Beruflich Dokumente
Kultur Dokumente
Administracin de riesgos
una visin global y moderna
Autores:
Gastn Bueno
Cecilia Correa
Juan Ignacio Echeverry
Marzo 2010
Administracin de riesgos una visin global y moderna Marzo
2010
INDICE
AGRADECIMIENTOS.................................................................................................. 5
RESUMEN EJECUTIVO.............................................................................................. 6
ANEXOS...................................................................................................................... 127
AGRADECIMIENTOS
Queremos expresar nuestro agradecimiento a nuestro coordinador, Cr. Luis Sauleda, por
su orientacin en la realizacin del presente trabajo de investigacin monogrfico, su
gua para la obtencin del material de referencia y el tiempo dedicado.
Por otra parte tambin queremos agradecer a nuestros familiares y amigos, por
acompaarnos y apoyarnos a lo largo de nuestra carrera.
RESUMEN EJECUTIVO
Los actuales problemas y la realidad del contexto mundial han llevado a las
organizaciones a prestar ms atencin a su gestin de riesgos, considerndola uno de los
factores claves para el xito. En los ltimos aos han surgido en diversas partes del
mundo innumerables estndares nacionales e internacionales buscando lograr un
entendimiento global sobre la forma ms eficaz de realizarlo.
En el contexto actual del mundo de los negocios, a partir de las sucesivas crisis
econmicas y financieras de los ltimos tiempos, resulta evidente que nadie est ajeno
al riesgo empresarial, sin importar tamao, tipo y composicin de las organizaciones.
Los negocios operan y operarn en un entorno totalmente distinto a lo que era hace
quince aos. La globalizacin de los mercados y las nuevas estrategias competitivas y
de expansin impulsadas por los vertiginosos avances de la tecnologa; las
reestructuraciones organizacionales, las privatizaciones y asociaciones, y el outsourcing
de procesos como respuestas habituales a esas nuevas realidades; la constante bsqueda
y generacin de los nuevos productos materiales e inmateriales as como los grandes
proyectos de inversin extranjera y nacional y las nuevas tendencias de financiacin,
produccin y consumo, generan, todos ellos, riesgos inherentes, sean normales o
extraordinarios, muchos de los cuales nunca se pens que pudieran afectar a las
organizaciones empresariales privadas o pblicas. 1
1
http://www.javeriana.edu.co/fcea/pos_contaduria/III_revisoria_fiscal/ponencia_rodrigo_estupinan_u_ros
ario.pdf
2
Treadway Sponsoring Organizations of the Treadway Commission, en adelante COSO
A continuacin nos ocuparemos de otros estndares que tratan del tema. Abordaremos
el concepto de gestin empresarial segn los siguientes documentos, ordenados en
orden cronolgico de aparicin:
3
www.coso.org, Enterprise Risk Management - Integrated Framework, en adelante ERM
4
Integrated Risk Management Framework, en adelante estndar canadiense o IRMF , su siglaen ingls
5
A Risk Management Standard - AIRMIC, ALARM, IRM: 2002, en adelante ALARM
6
AS/NZS 4360:2004: Risk Management, en adelante AS/NZS 4360
7
BS 31100: Code of practice for risk management, en adelante BS 31100
8
www.bsigroup.com, The British Standards Institution o British Group
9
ISO 31000:2009 Risk management - Principles and guidelines, en adelante ISO 31000
10
www.iso.org International Organization for Standardization, en adelante ISO
Antecedentes y caractersticas:11
11
ERM Resumen Ejecutivo Marco
12
COSO
13
www.pwc.com, en adelante PWC
La premisa principal de ERM es que toda entidad existe para proveer valor a sus
interesados. Todas las empresas operan en ambientes cambiantes, enfrentando a la
incertidumbre sobre el futuro lo que deriva de la incapacidad de determinar la
probabilidad de ocurrencia de eventos inciertos, as como de las consecuencias
asociadas; y el desafo para la gerencia es determinar cuanta incertidumbre la entidad
est dispuesta a aceptar en su esfuerzo por aumentar el valor para sus grupos de
inters14.
La incertidumbre presenta para la empresa, tanto riesgos como oportunidades, los cuales
pueden generar deterioro o crecimiento del valor. ERM provee un marco que permite a
la empresa poder manejar eficazmente la incertidumbre y los riesgos y oportunidades
asociados, de manera de aumentar su capacidad de generar valor.
Ninguna empresa opera en un ambiente libre de riesgos, y el ERM no crea tal ambiente.
ERM permite a los administradores operar ms eficazmente en un ambiente pleno de
riesgos.
14
El trmino grupos de inters estara refirindose a lo que en ingls definen como Stakeholders
15
www.ccee.edu.uy, Administracin del riesgo empresarial, material publicado por la ctedra de
Control Interno, ao 2005
El apetito de riesgo, es el grado de riesgo que una empresa tiene voluntad de aceptar en
la persecucin de sus metas; puede ser establecido con relacin a la organizacin como
un todo, para diferentes grupos de riesgos o en un nivel de riesgo individual.
Por tanto la empresa debe de establecer los riesgos por los cuales tiene inters, cul va a
ser su tolerancia a los mismos, y cmo va a administrarlos para proveer una razonable
seguridad acerca del cumplimiento de los objetivos establecidos. Se considera el inters
por asumir riesgos al evaluar las alternativas estratgicas, al establecer los objetivos
(alinendolos con la estrategia seleccionada) y al desarrollar mecanismos para gestionar
los riesgos correspondientes.
Las empresas aceptan el riesgo como parte de la creacin y conservacin del valor, y
esperan retornos en proporcin a los riesgos. El ERM aumenta la capacidad de las
empresas para identificar y valorar al riesgo, establecer niveles aceptables de riesgos
relativos al crecimiento y las ganancias objetivo.
16
www.ccee.edu.uy, Administracin del riesgo empresarial, material publicado por la ctedra de
Control Interno, ao 2005
17
Risk Appetite
Todas las empresas enfrentan mltiples riesgos que afectan a las distintas partes de la
organizacin. No solo se necesita gestionar riesgos individuales, sino tambin
comprender los impactos interrelacionados, y los eventos potenciales; y al considerar
una amplitud de eventos se gana en la comprensin de cmo ciertos eventos representan
oportunidades. El ERM facilita la respuesta efectiva e integrada a los mltiples riesgos e
impactos relacionados, y permite soluciones para administrar los riesgos.
Al considerar una amplia gama de eventos potenciales, una organizacin no solo debe
limitarse a considerar exclusivamente los riesgos, sino tambin debe identificar los
eventos que representen oportunidades.
ERM no es un fin en s mismo, sino que es un medio importante para alcanzar los
objetivos de la organizacin. No puede operar aisladamente en una entidad, sino que es
ms bien un medio facilitador del proceso de gestin.
19
Definicin de ERM:
-ERM es realizado por personas en cada nivel de una organizacin. No son meramente
polticas, encuestas y formularios sino que es un proceso que involucra a la gente en
todos los niveles de una organizacin.
-ERM es aplicado en toda la empresa, en todos los niveles y en todas las unidades e
incluye una visin del riesgo a nivel de la entidad.
Proceso
ERM no se define como una situacin particular o acontecimiento, sino ms bien como
una serie de acciones que interactan con las actividades de una empresa. Dichas
acciones estn implcitas y fluyen en la forma como la direccin maneja el negocio.
El ERM afecta las acciones de las personas, reconoce que las mismas no siempre se
entienden, comunican o actan consistentemente. Cada individuo trae a su lugar de
trabajo su experiencia pasada y su habilidad tcnica, y tiene distintas necesidades y
prioridades. Estas realidades afectan y son afectadas por el ERM.
Con el ERM cada persona tiene un nico punto de referencia que influye en la forma en
cmo identifican, evalan y responden a los riesgos.
Una entidad fija su misin o visin y establece los objetivos estratgicos, que son las
metas de alto nivel que estn en lnea y soporte su misin o visin. Para alcanzar los
objetivos estratgicos, la entidad establece una estrategia y tambin fija los objetivos
conexos que desea realizar y se derivan de ella, amplificndose hacia las unidades de
negocio, divisiones y procesos.
Para aplicar con xito el ERM, la empresa debe de considerar todo el conjunto de
actividades, desde las actividades empresariales, como la planificacin estratgica y
ubicacin de los recursos, hasta las actividades unitarias como el marketing, recursos
humanos, procedimientos de produccin y estudio del crdito de un nuevo cliente. El
ERM tambin se aplica a proyectos especiales y a nuevas iniciativas que podran an no
tener un lugar jerrquico o en el diseo organizacional de la empresa.
Esto puede involucrar que cada directivo responsable de una unidad de negocio,
funcin, proceso o cualquier actividad desarrolle una evaluacin de los riesgos de dicha
actividad. La evaluacin debe ser cuantitativa o cualitativa. Con una visin compuesta
de cada nivel sucesivo de la organizacin, la alta direccin est en posicin de
determinar si el portafolio de todos los riesgos de la entidad se corresponde con su
apetito de riesgo.
Riesgo aceptado20
El riesgo aceptado es el nivel de riesgo que una empresa est dispuesta a aceptar en su
bsqueda de valor. Refleja la filosofa de administracin de riesgos de la empresa, y por
ende, influye en su cultura y estilo operativo. Muchas empresas consideran el riesgo
aceptado de manera cualitativa, calificndolo como alto, moderado o bajo, mientras
existen otras que adoptan un enfoque cuantitativo, remarcando los objetivos de
crecimiento, rendimiento y riesgo.
20
Risk Appetite
Las tolerancias al riesgo estn relacionadas con los objetivos de la empresa. El nivel
aceptable de variacin con respecto al logro de objetivos determina las tolerancias al
riesgo. Al definir tolerancias al riesgo especficas, la direccin considera la importancia
relativa de los objetivos relacionados y pone en lnea las tolerancias al riesgo con el
nivel de riesgo aceptado. El operar dentro de las tolerancias al riesgo permite a la
direccin una mayor seguridad de que la empresa permanecer dentro de su nivel de
riesgo aceptado y, a la vez, provee mayor grado de comodidad con respecto a que la
empresa lograr sus objetivos.
A travs de la aplicacin del ERM en forma eficiente, se puede proveer una razonable
seguridad de que: -Los objetivos estratgicos y operacionales estn siendo logrados, -
Los informes de la empresa son confiables, -Las leyes y regulaciones vigentes estn
siendo cumplidas.
