Administración de Riesgos de Negocio

Septiembre 2009

2

1. Código de Mejores Prácticas Corporativas

2. Administración de Riesgos de Negocio

Contenido

3

A iniciativa del Consejo Coordinador Empresarial se constituyó el Comité de Mejores Prácticas Corporativas (el Comité) y se elaboró un Código de Mejores Prácticas Corporativas (2006), donde se establecen recomendaciones para un mejor gobierno corporativo de las sociedades mexicanas; las cuales buscan:

• Que las sociedades amplíen la información relativa a su estructura administrativa y las funciones de sus órganos de gobierno.

• Que las sociedades cuenten con mecanismos que procuren que su información financiera sea suficiente.

• Que existan procesos que promuevan la participación y comunicación entre los consejeros.• Que existan procesos que fomenten una adecuada revelación a los accionistas.

En México

Se considera que un buen sistema de Gobierno Corporativo contengacomo principio básico la identificación y control de los riesgos aque está sujeta la sociedad.

4

La operación diaria de una sociedad es responsabilidad del equipo directivo de la misma, mientras que la labor de definir la visión estratégica y de aprobar la gestión debe ser responsabilidad del Consejo de Administración.

Para facilitar sus tareas, el Consejo se debe apoyar en órganos intermedios que

se dediquen a evaluar información y a proponer acciones en áreas específicas de relevancia para el Consejo, de manera que éste cuente con mayor información para hacer más eficiente su toma de decisiones.

Consejo de Administración

Los órganos intermedios no intervienen en la operación de la sociedad. Por ello, para poder cumplir con sus funciones, se podrán apoyar en el trabajo de las estructuras administrativas.

El Comité considera que existen cuando menos tres áreas específicas en las que el Consejo de Administración debe tomar determinaciones importantes para la sociedad, estas son:

• Evaluación y compensación• Auditoría• Finanzas y planeación

5

El Comité recomienda que exista un órgano intermedio que apoye al Consejo de Administración en la función de Auditoría, asegurándose que tanto la auditoría interna como la externa se realicen con la mayor objetividad e independencia posible, y que la información financiera sea suficiente, oportuna y refleje la posición financiera.

Para cumplir con dicha función, se podrá apoyar en las estructuras internas de la sociedad como lo es el área de Auditoría Interna y en los auditores externos.

El órgano intermedio se encargue de verificar que se observen los mecanismos establecidos para el control de los riesgos a que está sujeta la sociedad.

Función de Auditoría

6

Rol del Comité de Auditoría

• “Mientras que el trabajo del Director General y de la alta Gerencia es evaluar y gestionar la exposición al riesgo de la empresa, el Comité de Auditoría debe discutir las políticas y los lineamientos para dirigir el proceso a través del cual es manejada

• El Comité de Auditoría debe discutir sobre las principales exposiciones de riesgo financiero y los pasos que la administración ha tomado para controlar y monitorear dichas exposiciones

• El Comité de Auditoría revisa y aprueba las políticas y lineamientos, los cuales deben incluir lo siguiente:

• Estructura de gobierno y supervisión del riesgo • Identificación de riesgo• Evaluación de riesgo• Planes de acción• Actividades de control y prueba• Comunicación y entrenamiento• Monitoreo y proceso de escalamiento de decisiones• Mejora continua

• El Comité de Auditoría debe satisfacerse de que los procesos de la administración son capaces de identificar y responder a los riesgos y vulnerabilidades clave de la empresa

7

“La Auditoría Interna es una actividad independiente de asesoría, que da certidumbre de manera objetiva, diseñada para agregar valor y mejorar las operaciones de la organización.

