SlideShare una empresa de Scribd logo

Creando una cultura de gestión de riesgos

Hernan Huwyler
Hernan Huwyler
Economía y finanzas
1 de 18
Descargar para leer sin conexión
Presentación, objetivo, régimen de preguntas/discusiones. 1
¿Quiénes piensan que su sistema de riesgos tiene el soporte adecuado de la dirección? Para abrir nuestra charla, no quiero dejar de mencionar a las palabras de quien ha hecho más que cualquier otra persona en proyectar al ERM, aún más que Lehman o Black y Scholes :), Jeffrey Skilling, ex presidente de Enron, “We love risk, because risk of how we make money”. Esta cultura de riesgos incentivada desde el CEO generó una conducta agresiva dentro de su organización. De hecho, Enron es aún el mejor ejemplo de como generar una mala cultura que resultó en falta de liquidez no adecuando su capital al riesgo, fraude contable por más que haya fallado algún control contable y abusos en su modelo de mark-to-model para valuar contratos de futuros. Veamos que prácticas construyeron una cultura de gestión de riesgos tóxica: 1- Despedir anualmente al 10% o 15% de los empleados que tengan los peores evaluaciones (sistema “Rank and Yank” aún usado por el 60% del Forbes500) – Buscar solamente rentabilidad, evitar confrontar prácticas, sólo cumplir órdenes, pensar en el corto plazo, no reportar riesgos, traders tomando riesgos y contables inflando resultados. 2- No distinguir entre relaciones personales y profesionalismo (favoritismo, líder carismático, narcisismo) 3- la cultura de culpar automáticamente a otros especialmente empleados de bajo rango (Vulnerable System Syndrome) 4- No tener un sistema normativo ni de control claros dentro la compañía (diluye las responsabilidades) 5- Dejar de lado el factor de riesgos frente a la rentabilidad, sus negocios se transformaron en “apuestas” (y no con dinero propio, sino de los inversores) Otros casos: SG Sociéte Générale – Al carecer de funciones de riesgos integradas, no pudieron identificar alarmas que resultaron en pérdidas por trading en €4.9 bn en 2008 (Jérôme Kerviel llegó a postear posiciones por más de la capitalización del banco en 2 años prevenible con control de autorización). Bear Stearns – Exceso de confianza en su equipo que riesgo que centralizaron el liderazgo resultó en su colapso Independent Insurance – Un liderazgo autocrático y el miedo a “malas noticias” generó bajas reservas y su colapso También tenemos fraude por toma de posiciones sin autorización, como el Credit Agricole en 2007. Si una cultura de riesgos genera valor para los grupos de interés, hay varios casos de problemas para identificarlos. USB en 2008, 2b USD, Kweku Adoboli donde el software de ERM detectó las operaciones no autorizadas, pero no se investigaron. Tambien, BP y el derrame en el Golfo del Deepwater Horizon: ¿Fueron las precepciones de riesgos de los turistas, ecologistas, contratistas y muchos más incluidas en su cultura? BP carecía de ERM. Consecuencias de una pobre cultura: insolvencia, rebajas de calificaciones masivas, pérdida de valor de la acción, takeover Estatal ERM no falla por un método sino por una cultura tóxica, su riesgo último es la falla de la cultura . 2
La discusiones sobre riesgos en las corporaciones son originadas por las crisis. La crisis solamente expone las debilidades de las prácticas de gestión riesgos. En estas discusiones, siempre se hace hincapié en la cultura como un factor para incorporar el riesgo a la toma de decisiones. En esta charla, les quiero compartir experiencias para mantener la actitud apropiada dentro del gobierno corporativo y algunas herramientas para generar esta cultura de evaluación permanente de riesgos e integrada a la toma de decisiones. La cultura organizacional es un componente clave dentro del ERM, vinculada al aspecto de toma de decisiones para cumplir objetivos (tanto proveyendo estructura como disciplina). Cuando todos los empleados permanecen vigilantes de riesgos potenciales, tanto internos como externos, la organización aumenta su probabilidad de detectarlos y tratarlos. Esta vigilancia es un subproducto de la cultura (entendida como un sistema de valores compartidos para la conducta de un grupo). La actitud de los niveles para construir esta cultura requiere 1) formular una estrategia de gestión de riesgos, 2) articular esta estrategia para todos los empleados (protocolos, controles, marco ISO/COSO..), y 3) actuar en consistencia a esta estrategia (para obtener tratamientos uniformes de riesgos, asignar responsabilidades claras). Esta cultura comprende entonces las actitudes y el comportamiento colectivo de la organización para identificar, discutir y gestionar los riesgos que toma. La definición de cultura que utilizada en esta presentación se hace en el contexto de la pregunta ¿Qué determina como una compañía toma decisiones? La clave de una cultura para ERM es que hablamos de una cultura fuerte cuando estas decisiones se toman de forma disciplinada, tomando en consideración los riesgos y los beneficios sobre una base fundamentada. Estas decisiones se extienden en la organización desde la definición de estrategias globales a largo plazo hasta decisiones de negocios rutinarias. Esto determina que la cultura de riesgos no sea un concepto de un grupo concreto en el top management sino que debe extenderse a todos quienes toman decisiones (por ejemplo y especialmente en planeamiento y presupuestación). La conciencia de riesgos implica entender que son una parte de nuestro negocio, y por lo tanto gestionables (no necesariamente para eliminarlos). Una buena cultura asegura que “hacer lo correcto” prima sobre “hacer todo lo que sea necesario”. Esta cultura sostiene las decisiones en situaciones complejas: -decisiones que sacrifican el valor ajustado al riesgo en el largo plazo por ganancias en el corto plazo (incremento de ventas, hipotecas subprime) -decisiones que involucran el ingreso y el ego de quienes las toman (promociones, bonus, crecer, sistemas compensatorios) -decisiones bajo presión (de reguladores, agencias de rating, mercados) La cultura también debe aprender de la experiencia pasada, incrementando el conocimiento para tomar mejores decisiones. Aquí tiene peso el resultado de lo que medimos (KRIs). La cultura se puede crear y cambiar, para ello hay un papel educativo de los lideres sobre riesgos en la organización. Para pasar de empleados sin entendimiento de riesgos a aquellos que actúan en forma inteligente debemos educar sobre riesgos en seminarios y presentaciones sobre casos, así como incentivar que los empleados hagan sus propias evaluaciones sobre riesgos. Demos dar el poder a los empleados para definir sus riesgos y sus controles. Para las compañías de seguros bajo Solvency II, debemos demostrar que la metodología de cuantificar riesgos operacionales está alienada al perfil de riesgos, y que el resultado se usa en el proceso de decisiones estratégicas y planeamiento de negocios. 3
Una cultura consiente de los riesgos es necesaria para el éxito de todo ERM, asegurando de optimizar el valor de los accionistas a través de optar por alternativas de riesgos/beneficios. De todos los componentes de riesgos, la cultura es por lejos la parte más compleja con un impacto exponencial. Esta cultura que involucra desde la filosofía corporativa a las percepciones individuales. Debemos evitar el común que se perciba a la cultura de gestión riesgos como un mero tema de compliance, y el gestor de riesgos se convierte solamente en el custodio del registro de riesgos. Si falla alguno de sus elementos, puede que no identifiquemos todos los riesgos o sean valuados incorrectamente. De esta forma las decisiones terminan ignorando ciertos riesgos o no son consistentes con los objetivos corporativos. Necesitamos criterios rigurosos y estos se basan en la cultura de riesgos. Cuando la cultura no es correcta, aún el modelo de gestión de riesgos más sofisticado será inefectivo. En una mala cultura, nuestros gestores no hacen “lo correcto” a pesar que exista una buena política de riesgos y controles. En una buena cultura, nuestros gestores hacen siempre “lo correcto” aunque fallen las políticas y los controles. Muchas veces “el poder” dentro de la organización no deja que se generen y compartan percepciones distintas sobre los niveles de riesgos. Muchas veces la definición de los objetivos estratégicos no es compartida dentro de la organización. En la práctica, encontramos más ejemplo de malas culturas “ex-post” de problemas, que identificar los elementos de una buena cultura “ex-ante”. Elementos de una buena cultura de gestión de riesgos: 1- Hay una clara estrategia de ERM, con objetivos, apetito y métodos definidos que incluyen a todos los grupos de interés y contrapartes. Hay confianza y liderazgo. 2- La caracterización de los riesgos está integrada a la toma de decisiones y cuenta con KRIs y planes de acción 3- Todos los procesos tienen su análisis de riesgos y se actualizan a su nivel y agregación (evita seguir el “risk ju jour”, proceso iterativo, al poder agregar nos permite identificar estrategias de diversificación de riesgos) 4- Se cuenta con el factor humano capacitado y disponible para identificar, valuar y tratar riesgo. Tanto la evaluación de desempeño de la compañía y de las personas se ajusta a los riesgos 5- Se cuenta con un sólido sistema de reporte de riesgos y pérdidas. Los responsables se sienten cómodos al reportar sus riesgos y pérdidas (comunicación abierta). 6- ERM está optimizado para detectar oportunidades, incluyendo a la mejora continua 7- Se cuenta con la capacidad para estructurar varias visiones sobre el mismo riesgo (métodos, modelos documentados, una única taxonomía que se pueda agregar/armonización, un solo vocabulario) En riesgos hablamos de los sesgos cognitivos que generar una distorsión con la realidad y sus datos, originando una toma de decisiones irracional (“mi riesgo es el más importante”/”yo soy el mejor gestor de este riesgo”, todos sostienen que gestionan riesgo en forma conservadora). Buscamos investigar solo las opiniones que creemos de antemano, nuestra memoria se altera, pensamos que los eventos del pasado fueron predecibles, nos creemos responsables de los éxitos pasados (sin mirar a “la suerte”). Para ilustrar este tipo de sesgo, pensemos en el capitán del Costa Concordia. La cultura debe fomentar: 1- No evitar discusiones conflictivas (me pone nervioso una reunión sobre riesgos donde todos estén felices, buscar múltiples perspectivas, si todos piensan lo mismo es porque alguien no está pensando) 2- Darnos el tiempo necesario para tomar decisiones informadas, definiendo bien los perímetros de cada riesgo 3- Explicar nuestros conocimientos que basan las decisiones (aunque requieran mayores esfuerzos). 4- No encuadramos a nuestro conocimiento sin buscar terceras opiniones 5- No sobre estimar nuestra capacidad para tomar buenas decisiones 6- Darnos la posibilidad de cambiar (tendemos siempre a mantener las posturas que hemos tomado en el pasado) 4
Importancia de la cultura al reclutar. Estudio sobre ofertas de trabajo internacionales sobre posiciones gerenciales en riesgo (“risk manager”, “risks director”, “Chief Risk Officers”, “Head of Risk”, “Risk Leader”, “Risk Management Officer”). Frecuencia de palabras en “responsabilidades” para ofertas laborales en jobscout24.ch , gaapweb, monster, indeed, etc – Solo 2 ofertas con referencias explícitas para promover la cultura sobre 100. A pesar de esto, el nuevo COSO en borrador nombra la cultura 12 veces. http://www.coso.org/documents/coso_framework_body_v6.pdf 5
Dicen que las acciones hablan más fuerte que las palabras. La cultura de conciencia de riesgos requiere que todas las áreas de la empresa conozcan sus riesgos. ¿Cuáles son las claves para el éxito entonces? Liderazgo – Una característica de una cultura de riesgo fuerte es un estilo de liderazgo fuerte para toda la organización y todos sus proyectos, además se complementa con un estilo de gestión participativa y que se base en el conocimiento de los empleados y los miembros del equipo. EMR debe ser muy visible: queremos mejorar la habilidad de la compañía para tomar riesgos, y no limitar negocios. La efectividad depende que le guiemos a nuestros empleados concretamente que hacer. Si no creemos en ERM, no posibilidad de generar el entusiasmo necesario. También nos encontramos con la pregunta: ¿si todos ya estamos gestionando riesgos, para que necesitamos un marco de ERM? El problema es que la diversidad de riesgos, necesita uniformizar criterios (establecer un apetito, una visión). Sin saber a que puerto navegamos, ningún viento es favorable (Seneca). Responsabilidades – Al asignar metas a nuestra gente, asignamos responsabilidades (y riesgos) por esas metas. Promover que los empleados sean responsables por sus acciones (decisiones). Un elemento de fundamental de asimetría es que personas buscadoras de riesgos manejan dinero de otros. De esta forma, los beneficios del dinero de otros e incentivos al gestor de riesgos deben estar alineados con responsabilidades. Estas responsabilidades sobre riesgos se desprenden de que cada persona es responsable por metas establecidas. Debemos fomentar que este bien claro quien es el propietario de cada riesgo (y que realmente lo entienda). Hay responsabilidades top-down (ej. RCSA) y bottom-up (escalar tratamientos, aprobación de riesgos/RCSA). La maduración de un sistema de ERM depende que se de la delegación de autoridad en cascada a todos los niveles. De principio, los gerentes en cada línea de negocio deben ser aquellos que identifican, evalúan, controlan y son propietarios de los riesgos. Luego tenemos otras responsabilidades dentro de ERM, como la dirección en establecer el apetito y establecer las líneas de reporte, los comités de riesgos y auditoría sobre el monitoreo. Objetivos pocos claros generan riesgos inesperados. Captura riesgos 360º - Permitir la captura de riesgos dentro de todos los niveles de la organización, por áreas y por proyectos. Uno de los principales problemas culturales que piensen que los gestores de riesgos sabemos de antemano donde está cada riesgo. Cuando ponemos nuestros métodos de identificación de riesgos en manos de otros gerentes y empleados, es cuando cambiamos la cultura saliendo de los silos de información. En esto, además debemos mirar por igual ganancias o perdidas no esperadas. La generación de caja en forma inesperada, también es un síntoma de debilidades de control. Esto requiere también centralizar los perfiles de riesgos en un registro y bajo un cargo, buscando la consistencia entre los departamentos. Identificar riesgos en 360 grados favorece comprender la interacción de riesgos a un nivel “de portfolio”, permitiendo consolidar riesgos empresariales. Este alcance de 360º debe estar formalizado. Comunicación – Una comunicación completa y transparente permite que tengamos una “visión de helicóptero” (contra la “visión de túnel” y el sesgo confirmatorio). Las empresas que efectivamente gestionan sus riesgos son propensas a comunicarlos y tolerantes para discutirlos . ¿Nos podemos dar el lujo de perder datos? Es natural que la gente se sienta vulnerable al discutir los riesgos e incidentes de su área y su evaluación tiende a no ser honesta. Una cultura de comunicación abierta requiere definiciones formales y que la Dirección lidere con el ejemplo. La comunicación debe incluir a todos los grupos de interés, geografías y gestores de portfolios. Generalmente en empresas de alta competencia, los empleados no se compartan información y genera un desafío extra al ERM. La comunicación permite encontrar riesgos de contagio y correlaciones. Si pretendemos que el ERM esté en nuestras decisiones, no puede ser una especialidad de pocos. Riesgos implica muchísimo intercambio de información. Nadie puede asumir responsabilidades sobre lo que no entiende, y aquí hay un soporte de entrenamiento desde ERM. Aquí hay un papel importante en el software de GRC que utilicemos. En palabras de Warren Buffett “el riesgo se origina cuando no sabes lo que estás haciendo”. Es difícil que buenos controles compensen una mala cultura. ¿Quiénes vienen de organizaciones que tengan más de un 10% de empleados con contacto en ERM? 6
En negocios, los resultados se alcanzan por medir el éxito de cierta acción y monitorear su progreso en el tiempo. En riesgos, lo mismo pasa para la cultura. El liderazgo o la comunicación no significan nada si no pueden ser medidos. La medición y el monitoreo son condiciones necesarias pero no suficientes para la mejora continua del sistema de gestión de riesgos. ERM quedaría solo con un efecto placebo. Una cultura de conciencia de los riesgos no es un concepto meramente intangible, sino tiene elementos medibles para saber como estamos progresando hacia ciertos objetivos. Decirle a alguien que tiene un rol en la gestión de riesgos, pero no medirlo, no genera un incentivo para modificar conductas. Además, la medición y monitoreo del ERM es la forma de justificar su aporte a la organización. Medir generar la oportunidad de aprender el pasado, investigando las opiniones de los grupos de interés internos y externos (y en particular sobre auditoría donde sus planes de trabajo se basan en riesgos). Una herramienta es el Control Risk Self Assessment, el reporte de riesgos, y las bases de reporte de incidentes y pérdidas. Se necesitan encuestas para obtener información. Debemos generar “business cases” en lugar que advertencias. Por ejemplo, no solo reportar que tenemos dos centros de respaldo de datos muy cercanos en una zona inundable, sino demostrar con valores cual es el ahorro de mudarlos. Papel de las encuestas de satisfacción. 7
La mitad de toda gestión es hacer la pregunta correcta, y la otra mitad es obtener la respuesta correcta. Una buena herramienta para medir la efectividad de la gestión de riesgos son las encuestas anónimas. Buscamos acá encontrar los datos que evidencian si estamos en la cultura correcta. Hay varias soluciones en el mercado (PWC, sobre web, confidencialidad al gestionarla un tercero, customizada por área, posibilidad de benchmarking). Cada capítulo de la encuesta debe tener su propietario (ej. liderazgo a la alta dirección, y gestión sobre el grupo ERM). ¿Qué medimos? ¿Cómo nos ven? ¿Riesgos se extendió más allá de compliance o auditoría? -Liderazgo: Qué tan bien hemos transmitido la misión ética de la empresa así como comunicado los objetivos. Es decir, que el sector de gestión de riesgos genera valor y un clima de confianza con su liderazgo. ¿Hemos construido un clima para un debate abierto sobre riesgos y los objetivos estratégicos? ¿Mensaje consistente, propensos al riesgo o al control? ¿Somos inclusivos? -Responsabilidad: Qué tan bien hemos alineado las responsabilidades individuales de la gestión de riesgos con los inventivos. Incluye acá el análisis de escalamiento apropiado de cuestiones. ¿Está en claro quienes son los dueños de los riesgos? ¿Sancionamos a quienes sobrepasaron un nivel de riesgo? -Comunicación: Qué tan bien hemos comunicado las herramientas de gestión (ej. capacitación, el apetito de riesgo, la posibilidad de crear conocimiento especialmente desde los errores). ¿Hemos comunicado a nuestros empleados las fronteras por las cuales pueden operar? ¿Se reportan “las malas noticias”? ¿La comunicación fluye top-down, bottom-up o en ambos sentidos? ¿Incentivamos la mejora continua? -Gestión: Qué tan bien hemos construido planes de acción, controles, y la infraestructura que hemos construido. Es decir, en que medida hemos integrado ERM a la toma diaria de decisiones. ¿Están funcionando bien los comités de riesgos? ¿Se aplica consistentemente el marco de ERM? Esta encuesta debe cubrir a todos aquellos que tienen algún rol en la gestión de riesgos (gerencias operativas, finanzas, seguros, estrategias). Su aporte más importante es que genera un diálogo interno para utilizar mejor los recursos invertidos en ERM, recordando que el principal objetivo del GRC es la mejora de la eficiencia. Esta encuesta da un marco general a los RCSAs. Un método de construcción de culturas solidas de gestión de riesgos está en su infancia. Las prácticas más actuales tienen problemas para relacionar objetivos con riesgos por falta de información (especialmente la externa). También la falta de conocimiento es un impedimento fuerte para el desarrollo de la cultura. Esto impide encontrar indicadores predictivos de riesgos como amplios análisis de competencia o planeamiento por escenarios. Sin embargo hay puntos a favor, cada vez más empresas no financieras crean sus funciones de CROs como consejeros estratégicos, y hay mayor presión de los reguladores (ej. Swiss Quality Assessment para seguros). 8
