corporativos se supervisa - revisando la presencia y funcionamiento de sus componentes a lo largo del tiempo, lo que se lleva a cabo mediante actividades permanentes de supervisión, evaluaciones independientes o una combinación de ambas técnicas. Durante el transcurso normal de las actividades de gestión, tiene lugar una supervisión permanente. El alcance y frecuencia de las evaluaciones independientes dependerá fundamentalmente de la evaluación de riesgos y la eficacia de los procedimientos de supervisión permanente. Las deficiencias en la gestión de riesgos corporativos se comunican de forma ascendente, trasladando los temas más importantes a la alta dirección y al consejo de administración.
La gestión de riesgos corporativos de una entidad cambia con el tiempo. Las respuestas a los riesgos que antaño eran eficaces pueden llegar a ser irrelevantes, las actividades de control pueden resultar menos eficaces o inexistentes o los objetivos de la entidad pueden cambiar. Esto puede ser debido a la llegada de nuevo personal,
93
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 94
RIESGOS CORPORATIVOS – MARCO INTEGRADO
cambios en la estructura u orientación de la entidad o la introducción de nuevos procesos. Enfrentada a tales cambios, la dirección necesita determinar si el funcionamiento de la gestión de riesgos corporativos continua siendo eficaz. La supervisión puede realizarse de dos maneras: a través de actividades permanentes o mediante evaluaciones independientes. Los mecanismos de gestión de riesgos corporativos normalmente se estructuran para que puedan autocontrolarse permanentemente, al menos hasta cierto punto. Cuanto mayor es el alcance y eficacia de la supervisión permanente, existe menor necesidad de elaborar evaluaciones independientes. La frecuencia necesaria de éstas últimas para que la dirección tenga una seguridad razonable de la eficacia de la gestión de riesgos corporativos es una cuestión de criterio de la dirección. Para determinarla, se tendrá en cuenta la naturaleza y alcance de los cambios producidos y sus riesgos correspondientes, la competencia y experiencia del personal que implanta las respuestas a los riesgos y sus controles correspondientes y, también, los resultados de la supervisión permanente. Normalmente, alguna combinación de supervisión permanente y evaluaciones independientes asegurará que la gestión de riesgos corporativos mantiene su eficacia en el tiempo. La supervisión permanente está integrada en las actividades operativas normales y recurrentes de una entidad. La supervisión se lleva a cabo en tiempo real, reacciona de modo dinámico a las condiciones cambiantes y está integrada en la entidad, de tal manera que resulta más eficaz que las evaluaciones independientes. Como las evaluaciones independientes tienen lugar después de los hechos, a menudo los problemas se identificarán más rápidamente con las pautas de supervisión permanente. Muchas entidades con sólidas actividades de supervisión permanente realizan, sin embargo, evaluaciones independientes de la gestión de riesgos corporativos periódicamente. Una entidad que perciba alguna necesidad de realizar frecuentes evaluaciones independientes debería centrarse en la mejora de sus actividades de supervisión permanente.
Actividades de Supervisión Permanente Muchas actividades sirven para seguir la eficacia de la gestión de riesgos corporativos durante el transcurso normal del negocio. Se derivan de las actividades normales de gestión, que podrían implicar análisis de varianza, comparaciones de información procedente de fuentes diferentes y el análisis y tratamiento de acontecimientos inesperados. Son los directivos de línea o función de apoyo quienes llevan a cabo las actividades de supervisión y dan meditada consideración a las implicaciones de la información que reciben. Al centrarse en relaciones, incoherencias u otras implicaciones relevantes, plantean cuestiones y las siguen con otro personal, según sea necesario, para determinar si es precisa una acción correctiva o de otro tipo. Las actividades permanentes de supervisión se distinguen de las actividades de funcionamiento según lo requiera la política de procesos de negocio. Por ejemplo, se definen mejor como actividades de control las aprobaciones de transacciones, las conciliaciones de saldos y la verificación de exactitud de los cambios en los ficheros maestros, realizadas según las pautas marcadas por los sistemas informáticos o los procesos de contabilidad.
94
INFORME COSO-OKJ
25/5/05
18:14
Página 95
SUPERVISIÓN
La figura 9.1 incluye ejemplos de actividades de supervisión permanente. • Los directivos que revisan los informes operativos, usados para gestionar las operaciones de modo permanente, pueden detectar inexactitudes o excepciones relativas a los resultados esperados. Por ejemplo, los directores de ventas, compras y producción al nivel de división, filial y entidad que están en contacto con las operaciones pueden cuestionar los informes que discrepen significativamente de su conocimiento de las operaciones. Una información oportuna y completa y la resolución de dichas excepciones mejoran la eficacia del proceso. • Los cambios en la información incluida en los modelos de valor en riesgo usados para evaluar los impactos de los movimientos potenciales del mercado sobre la posición financiera de la entidad se refieren a las transacciones financieras comunicadas, centrándose en las relaciones esperadas. • Las comunicaciones de terceros corroboran la información generada internamente o indican incidencias. De hecho, los clientes contrastan implícitamente los datos de facturación efectuando su pago. Por otro lado, las reclamaciones de clientes sobre facturas podrían indicar deficiencias en el sistema de procesamiento de las transacciones de ventas. Asimismo, los informes de los directores de inversión sobre beneficios, pérdidas e ingresos en operaciones con valores pueden confirmar los registros de la entidad (o los propios de los directores) o señalar problemas en ellos. La revisión de las políticas y prácticas de seguridad en una empresa aseguradora proporciona información sobre la seguridad operativa y el grado de cumplimiento. • Los reguladores se comunican con la dirección sobre temas de cumplimiento u otros que reflejan el funcionamiento de la gestión de riesgos corporativos. • Los auditores y asesores internos y externos facilitan periódicamente recomendaciones para reforzar la gestión de riesgos corporativos. Los auditores pueden prestar una atención considerable a los riesgos claves, las respuestas a ellos y el diseño de las actividades de control. Pueden identificarse debilidades potenciales y recomendarse a la dirección acciones alternativas, acompañadas de información útil para efectuar determinaciones sobre coste-beneficio. Los auditores internos y otro personal que desarrolle funciones similares de revisión pueden ser particularmente eficaces en la supervisión de las actividades de la entidad. • Los seminarios de formación, sesiones de planificación y otras reuniones proporcionan una retroalimentación importante a la dirección sobre si la gestión de riesgos corporativos está siendo eficaz. Junto a problemas particulares que pueden indicar la presencia de temas de riesgo, a menudo se hace patente la consciencia de los participantes respecto al riesgo y el control interno. • Durante el transcurso normal de la gestión del negocio, los directivos comentan con el personal temas tales como su entendimiento del código de conducta de la identidad, cómo identifican los riesgos y asuntos relacionados con el control de las actividades. Estos comentarios confirman el funcionamiento correcto de los componentes de la gestión de riesgos corporativos o sacan a la superficie cuestiones que requieren atención.
Figura 9.1
Evaluaciones Independientes Aunque los procedimientos de seguimiento permanente normalmente proporcionan una retroalimentación importante sobre la eficacia de otros componentes de la gestión de riesgos corporativos, puede resultar provechoso echar un nuevo vistazo de vez en cuando, centrándose directamente sobre la eficacia de dicha gestión. Esto también proporciona una oportunidad de tener en cuenta la eficacia continuada de los procedimientos de supervisión permanente.
95
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 96
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Alcance y Frecuencia Las evaluaciones de la gestión de riesgos corporativos varían en alcance y frecuencia según la significatividad de los riesgos y la importancia de las respuestas a ellos, así como los correspondientes controles disponibles para gestionarlos. Las áreas de riesgo de alta prioridad y sus respuestas tienden a evaluarse más a menudo. La evaluación de la totalidad de la gestión de riesgos corporativos –que generalmente se necesita con menor frecuencia que la evaluación de partes concretas de la entidadpuede estar suscitada por diversas razones: cambios importantes en la estrategia o gestión, adquisiciones o enajenaciones, cambios en las condiciones económicaso políticas y cambios en las operaciones o los métodos de procesamiento de datos. Cuando se toma la decisión de realizar una evaluación integral de la gestión de riesgos corporativos de una entidad, hay que dirigir la atención hacia su aplicación en el establecimiento de la estrategia, así como en relación con las actividades significativas. El alcance de la evaluación también dependerá de qué categorías de objetivos –estratégicos, operativos, de información y de cumplimiento- van a tenerse en cuenta.
Quién Evalúa A menudo, las evaluaciones tienen la forma de autoevaluaciones, en las que los responsables de una determinada unidad o función establecen la eficacia de la gestión de riesgos corporativos en sus actividades. Por ejemplo, el consejero delegado de una división dirige la evaluación de sus actividades de gestión de riesgos. Personalmente, evalúa las actividades relativas a las decisiones estratégicas y los objetivos de alto nivel, junto al componente de ámbito interno, mientras que las personas responsables de las diversas actividades operativas de la división evalúan la eficacia de los componentes de la gestión de riesgos relacionados con sus respectivas áreas de responsabilidad. Los directores de línea se centran en los objetivos operativos y de cumplimiento y el controller de la división afronta los objetivos de información. A continuación, la alta dirección considera las evaluaciones de la división, junto con las de otras divisiones de la empresa. Los auditores internos normalmente realizan evaluaciones como parte de sus funciones normales o a petición expresa de la alta dirección, el consejo de administración o los directivos de filiales y divisiones. Asimismo, la dirección puede utilizar información de los auditores externos para considerar la eficacia de la gestión de riesgos corporativos. Se puede aplicar una combinación de esfuerzos a la realización de los procedimientos de evaluación que la dirección estime necesarios.
Proceso de Evaluación La evaluación de la gestión de riesgos corporativos constituye un proceso en sí misma. Aunque los enfoques o técnicas varían, hay que aportar al proceso una disciplina, con ciertos fundamentos inherentes a ella. El evaluador debe entender cada actividad de la entidad y cada componente de la gestión de riesgos corporativos a abordar. Puede resultar útil centrarse primero en
96
INFORME COSO-OKJ
25/5/05
18:14
Página 97
SUPERVISIÓN
cómo la gestión de riesgos corporativos funciona de manera significativa –a veces, esto se denomina diseño del sistema o proceso. El evaluador debe determinar cómo funciona el sistema en realidad. Los procedimientos diseñados para operar de un modo concreto pueden ser modificados con el tiempo para operar de forma diferente o ser eliminados. A veces, se establecen procedimientos nuevos que no son conocidos por aquellos que describieron el proceso y no están incluidos en la documentación disponible. Una determinación sobre el funcionamiento real puede realizarse manteniendo entrevistas con el personal operativo o que resulte afectado por la gestión de riesgos corporativos, con análisis de los registros de funcionamiento o una combinación de procedimientos. El evaluador analiza el diseño del proceso de gestión de riesgos corporativos y los resultados de las pruebas realizadas. El análisis se lleva a cabo contrastado el funcionamiento con el trasfondo de normas establecidas por la dirección para cada componente, con el objetivo último de determinar si el proceso proporciona seguridad razonable respecto a los objetivos fijados.
Metodología Se dispone de una variedad de metodologías y herramientas de evaluación, incluyendo listas de comprobación, cuestionarios, cuadros de mando y técnicas de diagramas de flujo. Como parte de su metodología de evaluación, algunas empresas comparan su proceso de gestión de riesgos corporativos con el de otras empresas con buena reputación en este terreno, que pueden facilitar información comparativa. Las comparaciones pueden realizarse directamente o bajo el control de asociaciones mercantiles o sectoriales y, así, las funciones de revisión cercana de algunos sectores pueden ayudar a una empresa a evaluar su gestión de riesgos corporativos respecto a sus iguales. Pero es necesaria cierta precaución pues, en el momento de realizar las comparaciones, hay que tener en cuenta las diferencias respectivas que existen en objetivos, hechos y circunstancias. Los ocho componentes de la gestión de riesgos corporativos, además de las limitaciones inherentes a ella, se deberán tener en consideración.
Documentación El alcance de la documentación sobre gestión de riesgos corporativos de una entidad varía con su dimensión, complejidad y factores similares. Las organizaciones más grandes normalmente disponen de manuales escritos de políticas, organigramas formales, descripciones escritas de las funciones del personal, instrucciones operativas y diagramas de flujo de los sistemas de información. Las entidades más pequeñas habitualmente tienen un volumen considerablemente menor de documentación. Muchos aspectos de su gestión de riesgos corporativos son informales y no están documentados, aunque se llevan a cabo de manera periódica y muy eficaz. Se pueden efectuar comprobaciones de estas actividades del mismo modo que en el caso de actividades documentadas. El hecho de que los componentes de la gestión de riesgos corporativos no estén documentados no significa que no sean eficaces o que no puedan evaluarse. Sin embargo, un nivel adecuado de documentación normalmente hace que las evaluaciones sean más eficaces y eficientes.
97
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 98
RIESGOS CORPORATIVOS – MARCO INTEGRADO
El evaluador puede decidir documentar el proceso de evaluación en sí mismo. Normalmente, se parte de documentación existente en la gestión de riesgos corporativos de la entidad y, habitualmente, se complementa este proceso con documentación adicional, junto con descripciones de las pruebas y los análisis efectuados durante la evaluación. Si la dirección tiene la intención de enviar una declaración a terceros relativa a la eficacia de su gestión de riesgos corporativos, debería tener en cuenta el desarrollo y retención de la documentación que dé soporte a tal afirmación. Esta documentación puede resultar útil si posteriormente se pone dicho mensaje en entredicho.
Información de Deficiencias Las deficiencias en la gestión de riesgos corporativos de una entidad pueden proceder de muchas fuentes, incluyendo los procedimientos de supervisión permanente de la entidad, las evaluaciones independientes e información de terceros. Una deficiencia es una situación dentro de la gestión de riesgos corporativos que merece atención y que puede representar una debilidad percibida, potencial o real, o una oportunidad para fortalecer la gestión de riesgos corporativos y aumentar la probabilidad de que se logren los objetivos de la entidad.
Fuentes de Información Una de las mejores fuentes de información sobre las deficiencias de la gestión de riesgos corporativos es la misma gestión de riesgos. Las actividades de supervisión permanente de una empresa, incluyendo las acciones directivas y la supervisión diaria de los empleados, generan ideas de aquellos directamente involucrados en las actividades de la entidad. Estas ideas surgen en tiempo real y pueden proporcionar una rápida identificación de deficiencias. Otras fuentes de éstas son las evaluaciones independientes de gestión de riesgos corporativos. Tanto las realizadas por la dirección, los auditores internos u otras funciones, pueden destacar áreas con necesidades de mejora. Los terceros proporcionan frecuentemente información importante sobre el funcionamiento de la gestión de riesgos corporativos de una entidad. Entre ellos se incluyen clientes, proveedores, y otros que colaboran con la entidad, así como los auditores externos y reguladores. Los informes procedentes de fuentes externas deberían contemplarse cuidadosamente por sus implicaciones para la gestión de riesgos corporativos y las acciones correctivas que deban aplicarse.
