Gestion Den Riesgo
Gestion Den Riesgo
Gestion Den Riesgo
2
Prólogo
Tenga en mente que la aplicación de esos conceptos variará con base en las prácticas
de su industria, el entorno regulatorio, y la madurez organizacional. Por ejemplo, en las
industrias de servicios financieros y energía, muchos de esos conceptos han sido
discutidos durante una década y por consiguiente parecen elementales; pero para
muchas otras industrias, vemos que apenas comienzan a acogerse esos conceptos.
Independiente de en qué industria esté usted, todavía aplican los conceptos
contenidos en este documento.
Administración de la empresa inteligente frente al riesgo Operando la empresa inteligente frente al reisgo™ 3
Administración de la empresa
inteligente frente al riesgo
Incorporación del riesgo en la toma de decisiones de la empresa, no como un proceso separado, aislado.
En la administración de la empresa inteligente frente al
El riesgo nunca ha sido un tema tan caliente como lo es riesgo, los ejecutivos entienden que cada acción que
hoy. En una época de extraordinaria incertidumbre y podría crear valor también conlleva el potencial de riesgo.
turbulencia, cuando los escándalos y los desastres Reconocen que la discusión de riesgo y valor no se
diariamente ocupan las primeras páginas de los diarios, puede separar, y, por consiguiente perciben al riesgo
nadie – y ninguna empresa – es inmune al impacto como un orientador de la decisión más que como una
potencial de eventos inesperados. Los ejecutivos y las consecuencia de las decisiones que se han tomado.
juntas están expresando un interés extremadamente Conociendo esto, se esfuerzan por hacer selecciones
elevado en las maneras para administrar más inteligentes frente al riesgo que exponen a la empresa
efectivamente el riesgo, y muchos están buscando formas justo a la cantidad “correcta” de riesgo que necesitan para
para abordar las preguntas clave sobre el riesgo que buscar la creación de valor. Consideran el riesgo en la
últimamente han estado en la vanguardia de su vanguardia de cada decisión que toman, tanto para
conciencia. “¿Qué tan preparada está su empresa para identificar las amenazas potenciales como para
las oportunidades y los riesgos que tienen por delante? seleccionar estratégicamente los riesgos que escogen
¿Cómo podemos encontrar lo inesperado antes que nos asumir en orden a buscar valor.
encuentre? ¿Cómo vincular de manera efectiva la
estrategia y la administración del riesgo?” Podemos pensar en por lo menos dos razones por las
cuales la administración de la empresa inteligente frente
Nosotros consideramos que los ejecutivos y las juntas al riesgo puede ayudar a llevar al siguiente nivel a los
pueden encontrar respuestas a tales preguntas mediante enfoques tradicionales de ERM. La primera es que los
practicar la administración de la empresa inteligente frente programas tradicionales de ERM a menudo son
al riesgo – un enfoque que considera al riesgo como un implementados como iniciativas aisladas, las cuales
input clave en las decisiones de liderazgo versus que pueden ser percibidas como burocráticas, pesadas y
como un resultado a ser administrado después de que temporales, más que como serias, sistemáticas y
ocurran los hechos. Quizás la mejor manera para sostenibles. De acuerdo con nuestro punto de vista, es
describir los conceptos es contrastarlos con la manera crítico que la inteligencia frente al riesgo sea “construida
como muchas compañías hoy se están acercando a la en” la manera como la organización hace negocios, no
administración del riesgo de la empresa (ERM**). “atornillada a” – lo cual significa que la administración
Muchas compañías han implementado programas de principal tiene que participar de manera significativa en el
ERM en respuesta a las exigencias de los inversionistas y programa de administración del riesgo.
de los reguladores por administración del riesgo más La segunda razón, más importante, es que integrar la
efectiva. Esos programas de ERM tienen la intención de administración del riesgo en los procesos centrales de
evaluar, monitorear, y documentar los riesgos de la toma de decisiones de la empresa pone a la organización
organización, ofreciendo algún grado de estructura a lo en una posición proactiva, no reactiva, con relación a lo
que en su inicio pudo haber sido un conjunto dispar de inesperado – tanto lo indeseable como lo deseable. Los
procesos de obtención de información y mitigación del ejecutivos que hacen del riesgo un factor de sus
riesgo. Pero si bien un programa de ERM puede ayudar a decisiones como una cosa natural tienen menos
que la empresa organice de mejor manera sus probabilidades de ser sorprendidos por las amenazas y
actividades relacionadas con el riesgo, no es, por sí las oportunidades, y la empresa cuyos líderes revisan sus
mismo, suficiente para incorporar una consideración opciones por adelantado estarán mejor preparados para
atenta, sostenible, del riesgo en el proceso de toma de responder de manera efectiva a ambos.
decisiones clave de la organización.
Mediante “construir en” más que “atornillar a”, la
La administración de la empresa inteligente frente al administración de la empresa inteligente frente al riesgo
riesgo, a diferencia de muchos enfoques de las le permite a la organización que tenga tanto más
compañías frente a ERM, trata la administración del capacidad de recuperación al enfrentar la adversidad,
riesgo como parte integral de la estrategia y operaciones como más agilidad en buscar la oportunidad.