Ayuda a la organización a cumplir sus objetivos brindando un enfoque sistemático y disciplinado para evaluar y mejorar la efectividad de la administración de riesgos, del control y de los procesos de gobierno corporativo”

Fuente: Estándares Internacionales de la Práctica Profesional de Auditoría Interna Instituto de Auditores Internos 

Rol de Auditoría Interna

8

Función de Finanzas y Planeación

El Comité recomienda que se apoye al Consejo de Administración en la función de finanzas y planeación, en especial en la identificación de los riesgos a que está sujeta la sociedad y en la evaluación de los mecanismos para controlarlos.

Los riesgos a que está sujeta la sociedad son un elemento fundamental en la planeación estratégica y para la permanencia de la inversión de los accionistas en el largo plazo, por lo que su identificación es muy importante, así como la implementación de medidas para evitar y controlar sus efectos.

9

Administración de Riesgos de Negocio

¿Porqué la administración del riesgo es un tema tan actual?

• Pérdidas inesperadas– Cambios en las preferencias de

los clientes – Alza en los precios de materias

primas – aceite, acero, energía– Cambios adversos a las leyes y

regulaciones– Seguridad tecnológica y

protección de la privacidad – Fallas del negocio / del proveedor– Tecnología obsoleta – Adquisiciones fallidas

• Regulaciones– Requisitos listados por las Bolsas – Cumplimiento de Sarbanes-Oxley– Requerimientos para reportar a

las autoridades

• Expectativas del Mercado– Accionistas– Creciente presión de las

agencias calificadoras

• Imagen Pública– Litigios altamente visibles– Creciente atención de los medios– Riesgo de reputación de las

compañías

• Gobierno Corporativo– Responsabilidades del Consejo

de Administración y el Comité de Auditoría

– Responsabilidades ejecutivas de la Administración.

– Responsabilidad de reportar los factores externos de riesgo

¿Las empresas podrían administrar mejor sus riesgos?

• Efecto en los resultados por variaciones en el precio de combustibles

• Impacto de la volatilidad del tipo de cambio o tasas de interés• Errores operacionales• Fallas en sistemas• Problemas de imagen o reputación• Proyectos de inversión fallidos• Errores en la toma de decisiones• Problemas en la ejecución de los planes estratégicos • Impacto negativo de cambios fiscales• Pérdida de información• No se alcanzan las metas u objetivos • Demandas de clientes• Cuestionamientos de las agencias calificadoras• Falta de oportunidad en la generación de información financiera

Definición de riesgo

“Es el potencial de pérdida o la disminución

de la oportunidad de ganancia causada por

factores que pueden afectar adversamente

el logro de los objetivos de la empresa”

Un enfoque para toda la entidad ayuda a ver el riesgo y la oportunidad desde un punto de vista integral

La Administración de Riesgos de Negocio:

– Optimiza oportunidades, riesgos, crecimiento y capital

– Sistemáticamente evalúa y gestiona riesgos

– Consolida riesgos y oportunidades para mejorar resultados

– Es parte integral del proceso de toma de decisiones de la gerencia

– Enriquece el Gobierno Corporativo a través de una estructura de supervisión

Definición de administración de riesgos de negocio

“La ARN es un enfoque estructurado y disciplinado que coordina estrategias, procesos, recursos humanos, tecnológicos y conocimientos con el fin de evaluar y administrar los riesgos enfrentados” Estrategia

Tecnología Conocimiento

ProcesosGente

Administración de riesgos de negocio

• Valora la capacidad de anticipar y de responder a las oportunidades del mercado, tanto como, la atención de las fallas potenciales del negocio. Esto va mas allá de ver al riesgo como “malos resultados a ser evitados”.

• Protege los activos actuales e incrementa las oportunidades de crecimiento. Se enfoca en evitar resultados negativos y en lograr resultados positivos.

• Distingue entre el “riesgo con recompensa” y el “riesgo sin recompensa”; es decir, entre aquel que puede crear valor para el negocio y aquel que es potencial de pérdidas.