De qué se Informa ¿Qué es lo que se debería informar?. Aunque no sea posible una respuesta universal, hay ciertos parámetros que pueden delimitarse. Todas las deficiencias identificadas de gestión de riesgos corporativos que afectan a la capacidad de la entidad para desarrollar e implantar su estrategia y establecer y alcanzar sus objetivos deberían comunicarse a quienes se encuentran en posición de
98
INFORME COSO-OKJ
25/5/05
18:14
Página 99
SUPERVISIÓN
tomar las medidas necesarias. La naturaleza de los temas a comunicar variará según la autoridad individual para abordar las circunstancias que surjan y las actividades de supervisión de sus superiores. Al considerar qué se necesita comunicar, es preciso observar las implicaciones de los resultados. No sólo es esencial que se informe de una transacción o evento determinado, sino también que se vuelvan a evaluar aquellos procedimientos potencialmente defectuosos. Se puede argumentar que no existe ningún problema tan insignificante que no merezca una investigación de sus implicaciones. Que un empleado coja un poco de dinero de la caja para su uso personal, por ejemplo, no es un hecho significativo en sí mismo y probablemente ni en términos del importe total manejado en dicha caja. Así que la investigación podría no valer la pena. Sin embargo, la aparente aprobación del uso personal del dinero de la entidad que esa inacción supondría, transmitiría un mensaje equivocado a los empleados. Junto a las deficiencias, también debería informarse de las oportunidades identificadas que puedan aumentar la probabilidad de conseguir los objetivos de la entidad.
A quién se Informa La información generada en el transcurso de las actividades operativas es usualmente comunicada a través de los canales normales a los superiores inmediatos, quienes, a su vez, pueden trasladarla en todas direcciones de la organización, para que acabe en las personas que pueden y deberían actuar al respecto. Los canales de comunicación alternativos también deberían existir para difundir la información sensible, tales como los actos ilegales o inadecuados. Ante el hallazgo de deficiencias en la gestión de riesgos corporativos, normalmente debería informarse no sólo al responsable de la función o actividad implicada, sino también, al menos, al nivel inmediato por encima de esta persona. Un nivel superior de la dirección proporciona el necesario apoyo o supervisión para tomar acciones correctoras y está en posición de comunicarse con otras personas de la organización cuyas actividades pueden estar afectadas. Cuando lo averiguado traspasa demarcaciones organizativas, la información también debería atravesarlas, dirigiéndose a un nivel superior suficientemente alto para asegurar que se toman las medidas adecuadas.
Directrices de Información Es esencial facilitar al responsable adecuado la necesaria información sobre las deficiencias de gestión de riesgos corporativos. Hay que establecer protocolos para identificar qué información se necesita a un nivel determinado para tomar decisiones eficazmente. Tales protocolos reflejan la regla general de que un directivo debería recibir la información que afecta a las acciones o el comportamiento del personal bajo su responsabilidad, además de aquella otra necesaria para alcanzar objetivos específicos. Un consejero delegado normalmente desearía estar informado, por ejemplo, de las infracciones serias de políticas y procedimientos y también querría recibir información de soporte sobre temas que pudieran tener impacto financiero o implicaciones estratégicas significativas o afectar a la reputación de la entidad.
99
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 100
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Los altos directivos deberían ser informados de las deficiencias en la gestión de riesgos y de control que afecten a sus unidades. Ejemplos de ellas son las circunstancias en que los activos con un determinado valor monetario no están protegidos adecuadamente, donde la competencia de los empleados es insuficiente o cuando no se llevan a cabo correctamente las conciliaciones financieras. Los directivos deberían ser informados de las deficiencias en sus unidades, con niveles de detalle en aumento cuanto más se desciende por la estructura organizativa. Los supervisores definen los protocolos de información para sus subordinados. El grado de especificidad variará, aumentando normalmente en los niveles inferiores de la organización. Aunque dichos protocolos puedan impedir una información eficaz si se definen de modo demasiado restrictivo, ésta se puede mejorar proporcionándole flexibilidad suficiente. Las partes interesadas a las que hay que comunicar las deficiencias a veces proporcionan directrices concretas respecto a lo que debería comunicarse. Un consejo de administración o comité de auditoría, por ejemplo, puede solicitar a la dirección o a los auditores internos o externos que comuniquen sólo aquellas deficiencias que alcancen un determinado umbral de importancia.
100
INFORME COSO-OKJ
25/5/05
18:14
Página 101
10. Roles y responsabilidades
Resumen del capítulo: Todo el personal de una entidad tiene alguna responsabilidad en la gestión de riesgos corporativos. El consejero delegado es responsable en último lugar y debería asumir su “titularidad”. Otros directivos apoyan la filosofía de gestión de riesgos, promocionan el cumplimiento del riesgo aceptado y gestionan los riesgos dentro de sus áreas de responsabilidad, en coherencia con las tolerancias al riesgo. Otras personas son responsables de desarrollar la gestión de riesgos corporativos según las directivas y protocolos establecidos. El consejo de administración proporciona una importante supervisión de dicha gestión. Algunos terceros facilitan a menudo información útil para llevarla a cabo, aunque no sean responsables de su eficacia.
La gestión de riesgos corporativos es efectuada por diversas partes implicadas, cada una con responsabilidades importantes. El consejo de administración (directamente o través de sus comités), la dirección, los auditores internos y otro personal, todos hacen importantes contribuciones a la gestión de riesgos. Otras partes afectadas, tales como los auditores externos y los organismos reguladores, son asociados a veces a las evaluaciones de riesgo y el control interno. Sin embargo, existe una distinción entre aquellos que forman parte del proceso de la gestión de riesgos corporativos de una entidad y los que no, cuyas acciones, sin embargo, pueden afectar al proceso o, de otro modo, ayudar a la entidad a conseguir sus objetivos. Ayudar de modo directo o indirecto a una entidad a conseguir sus objetivos, sin embargo, no hace que un tercero forme parte de la gestión de riesgos corporativos de la entidad o sea responsable de ella.
Personal de la Entidad El consejo de administración, la dirección, los directores financieros y de riesgos, los auditores internos y, de hecho, toda persona de la entidad, contribuyen a una gestión eficaz de riesgos corporativos.
Consejo de Administración La alta dirección responde ante el consejo de administración, que proporciona supervisión, asesoramiento y orientación. Mediante la selección del equipo directivo, el consejo desempeña su principal papel en la definición de lo que espera en cuanto a
101
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 102
RIESGOS CORPORATIVOS – MARCO INTEGRADO
integridad y valores éticos, y mediante sus actividades de supervisión puede determinar si se cumplen sus expectativas. De forma similar, al reservarse autoridad en ciertas decisiones claves, el consejo juega un papel en la formulación de la estrategia, estableciendo los objetivos de alto nivel, y en la asignación de recursos en sentido amplio. El consejo facilita su supervisión con respecto a la gestión de riesgos corporativos cuando: • Sabe hasta qué punto la dirección ha establecido una gestión eficaz de riesgos corporativos en la organización • Es consciente del riesgo aceptado por la entidad y está de acuerdo con él • Revisa la perspectiva de carteras de riesgos de la entidad y la contrasta con el riesgo aceptado por ella • Está informado de los riesgos más significativos y de si la dirección está respondiendo adecuadamente El consejo forma parte del componente de ámbito interno de la gestión de riesgos corporativos y debe tener la composición y enfoque necesarios para conseguir que ésta sea eficaz. Los miembros eficaces de un consejo son objetivos, capaces e inquisitivos. Tienen un conocimiento práctico de las actividades y el entorno de la entidad y dedican el tiempo necesario al cumplimiento de sus responsabilidades como consejeros. Utilizan los recursos necesarios para dirigir investigaciones especiales y mantienen comunicaciones abiertas y sin restricciones con los auditores internos y externos y con los asesores legales. Los consejos de administración pueden utilizar comités para llevar a cabo sus funciones. Su uso y enfoque varían de una entidad a otra, aunque los comités más comunes son los de nombramientos/gobierno corporativo, remuneración y auditoría, cada uno de ellos atendiendo a componentes de la gestión de riesgos corporativos. El comité de nombramientos, por ejemplo, identifica y tiene en cuenta las cualificaciones de los previsibles miembros del consejo, mientras que el comité de remuneración considera la adecuación de los sistemas de motivación y compensación, equilibrando programas sanos de incentivos, con la necesidad de evitar la innecesaria tentación de manipular las variables base de la compensación. El comité de auditoría tiene un papel directo en la fiabilidad de la información al exterior y debe conocer los riegos claves relativos a ella. El consejo y sus comités forman una parte importante de la gestión de riesgos corporativos.
La Dirección La dirección es responsable de todas las actividades de una entidad, incluyendo la gestión de riesgos corporativos. Naturalmente, los directivos a diferentes niveles tienen distintas responsabilidades en la gestión de riesgos corporativos, que varían según las características de una entidad, a veces de modo significativo. En cualquier entidad, el consejero delegado tiene la responsabilidad última sobre la gestión de riesgos corporativos. Uno de los aspectos más importantes de dicha res-
102
INFORME COSO-OKJ
25/5/05
18:14
Página 103
ROLES
Y RESPONSABILIDADES
ponsabilidad es el de asegurar la presencia de un ambiente interno positivo. Más que cualquier otro individuo o función, el consejero delegado marca el talante en la cumbre de la organización, que influye en los factores del ambiente interno y en otros componentes de la gestión de riesgos corporativos. Un consejero delegado también puede influir en el consejo de administración, a través de cualquier influencia que tenga en la identificación de nuevos miembros, en marcar un ejemplo que sirva para atraer o alejar candidatos para el consejo. Cada vez más, estos candidatos miran con cuidado la integridad y valores éticos de la alta dirección en el momento de decidir si quieren aceptar el nombramiento que se les ha ofrecido. Los potenciales consejeros también están centrados en si la gestión de riesgos corporativos de la entidad posee los fundamentos críticos necesarios de integridad y valores éticos que hagan posible su eficacia. Las responsabilidades del consejero delegado incluyen asegurar que están en su lugar todos los componentes de la gestión de riesgos corporativos. El consejero delegado generalmente realiza esta función a través de las siguientes actuaciones: • Proporcionar liderazgo y orientación a los altos directivos. Junto con ellos, el consejero delegado configura los valores, principios y políticas operativas importantes que constituyen los cimientos de la gestión de riesgos corporativos de la entidad. El consejero delegado y los altos directivos establecen los objetivos estratégicos, la estrategia y los correspondientes objetivos de alto nivel. También formulan las políticas, en sentido amplio, desarrollan la cultura de la entidad y establecen su filosofía de gestión de riesgos y el nivel de riesgo aceptado. Ejecutan acciones que conciernen a la estructura organizativa de la entidad, el contenido y comunicación de las políticas claves y el tipo de planificación y sistemas de información a usar • Reunirse periódicamente con los altos directivos responsables de las áreas funcionales importantes –ventas, marketing, producción, compras, finanzas, recursos humanos– para revisar sus responsabilidades, incluyendo cómo gestionan los riesgos. El consejero delegado adquiere conocimientos de los riesgos inherentes a las operaciones, las respuestas a ellos, las mejoras necesarias de control y la situación de las acciones en marcha. Para desempeñar esta responsabilidad, el consejero delegado debe definir claramente la información que necesita. Con sus conocimientos, el consejero delegado está en posición de supervisar las actividades y riesgos en relación con el riesgo aceptado por la entidad. Cuando la evolución de las circunstancias, los riesgos emergentes, la implantación de la estrategia o acciones esperadas indiquen un potencial desajuste con el riesgo aceptado, el consejero delegado tomará las medidas necesarias para restablecer la concordancia y comentará con el consejo de administración la posibilidad de acciones ulteriores o de ajustar el riesgo aceptado por la entidad. Los altos directivos a cargo de las unidades organizativas tienen la responsabilidad de gestionar los riesgos relacionados con los objetivos de sus unidades. Convierten la estrategia en operaciones, identifican los eventos, evalúan los riesgos y deciden las respuestas a éstos. Los directivos orientan la aplicación de los componentes de la gestión de riesgos corporativos en sus áreas de responsabilidad y aseguran que sea coherente con las tolerancias al riesgo. En este sentido, existe una cadena descendente de responsabilidad, donde cada directivo es como un consejero delegado de su área de responsabilidad.
103
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 104
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Los altos directivos normalmente delegan la responsabilidad sobre los procedimientos específicos de gestión de riesgos corporativos en los respectivos directivos de los procesos, funciones o departamentos. Por tanto, estos directivos normalmente juegan un papel muy participativo en el diseño y desarrollo de procedimientos de riesgo relativos a los objetivos de la unidad, tales como las técnicas para identificar eventos y evaluar riesgos, y en la determinación de respuestas, tales como el desarrollo de protocolos para la compra de materias primas o la aceptación de nuevos clientes. También formulan recomendaciones sobre las actividades de control, supervisan su aplicación y se reúnen con los directivos de nivel superior para informarles de su funcionamiento. Esto puede implicar la investigación de eventos o condiciones externas, errores en la entrada de datos y transacciones que aparecen en los informes de excepciones, analizando las causas de desviación frente a los presupuestos de gastos de un departamento y haciendo un seguimiento de los pedidos rechazados por clientes o los niveles de inventario de productos. Los temas significativos, tanto si corresponden a una transacción determinada o son un índice de una preocupación más importante, se comunican de manera ascendente en la organización. Las funciones de apoyo, tales como las de recursos humanos, cumplimiento y asesoría legal, también tienen importantes papeles de soporte en el diseño o configuración de los componentes de una gestión eficaz de riesgos corporativos. La función de recursos humanos puede diseñar y ayudar a implantar programas de formación sobre el código de conducta de la entidad y otras políticas amplias, a menudo desarrollados junto con los líderes de las unidades de negocio. Las funciones legales facilitan información a los directores de línea sobre las nuevas legislaciones y normas que afectan a las políticas operativas y además, bien sus propios responsables o los de la función de cumplimiento, suministran información esencial sobre si las transacciones planificadas o los protocolos se adecuan a los requisitos legales y éticos. Las responsabilidades de los directivos deberían abarcar tanto la autoridad como la rendición de cuentas. Cada directivo debería responder ante su nivel inmediato superior por su parte de gestión de riesgos corporativos, siendo el consejero delegado el responsable último ante el consejo de administración. Aunque diferentes niveles de dirección tienen distintas responsabilidades y funciones de gestión de riesgos corporativos, sus acciones deberían fundirse en la gestión de riesgos corporativos de la entidad.