** ERM = Enterprise risk management = administración del riesgo de la empresa (N del t).
4
Construya a partir de lo que usted ya tiene
Para la mayoría de las organizaciones la buena noticia es que probablemente ya tienen en funcionamiento
muchos de los elementos de la administración de la empresa inteligente frente al riesgo. El camino a seguir
debe ser mucho más un asunto de construir en lo que actualmente existe que iniciar a partir de cero. Por
esta razón, pensamos que es importante que las organizaciones hagan un inventario de sus capacidades de
administración del riesgo, antes de hacer cambios o inversiones importantes en administración del riesgo.
Cuando realice tal valoración, es vital entender no solo dónde actualmente se encuentra su empresa, sino a
dónde quiere y necesita ir a partir de la perspectiva de la administración del riesgo – lo cual, muy importante,
puede no siempre estar en lo muy alto de la pila. Las diferentes áreas de riesgo difieren en importancia de
industria a industria, e incluso de compañía a compañía dentro de la misma industria. Por consiguiente, para
la administración del riesgo no siempre es necesario mantener capacidades de primera categoría con
relación a cada aspecto posible de riesgo. El desafío es entender exactamente en cuales áreas “suficiente
bueno” realmente es suficientemente bueno – y en cuáles áreas la empresa realmente necesita capacidades
de primera categoría para satisfacer las expectativas que sobre la administración del riesgo tienen los
stakeholders.
Una forma de entender mejor tanto dónde está usted y dónde “debe” estar es evaluar las capacidades de
administración del riesgo de su organización contra un modelo de maduración tal como el modelo de
maduración de la inteligencia frente al riesgo, de Deloitte (Figura 1). Para los líderes, la valoración contra tal
modelo de maduración puede ser una forma útil para enmarcar la discusión de qué tipos de iniciativas buscar
en las diversas áreas de riesgo, así como qué tantos de los recursos limitados de la organización invertir en
cada iniciativa.
Ef? ciency
Inteligente frente
al riesgo
Integrada
Desde arriba hacia
Inicial Fragmentada abajo
Representative attributes
• Ad hoc / caótica • El riesgo es definido de • Identificado el universo del • Actividades de administración • Incorporada la discusión del
• Depende manera diferente en los riesgo del riesgo coordinadas a riesgo en planeación estratégica,
principalmente del diferentes niveles y en las • Desarrollado y adoptado un través de las áreas de negocio asignación de capital, desarrollo
heroísmo, las diferentes partes de la enfoque de • Desarrolladas y comunicadas de producto, etc.
capacidades y la organización valoración/respuesta común herramientas de análisis del • Sistema de alarmas
visión verbal de • El riesgo es administrado en frente al riesgo riesgo • Incorporada la discusión del
las personas islas • Realizada valoración del • Monitoreo, medición y riesgo en planeación
• Centro de atención limitado riesgo a nivel de toda la presentación de reportes estratégica, asignación de
puesto en los vínculos entre organización sobre el riesgo de la empresa capital, desarrollo de producto,
los riesgos • Planes de acción • Planeación por escenarios etc.
• Alineación limitada del implementados en respuesta • Identificados y explotados los • Sistema de alarmas tempranas
riesgo con las estrategias a los riesgos de prioridad alta riesgos de oportunidad para notificar a la junta y a la
• Funciones dispares de • Comunicación de los • Proceso continuo de administración frente a los
monitoreo y presentación de principales riesgos valoración del riesgo umbrales de riesgo establecidos
reportes estratégicos al equipo de • Vínculo entre medidas de
administración principal desempeño e incentivos
• Modelación del riesgo
Administración de la empresa inteligente frente al riesgo Operando la empresa inteligente frente al reisgo™ 5
Los jugadores
1 En el original: 'C-Suite' = Sala D = sala directiva, comprende los directivos y sus asesores (N del t).
6
de riesgo de la empresa y/o a la junta de directores
según sea necesario. Debe asumir el liderazgo en la
discusión del riesgo con los otros ejecutivos de la
sala-D para identificar las interacciones de los Figura 2. La empresa inteligente frente al riesgo
riesgos potenciales y su impacto en la organización.
Sin embargo, recomendamos que no sea
directamente responsable por la administración del
riesgo o por la supervisión de las funciones de
Vigilancia
administración del riesgo de la organización, lo cual Gobierno del riesgo Junta de directores
So
gia
ste
ate
riesgo de la organización más que a desafiarlas
nim
tr
es
constructivamente. El rol del ejecutivo de riesgo jefe
ien
de
to
Infraestructura común
ue
es mucho más el de un coordinador que el de un
ym
Infraestructura del riesgo
eg
Administración ejecutiva
y administración del riesgo
ejo
pli
contralor, sirviendo como un centro de distribución y
es
ram
Gente Procesos Tecnología
yd
como una cámara de compensación para la
ien
llo
to
rro
información sobre el riesgo de la empresa,
co
sa
nti
De
proporcionando respaldo a las decisiones de la
nu
Procesos del riesgo
o
administración ejecutiva y de los otros líderes de Identifique Valore y Integre Responda
Diseñe,
implemente y
Monitoree,
asegure y Unidades
los evalúe los los a los
negocio, y facilitando el diálogo a través de la Vigilancia del riesgo riesgos riesgos riesgos riesgos
pruebe los escale de negocio
controles
y funciones
empresa. Clases del riesgo de apoyo
Administración de la empresa inteligente frente al riesgo Operando la empresa inteligente frente al reisgo™ 7
Los procesos
8
Establezca guías de alto nivel
El primer paso hacia la administración de la empresa Defina el apetito que por el riesgo tiene la empresa
inteligente frente al riesgo es establecer guías de alto
nivel sobre cómo las personas de toda la organización Es el actual “estado del arte.” El apetito por el riesgo
deben identificar, evaluar y comunicar acerca del traslada la filosofía del riesgo en guías específicas
riesgo. Desarrollar un conjunto común de estándares para el nivel de riesgo que los líderes consideran
para la identificación y medición del riesgo les permite aceptable para la empresa. La declaración del apetito
hacer las necesarias comparaciones manzanas-con- por el riesgo puede incluir los elementos cuantitativos,
manzanas para obtener un punto de vista coherente así como también cualitativos, claramente descritos,
sobre el riesgo a través de toda la empresa. También que el liderazgo considera importantes (vea el
hace más fácil que los diferentes grupos de la recuadro, “Muestra de elementos del apetito por el
empresa discutan el riesgo unos con otros y con el riesgo”). Desarrollado por la administración y
liderazgo, de manera que riesgo “alto,” “medio,” y ratificado por la junta, el apetito por el riesgo sirve
“bajo” signifique el mismo nivel de riesgo sea que se como el estándar fundamental por el cual todos los
relacione con tecnología de la información, talento, riesgos de la empresa son juzgados como aceptables
cadena de suministro, impuestos, o cualquier otra o inaceptables.