9
Otro elemento clave en sustentar la cultura de riesgos es una buena política de riesgos que provea dirección, transparencia a los grupos de interés y neutralidad en la gestión. Esta política debe definir: •los objetivos y los recursos del grupo de gestión de riesgos •generar un léxico común (y un registro común) •el nivel de riesgos que la compañía está dispuesta a aceptar (implementar el apetito de riesgos en niveles operativos y en responsabilidades es un proceso complejo, establecido por el directorio, ej. crecimiento > del 2% en el BRIC, inversiones de > un free cash flow de $$$, mantener el B+, > EBITDA/intereses de 4, evitar pérdidas de > $$$ ) •el proceso formal de identificación y tratamiento de riesgos y oportunidades, y relacionándolos con los procesos de planeamiento estratégico •estrategias: top-down y/o bottom-up, cuantititivas o cualitativas. •el mapeo desde los riesgos hasta los controles •Los responsables del seguimiento de los riesgos (y de gestionar el registro), frecuencias de actualización •El reporte de indicadores Esta política debe dar un marco para la toma de decisiones que involucren alto riesgo (adquisiciones, litigios, asumir riesgos no asegurables, endeudamiento). Es relevante prever este proceso, así como prevemos y documentamos nuestros planes de emergencia. Este punto requiere que se identifiquen aprobadores, análisis a solicitar, niveles de calidad mínimos (por ejemplo, utilizar nuestros mejores recursos para llevarlas a cabo), comunicación y dialogo con grupos de interés, y quienes serán los negociadores. Básicamente, debemos prever como evitar sesgos cognitivos en este proceso. La política de ERM debe estar integrada a las iniciativas de GRC. Luego de definir la política de riesgos, el paso natural es armar el perfil de riesgos listando todos los riesgos potenciales que la organización puede enfrentar. La política debe involucrar que nuestros socios y proveedores estratégicos cumplen con nuestros estándares de gestión de riesgos (por ejemplo, como los seleccionamos y evaluamos). Esta política debe permitir que los riesgos identificados se comparen con el portfolio de bienes asegurados. 10
Estas funciones para desarrollar una cultura de riesgos se basan principalmente en los objetivos de un comité de riesgos corporativo. En la práctica (y según varias encuestas), el principal sponsor del ERM es el CFO (y por presiones regulatorias). Contar con un comité de riesgos aumenta la credibilidad de esta iniciativa, aunque no se encuentren con recursos dedicados. En términos generales sus objetivos incluyen: 1- sostener un monitoreo general sobre las funciones de gestión de riesgos y cumplimiento normativo. En este aspecto, garantiza el seguimiento de riesgos que ponen en peligro el cumplimiento de objetivos estratégicos, emiten políticas de gestión de riesgos, evalúan los planes de acción con sus controles y planes de continuidad de negocios y contingencias, estructuran políticas de alto nivel de seguros, evaluar la consistencia entre los riesgos no asegurados y la tolerancia/expectativas de los grupos de interés, definir el registro de riesgos y sus indicadores, planes de identificación de riesgos por las unidades de negocios y el seguimiento de cuestionarios. El centro aquí es dar una estructura a estos temas. 2- proveer información de entrada sobre los riesgos que enfrenta la organización tanto internos como externos (portfolio de riesgos corporativos). En este aspecto, tienen un papel de coordinación y planeamiento de recursos en vistas de nuevos riesgos previstos como cambios esperados en el entorno. Los miembros de este comité deben tener recursos para identificar riesgos externos emergentes (y mantener un pensamiento “out of the box”). 3- proveer de recomendaciones a la junta ejecutiva con respecto a las prácticas de negocios y las actividades de ERM. En este aspecto, tienen un papel de consultores sobre las mejores prácticas para administrar el programa de ERM, las técnicas para mitigar riesgos, implementación de medidas de prevención de pérdidas. Es decir, toma las responsabilidades (y la autoridad) de la alta dirección en ERM para un mejor seguimiento y reporte a todos los stakeholders. La alta dirección queda a cargo de establecer las estrategias, pero debe entender los riesgos inherentes a las mismas y recibir cuestiones escaladas. Su principal responsabilidad entonces es construir una cultura de riesgos dentro de la organización, con un enfoque educativo e integrando prácticas. Busca así evitar un comportamiento disfuncional que tienda a absorber riesgos excesivos. Cuando el comité de auditoría tiene el tiempo, el apoyo y las habilidades necesarias, estas funciones pueden ser llevadas por ellos. En ciertas industrias, la complejidad puede requerir un comité por separado; o bien cuando el comité de auditoria se centra solamente en compliance sobre temas que tienen impacto contable. Adicionalmente, hay aspectos regulatorios que pueden pedir un comité por separado, por ejemplo, la ley Dodd- Frank para bancos cotizantes con más de 10b USD en activos o empresas no bancarias supervisas por la Reserva Federal (ING, GMAC). La separación de funciones es positiva en empresas complejas desde lo financiero, que tienen ambientes cambiantes (IT), o ante cambios de entornos (crisis de crédito/liquidez, mercados). Los comités de riesgos pueden regionalizarse para luego consolidarse globalmente. También estas funciones pueden ser llevadas por un grupo de trabajo menos formalizado y dentro del “C-suits”. Este grupo ayudará a sustentar los esfuerzos del Chief Risk Officer o el líder en ERM. En la encuesta de Protiviti publicada por COSO en Diciembre de 2010, el 71% de los directores indicó que el comité ejecutivo no estaba llevando a cabo un análisis maduro y robusto para monitorear el proceso de detección de riesgos (a pesar de la atención a este tema en los últimos 10 años). Si bien muchos reciben un resúmen de los riesgos claves por unidad de negocio, en general les falta el análisis de escenarios sobre el impacto de cambios externos, las excepciones a las políticas de riesgos, cambios en riesgos inherentes, y el reporte de los planes de mitigación. Este Comité también debiera mantener un diálogo para establecer el apetito de riesgos de la organización (y formalizarlo en su propia política de gestión de riesgos). Especialmente debe establecer los supuestos para determinar este apetito, en términos de articular los criterios establecidos para crecer en los mercados a partir de estrategias regionales, la evaluación de riesgos reputacionales, los límites de inversión, de nivel de deuda, de rating crediticio y de liquidez deseados. La cultura organizacional tiene un alto impacto al establecer el apetito de riesgo. Sorprendentemente a pesar de su importancia, el concepto de apetito de riesgos no está mencionado en la ISO 31.000 (aunque si en otras ISOs). También debiera participar en los programas de incentivos. ¿Quiénes pueden implementarlo? 11
Desde hace mucho tiempo, los ingenieros en geología descubrieron que poner pernos y cables de fuerza reforzaba las aberturas y los pasajes en las minas para compensar la presión de las rocas. Estos ingenieros detallaron la densidad y el modo de sujetar los cables para mantener la mina segura y evitar un colapso. Con el tiempo, quienes debían ponerlos se dieron cuenta que podían espaciarlos, llevarse su salario con un premio “productividad” y dejar un falso sentido de seguridad. Centímetro a centímetro, esta práctica termina con el colapso de la mina. Sobran ejemplos sobre la generación de riesgos no aceptados por un correcto sistema de incentivos. El interés personal es un fuerte motivador sobre la forma que los empleados toman decisiones. En términos de riesgos, los incentivos son el factor más determinante para que se tomen las alternativas más alienadas a las estrategias corporativas. En un mundo perfecto, premiamos a los gerentes que minimizan la exposición a riesgos de la compañía. ¿Si tenemos un gerente que baja las pérdidas, no debemos reconocerlo? ¿Premiamos por bajar índices de siniestros o pérdidas? En la práctica, es frecuente encontrar que los premios y los castigos no son simétricos (premiamos mucho y castigamos poco). No es tanto el problema el pagar bonos, sino el hecho de no penalizar las malas conductas. ¿Hay simetría para un trader entre un bono suculento o ser despedido para encontrar un nuevo trabajo en días? En estas últimas décadas, hemos visto que la compensación de los gerentes se basa mayormente sobre ganancias, pero ¿incentivamos a nuestros gerentes a “hacer lo correcto”? ¿Incentivamos el cumplimiento de objetivos de control así como los financieros? Hemos visto especialmente con la crisis financiera de 2008 que los programas de incentivos contribuyeron fuertemente a que las decisiones sobre riesgos no sean ni prudentes ni se basen en el largo plazo. Los incentivos para todos los niveles deben basarse en las acciones para cumplir las estrategias dentro de un apetito de riesgo. No incluir estos aspectos genera un mal mensaje a los empleados: la compañía no valora el riesgo. Es muy difícil convencer a la organización a limitar sus riesgos (especialmente en los auges económicos), y más aún cuando solamente premiamos rentabilidades. Los traders se ven como centro de ganancias y los gerentes de riesgos como centros de costos. Hemos visto gerentes buscando obtener un gran impacto en resultados para ascender, y no en proyectar sus carreras en 40 años. Con la rotación actual, muchos gerentes de línea están pensando en planes a corto plazo. Por otro lado, no podemos perder la motivación de nuestros gerentes en sus aspiraciones económicas (de hecho, es el tipo de personalidad alpha que busca resultados que se busca). En un ambiente donde se busca ser más rico, no es sorprendente que riesgo pase a segundo lado a menos que se refuerce desde la alta dirección. ¿No deberíamos ajustar los incentivos para que no solo cubran los resultados del ejercicio pasado para que incluyan años subsecuentes? A pesar de varias experiencias recientes, no tenemos un estudio claro de que tipo de incentivos crea una mejor cultura de riesgos. Cuando cayó Bear Stearns, los empleados tenían un tercio de la empresa por incentivos, y poco valió para evitar su colapso. Sin embargo, la evidencia indica que debemos incentivar una cultura de riesgos a largo plazo. Los incentivos deben cambiar de orientarse al crecimiento y la rentabilidad, a la protección de los activos a largo plazo. Un buen comienzo es el diferimiento progresivo de los bonos (las clawback provisions, que pasaron de 10 a 86 empresas del Fortune 100 desde el 2006, en cierta forma también las stock options). Una alternativa es generar una evaluación de riesgos sobre cada bono (o promoción). Luego, se puede ya implementar un esquema de compensaciones ajustadas al riesgo, es decir, ajustadas a las expectativas del riesgo para los inversores, ajustando la voltalidad (por ejemplo en seguros médicos, ajustando actuarialmente los beneficios por incorporar asegurados con más o menos riesgos que el promedio de cada producto; en general se relativizan los incentivos contra una benchmark/apetito de los inversores). 12
Ningún estándar o política por si solas modifican las conductas. Una herramienta valiosa para generar una cultura de riesgos son las revisiones de auditoría sobre riesgos. Permiten verificar el cumplimiento de los planes de acción, el diseño de controles (procedimientos), la validez de los datos que usamos, y en general, sobre como hemos adoptado la política de ERM. Este concepto va más allá del monitoreo de riesgos entendido por los cambios en las frecuencias o los impactos. Incluye también que tan efectivos hemos sido en la aplicación de recursos (personas, sistemas, inversiones en planes de acción), el nivel de documentación, actuación de los comités, la adecuación de los modelos, etc. Básicamente si estamos reportando todos los riesgos. ERM debe ser tan auditable para una organización como cualquiera de sus líneas de negocios. Tanto auditoría interna como externa, no llegan a cubrir el 20% del inventario de riesgos en su trabajo anual (Risk Oversight). Es relevante entonces verificar que el proceso que detecta el 100% de los riesgos es efectivo, más que auditar riesgos puntuales. La incorporación de ERM en auditoría aún requiere mayores esfuerzos. Además, auditoria puede seguir sólo algunas entidades dentro de su alcance (por ejemplo para SOX). Quizás la evolución de la ISO 31k en estándares detallados (incluyendo la definición de apetito) y certificables, más que en principios generales, de un mayor papel a esta auditoria. ISO 31004: Risk management – Guidance for the implementation of ISO 31000 planeada para el 2013 (“guia de la guia”). Quien debe auditar el modelo no es el área responsable de ERM, sino una unidad independiente (generalmente auditoría interna o un consultor). 13
Estos desafíos no constituyen impedimentos para implementar un buen sistema de ERM, sino que en realidad, constituyen los casos donde brinda mayor valor. Los negocios en ambientes que cambian rápido son excitantes y generan innovación (especialmente industrias de alto crecimiento), pero también generan presiones a nuestro ERM en cuanto a el cumplimiento de metas financieras más allá de los medios reales en personas y tecnología. También generan una tendencia a que la información fluya solo hacia abajo, sin poder reconocer los obstáculos y los peligros que enfrentan las personas en operaciones. Esto impide además estabilizar controles tradicionales, y no podemos analizar escenarios al carecer de información interna. La cultura es siempre más lenta de cambiar que los negocios (cambiar lo que hacemos es más fácil que cambiar lo que creemos). Solución: más frecuencia de actualización. Cuando el sistema de información es limitado (falta de integración entre sistemas, inconsistencias, sin validaciones), la exposición al riesgo crece. Es una situación, por ejemplo, al gestionar productos o proyectos complejos, donde pocas personas entienden sus transacciones, y aún menos como se controlan. La diversidad de transacciones o disponer de poco tiempo hace que los gestores no puedan analizar adecuadamente riesgos. En este ambiente, podemos capturar riesgos relevantes, pero perdiendo los riesgos menores. También son sistemas que capturan información cuantitativa del riesgo, pero pierden la cualitativa. Solución: métricas simples. Los gerentes a nivel local y operativo pueden tomar decisiones sin conocer las estrategias definidas por la alta dirección, y esto puede hacerles asumir altas exposiciones. Las empresas descentralizadas generalmente carecen de canales de información y responsabilidades bien definidas. De esta forma, no hay una clara comunicación de que acciones están “fuera de juego”. En estos casos, debemos fomentar una cultura igualitaria (escuchar a todos) antes que individualista. Nadie puede gestionar un riesgo en forma aislada. Solución: debemos considerar aquí descentralizar el equipo de ERM pero manteniendo un solo registro. Debemos cambiar el enfoque que distintos riesgos tienen distintos tratamientos y se gestionan “caso por caso”, a buscar un solo estándar para integrarlo al sistema de gestión de la organización. 14
Experiencia del CEO despidiendo a varios ejecutivos, asumiendo el riesgo de actuar erróneamente como el mayor de su carrera: ¿podría esto haber estado dentro de un registro de riesgos, en un “top 10’” de riesgos o indicado por un software? Muchas firmas pasan el 80% del tiempo recolectando datos y sólo el 20% analizándolos, y además repiten este proceso periodo a periodo. Además tendemos a poner esta información para analizar en un mapa de calor con Poisson en frecuencia, logarítmica normal en impacto, y donde verde es bueno, rojo es malo y amarillo es algo como indiferente. ¿Cómo llegamos a rankear en alto, medio o bajo? Cuando preguntamos como llegamos a estos mapas vemos que la integridad de la información es muy parcial y genérica. ¿Cuáles son los riesgos claves en nuestra taxonomía? ¿Qué tan granular debe ser nuestra taxonomía? Para responderlo también necesitamos varias iteraciones en la generación de datos (por ejemplo, analizar los resultados de los CRSA por 3 períodos según lo que indica la experiencia). El principal desafío (y punto de inicio para integrar un GRC) es llegar a una taxonomía común que sirva a todos los grupos de interés (auditoría, riesgos, compliance, sistemas, legales, reporte a reguladores…). Esta taxonomía común permite aplicar la “risk intelligence” para reducir controles innecesarios, detectar correlación de riesgos y distinguir datos relevantes. Tener buena información es clave para la identificación de riesgos. Al comenzar a implementar cada ciclo de estudio de riesgos, comenzamos viendo información histórica como partida, y luego pensamos en los planes a futuro, tendencias y la evolución esperada de los temas abiertos. Un buen sistema de información debe moverse de ser cualitativo (subjetivo) a cuantitativo (objetivo). Cubrir otras fuentes de información para identificar riesgos (fuera de modelos, talleres o RCSAs) 15
Conclusiones: El mundo en 1700 1- Lo conocido (Europa), eventos con alta frecuencia y bajos impactos, foco principal de los controles de supervisión. Estos son los riesgos que podemos predecir razonablemente, estandarizar un plan de acción e incluso generalmente evitar que ocurran o escalen. 2- Lo erróneamente conocido (California, Corea), riesgos operacionales y financiero, foco principal de la metodología de valuación de ERM y del monitoreo. 3- Lo que sabemos desconocemos (Australia)… y hasta podemos preferimos seguir desconociendo, foco principal de una cultura de gestión de riesgos fuerte. ¿Porqué desconocer riesgos? Por ejemplo en la experiencia de crisis actual, reconocer exposición a los riesgo crediticios limitaba los beneficios a corto plazo, requerían una fuerte acción política de la Dirección, bajaban los ratings, impiden crecer (en ciertos productos) o recortaban los incentivos. La complacencia es el principal enemigo del ERM (desconocer riesgos es al final el “moral hazard” de los rescates públicos). En general, son los riesgos que cambian nuestro modelo de negocio. 4- Lo que no sabemos que desconocemos (Antártica, Donald Rumsfeld), ej. riesgos en contagio, riesgos sorprendentes. Para ellos es generar una cultura de continuamente monitorear nuevos riesgos y vulnerabilidades. Aquí no podemos tener ninguna metodología programada y debemos confiar en el criterio de nuestros gerentes operativos y nuestro plan de gestión de crisis. Una buena cultura nos prepara mejor a enfrentar lo conocido. El 100% de nuestros riesgos, empleados y reguladores son personas; si no entendemos a las personas y su cultura, no entendemos los negocios. 16
Bonus: La definición de riesgos puede hacerse con una herramienta llamada CASE para articular sus características: C onsequence – ¿Cúal es el impacto del riesgo? A sset – ¿Cuál/es es/son los activos en riesgos? (también los intangibles como la información o la reputación) S ource – ¿Cuáles son los actores detrás del riesgo? E vent – ¿Qué tipo particular de incidente se tiene en cuenta? Esta herramienta es útil para delimitar riesgos como “terrorismo” que en realidad comprende múltiples riesgos, ayudando a lograr un consenso sobre la caracterización (de otra forma cada cual tiene su propia percepción sobre “terrorismo”, riesgos es un continuo). No solo la frecuencia y el impacto cambian ante cada definición, sino cambien los planes de acción. 17
18