Consecucin de objetivos
Otra categora utilizada por otras empresas, es la salvaguarda de los activos. Trata sobre
la prevencin de prdidas de activos o recursos de una empresa por robos, despilfarro,
ineficiencia o simplemente por decisiones financieras equivocadas.
Componentes de la ERM: 21
1) Ambiente interno:
21
www.ccee.edu.uy, Administracin del riesgo empresarial, material publicado por la ctedra de
Control Interno, ao 2005
Una filosofa de ERM que es comprendida por todo el personal aumenta la capacidad
de los empleados de reconocer y administrar eficazmente el riesgo. La filosofa
conjunto de creencias y actitudes compartidas de la empresa que caracterizan como se
contempla el riesgo y cmo la misma escoge conducir sus actividades y tratar el riesgo
refleja el valor que la entidad procura de la ERM e influye en la forma como los
elementos de la ERM sern aplicados. La gerencia comunica su filosofa de ERM a los
empleados a travs de las declaraciones de polticas y otras comunicaciones. En gran
medida, la gerencia refuerza la filosofa no simplemente con palabras, sino tambin con
acciones cotidianas.
Para muchas compaas, la cultura de riesgo fluye de la filosofa de riesgo y del nivel de
riesgo aceptado de la entidad. Para aquellas compaas que no definen explcitamente su
filosofa de riesgo, la cultura de riesgo puede construirse al azar, dando lugar a culturas
de riesgo significativamente diferentes dentro de una empresa o an dentro de una
unidad operativa, funcin o departamento en particular.
2) Establecimiento de objetivos:
Los objetivos se establecen a nivel estratgico, estableciendo con ellos una base para los
objetivos operativos, de reporte y de cumplimiento. Cada entidad se enfrenta a una
gama de riesgos procedentes de fuentes externas e interna y, una condicin previa para
la identificacin efectiva de eventos, la evaluacin de sus riesgos y la respuesta a ellos,
es fijar los objetivos que tienen que estar alineados con el riesgo aceptado por la
empresa, que orienta a su vez los niveles de tolerancia al riesgo de la misma.
Como vimos anteriormente los objetivos de la entidad pueden ser vistos en el contexto
de cuatro categoras:
Estratgicos
Referidos al cumplimiento
3) Identificacin de acontecimientos
Puede ser til agrupar los eventuales acontecimientos en categoras. Agrupando los
acontecimientos horizontalmente a travs de una entidad y verticalmente entre unidades
operativas, la gerencia puede comprender las interrelaciones entre los acontecimientos,
obteniendo mayor y mejor informacin como base para la apreciacin de riesgos.
22
Commodities
4) Apreciacin de riesgos
Sin embargo, an cuando los datos generados internamente son un insumo importante,
los datos externos pueden ser tiles como un punto de control o para fortalecer el
anlisis. Los usuarios deben ser cautelosos cuando utilizan acontecimientos pasados
para hacer predicciones sobre el futuro ya que los factores que influyen en los
acontecimientos cambian con el transcurso del tiempo.
complementar las tcnicas cualitativas. No es necesario que una entidad utilice tcnicas
de apreciacin comunes en todas las unidades de negocios. Por el contrario, la eleccin
de tcnicas debe reflejar la necesidad de precisin y la cultura de la unidad de negocios.
En cualquier caso, los mtodos utilizados por las unidades de negocios individuales
deben facilitar la apreciacin global de los riesgos de la entidad.
5) Respuesta al riesgo
La gerencia debe reconocer que siempre existe algn nivel de riesgo residual, no slo
porque los recursos son limitados sino tambin por la incertidumbre sobre el futuro y las
limitaciones inherentes a todas las actividades.
6) Actividades de control
Las actividades de control son las polticas y procedimientos que ayudan a asegurar que
las respuestas al riesgo sean ejecutadas adecuadamente. Las actividades de control
tienen lugar en toda la organizacin, a todos los niveles y en todas las funciones. Las
actividades de control son parte del proceso a travs del cual una empresa procura lograr
sus objetivos de negocios. Generalmente involucran dos elementos: una poltica
estableciendo qu debe hacerse y los procedimientos para ejecutar la poltica.
7) Informacin y comunicacin
Para respaldar una ERM eficaz, una entidad captura y utiliza datos histricos y actuales.
Los datos histricos le permiten a la entidad comparar el desempeo real con metas,
planes y expectativas. Revela cmo se desempe la entidad bajo condiciones variantes,
permitiendo a la gerencia identificar correlaciones y tendencias y proyectar el
desempeo futuro. Los datos histricos tambin pueden proveer advertencias oportunas
sobre acontecimientos eventuales que ameriten la atencin de la gerencia.
Los datos actuales le permiten a una entidad apreciar sus riesgos en un momento
especfico y permanecer dentro de las tolerancias al riesgo establecidas. Los datos
actuales permiten a la gerencia observar en tiempo real los riesgos inherentes existentes
en un proceso, funcin o unidad e identificar variaciones con respecto a las
expectativas. Esto otorga una visin del perfil de riesgo de la entidad, permitiendo a la
gerencia modificar las actividades como sea necesario para adaptarlas a su nivel de
riesgo aceptado.
La informacin constituye una base para la comunicacin que debe satisfacer las
expectativas de grupos e individuos, permitindoles cumplir eficazmente con sus
cometidos. Entre los canales de comunicacin ms crticos se encuentra el que conecta a
la alta gerencia con el directorio. La gerencia debe mantener al directorio al tanto del
desempeo, desarrollos, riesgos y operacin de la ERM y otros acontecimientos y
asuntos importantes. Cuanto mejor sea la comunicacin, ms eficazmente podr cumplir
el directorio con sus responsabilidades de supervisin, actuar como una caja de
resonancia en asuntos crticos y proveer asesoramiento, consejo y orientacin. Del
mismo modo, el directorio debe comunicar a la gerencia qu informacin necesita y
proveer retroalimentacin23 y orientacin.
ERM.
Los canales de comunicacin deben tambin asegurar que el personal pueda comunicar
la informacin sobre riesgos a travs de las unidades operativas, procesos o reas
funcionales. En la mayora de los casos, los canales apropiados de comunicacin en una
organizacin son las lneas normales de autoridad. En algunas circunstancias, sin
23
Feedback
8) Monitoreo
Mientras que las evaluaciones independientes tienen lugar luego de ocurridos los
hechos, a menudo los problemas sern identificados ms rpidamente por las rutinas de
monitoreo continuo. No obstante, muchas entidades con slidas actividades de
monitoreo continuo, realizan evaluaciones independientes de la ERM.
Todas las deficiencias de la ERM que afecten la capacidad de una entidad de desarrollar
e implantar su estrategia y lograr sus objetivos establecidos deben ser informadas a
quienes tengan la autoridad para tomar las acciones necesarias. La naturaleza de los
asuntos a ser comunicados variar dependiendo de la autoridad de los individuos para
abordar las circunstancias que surjan y de las actividades de supervisin de los
superiores. El trmino deficiencia alude a una condicin del proceso de ERM que
amerite ser atendido. Por lo tanto, una deficiencia puede representar un defecto
percibido, eventual o real o una oportunidad de fortalecer el proceso para aumentar la
probabilidad de que los objetivos de la entidad sean alcanzados. La informacin
generada en el curso de las actividades operativas generalmente es elevada a travs de
canales normales. Tambin deben existir canales de comunicacin alternativos para
trasmitir informacin sensible como actos ilegales o incorrectos.
Dichos protocolos reflejan la regla general que un gerente debe recibir la informacin
que afecte las acciones o el comportamiento del personal bajo su responsabilidad as
como la informacin necesaria para lograr sus objetivos especficos.
Limitaciones de la ERM24
Una ERM efectiva, sin importar su alto grado de diseo y ejecucin, slo proporciona
una seguridad razonable a la direccin y al consejo de administracin respecto a la
consecucin de objetivos de la empresa.
Esta consecucin est afectada por las limitaciones inherentes a cualquier proceso de
administracin. Esto incluye los factores tales como el juicio humano que en la toma de
decisiones puede ser defectuoso y pueden ocurrir problemas por causa de fallas
humanas como simples errores o equivocaciones.
Adicionalmente, cabe considerar que los controles pueden evadirse con la colusin de
dos o ms personas y la direccin tiene capacidad para obviar el proceso de
administracin de riesgos corporativos, incluyendo las decisiones de respuesta a los
riesgos y las actividades de control. Otro factor limitante es la necesidad de considerar
los costos y beneficios relativos a las respuestas a los riesgos.
Al considerar las limitaciones que presenta la ERM debemos reconocer tres conceptos
distintos:
b) ERM opera a distintos niveles con respecto a objetivos diferentes. Respecto a los
objetivos estratgicos y operativos; dicha gestin puede llegar a asegurar que la
direccin, y el consejo en su rol supervisor, sean conscientes en forma oportuna slo del
grado de progreso de la empresa hacia la consecucin de dichos objetivos. Sin embargo,
no puede proporcionar ni siquiera una seguridad razonable de que los objetivos en s
mismos sean alcanzados.
c) ERM no puede facilitar una seguridad absoluta respecto a ninguna de las categoras
de objetivos.
24
ERM Resumen Ejecutivo Marco
Roles y responsabilidades25
Directorio
El directorio es una parte del componente mbito interno y para que ERM sea eficaz,
debe satisfacer requisitos en cuanto a composicin y enfoque.
Gerencia
25
ERM Tcnicas de Aplicacin
los gerentes veteranos y revisando la manera como ellos manejan el negocio. Los
gerentes veteranos, a su vez, asignan responsabilidad por el establecimiento de polticas
y procedimientos de administracin de riesgos ms especficos al personal responsable
de las funciones individuales de las unidades. En una empresa ms chica, la influencia
del gerente general, con frecuencia un propietario-gerente, es usualmente ms directa.
Oficial de riesgo26
Un oficial de riesgo trabaja con otros gerentes estableciendo y manteniendo una eficaz
administracin de riesgos en sus reas de responsabilidad. El gerente de riesgo tambin
puede tener la responsabilidad de monitorear el progreso y de dar asistencia a otros
gerentes en trasmitir informacin importante sobre riesgos hacia arriba, abajo y
horizontalmente y puede ser un miembro de un comit interno de administracin de
riesgos.