área del negocio.
Muestra de elementos del apetito por el riesgo
Establecer guías consistentes para la discusión y
medición del riesgo es un esfuerzo de múltiples • Ventas, generales y administrativos (SG&A2):
Dispuestos a invertir hasta $100 millones en SG&A
partes. De acuerdo con nuestro punto de vista, los para lograr las metas de crecimiento en los ingresos
líderes pueden dar los siguientes pasos para ordinarios.
establecer guías generales para el tratamiento del
riesgo de la empresa: • Retorno sobre el capital empleado (ROCE3):
Dispuestos a aceptar una reducción de hasta el 20
Establezca la filosofía del riesgo de la empresa: por ciento en el ROCE objetivo para lograr las
metas.
La administración y la junta deben desarrollar una • Reputación: Solamente estamos dispuestos a
declaración sobre la filosofía del riesgo, que describa, soportar una atención adversa mínima, de corto
en términos amplios, el grado en el cual la empresa plazo, de los medios de comunicación locales, que
buscará, tolerará y/o evitará el riesgo en la búsqueda pueda ser rápidamente contenida.
2 SGA = selling, general, and administrative = ventas, generales y administrativos, se refiere a los gastos/desembolsos relacionados
con ello (N del t).
3 ROCE = Return on capital employed = retorno sobre el capital empleado (N del t).
Administración de la empresa inteligente frente al riesgo Operando la empresa inteligente frente al reisgo™ 9
Defina las tolerancias frente al riesgo
Los criterios de riesgo definidos
Una vez que se define el apetito por el riesgo, la
Impacto: “Impacto,” o “riesgo inherente,” se refiere a
la extensión en la cual un evento de riesgo afectaría la administración define entonces las tolerancias
empresa (e.g. efectos financieros, reputacionales, de específicas frente al riesgo, también conocidas como
clientes o de otro tipo) en ausencia de cualesquiera objetivos de riesgo o límites de riesgo, que expresan
acciones que la compañía pueda realizar para abordar el umbral específico del nivel del riesgo por incidente
sus efectos en el negocio. en términos que los tomadores de decisiones puedan
usar como guía respecto de cuáles riesgos pueden o
Vulnerabilidad: “Vulnerabilidad,” o “riesgo residual,”
no asumir. Por ejemplo, en la realización de una
se refiere a la extensión en la cual un evento de riesgo
adquisición, la tolerancia por el riesgo puede ser
afectaría la empresa, teniendo en consideración todos
los esfuerzos actuales de la compañía para abordar el definida como el umbral para detener las pérdidas de
riesgo. un valor especificado. Para el cumplimiento con leyes
y regulaciones puede ser cero tolerancia para el
Velocidad de inicio: La “velocidad de inicio” se refiere asumir riesgo.
al tiempo que un evento de riesgo toma para
manifestarse (e.g., el tiempo que transcurre entre la Defina el criterio para la valoración del riesgo.
ocurrencia de un evento y el momento en el cual la
compañía por primera vez siente sus efectos). Usando como guía el apetito por el riesgo, los líderes
deben establecer estándares comunes para la
evaluación del riesgo en tres dimensiones: el impacto
de un evento de riesgo (también conocido como
“riesgo inherente”), la vulnerabilidad que frente al
evento tiene la organización (también conocida como
“riesgo residual”), y la velocidad de inicio del evento
(vea el recuadro, “Los criterios de riesgo definidos”).
Para todas las tres dimensiones se deben establecer
parámetros estándar para la empresa, respecto de lo
que se consideraría “alto,” “bajo,” y “medio.” Esos
parámetros pueden ser usados luego por los
diversos grupos de la organización para valorar los
riesgos de su área, así como también a nivel de la
empresa.
10
Desarrolle una estrategia
inteligente al riesgo
Desarrollo y despliegue de la estrategia Las decisiones estratégicas ocurren fuera del establecimiento de la estrategia,
también
Quién: La administración ejecutiva y la junta de directores.