Recomendados

Risk Appetite & Risk Tolerance: Improving their application from Abstract to ...
Risk Appetite & Risk Tolerance: Improving their application from Abstract to ...Risk Appetite & Risk Tolerance: Improving their application from Abstract to ...
Risk Appetite & Risk Tolerance: Improving their application from Abstract to ...Eric Campbell
 
PECB Webinar: ISO 31000 - The Benchmark for Risk Management in uncertain times
PECB Webinar: ISO 31000 - The Benchmark for Risk Management in uncertain timesPECB Webinar: ISO 31000 - The Benchmark for Risk Management in uncertain times
PECB Webinar: ISO 31000 - The Benchmark for Risk Management in uncertain timesPECB
 
Risk management
Risk managementRisk management
Risk managementbaderali2141
 
Enterprise Risk Management PowerPoint Presentation Slides
Enterprise Risk Management PowerPoint Presentation Slides Enterprise Risk Management PowerPoint Presentation Slides
Enterprise Risk Management PowerPoint Presentation Slides SlideTeam
 
Risk Appetite
Risk AppetiteRisk Appetite
Risk AppetiteTowers Perrin
 
GRI ERM Roadmap - Program Overview
GRI ERM Roadmap - Program OverviewGRI ERM Roadmap - Program Overview
GRI ERM Roadmap - Program OverviewDenise Robinson
 
KRI (Key Risk Indicators) & IT
KRI (Key Risk Indicators) & ITKRI (Key Risk Indicators) & IT
KRI (Key Risk Indicators) & ITMax Neira Schliemann
 
Enterprise-wide Risk Assessment Presentation, dated 03-08-11
Enterprise-wide Risk Assessment Presentation, dated 03-08-11Enterprise-wide Risk Assessment Presentation, dated 03-08-11
Enterprise-wide Risk Assessment Presentation, dated 03-08-11wcooling
 

