Cuando el Riesgo Corporativo se vuelve personal Cómo pueden

Cuando el Riesgo Corporativo
se vuelve personal
Cómo pueden los consejos
buscar más el Riesgo Inteligente
Auditoría
2
Cuando el Riesgo Corporativo
se vuelve personal
Cómo pueden los consejos buscar
más el Riesgo Inteligente
Cuando ocurre una catástrofe corporativa, rápidamente
surgen dudas en cuanto a si el consejo era complaciente
en sus responsabilidades de supervisión. La complacencia
percibida puede ser costosa. Recientemente, los directores
de WorldCom y Enron acordaron pagar millones de dólares
para liquidar las demandas de los terceros interesados.
Sin embargo, en muchos casos, la complacencia es una
falacia. Más bien, la verdadera culpable puede ser la falta
de inteligencia en riesgo: una escasez de información
sólida acerca de las ventajas y desventajas asociadas con
las decisiones clave que se le pide a un consejo revisar
y aprobar.
Ahora más que nunca, se espera que los directores ejerzan
la debida diligencia y cuidado. Los directores están
justificadamente preocupados acerca de la responsabilidad
personal y la reputación en riesgo, pero sin una mejor
inteligencia en riesgos que provenga de un enfoque eficaz
de la administración del riesgo empresarial (ERM), será
difícil para el consejo satisfacer las expectativas de
los terceros interesados.
Preguntas críticas que podrían hacer los miembros
del consejo
Es esencial mayor transparencia de los riesgos clave y del
proceso de administración del riesgo empresarial a nivel
del consejo. Como directores, necesitan la confianza de
que los riesgos financieros y las exposiciones de la empresa
se comprendan, se administren adecuadamente y sean
más transparentes para todos, desde el nivel más bajo de
la administración hasta el consejo. Esta no es aversión al
riesgo; es inteligencia en riesgos.
¿Cómo obtiene usted el Riesgo Inteligente que necesita?
En nuestra experiencia, comienza por hacer tres preguntas
básicas a los ejecutivos, acerca del gobierno y la
supervisión del riesgo:
Pregunta No. 1: ¿Cuál es la política y el proceso de
la compañía para administrar los riesgos sobre una
base corporativa integrada?
Se requiere que las compañías que cotizan en la Bolsa
de Valores de Nueva York (NYSE) soliciten a sus comités de
auditoría que discutan con la administración las exposiciones
principales de riesgos financieros de la organización, así
como las acciones que se han tomado para monitorear
y controlarlas. El comité debe quedar satisfecho de que
la administración ha establecido guías y políticas para regir
el proceso mediante el cual se cubren la evaluación y la
administración del riesgo.
Sin importar si una compañía cotiza en la NYSE, una política
que defina la tolerancia al riesgo de la compañía es el
fundamento de un plan sólido de administración del riesgo.
Cuando se trata de la implementación, debe asignarse una
responsabilidad clara a nivel ejecutivo para la evaluación
y administración de las diversas categorías de riesgo.
Aquí está la parte importante: Como director, debe pedir a
la administración que demuestre un proceso sistemático y
disciplinado para la identificación, evaluación ypriorización
del riesgo; para responder al riesgo; y para monitorear e
informar el riesgo. Luego, debe solicitar actualizaciones
regulares para ayudarse a juzgar si esos procesos se
realizan como se esperaba, lo cual impacta directamente
si los informes que recibe son exactos y confiables.
La compañía de energía de Riesgo Inteligente: Afrontando la tormenta del cambio climático
3
Una visión del riesgo de cartera es una forma de ilustrar
los efectos dominó y las compensaciones naturales. Puede
incluir dichos riesgos y vulnerabilidades clave como un
litigio cambiante, una propiedad intelectual y las demandas
del mercado; los problemas económicos, regulatorios y
ambientales; contratiempos del suministro; y las acciones
competitivas.
La clave es anticipar cómo algunos riesgos pueden estar
correlacionados. Supongamos que un tercero investiga
a su compañía y encuentra un conflicto de intereses
potencial concerniente a la relación con uno de sus
proveedores clave, y publica el alegato. Ahora la
reputación de su compañía puede estar en peligro. Los
clientes dejan de hacer negocios con usted. Los ingresos
se desploman y también la capacidad de su compañía
para pagar su deuda. ¿El resultado? Una crisis de flujo
de efectivo y, quizás, un período de recuperación
muy prolongado.
Pregunta 2: ¿Cuáles son los riesgos y
las vulnerabilidades clave de la compañía,
y cuáles son los planes para cubrirlos?
La administración debe identificar los riesgos críticos de
la misión que tienen el impacto adverso potencial más alto
sobre los objetivos de la compañía y comprender cómo
pueden interactuar esos riesgos. La investigación de Deloitte
& Touche LLP ha mostrado que más del 80% de todas las
pérdidas de los accionistas principales son causadas por
la combinación de dos o más factores de riesgo.