Las decisiones que tocan la estrategia se toman en muchos otros lugares y en
Cuándo: Durante cada ciclo de planeación estratégica; a ser muchos otros tiempos que solo en el ciclo anual de establecimiento de la estrategia.
Las decisiones respecto de si buscar una fusión o una adquisición, cuáles productos
revisado regularmente en la medida en que cambien los o servicios desarrollar, en cuáles mercados entrar, qué segmentos de clientes buscar
factores del entorno del negocio (e.g., factores relacionados – todas esas decisiones y más pueden afectar profundamente, si no el centro de la
con la economía, la competencia, asuntos legales, o el estrategia misma, entonces ciertamente la efectividad de la organización en
perseguirla.
panorama de la industria).
De acuerdo con nuestro punto de vista, los líderes deben insistir en que el riesgo sea
Preguntas clave a realizar: considerado en todos los procesos de toma de decisiones en las áreas que tengan
implicaciones de negocio, tales como fusiones y adquisiciones, desarrollo de nuevo
• ¿Qué tan válidos son los supuestos centrales que subyacen producto, y estrategia de clientes y mercadeo. Todo el personal implicado en la toma
de tales decisiones debe tener un entendimiento pleno del apetito que por el riesgo
a nuestra estrategia? tiene la organización, y los líderes deben equiparlos con tolerancias frente al riesgo
que especifiquen la extensión del riesgo que es admisible incurrir en cada una de
• ¿Qué opciones estratégicas caen dentro de nuestro apetito esas áreas. Por esta vía, quienes toman decisiones reciben orientación clara sobre
por el riesgo? cómo los factores de riesgo deben darle forma a sus selecciones, y las juntas y los
ejecutivos pueden tener mayor confianza de que el riesgo está siendo factorizado de
manera apropiado en las selecciones que los administradores están realizando a
• ¿Qué riesgos tenemos que asumir o qué riesgo debe nombre de la empresa
evitarse?
Uno de los elementos centrales de la administración de la representa el punto de vista no convencional, el evento
empresa inteligente frente al riesgo es establecer una inesperado, o la circunstancia improbable; obliga a que los
estrategia inteligente frente al riesgo: una estrategia que esté líderes hagan la pregunta, “¿Qué pasa si estamos
apropiadamente informada por los riesgos asociados tanto equivocados?” Finalmente, los líderes describen las
con la selección de la estrategia (los riesgos de la estrategia) implicaciones que para la empresa tienen la tesis y la
como con su ejecución (los riesgos para la estrategia). Para antítesis, y desarrollan un enfoque unificado que sintetiza
hacer esto, pensamos que los líderes deben considerar tanto la tesis como la síntesis en un escenario de “lo mejor de
incorporar al menos dos actividades en su proceso de ambos mundos.” Idealmente, este ejercicio puede ayudarles a
establecimiento de la estrategia. líderes a identificar las opciones estratégicas y las respuestas
frente al riesgo que la organización puede perseguir según un
La primera actividad es que los líderes hagan explícitos los rango de circunstancias diferentes – sea o no que esas
supuestos en los cuales se basa la estrategia, y luego de circunstancias jueguen como se espera.
manera constructiva desafíen esos supuestos para probar su
validez. Esto es importante porque la estrategia “funcionará” Una vez que las opciones estratégicas de la compañía están
solamente en la extensión en que los supuestos que la sobre la mesa, la segunda actividad que recomendamos es
subyacen sean verdaderos. Mediante examinar la validez de que los líderes consideren las interacciones potenciales entre
su propios supuestos y creencias más fuertemente los riesgos que esas opciones pueden conllevar, tanto con
sostenidos, los líderes pueden ayudarse a identificar los relación a las selecciones estratégicas individuales como con
riesgos previamente no percibidos de la estrategia y dar los relación a las diferentes combinaciones de selecciones 4 Frederick Funston
estratégicas. (Por ejemplo, el equipo ejecutivo puede and Stephen Wagner,
pasos apropiados para mitigar esos riesgos, subirlos de nivel Surviving and
e incluir el desarrollo de estrategias alternativas que se considerar que el abastecimiento de productos provenientes Thriving in
apoyen en supuestos diferentes. de una región particular del mundo puede presentar solo Uncertainty: Creating
the Risk Intelligent
riesgo moderado para la empresa desde la perspectiva de Enterprise (Hoboken,
Una manera mediante la cual los ejecutivos y las juntas calidad y seguridad. Sin embargo, cuando ese riesgo es New Jersey: John
pueden ayudarse a desafiar sus propios supuestos básicos es Wiley & Sons, Inc.,
combinado con el posible impacto reputacional de cualquier 2010).
mediante el método conocido como la estructura Tesis- falla en la calidad y seguridad, los ejecutivos pueden decidir
Antítesis-Síntesis (TAS4). Brevemente, la estructura TAS 5 La terminología es
que el riesgo total es demasiado grande para perseguir tal tomada de Nassim
fomenta que los líderes establezcan de manera explícita los estrategia de abastecimiento). Los líderes están entonces en Nicholas Taleb, The
supuestos que subyacen a la estrategia propuesta – los posición para evaluar los riesgos asociados con cada opción Black Swan: The
Impact of the Highly
“cisnes blancos,” o los eventos y circunstancias que los estratégica, haciéndolo contra el apetito que por el riesgo Improbable (New
líderes esperan que ocurran5. Para cada supuesto, los tenga la organización, reduciendo las alternativas que caen York: Random House,
2007).
líderes deben luego establecer su antítesis – la cual es su dentro del apetito por el riesgo y descargando las que caen
opuesto exacto, o el “cisne negro.” El “cisne negro6” fuera de él. 6 Ibid.