Responsable de Riesgos Algunas empresas han establecido un punto centralizado de coordinación para facilitar la gestión de riesgos corporativos. Un responsable de riesgo – denominado en algunas organizaciones como director o gerente de riesgos– trabaja junto a otros directivos para establecer una gestión eficaz de riesgos corporativos en sus respectivas áreas de responsabilidad. Este responsable, nombrado por el consejero delegado y en dependencia directa de él, tiene recursos para ayudar a efectuar la gestión de riesgos a través de las filiales, negocios, departamentos, funciones y actividades. El director de riesgos puede tener la responsabilidad de supervisar el progreso de dicha gestión y ayudar a los demás directivos a informar sobre los riesgos relevantes que existen en la entidad en todas direcciones. El director de riesgos también puede servir como un canal complementario de información.
104
INFORME COSO-OKJ
25/5/05
18:14
Página 105
ROLES
Y RESPONSABILIDADES
Algunas empresas asignan este papel a otro alto directivo, tales como el director financiero, el máximo responsable legal, el director de auditoría interna o el director de cumplimiento. Otras han decidido que la importancia y amplitud del alcance de esta función requieren una asignación funcional y recursos diferenciados. Las empresas han visto que este papel tiene más éxito cuando se establecen claramente sus responsabilidades como función de apoyo –proporcionando soporte y ayuda a los directores de línea. Para que la gestión de riesgos corporativos sea eficaz, los directores de línea deben asumir la responsabilidad primordial de dicha gestión en sus áreas respectivas. Las responsabilidades del director de riesgos pueden incluir lo siguiente: • Establecer las políticas de la gestión de riesgos corporativos, incluyendo la definición de papeles y responsabilidades, y participar en la formulación de objetivos para su implantación • Enmarcar la autoridad y responsabilidad de la gestión de riesgos corporativos en las unidades de negocio • Promover las capacidades de gestión de riesgos corporativos en toda la entidad, facilitando el desarrollo de pericia técnica en dicha gestión y ayudando a los directivos a alinear las respuestas a los riesgos con las tolerancias a ellos y la aplicación de adecuados controles • Guiar la integración de la gestión de riesgos corporativos con otras actividades de planificación del negocio y de gestión • Establecer un lenguaje común para la gestión de riesgos que incluya la unificación de medidas de su probabilidad e impacto y de las categorías de riesgo • Ayudar a los directivos a desarrollar protocolos de información, incluyendo umbrales cuantitativos y cualitativos, y a supervisar el proceso de distribución de informes • Informar al consejero delegado sobre el progreso y las excepciones resultantes, así como de las acciones necesarias recomendadas
Directivos Financieros Los controllers y directores financieros, con sus equipos, son particularmente importantes para las actividades de gestión de riesgos corporativos, pues sus actividades propias inciden ascendente y descendentemente en todas las unidades operativas y de negocio. Con mucha frecuencia, estos directivos están implicados en el desarrollo de presupuestos y planes globales de la entidad, al mismo tiempo que siguen y analizan su funcionamiento, a menudo desde una perspectiva operativa, de cumplimiento y de información. Estas actividades usualmente forman parte de una organización central o “corporativa”, aunque normalmente también tienen una responsabilidad “autorizativa” para supervisar las actividades de divisiones, filiales y demás unidades. El director financiero, el director de contabilidad, el controller y otros responsables de la función financiera son esenciales en el modo con que la dirección ejerce la gestión de riesgos corporativos. Todos juegan un papel importante en la prevención y detección de la información fraudulenta y, además, el director financiero, como parte de la alta dirección, ayuda a establecer el talante de conducta ética de la organización, es
105
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 106
RIESGOS CORPORATIVOS – MARCO INTEGRADO
el máximo responsable de los estados financieros e influye en el diseño, implantación y supervisión de los sistemas de información de la empresa. Cuando se atiende a los componentes de la gestión de riesgos corporativos, es evidente que el director financiero y sus colaboradores juegan papeles esenciales. Este directivo es un agente clave en el establecimiento de objetivos, la determinación de estrategias, el análisis de riesgos y la toma de decisiones sobre cómo gestionar los cambios que afecten a la entidad. Facilita información y orientación valiosa y se centra en la supervisión y posterior seguimiento de las acciones decididas. Debería considerarse al director financiero como un igual a los otros responsables funcionales. Cualquier intento de la dirección de tenerlo estrechamente centrado limitado principalmente a áreas de información financiera y tesorería, por ejemplopodría minorar seriamente la capacidad de la entidad para tener éxito.
Auditores Internos Los auditores internos juegan un papel clave en la evaluación de la eficacia de la gestión de riesgos corporativos y en la recomendación de mejoras en ella. Las normas del Instituto de Auditores Internos establecen que el alcance de la auditoría interna debería abarcar la gestión del riesgo y los sistemas de control, lo que incluye la evaluación de la fiabilidad de la información, la eficacia y eficiencia de las operaciones y el cumplimiento de leyes y normas aplicables. Al llevar a cabo sus responsabilidades, los auditores internos ayudan a la dirección y al consejo de administración o su comité de auditoria examinando, evaluando e informando sobre la adecuación y eficacia de la gestión de riesgos corporativos de la entidad y recomendando mejoras en ella. Las normas del mencionado Instituto también determinan qué papeles son los adecuados para la auditoría interna, estableciendo claramente que los auditores internos deberían ser objetivos respecto a las actividades que auditan. Esta objetividad deberá reflejarse en su posición y autoridad dentro de la entidad y en una adecuada asignación de personal. El hecho de contar con una adecuada posición y autoridad en la organización implica temas tales como la existencia de una línea de información a la persona con autoridad suficiente para asegurar una debida cobertura, consideración y respuesta a la auditoría, el nombramiento y cese del director de auditoría interna como responsabilidad exclusiva directa del consejo de administración o comité de auditoría, el acceso permanente a ambos órganos de gobierno y la facultad para hacer el seguimiento de los resultados y recomendaciones.
Otro Personal de la Entidad La gestión de riesgos corporativos es, hasta cierto punto, responsabilidad de toda persona de una entidad y, por esto, debería ser una parte explícita o implícita de su descripción de funciones. Esto es verdad desde una doble perspectiva: • Virtualmente, todo el personal juega algún papel en el ejercicio de la gestión de riesgos corporativos. Puede generar información usada en la identificación o evaluación de los riesgos o tomar otras acciones necesarias para llevarla a cabo. El esmero con que se realicen estas actividades afecta directamente a la eficacia de dicha gestión.
106
INFORME COSO-OKJ
25/5/05
18:14
Página 107
ROLES
Y RESPONSABILIDADES
• Todo el personal es responsable de dar apoyo a los flujos de información y comunicación inherentes a la gestión de riesgos corporativos. Esto incluye comunicar a niveles superiores de la organización cualquier problema en las operaciones, incumplimiento del código de conducta, violación de políticas o acto ilegal. La gestión de riesgos corporativos descansa en las comprobaciones y comparaciones, incluyendo la segregación de funciones y que el personal no “mire hacia otro lado”. Los empleados deberían entender la necesidad de resistir la presión de sus superiores para que participen en actividades inadecuadas y, asimismo, deberían estar disponibles canales independientes de las líneas normales de información para permitir informar de tal circunstancia. La gestión de riesgos corporativos es un asunto de todos y los papeles y responsabilidades de cada empleado deberían definirse bien y comunicarse eficazmente.
Terceros Varios terceros pueden contribuir a la consecución de objetivos de la entidad, a veces mediante acciones que van en paralelo a las realizadas dentro de la entidad. En otros casos, estos terceros pueden facilitar información útil para la entidad en sus actividades de gestión de riesgos corporativos.
Auditores Externos Los auditores externos aportan al consejo de administración y a la dirección una perspectiva única, independiente y objetiva que puede contribuir al logro de sus objetivos de información financiera externa por parte de una entidad, así como de otros objetivos. Durante una auditoría de los estados financieros, el auditor expresa su opinión sobre la imagen fiel transmitida, de acuerdo con principios contables generalmente aceptados, con lo que contribuye a alcanzar objetivos de información financiera externa. Este auditor puede contribuir aun más al logro de dichos objetivos, facilitando información útil a la dirección para que lleve a cabo sus responsabilidades relativas a la gestión de riesgos. Tal información incluye: • Averiguaciones de la auditoría, información analítica y recomendaciones de acciones necesarias para alcanzar los objetivos establecidos • Averiguaciones sobre deficiencias en la gestión de riesgos y el control que llaman la atención del auditor y recomendaciones para mejorarlas El informe de auditoría se relacionará frecuentemente no sólo con el proceso de información de la entidad, sino también con sus actividades estratégicas, operativas y de cumplimiento, y puede hacer importantes contribuciones a la consecución de sus objetivos en todas estas áreas. La información se comunica a la dirección y, según su relevancia, al consejo de administración o a su comité de auditoría. Es importante reconocer que una auditoría de los estados financieros normalmente no incluye un enfoque significativo sobre la gestión de riesgos corporativos y, en cualquier caso, no da como resultado la expresión de una opinión del auditor sobre
107
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 108
RIESGOS CORPORATIVOS – MARCO INTEGRADO
dicha gestión. Sin embargo, cuando las leyes o normas exigen que el auditor evalúe las declaraciones de una empresa relativas a su control interno sobre la información financiera y los fundamentos en que se apoyan dichas declaraciones, el alcance del trabajo dirigido a dichas áreas será más amplio y se obtendrá información y seguridad adicionales.
Legisladores y Reguladores Los legisladores y reguladores afectan a la gestión de riesgos corporativos de muchas entidades, bien a través de requisitos para establecer mecanismos de gestión de riesgos o controles internos o bien mediante inspección de determinadas entidades. Muchas de las leyes y normas relevantes abordan primordialmente los riesgos y controles de la información financiera. Algunas, sin embargo –particularmente aquéllas que se aplican a los organismos gubernamentales– también pueden tratar objetivos operativos y de cumplimiento. Muchas entidades están sujetas desde hace mucho tiempo a requisitos legales de control interno. Por ejemplo, las sociedades anónimas de Estados Unidos están obligadas a establecer y mantener sistemas de control interno contable que satisfagan determinados objetivos. La más reciente legislación exige que la alta dirección de empresas que cotizan en bolsa certifique la eficacia del control interno de la entidad sobre su información financiera, junto con la conformidad del auditor. Varios organismos reguladores examinan directamente las entidades sobre las que ostentan responsabilidad supervisora. Por ejemplo, los inspectores de un banco central llevan a cabo inspecciones de los bancos bajo su jurisdicción y a menudo se centran en aspectos de sus sistemas de gestión de riesgos y de control interno. Estos organismos emiten recomendaciones y adoptan acciones de refuerzo. Por tanto, los legisladores y reguladores afectan a la gestión de riesgos corporativos de dos maneras. Primero, establecen las reglas que impulsan a la dirección a asegurar que la gestión de riesgos y los sistemas de control satisfacen los requisitos mínimos legales y estatutarios. Después, tras inspeccionar una entidad, facilitan información útil para aplicar su gestión de riesgos corporativos, recomendaciones y a veces directrices a su dirección respecto a las mejoras necesarias.
Terceros en Interacción con la Entidad Los clientes, proveedores, socios de negocio y otros terceros que colaboran en los negocios de una entidad son una fuente importante de información usada en las actividades de gestión de riesgos corporativos. La información puede ser variada, desde la demanda emergente de productos o servicios nuevos, discrepancias sobre envíos y facturas, temas de calidad o acciones de empleados que desbordan las fronteras del comportamiento ético. Esta información puede ser muy importante para la entidad en el logro de sus objetivos estratégicos, operativos, de información y de cumplimiento. La entidad debe disponer de mecanismos para recibir tal información y tomar las acciones adecuadas. Estas últimas no sólo implican abordar la situación de la que se ha informado, sino también investigar el origen subyacente del problema y remediarlo.
108
INFORME COSO-OKJ
25/5/05
18:14
Página 109
ROLES
Y RESPONSABILIDADES
Además de los clientes y proveedores, otros terceros, tales como los acreedores, pueden facilitar una supervisión respecto a la consecución de objetivos de la entidad. Un banco, por ejemplo, puede solicitar informes sobre el cumplimiento por parte de una entidad de ciertos acuerdos sobre la deuda. También puede recomendar indicadores de funcionamiento u otros objetivos o controles deseados.
Proveedores de Servicios Externos Muchas organizaciones externalizan a veces funciones de negocio, tales como las operaciones administrativas, financieras y otras internas, delegando su gestión cotidiana en proveedores externos, a fin de obtener acceso a capacidades superiores y para reducir el coste de servicios. Una institución financiera puede externalizar su proceso de revisión de préstamos a terceros; una empresa tecnológica, la operación y mantenimiento de su proceso de información y un minorista, su auditoría interna. Aunque los proveedores externos realicen actividades para cada entidad y por su cuenta, las respectivas direcciones no puede abdicar de su responsabilidad de gestionar los riesgos correspondientes y deberían implantar un programa para supervisarlos.
Analistas financieros, Agencias calificadoras de solvencia financiera y Medios de comunicación Los analistas financieros y las agencias calificadoras de solvencia financiera tienen en cuenta muchos factores relevantes para el valor de una entidad como inversión. Analizan la estrategia y objetivos de la dirección, los estados financieros históricos y la información financiera proyectada, las acciones tomadas en respuesta a las condiciones económicas y de mercado, el potencial de éxito a corto y medio plazo, el rendimiento del sector y comparaciones con otras entidades similares. Los medios de comunicación, particularmente los periodistas financieros, también pueden realizar análisis similares. Las actividades investigadoras y de seguimiento de dichos terceros pueden proporcionar ideas sobre cómo otros perciben el funcionamiento de la entidad, los riesgos económicos y sectoriales a los que se enfrenta la entidad, las estrategias innovadoras operativas o financieras que pueden mejorar el rendimiento y las tendencias del sector. Esta información a veces se facilita directamente a la entidad en reuniones personales o bien, indirectamente, la propia entidad la capta de análisis externos para inversores reales o potenciales y del público. En cualquier caso, la dirección debería tener en cuenta las observaciones e ideas de los analistas financieros, las agencias calificadoras de solvencia financiera y los medios de comunicación que puedan mejorar la gestión de riesgos corporativos.