Auditores internos
26
Risk officer
ERM es, en alguna medida, responsabilidad de todos los integrantes de una entidad y en
consecuencia debe ser una parte explcita o implcita de la descripcin del trabajo de
cada uno de ellos. Virtualmente todo el personal produce informacin usada en ERM o
realiza otras acciones necesarias para administrar riesgos. Adems, todo el personal es
responsable por comunicar hacia arriba con respecto a riesgos, como problemas en las
operaciones, incumplimientos del cdigo de conducta, violaciones de otras polticas o
acciones ilegales.
Una cantidad de terceras partes contribuyen a menudo al logro de los objetivos de una
entidad. Los auditores externos, aportando un visin independiente y objetiva,
contribuyen directamente a travs de la auditora de los estados contables y de las
revisiones del control interno e indirectamente proveyendo informacin adicional til
para el cumplimiento de sus cometidos por parte de la gerencia y el directorio. Otros
que proveen informacin til a la entidad para realizar la ERM son las agencias
reguladoras, consumidores y otros que realizan transacciones comerciales con la
entidad, analistas financieros, calificadores de bonos y los medios de difusin. Los
terceros externos, sin embargo, no son responsables por la ERM de la entidad.
Toda vez que ocurre un escndalo empresarial ya sea por fraudes, prdidas
inesperadas, prcticas indebidas de venta, graves accidentes laborales o fallas en la
seguridad el dedo acusador apunta de forma inevitable hacia la gestin de la empresa.
Por lo tanto, no es sorprendente que como consecuencia de estos hechos, se haya
despertado la necesidad de desarrollar estndares que den lineamiento sobre cmo
medir y evaluar los riesgos de la empresa, para posibilitar la toma de acciones que
mitiguen la exposicin de la misma a riesgos mayores.
Los estndares que vamos a ver son genricos y dejan claramente establecido que no
tienen como objetivo estandarizar especificaciones concretas ni la implementacin de
un sistema a una organizacin en particular. Por el contrario, el llamado es a poder
proveer una gua universal y vlida.
Introduccin
- Performance de reportes
- Administracin del riesgo
- Aplicacin de un adecuado sistema de control
- Valores y tica
27
Integrated Risk Management Framework (2001). Treasury Board of Canada Secretariat.
28
www.tbs-sct.gc.ca Treasury Board of Canada Secretariart
29
Report of the Independent Review Panel on Modernization of Comptrollership in the Government of
Canada
Estructura
Sin dejar de respetar la estructura original del documento, plantearemos los siguientes
puntos a destacar:
Desde el inicio del documento se plantea que el desarrollo del estndar ser para
mejorar el funcionamiento de los servicios pblicos. Sin embargo menciona que el
marco puede proveer a cualquier organizacin un mecanismo para desarrollar una
visin global de cmo manejar estratgicamente los riesgos al crear mecanismos de
discusin, comparacin y evaluacin de los diferentes riesgos. Segn se menciona, el
documento es aplicable a toda la organizacin y cubre todo tipo de riesgos ya sea
operacionales, financieros, legales, medioambientales, reputacionales, etc.
Enfatiza que el desafo del servicio pblico es lograr una administracin de riesgos ms
integrada y sistemtica que incluya dentro del proceso la comunicacin y consulta con
las partes interesadas30 y el pblico en general para generar un cambio cultural que
seguramente llevar varios aos de prctica.
30
Stakeholders. Pblico relevante con intereses en la empresa o incluso, individuos o entidades que
asumen algn tipo de riesgo en ella, directa o indirectamente. Son entre otros, los accionistas,
funcionarios, clientes, proveedores, gobierno, reguladores, entre otros.
2. Conceptos fundamentales
El estndar plantea cuatro elementos y sus resultados esperados para administrar los
riesgos. El orden en el que son presentados, debera ser tambin el orden de aplicacin,
pensando en la organizacin a lo largo y a lo ancho de su estructura as como en las
actividades individuales. Los elementos a continuacin desarrollados son un paso para
establecer las bases de lo que sera la administracin de riesgos en el sector pblico:
Para desarrollar un perfil de riesgo a nivel corporativo se deben examinar tanto las
amenazas como las oportunidades. Se debe recolectar informacin tanto de los niveles
altos de la organizacin como de los operacionales para asistir a los departamentos a
entender los riesgos que deben enfrentar, ya sean internos como externos.
Una organizacin puede esperar tres resultados del desarrollo de su perfil de riesgo:
31
Expertise: Habilidad
Para los factores externos, las tcnicas planteadas para realizarlo son: monitoreo de los
medios, benchmarking, opinin pblica, grupos de opinin, asambleas, consejos,
asociaciones, grupos de consumidores.
Cmo ltimo punto clave -pero no menos importante- a la hora de desarrollar el perfil
de riesgo, est definido lo que se conoce como tolerancia al riesgo. sta vara con la
cultura y con las condiciones cambiantes del ambiente interno y externo. El
conocimiento y entendimiento del nivel de tolerancia que tienen las partes interesadas 33
es un ingrediente clave dentro de este perfil. Tambin se debe considerar que
influencian y guan los procesos de decisin. Determinar y comunicar la tolerancia de la
organizacin permite identificar los niveles mnimos de riesgo permitidos o
considerados razonables as como los riesgos que deben ser atendidos ms
profundamente.
32
Integrated Risk Management Implementation Guide, 2002. Treasury Board of Canada Secretariat
33
Stakeholders
34
IRM: Integrated Risk Management
Independientemente que cada organizacin puede tener sus propios mtodos para
integrarla, existen factores que deben ser considerados en todos los casos:
Otro aspecto fundamental para lograr un buen resultado del proceso dentro de la
empresa es el desarrollo de una capacidad organizacional para administrar los riesgos.
Para construir esta capacidad, existen dos reas claves que se deben considerar:
37
IRM: Integrated Risk Management Framework, habla de la funcin de IRM vista en el punto 3.2. del
presente captulo
Identificacin de riesgos
Anlisis de riesgos
Respuesta al riesgo
Monitoreo y evaluacin
Adems de estas etapas listadas, aparece en el esquema otro elemento en el centro del
crculo: aprendizaje continuo y comunicacin. Este aspecto lo veremos aparte en la
seccin 3.4.
Algunos ejemplos de tcnicas y herramientas planteadas que pueden ser utilizadas para
administrar los riesgos son:
La figura 3 muestra un ejemplo del modelo. En el mismo uno podra evaluar los riesgos
a nivel particular, midiendo su probabilidad e impacto y la respuesta o estrategia de
respuesta de la organizacin:
Este mtodo de medicin debe servir no slo como gua para la administracin de
riesgos en los distintos niveles de la empresa sino tambin para reconocer las
necesidades de cada uno.
personal es consciente de los riesgos clave, de los procedimientos sobre riesgos y de los
planes de contingencia.
Este aspecto es fundamental para estar bien informado y para la toma de decisiones
proactivas. Contribuye a una mejor administracin de riesgos, refuerza la capacidad
organizacional y facilita la interaccin en la estructura de la organizacin.
Para lograr el aprendizaje continuo se deben tener en cuenta los siguientes pasos:
Introduccin
El estndar plantea que hay muchos modos de conseguir los objetivos de la gerencia de
riesgos y que no puede recogerse en un solo documento. Por eso, el objetivo de este
marco no es crear una norma imperativa, enfoque rgido o proceso certificable. Solo
trata de representar una mejor prctica con la que la empresa pueda autoevaluarse.
Estructura
1. Definiciones
a. Definicin de riesgo
b. Definicin de Gestin de riesgos
2. El proceso de gestin de riesgos
3.1. Objetivos estratgicos y estructura organizacional
3.2. Valoracin de riesgos
3.2.1. Anlisis de riesgos
3.2.2. Evaluacin de riesgos
3.3. Tratamiento de riesgos
3.4. Informe y comunicacin
3.5. Supervisin y revisin del proceso de gestin de riesgos
38
ESTNDARES DE GERENCIA DE RIESGOS - AIRMIC, ALARM, IRM: 2002
39
www.theirm.org
40
www.airmic.com
41
www.alarm-uk.org
1. Definiciones
a. Definicin de Riesgo
Los riesgos pueden verse afectados por factores internos o externos. El documento los
clasifica agrupndolos en factores financieros, de azar, operacionales y estratgicos.
42
Stakeholders
Los pasos dentro del proceso de gerencia de riesgos que se destacan y se podran
identificar son los siguientes:
Luego se desarrollan los diferentes roles dentro del la empresa y el papel que cada parte
tiene en el proceso.
Dependiendo del tamao de la empresa puede ser una persona o una unidad. La funcin
tiene a cargo: establecer la poltica y estrategia de gestin de riesgos, crear cultura
consciente de riesgos, establecer poltica y estructuras de riesgos internas para las
unidades de negocios, disear y revisar los procesos de gestin de riesgos, desarrollar
procesos de respuesta al riesgo (planes de contingencia y continuidad), preparar
informes de riesgos para el consejo e interesados
Auditora Interna debe enfocar el trabajo de auditoria interna sobre riesgos importantes
y revisar los procesos de gestin. Tambin est dentro de su rol apoyar activamente y
participar del proceso de gestin de riesgos y facilitar la identificacin y valoracin de
A Identificacin
B Descripcin
El objetivo de esta etapa es mostrar los riesgos identificados en forma estructurada, que
facilita su valoracin. Como toma en cuenta la consecuencia y probabilidad, es posible
dar prioridad a los riesgos clave que debern ser analizados. Es importante incorporar la
gestin de riesgos tanto en la concepcin de los proyectos as como a lo largo de la vida
del mismo.
El documento propone una tabla de descripcin de riesgos, que incluye: nombre del
riesgo, alcance, naturaleza, interesados, cuantificacin, tolerancia (apetito), tratamiento,
accin de mejora, poltica y estrategia:
C- Estimacin
Los mtodos y tcnicas de anlisis de riesgos pueden ser especficos para riesgos
positivos o negativos, o capaces de tratar ambos riesgos. El Apndice 43 del estndar lista
las tcnicas para identificar y analizarlos dejando una gua al usuario para su aplicacin.
Es el proceso de comparar los riesgos estimados con los criterios de riesgo establecidos,
para tomar decisiones sobre la importancia y sobre si se deben aceptar o tratar.