Administración de la empresa inteligente frente al riesgo Operando la empresa inteligente frente al reisgo™ 11
Logre ser táctico con los riesgos
Identificación y valoración del riesgo El proceso de valoración del riesgo comienza con la
identificación de las personas que en la empresa
Quién: Unidades y funciones de negocio tienen conocimiento o competencias específicos en
Cuándo: Al menos trimestralmente como parte de las
relación con las áreas de riesgo que se describen en
agendas del comité de riesgos de la empresa o del
la taxonomía del riesgo de la organización. Esas
comité de administración; cuando se necesite en la
personas pueden participar en talleres o encuestas
medida en que se identifiquen nuevos riesgos
para generar una lista de los riesgos preliminares en
Preguntas clave a realizar: su área. Una herramienta que puede ayudar a las
personas a concentrarse en los riesgos específicos
• ¿Qué riesgos estamos asumiendo? es el Risk Intelligence Map [Mapa de la inteligencia
frente al riesgo], de Deloitte, el cual divide los riesgos
• ¿Qué tan preparados estamos para abordar los
en cinco clases (gobierno, estrategia y planeación,
riesgos que estamos asumiendo?
operaciones/infraestructura, cumplimiento, y
• ¿Cómo afectaría cada riesgo, si se vuelve actual, al presentación de reportes) y enumera una lista de
valor de la empresa? riesgos comunes en cada categoría.
Ningún programa de inteligencia frente al riesgo Una vez que han sido identificados los riesgos clave,
puede ir muy lejos sin un entendimiento profundo de personas seleccionadas, tales como líderes de
los riesgos específicos que enfrenta la empresa. Esta unidades de negocio, propietarios de procesos y otros
es la razón por la cual es importante la identificación y que puedan tener un conocimiento más profundo
valoración del riesgo – como una manera para que la sobre riesgos particulares, pueden valorar cada
empresa maneje el universo de los riesgos riesgo por su impacto, la vulnerabilidad de la
importantes que enfrenta, y para determinar qué tan organización frente al riesgo, y la velocidad de inicio
importante es cada riesgo para el logro de sus metas esperada del riesgo. Cuando se califica cada riesgo,
generales. es importante buscar input de personas a través de
las islas organizacionales con el fin de entender las
El proceso de identificación y valoración del riesgo muy diferentes maneras como el riesgo puede afectar
debe darse de una forma estructurada, disciplinada, la empresa. Por ejemplo, los riesgos de la cadena de
que considere el input de los administradores de línea suministro de una compañía incluye no sólo los
y de los representantes funcionales, así como riesgos directamente relacionados con la producción
también de las unidades de negocio y los líderes y el movimiento de bienes, sino también las
ejecutivos. Obtener perspectivas de las personas “en consideraciones tributarias asociadas (tanto trampas
el terreno” es un camino largo que les ayuda a los como oportunidades) que pueden tener un impacto
líderes a entender cuáles riesgos podrían tener el financiero importante en las decisiones relacionadas
impacto más importante en la organización7. con la cadena de suministro.
Dependiendo de su tamaño y complejidad, una La información obtenida en este proceso puede ser
organización puede tener varios enfoques para consolidada en un reporte que describa los riesgos
separar las actividades de la valoración del riesgo en específicos que enfrenta cada parte de la
trozos significativos, manejables. Un enfoque organización y señale la importancia de cada uno.
frecuente es que cada unidad de negocios, división, o Este reporte puede ser revisado luego por el grupo de
localización realice su propia valoración del riesgo, riesgo de la empresa y por otros líderes, los cuales
agregando luego los resultados y reportándoselos a pueden entonces agregar los riesgos a través de toda
la administración. la empresa y adicionar cualesquiera riesgos a nivel
de la empresa que puedan no ser aparentes en un
nivel más bajo.
7 El Risk Intelligence Map [Mapa de la inteligencia frente al riesgo] está disponible en http://www.deloitte.com/us/rimap.
12
Desarrolle planes de acción
Respuesta frente al riesgo Se deben establecer umbrales para cada KRI, que los
propietarios puedan usar como guías para monitorear la
Quién: Unidades y funciones de negocio; revisado por la
condición de cada riesgo. Además, se deben desarrollar
administración ejecutiva
respuestas frente al riesgo que señalen el curso de acción
Cuándo: Cada vez que se identifique un nuevo riesgo;
a tomar cuando un KRI cruce umbrales sucesivos. Esas
los planes deben ser revisados periódicamente
respuestas pueden variar desde simplemente comunicar
Preguntas clave a realizar: al nivel organizacional apropiado la condición modificada
del riesgo, hasta movilizar recursos para tratar un evento
• ¿Cómo sabremos si un riesgo es inminente? actual de riesgo. El plan de respuesta frente al riesgo
también puede incluir una descripción de los factores que
• ¿Cómo responderemos a los eventos de riesgo
contribuyen y de los enfoques para evitar cada riesgo, así
específicos?
como una orientación general sobre cómo reaccionar
• ¿Cómo podemos asignar de manera apropiada rápidamente a los eventos de riesgo con el fin de ayudar
nuestras inversiones para la administración del a controlar el daño.
riesgo?