109
INFORME COSO-OKJ
25/5/05
18:14
Página 110
INFORME COSO-OKJ
25/5/05
18:14
Página 111
11. Limitaciones de la gestión de riesgos corporativos Resumen del capítulo: Una eficaz gestión de riesgos corporativos, sin importar su grado de buen diseño y ejecución, sólo proporciona una seguridad razonable a la dirección y al consejo de administración respecto a la consecución de objetivos de la entidad. Esta consecución está afectada por las limitaciones inherentes a cualquier proceso de gestión, que incluyen los factores de que el juicio humano en la toma de decisiones puede ser defectuoso y que pueden ocurrir problemas por causa de fallos humanos como simples errores o equivocaciones. Adicionalmente, cabe considerar que los controles pueden evadirse con la connivencia de dos o más personas y la dirección tiene capacidad para obviar el proceso de gestión de riesgos corporativos, incluyendo las decisiones de respuesta a los riesgos y las actividades de control. Otro factor limitativo es la necesidad de considerar los costes y beneficios relativos a las respuestas a los riesgos
Para algunos observadores, la gestión de riesgos corporativos, con un control interno integrado, asegura que la entidad no fallará –esto es, que la entidad siempre alcanzará sus objetivos. Esta perspectiva es errónea. Al considerar las limitaciones de la gestión de riesgos corporativos, hay que reconocer tres conceptos distintos: • El riesgo corresponde al futuro, que es inherentemente incierto. • La gestión de riesgos corporativos –incluso una que sea eficaz– opera a distintos niveles con respecto a objetivos diferentes. Respecto a los objetivos estratégicos y operativos, dicha gestión puede ayudar a asegurar que la dirección, y el consejo en su papel supervisor, es consciente en forma oportuna sólo del grado de progreso de la entidad hacia la consecución de dichos objetivos. Sin embargo, no puede proporcionar ni siquiera una seguridad razonable de que los objetivos en sí mismos se alcancen. • La gestión de riesgos corporativos no puede facilitar una seguridad absoluta respecto a ninguna de las categorías de objetivos. La primera limitación recuerda que nadie puede predecir el futuro con certeza. La segunda reconoce que ciertos eventos están sencillamente fuera del control de la dirección. La tercera tiene que ver con el hecho de que ningún proceso hará siempre todo aquello para lo que lo ha sido diseñado. El concepto de seguridad razonable no implica que la gestión de riesgos corporativos vaya a fracasar frecuentemente y muchos factores, individual y colectivamente,
111
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 112
RIESGOS CORPORATIVOS – MARCO INTEGRADO
lo refuerzan. El efecto acumulativo de las respuestas al riesgo que satisfacen múltiples objetivos y la naturaleza “multifinalista” de los controles internos reducen el riesgo de que una entidad no pueda conseguir sus objetivos. Es más, las habituales y cotidianas actividades operativas y responsabilidades personales que funcionan en varios niveles de una organización se orientan al logro de los objetivos de la entidad. De hecho, en una muestra de entidades bien controladas, es probable que la mayoría esté informada regularmente de su avance hacia los objetivos estratégicos y operativos, alcance sus objetivos de cumplimiento con regularidad y genere periódicamente informes fiables. Sin embargo, puede ocurrir un evento incontrolable, un error o una información errónea. En otras palabras, incluso una gestión eficaz de riesgos corporativos puede experimentar un fallo. La seguridad razonable no constituye una seguridad absoluta.
Juicios La eficacia de la gestión de riesgos corporativos está limitada por las realidades de la fragilidad humana al tomar decisiones empresariales, algo a hacer aplicando un juicio humano en el tiempo disponible, a partir de la información existente y bajo las presiones de la dirección del negocio. Con la clarividencia de la retrospección, es posible averiguar más tarde que algunas decisiones han producido resultados inferiores a lo esperado y que podrían necesitar un cambio.
Fracasos Una gestión de riesgos corporativos bien diseñada puede fallar. Es posible que el personal no entienda bien las instrucciones y que cometa errores de juicio o por desidia, distracción o fatiga. Un supervisor de un departamento de contabilidad que sea responsable de la investigación de incidencias sencillamente puede olvidarse de hacer el seguimiento o fallar al no continuar la investigación hasta el punto conveniente donde efectuar correcciones adecuadas. El personal temporal que realiza funciones de control supliendo a empleados de baja por enfermedad o vacaciones puede desempeñar mal su cometido. Los cambios de sistema pueden haberse implantado antes de formar al personal para que reaccione adecuadamente ante los signos de funcionamiento incorrecto.
Connivencia Las situaciones de connivencia entre dos o más individuos pueden provocar fallos en la gestión de riesgos corporativos. Las personas que actúan colectivamente para perpetrar y ocultar un acto a menudo pueden alterar datos financieros u otra información de gestión de una forma que no pueda ser identificada por el proceso de gestión de riesgos corporativos. Por ejemplo, puede haber confabulación entre un empleado que realiza una importante función de control y un cliente, un proveedor u otro empleado. A un nivel distinto, varios niveles de la dirección de ventas o de otra división podrían conspirar para eludir controles y conseguir que los resultados a informar coincidan o superen los objetivos presupuestados o fijados como incentivo.
112
INFORME COSO-OKJ
25/5/05
18:14
Página 113
LIMITACIONES
DE LA GESTIÓN DE RIESGOS CORPORATIVOS
Costes y Beneficios Como se comenta en el capítulo Evaluación de riesgos, siempre existen restricciones en los recursos y las entidades deben tener en cuenta los costes y beneficios relativos que las decisiones implican, incluyendo aquellos relacionados con la respuesta al riesgo y las actividades de control. Al determinar si debe decidirse una acción o establecerse un control, deben considerarse tanto el riesgo de fracaso y el efecto potencial en la entidad, como los costes correspondientes. Por ejemplo, es posible que no resulte provechoso para una empresa instalar controles sofisticados de inventario para supervisar los niveles de materias primas, si es bajo el coste de las que se usan en un proceso de producción, si el material no es perecedero, si existen suministros externos disponibles y si hay espacio libre en los almacenes. Los costes y beneficios de implantar unas capacidades de identificación de eventos y evaluación de riesgos y las correspondientes respuestas y actividades de control pueden medirse con niveles distintos de precisión, que a menudo varían según la naturaleza de la entidad. El reto es encontrar el equilibrio adecuado. Del mismo modo que los recursos limitados no deberían asignarse a riesgos no significativos, un control excesivo es costoso y contraproducente. Los clientes que realizan pedidos telefónicamente no van a tolerar procedimientos de aceptación demasiado complicados o largos. Un banco que hace “pasar por el aro” a potenciales clientes solventes no concederá muchos préstamos nuevos. Un control demasiado escaso, por el contrario, presenta riesgos innecesarios de morosidad. Hace falta un equilibrio adecuado en un entorno muy competitivo. A pesar de las dificultades, se seguirán tomando decisiones coste-beneficio.
Imposición de la Dirección La gestión de riesgos corporativos es tan eficaz como lo sean las personas responsables de su funcionamiento. Incluso en entidades gestionadas y controladas eficazmente –aquellas con niveles generalmente altos de integridad y conciencia de los riesgos y del control, canales alternativos de comunicaciones y un consejo de administración activo e informado que posea un adecuado proceso de gobierno corporativo– un directivo todavía podría hacer caso omiso de la gestión de riesgos corporativos. Ningún sistema de control o gestión es infalible y aquellas personas con intenciones delictivas se empeñarán en burlar los sistemas. Sin embargo, una gestión eficaz de riesgos corporativos mejorará la capacidad de la entidad para prevenir y detectar aquellas actividades que hagan caso omiso de ella. El término “imposición de la dirección” se usa aquí con el significado de hacer caso omiso de las políticas o procedimientos estipulados con fines no legítimos – tales como el enriquecimiento personal o la presentación mejorada de la posición financiera o del nivel cumplimiento de una entidad. Un director de una división o unidad o un miembro de la alta dirección pueden prescindir de la gestión de riesgos corporativos por muchas razones: aumentar los ingresos informados para cubrir una reducción inesperada de cuota de mercado, alterar los resultados informados a fin de alcanzar presupuestos no realistas, incrementar el valor de mercado de la entidad antes de una oferta publica de venta, lograr las proyecciones de ventas o resultados
113
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 114
RIESGOS CORPORATIVOS – MARCO INTEGRADO
a fin de agrandar los incentivos vinculados al rendimiento o valor de las opciones sobre acciones, encubrir violaciones de contratos de préstamos y ocultar la falta de cumplimiento de las normas legales. Son prácticas de omisión las presentaciones falsas deliberadas a bancos, auditores y proveedores y la emisión intencionada de documentos falsos tales como pedidos de compra o facturas de venta. La imposición de la dirección no debería confundirse con su intervención. Esta última representa las acciones de la dirección para desviarse con fines legítimos de las políticas o procedimientos establecidos. La intervención de la dirección es necesaria para tratar con transacciones no recurrentes y poco habituales o eventos que, de otro modo, podrían manejarse inadecuadamente. Es necesario dar margen a la intervención de la dirección, porque no se puede diseñar ningún proceso que anticipe todos los riesgos y circunstancias. Las acciones de la dirección para efectuar tal tipo de intervención están generalmente abiertas y documentadas o, de otra forma, son reveladas al personal adecuado. Hacer caso omiso de la gestión de riesgos corporativos normalmente no genera documentación ni revelaciones y tiene la intención de encubrir las acciones.
114
INFORME COSO-OKJ
25/5/05
18:14
Página 115
12. Qué hacer
Las acciones que podrían llevarse a cabo como consecuencia de este documento dependen de la posición y papel de las partes implicadas.
• Miembros del consejo de administración Los miembros del consejo de administración deberían comentar con la alta dirección el estado de la gestión de riesgos corporativos de la entidad y efectuar su supervisión según se necesite. El consejo también debería asegurar que los mecanismos de dicha gestión proporcionan una evaluación de los riesgos más significativos relacionados con la estrategia y los objetivos, incluyendo las acciones que la dirección esté realizando y su propio grado de implicación en la supervisión de la gestión de riesgos corporativos. El consejo debería buscar y obtener información de los auditores internos y externos y sus asesores. • Alta dirección Este documento sugiere que el consejero delegado debería evaluar las capacidades de gestión de riesgos corporativos de la entidad. Usando el presente Marco, un consejero delegado, junto con los directivos operativos y financieros claves, puede centrar su atención donde sea necesario. Con un determinado enfoque, el consejero delegado reúne a los responsables de las unidades de negocio y las funciones claves de apoyo para comentar una evaluación inicial de dichas capacidades y la eficacia de la gestión de riesgos. Independientemente de su forma, esta evaluación inicial debería determinar si hay necesidad de otra evaluación más exhaustiva y amplia y cómo proceder a ella. También debería confirmarse que los procesos permanentes de supervisión están implantados. El tiempo dedicado a evaluar la gestión de riesgos corporativos representa una inversión, capaz de generar un beneficio importante. • Otro personal de la entidad Los directivos y demás personas deberían considerar, a la vista de este Marco, cómo llevan a cabo sus responsabilidades de gestión de riesgos corporativos e intercambiar ideas para potenciarlas con otras personas de mayor rango en la entidad. Los auditores internos deberían considerar la ampliación de su enfoque sobre la gestión de riesgos corporativos. • Reguladores Las expectativas de la gestión de riesgos corporativos varían mucho con respecto a lo que se puede conseguir con ella y a qué significa el concepto de “seguridad razonable” y cómo se aplica. Este Marco puede promover una visión compartida de dicha gestión, incluyendo lo que puede conseguir y sus limitaciones. Los reguladores pueden referirse a él al establecer sus expectativas, bien mediante normas o recomendaciones o a través de inspecciones en las entidades que supervisan.
115
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 116
RIESGOS CORPORATIVOS – MARCO INTEGRADO
• Asociaciones profesionales Las asociaciones profesionales que establecen reglas y otras profesionales que facilitan orientación sobre la gestión financiera, auditoría y temas relacionados deberían examinar sus normas y orientaciones a la luz de este Marco. En la medida en que se elimine la diversidad en conceptos y terminología, todas las partes se beneficiarán. • Educadores Este Marco debería estar sujeto a la investigación y análisis universitario, para ver dónde se pueden hacer futuras mejoras. En la idea de que este documento llegue a aceptarse como una base común de comprensión y entendimiento, sus conceptos y términos deberían encontrar su lugar en los planes de estudios universitarios. Creemos que su contenido ofrece numerosos beneficios. Con esta base de entendimiento mutuo, todas las partes podrán hablar un lenguaje común y comunicarse más eficazmente. Los directivos estarán en posición de evaluar los procesos de gestión de riesgos corporativos respecto a una norma, potenciando el proceso y dirigiendo sus empresas hacia los objetivos establecidos. La investigación futura puede apoyarse sobre una base sólida. Los legisladores y reguladores podrán conseguir un incremento de su comprensión acerca de la gestión de riesgos corporativos, sus beneficios y limitaciones. Con todas las partes implicadas utilizando un marco común para dicha gestión, se conseguirán beneficios para todos.
116
INFORME COSO-OKJ
25/5/05
18:14
Página 117
INFORME COSO-OKJ
25/5/05
18:14
Página 118
INFORME COSO-OKJ
25/5/05
18:14
Página 119
Gestión de Riesgos Corporativos Marco Integrado
Anexos
INFORME COSO-OKJ
25/5/05
18:14
Página 120
INFORME COSO-OKJ
25/5/05
18:14
Página 121
Anexo A Objetivos y metodología A finales de 2001, el Committee of Sponsoring Organizations of the Treadway Commission (COSO) inició un estudio diseñado para ayudar a organizaciones a gestionar los riesgos. A pesar de la abundancia de literatura sobre el tema, COSO concluyó que hacía falta que dicho estudio diseñara y construyera un marco y las correspondientes técnicas de aplicación. PricewaterhouseCoopers fue contratada para dirigir este proyecto, que dio como resultado este informe, Gestión de Riesgos Corporativos – Marco Integrado. El Marco define el riesgo y la gestión de riesgos corporativos y proporciona definiciones básicas, conceptos, categorías de objetivos, componentes y principios de un marco integral de la gestión de riesgos corporativos. Proporciona orientación a las empresas y demás organizaciones para determinar cómo mejorar dicha gestión, proporcionando el contexto y facilitando su aplicación en el mundo real. El documento ha sido diseñado también para proveer una base para uso de las entidades cuando determinen si su gestión de riesgos corporativos es eficaz y, en caso negativo, qué necesitan para que lo sea. Las Técnicas de Aplicación están vinculadas directamente con el Marco. Proporcionan ejemplos de técnicas de gestión de riesgos que las empresas y otras organizaciones pueden aplicar a varios niveles –empresa, línea de negocio, proceso o función– y para apoyar la mejora puntual o evolutiva. Dadas las necesidades diversas de los lectores, se obtuvo información de directivos corporativos de organizaciones de varias dimensiones, incluyendo empresas públicas y privadas de sectores diversos y organismos gubernamentales. Este grupo de directivos estaba compuesto por consejeros delegados, directores financieros, directores de riesgo, controllers, auditores internos, legisladores, reguladores, abogados, auditores externos, consultores, profesores universitarios y otros. Durante el proyecto, su equipo responsable recibió consejos y asesoramiento de un Consejo Asesor de la Junta del COSO, compuesto por personas de direcciones financieras, auditoría interna y externa y de universidades. Este Consejo se reunió periódicamente con el equipo del proyecto y los miembros de la Junta del COSO para revisar el plan de trabajo, su progreso y los borradores del Marco y comentar los temas que pudieran derivarse. En los hitos más importantes del proyecto, el Consejo Asesor y el equipo de trabajo establecieron comunicación con la Junta del COSO. La metodología aplicada en este estudio fue diseñada para generar un informe de acuerdo con los objetivos establecidos. El proyecto se estructuró en cinco fases:
121
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 122
RIESGOS CORPORATIVOS – MARCO INTEGRADO
1. Evaluación El equipo de proyecto evaluó los modelos actuales de gestión de riesgos corporativos a través de una revisión de literatura, encuestas y grupos de trabajo, con el propósito de obtener la información a través del amplio espectro de dicha gestión. Esta fase abarcó el análisis de información, comparando y contrastando los conceptos y prácticas de las filosofías y protocolos de gestión de riesgos corporativos, entendiendo las necesidades del usuario e identificando los temas y preocupaciones críticas.