Recomendados

Risk Appetite & Risk Tolerance: Improving their application from Abstract to ...
Risk Appetite & Risk Tolerance: Improving their application from Abstract to ...Risk Appetite & Risk Tolerance: Improving their application from Abstract to ...
Risk Appetite & Risk Tolerance: Improving their application from Abstract to ...Eric Campbell
 
PECB Webinar: ISO 31000 - The Benchmark for Risk Management in uncertain times
PECB Webinar: ISO 31000 - The Benchmark for Risk Management in uncertain timesPECB Webinar: ISO 31000 - The Benchmark for Risk Management in uncertain times
PECB Webinar: ISO 31000 - The Benchmark for Risk Management in uncertain timesPECB
 
Risk management
Risk managementRisk management
Risk managementbaderali2141
 
Enterprise Risk Management PowerPoint Presentation Slides
Enterprise Risk Management PowerPoint Presentation Slides Enterprise Risk Management PowerPoint Presentation Slides
Enterprise Risk Management PowerPoint Presentation Slides SlideTeam
 
Risk Appetite
Risk AppetiteRisk Appetite
Risk AppetiteTowers Perrin
 
GRI ERM Roadmap - Program Overview
GRI ERM Roadmap - Program OverviewGRI ERM Roadmap - Program Overview
GRI ERM Roadmap - Program OverviewDenise Robinson
 
KRI (Key Risk Indicators) & IT
KRI (Key Risk Indicators) & ITKRI (Key Risk Indicators) & IT
KRI (Key Risk Indicators) & ITMax Neira Schliemann
 
Enterprise-wide Risk Assessment Presentation, dated 03-08-11
Enterprise-wide Risk Assessment Presentation, dated 03-08-11Enterprise-wide Risk Assessment Presentation, dated 03-08-11
Enterprise-wide Risk Assessment Presentation, dated 03-08-11wcooling
 
ERM-Enterprise Risk Management
ERM-Enterprise Risk ManagementERM-Enterprise Risk Management
ERM-Enterprise Risk ManagementJorge Vaz Girão , CISA, PMP, PMDPro I, ERMCP
 
Risk management ISO 27001 Standard
Risk management ISO 27001 StandardRisk management ISO 27001 Standard
Risk management ISO 27001 StandardTharindunuwan9
 
Shaping Your Culture via Risk Appetite
Shaping Your Culture via Risk Appetite Shaping Your Culture via Risk Appetite
Shaping Your Culture via Risk Appetite Andrew Smart
 
Aligning strategy decisions with risk appetite, presented by David Shearer, 1...
Aligning strategy decisions with risk appetite, presented by David Shearer, 1...Aligning strategy decisions with risk appetite, presented by David Shearer, 1...
Aligning strategy decisions with risk appetite, presented by David Shearer, 1...Association for Project Management
 
Risk assessment presentation
Risk assessment presentationRisk assessment presentation
Risk assessment presentationmmagario
 
Enterprise Risk Management (ERM) Framework 2020
Enterprise Risk Management (ERM) Framework 2020 Enterprise Risk Management (ERM) Framework 2020
Enterprise Risk Management (ERM) Framework 2020 Richard Swartzbaugh
 
Enterprise Risk Management ~ Inovastra
Enterprise Risk Management ~ InovastraEnterprise Risk Management ~ Inovastra
Enterprise Risk Management ~ InovastraNik Hasyudeen
 
ERM Presentation
ERM PresentationERM Presentation
ERM PresentationH Contrex
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgocristian andres jaramillo montoya
 
Risk culture - IRM PROTIVITI
Risk culture - IRM PROTIVITIRisk culture - IRM PROTIVITI
Risk culture - IRM PROTIVITISimone Luca Giargia
 
Risk Identification PowerPoint Presentation Slide
Risk Identification PowerPoint Presentation SlideRisk Identification PowerPoint Presentation Slide
Risk Identification PowerPoint Presentation SlideSlideTeam
 
Embedding RCSA into Strategic Planning and Business Strategy
Embedding RCSA into Strategic Planning and Business StrategyEmbedding RCSA into Strategic Planning and Business Strategy
Embedding RCSA into Strategic Planning and Business StrategyAndrew Smart
 
Risk appetite
Risk appetite Risk appetite
Risk appetite Michel Rochette
 
Understaning Risk
Understaning RiskUnderstaning Risk
Understaning RiskWe Learn - A Continuous Learning Forum from Welingkar's Distance Learning Program.
 
ABC of risk culture. Dr David Hillson
ABC of risk culture. Dr David HillsonABC of risk culture. Dr David Hillson
ABC of risk culture. Dr David HillsonAssociation for Project Management
 
Analisis de riesgo
Analisis de riesgoAnalisis de riesgo
Analisis de riesgoCONSORCIO AGUAS DE ABURRA HHA
 
Enterprise Risk Management and Sustainability
Enterprise Risk Management and SustainabilityEnterprise Risk Management and Sustainability
Enterprise Risk Management and SustainabilityJeff B
 
Risk management
Risk managementRisk management
Risk managementHarold Malamion
 
Coso Erm(2)
Coso Erm(2)Coso Erm(2)
Coso Erm(2)deeptica
 
Operational Risk Management
Operational Risk ManagementOperational Risk Management
Operational Risk ManagementAsad Hameed
 
Creando una cultura de gestión de riesgos v2
Creando una cultura de gestión de riesgos v2Creando una cultura de gestión de riesgos v2
Creando una cultura de gestión de riesgos v2Hernan Huwyler
 
Caso ENRON
Caso ENRONCaso ENRON
Caso ENRONkatty869
 

Más contenido relacionado

La actualidad más candente

Risk management ISO 27001 Standard
Risk management ISO 27001 StandardRisk management ISO 27001 Standard
Risk management ISO 27001 StandardTharindunuwan9
 
Shaping Your Culture via Risk Appetite
Shaping Your Culture via Risk Appetite Shaping Your Culture via Risk Appetite
Shaping Your Culture via Risk Appetite Andrew Smart
 
Aligning strategy decisions with risk appetite, presented by David Shearer, 1...
Aligning strategy decisions with risk appetite, presented by David Shearer, 1...Aligning strategy decisions with risk appetite, presented by David Shearer, 1...
Aligning strategy decisions with risk appetite, presented by David Shearer, 1...Association for Project Management
 
Risk assessment presentation
Risk assessment presentationRisk assessment presentation
Risk assessment presentationmmagario
 
Enterprise Risk Management (ERM) Framework 2020
Enterprise Risk Management (ERM) Framework 2020 Enterprise Risk Management (ERM) Framework 2020
Enterprise Risk Management (ERM) Framework 2020 Richard Swartzbaugh
 
Enterprise Risk Management ~ Inovastra
Enterprise Risk Management ~ InovastraEnterprise Risk Management ~ Inovastra
Enterprise Risk Management ~ InovastraNik Hasyudeen
 
ERM Presentation
ERM PresentationERM Presentation
ERM PresentationH Contrex
 
Risk Identification PowerPoint Presentation Slide
Risk Identification PowerPoint Presentation SlideRisk Identification PowerPoint Presentation Slide
Risk Identification PowerPoint Presentation SlideSlideTeam
 
Embedding RCSA into Strategic Planning and Business Strategy
Embedding RCSA into Strategic Planning and Business StrategyEmbedding RCSA into Strategic Planning and Business Strategy
Embedding RCSA into Strategic Planning and Business StrategyAndrew Smart
 
Enterprise Risk Management and Sustainability
Enterprise Risk Management and SustainabilityEnterprise Risk Management and Sustainability
Enterprise Risk Management and SustainabilityJeff B
 
Coso Erm(2)
Coso Erm(2)Coso Erm(2)
Coso Erm(2)deeptica
 
Operational Risk Management
Operational Risk ManagementOperational Risk Management
Operational Risk ManagementAsad Hameed
 

La actualidad más candente (20)

ERM-Enterprise Risk Management
ERM-Enterprise Risk ManagementERM-Enterprise Risk Management
ERM-Enterprise Risk Management
 
Risk management ISO 27001 Standard
Risk management ISO 27001 StandardRisk management ISO 27001 Standard
Risk management ISO 27001 Standard
 
Shaping Your Culture via Risk Appetite
Shaping Your Culture via Risk Appetite Shaping Your Culture via Risk Appetite
Shaping Your Culture via Risk Appetite
 
Aligning strategy decisions with risk appetite, presented by David Shearer, 1...
Aligning strategy decisions with risk appetite, presented by David Shearer, 1...Aligning strategy decisions with risk appetite, presented by David Shearer, 1...
Aligning strategy decisions with risk appetite, presented by David Shearer, 1...
 
Risk assessment presentation
Risk assessment presentationRisk assessment presentation
Risk assessment presentation
 
Enterprise Risk Management (ERM) Framework 2020
Enterprise Risk Management (ERM) Framework 2020 Enterprise Risk Management (ERM) Framework 2020
Enterprise Risk Management (ERM) Framework 2020
 
Enterprise Risk Management ~ Inovastra
Enterprise Risk Management ~ InovastraEnterprise Risk Management ~ Inovastra
Enterprise Risk Management ~ Inovastra
 
ERM Presentation
ERM PresentationERM Presentation
ERM Presentation
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgo
 
Risk culture - IRM PROTIVITI
Risk culture - IRM PROTIVITIRisk culture - IRM PROTIVITI
Risk culture - IRM PROTIVITI
 
Risk Identification PowerPoint Presentation Slide
Risk Identification PowerPoint Presentation SlideRisk Identification PowerPoint Presentation Slide
Risk Identification PowerPoint Presentation Slide
 
Embedding RCSA into Strategic Planning and Business Strategy
Embedding RCSA into Strategic Planning and Business StrategyEmbedding RCSA into Strategic Planning and Business Strategy
Embedding RCSA into Strategic Planning and Business Strategy
 
Risk appetite
Risk appetite Risk appetite
Risk appetite
 
Understaning Risk
Understaning RiskUnderstaning Risk
Understaning Risk
 
ABC of risk culture. Dr David Hillson
ABC of risk culture. Dr David HillsonABC of risk culture. Dr David Hillson
ABC of risk culture. Dr David Hillson
 
Analisis de riesgo
Analisis de riesgoAnalisis de riesgo
Analisis de riesgo
 
Enterprise Risk Management and Sustainability
Enterprise Risk Management and SustainabilityEnterprise Risk Management and Sustainability
Enterprise Risk Management and Sustainability
 
Risk management
Risk managementRisk management
Risk management
 
Coso Erm(2)
Coso Erm(2)Coso Erm(2)
Coso Erm(2)
 
Operational Risk Management
Operational Risk ManagementOperational Risk Management
Operational Risk Management
 

Destacado

Creando una cultura de gestión de riesgos v2
Creando una cultura de gestión de riesgos v2Creando una cultura de gestión de riesgos v2
Creando una cultura de gestión de riesgos v2Hernan Huwyler
 
Caso ENRON
Caso ENRONCaso ENRON
Caso ENRONkatty869
 
Sistema de administración de riesgos operativos «saro
Sistema de administración de riesgos operativos «saroSistema de administración de riesgos operativos «saro
Sistema de administración de riesgos operativos «saroLina Torrado Rueda
 
Estudio del trabajo en restaurante de comida rapida
Estudio del trabajo en restaurante de comida rapidaEstudio del trabajo en restaurante de comida rapida
Estudio del trabajo en restaurante de comida rapidajuancastillosiente
 
Manual de Medicina de Emergencia Prehospitalaria
Manual de Medicina de Emergencia PrehospitalariaManual de Medicina de Emergencia Prehospitalaria
Manual de Medicina de Emergencia PrehospitalariaSusana Alonso
 
La Atención Prehospitalaria y el Paramédico Venezolano.
La Atención Prehospitalaria y el Paramédico Venezolano.La Atención Prehospitalaria y el Paramédico Venezolano.
La Atención Prehospitalaria y el Paramédico Venezolano.Ráulyn Méndez
 
Caracteristicas de las organizaciones
Caracteristicas de las organizacionesCaracteristicas de las organizaciones
Caracteristicas de las organizacionesNicolas Gutman
 

Destacado (7)

Creando una cultura de gestión de riesgos v2
Creando una cultura de gestión de riesgos v2Creando una cultura de gestión de riesgos v2
Creando una cultura de gestión de riesgos v2
 
Caso ENRON
Caso ENRONCaso ENRON
Caso ENRON
 
Sistema de administración de riesgos operativos «saro
Sistema de administración de riesgos operativos «saroSistema de administración de riesgos operativos «saro
Sistema de administración de riesgos operativos «saro
 
Estudio del trabajo en restaurante de comida rapida
Estudio del trabajo en restaurante de comida rapidaEstudio del trabajo en restaurante de comida rapida
Estudio del trabajo en restaurante de comida rapida
 
Manual de Medicina de Emergencia Prehospitalaria
Manual de Medicina de Emergencia PrehospitalariaManual de Medicina de Emergencia Prehospitalaria
Manual de Medicina de Emergencia Prehospitalaria
 
La Atención Prehospitalaria y el Paramédico Venezolano.
La Atención Prehospitalaria y el Paramédico Venezolano.La Atención Prehospitalaria y el Paramédico Venezolano.
La Atención Prehospitalaria y el Paramédico Venezolano.
 