Una manera para ayudar a aclarar cuál tipo de respuesta
Típicamente desarrollados por los propietarios del riesgo frente al riesgo puede ser apropiada para los riesgos
en las unidades y funciones de negocio, los planes de específicos es usar la herramienta conocida como tabla
respuesta frente al riesgo son los planes de acción de la MARCI (por Mitigar, Asegurar, Redesplegar e Impacto
organización para responder a los riesgos y Acumulado10), que se describe en la Figura 4. La Tabla
oportunidades que han sido determinados son MARCI parcela los riesgos en dos ejes de impacto y
importantes. Al desarrollar los planes de acción, es vulnerabilidad, y señala la velocidad de inicio de cada
importante entender los factores que contribuyen a cada riesgo mediante el tamaño de los puntos de datos.
riesgo y qué, en todo caso, puede hacerse en relación
con ellos. Los propietarios del riesgo deben examinar Los riesgos que aparecen en el cuadrante arriba a la
cuidadosamente cada riesgo para entender cómo puede derecha (Mitigar) representan los riesgos de impacto alto
afectar el negocio, así como también para determinar a los cuales la organización tiene vulnerabilidad alta –
cómo responder y quién debe participar en esa esto es, los riesgos para los cuales los esfuerzos de la
respuesta. También es importante definir de manera clara organización han sido relativamente inefectivos en
el resultado deseado de la respuesta frente al riesgo – ya mantener el riesgo en un nivel consistente con el apetito
sea que se intente reducir el impacto de un evento de que por el riesgo tiene el liderazgo. Para esos riesgos, los
riesgo, o inversamente, incurrir el riesgo en la búsqueda propietarios del riesgo deben considerar invertir recursos
de una oportunidad. en el desarrollo y diseño de controles para reducir la
exposición, así como también en rastrear el progreso de
Un paso importante en la creación de los planes de los planes de remediación.
acción es identificar los indicadores clave de riesgo
(KRIs8 ) que puedan servir como señales de la exposición Los riesgos que aparecen en el cuadrante arriba a la
de la empresa de que un riesgo particular puede estar izquierda (Aseguramiento) son riesgos de alto impacto
cambiando. En muchos casos, la compañía puede ser frente a los cuales la organización tiene vulnerabilidad
capaz de rastrear la condición de un riesgo usando los baja – esto es, los propietarios del riesgo consideran que
indicadores clave de desempeño (KPIs9) existentes; por los esfuerzos de mitigación de la organización son
ejemplo, la tasa de deserción voluntaria de una adecuados para tener el nivel de cada riesgo dentro del 8 KRIs = key risk indicators
organización, a menudo monitoreada por Recursos apetito que el liderazgo tiene por ese tipo de riesgo. Para = indicadores clave de
los riesgos que aparecen en este cuadrante, los riesgo (N del t).
Humanos como parte de sus responsabilidades de
administración del talento, puede hacer una doble función propietarios del riesgo deben ser capaces de 9 KPIs = key performance
proporcionarle a la administración seguridad razonable de indicators = indicadores
como KRI para el riesgo de talento. Otros riesgos pueden clave de desempeño
exigir el desarrollo de nuevos KRI, particularmente para que los controles para prevenir, detectar, corregir, o (N del t).
los riesgos afectados por el entorno externo; por ejemplo, escalar un riesgo continúan siendo tanto efectivos como
10 MARCI = Mitigate,
una compañía puede querer examinar los reportes de eficientes en mantener la vulnerabilidad frente a ese Assure, Redeploy, and
riesgo dentro del apetito de la compañía. Pueden usarse Cumulative Impact =
analistas y de medios de comunicación en busca de Mitigue, Asegure,
señales de que su reputación puede estar en la línea de la auditoría interna u otros procesos para validar los Redespliegue, e Impacto
aseguramientos. acumulado (N del t).
fuego.
Administración de la empresa inteligente frente al riesgo Operando la empresa inteligente frente al reisgo™ 13
Los riesgos que aparecen en el cuadrante abajo a la Finalmente, los riesgos que aparecen en el
izquierda (Redesplegar) son riesgos de bajo impacto cuadrante abajo a la derecha (Impacto acumulado)
que actualmente están siendo adecuadamente son riesgos de bajo impacto frente a los cuales la
controlados por los esfuerzos de la administración del organización tiene vulnerabilidad relativamente alta.
riesgo de la organización. Dado su impacto Puede valer la pena considerar si los riesgos que
relativamente bajo, la organización puede querer aparecen en este cuadrante podrían, en el
considerar si está gastando más que lo necesario para agregado, tener un impacto más importante en la
administrar esos riesgos, y si puede o debe organización – y, si es así, dónde el nuevo riesgo
redesplegar recursos desde los riesgos que aparecen agregado caería en la tabla MARCI. (Por ejemplo,
en este cuadrante hacia los riesgos que aparecen en una serie de riesgos de calidad puede tener un
el cuadrante Mitigar. Sin embargo, antes de tomar la impacto relativamente bajo cuando se considera
decisión de redesplegar recursos es importante individualmente, pero puede tener mayor impacto e
considerar si los riesgos que aparecen en ese importancia cuando se considera como grupo.)
cuadrante se interrelacionan con otros riesgos de una
manera más importante.