Consiste en seleccionar y aplicar medidas para modificar el riesgo. Puede ser a travs
del control o mitigacin, elusin, transferencia, financiacin, etc. El documento plantea
que cualquier sistema de tratamiento debe proporcionar:
Aqu se separa lo que sera las unidades internas de las externas, refirindose a
Informe cuando se refieren a la informacin distribuida en los distintos sectores de la
propia empresa y Comunicacin cuando refiere al dilogo con las unidades externas.
43
ANEXO V de la monografa, pg. 131
Respecto al informe interno sostiene que los diferentes niveles necesitan distintos tipos
de informacin. Por ejemplo, el Consejo de Administracin requerir informacin sobre
cmo se estn manejando los riesgos en cambio las Unidades de Negocios o los
Individuos deben saber sus reas de responsabilidad, qu indicios deben tenerlos alertas,
las vas de comunicacin existente, etc.
Para las partes externas, en la comunicacin externa se debe tratar de informar las
polticas de gestin de riesgos y la efectividad en la consecucin de los objetivos. Los
interesados esperan que las empresas den muestras de eficiencia y responsabilidad
social. Un buen Gobierno Corporativo requiere que adopten un enfoque metdico de la
gestin de riesgos que proteja el inters de los interesados y asegure que el consejo de
administracin dirige la estrategia, crea valor y supervisa el rendimiento y asegure que
los controles de gestin existen y son efectivos.
Se requiere una estructura de informe y revisin para asegurar que los riesgos estn
identificados y evaluados eficazmente y que se llevan a cabo los controles. Con
regularidad deben hacerse auditorias de la poltica y conformidad con los estndares, y
revisiones de su rendimiento para identificar oportunidades de mejora, ya que la
empresa y el entorno son dinmicos. El proceso de supervisin debe asegurar que
existen controles apropiados, se entienden y se siguen los procedimientos establecidos.
Debe determinar si:
Introduccin
El estndar AS/NZS 4360 fue el primero en salir en 1995. Hoy existe una tercera
versin de 2004 la cual es reconocida mundialmente y ha sido adoptada en un gran
nmero de empresas multinacionales traducindose al francs, espaol, chino, japons y
coreano.
ISO lo aprob como estndar nacional. Ms an, los conceptos bsicos del documento
de AS/NZ fueron una base importante para la primera discusin del estndar
internacional que trataremos ms adelante: ISO 31000.
El objetivo de este estndar es proveer una gua que permita tanto a empresas pblicas o privadas
como a individuos, grupos o comunidades lograr:
Estructura
44
AS/NZS 4360:2004: Estndar Australiano - Administracin de Riesgos
45
Stakeholders: Partes interesadas
46
Libro de Gua: Risk Management Guidelines Companion to AS/NZS 4360:2004 Standards
Australia/Standards New Zealand
4.1. Establecer del contexto: El marco define con gran detalle tres tipos de contextos
que deben tomarse en cuenta para la administracin de riesgos (organizacional,
estratgico y para la administracin de riesgo). Es importante porque define los
parmetros bsicos dentro de los cuales deben administrarse los riesgos y
provee una gua para las decisiones dentro del estudio. Adems, establece el
alcance para el resto del proceso de administracin de riesgos. De esta manera
en esta etapa se identifican 5 aspectos:
- El contexto estratgico: definiendo la relacin entre la organizacin y el
ambiente, ya sea interno o externo. El estndar adems agrega en el Anexo C un
listado con una gua de cules pueden ser los potenciales interesados que influyen
en el contexto estratgico.
- El contexto organizacional: entendiendo a la empresa y sus capacidades, as
como sus metas y objetivos y estrategias para alcanzarlos.
- El contexto para la administracin de riesgos: estableciendo el alcance y las
fronteras para la aplicacin del proceso de administracin de riesgos. Por
ejemplo: definiendo el proyecto o la actividad, incluyendo la extensin de tiempo
y espacio, estableciendo las metas y objetivos.
- Desarrollar un criterio para la evaluacin del riesgo: decidiendo qu criterios se
van a utilizar para cada riesgo a la hora de ser evaluados. Esto envuelve
decisiones sobre la aceptacin de riesgo, su tratamiento y puede estar basado en
aspectos: operacionales, tcnicos, financieros, legales, sociales, humanitarios, etc.
- Definir la estructura: separando la actividad o el proyecto en un conjunto de
elementos para proveer una gua lgica para la identificacin y anlisis del
riesgo.
4.2. Identificacin de riesgo: La segunda etapa significa identificar los riesgos para
ser administrados. Esto incluye un proceso sistemtico bien estructurado que
debe contener: qu puede ocurrir, cmo puede ocurrir, herramientas y tcnicas
para la identificacin. (Algunos ejemplos citados son: checklists, identificacin
basada en la experiencia y la historia, grficos de evolucin, tormenta de ideas).
En su Anexo D enumera las fuentes genricas de riesgo y sus reas de impacto para
que sirvan como gua a quienes quieran aplicarlo. La plantilla planteada como
ejemplo para la identificacin de riesgos se muestra en la siguiente figura:
Las reas de impacto mencionadas como D3 en el grfico pueden ser entre otras:
Base de activos y recursos de la organizacin, incluyendo al personal; Ingresos y
derechos; Costos de las actividades, tanto directos como indirectos; Comunidad;
Desempeo; El ambiente; Intangibles tales como la reputacin, gestos de buena
voluntad, calidad de vida; Comportamiento organizacional, etc.
4.3. Anlisis de riesgo: El objetivo es separar los riesgos con mayor aceptacin de
los riesgos con menos aceptacin y proveer datos para asistir en la evolucin y
tratamiento de los riesgos.
Los pasos en el anlisis de riesgo son:
- Determinar controles existentes: Identificar la administracin, sistemas tcnicos
y procedimientos existentes para controlar los riesgos y evaluar sus fortalezas y
debilidades.
- Determinar consecuencias y probabilidad de ocurrencia: asegurar esto en el
contexto de los controles existentes y luego cambiar las consecuencias y
probabilidades para producir el nivel de riesgo.
El documento sugiere que para evitar efectos negativos se deberan utilizar las
mejores tcnicas y fuentes de informacin disponibles. Algunas de las fuentes de
59 Gastn Bueno, Cecilia Correa, Juan Ignacio Echeverry
Administracin de riesgos una visin global y moderna Marzo
2010
4.5. Tratamiento de riesgo: Esta ltima etapa del proceso implica identificar las
opciones, evaluarlas, preparar el plan de tratamiento de los riesgos e
implementarlo. El proceso de tratamiento de riesgos se resume en la siguiente
figura:
4.5.2. Evaluar las opciones de tratamiento que se van a utilizar: seleccionar las
opciones ms apropiadas implica balancear costos contra beneficios. El
documento hace una fuerte mencin a la consideracin de los beneficios y
las oportunidades. En particular, en la Gua de aplicacin (Guidelines) se
muestra en la figura 6.5 la medicin de las oportunidades de insignificantes
a para tener en cuenta. El estndar plantea que en general, el impacto ms
adverso puede generarse en el ms bajo nivel. Esta idea se ilustra con la
siguiente grfica:
Bajo este esquema se plantea que es necesario priorizar cuando los costos de todos los
tratamientos del riesgo estn por encima del presupuesto.
4.5.3. Preparar el plan de tratamiento: en este paso deben identificar
responsabilidades, cronogramas, la expectativa del resultado, presupuestos,
medicin de performances y un proceso de revisin continua.
4.5.4. Implementar los planes: La implementacin idealmente debera llevarse a
cabo por aquellos ms capacitados para controlar los riesgos. La
implementacin exitosa del plan de tratamiento del riesgo requiere un
sistema efectivo de administracin que especifique los mtodos
seleccionados, asigne responsabilidades y compromisos individuales por
las acciones, y los monitoree respecto de criterios especificados.
4.6. Monitoreo y revisin: monitorear los riesgos, la efectividad del tratamiento, etc.
Los riesgos y la efectividad de las medidas de control necesitan ser
monitoreadas para asegurar que las circunstancias cambiantes no alteren las
prioridades de los riesgos. Pocos riesgos permanecen estticos. Debe hacerse
una revisin continua para asegurar que el plan inicial se mantiene.
4.7. Comunicacin y consulta: importante en cada etapa del proceso. Este marco da
gran importancia a desarrollar planes de comunicacin tanto para los
stakeholders47 internos como externos. Enfatiza que el dilogo debe ser de ida y
vuelta48 con los esfuerzos enfocados en la consulta. Menciona que es
47
Stakeholders: Partes interesadas
48
Two Way Dialogue
importante que esta etapa se desarrolle desde el inicio del proceso de gestin de
riesgos. Por eso en el esquema se ubica al costado de las etapas a lo largo de
todo el proceso.
5. Documentacin
El estndar plantea que debera documentarse cada etapa del proceso de administracin
de riesgos. Da una serie de razones por las cuales es apropiado documentar que
consideramos importante detallar:
a) demostrar que el proceso es conducido apropiadamente;
b) proveer evidencia de un enfoque sistemtico de identificacin y anlisis de
riesgos;
c) proveer un registro de los riesgos y desarrollar la base de datos de conocimientos
de la organizacin;
d) proveer a los tomadores de decisin relevantes de un plan de administracin de
riesgos para aprobacin y subsiguiente implementacin;
e) proveer un mecanismo y herramienta de responsabilidad;
f) facilitar el continuo monitoreo y revisin;
g) proveer una pista de auditoria; y
h) compartir y comunicar informacin.
Introduccin
Define al riesgo como algo que puede ocurrir y afectar el cumplimiento de los objetivos.
Con una nota a la misma que afirma que los impactos pueden ser tanto positivos como
negativos (amenazas y oportunidades)
Estructura
1. Alcance
2. Principios
3. Modelo de gestin de riesgos
4. Esquema de gestin de riesgos
5. Proceso
6. Implementacin
49
Draft BS 31100 Code of practice for risk management
1. Alcance
El documento menciona que las recomendaciones son genricas y estn definidas para
ser aplicadas en todo tipo de organizaciones y en cualquier parte de la organizacin,
sean del sector pblico o privado, sin importar el tipo de empresa tamao o naturaleza.