2. Visión El equipo creó un modelo conceptual de trabajo para el marco de la gestión de riesgos corporativos y desarrolló un inventario preliminar de herramientas como base de las técnicas de aplicación. Usando técnicas individualizadas de solicitud de información, el equipo contrastó los conceptos con grupos de interés y de usuarios claves y, con la retroalimentación obtenida, refinó el modelo conceptual.
3. Construcción y Diseño Usando el modelo conceptual refinado como un anteproyecto, el equipo desarrolló el Marco, incluyendo definiciones, categorías de objetivos, componentes, principios, infraestructura y el contexto directivo, junto con los comentarios correspondientes. Esta fase también abarcó el diseño de la organización y el enfoque para desarrollar las técnicas de aplicación. Tanto el borrador del marco como las técnicas fueron revisadas con los grupos de interés y de usuarios claves ya citados y se obtuvieron comentarios y sugerencias.
4. Preparación de la Presentación al Público En esta fase, el equipo refinó el Marco y desarrolló en mayor amplitud las técnicas de aplicación, revisándolas con los directivos de varias empresas, que facilitaron retroalimentación sobre su valor y utilidad.
5. Finalización Esta fase abarcó la presentación del volumen del Marco para información pública durante noventa días y comprobaciones de campo en varias empresas. Una vez recogidos los comentarios, el equipo de proyecto los revisó y analizó, identificando las modificaciones necesarias. El equipo finalizó el Marco y las Técnicas de Aplicación y remitió los textos definitivos al Consejo Asesor y la Junta del COSO para su revisión y aprobación.
Como parte del proceso, el equipo de proyecto consideró cuidadosamente toda la información recibida, incluyendo otros marcos ya existentes. Una relación de algunas
122
INFORME COSO-OKJ
25/5/05
18:14
Página 123
ANEXO A - OBJETIVOS
Y METODOLOGÍA
de las fuentes publicadas se incluye en el Anexo D – Bibliografía seleccionada. Como cabría esperar, se expresaron muchas opiniones, a veces contradictorias, sobre temas fundamentales –dentro de una fase de proyecto o entre fases. El equipo de trabajo, junto con el Consejo Asesor del COSO y con la supervisión de la Junta, hizo una reflexión exhaustiva sobre los fundamentos de las posiciones planteadas, tanto individualmente como dentro del contexto de los temas correspondientes, incluyendo aquellas que facilitaran el desarrollo de un marco relevante, lógico e internamente consecuente. El Consejo Asesor y la Junta del COSO han dado su total apoyo al marco resultante de este proceso y lo han aprobado.
123
INFORME COSO-OKJ
25/5/05
18:14
Página 124
INFORME COSO-OKJ
25/5/05
18:14
Página 125
Anexo B Resumen de principios claves A continuación, se destacan los principios claves inherentes a los ocho componentes de la gestión de riesgos corporativos. Este anexo no pretende facilitar una relación completa de los principios establecidos en el Marco, ni precisarlos o describirlos totalmente.
ÁMBIENTE INTERNO Filosofía de la gestión de riesgos
• La filosofía de la gestión de riesgos de la entidad representa las convicciones y actitudes compartidas que caracterizan cómo la entidad contempla el riesgo en todas sus actividades • Refleja los valores de la entidad, influyendo en su cultura y estilo operativo • Afecta a cómo se aplican los componentes de la gestión de riesgos corporativos, incluyendo la identificación de eventos, los tipos de riesgo aceptado y la gestión de riesgos • Está bien desarrollada, entendida y aceptada por el personal de la entidad • Se ha integrado en las declaraciones de políticas de la entidad, las comunicaciones verbales y escritas y la toma de decisiones • La dirección refuerza la filosofía no sólo con palabras, sino también con acciones cotidianas
Riesgo aceptado • El riesgo aceptado por la entidad refleja su filosofía de gestión de riesgos e influye en la cultura y estilo operativo • Se tiene en consideración en el establecimiento de la estrategia, que queda en línea con el riesgo aceptado
Consejo de Administración • El consejo es activo y posee una adecuada experiencia directiva y técnica y de otro tipo, junto con la mentalidad necesaria para realizar sus funciones supervisoras
125
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 126
RIESGOS CORPORATIVOS – MARCO INTEGRADO
• Está preparado para cuestionar y fiscalizar las actividades de la dirección, presentar perspectivas alternativas y actuar contra el dolo • Tiene al menos una mayoría de consejeros externos e independientes • Proporciona la supervisión de la gestión de riesgos corporativos y es consciente del riesgo aceptado por la entidad y está de acuerdo con él
Integridad y valores éticos • Las normas de conducta de la entidad reflejan la integridad y valores éticos • Los valores éticos no sólo se comunican, sino que también van acompañados de una orientación explícita sobre lo que es correcto o incorrecto • La integridad y los valores éticos son comunicados a través de un código formal de conducta • Los canales ascendentes de comunicación existen cuando los empleados se sienten cómodos aportando información relevante • Las sanciones se aplican a los empleados que violan el código. Los mecanismos animan al empleado a presentar denuncias por sospechas de violaciones y se toman acciones disciplinarias contra empleados que conscientemente optan por no informar sobre ellas • La integridad y los valores éticos se comunican a través de acciones de la dirección y sus ejemplos
Compromiso con las competencias • Las competencias de los empleados de la entidad reflejan los conocimientos y habilidades necesarios para realizar las tareas asignadas • La dirección alinea las competencias y el coste
Estructura organizativa • La estructura organizativa define las áreas clave de responsabilidad • Establece las líneas de información • Se desarrolla teniendo en cuenta la dimensión de la entidad y la naturaleza de sus actividades • Permite una gestión eficaz de riesgos corporativos
Delegación de autoridad y responsabilidad • Ambos tipos de delegación marcan los límites de la autoridad y establecen hasta qué punto se confiere ésta a los equipos y personas y se les anima a usar su iniciativa para abordar temas y resolver problemas
126
INFORME COSO-OKJ
25/5/05
18:14
Página 127
ANEXO B - RESUMEN
DE PRINCIPIOS CLAVE
• Las asignaciones correspondientes establecen las relaciones de información y los protocolos de autorización • Las políticas describen las prácticas empresariales adecuadas, el conocimiento y experiencia del personal clave y los recursos asociados • Las personas conocen cómo sus acciones se relacionan entre sí y contribuyen a la consecución de objetivos
Normas de recursos humanos • Estas normas abordan la contratación, orientación, formación, evaluación, asesoramiento, promoción, compensación y acciones correctoras e impulsan los niveles esperados de integridad, comportamiento ético y competencias • Las acciones disciplinarias transmiten el mensaje de que las violaciones del comportamiento esperado no serán toleradas
ESTABLECIMIENTO DE OBJETIVOS Objetivos estratégicos • Los objetivos estratégicos de la entidad establecen objetivos de alto nivel, en línea con su misión / visión y dando apoyo a ésta • Reflejan las decisiones estratégicas de la dirección respecto a cómo la entidad pretenderá crear valor para sus grupos de interés • La dirección identifica los riesgos asociados a las decisiones estratégicas y considera sus implicaciones
Objetivos conexos • Los objetivos conexos apoyan la estrategia seleccionada, relativa a todas las actividades de la entidad • Cada nivel de objetivos está vinculado a objetivos más específicos que fluyen en cascada por toda la organización • Los objetivos son fácilmente comprensibles y medibles • Están en línea con el riesgo aceptado
Objetivos seleccionados • La dirección tiene un proceso que alinea los objetivos estratégicos con la misión de la entidad, asegurando que los objetivos estratégicos y relacionados son consecuentes con el riesgo aceptado por la entidad
127
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 128
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Riesgo aceptado • El riesgo aceptado por la entidad es la guía principal para establecer la estrategia • Orienta la dotación de recursos • Alinea a la organización, personas, procesos e infraestructura
Tolerancias al riesgo • Las tolerancias al riesgo son medibles, preferiblemente en las mismas unidades que los objetivos conexos • Están en línea con el riesgo aceptado
IDENTIFICACIÓN DE EVENTOS Eventos • La dirección identifica los eventos potenciales que afectan a la implantación de la estrategia o a la consecución de los objetivos – aquéllos que pueden tener un impacto positivo o negativo o de ambos tipos • Se tienen en cuenta incluso los eventos con una posibilidad de ocurrencia relativamente baja siempre que su impacto sobre la consecución de algún objetivo sea importante
Factores influyentes • La dirección reconoce la importancia de entender los factores internos y externos y el tipo de eventos que pueden emanar de ellos • Se identifican los eventos tanto a nivel de entidad como de actividad
Técnicas de identificación de eventos • Las técnicas aplicadas miran tanto al pasado como al futuro • La dirección selecciona técnicas adecuadas para su filosofía de gestión de riesgos y asegura que la entidad desarrolla las capacidades de identificación de eventos • La identificación de los eventos es sólida, formando la base de la evaluación de riesgos y los componentes de respuesta a ellos
Interdependencias • La dirección entiende cómo los eventos se relacionan entre sí
128
INFORME COSO-OKJ
25/5/05
18:14
Página 129
ANEXO B - RESUMEN
DE PRINCIPIOS CLAVE
Distinción entre riesgos y oportunidades • Los eventos con impactos negativos representan riesgos, que la dirección evalúa y a los cuales responde • Los eventos que representan oportunidades son canalizados hacia el proceso de establecimiento de estrategia y objetivos
EVALUACIÓN DE RIESGOS • Al evaluar los riesgos, la dirección considera los eventos esperados e inesperados
Riesgo inherente y residual • La dirección evalúa los riesgos inherentes previamente • Una vez desarrolladas las respuestas, la dirección considera el riesgo residual
Estimación de probabilidad e impacto • Los eventos potenciales son evaluados desde dos perspectivas: probabilidad e impacto • Al evaluar el impacto, la dirección normalmente utiliza la misma unidad de medición, u otra coherente, que la empleada para el objetivo • El horizonte temporal aplicado para evaluar los riesgos debería ser consecuente con el horizonte de tiempo de la estrategia y objetivos correspondientes
Técnicas de evaluación • La dirección usa una combinación de técnicas cualitativas y cuantitativas • Las técnicas apoyan el desarrollo de una evaluación compuesta de los riesgos
Relaciones entre los eventos • Donde existe una correlación entre eventos o donde se combinen e interaccionen, la dirección los evalúa en conjunto
RESPUESTA AL RIESGO • Al responder a los riesgos, la dirección considera entre evitar, reducir, compartir o aceptar el riesgo
129
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 130
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Evaluación de posibles respuestas • Las respuestas se evalúan con la intención de alinear el riesgo residual y las tolerancias al riesgo de la entidad • Al evaluar las respuestas a los riesgos, la dirección considera sus efectos sobre la probabilidad y el impacto • La dirección considera sus costes y beneficios, además de las nuevas oportunidades
Respuestas seleccionadas • Las respuestas elegidas por la dirección están diseñadas para enmarcar la probabilidad de riesgo esperada y el impacto dentro de las tolerancias de riesgo • La dirección considera los riesgos adicionales que pueden derivarse de una respuesta
Perspectiva de carteras de riesgos • La dirección considera los riesgos desde la perspectiva de toda la entidad o la de carteras de riesgos • La dirección determina si el perfil de riesgo residual de la entidad es consecuente con su riesgo aceptado global
ACTIVIDADES DE CONTROL Integración con la respuesta a los riesgos • La dirección identifica las actividades de control necesarias para ayudar a asegurar que las respuestas a los riesgos se llevan a cabo de modo adecuado y oportuno • La selección o revisión de las actividades de control incluye la consideración de su relevancia y adecuación a las respuestas a los riesgos y al objetivo relacionado • Al seleccionar las actividades de control, la dirección considera cómo se interrelacionan las actividades de control
Tipos de actividades de control • La dirección selecciona entre varios tipos de actividades de control, incluyendo los controles de detección, manuales, informáticos y de gestión.