Caracteristicas de las organizaciones
Caracteristicas de las organizacionesCaracteristicas de las organizaciones
Caracteristicas de las organizaciones
 

Similar a Creando una cultura de gestión de riesgos

Coso erm ligia
Coso erm ligiaCoso erm ligia
Coso erm ligiaAngel Cruz
 
2. Erm administración de riesgo empresarial 2019
2. Erm administración de riesgo empresarial 20192. Erm administración de riesgo empresarial 2019
2. Erm administración de riesgo empresarial 2019Janeth Lozano Lozano
 
Modulo 15 Gestión del Riesgo - ESP.pptx
Modulo 15 Gestión del Riesgo - ESP.pptxModulo 15 Gestión del Riesgo - ESP.pptx
Modulo 15 Gestión del Riesgo - ESP.pptxcaniceconsulting
 
Advisory2008_12.pdf
Advisory2008_12.pdfAdvisory2008_12.pdf
Advisory2008_12.pdfPAOLAPIZZO1
 
Seminario Taller Internacional: ¿Cómo implementar un modelo de aseguramiento ...
Seminario Taller Internacional: ¿Cómo implementar un modelo de aseguramiento ...Seminario Taller Internacional: ¿Cómo implementar un modelo de aseguramiento ...
Seminario Taller Internacional: ¿Cómo implementar un modelo de aseguramiento ...Gustavo Majerowicz
 
Modulo I: Metodologia de la Administracion de Riesgos
Modulo I: Metodologia de la Administracion de RiesgosModulo I: Metodologia de la Administracion de Riesgos
Modulo I: Metodologia de la Administracion de RiesgosControl Interno
 
Coso erm executive_summaryspanish
Coso erm executive_summaryspanishCoso erm executive_summaryspanish
Coso erm executive_summaryspanishgerardo2202
 
Unidad 9 - Gestión de riesgos estratégicos
Unidad 9 - Gestión de riesgos estratégicosUnidad 9 - Gestión de riesgos estratégicos
Unidad 9 - Gestión de riesgos estratégicosToTCOOPiTech
 
Administracion Riesgos DGSM
Administracion Riesgos DGSMAdministracion Riesgos DGSM
Administracion Riesgos DGSMJABERO241
 
La necesidad del control interno en las empresas
La necesidad del control interno en las empresasLa necesidad del control interno en las empresas
La necesidad del control interno en las empresasEALDE Business School
 

Similar a Creando una cultura de gestión de riesgos (20)

Coso erm ligia
Coso erm ligiaCoso erm ligia
Coso erm ligia
 
2. Erm administración de riesgo empresarial 2019
2. Erm administración de riesgo empresarial 20192. Erm administración de riesgo empresarial 2019
2. Erm administración de riesgo empresarial 2019
 
Modulo 15 Gestión del Riesgo - ESP.pptx
Modulo 15 Gestión del Riesgo - ESP.pptxModulo 15 Gestión del Riesgo - ESP.pptx
Modulo 15 Gestión del Riesgo - ESP.pptx
 
Trabajo grupal semana 09
Trabajo grupal semana 09Trabajo grupal semana 09
Trabajo grupal semana 09
 
Coso 2
Coso 2Coso 2
Coso 2
 
Advisory2008_12.pdf
Advisory2008_12.pdfAdvisory2008_12.pdf
Advisory2008_12.pdf
 
Capitulo 1
Capitulo 1Capitulo 1
Capitulo 1
 
50648878 coso-erm
50648878 coso-erm50648878 coso-erm
50648878 coso-erm
 
Coso erm
Coso ermCoso erm
Coso erm
 
50648878 coso-erm
50648878 coso-erm50648878 coso-erm
50648878 coso-erm
 
Seminario Taller Internacional: ¿Cómo implementar un modelo de aseguramiento ...
Seminario Taller Internacional: ¿Cómo implementar un modelo de aseguramiento ...Seminario Taller Internacional: ¿Cómo implementar un modelo de aseguramiento ...
Seminario Taller Internacional: ¿Cómo implementar un modelo de aseguramiento ...
 
Gestión de Riesgos Organizacionales
Gestión de Riesgos OrganizacionalesGestión de Riesgos Organizacionales
Gestión de Riesgos Organizacionales
 
Evitar riesgos para reforzar la reputación el cuadro de mando reputacional
Evitar riesgos para reforzar la reputación el cuadro de mando reputacionalEvitar riesgos para reforzar la reputación el cuadro de mando reputacional
Evitar riesgos para reforzar la reputación el cuadro de mando reputacional
 
Modulo I: Metodologia de la Administracion de Riesgos
Modulo I: Metodologia de la Administracion de RiesgosModulo I: Metodologia de la Administracion de Riesgos
Modulo I: Metodologia de la Administracion de Riesgos
 
Coso erm executive_summaryspanish
Coso erm executive_summaryspanishCoso erm executive_summaryspanish
Coso erm executive_summaryspanish
 
Unidad 9 - Gestión de riesgos estratégicos
Unidad 9 - Gestión de riesgos estratégicosUnidad 9 - Gestión de riesgos estratégicos
Unidad 9 - Gestión de riesgos estratégicos
 
Alinear la estrategia corporativa y los riesgos para evitar crisis
Alinear la estrategia corporativa y los riesgos para evitar crisisAlinear la estrategia corporativa y los riesgos para evitar crisis
Alinear la estrategia corporativa y los riesgos para evitar crisis
 
Trabajo .. riesgos !!
Trabajo .. riesgos !!Trabajo .. riesgos !!
Trabajo .. riesgos !!
 
Administracion Riesgos DGSM
Administracion Riesgos DGSMAdministracion Riesgos DGSM
Administracion Riesgos DGSM
 
La necesidad del control interno en las empresas
La necesidad del control interno en las empresasLa necesidad del control interno en las empresas
La necesidad del control interno en las empresas
 

Último

LOS MIMBRES HACEN EL CESTO: AGEING REPORT.
LOS MIMBRES HACEN EL CESTO: AGEING REPORT.LOS MIMBRES HACEN EL CESTO: AGEING REPORT.
LOS MIMBRES HACEN EL CESTO: AGEING REPORT.ManfredNolte
 
Venezuela Entorno Social y Económico.pptx
Venezuela Entorno Social y Económico.pptxVenezuela Entorno Social y Económico.pptx
Venezuela Entorno Social y Económico.pptxJulioFernandez261824
 
Revista Estudiantil de la Carrera de Contaduría Pública de la Universidad May...
Revista Estudiantil de la Carrera de Contaduría Pública de la Universidad May...Revista Estudiantil de la Carrera de Contaduría Pública de la Universidad May...
Revista Estudiantil de la Carrera de Contaduría Pública de la Universidad May...VicenteAguirre15
 
ejemplos de sistemas economicos en economia
ejemplos de sistemas economicos en economiaejemplos de sistemas economicos en economia
ejemplos de sistemas economicos en economiaKeiryMichelleMartine
 
El cheque 1 y sus tipos de cheque.pptx
El cheque 1 y sus tipos de cheque.pptxEl cheque 1 y sus tipos de cheque.pptx
El cheque 1 y sus tipos de cheque.pptxNathaliTAndradeS
 
Compañías aseguradoras presentacion power point
Compañías aseguradoras presentacion power pointCompañías aseguradoras presentacion power point
Compañías aseguradoras presentacion power pointAbiReyes18
 
Análisis de la Temporada Turística 2024 en Uruguay
Análisis de la Temporada Turística 2024 en UruguayAnálisis de la Temporada Turística 2024 en Uruguay
Análisis de la Temporada Turística 2024 en UruguayEXANTE
 
mercado de capitales universidad simon rodriguez - guanare (unidad I).pdf
mercado de capitales universidad simon rodriguez - guanare (unidad I).pdfmercado de capitales universidad simon rodriguez - guanare (unidad I).pdf
mercado de capitales universidad simon rodriguez - guanare (unidad I).pdfGegdielJose1
 
Sistema de Control Interno aplicaciones en nuestra legislacion
Sistema de Control Interno aplicaciones en nuestra legislacionSistema de Control Interno aplicaciones en nuestra legislacion
Sistema de Control Interno aplicaciones en nuestra legislacionPedroSalasSantiago
 
PRUEBA PRE ICFES ECONOMIA. (4) - copia.doc
PRUEBA PRE ICFES ECONOMIA. (4) - copia.docPRUEBA PRE ICFES ECONOMIA. (4) - copia.doc
PRUEBA PRE ICFES ECONOMIA. (4) - copia.docmilumenko
 
METODOS ESCALA SALARIAL EN ESTRUCTURAS.PPT
METODOS ESCALA SALARIAL EN ESTRUCTURAS.PPTMETODOS ESCALA SALARIAL EN ESTRUCTURAS.PPT
METODOS ESCALA SALARIAL EN ESTRUCTURAS.PPTrodrigolozanoortiz
 
Tema 1 de la asignatura Sistema Fiscal Español I
Tema 1 de la asignatura Sistema Fiscal Español ITema 1 de la asignatura Sistema Fiscal Español I
Tema 1 de la asignatura Sistema Fiscal Español IBorjaFernndez28
 
Politicas publicas para el sector agropecuario en México.pptx
Politicas publicas para el sector agropecuario en México.pptxPoliticas publicas para el sector agropecuario en México.pptx
Politicas publicas para el sector agropecuario en México.pptxvladisse
 
UNIDAD 01 del area de comunicación 2do grado secundariax
UNIDAD 01 del area de comunicación 2do grado secundariaxUNIDAD 01 del area de comunicación 2do grado secundariax
UNIDAD 01 del area de comunicación 2do grado secundariaxLuzMaGuillenSalas
 
41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICO
41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICO41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICO
41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICOlupismdo
 
Situación Mercado Laboral y Desempleo.ppt
Situación Mercado Laboral y Desempleo.pptSituación Mercado Laboral y Desempleo.ppt
Situación Mercado Laboral y Desempleo.pptrubengpa
 
44 RAZONES DE PORQUE SI ESTAMOS MAL (1).pdf
44 RAZONES DE PORQUE SI ESTAMOS MAL (1).pdf44 RAZONES DE PORQUE SI ESTAMOS MAL (1).pdf
44 RAZONES DE PORQUE SI ESTAMOS MAL (1).pdflupismdo
 
ejemplo de tesis para contabilidad- capitulos
ejemplo de tesis para contabilidad- capitulosejemplo de tesis para contabilidad- capitulos
ejemplo de tesis para contabilidad- capitulosguillencuevaadrianal
 
puntos-clave-de-la-reforma-pensional-2023.pdf
puntos-clave-de-la-reforma-pensional-2023.pdfpuntos-clave-de-la-reforma-pensional-2023.pdf
puntos-clave-de-la-reforma-pensional-2023.pdfosoriojuanpablo114
 

Último (20)

Mercado Eléctrico de Ecuador y España.pdf
Mercado Eléctrico de Ecuador y España.pdfMercado Eléctrico de Ecuador y España.pdf
Mercado Eléctrico de Ecuador y España.pdf
 
LOS MIMBRES HACEN EL CESTO: AGEING REPORT.
LOS MIMBRES HACEN EL CESTO: AGEING REPORT.LOS MIMBRES HACEN EL CESTO: AGEING REPORT.
LOS MIMBRES HACEN EL CESTO: AGEING REPORT.
 
Venezuela Entorno Social y Económico.pptx
Venezuela Entorno Social y Económico.pptxVenezuela Entorno Social y Económico.pptx
Venezuela Entorno Social y Económico.pptx
 
Revista Estudiantil de la Carrera de Contaduría Pública de la Universidad May...
Revista Estudiantil de la Carrera de Contaduría Pública de la Universidad May...Revista Estudiantil de la Carrera de Contaduría Pública de la Universidad May...
Revista Estudiantil de la Carrera de Contaduría Pública de la Universidad May...
 
ejemplos de sistemas economicos en economia
ejemplos de sistemas economicos en economiaejemplos de sistemas economicos en economia
ejemplos de sistemas economicos en economia
 
El cheque 1 y sus tipos de cheque.pptx
El cheque 1 y sus tipos de cheque.pptxEl cheque 1 y sus tipos de cheque.pptx
El cheque 1 y sus tipos de cheque.pptx
 
Compañías aseguradoras presentacion power point
Compañías aseguradoras presentacion power pointCompañías aseguradoras presentacion power point
Compañías aseguradoras presentacion power point
 
Análisis de la Temporada Turística 2024 en Uruguay
Análisis de la Temporada Turística 2024 en UruguayAnálisis de la Temporada Turística 2024 en Uruguay
Análisis de la Temporada Turística 2024 en Uruguay
 
mercado de capitales universidad simon rodriguez - guanare (unidad I).pdf
mercado de capitales universidad simon rodriguez - guanare (unidad I).pdfmercado de capitales universidad simon rodriguez - guanare (unidad I).pdf
mercado de capitales universidad simon rodriguez - guanare (unidad I).pdf
 
Sistema de Control Interno aplicaciones en nuestra legislacion
Sistema de Control Interno aplicaciones en nuestra legislacionSistema de Control Interno aplicaciones en nuestra legislacion
Sistema de Control Interno aplicaciones en nuestra legislacion
 
PRUEBA PRE ICFES ECONOMIA. (4) - copia.doc
PRUEBA PRE ICFES ECONOMIA. (4) - copia.docPRUEBA PRE ICFES ECONOMIA. (4) - copia.doc
PRUEBA PRE ICFES ECONOMIA. (4) - copia.doc
 
METODOS ESCALA SALARIAL EN ESTRUCTURAS.PPT
METODOS ESCALA SALARIAL EN ESTRUCTURAS.PPTMETODOS ESCALA SALARIAL EN ESTRUCTURAS.PPT
METODOS ESCALA SALARIAL EN ESTRUCTURAS.PPT
 