Define adems que el estndar puede ser utilizado por cualquiera responsable de:
- Asegurarse la empresa alcance sus objetivos
- Asegurarse los riesgos estn siendo manejados en determinadas reas o
actividades
- Est encargado de supervisar la gestin de riesgos en una organizacin
- Est encargado de evaluar la gestin de riesgos de determinada empresa.
2. Principios
Uno de los puntos a destacar en este estndar es el planteo que establece que la
organizacin debera basar sus prcticas de gestin en una serie de principios bien
definidos. stos deberan derivar entre otras cosas de: la experiencia, las buenas
prcticas, el gobierno corporativo, etc. El objetivo de definirlos es, entre otras cosas,
proveer una base, un fundamento de lo que se entiende es una efectiva gestin de
riesgos que contribuye a mejorar la performance de la organizacin. Se plantean 10
principios:
2.1. La gestin de riesgos debe ser sistemtica y estructurada: esto asegura que los
resultados sean confiables, robustos y comparables en el tiempo y que la toma
de decisiones se realiza con confianza.
2.2. La gestin de riesgos debe estar basada en la experiencia pasada: debe estar
basada en datos histricos, experiencia, conocimiento del tema, juicios de
expertos, proyecciones, etc.
2.3. La gestin de riesgos debe definir la incertidumbre y sus causas: es necesario
que quede claramente definida la diferencia entre riesgo, causa y efecto.
2.4. La gestin de riesgos es parte de la toma de decisiones: al hacer que los riesgos
sean explcitos, conocidos y comunicados oportunamente, pueden ayudar en la
eleccin de la mejor alternativa sobre qu accin o medida se va a tomar.
2.5. La gestin de riesgos tiene en cuenta los factores humanos y comportamientos:
los factores humanos pueden afectar o influenciar la efectividad de las prcticas
50
Stakeholders
4.1. La cultura
El objetivo de este componente es asegurar que el pensamiento de gestin de riesgos
est embebido en los procesos y prcticas de todos los niveles de la empresa y se
convierte en una parte integral de la operativa diaria; existe conciencia; el personal tiene
suficientes habilidades, conocimientos y competencias para desarrollar la gestin de
riesgos.
51
Risk Appetite
Para medir los riesgos, el criterio planteado tiene dos dimensiones. Estas dimensiones
tienen un alcance bsico y es el ms aceptado: probabilidad e impacto. Las mismas
pueden variar usando escalas por ejemplo: alto medio bajo, o de 1 a 5.
El Ejecutivo
La responsabilidad ltima de la administracin de riesgos est en el Ejecutivo y esto se
debe ver reflejado y documentado.
De los individuos
Cada individuo tiene como responsabilidad contribuir a la administracin de riesgo y la
incertidumbre al realizar sus tareas diarias.
Como existe una gran variedad para seleccionar y no todas se adecuan a los
requerimientos de la empresa en un determinado momento o sobre un tema especfico,
se plantea que las mismas deben ser elegidas en base a:
- Para quin y para qu est dirigido y cul es el resultado deseado
- Cul es el objetivo de llevar a cabo de la actividad
- El nivel de actividad a ser llevada a cabo
- Que tan o cuan familiar est el usuario con la herramienta para aplicarla
- Cuan familiarizados estn todos los participantes con la herramienta
- La disponibilidad de la informacin
- La capacidad del usuario de entrever
- Su facilidad de uso, aplicabilidad, adecuacin
4.9. Entrenamiento
El entrenamiento es una ayuda fundamental en el tema para asegurar los conceptos y la
mentalidad de gestin de riesgos est incorporada a travs de toda la organizacin y
para lograr lo que se llama madurez de riesgo53.
Dependiendo del propsito, naturaleza y extensin del entrenamiento puede proveerse
conocimiento sobre por ejemplo: gobierno corporativo, cumplimiento legal, polticas y
procedimientos, modelo de madurez, procesos de administracin de riesgos: roles,
responsabilidades, reportes, cmo identificarlos, etc.
4.10. Reporte
Los reportes y el flujo de informacin sobre la gestin de riesgos son claves para:
- Monitorear y manejar efectivamente los riesgos
- Satisfacer los requerimientos y las expectativas de los accionistas y asegurarse que
la organizacin est manejando los riesgos de una forma completa y diligentemente.
Existen dos tipos de reportes: interno y externos. Los reportes internos deben estar
mapeados sobre la estructura organizacional y seguir el flujo de informacin establecido
52
Anexo IX de la monografa, pg. 135
53
Se define madurez de riesgo como la extensin a travs de la cual ha sido adoptado y aplicado un
enfoque robusto de gestin de riesgo, planificado por la direccin a travs de la organizacin para
identificar, evaluar, decidir la respuesta y reportar oportunidades y amenazas que afectan el alcanzar los
objetivos de la organizacin. Definicin tomada del Instituto de Auditores internos, www.theiia.org
a travs de ella. Estos reportes deben permitir entre otras cosas: monitorear el trabajo,
escalar temas importantes, identificar cambios significativos, resaltar las reas que tiene
problemas o gaps, etc.
Los reportes externos son esenciales para los accionistas ya que muestra la gestin de
riesgos, los resultados y su efectividad.
4.11. Revisin
Dado que una empresa est en continuo cambio fruto del ambiente dinmico en el que
se desarrolla, se plantea como necesario el paso de revisin. Una gestin de riesgos
efectiva y eficiente requiere una estructura de revisin que asegure los cambios de la
organizacin y el ambiente son tomados en cuenta y encajan o siguen los objetivos
planteados.
El tiempo en el cual el plan se debe revisar depende de cada tipo de organizacin. Sin
embargo, se recomienda que al menos se realice una revisin una vez al ao que permita
por lo menos determinar si:
- El plan est alineado
- Los resultados son los esperados
- Las partes interesadas54 estn recibiendo adecuadamente los reportes y la
informacin
- El personal tiene habilidades y conocimiento suficientes para desarrollar el proceso
- Adecuar las actividades y prioridades para el futuro.
54
Stakeholders
5.4. Reporte
Es el proceso de comunicar los puntos y resultados claves del proceso de gestin de
riesgo. El reporte debe respetar la jerarqua de la empresa. El objetivo de esta etapa es
proveer seguridad que la gestin de riesgos est operando y se hace efectivamente y que
los riesgos estn siendo manejados. Esto genera confianza en la toma de decisiones y en
el cumplimiento de los objetivos.
5.5. Revisin
La revisin del proceso permite que la empresa monitoree:
- Si los riesgos fundamentales se manejan en funcin del apetito y la tolerancia de
riesgo en las reas responsables.
- Si los perfiles de riesgos son adecuados y los posibles cambios que pudieren
tener a lo largo del tiempo
- El progreso de los mitigantes planteados y las acciones tomadas para tratar los
riesgos.
El proceso de revisin tambin permite entre otras cosas: escalar temas, repriorizar
recursos, generar mejor informacin y cmo consecuencia mejores toma de decisiones.
Introduccin
55
ISO/IEC 31000: ISO/FDIS 31000:2009 Risk management Principles and guidelines
56
ISO Risk Management Technical Committee
57
Stakeholders
Estructura
58
ISO/IEC Guide 73, Risk Management Vocabulary (ISO 73)
4. Marco integrado
La cuarta seccin describe el esquema del proceso de administracin de riesgos, dando
los lineamentos y las disposiciones que la organizacin debe impartir en todos los
niveles de la empresa. Establece claramente que la idea de este marco no es imponer un
sistema de gestin de riesgos sino que cada organizacin debe adaptarlo.
El objetivo del marco es asegurar que la informacin sobre los riesgos derivada de los
procesos es adecuadamente reportada y utilizada como una base para la toma de
decisiones en todos los niveles de la organizacin.
Los componentes necesarios para la gestin de riesgos seran los siguientes:
4.2. Diseo un marco para administrar el riesgo: Debera tener como mnimo los
siguientes pasos:
- Entender la organizacin y su contexto (tanto interno como externo)
- Establecer las polticas de gestin de riesgos
- Definir responsabilidades
- Integrar el plan dentro de los procesos de la organizacin
- Identificar recursos
- Establecer las vas de comunicacin interna y reportes
- Establecer las vas de comunicacin externa y reportes
4.5. Revisin continua y mejora: basados en los resultados del monitoreo, las
decisiones deben ser tomadas en funcin de cmo se puede mejorar la gestin
de riesgos.
5. Proceso
Este captulo es el ms extenso. Al haber tomado como base el documento AS/NZS
4360:2004 de Australia y Nueva Zelanda, veremos las etapas del proceso son iguales y
la diferencia est en la informacin proporcionada.
El proceso de administracin de riesgos debe ser:
- Una parte integral de la gestin de la empresa
- Incorporado a la cultura y las prcticas organizacionales
- Adaptado al proceso de negocios que se tenga.
5.1. Establecer el contexto: en este paso, la empresa define los parmetros internos y
externos que sern tomados en cuenta para la administracin de riesgos. El
contexto puede incluir tanto parmetros internos como externos, relevantes
para la organizacin (know-how, sistemas de informacin o polticas
59
Stakeholders
percepciones de riesgo, las que pueden variar en gran medida por las diferencias
que tengan en los valores, sus necesidades, sus supuestos, conceptos e
inquietudes.
5.6. Registro del proceso: Las actividades de la administracin de riesgos deben ser
fciles de ubicar y estar disponible para todos; los documentos deben proveer
informacin que sirva de ayuda para reforzar mtodos y herramientas, as como
todo el proceso de administracin.
v) Documentacin
viii) Principios
La primera definicin de riesgo surge en 1921 cuando se publica el libro del economista
norteamericano Frank H. Knight Riesgo, Incertidumbre y Beneficio. Frank Night
hace la distincin entre riesgo e incertidumbre, definiendo al riesgo como
aleatoriedad con probabilidades conocidas, y a la incertidumbre como aleatoriedad
sin probabilidades conocidas.
En 1983, The Royal Society public en su libro Risk assessment: report of a Royal
Society study group un nuevo enfoque de la definicin de riesgos: la combinacin de
la frecuencia o probabilidad de los acontecimientos de un peligro definido, y la
magnitud de la consecuencia de lo sucedido.
En el 2002 ISO public una Gua -nmero 73- con un listado de trminos y definiciones
para unificar la terminologa utilizada respecto al tema. En la Gua ISO/IEC 73:2002
defini riesgo como la combinacin de la probabilidad y de las consecuencias de un
suceso.