Políticas y procedimientos • Las políticas se implantan de forma meditada, consciente y coherente
130
INFORME COSO-OKJ
25/5/05
18:14
Página 131
ANEXO B - RESUMEN
DE PRINCIPIOS CLAVE
• Los procedimientos se llevan a cabo con un enfoque claro y permanente sobre las condiciones hacia las que se orienta la política • Las condiciones identificadas como resultado del procedimiento son investigadas y se toman las acciones correctoras adecuadas Controles informáticos • Se implantan adecuados controles generales y de aplicaciones
INFORMACIÓN Y COMUNICACIÓN Información • La información relevante se obtiene de fuentes internas y externas • La entidad capta y usa los datos históricos y actuales, según necesidad, para apoyar una gestión eficaz de riesgos corporativos • La infraestructura de información convierte los datos no tratados en información relevante que ayuda al personal a realizar su gestión de riesgos corporativos y otras responsabilidades. La información se facilita con profundidad, forma y marco temporal adecuados para que resulte disponible, utilizable y vinculada a responsabilidades definidas –incluyendo la necesidad de identificar y evaluar el riesgo y responder al mismo • Los datos e información fuente son fiables y facilitados a tiempo en el lugar adecuado para permitir una toma eficaz de decisiones • La oportunidad del flujo de información es coherente con el ritmo de cambios en los entornos externos e internos de la entidad • Los sistemas de información cambian según se necesite para apoyar a los objetivos nuevos
Comunicación • La dirección proporciona una comunicación específica y directa relativa a las expectativas de comportamiento y responsabilidades del personal, incluyendo una nítida exposición de la filosofía y enfoque de gestión de riesgos corporativos de la entidad y una clara delegación de autoridad • La comunicación sobre procesos y procedimientos está en línea con la cultura deseada y se ajusta a ella • Todo el personal recibe un mensaje claro desde la alta dirección de que la gestión de riesgos corporativos ha de tomarse en serio • El personal sabe cómo sus actividades se relacionan con el trabajo de los demás, permitiéndoles reconocer los problemas, determinar sus causas y tomar acciones correctoras
131
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 132
RIESGOS CORPORATIVOS – MARCO INTEGRADO
• El personal sabe qué comportamiento se considera aceptable y no aceptable • Existen canales abiertos de comunicación y una disposición a escuchar y el personal cree que sus superiores realmente desean conocer los problemas y que los abordarán eficazmente • Hay canales de comunicación independientes de las líneas normales de información y el personal entiende que no habrá represalias por trasladar información relevante • Un canal abierto de comunicaciones existe entre la alta dirección y el consejo de administración, siendo comunicada oportunamente la información adecuada • Están abiertos unos canales externos de comunicaciones y a través de ellos los clientes y proveedores pueden facilitar información significativa • La entidad comunica la información relevante a los reguladores, analistas financieros y otros terceros
SUPERVISIÓN • La dirección determina, a través de actividades permanente de supervisión, evaluaciones independientes o una combinación de ambas, si el funcionamiento de la gestión de riesgos corporativos sigue siendo eficaz
Actividades permanentes de supervisión • Las actividades permanentes de supervisión están integradas en las operaciones normales y recurrentes de la entidad realizadas durante el transcurso normal del negocio • Se llevan a cabo en tiempo real y reaccionan dinámicamente ante las condiciones cambiantes
Evaluaciones independientes • Las evaluaciones independientes se centran directamente en la eficacia de la gestión de riesgos corporativos y proporcionan una oportunidad para considerar la efectividad de las actividades de supervisión permanente. • El evaluador entiende cada una de las actividades de la entidad y cada componente de la gestión de riesgos corporativos que está siendo abordado • El evaluador analiza el diseño de la gestión de riesgos corporativos de la entidad y los resultados de las pruebas realizadas frente al trasfondo de normas establecidas por la dirección, determinando si dicha gestión proporciona una seguridad razonable respecto a los objetivos fijados
132
INFORME COSO-OKJ
25/5/05
18:14
Página 133
ANEXO B - RESUMEN
DE PRINCIPIOS CLAVE
Información de deficiencias • Las deficiencias informadas desde fuentes internas o externas se consideran cuidadosamente por sus implicaciones para la gestión de riesgos corporativos y se adoptan las acciones correctoras adecuadas • Todas las deficiencias identificadas que afectan a la capacidad de la entidad para desarrollar e implantar su estrategia y alcanzar sus objetivos establecidos se comunican a aquellas personas en posición de efectuar las acciones necesarias • No sólo se informa de las transacciones o eventos investigados y corregidos, sino que también se vuelven a evaluar los procedimientos subyacentes potencialmente defectuosos • Se establecen protocolos para identificar qué información es necesaria a un nivel determinado para tomar decisiones eficazmente
ROLES Y RESPONSABILIDADES Consejo de Administración • El consejo sabe hasta qué punto la dirección ha establecido una gestión eficaz de riesgos corporativos en la organización • Es consciente del riesgo aceptado por la entidad y está de acuerdo con él • Revisa la perspectiva de carteras de riesgos y la contrasta con el riesgo aceptado • Está informado de los riesgos más significativos y si la dirección está respondiendo adecuadamente
Dirección • El consejero delegado tiene la última responsabilidad de la gestión de riesgos corporativos • Asegura la presencia de un ámbito interno positivo y que todos los componentes de la gestión de riesgos corporativos están implantados • Los altos directivos a cargo de las unidades organizativas tienen la responsabilidad de gestionar los riesgos relacionados con los objetivos de sus unidades • Guía la aplicación de la gestión de riesgos corporativos, asegurando que su aplicación es coherente con las tolerancias al riesgo • Cada directivo es responsable ante el nivel superior inmediato de su parte de gestión de riesgos corporativos, siendo el consejero delegado el último responsable ante el consejo de administración
133
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 134
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Otro personal de la entidad • La gestión de riesgos corporativos es una parte implícita o explícita de la descripción de funciones de cada persona • El personal entiende la necesidad de resistirse a la presión de sus superiores a participar en actividades impropias y están disponibles canales independientes de las líneas normales de información para permitir informar de dichas circunstancias • Los papeles y responsabilidades del personal en la gestión de riesgos corporativos están bien definidos y eficazmente comunicados
Terceros que interaccionan con la entidad • Existen mecanismos para recibir información pertinente de terceros que interaccionan con la entidad y tomar las acciones adecuadas • Una acción no sólo incluye abordar la situación particular informada, sino también la investigación del origen subyacente del problema y su resolución • Respecto a las actividades externalizadas, la dirección ha implantado un programa para supervisarlas • La dirección considera las observaciones e ideas de los analistas financieros, las agencias calificadoras de solvencia financiera y los medios de comunicación que puedan mejorar la gestión de riesgos corporativos
134
INFORME COSO-OKJ
25/5/05
18:14
Página 135
Anexo C Relación entre Gestión de riesgos corporativos – Marco integrado y Control interno – Marco integrado Control Interno – Marco Integrado En 1992, el Committee of Sponsoring Organizations of the Treadway Commission (COSO) emitió Control interno – Marco integrado, que establece un marco para el control interno y proporciona herramientas de evaluación que las empresas y otras entidades pueden usar para evaluar sus sistemas de control. Dicho marco identifica y describe cinco componentes interrelacionados, necesarios para un control interno eficaz. Control interno – Marco integrado define al control interno como un proceso, efectuado por el consejo de administración, la dirección y demás personal de una entidad, diseñado para facilitar una seguridad razonable respecto de la consecución de objetivos en las siguientes categorías: • Eficacia y eficiencia de las operaciones • Fiabilidad de la información financiera • Cumplimiento de leyes y normas aplicables El presente anexo presenta la relación entre los respectivos marcos del control interno y de la gestión de riesgos corporativos.
Más amplia que el Control interno El control interno está inmerso en la gestión de riesgos corporativos y forma parte íntegra de ella. Dicha gestión es más amplia que el control interno, concepto este último que va ampliando y elaborando para formar una conceptualización sólida centrada más concretamente en los riesgos. El Control interno – Marco integrado sigue siendo válido para las entidades que se focalicen en el control interno en sí mismo.
Categorías de Objetivos El Control interno – Marco integrado especifica tres categorías de objetivos –operaciones, información financiera y cumplimiento– y, a su vez, la gestión de riesgos corporativos contiene también tres categorías casi iguales– operaciones, información y
135
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 136
RIESGOS CORPORATIVOS – MARCO INTEGRADO
cumplimiento. La categoría de información del marco de control interno se define como relativa a la fiabilidad de los estados financieros publicados, mientras que en el marco de gestión de riesgos corporativos, esta categoría ha sido ampliada de modo significativo, para cubrir todos los informes desarrollados por una entidad, divulgados tanto interna como externamente. Se incluyen en ella los informes usados internamente por la dirección y los emitidos a terceros, incluyendo las presentaciones a organismos reguladores y los informes enviados a los grupos de interés. Es más, su alcance se expande desde los estados financieros, pero no limitándose a cubrirlos de un modo más amplio, sino a incorporar también la información no financiera. Adicionalmente, Gestión de riesgos corporativos – Marco integrado añade otra categoría de objetivos, denominados objetivos estratégicos, que operan a un nivel mayor que los otros y se derivan de la misión o visión de la entidad, con las que deberían estar alineados los objetivos operativos, de información y de cumplimiento. La gestión de riesgos corporativos se aplica en el establecimiento de la estrategia, así como en las actuaciones para alcanzar los objetivos de las otras tres categorías. El marco de gestión de riesgos corporativos introduce los conceptos de riesgo aceptado y tolerancia al riesgo. El riesgo aceptado es el volumen amplio de riesgo que una entidad está dispuesta a aceptar en la realización de su misión/visión. Sirve de punto de orientación para establecer la estrategia y seleccionar los objetivos conexos. Las tolerancias al riesgo son los niveles aceptables de variación en relación con el logro de objetivos. Al establecerlas, la dirección considera la importancia relativa de los objetivos relacionados y alinea las tolerancias al riesgo con el riesgo aceptado. Operar dentro de las tolerancias al riesgo proporciona a la dirección una mayor seguridad de que la entidad permanece dentro de su riesgo aceptado, lo que, a su vez, facilita un mayor nivel de confianza en que la entidad alcanzará sus objetivos.
Perspectiva de Carteras La perspectiva de carteras de riesgos es un concepto no contemplado en el marco de control interno. Además de centrarse en los riesgos considerando el alcance de objetivos de la entidad a escala individual, es necesario tener en cuenta los riesgos compuestos desde una perspectiva de “cartera”.
Componentes Con un enfoque mejorado sobre el riesgo, el marco de gestión de riesgos corporativos expande el componente de evaluación de riesgos del marco del control interno, creando cuatro componentes –establecimiento de objetivos (que es un requisito previo para el control interno), identificación de eventos, evaluación de riesgos y respuesta al riesgo.
Ambiente Interno Al comentar este componente, el marco de gestión de riesgos corporativos habla de la filosofía de gestión de riesgos de una entidad, que es el conjunto de creencias y
136
INFORME COSO-OKJ
25/5/05
18:14
Página 137
ANEXO C - RELACIÓN ENTRE GESTIÓN DE RIESGOS CORPORATIVOS – MARCO INTEGRADO Y CONTROL INTERNO – MARCO INTEGRADO
actitudes compartidas que caracterizan cómo la entidad contempla los riesgos, refleja sus valores e impacta en su cultura y estilo operativo. Según lo descrito antes, dicho marco abarca el concepto del riesgo aceptado de una entidad, que está apoyado en tolerancias al riesgo más específicas. Dada la importancia crítica del consejo de administración y su composición, el marco de gestión de riesgos corporativos amplía la necesidad establecida en el marco del control interno de tener una masa crítica mínima de miembros independientes –normalmente, al menos dos miembros independientes- y establece que, para que sea eficaz la gestión de riesgos corporativos, el consejo deberá tener al menos una mayoría de miembros externos e independientes.
Identificación de Eventos Los marcos de la gestión de riesgos corporativos y del control interno reconocen que los riesgos existen en cualquier nivel de la entidad y que resultan de una variedad de factores internos y externos. Ambos marcos consideran la identificación de los riesgos en el contexto del impacto potencial sobre la consecución de objetivos. El primero de estos dos marcos plantea el concepto de eventos potenciales, definiendo un evento como un incidente o acontecimiento emanado de fuentes internas o externas que afecta a la implantación de la estrategia o al logro de objetivos. Los potenciales eventos de impacto positivo representan oportunidades, mientras que los de impacto negativo representan riesgos. La gestión de riesgos corporativos implica la identificación de eventos potenciales, usando una combinación de técnicas que contemplan tanto el pasado como las tendencias emergentes, y qué los provoca.
Evaluación de Riesgos Aunque ambos marcos requieren una evaluación de riesgos en términos de probabilidad de que un determinado riesgo ocurra y de su impacto potencial, el marco de gestión de riesgos corporativos sugiere que se ha de mirar la evaluación de riesgos de manera más afinada. Los riesgos se consideran como inherentes o residuales, preferiblemente expresados en la misma unidad de medida de los objetivos a los que se refieran. Los horizontes temporales deben ser coherentes con las estrategias y objetivos de la entidad y, cuando sea posible, con los datos observables. El marco de gestión de riesgos corporativos también reclama atención a los riesgos interrelacionados, describiendo cómo un solo evento puede crear múltiples riesgos. Como ya se ha comentado, dicha gestión abarca la necesidad para la dirección de desarrollar una perspectiva de cartera al nivel de entidad. Mientras que el responsable de cada unidad de negocio, función, proceso u otra actividad desarrolla una evaluación compuesta de los riesgos de su unidad individual, la dirección de la entidad considera los riesgos desde una perspectiva de “carteras”.
Respuesta a los Riesgos El marco de gestión de riesgos corporativos identifica cuatro categorías de respues-
137
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 138
RIESGOS CORPORATIVOS – MARCO INTEGRADO
ta al riesgo –evitar, reducir, compartir y aceptar. Como parte de dicha gestión, la dirección considera las respuestas potenciales en estas categorías y las tiene en cuenta con la intención de conseguir un nivel de riesgo residual en línea con las tolerancias al riesgo de la entidad. Tras considerar las respuestas a los riesgos a escala individual o de grupo, la dirección contempla su efecto agregado en toda la entidad.
Actividades de Control Ambos marcos presentan las actividades de control como una ayuda para asegurar que las respuestas al riesgo de la dirección se llevan a cabo. El marco de gestión de riesgos corporativos hace ver explícitamente que en algunos casos las mismas actividades de control sirven de respuesta a los riesgos.
Información y Comunicación El marco de gestión de riesgos corporativos amplía el componente de comunicación e información del control interno, destacando la consideración de datos derivados de eventos pasados y presentes y datos potenciales futuros. Los datos históricos permiten a la entidad seguir el funcionamiento actual respecto a los objetivos, planes y expectativas y proporcionan ideas sobre cómo la entidad se comportó en periodos anteriores bajo condiciones diversas. Los datos actuales facilitan información adicional importante, mientras que los datos sobre posibles eventos futuros y sus factores subyacentes completan el análisis de la información. La infraestructura de esta última busca y capta los datos en un marco de tiempo y con una profundidad de detalle concordantes con la necesidad de la entidad de identificar eventos, evaluar riesgos y responder a ellos y mantenerse dentro de su riesgo aceptado. El comentario respecto a la existencia en el marco del control interno de un canal alternativo de comunicaciones, independiente de las líneas normales de información, tiene mayor énfasis en el marco de gestión de riesgos corporativos, que establece que ésta gestión, para ser eficaz requiere dicho canal.
Roles y Responsabilidades Ambos marcos centran la atención en los papeles y responsabilidades de algunas “partes organizativas” que forman parte del control interno y la gestión de riesgos corporativos o que les facilitan importante información. El marco de gestión de riesgos corporativos describe los roles y responsabilidades de los directores de riesgos y amplían el papel del consejo de administración de la entidad.