Tema 1 de la asignatura Sistema Fiscal Español I
Tema 1 de la asignatura Sistema Fiscal Español ITema 1 de la asignatura Sistema Fiscal Español I
Tema 1 de la asignatura Sistema Fiscal Español I
 
Politicas publicas para el sector agropecuario en México.pptx
Politicas publicas para el sector agropecuario en México.pptxPoliticas publicas para el sector agropecuario en México.pptx
Politicas publicas para el sector agropecuario en México.pptx
 
UNIDAD 01 del area de comunicación 2do grado secundariax
UNIDAD 01 del area de comunicación 2do grado secundariaxUNIDAD 01 del area de comunicación 2do grado secundariax
UNIDAD 01 del area de comunicación 2do grado secundariax
 
41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICO
41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICO41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICO
41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICO
 
Situación Mercado Laboral y Desempleo.ppt
Situación Mercado Laboral y Desempleo.pptSituación Mercado Laboral y Desempleo.ppt
Situación Mercado Laboral y Desempleo.ppt
 
44 RAZONES DE PORQUE SI ESTAMOS MAL (1).pdf
44 RAZONES DE PORQUE SI ESTAMOS MAL (1).pdf44 RAZONES DE PORQUE SI ESTAMOS MAL (1).pdf
44 RAZONES DE PORQUE SI ESTAMOS MAL (1).pdf
 
ejemplo de tesis para contabilidad- capitulos
ejemplo de tesis para contabilidad- capitulosejemplo de tesis para contabilidad- capitulos
ejemplo de tesis para contabilidad- capitulos
 
puntos-clave-de-la-reforma-pensional-2023.pdf
puntos-clave-de-la-reforma-pensional-2023.pdfpuntos-clave-de-la-reforma-pensional-2023.pdf
puntos-clave-de-la-reforma-pensional-2023.pdf
 