5
Aseguramiento de la muy bajo bajo 1 medio alto muy alto Mejoramiento de la
preparación mitigación del riesgo
14 6
16
7 2
3
4
17 20 5
15 8 4 19
13
21 12 13 18
Impacto potencial
9 10
11
3
1
1 2 3 4 5
Los puntos representan los
riesgos #1 - #21. Vulnerabilidad potencial
El tamaño del punto refleja la
velocidad de inicio: muy bajo bajo medio alto muy alto
14
Asuma un punto de vista en
toda la empresa
Agregación y priorización del riesgo Una vez que se desarrolla la “lista maestra”, el grupo
de riesgo de la empresa, o incluso el equipo de
Quién: Unidades/funciones de negocio y especialistas administración ejecutiva en su conjunto, puede
en administración del riesgo, el grupo de riesgo de la examinar la lista para identificar los principales
empresa, y la administración ejecutiva; revisado por la riesgos severos – dígase, los 10 principales – que
junta tengan las mayores consecuencias potenciales para
Cuándo: Regularmente (al menos trimestralmente o
la empresa, refiriéndose como guía a la estructura
dos veces al año) como parte del proceso de
seleccionada de administración del riesgo. Las juntas
administración, y en los reportes de la administración
deben supervisar el desarrollo que la administración
a la junta de directores
hace de la lista de riesgos principales.
Preguntas clave a realizar:
El grupo ejecutivo de riesgo debe revisar
• ¿Cuáles son los principales riesgos de la empresa? periódicamente la condición de los riesgos
principales, haciéndolo con base en los reportes de
• ¿Qué interacciones entre los riesgos podemos las unidades y funciones de negocio, así como
identificar? también de cualesquiera grupos especializados de
administración del riesgo. Una manera para
• ¿Qué tan importantes son esas interacciones para
consolidar esta información en un formato fácilmente
el perfil general del riesgo de la organización?
digerible es crear un sistema de presentación de
La identificación y valoración del riesgo a nivel de reportes tipo cuadro de mando que les presente a los
unidad de negocios y funcional puede generar líderes una instantánea de la información clave sobre
montañas de datos que, si bien son útiles para los cada riesgo principal, tal como los KRI asociados con
propietarios del riesgo dentro de las unidades y cada riesgo, cualesquiera cambios en los KRI desde
funciones de negocio, no necesariamente les dan a el último reporte (e.g., incremento, disminución o no-
los ejecutivos principales las luces que necesitan para cambio), y la condición de cualesquiera esfuerzos
tomar decisiones informadas sobre el riesgo a nivel de que estén en camino o planeados.
la empresa. Por ello, la información sobre el riesgo
Nosotros pensamos que todo el equipo ejecutivo
generada en los esfuerzos de identificación y
debe tener al riesgo como un elemento permanente
valoración del riesgo necesita ser revisada y
en la agenda de sus reuniones regulares. En esas
agregada, y adicionados los riesgos a nivel de
discusiones, a partir de las perspectivas del grupo de
empresa que hayan sido perdidos en las valoraciones
riesgo de la empresa, los ejecutivos pueden discutir
de las unidad de negocios y funcionales.
los principales riesgos y su condición; las
El grupo de riesgo de la empresa puede reunirse con interacciones potenciales del riesgo y su impacto; y la
los líderes de las unidades de negocio y funcionales preparación de la empresa para responder si ocurre
para revisar sus valoraciones del riesgo específicas cualquiera de los riesgos o sus interacciones. Esas
de la unidad de negocios y de la función, para discusiones son esenciales para mantener a la
identificar cualesquiera grupos de riesgos administración ejecutiva comprometida, involucrada,
relacionados que puedan volverse aparentes e informada sobre los riesgos de la organización y los
mediante el diálogo a través de las funciones y a esfuerzos de mitigación.
través de los negocios. El grupo de riesgo de la
empresa también debe identificar los riesgos de nivel
más alto que puedan surgir fuera de cualquiera de las
unidades y funciones de negocio – riesgos tales como
planeación de la sucesión y reputación organizacional
– y adicionarlos a la lista agregada de riesgos.
Administración de la empresa inteligente frente al riesgo Operando la empresa inteligente frente al reisgo™ 15
Mantenga vigilancia constante
16
Otro componente clave del monitoreo del riesgo es
Infraestructura inteligente frente al riesgo: conseguir que se lleve a cabo la
estar al corriente de los KRI que hayan sido inteligencia frente al riesgo
establecidos para riesgos específicos. De acuerdo
con nuestro punto de vista, la responsabilidad por el Para ejecutar los procesos que se describen en este documento, las organizaciones
necesitan mantener lo que nosotros llamamos una infraestructura inteligente frente
monitoreo de los KRI debe recaer en los
al riesgo: las personas correctas, procesos, y elementos de tecnología para permitir
propietarios del riesgo en las unidades y funciones la inteligencia frente al riesgo en toda la organización11.