138
INFORME COSO-OKJ
25/5/05
18:14
Página 139
Anexo D Bibliografía seleccionada American Institute of Certified Public Accountants and The Canadian Institute of Chartered Accounts, Managing Risk in the New Economy, New York AICP. 2000 Banham, Russ. A High Level of Intolerance. CFO, The Magazine for Senior Financial Executives. April 2000. Barton, Thomas L., William G. Shenkir and Paul L. Walker. Making Enterprise Risk Management Pay Off: How Leading Companies Implement Risk Management. Financial Executive. 2001. Bazerman, Max H. Judgement in Managerial Decision Making. New York. John Wiley & Sons. 2001 Committee of Sponsoring Organization of the Treadway Commission (COSO). Internal Control – Integrated Framework. New York AICPA. 1992. Crouhy, Michael, Dan Galai and Robert Mark. Risk Management. New York. McGraw-Hill. 2001. Davidson, Clive. Lofty Ambitions for Measuring Global Risk. Securities Industry News. June 5, 2000. DeLoach, James W. Enterprise-Wide Risk Management: Strategies for Linking Risk and Opportunity. London. Financial Times Prentice Hall. 2000. DiPiazza, Samuel A., Jr. y Robert G. Eccles. Building Public Trust: the Future of Corporate Reporting. New York. John Wiley & Sons. 2002 Everson, Miles. Creating an Operational Risk-Sensitive Culture. The RMA Journal. March 1, 2002. Economist Intelligence Unit, en colaboración con Arthur Andersen & Co. Managing Business Risk – An Integrated Approach. The Economist Intelligence Unit. 1995. Economist Intelligence Unit, en colaboración con MCC Enterprise Risk. Enterprise Risk Management – Implementing New Solutions. The Economist Intelligence Unit. 2001. FEI Research Foundation, en colaboración con Andersen. Risk Management: An Enterprise Perspective. Financial Executive. 2002. Haubenstock, Michael and John Gontero. Operational Risk Management: The Next Frontier. New York. RMA. 2001. Institute of Chartered Accountants in England and Wales. Internal Control Guidance for Directors on the Combined Code. London. ICAEW. 1999. Institute of Directors in Southern Africa. King Report on Corporate Governance for South Africa 2001. The Institute of Directors in Southern Africa. 2001. International Organisation for Standardization. ISO/IEC Guide 73. 2002. Lam, James. The CRO is Here to Stay. Risk Management. April 2001. National Commission on Fraudulent Financial Información. Report of the National Commission on Fraudulent Financial Información. 1987.
139
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 140
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Nottingham, Lucy. A Conceptual Framework for Integrated Risk Management. Conference Board of Canada. 1997.
Ottawa.
Risk Management Group of the Basel Committee on Banking Supervision. Sound Practices for the Management and Supervision of Operational Risk. 2001. Root, Stephen J. Beyond COSO Internal Control to Enhance Corporate Governance. New York. John Wiley & Sons. 1998. Standards Australia and Standards New Zealand. Australian/New Zealand Standard 4360:1990: Risk Management. Standards Australia and Standards New Zealand. 1999. Steinberg, Richard M. The CEO and the Board: Enhancing the Relationship. G100 Insights. April 2003. Steinberg, Richard M. and Catherine L. Bromilow. Corporate Governance and the Board – What Works Best. The Institute of Internal Auditors Research Foundation. 2001. The Institute of Risk Management (IRM), The Association of Insurance and Risk Managers (AIRMIC) and ALARM The National Forum for Risk Management in the Public Sector. A Risk Management Standard. AIRMIC, ALARM, and IRM. 2002. Thiessen, Karen. A Composite Sketch of Chief Risk Officer. Ottawa. Conference Board of Canada. 2001. Thiessen, Karen. Don’t Gamble with Goodwill – The Value of Effectively Communicating Risks. Ottawa. Conference Board of Canada. 2000. Tillinghast – Towers Perrin. Enterprise Risk Management: Trends and Emerging Practices. New York. Tillinghast – Towers Perrin. 2001. Walker, Paul L., William G. Shenkir and Thomas L. Barton. Enterprise Risk Management: Pulling It All Together. The Institute of Internal Auditors Research Foundation. 2002.
140
INFORME COSO-OKJ
25/5/05
18:14
Página 141
Anexo E Consideración a los comentarios Según se indica en el Anexo A, un borrador de este Marco se ha expuesto a revisión pública. Las 78 cartas de respuesta recibidas contienen cientos de comentarios individuales sobre una amplia gama de temas y su contenido ha sido considerado en la formulación de revisiones del documento final. Este anexo resume los temas más significativos y las modificaciones resultantes reflejadas en este informe definitivo y también facilita una perspectiva sobre por qué algunos enfoques han sido aceptados y otros no.
Definición de la Gestión de Riesgos Corporativos Generar valor para los grupos de interés El borrador describía cómo la gestión de riesgos corporativos permite a una organización generar valor para sus grupos de interés, aunque el concepto de valor no estuviera explícitamente reflejado en la definición de dicha gestión. Algunas personas sugirieron que esta definición debería contener tal referencia explícita. Se llegó a la conclusión de que la definición debería mantenerse tal como se presentaba. La definición dice explícitamente que la gestión de riesgos corporativos implica facilitar una seguridad respecto a la consecución de objetivos de la entidad, lo que inherentemente genera valor. Es más, el texto que enmarca a la definición describe cómo la gestión de riesgos corporativos proporciona valor para los grupos de interés. Debido a esta vinculación existente con el concepto de valor y su descripción y para evitar una definición irrazonablemente larga (tal como sugieren otras respuestas), se ha mantenido la definición.
Oportunidades El borrador describía como la gestión de riesgos corporativos implica identificar y abordar los eventos potenciales que tengan un impacto negativo sobre una entidad, denominados riesgos, y los eventos de impacto positivo, denominados oportunidades. Algunas de las personas que respondieron han dicho que, dada la importancia de la identificación de oportunidades, la definición del riesgo debería ampliarse para incluir este concepto. Unas personas argumentaban que excluir a las oportunidades como parte de la definición del riesgo podría llevar al lector a no ver a dicho concepto como parte de la gestión de riesgos corporativos, socavando así la relevancia del Marco. Por contra, algunas otras sugirieron que se eliminara del informe final toda referencia a las oportunidades.
141
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 142
RIESGOS CORPORATIVOS – MARCO INTEGRADO
La conclusión fue que, dada la importancia de identificar y aprovechar las oportunidades, se debería mantener en el Marco, e incluso mejorar, los comentarios sobre ellas. Así, el informe final amplía las reflexiones dedicadas a la identificación de oportunidades y la reacción a ellas, formando ambos conceptos una parte integral de la gestión de riesgos corporativos. Los comentarios de los capítulos del informe final sobre componentes describen aún más el proceso por el que la dirección considera en la gestión del riesgo los efectos negativos y positivos de los eventos potenciales. En cuanto a la definición del riesgo, se decidió que añadir el concepto de oportunidad enturbiaría los conceptos y haría más difícil la comunicación. Mantener la distinción entre un evento negativo y uno positivo aporta claridad al lenguaje de la gestión de riesgos corporativos.
Un proceso El borrador definía la gestión de riesgos corporativos como un proceso y establecía componentes que pueden verse como elementos de un proceso. Algunas respuestas aludían a que el término “proceso” implicaba de forma inadecuada la realización secuencial de pasos o tareas predefinidas. El informe ha sido revisado para potenciar el concepto de que la gestión de riesgos corporativos no se realiza necesariamente de modo secuencial, sino que constituye una interacción permanente e iterativa de acciones llevadas a cabo en toda la entidad.
Aplicado al establecimiento de la estrategia El borrador describía cómo los objetivos deben establecerse y comunicarse claramente antes de que puedan ser identificados y abordados los riesgos que amenazan su consecución. También exponía que las técnicas de gestión de riesgos corporativos se aplican al establecimiento de la estrategia para ayudar a la dirección a evaluar y seleccionar la estrategia de la entidad y vincularla a los objetivos correspondientes. Algunos comentarios indicaban que la gestión de riesgos es secundaria frente al desarrollo de la estrategia de la entidad por su dirección y que el Marco pone un énfasis indebido en el riesgo en lugar de hacerlo en el establecimiento de objetivos. Se llegó a la conclusión de que no es necesario ni útil presentar un concepto, el establecimiento de la estrategia, como más importante que el otro, la gestión de riesgos. Ambos son importantes e inherentes a la gestión de riesgos corporativos. El documento final, sin embargo, sí contiene una exposición mejorada del proceso del establecimiento de la estrategia y de los objetivos al efectuar dicha gestión empresarial.
Riesgo aceptado y Tolerancia al riesgo El borrador abordó los conceptos de riesgo aceptado y tolerancia al riesgo. Algunos comentarios sugerían que hacía falta incluir información adicional, incluyendo orientación sobre cómo expresar y medir el riesgo aceptado. Otros destacaban que existía poca diferencia entre los dos conceptos y que deberían combinarse en uno. El informe final mantiene la distinción entre riesgo aceptado y tolerancia al riesgo,
142
INFORME COSO-OKJ
25/5/05
18:14
Página 143
ANEXO E - CONSIDERACIÓN
A LOS COMENTARIOS
perteneciendo el primero a un nivel alto de la entidad en su conjunto, mientras que el segundo se refiere a objetivos específicos. Las Técnicas de aplicación proporcionan ejemplos de la aplicación de ambos conceptos.
Seguridad razonable Algunos comentarios recibidos sugerían que el concepto de seguridad razonable debería definirse de forma más precisa. Se decidió que la discusión en torno a dicho término es adecuada y que una mayor precisión en su definición excedería del alcance de este proyecto.
Categorías de objetivos Algunas respuestas decían que establecer cuatro categorías de objetivos de una entidad no ayuda y complica innecesariamente el marco. El documento final mantiene todas estas categorías, sobre la base de que esa clasificación permite centrarse en distintos aspectos de la gestión de riesgos corporativos, facilita la distinción entre lo que puede esperarse de cada categoría de objetivos y apoya el uso de un lenguaje común en dicha gestión.
Consecución de objetivos Algunas personas que respondieron preguntaban por qué la seguridad razonable se aplica sólo a la amplitud con que se están consiguiendo los objetivos estratégicos y operativos, antes bien que a su consecución real. Se pensó que la distinción entre lo que puede esperarse de la gestión de riesgos corporativos respecto al alcance de objetivos estratégicos y operativos, en relación con los objetivos de información y cumplimiento, continuaba siendo adecuada por las razones expuestas en el documento, centradas en si dicha consecución está dentro o fuera del control de la entidad.
Eficacia Algunas respuestas exponían que la eficacia de la gestión de riesgos corporativos debería definirse en relación con los resultados logrados, medidos en términos de realizaciones que el proceso está intentando alcanzar, antes que en un juicio subjetivo sobre si los ocho componentes están presentes y funcionan adecuadamente. Los criterios de eficacia –la presencia y funcionamiento eficaz de cada componentepermanecen en el documento final. Se llegó a la conclusión de que el principio desarrollado en el marco del control interno y extendido al marco de gestión de riesgos corporativos es lógico y sirve para mejorar las necesidades de los usuarios - que cuando los ocho componentes estén presentes y funcionen eficazmente (y no exista ninguna debilidad material), el resultado o producto es que la dirección y el consejo de administración obtengan una seguridad razonable de la consecución de los objetivos establecidos. El documento final mantiene dicho principio y destaca además
143
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 144
RIESGOS CORPORATIVOS – MARCO INTEGRADO
que la contención de los riesgos dentro del riesgo aceptado por la entidad es un elemento necesario para una eficaz gestión de riesgos. Se ha eliminado el concepto de juicio subjetivo, como el de la presencia y funcionamiento de los ocho componentes, sobre la base de que los juicios pueden ser objetivos y estar basados en los principios de este Marco.
Inclusión del Control Interno El borrador contenía parte del texto de Control interno – Marco integrado e indicaba que su totalidad se había incorporado mediante referencia al marco de la gestión de riesgos corporativos. El borrador incluía un anexo que comparaba y contrastaba ambos marcos. Algunos comentarios sugerían que el informe final debería identificar de forma destacada aquellas secciones tomadas del texto Control interno – Marco integrado y otros recomendaban que su totalidad se incorporara como un anexo al presente informe, con un contraste detallado de las diferencias entre ambos documentos. Finalmente, otras respuestas recibidas solicitaban que este informe describiera detalladamente de qué modo el Control interno – Marco integrado se había expandido hacia el marco de gestión de riesgos corporativos. Algunas personas comentaron que el presente documento debía destacar y clarificar el objetivo y el propósito de cada marco. Se decidió que la descripción de las diferencias entre los dos marcos estaba en el nivel adecuado. El Anexo C destaca las diferencias claves e identifica qué conceptos del marco de gestión de riesgos corporativos han sido incorporados directamente del Control interno – Marco integrado, qué otros conceptos procedentes del marco de control interno han sido ampliados y cuáles son nuevos. Se estimó innecesario incluir el marco de control interno como anexo, ya que está fácilmente disponible para los usuarios. El propósito y el público objetivo de cada uno de los marcos ya están descritos con suficiente profundidad.
Gestión de riesgos corporativos y Proceso de gestión Algunos comentarios sugerían que el anexo que compara las actividades de gestión con las actividades de gestión de riesgos corporativos facilitaba poca información útil y podía provocar confusión en los lectores. Algunas personas dijeron que el establecimiento de las actividades de gestión como algo distinto a las actividades de gestión de riesgos corporativos podría reducir –en lugar de reforzar– la noción de integrar la gestión de riesgos dentro de las actividades de negocio y gestión. La figura del borrador no ha sido incluida en el informe final y, en su lugar, se presentan mensajes relevantes en el texto.
Información y comunicación Algunos comentarios se referían a la importancia de un canal de comunicaciones ajeno a las líneas normales de información y sugerían que era un elemento necesario de la gestión de riesgos corporativos. El informe final refleja este enfoque y afirma que, para que la gestión de riesgos cor-
144
INFORME COSO-OKJ
25/5/05
18:14
Página 145
ANEXO E - CONSIDERACIÓN
A LOS COMENTARIOS
porativos sea eficaz, una entidad debe mantener un canal de comunicaciones de ese tipo.
Roles y responsabilidades Algunas respuestas planteaban que se necesitaba una mayor claridad respecto a las diferentes responsabilidades en la gestión de riesgos corporativos por parte del consejo de administración, la dirección, otro personal de la entidad y terceros. El informe final amplía este aspecto y clarifica los respectivos roles y responsabilidades de cada una de estas partes.