La definicin ms reciente cuando tambin fue publicada por ISO, en su nuevo estndar
internacional ISO 31000:2009. Toma como base la definicin de la Gua ISO 73 y
modifica la definicin de riesgo entendindolo como el efecto de la incertidumbre sobre
los objetivos.
A travs de estas definiciones podemos apreciar la evolucin que ha tenido del concepto
de riesgo en los distintos estndares profesionales y de negocios que se han ocupado
del tema.
En la misma lnea, RIMS (Risk and Insurance Management Society) define ERM como
la cultura, los procesos y herramientas para identificar oportunidades estratgicas y
reducir la incertidumbre. ERM es una visin comprensiva tanto desde el punto de vista
de las operaciones como del punto de vista estratgico. Es un proceso que soporta la
reduccin de la incertidumbre y promueve la explotacin de oportunidades.
La visin moderna viene dada por el estndar ISO 31000:2009 en el que se plantea un
nuevo concepto.
Respecto a su alcance, el documento COSO ERM deja entrever que los conceptos son
aplicables a todas las entidades sin importar su tamao y niveles de formalidad, pero
queda claro que el desarrollo est enfocado hacia la gerencia de las tpicas empresas
privadas. COSO comenz siendo aplicado en las empresas de servicios financieros,
seguros, servicios pblicos, petrleo, gas, e industrias manufactureras qumicas ya que
los riesgos en estas industrias estaban bien documentados y medidos.
En efecto, el marco que crea ha ganado aceptacin en varios pases a pesar de haber
sido concebido y escrito en el contexto de sus pases especficos. As, AS/NZS 4360
constituye un marco terico genrico, que establece el contexto, plantea la
identificacin, anlisis, tratamientos, monitoreo y comunicacin. Adems, el libro de
gua (Guidelines) tiene como alcance una variedad de actividades, incluidas las
actividades del sector pblico, comerciales, organizaciones voluntarias y sin fines de
lucro por lo que cualquier organizacin podra aplicar este esquema.
Por otra parte, hace hincapi en que, aunque el objetivo es ser un estndar mundial, no
busca impartir uniformidad o un modo de operar ideal en todas las empresas sino que
pueda ser adaptable a cada caso especfico. Tambin es cierto que aunque existe
preocupacin sobre su utilidad universal para su xito, han desarrollado sub-estndares
que van a proveer informacin ms en detalle sobre aspectos prcticos de cmo
implementarlo como ser el estndar ISO/ IEC 31030.
En resumen, podemos concluir que todos los textos analizados tienden a buscar la
generalidad, siendo los documentos ms recientes los que logran o lograrn mayor
aplicabilidad dentro de las diferentes empresas. Este logro del ISO 31000 y BS 31100
tambin es producto de que su enfoque los diferencia del enfoque de algunos otros
estndares que cubren principalmente y casi exclusivamente el proceso de
administracin de riesgos en s mismo por ejemplo el estndar australiano- ignorando
aspectos como el de establecer la estructura necesaria para aplicar el proceso.
Sin embargo, en nuestra opinin constituye una desventaja el hecho de que la tendencia
al consenso universal puede llevar a un relativo alto nivel de abstraccin, disminuyendo
los niveles de detalle requeridos para la implementacin y principalmente el monitoreo
necesario en las organizaciones para poner en prctica el proceso.
O M
ON
NS ISO IT
N SE OR
CO ESTANDARES EO
NACIONALES
ESTANDARES PRIVADOS
60
60
Elaboracin propia. Idea tomada del grfico Raising Standards Worldwide de BSI Group
IRMF AS/NZS
BS 31100 COSO-ERM
A modo de evaluacin crtica, podemos sealar que, a diferencia de lo que sucede con
otros documentos, el COSO-ERM no enfatiza la especial consideracin que debera
otorgrsele a los stakeholders, en tanto son actores fundamentales en el proceso.
El estndar australiano hace mucho hincapi en la etapa que nos ocupa, y, en sus
Guas de aplicacin ampla los conceptos. As es que hace referencia a tres contextos:
el estratgico (interno, externo), el organizacional (capacidades, metas, objetivos,
estrategias) y el de administracin de riesgos. En esta etapa define un concepto
fundamental para el futuro: el criterio de riesgo (nivel de aceptacin), que servir para
comparar con el nivel de riesgo resultante del anlisis. Aqu enfatiza la importancia de
la opinin de los stakeholders61, que no todos los documentos realizan, y la limitante de
los requerimientos regulatorios.
En Estndares de gerencia de riesgo, apenas enumera como primera etapa del proceso
el Establecimiento de objetivos estratgicos, sin hacer mencin explcita al
establecimiento del contexto, pero implcitamente, a travs de la definicin de factores
internos y externos est haciendo referencia al contexto de la organizacin.
Dentro del esquema del estndar BS 31100, el Ambiente62 no es una etapa, sino un
concepto presente a lo largo de todo el proceso, no es definido por el documento.
El documento ISO 31000 se acerca ms al enfoque del AS/NZS, ya que plantea los
contextos externo, interno y de administracin de riesgos y el criterio de evaluacin de
61
Stakeholders: Partes interesadas
62
Enviroment
riesgo de forma similar a ste. Agrega que todo el proceso debe estar alineado a la
cultura organizacional, procesos, estructura y estrategia de la empresa.
Este apartado resulta ser mucho ms detallado que la simple lista de ejemplos
presentada por el estndar ALARM en su Apndice65. Este documento ubica a la
Identificacin, junto con la Descripcin y Estimacin, dentro de la etapa Valoracin de
Riesgo, y enfatiza en considerar el entorno, la estrategia y objetivos, los factores claves
de xito, con el fin de determinar la exposicin a la incertidumbre.
El documento ISO 31000 tambin realiza este planteo, que resulta provechoso para que
el proceso de identificacin sea exhaustivo. De forma similar al estndar ALARM, esta
63
Anexo XV de la monografa, pg. 141
64
Anexo XIII de la monografa, pg. 139
65
Anexo V de la monografa, pg. 131
66
Statement of context
67
Ver pgina 59 de la monografa
etapa forma parte del componente Valoracin68. Al igual que el AS/NZS, recomienda
identificar aquellos riesgos que no estn en un principio bajo el control de la
organizacin, y tener la flexibilidad suficiente para discriminar diferentes escenarios y
efectos acumulativos o cascada. En su documento de soporte, el ISO/IEC 31010
clasifica los mtodos de identificacin en: mtodos basados en evidencia, enfoques
sistemticos de equipo y razonamientos inductivos, y en su Anexo A 69 provee una tabla
con todas las tcnicas especficas de identificacin y anlisis de riesgos, que son
desarrolladas luego en su Anexo B.
Podemos observar que el producto final de esta etapa es, para todos los documentos,
una lista de riesgos identificados, que servir de insumo para la etapa siguiente. Lo que
los diferencia son las formas de llegar a esa lista y el grado de profundidad de los
mecanismos recomendados, y, a nuestro criterio, sobresale el estndar AS/NZS
4360:2004 por ser el ms completo para esta etapa.
En primer lugar cabe destacar el consenso que existe en todos los documentos de que el
eje central de esta etapa es determinar la probabilidad de ocurrencia y los impactos o
consecuencias de los riesgos identificados en la etapa anterior. De eso se trata el
68
Assessment
69
Anexo XI de la monografa, pg. 135
70
Anexo IV de la monografa, pg. 130
Controles existentes:
Tanto el documento BS 31100 como el AS/NZS y el ISO 31000 mencionan que antes
de analizar se deben determinar los controles existentes y su efectividad y eficiencia,
influyentes a la hora de determinar el nivel de riesgo actual. El resto de los documentos
no hace mencin explcita al respecto.
Diversos enfoques:
A partir de los distintos tipos de anlisis que efectan, todos los documentos, de forma
ms o menos explcita, consideran que existen tres clases de enfoque: cualitativo, semi-
cuantitativo y cuantitativo. Difieren en el grado de profundidad que proponen y en la
ejemplificacin de esta clasificacin.
En las Guas de Aplicacin del documento AS/NZS, se detallan las situaciones en las
que se debe tomar un camino u otro, enriqueciendo el anlisis con mltiples tablas y
matrices de anlisis de riesgo.
(ej.: valor en riesgo 71) de las no probabilsticas (ej.: anlisis de sensibilidad). A travs de
un ejemplo prctico nos muestra un Mapa de riesgo72 afectado por la variabilidad de
la probabilidad e impacto.
Por su parte, BS 31100 propone un camino til que combina los enfoques, partiendo de
tcnicas cualitativas para llegar a un mayor grado de detalle y por ende de certeza, con
un enfoque cuantitativo.
Por ltimo, documento ISO/IEC 31010 desarrolla lo expuesto en ISO 31000 respecto de
los tres tipos de anlisis mencionados, pero tambin plantea otra clasificacin de
tcnicas de anlisis de consecuencias, anlisis y estimacin de probabilidad y anlisis de
nivel de riesgos. En su Anexo A76 muestra una tabla determinando la aplicabilidad de
las tcnicas a los procesos de Identificacin y de Anlisis, y para cada una de ellas
plantea en el Anexo B su utilidad, insumos, proceso, productos y fortalezas y
limitaciones.
71
Value at risk
72
Anexo XIV de la monografa, pg. 140
73
Templates
74
Anexo III de la monografa, pg. 129
75
Anexo V de la monografa, pg. 131
76
Anexo XI de la monografa, pg. 135
Otras consideraciones:
Por otro lado el estndar ISO 31000 menciona la importancia de comunicar tanto a los
tomadores de decisin como a las partes interesadas77 el grado de confianza en la
determinacin del nivel de riesgo y su sensibilidad a supuestos y condiciones previas.
Agrega en el ISO/IEC 31010 la necesidad de realizar un anlisis preliminar y de
comprender las incertidumbres y sensibilidades para interpretar y comunicar los
resultados. Propone la tcnica de anlisis de sensibilidad para identificar aquellos datos
que requieren ser precisos e ntegros.
77
Stakeholders
COSO-ERM (riesgo inherente y residual) son una clara evidencia de que este estndar
fue creado entre otros - por Auditores.