El enfoque:

Proceso de administración de riesgos de negocio

“La ARN está basada en un proceso, lo que implica un enfoque sistemático para desarrollar las capacidades de Administración de Riesgos”

Diseñar / Implementar Capacidades de AR

Monitorear Desempeño de AR

Mejora Continua de las Capacidades de AR

Evaluar los Riesgosdel Negocio

• Identificar• Determinar la fuente• Medir

Establecer el proceso de ARN• Metas y Objetivos• Lenguaje común

• Estructura de supervisión

Informaciónpara la Toma

de Decisiones

Desarrollar Estrategias de AREvitar

Transferir

Retener

Aprovechar Reducir

Estrategias de administración de riesgos

RechazarAceptar

Transferir AprovecharReducirRetener Evitar

Si El riesgo es inherente en el modelo de negocio o normal para las operaciones futuras.

No •Fuera de estrategia•Ofrece recompensas

no atractivas

Dejar el riesgo – fijar nuevo precio, asegurar o planear dependiendo de los niveles de tolerancia

Incluye cualquier acción necesaria para eliminar completamente todos los elementos de la exposición a un riesgo específico

Puede incrementar la exposición y posiblemente conduzca al supuesto de riesgo adicional, mientras que al mismo tiempo se incrementa la ventaja competitiva

Requiere una contraparte independiente financieramente capaz que esté de acuerdo en aceptar el riesgo

Controlar o dispersar el riesgo

La infraestructura debe ser coherente y alineada en sus componentes:

Procesos nose alinean aestrategias

Personasno realizanprocesos

Reportes no proveen información relevante

Metodologíasno tieneninformaciónadecuada

Información no esta disponible para análisis

Sistemas eInformaciónEstructura

Estrategiasy

PolíticasProcesos Reportes de

Gestión

Modelos y Metodologías

Infraestructura de administración de riesgos

Modelo para identificar la fuente de riesgos de negocio

Riesgos del entorno

Riesgos de procesos

Riesgos de informaciónPara la toma dedecisiones

Fuentes de Incertidumbre

Incertidumbres que afectan la viabilidad de nuestro modelo de negocios

Incertidumbres que afectan la ejecución de nuestro modelo de negocios

Incertidumbres acerca de la pertinencia y confiabilidad de la información sobre la cual se basan nuestras decisiones

Modelo para identificar la fuente de riesgos de negocio

Competencia, Regulatorio, Industria, Otro

Riesgos del entorno

Riesgo Operacional

Riesgos de información para la toma de decisiones

Riesgo de Facultades

Riesgo FinancieroProcesamiento de Información /Riesgo Tecnológico

Riesgo de Integridad

Operacional Financiera Estratégica

Riesgos de procesos

IMPACTO ECONOMICOPR

OB

AB

ILID

AD

DE

OC

UR

RE

NC

IA

IMPACTO ECONOMICOPR

OB

AB

ILID

AD

DE

OC

UR

RE

NC

IA

Evaluar el costo

beneficio

Mínima prioridad

Acción urgente

Evaluarel costo

beneficio

Traduciendo el Mapa de Riesgos en acciones concretas…

Los mapas de riesgo nos ayudan a colocar todos los riesgos identificados en perspectiva. Es una herramienta indispensable en la etapa de priorización.