Creando una cultura de gestión de riesgos

  • 1. Presentación, objetivo, régimen de preguntas/discusiones. 1
  • 2. ¿Quiénes piensan que su sistema de riesgos tiene el soporte adecuado de la dirección? Para abrir nuestra charla, no quiero dejar de mencionar a las palabras de quien ha hecho más que cualquier otra persona en proyectar al ERM, aún más que Lehman o Black y Scholes :), Jeffrey Skilling, ex presidente de Enron, “We love risk, because risk of how we make money”. Esta cultura de riesgos incentivada desde el CEO generó una conducta agresiva dentro de su organización. De hecho, Enron es aún el mejor ejemplo de como generar una mala cultura que resultó en falta de liquidez no adecuando su capital al riesgo, fraude contable por más que haya fallado algún control contable y abusos en su modelo de mark-to-model para valuar contratos de futuros. Veamos que prácticas construyeron una cultura de gestión de riesgos tóxica: 1- Despedir anualmente al 10% o 15% de los empleados que tengan los peores evaluaciones (sistema “Rank and Yank” aún usado por el 60% del Forbes500) – Buscar solamente rentabilidad, evitar confrontar prácticas, sólo cumplir órdenes, pensar en el corto plazo, no reportar riesgos, traders tomando riesgos y contables inflando resultados. 2- No distinguir entre relaciones personales y profesionalismo (favoritismo, líder carismático, narcisismo) 3- la cultura de culpar automáticamente a otros especialmente empleados de bajo rango (Vulnerable System Syndrome) 4- No tener un sistema normativo ni de control claros dentro la compañía (diluye las responsabilidades) 5- Dejar de lado el factor de riesgos frente a la rentabilidad, sus negocios se transformaron en “apuestas” (y no con dinero propio, sino de los inversores) Otros casos: SG Sociéte Générale – Al carecer de funciones de riesgos integradas, no pudieron identificar alarmas que resultaron en pérdidas por trading en €4.9 bn en 2008 (Jérôme Kerviel llegó a postear posiciones por más de la capitalización del banco en 2 años prevenible con control de autorización). Bear Stearns – Exceso de confianza en su equipo que riesgo que centralizaron el liderazgo resultó en su colapso Independent Insurance – Un liderazgo autocrático y el miedo a “malas noticias” generó bajas reservas y su colapso También tenemos fraude por toma de posiciones sin autorización, como el Credit Agricole en 2007. Si una cultura de riesgos genera valor para los grupos de interés, hay varios casos de problemas para identificarlos. USB en 2008, 2b USD, Kweku Adoboli donde el software de ERM detectó las operaciones no autorizadas, pero no se investigaron. Tambien, BP y el derrame en el Golfo del Deepwater Horizon: ¿Fueron las precepciones de riesgos de los turistas, ecologistas, contratistas y muchos más incluidas en su cultura? BP carecía de ERM. Consecuencias de una pobre cultura: insolvencia, rebajas de calificaciones masivas, pérdida de valor de la acción, takeover Estatal ERM no falla por un método sino por una cultura tóxica, su riesgo último es la falla de la cultura . 2
  • 3. La discusiones sobre riesgos en las corporaciones son originadas por las crisis. La crisis solamente expone las debilidades de las prácticas de gestión riesgos. En estas discusiones, siempre se hace hincapié en la cultura como un factor para incorporar el riesgo a la toma de decisiones. En esta charla, les quiero compartir experiencias para mantener la actitud apropiada dentro del gobierno corporativo y algunas herramientas para generar esta cultura de evaluación permanente de riesgos e integrada a la toma de decisiones. La cultura organizacional es un componente clave dentro del ERM, vinculada al aspecto de toma de decisiones para cumplir objetivos (tanto proveyendo estructura como disciplina). Cuando todos los empleados permanecen vigilantes de riesgos potenciales, tanto internos como externos, la organización aumenta su probabilidad de detectarlos y tratarlos. Esta vigilancia es un subproducto de la cultura (entendida como un sistema de valores compartidos para la conducta de un grupo). La actitud de los niveles para construir esta cultura requiere 1) formular una estrategia de gestión de riesgos, 2) articular esta estrategia para todos los empleados (protocolos, controles, marco ISO/COSO..), y 3) actuar en consistencia a esta estrategia (para obtener tratamientos uniformes de riesgos, asignar responsabilidades claras). Esta cultura comprende entonces las actitudes y el comportamiento colectivo de la organización para identificar, discutir y gestionar los riesgos que toma. La definición de cultura que utilizada en esta presentación se hace en el contexto de la pregunta ¿Qué determina como una compañía toma decisiones? La clave de una cultura para ERM es que hablamos de una cultura fuerte cuando estas decisiones se toman de forma disciplinada, tomando en consideración los riesgos y los beneficios sobre una base fundamentada. Estas decisiones se extienden en la organización desde la definición de estrategias globales a largo plazo hasta decisiones de negocios rutinarias. Esto determina que la cultura de riesgos no sea un concepto de un grupo concreto en el top management sino que debe extenderse a todos quienes toman decisiones (por ejemplo y especialmente en planeamiento y presupuestación). La conciencia de riesgos implica entender que son una parte de nuestro negocio, y por lo tanto gestionables (no necesariamente para eliminarlos). Una buena cultura asegura que “hacer lo correcto” prima sobre “hacer todo lo que sea necesario”. Esta cultura sostiene las decisiones en situaciones complejas: -decisiones que sacrifican el valor ajustado al riesgo en el largo plazo por ganancias en el corto plazo (incremento de ventas, hipotecas subprime) -decisiones que involucran el ingreso y el ego de quienes las toman (promociones, bonus, crecer, sistemas compensatorios) -decisiones bajo presión (de reguladores, agencias de rating, mercados) La cultura también debe aprender de la experiencia pasada, incrementando el conocimiento para tomar mejores decisiones. Aquí tiene peso el resultado de lo que medimos (KRIs). La cultura se puede crear y cambiar, para ello hay un papel educativo de los lideres sobre riesgos en la organización. Para pasar de empleados sin entendimiento de riesgos a aquellos que actúan en forma inteligente debemos educar sobre riesgos en seminarios y presentaciones sobre casos, así como incentivar que los empleados hagan sus propias evaluaciones sobre riesgos. Demos dar el poder a los empleados para definir sus riesgos y sus controles. Para las compañías de seguros bajo Solvency II, debemos demostrar que la metodología de cuantificar riesgos operacionales está alienada al perfil de riesgos, y que el resultado se usa en el proceso de decisiones estratégicas y planeamiento de negocios. 3
  • 4. Una cultura consiente de los riesgos es necesaria para el éxito de todo ERM, asegurando de optimizar el valor de los accionistas a través de optar por alternativas de riesgos/beneficios. De todos los componentes de riesgos, la cultura es por lejos la parte más compleja con un impacto exponencial. Esta cultura que involucra desde la filosofía corporativa a las percepciones individuales. Debemos evitar el común que se perciba a la cultura de gestión riesgos como un mero tema de compliance, y el gestor de riesgos se convierte solamente en el custodio del registro de riesgos. Si falla alguno de sus elementos, puede que no identifiquemos todos los riesgos o sean valuados incorrectamente. De esta forma las decisiones terminan ignorando ciertos riesgos o no son consistentes con los objetivos corporativos. Necesitamos criterios rigurosos y estos se basan en la cultura de riesgos. Cuando la cultura no es correcta, aún el modelo de gestión de riesgos más sofisticado será inefectivo. En una mala cultura, nuestros gestores no hacen “lo correcto” a pesar que exista una buena política de riesgos y controles. En una buena cultura, nuestros gestores hacen siempre “lo correcto” aunque fallen las políticas y los controles. Muchas veces “el poder” dentro de la organización no deja que se generen y compartan percepciones distintas sobre los niveles de riesgos. Muchas veces la definición de los objetivos estratégicos no es compartida dentro de la organización. En la práctica, encontramos más ejemplo de malas culturas “ex-post” de problemas, que identificar los elementos de una buena cultura “ex-ante”. Elementos de una buena cultura de gestión de riesgos: 1- Hay una clara estrategia de ERM, con objetivos, apetito y métodos definidos que incluyen a todos los grupos de interés y contrapartes. Hay confianza y liderazgo. 2- La caracterización de los riesgos está integrada a la toma de decisiones y cuenta con KRIs y planes de acción 3- Todos los procesos tienen su análisis de riesgos y se actualizan a su nivel y agregación (evita seguir el “risk ju jour”, proceso iterativo, al poder agregar nos permite identificar estrategias de diversificación de riesgos) 4- Se cuenta con el factor humano capacitado y disponible para identificar, valuar y tratar riesgo. Tanto la evaluación de desempeño de la compañía y de las personas se ajusta a los riesgos 5- Se cuenta con un sólido sistema de reporte de riesgos y pérdidas. Los responsables se sienten cómodos al reportar sus riesgos y pérdidas (comunicación abierta). 6- ERM está optimizado para detectar oportunidades, incluyendo a la mejora continua 7- Se cuenta con la capacidad para estructurar varias visiones sobre el mismo riesgo (métodos, modelos documentados, una única taxonomía que se pueda agregar/armonización, un solo vocabulario) En riesgos hablamos de los sesgos cognitivos que generar una distorsión con la realidad y sus datos, originando una toma de decisiones irracional (“mi riesgo es el más importante”/”yo soy el mejor gestor de este riesgo”, todos sostienen que gestionan riesgo en forma conservadora). Buscamos investigar solo las opiniones que creemos de antemano, nuestra memoria se altera, pensamos que los eventos del pasado fueron predecibles, nos creemos responsables de los éxitos pasados (sin mirar a “la suerte”). Para ilustrar este tipo de sesgo, pensemos en el capitán del Costa Concordia. La cultura debe fomentar: 1- No evitar discusiones conflictivas (me pone nervioso una reunión sobre riesgos donde todos estén felices, buscar múltiples perspectivas, si todos piensan lo mismo es porque alguien no está pensando) 2- Darnos el tiempo necesario para tomar decisiones informadas, definiendo bien los perímetros de cada riesgo 3- Explicar nuestros conocimientos que basan las decisiones (aunque requieran mayores esfuerzos). 4- No encuadramos a nuestro conocimiento sin buscar terceras opiniones 5- No sobre estimar nuestra capacidad para tomar buenas decisiones 6- Darnos la posibilidad de cambiar (tendemos siempre a mantener las posturas que hemos tomado en el pasado) 4
  • 5. Importancia de la cultura al reclutar. Estudio sobre ofertas de trabajo internacionales sobre posiciones gerenciales en riesgo (“risk manager”, “risks director”, “Chief Risk Officers”, “Head of Risk”, “Risk Leader”, “Risk Management Officer”). Frecuencia de palabras en “responsabilidades” para ofertas laborales en jobscout24.ch , gaapweb, monster, indeed, etc – Solo 2 ofertas con referencias explícitas para promover la cultura sobre 100. A pesar de esto, el nuevo COSO en borrador nombra la cultura 12 veces. http://www.coso.org/documents/coso_framework_body_v6.pdf 5
  • 6. Dicen que las acciones hablan más fuerte que las palabras. La cultura de conciencia de riesgos requiere que todas las áreas de la empresa conozcan sus riesgos. ¿Cuáles son las claves para el éxito entonces? Liderazgo – Una característica de una cultura de riesgo fuerte es un estilo de liderazgo fuerte para toda la organización y todos sus proyectos, además se complementa con un estilo de gestión participativa y que se base en el conocimiento de los empleados y los miembros del equipo. EMR debe ser muy visible: queremos mejorar la habilidad de la compañía para tomar riesgos, y no limitar negocios. La efectividad depende que le guiemos a nuestros empleados concretamente que hacer. Si no creemos en ERM, no posibilidad de generar el entusiasmo necesario. También nos encontramos con la pregunta: ¿si todos ya estamos gestionando riesgos, para que necesitamos un marco de ERM? El problema es que la diversidad de riesgos, necesita uniformizar criterios (establecer un apetito, una visión). Sin saber a que puerto navegamos, ningún viento es favorable (Seneca). Responsabilidades – Al asignar metas a nuestra gente, asignamos responsabilidades (y riesgos) por esas metas. Promover que los empleados sean responsables por sus acciones (decisiones). Un elemento de fundamental de asimetría es que personas buscadoras de riesgos manejan dinero de otros. De esta forma, los beneficios del dinero de otros e incentivos al gestor de riesgos deben estar alineados con responsabilidades. Estas responsabilidades sobre riesgos se desprenden de que cada persona es responsable por metas establecidas. Debemos fomentar que este bien claro quien es el propietario de cada riesgo (y que realmente lo entienda). Hay responsabilidades top-down (ej. RCSA) y bottom-up (escalar tratamientos, aprobación de riesgos/RCSA). La maduración de un sistema de ERM depende que se de la delegación de autoridad en cascada a todos los niveles. De principio, los gerentes en cada línea de negocio deben ser aquellos que identifican, evalúan, controlan y son propietarios de los riesgos. Luego tenemos otras responsabilidades dentro de ERM, como la dirección en establecer el apetito y establecer las líneas de reporte, los comités de riesgos y auditoría sobre el monitoreo. Objetivos pocos claros generan riesgos inesperados. Captura riesgos 360º - Permitir la captura de riesgos dentro de todos los niveles de la organización, por áreas y por proyectos. Uno de los principales problemas culturales que piensen que los gestores de riesgos sabemos de antemano donde está cada riesgo. Cuando ponemos nuestros métodos de identificación de riesgos en manos de otros gerentes y empleados, es cuando cambiamos la cultura saliendo de los silos de información. En esto, además debemos mirar por igual ganancias o perdidas no esperadas. La generación de caja en forma inesperada, también es un síntoma de debilidades de control. Esto requiere también centralizar los perfiles de riesgos en un registro y bajo un cargo, buscando la consistencia entre los departamentos. Identificar riesgos en 360 grados favorece comprender la interacción de riesgos a un nivel “de portfolio”, permitiendo consolidar riesgos empresariales. Este alcance de 360º debe estar formalizado. Comunicación – Una comunicación completa y transparente permite que tengamos una “visión de helicóptero” (contra la “visión de túnel” y el sesgo confirmatorio). Las empresas que efectivamente gestionan sus riesgos son propensas a comunicarlos y tolerantes para discutirlos . ¿Nos podemos dar el lujo de perder datos? Es natural que la gente se sienta vulnerable al discutir los riesgos e incidentes de su área y su evaluación tiende a no ser honesta. Una cultura de comunicación abierta requiere definiciones formales y que la Dirección lidere con el ejemplo. La comunicación debe incluir a todos los grupos de interés, geografías y gestores de portfolios. Generalmente en empresas de alta competencia, los empleados no se compartan información y genera un desafío extra al ERM. La comunicación permite encontrar riesgos de contagio y correlaciones. Si pretendemos que el ERM esté en nuestras decisiones, no puede ser una especialidad de pocos. Riesgos implica muchísimo intercambio de información. Nadie puede asumir responsabilidades sobre lo que no entiende, y aquí hay un soporte de entrenamiento desde ERM. Aquí hay un papel importante en el software de GRC que utilicemos. En palabras de Warren Buffett “el riesgo se origina cuando no sabes lo que estás haciendo”. Es difícil que buenos controles compensen una mala cultura. ¿Quiénes vienen de organizaciones que tengan más de un 10% de empleados con contacto en ERM? 6
  • 7. En negocios, los resultados se alcanzan por medir el éxito de cierta acción y monitorear su progreso en el tiempo. En riesgos, lo mismo pasa para la cultura. El liderazgo o la comunicación no significan nada si no pueden ser medidos. La medición y el monitoreo son condiciones necesarias pero no suficientes para la mejora continua del sistema de gestión de riesgos. ERM quedaría solo con un efecto placebo. Una cultura de conciencia de los riesgos no es un concepto meramente intangible, sino tiene elementos medibles para saber como estamos progresando hacia ciertos objetivos. Decirle a alguien que tiene un rol en la gestión de riesgos, pero no medirlo, no genera un incentivo para modificar conductas. Además, la medición y monitoreo del ERM es la forma de justificar su aporte a la organización. Medir generar la oportunidad de aprender el pasado, investigando las opiniones de los grupos de interés internos y externos (y en particular sobre auditoría donde sus planes de trabajo se basan en riesgos). Una herramienta es el Control Risk Self Assessment, el reporte de riesgos, y las bases de reporte de incidentes y pérdidas. Se necesitan encuestas para obtener información. Debemos generar “business cases” en lugar que advertencias. Por ejemplo, no solo reportar que tenemos dos centros de respaldo de datos muy cercanos en una zona inundable, sino demostrar con valores cual es el ahorro de mudarlos. Papel de las encuestas de satisfacción. 7
  • 8. La mitad de toda gestión es hacer la pregunta correcta, y la otra mitad es obtener la respuesta correcta. Una buena herramienta para medir la efectividad de la gestión de riesgos son las encuestas anónimas. Buscamos acá encontrar los datos que evidencian si estamos en la cultura correcta. Hay varias soluciones en el mercado (PWC, sobre web, confidencialidad al gestionarla un tercero, customizada por área, posibilidad de benchmarking). Cada capítulo de la encuesta debe tener su propietario (ej. liderazgo a la alta dirección, y gestión sobre el grupo ERM). ¿Qué medimos? ¿Cómo nos ven? ¿Riesgos se extendió más allá de compliance o auditoría? -Liderazgo: Qué tan bien hemos transmitido la misión ética de la empresa así como comunicado los objetivos. Es decir, que el sector de gestión de riesgos genera valor y un clima de confianza con su liderazgo. ¿Hemos construido un clima para un debate abierto sobre riesgos y los objetivos estratégicos? ¿Mensaje consistente, propensos al riesgo o al control? ¿Somos inclusivos? -Responsabilidad: Qué tan bien hemos alineado las responsabilidades individuales de la gestión de riesgos con los inventivos. Incluye acá el análisis de escalamiento apropiado de cuestiones. ¿Está en claro quienes son los dueños de los riesgos? ¿Sancionamos a quienes sobrepasaron un nivel de riesgo? -Comunicación: Qué tan bien hemos comunicado las herramientas de gestión (ej. capacitación, el apetito de riesgo, la posibilidad de crear conocimiento especialmente desde los errores). ¿Hemos comunicado a nuestros empleados las fronteras por las cuales pueden operar? ¿Se reportan “las malas noticias”? ¿La comunicación fluye top-down, bottom-up o en ambos sentidos? ¿Incentivamos la mejora continua? -Gestión: Qué tan bien hemos construido planes de acción, controles, y la infraestructura que hemos construido. Es decir, en que medida hemos integrado ERM a la toma diaria de decisiones. ¿Están funcionando bien los comités de riesgos? ¿Se aplica consistentemente el marco de ERM? Esta encuesta debe cubrir a todos aquellos que tienen algún rol en la gestión de riesgos (gerencias operativas, finanzas, seguros, estrategias). Su aporte más importante es que genera un diálogo interno para utilizar mejor los recursos invertidos en ERM, recordando que el principal objetivo del GRC es la mejora de la eficiencia. Esta encuesta da un marco general a los RCSAs. Un método de construcción de culturas solidas de gestión de riesgos está en su infancia. Las prácticas más actuales tienen problemas para relacionar objetivos con riesgos por falta de información (especialmente la externa). También la falta de conocimiento es un impedimento fuerte para el desarrollo de la cultura. Esto impide encontrar indicadores predictivos de riesgos como amplios análisis de competencia o planeamiento por escenarios. Sin embargo hay puntos a favor, cada vez más empresas no financieras crean sus funciones de CROs como consejeros estratégicos, y hay mayor presión de los reguladores (ej. Swiss Quality Assessment para seguros). 8