4
Los riesgos no respetan los límites organizacionales.
Interactúan, y pueden impactar geométricamente, y no de
manera lineal, a las empresas. Reconociendo que no existe
algo parecido a una prevención irrefutable, usted debe
comprender los mecanismos de la administración para la
detección, corrección y escalación de respuesta rápida y
coordinada, a los riesgos clave. Cómo y dónde comenzar
depende de la etapa de madurez de cada compañía, pero
debe haber un lenguaje común del riesgo, así como una
comprensión clara de la tolerancia al riesgo de la empresa.
Una forma de lograrlo es a través de una política de
“delegación de autoridad”, donde los mandatos y
responsabilidades del riesgo sean claros, de modo que
se pueda tomar la acción decisiva.
Pregunta 3: ¿Quién tiene la autoridad para tomar
riesgos en nombre de la compañía?
La administración operativa debe estar facultada para
asumir solamente el nivel de riesgo que es permitido por
la alta administración o el consejo. El rango de riesgo que
la administración debe supervisar y asumir es muy amplio,
requiriendo el uso de guías formalizadas que son
comunicadas a través de un documento de delegación
de autoridad y otras políticas de guía apropiadas para
los tipos de riesgo involucrado.
En términos prácticos, el documento de delegación
de autoridad es un medio importante para desplegar
la política general de vigilancia sobre el riesgo de la
organización. Normalmente identifica las clases y niveles
exactos del riesgo que deben reportarse al consejo. Quizá
quiera solamente datos de los riesgos que están asociados
con un cierto nivel de impacto o cambio para la estructura
organizacional de la compañía. Como un grupo, su
consejo puede determinar un conjunto de avisos que
merecen su atención, como cualquier riesgo que podría
afectar negativamente la reputación de la compañía.
La política de delegación de autoridad debe ser diseñada
para cubrir los riesgos más significativos sobre desventajas
de la organización. Debe ser sólida e integral y revisarse
regularmente.
Desafíos de la ERM y la función del consejo
Para algunas compañías, la administración del riesgo
empresarial no tiene una propuesta de valor clara y precisa.
El proceso puede ser visto simplemente como un reemplazo
de las prácticas de administración existentes, y separado
del trabajo real de hacer negocios. Eso no siempre es
el caso. Semejante a cuando se introdujeron los principios
de calidad a la manufactura, puede haber miradas
desconcertadas y resistencia. Pero justo como la calidad
se ha incorporado a los procesos de manufactura en cada
nivel, la administración del riesgo empresarial puede ser
una parte del conjunto de herramientas para la toma
de decisiones de todos y cada uno.
Una ERM exitosa comienza con la premisa de que el trabajo
de la administración es para producir resultados. La ERM
permite a la administración identificar y administrar
sistemáticamente aquellos factores que pueden impedir
su progreso. Cada compañía practica alguna forma de
ERM, pero quizás no sistemáticamente, o de una manera
disciplinada.
Como director, puede enfrentar barreras para conseguir
los recursos (tiempo, talento, etc.) necesarios para
implementar la ERM. Pero a menos que el proceso se
desarrolle en la forma que su compañía hace negocios,
tal vez no tenga toda la información que necesite para
evaluar el riesgo correctamente.
¿Qué aprenderá del proceso de ERM de su compañía?
Cuando la ERM se vuelve una parte de la forma en que
su compañía hace negocios, debe tener acceso fácil a
la información relevante respecto a los riesgos y las
vulnerabilidades específicos. Debe estar familiarizado con
las ventajas y desventajas de las alternativas presentadas
También, debe haber una indicación de que la
administración ha revisado los escenarios potenciales
de la interacción del riesgo que podrían resultar críticos
para el desempeño de la compañía.
Cuando el Riesgo Corporativo se vuelve personal Cómo pueden los consejos buscar más el Riesgo Inteligente
5
La toma de riesgo hoy en día a veces se confunde con las
acciones dudosas o incluso fraudulentas, a pesar de que la
toma de riesgo calculada o informada es esencial para un
negocio exitoso. En varias empresas, la toma de riesgo
estratégica ha sido tradicionalmente el ámbito de la
administración ejecutiva, algunas veces sin la supervisión
rigurosa del consejo. Por ejemplo, los planes de negocios
pueden presentarse a los consejos con escenarios positivos
o estimaciones de un solo paso. Esta visión del futuro,
a menudo, hace caso omiso del rango potencial de los
valores negativos, la necesidad del capital de riesgo y el
costo de los compromisos de capital irrevocables, así como
su efecto sobre los negocios existentes.
¿Cómo marcar la pauta para una ERM de éxito?
Tenga en mente que en el caso de la administración
del riesgo empresarial “un tamaño embona en otro.”
Los procesos de ERM deben alinearse con la cultura de
la organización y la madurez de la administración del riesgo.