Todos los nuevos documentos visualizan a esta etapa como una bisagra entre el
anlisis y el tratamiento o respuesta al riesgo. Salvo por el documento COSO-ERM, que
no reserva un espacio concreto para esta etapa, el resto coincide en lneas generales en
que se trata de comparar el nivel de riesgo obtenido, con el criterio de riesgo establecido
o la tolerancia al riesgo de la organizacin. El producto de esta evaluacin ser una lista
de riesgos ordenada, para luego tratarlos o aceptarlos.
En sus respectivas Guas de aplicacin, tanto ISO 31000 como AS/NZS y el estndar
IRMF, plantean un esquema que divide a los riesgos analizados en tres zonas, en forma
de cono, e introducen el concepto de ALARP (As low as reasonably practicable), o
zona gris, donde deber realizarse un anlisis costo-beneficio para determinar su
tratamiento o no. Cada zona determina la necesidad de un futuro tratamiento o no. Las
siguientes imgenes facilitan la comprensin de dicho concepto:
78
78
Imagen tomada de: www.tjrossin.com/images/portfolio/10.jpg
79
Las opciones de tratamiento de riesgo tambin son similares, e incluyen: evitar, reducir
(probabilidad o consecuencia), transferir, compartir, retener, aceptar.
Es una etapa en la que se realizan las acciones ms tangibles, y por ende una de las que
implica ms costos, ya que el tratamiento demanda mltiples recursos. Es por eso que
los documentos AS/NZS, ISO 31000, BS 31100 y COSO-ERM y sugieren considerar la
relacin Costo-Beneficio del conjunto de opciones a implementar.
Estos ltimos dos documentos, tambin hacen hincapi en que la consideracin del
efecto de las opciones sobre el nivel del riesgo debe hacerse mirando la tolerancia al
mismo, definida al principio del proceso.
Salvo en el caso de los documentos IRMF y ALARM, el resto define al riesgo residual
como parte de esta etapa, lo que en la mayora de los casos trae como consecuencia que
se convierta en una etapa cclica, ya que una vez determinado el riesgo residual, ste
puede aceptarse o se puede volver a realizar todo el proceso de tratamiento.
Esta etapa se caracteriza por nutrirse de las anteriores, y por recordar que el proceso no
termina luego de tratar el riesgo, ya que lo nico constante es el cambio, por lo que es
fundamental seguir de cerca el proceso.
Este concepto est presente en todos los documentos, y como suele suceder, lo abordan
con diferente profundidad, aunque COSO-ERM y el estndar IRMF, aportan un
enfoque un tanto diferente.
El documento AS/NZS hace hincapi en la importancia de esta actividad para que las
prioridades de los riesgos no sean alteradas. El objetivo de esta etapa es proveer
vigilancia del desempeo actual versus el estimado, mediante investigacin peridica.
80
Stakeholders: Partes interesadas
El documento COSO-ERM, plantea dos etapas que podran encuadrar dentro del
monitoreo y revisin. La primera es Actividades de Control definidas como las
polticas y procedimientos que ayudan a asegurar que las respuestas al riesgo sean
ejecutadas adecuadamente. Se trata de controles generales o sobre aplicaciones, dndole
un enfoque de Control Interno. En sus Tcnicas de aplicacin aclara que estas
actividades pueden tambin constituir por s mismas una respuesta al riesgo, y provee
81
Anexo VIII de la monografa, pg. 134
82
Balanced Scorecard
Por ltimo, el documento canadiense en esta etapa dentro del proceso, llamada
Monitoreo, evaluacin y ajuste, seala que mejora el proceso de toma de decisiones y
que debe complementarse con el reporte. Adems, dentro de su Gua de
Implementacin, dedica un captulo especial al Aprendizaje Continuo en
Administracin de Riesgos En ella pone el nfasis en la necesidad de monitorear y
aprender de situaciones donde la administracin de riesgos se ha convertido en una
herramienta para la toma de decisiones. Para lograr esto se necesita crear un ambiente
de trabajo de apoyo, construir capacidades, proveer incentivos para reconocer los
comportamientos deseados y alentar y recompensar actitudes proactivas hacia el riesgo.
Esta etapa se denomina de diferentes formas segn sea el documento que estemos
analizando, sin perjuicio de lo cual existen muchas similitudes en su enfoque y en los
conceptos que aportan.
Todos los estndares con excepcin del BS 31100 indican que esta etapa debe tener
lugar dentro de la empresa, y tambin proyectarse hacia afuera, ya que existen diversos
terceros interesados en la administracin de nuestros riesgos.
Los documentos AS/NZS, IRMF, ISO 31000 y COSO-ERM mencionan con diferente
nfasis que esta actividad debe estar presente a lo largo de todo el proceso de
administracin de riesgos, los primeros tres recomiendan, incluso, crear planes o
estrategias de comunicacin.
otorgan un rol fundamental a los stakeholders83, rol que los otros documentos omiten o
no enfatizan.
83
Stakeholders: Partes interesadas
v) Documentacin
En todo tipo de organizacin, sean cuales sean sus caractersticas, los empleados no
estarn para siempre desempeando sus cargos, ya que existe una rotacin natural del
personal, que puede verse acentuada por otros factores. Es por esto que la
documentacin de los aspectos relevantes es clave para poder conservar o no perder
totalmente el capital intelectual de la empresa.
El primer enfoque est integrado por los documentos AS/NZS, IRMF, COSO-ERM e
ISO 31000 que hacen mencin explcita de la relevancia de la documentacin. El
estndar Australiano enfatiza que todas las etapas deben ser documentadas y que sus
registros deben contener: supuestos, mtodos, fuentes de datos, objetivos, involucrados,
decisiones y resultados. Seala que nunca se debe desestimar el costo versus el
beneficio de documentar, ni tampoco las necesidades legales de la organizacin. En su
Anexo H provee una lista de reportes relevantes, y en las Guas de Aplicacin indica
que constituye un insumo para un buen Gobierno Corporativo, destacando la
importancia de sus diferentes aspectos. Complementa los ejemplos del Apndice
antedicho y provee tablas de registro.
El estndar ISO sostiene que todas las actividades de ERM deben ser trazables y que los
registros son el fundamento para la mejora de mtodos y herramientas. En su apartado
84
Due Diligence
IEC 31010 sugiere varios conceptos para documentar dentro del proceso de valoracin
del riesgo.
Por otra parte, los documentos BS 31000 y ALARM no realizan mencin explcita a la
necesidad de documentar pero, por el desarrollo de las diversas etapas del proceso de
administracin de riesgos, resulta evidente que toman en consideracin su
documentacin.
Si bien no se trata de una etapa dentro del esquema del proceso de administracin de
riesgos, es una prctica que aporta mucho e influencia el futuro proceso de las
organizaciones. Es considerado con diversos enfoques en los distintos documentos,
excepto en los Estndares de gerencia de riesgo, que nada mencionan al respecto.
En las Guas de Aplicacin del documento australiano, se plantea una ltima etapa
denominada Estableciendo una eficaz administracin del riesgo, integrada por la
planificacin, las polticas y los compromisos de los diferentes actores de este proceso.
El objetivo es mantener una administracin de riesgos sistemtica.
Para el estndar IRMF el aprendizaje continuo es uno de los cuatro pilares que
sostienen su desarrollo. Expresa que contribuye a una mejor toma de decisiones, mejor
administracin del riesgo, refuerza la capacidad organizacional y facilita la integracin
de este proceso a la estructura de la entidad. Esto se alcanza a travs de la creacin de
una ambiente de trabajo de apoyo y planes y prcticas de aprendizaje. Es importante
reconocer que no todos los riesgos pueden ser previstos o evitados, y que el desafo
crtico es mostrar que el riesgo est bien administrado, se rinden cuentas y que se acta
con transparencia y debida diligencia 85. Agrega a la documentacin adecuada como otra
herramienta de soporte a esta etapa.
85
Due Diligence
ROLES CLAVES
Unidades de
Responsables de la gestin y administracin de
negocio y/o
los riesgos
funcionales
la direccin ejecutiva. Pero tambin plantean otras posibilidades como una comisin no
ejecutiva, o incluso un comit de auditoria.
En caso del documento ISO 31000, las responsabilidades del ejecutivo estn
implcitamente detalladas en el componente mandato y compromiso de la direccin
cuando define el marco para la administracin de riesgos.
Oficial de riesgo86
Los tres documentos que dedican un captulo a los roles y responsabilidades definen, de
una manera u otra lo que conocemos como Oficial de riesgo segn el documento COSO
ERM.
En BS 31100 se definen tres figuras que en los otros textos se engloban en una:
Por otra parte, ALARM habla de la funcin de gestin de riesgo como una tarea a
cargo de un individuo o una unidad en un concepto genrico. Por el contrario, el
documento canadiense define al risk champion, describiendo detalladamente sus
cualidades y tareas.
Auditores internos
El papel de los auditores internos est visto en los tres documentos mencionados. Todos
coinciden en que tienen un rol fundamental dentro de la ERM. Se entiende que pueden,
86
Risk officer
87
Risk owner
Tambin hacen nfasis en crear una conciencia de riesgo dentro de toda la organizacin,
remarcando la importancia que tiene para la comunicacin en todos los niveles.
Partes interesadas
El documento COSO ERM es el nico que dedica parte del captulo Roles y
Responsabilidades a mencionar el rol que juegan terceras partes interesadas dentro de la
organizacin. No slo refiere a los accionistas que los otros estndares tambin los
mencionan, sino tambin: los clientes, proveedores, reguladores etc. En l se establece
que podran contribuir en el logro de los objetivos de la empresa, pero claramente no
son responsables por el ERM de la misma.
viii) Principios
Los estndares ms recientes, han dedicado un captulo aparte para definir los
principios para administrar los riesgos. Segn Fernando Gaziano - Socio Risk
Consulting Deloitte Chile - los principios son una serie de declaraciones que deberan
ser seguidas y respetadas por las organizaciones para lograr una gestin de riegos
efectiva.
Entendemos por lo tanto que los conceptos de este estndar son comparables con los
principios de BS e ISO. De hecho, son totalmente coincidentes en las siguientes
premisas sobre la administracin de riesgos.