Otras consideraciones Forma y presentación Algunas personas que respondieron aludían a la extensión, formato y estilo del borrador y expresaban una variedad de perspectivas sobre cómo se podría organizar y perfeccionar el informe. Se llegó a la conclusión de que el informe debería reorganizarse y depurarse, para mejorar su legibilidad y claridad y eliminar redundancias. El Resumen Ejecutivo del borrador ha sido sustituido por un resumen más breve. El capítulo 1 del borrador, La relevancia de la gestión de riesgos corporativos ha sido eliminado, incorporando los conceptos más importantes en el capítulo 1 definitivo del informe, Definición. Se han reducido las redundancias, se han eliminado o abreviado los planteamientos menos importantes y se ha simplificado el estilo.
Relación entre Gestión de riesgos corporativos – Marco integrado y otros informes y legislación Algunas respuestas recibidas decían que sería útil abordar las relaciones entre el marco de gestión de riesgos corporativos y la Ley Sarbanes-Oxley de 2002, el New Basel Capital Accord del Basel Committee on Banking Supervision y la legislación sobre gestión de riesgos de Australia, Canadá, Alemania, Japón, Reino Unido y otros países. Algunos comentarios recomendaban que el documento indicase claramente que el documento Control interno – Marco integrado continua siendo un marco aceptable para el cumplimiento de la Sección 404 de la Ley Sarbanes-Oxley y que la emisión del texto Gestión de riesgos corporativos – Marco integrado no requería que las empresas lo aplicasen con fines de cumplimiento de dicha sección. Se llegó a la conclusión de que la conciliación entre la Gestión de riesgos corporativos – Marco integrado y otros documentos va más allá del alcance de este proyecto. Respecto al cumplimiento de la Sección 404 antes citada, el COSO está comunicando, a través del “Prólogo” de este informe, que el texto Control Interno- Marco integrado permanece vigente y de manera adecuada se percibe como una base de información bajo ciertos requisitos legislativos como la Ley Sarbanes-Oxley.
145
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 146
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Consejos para la aplicación Algunas sugerencias aludían a la inclusión de un contenido específico para el volumen de consejos para la aplicación. Algunos pedían que se incluyeran uno o más casos monográficos para ayudar a implantar el marco a organizaciones de dimensiones diferentes. Otras sugerían que el documento Marco y los consejos para la aplicación contuvieran enlaces de referencia cruzada. Se decidió que el volumen de consejos para la aplicación debería incluir cierto contenido sugerido, incluyendo ejemplos de cómo las entidades pueden aplicar conceptos específicos descritos en el Marco. El informe final contiene esta información, aunque se decidió que no era práctico identificar o desarrollar un caso monográfico que ilustrara la aplicación de todos los conceptos del Marco y que, de hacerlo, se estaría excediendo el alcance del proyecto. Con un enfoque más nítido para el contenido de este volumen, se concluyó que su título más apropiado sería el de Técnicas de aplicación y el nombre se modificó en consonancia. También se han incluido enlaces entre Técnicas de aplicación y el Marco.
146
INFORME COSO-OKJ
25/5/05
18:14
Página 147
Anexo F Glosario Categoría de objetivos. Cada una de las cuatro categorías de objetivos de la entidad – estrategia, eficacia y eficiencia de las operaciones, fiabilidad de la información y cumplimiento de leyes y normas aplicables. Las categorías se solapan, de modo que un objetivo determinado puede incidir en más de una categoría. Componente. Hay ocho componentes en la gestión de riesgos corporativos: ambiente interno de la entidad, establecimiento de objetivos, identificación de eventos, evaluación de riesgos, respuesta a los riesgos, actividades de control, información y comunicación, y supervisión. Control. 1. Sustantivo que indica un concepto. Por ejemplo, existencia de un control – una política o procedimiento que forma parte del control interno. Un control puede existir en cualquiera de los ocho componentes. 2. Sustantivo que indica un estado o condición. Por ejemplo, efectuar control – el resultado de políticas y procedimientos diseñados para controlar. Este resultado puede ser o no un control interno eficaz. 3. Verbo como palabra derivada. Por ejemplo, controlar – regular. Establecer o implantar una política que efectúe el control
Controles de aplicación. Procedimientos programados en el software de aplicación y procedimientos manuales relacionados con ellos, diseñados para ayudar a asegurar la integridad y fiabilidad del procesamiento de la información. Los ejemplos incluyen las comprobaciones informatizadas de edición, verificaciones de secuencia numérica y procedimientos manuales para seguir temas identificados en los informes de incidencias. Controles generales. Políticas y procedimientos que ayudan a asegurar el funcionamiento adecuado y permanente de los sistemas de información. Se incluyen en este concepto los controles de gestión de la tecnología de información, de la infraestructura de la tecnología informática, de la gestión de la seguridad y de la adquisición, desarrollo y mantenimiento del software. Los controles generales apoyan el funcionamiento de los controles de aplicación programados. Otros términos similares son controles generales informáticos y controles de tecnología informática.
147
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 148
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Control interno. Un proceso, efectuado por el consejo de administración, la dirección y demás personal de una entidad, diseñado para proporcionar una seguridad razonable respecto a la consecución de objetivos en las siguientes categorías: • Eficacia y eficiencia de las operaciones • Fiabilidad de la información financiera • Cumplimiento de leyes y normas aplicables Controles manuales. Controles realizados manualmente y no por ordenador. Criterios. Un conjunto de normas frente a las que se puede medir la gestión de riesgos corporativos al determinar su eficacia. Los ocho componentes de la gestión de riesgos corporativos, tomados en el contexto de las limitaciones inherentes a dicha gestión, representan criterios de eficacia de ella para cada una de sus cuatro categorías de objetivos. Cumplimiento. Término usado en relación con el concepto “objetivos” y que tiene que ver con el cumplimiento de leyes y normas aplicables a la entidad. Deficiencia. Una condición dentro de la gestión de riesgos corporativos merecedora de atención, que puede representar una debilidad percibida, potencial o real, o una oportunidad para potenciar dicha gestión y propiciar una mayor probabilidad de que se alcancen los objetivos de la entidad. Diseño 1. Intención. Según aparece en su propia definición, la gestión de riesgos corporativos intenta identificar los eventos potenciales que puedan afectar a la entidad y gestionar los riesgos dentro del riesgo aceptado, proporcionando una seguridad razonable del logro de objetivos. 1. Plan. La manera como se espera que funcione un proceso, que puede contrastar con la realidad de cómo funciona. Efectuado. Se usa en la gestión de riesgos corporativos: concebido y mantenido. Entidad. Una organización de cualquier dimensión establecida para servir un propósito determinado. Una entidad, por ejemplo, puede ser una empresa, una organización sin ánimo de lucro, un organismo gubernamental o una institución universitaria. Otros términos sinónimos son organización y empresa. Estratégico. Término usado en relación con el concepto “objetivos”. Tiene que ver con los objetivos de alto nivel que están alineados con la misión (o visión) de la entidad y que la apoyan.
148
INFORME COSO-OKJ
25/5/05
18:14
Página 149
ANEXO F - GLOSARIO
Evento. Un incidente o acontecimiento, derivado de fuentes internas o externas a la entidad, que afecta a la consecución los objetivos. Grupos de interés. Conjunto de personas físicas o jurídicas que colaboran con una entidad o están afectados por ella, tales como accionistas, comunidad en que opera, empleados, clientes y proveedores. Impacto. El resultado o efecto de un evento. Puede existir una gama de posibles impactos asociados a un evento. El impacto de un evento puede ser positivo o negativo sobre los objetivos relacionados de la entidad. Imposición de la dirección. Las acciones de la dirección para saltarse las políticas o procedimientos con propósitos ilegítimos de enriquecimiento personal o de presentación alterada de las condiciones financieras de la entidad o su cumplimiento de normas. Este concepto contrasta con el de Intervención de la dirección. Incertidumbre. La incapacidad de saber anticipadamente la probabilidad e impacto exactos de eventos futuros. Información. Término usado en relación con el concepto “objetivos”. Tiene que ver con la integridad y fiabilidad de la información de la entidad, incluyendo la interna y externa y la financiera y no financiera. Integridad. La calidad o condición de tener principios morales sólidos, de poseer virtud, honradez y sinceridad, de desear hacer lo correcto y de profesar y vivir una serie de valores y expectativas. Intervención de la dirección. Las acciones de la dirección para saltarse las políticas o procedimientos prescritos por razones legítimas. Esta intervención es normalmente necesaria para abordar transacciones no habituales ni recurrentes o eventos que de otro modo podrían ser manejados incorrectamente por el sistema. Este concepto contrasta con el de Imposición de la dirección. Limitaciones inherentes. Las limitaciones en la gestión de riesgos corporativos relativas a los límites del juicio humano, las restricciones de los recursos, la necesidad de tener en cuenta el coste de los controles respecto a los beneficios esperados, la realidad de que los fallos pueden ocurrir y la posibilidad de que la dirección prescinda de los controles o esté en connivencia para incumplirlos. Operaciones. Término usado en relación con el concepto “objetivos”. Tiene que ver con la eficacia y eficiencia de las actividades de una entidad, incluyendo metas de rendimiento y rentabilidad, y con la salvaguarda de recursos frente a pérdidas.
149
INFORME COSO-OKJ
GESTIÓN
25/5/05
DE
18:14
Página 150
RIESGOS CORPORATIVOS – MARCO INTEGRADO
Oportunidad. La posibilidad de que un evento ocurra y afecte positivamente a la consecución de objetivos. Política. Las directrices de la dirección de lo que debería hacerse para efectuar el control. Una política sirve como base para la implantación de procedimientos. Probabilidad. La posibilidad de que un evento dado ocurra. Los términos a veces adquieren connotaciones más específicas y, así, “probabilidad” tanto puede indicar dicha posibilidad en términos cualitativos como alto, medio y bajo o derivados de otras escalas de juicio o bien indicarla mediante una medida cuantitativa, como porcentaje, frecuencia u otra métrica numérica. Procedimiento. Una acción para poner en práctica una política. Proceso de gestión. La serie de acciones tomadas por la dirección para conducir una entidad. La gestión de riesgos corporativos es una parte del proceso de gestión y está integrada en él. Proceso de gestión de riesgos corporativos. Otra forma de denominar a la gestión de riesgos corporativos desarrollada en una entidad. Riesgo. La posibilidad de que un evento ocurra y afecte adversamente a la consecución de objetivos. Riesgo aceptado. La cuantía, en sentido amplio del riesgo, que una entidad está dispuesta a asumir para realizar su misión (o visión). Riesgo inherente. El riesgo al que se somete una entidad en ausencia de acciones de la dirección para alterar o reducir su probabilidad de ocurrencia e impacto. Riesgo residual. El riesgo remanente después de que la dirección haya llevado a cabo una acción para modificar la probabilidad o impacto de un riesgo. Seguridad razonable. El concepto de que la gestión de riesgos corporativos, por muy bien diseñada y operativa que esté, no puede proporcionar una garantía de la consecución de objetivos de la entidad, debido a las Limitaciones Inherentes a dicha gestión. Sistema de control interno. Un sinónimo del control interno existente en una entidad. Tolerancia al riesgo. La variación aceptable en la consecución de un objetivo.
150
INFORME COSO-OKJ
25/5/05
18:14
Página 151
Anexo G Agradecimientos El COSO Board, el Consejo Asesor y PricewaterhouseCoopers LLP desean agradecer a los muchos directivos, legisladores, reguladores, auditores, profesores de universidad y otros que dedicaron su tiempo y esfuerzo colaborando y contribuyendo a varios aspectos del estudio. También quisiéramos reconocer los esfuerzos significativos de las organizaciones del COSO y sus miembros que respondieron a las encuestas, participaron en los grupos de trabajo y reuniones y facilitaron comentarios e ideas durante el desarrollo de este marco. Los siguientes socios y personal de PricewaterhouseCoopers hicieron una aportación importante a este marco: Dick Anderson, Jeffrey Boyle, Glenn Brady, Michael Bridge, John Bromfield, Gary Chamblee, Nicholas Chipman, John Copley, Michael de Crspigny, Stephen Delvecchio, Scout Dillman, P. Gregory Garrison, Bruno Passer, Susan Kenney, Brian Kinman, Robert Lamoureux, James LaTorre, Mike Maali, Jorge Manoel, Cathy McKeon, Juan Pujadas, Richard Reynolds, Mark Stephen, Robert Sullivan, Jeffrey Thompson y Shyam Venkat. Las siguientes personas también hicieron una aportación al presente estudio: Michael Haubenstock, Director de Gestión de riesgos corporativos, Capital One Finance Corporation; Adrienne Willich, Gerente de Riesgo operacional, Capital One Finance Corporation; y Daniel Mudge, Presidente y Consejero Delegado, OpVantage. Richard A. Scott, William G. Shenkir, y Paul L. Walker de la University of Virginia realizaron la investigación inicial que llevó a este estudio. Gracias también a Myra Cleary por su orientación editorial. Asimismo quisiéramos hacer una mención especial a Robert G. Eccles, Presidente, de Advisory Capital Partners, Inc. y antiguo Profesor de la Harvard Business School, por sus amplias aportaciones a este marco. Por último, es nuestro deseo rendir homenaje a William H. Bishop, III, Presidente del Institute of Internal Auditors, quien, hasta su muerte esforzó enormemente en mejorar el papel y valor de la profesión de auditoría. La aportación de Bill al presente proyecto, y, en realidad, al proyecto del marco de control interno de COSO, ha ayudado a mejorar estos informes. Como compañero y amigo, se le echará mucho de menos.
151
INFORME COSO-OKJ
25/5/05
18:14
Página 152
Copyright © del Committee of Sponsoring Organizations of the Treadway Commission. 1 2 3 4 5 6 7 8 9 MPI 0 9 8 7 6 5 4 Copyright © 2009 de la versión española: PricewaterhouseCoopers Se pueden solicitar ejemplares adicionales de Gestión de Riesgos Corporativos – Marco Integrado: Resumen Ejecutivo y Marco y Gestión de Riesgos Corporativos – Marco Integrado: Técnicas de Aplicación, 2 vol. Set, item # 990015 llamando de modo gratuito al 1 – 888 – 777 – 7077 o acudiendo a www.cpa2biz.com. Se reservan todos los derechos. Para más información sobre permisos y licencias de reimpresión, llame al (201) 938 – 3245. Hay disponible un formulario de solicitud de permisos para solicitudes enviadas por correo electrónico en la dirección www.aicpa.org/cpright.htm. De lo contrario, deberán enviarse las solicitudes, por escrito y por correo ordinario, a Permissions Editor, AICPA, Harborside Financial Center, 201 Plaza Three, Jersey City, NJ 07311-3881. Traducido de: “Enterprise Risk Management – Integrated Framework”
Committee of Sponsoring Organizations of the Treadway Commission (COSO)
Gestión de Riesgos Corporativos - Marco Integrado
Gestión de Riesgos
Corporativos
Marco Integrado
Committee of Sponsoring Organizations of the Treadway Commission (COSO)
View more...
Comments