Mapa de riesgos

B

A

A

Pro

bab

ilid

ad d

e o

curr

en

cia

Impacto económico

Riesgo 11

Riesgo 13

Riesgo 16

Riesgo 10

Riesgo 12

Riesgo 15Riesgo 14

Riesgo 17 Riesgo 18

Riesgo 5Riesgo 4

Riesgo 2

Riesgo 7 Riesgo 6

Riesgo 20

Riesgo 19

Riesgo 8

Riesgo 3

Riesgo 1

Riesgo 9

Priorización de riesgos

Identificación de riesgos a nivel empresa y/o áreas

Sistemas Operación Cartera Contabilidad Control Interno

Recursos Humanos

Jurídico y otros

1 Alta vulnerabilidad del site de cómputo

2 No se cuenta con site alterno

5 Modificaciones al sistema sin bitácoras ni autorizaciones.

6 Falta de reportes ejecutivos automatizados

4 Lentitud de consulta en materia contable

1 Riesgo en la custodia de cheques

2 Inmovilización de fondos

3 Diferencias en saldos de sistema vs. registros de cartera

4 Riesgo de extravío o sustracción de información

4 Ausencia de controles para la validación diaria de movimientos y saldos de cartera

5 Limitaciones de recuperación de adeudos por falta de identificación / detalle

7 Omisión en cobro de intereses moratorios por diferencias en pagos

8 Demora en actualización de tasas ponderadas – cálculo manual

1 Acceso no restringido a personal ajeno

11 No se emiten estados de cuenta formales con información detallada

2 Uso limitado del sistema contable

9 Múltiples áreas a cargo de la recuperación de cheques devueltos

1 Diferencias contables no atendidas

4 Falta de programas de inducción y capacitación al personal de servicio social

8 Partidas bancarias pendientes de conciliar

3 Desfasamiento en el cierre contable

1 Insuficiente identificación y seguimiento integral de riesgos

2 Insuficiente cultura de autocontrol

3 Ausencia de políticas y guías de control corporativo

2 No hay plan integral de capacitación

1 Faltan descripciones de puestos y perfiles

5 Falta de un documento integral de facultades

9 Insuficiencias observadas en la normatividad y mecanismos

3 Ausencia de planes de carrera

4 No hay planes de reemplazo

6 Se requiere formalización de órganos de control

1 Alto volumen de asuntos por atender institucionalmente

2 Falta de control en el flujo / atención de asuntos institucionales

3 Precisar acciones administrativas en incumplimientos y dar seguimiento a su aplicación

4 Sobrecarga de trabajo

Riesgo alto

Riesgo bajo

Riesgo medio

Identificación de riesgos a nivel áreas y procesos

Capacidades para administrar el riesgo

Capacidades de la Administración de Riesgos

Val

or

de

los

Acc

ion

ista

s

Sistemático

Administración de Riesgos de

Negocio

DescendenteEspecialistaen Silos

Tribal y Heroico

• Ad-hoc / Caótico; Depende principalmente de individuos heroicos, capacidades y sabiduría verbal

• Reacción a eventos adversos por especialistas

• Roles establecidos para un pequeño grupo de riesgos

• Típicamente finanzas, seguros, cumplimiento

• Reglas establecidas por la Dirección

• Políticas, procedimientos, definición y comunicación de autoridades

• Funciones de Negocio

• Ante todo cualitativa

• Reactivo

• Respuesta integrada a eventos adversos

• Métricas de desempeño

• Rápido reporte

• Transformación cultural en proceso

• Ascendente

• Proactivo

• Construido en la toma de decisiones

• Incentivo por adaptarse a los procesos de Administración de Riesgos

• Toma Inteligente de Riesgo

• Sostenible

• “La Administración de Riesgo es tarea de todos”

1: Tribal y Heroico

2: Especialista En Silos

3: Descendente4: Sistemático 5: ARN

Riesgos No-RecompensadosRiesgos Recompensados

Capacidades para administrar el riesgo

Aseguramiento Validación periódica de los

controles y su cumplimiento Revisión objetiva de los

procesos de administración de riesgo

Aseguramiento independiente para la Administración y el Consejo de la exposición al riesgo

Organización de AR “Apoya al DR, Comité de Riesgo, a la Administración y al Consejo”

Gobierno, políticas e implementar y coordinar

Métodos de evaluación de riesgos

Medición, agrupación, reglas y herramientas para reportar

Monitorear el estatus de exposición al riesgo e informar al Consejo

Áreas de Negocio“Toma de Riesgos”