de negocio. Se deben establecer umbrales y
procedimientos de escalonamiento que guíen a los • Personas: La meta del componente personas de la infraestructura inteligente
frente al riesgo es identificar, comprometer y desarrollar el talento necesario para
propietarios del riesgo en la presentación de
administrar el riesgo de manera efectiva, y para hacer lo que sea posible para
reportes sobre los cambios en los KRI, dirigidos a emplear ese talento para lograr los objetivos de la administración del riesgo de la
los niveles apropiados de la organización. Por organización. Una infraestructura efectiva de las personas es facilitada de mejor
ejemplo, si la organización ha identificado la tasa de manera por el entrenamiento basado-en-el-rol, compensación y recompensas
alineadas-con-el-riesgo, y una cultura de conciencia-frente-al-riesgo. Ello sostiene
deserción voluntaria como un KRI para el riesgo de la inteligencia frente al riesgo durante el largo plazo. El objetivo es ayudar a que
talento, los líderes pueden requerir que el todas las personas de la organización entiendan por qué necesitan tomar
propietario del riesgo – dígase, un administrador decisiones acerca del riesgo y qué tipo de decisiones relacionadas con el riesgo
medio en el grupo de administración del talento – necesitan tomar; darles las herramientas y el entrenamiento para tomar
decisiones inteligentes frente al riesgo; y ayudarles a que entiendan cómo pueden
que reporte las tasas de deserción voluntaria a ser recompensadas por el comportamiento inteligente frente al riesgo.
diferentes partes tal y como sigue:
• Procesos: Cuando sea aplicable y apropiado, la organización inteligente frente al
Por debajo del 5 por ciento: No se reporta riesgo tomará ventaja de los elementos comunes de los procesos con el fin de
mejorar la efectividad, eliminar redundancias y mejorar la eficiencia. También
• Entre 5 y 8 por ciento: Jefe del grupo de establecerá procesos para presionar hacia abajo un punto de vista unificado del
administración del talento riesgo – definiciones estandarizadas de riesgo, un lenguaje común sobre el
riesgo, y similares – desde los cuerpos de gobierno del riesgo hacia todas las
partes de la organización. Y también establecerá procesos para consolidar la
• Entre 8 y 10 por ciento: Director de administración
información que sobre el riesgo proviene de los diferentes grupos, compartirla de
del talento jefe manera efectiva a través de la empresa, y presentar al liderazgo un punto de
vista integrado sobre los riesgos organizacionales.
• Entre 10 y 12 por ciento: Director ejecutivo jefe
• Tecnología: En la administración del riesgo el principal rol de la tecnología es
• 12 por ciento más: Grupo de riesgo de la entregar el tipo y cantidad correctos de información a las personas correctas y de
empresa y junta de directores una manera oportuna, destilada de manera que pueda ayudarles a entender los
riesgos asociados con decisiones particulares. Para este fin, la tecnología puede
Además de recibir los reportes sobre KRI prestar soporte mediante entregar un continuo de información, de alta calidad y
confiable, a partir de operaciones dispersas; integrar información operacional,
individuales, el grupo de riesgo de la empresa debe transaccional y financiera para ayudar en la identificación y solución proactivas de
monitorear los riesgos clave de la empresa – la lista los problemas relacionados con el riesgo; y predecir, prevenir, detectar,
de los “diez principales” que se describió antes – administrar y reportar los riesgos tanto internos como externos que de otra
manera pueden amenazar la capacidad de la organización para lograr sus
para determinar su condición actual y futura
objetivos de negocio. Sin embargo, la tecnología no es, por sí misma, una varita
probable y decidir si los cambios a cualquiera de los mágica; los tres elementos: personas, procesos y tecnología, tienen que trabajar
diez riesgos principales requieren consulta con la juntos para sostener la inteligencia frente al riesgo.
junta de directores.
11
Para más sobre la infraestructura de la administración del riesgo, vea el documento de Deloitte “Creating a Risk Intelligent infrastructure” [Creación de una
estructura inteligente frente al riesgo], disponible en línea en Creating a Risk Intelligent infrastructure.
17
Epílogo
18
Nueve principios fundamentales de un programa
de Inteligencia frente al riesgo
1. En la empresa inteligente frente al riesgo, una definición común de riesgo, que aborda
tanto la preservación de valor como la creación de valor, es usada consistentemente a
través de toda la organización.
2. En la empresa inteligente frente al riesgo, una estructura común del riesgo respaldada
por estándares apropiados, es usada a través de toda la organización para administrar los
riesgos.
5. En la empresa inteligente frente al riesgo, los cuerpos de gobierno (e.g., Juntas, Comités
de Auditoría, etc.) tienen la transparencia y visibilidad apropiadas en las prácticas de
administración del riesgo de la organización a fin de descargar sus responsabilidades.
Esta publicación contiene exclusivamente información de carácter general, y Deloitte Touche Tohmatsu Limited, Deloitte Global Services Limited, Deloitte
Global Services Holdings Limited, la Verein Deloitte Touche Tohmatsu, así como sus firmas miembro y las empresas asociadas de las firmas mencionadas
(conjuntamente, la “Red Deloitte”), no pretenden, por medio de esta publicación, prestar servicios o asesoramiento en materia contable, de negocios,
financiera, de inversiones, legal, fiscal u otro tipo de servicio o asesoramiento profesional. Esta publicación no podrá sustituir a dicho asesoramiento o
servicios profesionales, ni será utilizada como base para tomar decisiones o adoptar medidas que puedan afectar a su situación financiera o a su negocio.
Antes de tomar cualquier decisión o adoptar cualquier medida que pueda afectar a su situación financiera o a su negocio, debe consultar con un asesor
profesional cualificado. Ninguna entidad de la Red Deloitte se hace responsable de las pérdidas sufridas por cualquier persona que actúe basándose en esta
publicación.