Un número creciente de organizaciones se están
convirtiendo más de riesgo inteligente. Comprenden
los riesgos clave y cómo interactúan. Asimismo, Invierten
en procesos integrados de administración del riesgo
empresarial para evaluar, calcular, analizar monitorear y
administrar periódicamente los riesgos en toda la empresa,
no solamente en silos.
6
Aunque los consultores pueden estar acostumbrados
a facilitar el proceso, la organización debe desarrollar
una capacidad de administración del riesgo, sostenible
e integrada. Usar la administración del riesgo empresarial
como un trampolín para la acción puede alentar a
la administración a desarrollar principios integrados de
administración del riesgo en el proceso central de negocios,
no como un añadido. Es posible que los recursos internos
puedan tener la necesidad de ser reorganizados, entrenados
y apoyados para comprender y ejecutar las herramientas y
técnicas básicas de la administración del riesgo. Esto debe
emprenderse con el conocimiento de que existe un fuerte
apoyo y expectativas para estos esfuerzos por parte
del consejo.
Como director, debe esforzarse por comprender las
ventajas y desventajas potenciales de cada estrategia o
táctica de negocios. En muchos casos, adquirir un mejor
riesgo inteligente le ayuda a lograr ese objetivo.
Title of publication Focus area of publication
7
Contactos
Israel Zagal
[email protected]
Tel: +52 (55) 5080 6596
Walter Fraschetto
[email protected]
Tel: +52 (55) 5080 6265
Gilberto Mercado
[email protected]
Tel: +52 (55) 5080 6770
www.deloitte.com/mx
Deloitte presta servicios profesionales en auditoría, impuestos, consultoría y asesoría financiera a organizaciones públicas y privadas de diversas
industrias. Con una red global de firmas miembro en 140 países, Deloitte brinda su experiencia y profesionalismo de clase mundial para ayudar a sus
clientes a alcanzar el éxito desde cualquier lugar del mundo donde éstos operen. Los 165,000 profesionales de la firma están comprometidos con la
visión de ser el modelo de excelencia.
Los profesionales de Deloitte están unidos por una cultura de cooperación basada en la integridad, el valor excepcional a clientes y mercados,
el compromiso mutuo y la fortaleza de la diversidad. Disfrutan de un ambiente de aprendizaje continuo, experiencias esafiantes y oportunidades
de lograr una carrera en Deloitte. Sus profesionales están dedicados al fortalecimiento de la responsabilidad empresarial, a la construcción de la
confianza y al logro de un impacto positivo en sus comunidades.
Deloitte se refiere a Deloitte Touche Tohmatsu –asociación suiza– y a su red de firmas miembro, cada una como una entidad única e independiente.
Conozca en www.deloitte.com/mx/conozcanos la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus firmas miembro.
Limitación de responsabilidad
Este material y la información aquí incluida es proporcionada por Deloitte Touche Tohmatsu con el fin de mostrar un aspecto general sobre uno
o varios temas en particular, y no son un tratamiento exhaustivo sobre el(los) mismo(s). Por lo tanto, la información presentada no sustituye a
la asesoría o a nuestros servicios profesionales en materia contable, fiscal, legal, financiera, de consultoría o de otro tipo. No es recomendable
considerar esta información como la única base para cualquier resolución que pudiese afectarle a usted o a su negocio. Antes de tomar cualquier
decisión o acción que pudiese afectar a sus finanzas personales o a su empresa debe consultar a un asesor profesional.
Este material y la información incluida se proporcionan sin interpretación alguna, Deloitte Touche Tohmatsu no hace ninguna declaración ni otorga
garantía alguna, de manera expresa o implícita, sobre el mismo y la información proporcionada. Sin limitar lo anterior, Deloitte Touche Tohmatsu
no garantiza que el material o el contenido estén libres de error o que cumplan con criterios particulares de desempeño o calidad. Deloitte Touche
Tohmatsu renuncia expresamente a cualesquier garantías implícitas, incluidas de manera enunciativa mas no limitativa, garantías de comercialización,
propiedad, adecuación para un propósito en particular, no infracción, compatibilidad, seguridad y exactitud.
Al utilizar este material y la información aquí incluida lo hace bajo su propio riesgo y asume completa responsabilidad sobre las consecuencias que
pudieran derivar por el uso de los mismos. Deloitte Touche Tohmatsu no se responsabiliza por daños especiales, indirectos, incidentales, derivados,
punitivos o cualesquier otros deterioros resultantes de una acción de contrato, estatuto, extracontractual (incluyendo, sin limitación, negligencia)
o de otro tipo, relacionados con el uso de este material o de la información proporcionada.
Si alguna parte de lo anterior no es completamente ejecutoria, la parte remanente seguirá siendo aplicable.
© 2009 Galaz, Yamazaki, Ruiz Urquiza, S.C. Todos los derechos reservados.