Identificación del Riesgo Auto evaluación del Riesgo Estrategias y acciones para

atender el riesgo dentro de la política

Asegurar el cumplimiento con las políticas y procedimientos de la AR

El Consejo y el Director GeneralEl Consejo tiene la responsabilidad última de todos los riesgos, pero puede

delegar responsabilidades a la alta Gerencia

Director de Riesgo y Comité de Riesgo “Monitoreo de la AR”

Políticas de riesgo, Definición del apetito y Gobierno

Roles y responsabilidades para el monitoreo del riesgo

Beneficios aportados por la ARN

Las empresas implementan el enfoque de ARN para mejorar el desempeño e incrementar el valor de mercado:

• Mejora en entendimiento de riesgos que afectan utilidades y capital

• Cuantificación de efectos de estrategias alternativas

• Prever y comunicar incertidumbres asociadas a metas de desempeño

• Administración de riesgos a costos más bajos que la competencia

Conocimiento Mejoradodel Riesgo

• Establecimiento de límites de riesgo

• Mejora en la asignación de recursos y capital

• Integración de AR con planeación estratégica

• Enfoque de portafolios a la AR

Toma de DecisionesCoordinada

• Adecuada evaluación de riesgos inherentes en transacciones

• Mayor certidumbre por procesos sistemáticos de evaluación de riesgos

• Mejora en la transparencia de riesgos e involucramiento de los accionistas

• Asumir riesgos que intimidan a la competencia

Incremento enConfianza

• La ARN se ha convertido en una responsabilidad a nivel personal de miembros del Consejo y de la alta Dirección que requiere de un enfoque integral para su implementación

• La implementación exitosa de un programa de administración de riesgos requiere una importante inversión, una adecuada planeación y una efectiva ejecución

• Un programa de administración de riesgos debe contar con un horizonte a largo plazo, pero cuidadosamente estructurado para dar un valor concreto en el mediano plazo

Factores clave de éxito

Factores clave de éxito

Para optimizar el éxito de un programa de ARN, los siguientes factores deben ser considerados:

Para optimizar el éxito de un programa de ARN, los siguientes factores deben ser considerados:

– Liderazgo ejecutivo con enfoque estratégico

– Enfocado y simple de ejecutar

– Debe ser hecho rápida y eficientemente

– Requiere un esfuerzo coordinado involucrando a toda la empresa

– Basado en los esfuerzos actuales de administración de riesgos

– Debe agregar valor y ser sostenible

Poner en marcha la ARN

Dirigir desde la alta gerencia

• Involucrar a ejecutivos clave– Crear una visión de ARN

– Establecer objetivos realistas

– Integrar en los procesos de planeación estratégica y de negocios

– Desarrollar un plan de acción

• Identificar prioridades para actuar– Identificar los riesgos y priorizarlos

– Pensar en lo impensable, prevenir sorpresas es el corazón de la AR

– Dominar los riesgos inherentes en el modelo de negocio

– Aplicar un perspectiva de riesgo a los principales eventos de cambio

Propuesta de valor de la ARN

1. Disminuir costos

• Mejorar la experiencia sobre las pérdidas

• Utilizar eficazmente los recursos para administrar el riesgo

2. Incrementar ganancias

• Habilidad para entrar en mercados “riesgosos”

• Incrementar la “velocidad de entrada” a mercados – productos, clientes, territorios

• Nuevos modelos de negocio - Convertir la experiencia en los riesgos en nuevos productos

3. Mejorar la toma de decisión, estrategias y asignación de recursos

Propuesta de valor de la ARN

4. Mejorar la administración de riesgo y su cobertura

• Responder a los riesgos y crisis

• Nivelar la limitada experiencia en administración de riesgos a lo largo de varias unidades de negocio, productos y territorios

5. Adoptar mejores prácticas corporativas y/o cumplir con el marco regulatorio

6. Satisfacer los requerimientos de la alta Dirección, el Consejo de Administración y los Accionistas

34

Contacto Alfonso Gómez agomez@dfk.com.mx 3686 2400 Ext. 1310

www.delapazcostemalle.com.mx