88
Stakeholders: Partes interesadas
En el caso del documento COSO ERM, se establecen principios generales de los ocho
componentes de ERM en el Anexo B de las Tcnicas de Aplicacin. Sin embargo, los
mismos tienen objetivos diferentes. COSO ERM establece claramente que el anexo no
pretende facilitar una relacin completa de los principios establecidos en el Marco, ni
precisarlos o describirlos totalmente. Busca simplemente aclarar y ejemplificar los
conceptos claves inherentes a cada componente. Entendemos entonces en este caso no
se adecuara al concepto de principio propiamente dicho como s lo logran los otros
documentos.
89
El Comit de Supervisin Bancaria de Basilea, creado en 1975 por los Gobernadores de los bancos
centrales del Grupo de los Diez (G10), est compuesto por altos representantes de autoridades de
supervisin bancaria y de bancos centrales de Alemania, Blgica, Canad, Espaa, Estados Unidos,
Francia, Italia, Japn, Luxemburgo, Suecia, Suiza, los Pases Bajos y el Reino Unido.
Si observamos los procesos planteados en los diferentes estndares con este principio
encontramos que lista casi todas las etapas del proceso de administracin de riesgos.
Incluso las etapas no mencionadas Establecer el contexto y Comunicacin y Consulta-
estn implcitamente tratadas en el desarrollo de los pilares de Basilea II. En el Pilar II:
proceso de examen supervisor, exige que la alta direccin del banco se involucre
activamente en el control de riesgos y en la planificacin futura de las necesidades de
capital. Esta supervisin, en definitiva puede implicar en cierto modo involucrarse en el
establecimiento de contexto y en la comunicacin de lo que entiende es tolerable.
90
Hacia una cultura de Risk Management
En Basilea II, las decisiones acerca del riesgo y la suficiencia de capital van ms all de
evaluar que el banco mantenga el nivel de capital mnimo requerido; en este sentido la
normativa insta a los organismos supervisores a avanzar hacia un esquema de
supervisin ms orientado al riesgo. Al plantear este nuevo concepto el proceso de
administracin de riesgos cambia su enfoque hacia una mirada integral tal como lo
plantean los estndares vistos anteriormente.
Basilea II tiene una visin de gestin de riesgos moderna que ya que implica entre otras
cosas:
- La utilizacin de sistemas integrados de gestin de riesgos de crdito, mercado y
operacional;
- La utilizacin de indicadores que permitan gestin de riesgos en el da a da;
- Herramientas de estimacin de prdidas futuras;
- El compromiso de la Alta Direccin con la gestin de Riesgos; y
- La figura del oficial de riesgo 91 exigiendo una oficina de riesgos totalmente
independiente de la gestin operativa.
91
Risk Officer
92
Corporate Governance
CULTURA
PROCESOS
GESTION DE RIESGO
ESTRUCTURAS
SISTEMAS DE
ORIENTACIN
GOBIERNO
POLITICAS DE GESTION
CORPORATIVO
ESTRUCTURA DE
GOBIERNO
93
es.wikipedia.org/wiki/Gobierno_corporativo
94
www.oecd.org Organisation for Economic Co-operation and Development, en adelante OECD
95
www.oecd.org/dataoecd/47/25/37191543.pdf
96
Alfonso Parias, Risk Control Manager de DECEVAL, www.deceval.com en su presentacin La
Gestin de riesgos apoyada en el Gobierno Corporativo
GOBIERNO CORPORATIVO
P
R Establecer el contexto
O
C
E C
S o
O
Identificar riesgos m
M
D u c
E
o
n o
n
A
i n
i
D c s
M
t Analizar Riesgos
a u
. o
c l
r
D i t
E
e
a
o
R
Evaluar riesgos n
I
E y
S
G
O
Tratar riesgos
S
Si miramos los documentos desarrollados en los captulos anteriores, evidenciamos que algunos
de ellos traen el concepto de Gobierno Corporativo. En el caso de COSO: ERM, se establece
que est asociado en la medida que provee informacin a la direccin superior con
respecto a los riesgos ms significativos y a la forma como los mismos estn siendo
administrados.
Por otra parte, el estndar BS 31100 define claramente su concepto estableciendo que es
la estructura, los procesos, el tono en el cual la gestin de riesgos es llevada a cabo y las
responsabilidades y autoridades estn definidas y asignadas. El documento hace un
paralelismo con los componentes vistos en el modelo planteando donde el Gobierno
Corporativo es el resultado de unificar varios componentes del marco de gestin de
riesgos, por ejemplo: estrategia, apetito de riesgo, polticas, roles, reportes, cultura, etc.
Por ltimo cabe mencionar que ISO 31000 establece como uno de los objetivos
generales el de mejorar el Gobierno Corporativo.
CAPITULO V: CONCLUSIONES
Es claro que el objetivo fundamental de todo negocio es maximizar el valor para sus
accionistas (dueos/stakeholders) y que ningn proceso de administracin de riesgos
puede crear un ambiente libre de riesgos. Sin perjuicio de ello, es necesario contar con
un sistema de administracin de riesgos para reducir al mnimo las prdidas que puedan
derivarse de ellos y potenciar al mximo las ganancias.
Como hemos visto en los Captulos II y III, existen numerosos marcos tericos que
tratan sobre la forma ms eficaz de realizarlo. En lneas generales, independientemente
del marco que se tome como referencia, cualquiera de ellos pueden resultar en varios
aspectos una herramienta til para todo tipo de organizacin (pblico o privada):
97
Partes interesadas
La realidad muestra que los dos factores de resistencia de las empresas para gestionar
riesgos son: su costo y el cambio cultural que implicara en la alta direccin. En el
primer caso, los costos de infraestructura, capacitacin continua y sistemas de
informacin pueden a veces parecer elevados si se toman en cuenta los costos ocultos de
la no medicin de riesgos y que los beneficios econmico-financieros, tangibles e
intangibles, no siempre son inmediatos. En segundo lugar est la resistencia
generacional de la alta direccin, deriva de que posiblemente no hayan tenido la
oportunidad de formarse dentro de una cultura de riesgos, debiendo actualizarse para
poder ser el motor del cambio y promover este nuevo enfoque. Por ms que los
empleados estn convencidos de lo provechoso que puede resultar la administracin
empresarial del riesgo, si desde los altos niveles no se la promueve y se la estimula, a la
larga culmina resultando en un requisito administrativo ms.
Mas all de esto y como fue mencionado en el anlisis del alcance, la utilizacin de un
estndar genrico como el ISO 31000, deriva en la necesidad de complementarlo, ya sea
con un estndar regional o nacional, o con un documento aplicado a la industria o a la
propia empresa. Esto se debe a que cada vez las realidades empresariales son ms
complejas y con regulaciones ms especializadas, requiriendo una atencin ms
particularizada.
Por ms que estos pases son notoriamente ms influyentes y con escalas mucho
mayores que el nuestro, Uruguay, a pesar de ser un pas en vas de desarrollo, est cada
vez ms inmerso en el contexto globalizado. Por este motivo es que la creciente
relevancia a nivel mundial de la institucionalizacin de una funcin de administracin
de riesgos no puede quedar ajena a nuestra realidad. Uruguay desde hace ms de una
dcada y fuertemente en el ltimo perodo ha profundizado las medidas de estimulo al
ingreso de inversiones extranjeras y uno de los aspectos que mide un inversor cuando va
a comprar una empresa son los riesgos que estn involucrados en su gestin (las
contingencias, incertidumbre y probabilidad de efectos adverso). En la medida que las
98
http://www.iram.org.ar/
99
IBGC Instituto Brasileiro de Governana Corporativa, www.ibgc.org.br
ANEXOS:
ANEXO I:
Escala de Probabilidad
Casi cierto Se espera que ocurra en la mayora de las circunstancias
Probable Probablemente ocurrir en la mayora de las circunstancias
Posible Podra ocurrir en algn momento
Improbable Pudo ocurrir en algn momento
Excepcional Puede ocurrir slo en circunstancias excepcionales
Escala de Impacto
Insignificante Efectos insignificantes sobre los objetivos
Leve Efectos menores que pueden fcilmente remediarse
Moderada Algunos objetivos se pueden ver afectados
Grave Algunos de los objetivos no pueden alcanzados
Catastrfica La mayora de los objetivos no pueden ser alcanzados
Nivel de riesgo
Extremo Se deben tomar acciones inmediatas
Alto Constante administacin y monitoreo
Medio Monitoreo y evaluacin peridica
Bajo Administrar mediante procedimientos de rutina
ANEXO II:
Consecuencias
Monitoreo y Constante
Acciones Acciones Acciones
Casi cierto evaluacin adminsitracin
inmediatas inmediatas inmediatas
peridica y monitoreo
Administrar
Monitoreo y Monitoreo y Constante
mediante Acciones
Posible evaluacin evaluacin adminsitracin
procedimientos inmediatas
peridica peridica y monitoreo
de rutina
Administrar Administrar
Monitoreo y Constante
mediante mediante Acciones
Improbable evaluacin adminsitracin
procedimientos procedimientos inmediatas
peridica y monitoreo
de rutina de rutina
Administrar Administrar
Monitoreo y Constante
mediante mediante
Excepcional Aceptar evaluacin adminsitracin
procedimientos procedimientos
peridica y monitoreo
de rutina de rutina
ANEXO III:
Documento Canadiense
ANEXO IV:
Documento Canadiense
ANEXO V:
ANEXO VI:
ANEXO VII:
ANEXO VIII:
ANEXO IX:
Documento BS 31100
ANEXO X:
ANEXO XI:
ANEXO XII:
ALARP
ANEXO XIII
ANEXO XIV
Mapa de riesgo
ANEXO XV
BIBLIOGRAFA
Administracin de Riesgos Corporativos - Marco Integrado - Resumen Ejecutivo
Marco (2005). Pricewaterhouse Coopers. 135 pg.
SITIOS WEB
Administracin del riesgo empresarial, material publicado por la ctedra de
Control Interno (2005). www.ccee.edu.uy
Raising the standard The new ISO Risk Management Standard, Willington
Meeting (2009) Broadleaf Capital International Pty Ltd. www.broadleaf.com.au
5 pg.
Revista: A Wake-up Call for Enterprise Risk Management, 2009 Risk and
Insurance Management Society, Inc. (RIMS) www.RIMS.org 10 pg.
Sample pages: The Risk Management Universe. (2007) David Hillson, British
Standards Institution www.BSIgroup.com 10 pg.