  • 9. 9
  • 10. Otro elemento clave en sustentar la cultura de riesgos es una buena política de riesgos que provea dirección, transparencia a los grupos de interés y neutralidad en la gestión. Esta política debe definir: •los objetivos y los recursos del grupo de gestión de riesgos •generar un léxico común (y un registro común) •el nivel de riesgos que la compañía está dispuesta a aceptar (implementar el apetito de riesgos en niveles operativos y en responsabilidades es un proceso complejo, establecido por el directorio, ej. crecimiento > del 2% en el BRIC, inversiones de > un free cash flow de $$$, mantener el B+, > EBITDA/intereses de 4, evitar pérdidas de > $$$ ) •el proceso formal de identificación y tratamiento de riesgos y oportunidades, y relacionándolos con los procesos de planeamiento estratégico •estrategias: top-down y/o bottom-up, cuantititivas o cualitativas. •el mapeo desde los riesgos hasta los controles •Los responsables del seguimiento de los riesgos (y de gestionar el registro), frecuencias de actualización •El reporte de indicadores Esta política debe dar un marco para la toma de decisiones que involucren alto riesgo (adquisiciones, litigios, asumir riesgos no asegurables, endeudamiento). Es relevante prever este proceso, así como prevemos y documentamos nuestros planes de emergencia. Este punto requiere que se identifiquen aprobadores, análisis a solicitar, niveles de calidad mínimos (por ejemplo, utilizar nuestros mejores recursos para llevarlas a cabo), comunicación y dialogo con grupos de interés, y quienes serán los negociadores. Básicamente, debemos prever como evitar sesgos cognitivos en este proceso. La política de ERM debe estar integrada a las iniciativas de GRC. Luego de definir la política de riesgos, el paso natural es armar el perfil de riesgos listando todos los riesgos potenciales que la organización puede enfrentar. La política debe involucrar que nuestros socios y proveedores estratégicos cumplen con nuestros estándares de gestión de riesgos (por ejemplo, como los seleccionamos y evaluamos). Esta política debe permitir que los riesgos identificados se comparen con el portfolio de bienes asegurados. 10
  • 11. Estas funciones para desarrollar una cultura de riesgos se basan principalmente en los objetivos de un comité de riesgos corporativo. En la práctica (y según varias encuestas), el principal sponsor del ERM es el CFO (y por presiones regulatorias). Contar con un comité de riesgos aumenta la credibilidad de esta iniciativa, aunque no se encuentren con recursos dedicados. En términos generales sus objetivos incluyen: 1- sostener un monitoreo general sobre las funciones de gestión de riesgos y cumplimiento normativo. En este aspecto, garantiza el seguimiento de riesgos que ponen en peligro el cumplimiento de objetivos estratégicos, emiten políticas de gestión de riesgos, evalúan los planes de acción con sus controles y planes de continuidad de negocios y contingencias, estructuran políticas de alto nivel de seguros, evaluar la consistencia entre los riesgos no asegurados y la tolerancia/expectativas de los grupos de interés, definir el registro de riesgos y sus indicadores, planes de identificación de riesgos por las unidades de negocios y el seguimiento de cuestionarios. El centro aquí es dar una estructura a estos temas. 2- proveer información de entrada sobre los riesgos que enfrenta la organización tanto internos como externos (portfolio de riesgos corporativos). En este aspecto, tienen un papel de coordinación y planeamiento de recursos en vistas de nuevos riesgos previstos como cambios esperados en el entorno. Los miembros de este comité deben tener recursos para identificar riesgos externos emergentes (y mantener un pensamiento “out of the box”). 3- proveer de recomendaciones a la junta ejecutiva con respecto a las prácticas de negocios y las actividades de ERM. En este aspecto, tienen un papel de consultores sobre las mejores prácticas para administrar el programa de ERM, las técnicas para mitigar riesgos, implementación de medidas de prevención de pérdidas. Es decir, toma las responsabilidades (y la autoridad) de la alta dirección en ERM para un mejor seguimiento y reporte a todos los stakeholders. La alta dirección queda a cargo de establecer las estrategias, pero debe entender los riesgos inherentes a las mismas y recibir cuestiones escaladas. Su principal responsabilidad entonces es construir una cultura de riesgos dentro de la organización, con un enfoque educativo e integrando prácticas. Busca así evitar un comportamiento disfuncional que tienda a absorber riesgos excesivos. Cuando el comité de auditoría tiene el tiempo, el apoyo y las habilidades necesarias, estas funciones pueden ser llevadas por ellos. En ciertas industrias, la complejidad puede requerir un comité por separado; o bien cuando el comité de auditoria se centra solamente en compliance sobre temas que tienen impacto contable. Adicionalmente, hay aspectos regulatorios que pueden pedir un comité por separado, por ejemplo, la ley Dodd- Frank para bancos cotizantes con más de 10b USD en activos o empresas no bancarias supervisas por la Reserva Federal (ING, GMAC). La separación de funciones es positiva en empresas complejas desde lo financiero, que tienen ambientes cambiantes (IT), o ante cambios de entornos (crisis de crédito/liquidez, mercados). Los comités de riesgos pueden regionalizarse para luego consolidarse globalmente. También estas funciones pueden ser llevadas por un grupo de trabajo menos formalizado y dentro del “C-suits”. Este grupo ayudará a sustentar los esfuerzos del Chief Risk Officer o el líder en ERM. En la encuesta de Protiviti publicada por COSO en Diciembre de 2010, el 71% de los directores indicó que el comité ejecutivo no estaba llevando a cabo un análisis maduro y robusto para monitorear el proceso de detección de riesgos (a pesar de la atención a este tema en los últimos 10 años). Si bien muchos reciben un resúmen de los riesgos claves por unidad de negocio, en general les falta el análisis de escenarios sobre el impacto de cambios externos, las excepciones a las políticas de riesgos, cambios en riesgos inherentes, y el reporte de los planes de mitigación. Este Comité también debiera mantener un diálogo para establecer el apetito de riesgos de la organización (y formalizarlo en su propia política de gestión de riesgos). Especialmente debe establecer los supuestos para determinar este apetito, en términos de articular los criterios establecidos para crecer en los mercados a partir de estrategias regionales, la evaluación de riesgos reputacionales, los límites de inversión, de nivel de deuda, de rating crediticio y de liquidez deseados. La cultura organizacional tiene un alto impacto al establecer el apetito de riesgo. Sorprendentemente a pesar de su importancia, el concepto de apetito de riesgos no está mencionado en la ISO 31.000 (aunque si en otras ISOs). También debiera participar en los programas de incentivos. ¿Quiénes pueden implementarlo? 11
  • 12. Desde hace mucho tiempo, los ingenieros en geología descubrieron que poner pernos y cables de fuerza reforzaba las aberturas y los pasajes en las minas para compensar la presión de las rocas. Estos ingenieros detallaron la densidad y el modo de sujetar los cables para mantener la mina segura y evitar un colapso. Con el tiempo, quienes debían ponerlos se dieron cuenta que podían espaciarlos, llevarse su salario con un premio “productividad” y dejar un falso sentido de seguridad. Centímetro a centímetro, esta práctica termina con el colapso de la mina. Sobran ejemplos sobre la generación de riesgos no aceptados por un correcto sistema de incentivos. El interés personal es un fuerte motivador sobre la forma que los empleados toman decisiones. En términos de riesgos, los incentivos son el factor más determinante para que se tomen las alternativas más alienadas a las estrategias corporativas. En un mundo perfecto, premiamos a los gerentes que minimizan la exposición a riesgos de la compañía. ¿Si tenemos un gerente que baja las pérdidas, no debemos reconocerlo? ¿Premiamos por bajar índices de siniestros o pérdidas? En la práctica, es frecuente encontrar que los premios y los castigos no son simétricos (premiamos mucho y castigamos poco). No es tanto el problema el pagar bonos, sino el hecho de no penalizar las malas conductas. ¿Hay simetría para un trader entre un bono suculento o ser despedido para encontrar un nuevo trabajo en días? En estas últimas décadas, hemos visto que la compensación de los gerentes se basa mayormente sobre ganancias, pero ¿incentivamos a nuestros gerentes a “hacer lo correcto”? ¿Incentivamos el cumplimiento de objetivos de control así como los financieros? Hemos visto especialmente con la crisis financiera de 2008 que los programas de incentivos contribuyeron fuertemente a que las decisiones sobre riesgos no sean ni prudentes ni se basen en el largo plazo. Los incentivos para todos los niveles deben basarse en las acciones para cumplir las estrategias dentro de un apetito de riesgo. No incluir estos aspectos genera un mal mensaje a los empleados: la compañía no valora el riesgo. Es muy difícil convencer a la organización a limitar sus riesgos (especialmente en los auges económicos), y más aún cuando solamente premiamos rentabilidades. Los traders se ven como centro de ganancias y los gerentes de riesgos como centros de costos. Hemos visto gerentes buscando obtener un gran impacto en resultados para ascender, y no en proyectar sus carreras en 40 años. Con la rotación actual, muchos gerentes de línea están pensando en planes a corto plazo. Por otro lado, no podemos perder la motivación de nuestros gerentes en sus aspiraciones económicas (de hecho, es el tipo de personalidad alpha que busca resultados que se busca). En un ambiente donde se busca ser más rico, no es sorprendente que riesgo pase a segundo lado a menos que se refuerce desde la alta dirección. ¿No deberíamos ajustar los incentivos para que no solo cubran los resultados del ejercicio pasado para que incluyan años subsecuentes? A pesar de varias experiencias recientes, no tenemos un estudio claro de que tipo de incentivos crea una mejor cultura de riesgos. Cuando cayó Bear Stearns, los empleados tenían un tercio de la empresa por incentivos, y poco valió para evitar su colapso. Sin embargo, la evidencia indica que debemos incentivar una cultura de riesgos a largo plazo. Los incentivos deben cambiar de orientarse al crecimiento y la rentabilidad, a la protección de los activos a largo plazo. Un buen comienzo es el diferimiento progresivo de los bonos (las clawback provisions, que pasaron de 10 a 86 empresas del Fortune 100 desde el 2006, en cierta forma también las stock options). Una alternativa es generar una evaluación de riesgos sobre cada bono (o promoción). Luego, se puede ya implementar un esquema de compensaciones ajustadas al riesgo, es decir, ajustadas a las expectativas del riesgo para los inversores, ajustando la voltalidad (por ejemplo en seguros médicos, ajustando actuarialmente los beneficios por incorporar asegurados con más o menos riesgos que el promedio de cada producto; en general se relativizan los incentivos contra una benchmark/apetito de los inversores). 12
  • 13. Ningún estándar o política por si solas modifican las conductas. Una herramienta valiosa para generar una cultura de riesgos son las revisiones de auditoría sobre riesgos. Permiten verificar el cumplimiento de los planes de acción, el diseño de controles (procedimientos), la validez de los datos que usamos, y en general, sobre como hemos adoptado la política de ERM. Este concepto va más allá del monitoreo de riesgos entendido por los cambios en las frecuencias o los impactos. Incluye también que tan efectivos hemos sido en la aplicación de recursos (personas, sistemas, inversiones en planes de acción), el nivel de documentación, actuación de los comités, la adecuación de los modelos, etc. Básicamente si estamos reportando todos los riesgos. ERM debe ser tan auditable para una organización como cualquiera de sus líneas de negocios. Tanto auditoría interna como externa, no llegan a cubrir el 20% del inventario de riesgos en su trabajo anual (Risk Oversight). Es relevante entonces verificar que el proceso que detecta el 100% de los riesgos es efectivo, más que auditar riesgos puntuales. La incorporación de ERM en auditoría aún requiere mayores esfuerzos. Además, auditoria puede seguir sólo algunas entidades dentro de su alcance (por ejemplo para SOX). Quizás la evolución de la ISO 31k en estándares detallados (incluyendo la definición de apetito) y certificables, más que en principios generales, de un mayor papel a esta auditoria. ISO 31004: Risk management – Guidance for the implementation of ISO 31000 planeada para el 2013 (“guia de la guia”). Quien debe auditar el modelo no es el área responsable de ERM, sino una unidad independiente (generalmente auditoría interna o un consultor). 13
  • 14. Estos desafíos no constituyen impedimentos para implementar un buen sistema de ERM, sino que en realidad, constituyen los casos donde brinda mayor valor. Los negocios en ambientes que cambian rápido son excitantes y generan innovación (especialmente industrias de alto crecimiento), pero también generan presiones a nuestro ERM en cuanto a el cumplimiento de metas financieras más allá de los medios reales en personas y tecnología. También generan una tendencia a que la información fluya solo hacia abajo, sin poder reconocer los obstáculos y los peligros que enfrentan las personas en operaciones. Esto impide además estabilizar controles tradicionales, y no podemos analizar escenarios al carecer de información interna. La cultura es siempre más lenta de cambiar que los negocios (cambiar lo que hacemos es más fácil que cambiar lo que creemos). Solución: más frecuencia de actualización. Cuando el sistema de información es limitado (falta de integración entre sistemas, inconsistencias, sin validaciones), la exposición al riesgo crece. Es una situación, por ejemplo, al gestionar productos o proyectos complejos, donde pocas personas entienden sus transacciones, y aún menos como se controlan. La diversidad de transacciones o disponer de poco tiempo hace que los gestores no puedan analizar adecuadamente riesgos. En este ambiente, podemos capturar riesgos relevantes, pero perdiendo los riesgos menores. También son sistemas que capturan información cuantitativa del riesgo, pero pierden la cualitativa. Solución: métricas simples. Los gerentes a nivel local y operativo pueden tomar decisiones sin conocer las estrategias definidas por la alta dirección, y esto puede hacerles asumir altas exposiciones. Las empresas descentralizadas generalmente carecen de canales de información y responsabilidades bien definidas. De esta forma, no hay una clara comunicación de que acciones están “fuera de juego”. En estos casos, debemos fomentar una cultura igualitaria (escuchar a todos) antes que individualista. Nadie puede gestionar un riesgo en forma aislada. Solución: debemos considerar aquí descentralizar el equipo de ERM pero manteniendo un solo registro. Debemos cambiar el enfoque que distintos riesgos tienen distintos tratamientos y se gestionan “caso por caso”, a buscar un solo estándar para integrarlo al sistema de gestión de la organización. 14
  • 15. Experiencia del CEO despidiendo a varios ejecutivos, asumiendo el riesgo de actuar erróneamente como el mayor de su carrera: ¿podría esto haber estado dentro de un registro de riesgos, en un “top 10’” de riesgos o indicado por un software? Muchas firmas pasan el 80% del tiempo recolectando datos y sólo el 20% analizándolos, y además repiten este proceso periodo a periodo. Además tendemos a poner esta información para analizar en un mapa de calor con Poisson en frecuencia, logarítmica normal en impacto, y donde verde es bueno, rojo es malo y amarillo es algo como indiferente. ¿Cómo llegamos a rankear en alto, medio o bajo? Cuando preguntamos como llegamos a estos mapas vemos que la integridad de la información es muy parcial y genérica. ¿Cuáles son los riesgos claves en nuestra taxonomía? ¿Qué tan granular debe ser nuestra taxonomía? Para responderlo también necesitamos varias iteraciones en la generación de datos (por ejemplo, analizar los resultados de los CRSA por 3 períodos según lo que indica la experiencia). El principal desafío (y punto de inicio para integrar un GRC) es llegar a una taxonomía común que sirva a todos los grupos de interés (auditoría, riesgos, compliance, sistemas, legales, reporte a reguladores…). Esta taxonomía común permite aplicar la “risk intelligence” para reducir controles innecesarios, detectar correlación de riesgos y distinguir datos relevantes. Tener buena información es clave para la identificación de riesgos. Al comenzar a implementar cada ciclo de estudio de riesgos, comenzamos viendo información histórica como partida, y luego pensamos en los planes a futuro, tendencias y la evolución esperada de los temas abiertos. Un buen sistema de información debe moverse de ser cualitativo (subjetivo) a cuantitativo (objetivo). Cubrir otras fuentes de información para identificar riesgos (fuera de modelos, talleres o RCSAs) 15
  • 16. Conclusiones: El mundo en 1700 1- Lo conocido (Europa), eventos con alta frecuencia y bajos impactos, foco principal de los controles de supervisión. Estos son los riesgos que podemos predecir razonablemente, estandarizar un plan de acción e incluso generalmente evitar que ocurran o escalen. 2- Lo erróneamente conocido (California, Corea), riesgos operacionales y financiero, foco principal de la metodología de valuación de ERM y del monitoreo. 3- Lo que sabemos desconocemos (Australia)… y hasta podemos preferimos seguir desconociendo, foco principal de una cultura de gestión de riesgos fuerte. ¿Porqué desconocer riesgos? Por ejemplo en la experiencia de crisis actual, reconocer exposición a los riesgo crediticios limitaba los beneficios a corto plazo, requerían una fuerte acción política de la Dirección, bajaban los ratings, impiden crecer (en ciertos productos) o recortaban los incentivos. La complacencia es el principal enemigo del ERM (desconocer riesgos es al final el “moral hazard” de los rescates públicos). En general, son los riesgos que cambian nuestro modelo de negocio. 4- Lo que no sabemos que desconocemos (Antártica, Donald Rumsfeld), ej. riesgos en contagio, riesgos sorprendentes. Para ellos es generar una cultura de continuamente monitorear nuevos riesgos y vulnerabilidades. Aquí no podemos tener ninguna metodología programada y debemos confiar en el criterio de nuestros gerentes operativos y nuestro plan de gestión de crisis. Una buena cultura nos prepara mejor a enfrentar lo conocido. El 100% de nuestros riesgos, empleados y reguladores son personas; si no entendemos a las personas y su cultura, no entendemos los negocios. 16
  • 17. Bonus: La definición de riesgos puede hacerse con una herramienta llamada CASE para articular sus características: C onsequence – ¿Cúal es el impacto del riesgo? A sset – ¿Cuál/es es/son los activos en riesgos? (también los intangibles como la información o la reputación) S ource – ¿Cuáles son los actores detrás del riesgo? E vent – ¿Qué tipo particular de incidente se tiene en cuenta? Esta herramienta es útil para delimitar riesgos como “terrorismo” que en realidad comprende múltiples riesgos, ayudando a lograr un consenso sobre la caracterización (de otra forma cada cual tiene su propia percepción sobre “terrorismo”, riesgos es un continuo). No solo la frecuencia y el impacto cambian ante cada definición, sino cambien los planes de acción. 17
  • 18. 18