Principios para un Marco

Efectivo de Apetito al Riesgo

18 Noviembre 2013

Texto Traducido por ASBA

Dada la posibilidad de error humano y/o mecánico de nuestras fuentes y/o

traductoras, ASBA no garantiza la exactitud, adecuación o integridad de

cualquier información y no se hace responsable por cualesquiera errores,

omisiones, o por los resultados derivados del uso de dicha información. Las

opiniones y aseveraciones contenidas en este documento publicado de un

autor individual es de absoluta responsabilidad del mismo y no compromete la

opinión de la Asociación de Supervisores Bancarios de las Américas, de su Junta

Directiva o de la Secretaría General.

Índice

Página I. Introducción....................................................................................................................... 1

II. Definiciones Clave............................................................................................................. 2

III. Principios. .......................................................................................................................... 3

1. Marco del apetito por el riesgo........................................................................................... 3

1.1 Un RAF eficaz........................................................................................................... 4

2. Declaración del apetito por el riesgo.................................................................................. 5

2.1 Una declaración eficaz del apetito por el riesgo........................................................ 5

3. Límites de riesgo................................................................................................................. 6

3.1 Límites de riesgo........................................................................................................ 6

4. Roles y responsabilidades................................................................................................... 7

4.1 La junta directiva........................................................................................................ 8

4.2 El director general...................................................................................................... 9

4.3 El director de riesgo................................................................................................. 10

4.4 El director de finanzas............................................................................................. 10

4.5 Líderes de líneas de negocios y gestión a nivel de la entidad legal......................... 11

4.6 Auditoría interna (u otro asesor independiente)....................................................... 12

I. Introducción

Uno de los componentes clave del marco del Consejo de Estabilidad Financiera (Financial Stability

Board, por sus singlas en inglés (FSB)) y que está avalado por los Mandatarios de los G20 para reducir

el riesgo moral de las instituciones financieras que son sistémicamente importantes (SIFIs, por sus

singlas en inglés) es incrementar la intensidad y la eficacia de la supervisión. Como tal, las expectativas

de supervisión para la gestión de riesgos especialmente a nivel de las SIFIs están aumentando. El

informe1 de los avances del FSB de octubre del 2011 sobre la supervisión mejorada consideró que los

marcos sobre el apetito al riesgo (RAFs, por sus siglas en inglés) que sean ejecutables y fácilmente

medidos, tanto por las instituciones financieras como por los supervisores, aún no han sido adoptados

de forma global. También llegó a la conclusión de que el desarrollo de un RAF eficaz es importante

para las instituciones financieras y los supervisores y que requiere de la atención de ambos. El informe

recomendó que los supervisores dialoguen sobre las expectativas respecto a lo que significa un “buen”

marco sobre el apetito al riesgo y cómo realizar la supervisión en contra de estas expectativas.

Debido a estos hallazgos, el FSB lanzó una revisión por los homólogos sobre el gobierno del riesgo que

fue publicado en febrero del 2013.2 Con base en los hallazgos de la revisión, se establecieron cinco

recomendaciones, una de las cuales le solicitó al FSB que desarrollara, en colaboración con los

encargados del establecimiento de las normas, una guía sobre los elementos clave que contiene un RAF

eficaz. De igual manera el informe le recomendó al FSB que estableciera definiciones en común para

los términos que se usan en los RAFs con el objetivo de facilitar la comunicación entre los supervisores

y las instituciones financieras, así como dentro de las instituciones financieras mismas (consultar la

Sección II).

Los Principios del FSB establecen los elementos clave para: (i) un marco eficaz para el apetito por el

riesgo, (ii) una declaración eficaz para el apetito por el riesgo, (iii) límites de riesgo, y (iv) la definición

de los roles y responsabilidades de la junta directiva y la alta gerencia (consultar la Sección III). El

objetivo de los Principios es mejorar la supervisión de las SIFIs, pero también son relevantes para la

supervisión de las instituciones financieras y para los grupos generales, que incluye a las aseguradoras,

empresas de valores y otras instituciones financieras no bancarias. Para las que no son SIFIs, los

supervisores y las instituciones financieras pueden utilizar los Principios de forma proporcional de tal

manera que el RAF sea apropiado para la naturaleza, alcance y complejidad de las actividades de la

institución financiera.

Un RAF adecuado debe permitir que la capacidad para el riesgo, el apetito por el riesgo, los límites de

riesgo y el perfil de riesgo sean considerados como relevantes y dentro del contexto del grupo para las

líneas de negocios y para las entidades legales. Las subsidiarias de los grupos, particularmente las SIFIs,

deben contar con una declaración del apetito por el riesgo que vaya de acuerdo con el RAF de toda la

institución y con el apetito por el riesgo. Los elementos del RAF deberán ser aplicados a los niveles de

la línea de negocio y de la entidad legal de tal manera que vaya de acuerdo con el tamaño de las

exposiciones, complejidad e importancia de los riesgos. Las instituciones financiares, después de haber

dialogado con los supervisores y de acuerdo con sus evaluaciones internas del apetito por el riesgo,

1 http://www.financialstabilityboard.org/publications/r_111104ee.pdf. 2 http://www.financialstabilityboard.org/publications/r_130212.pdf.

capacidad de riesgo, perfil del mismo y de haber considerado el capital, liquidez y ganancias a nivel de

la institución, deberán determinar esta importancia.

Los Principios del FSB son de alto nivel para permitir que las instituciones financieras desarrollen un

RAF eficaz que sea específico para la institución y que refleje su modelo de negocio y organización y

que también permita que las instituciones financieras se adapten al entorno económico que sufre

cambios constantes y a la regulación para poder gestionar los nuevos tipos de riesgo. El establecimiento

de un RAF eficaz ayuda a reforzar una cultura de riesgo fuerte en las instituciones financieras, que a su

vez es de suma importancia para una sana gestión de riesgo. Una sana gestión de riesgo ofrece un

entorno que facilita asegurar que los riesgos que emergen y que tendrán un impacto importante sobre la

institución, así como cualquier otra actividad de toma de riesgo que sobrepase el apetito por el riesgo de

la institución, sean reconocidos, informados y abordados de forma oportuna.

Los supervisores deberán tomar las medidas para asegurar que las instituciones financieras, en

particular las SFIs, cumplan con estos Principios y deberán dialogar periódicamente con las

instituciones financieras sobre cualquier cambio que se le realice a su RAF, violaciones a los

límites de riesgo, desviaciones importantes de la declaración aprobada sobre el apetito por el riesgo,

así como cualquier otro riesgo importante que el RAF no aborde de forma adecuada. En el caso de

los grupos internacionales, los supervisores, así como los colegios de supervisión, deben dialogar y

evaluar el RAF de forma periódica.

II. Definiciones clave

A menudo las definiciones para los términos clave que se utilizan en los RAFs suelen diferir a

través de las jurisdicciones y aún entre las instituciones financieras mismas. El término “marco del

apetito por el riesgo” y sus elementos particulares pueden tener diferentes significados a través de

la industria. Para los fines de estos Principios se utilizan las siguientes definiciones, cuyo fin es

establecer una nomenclatura en común para facilitar el diálogo de los supervisores y las

instituciones sobre el apetito por el riesgo.

Marco del

apetito por el

riesgo:

Enfoque general, que incluye las políticas, procesos, controles y sistemas

mediante los cuales se estable, comunica y monitorea el apetito por el riesgo.

Incluye la declaración del apetito por el riesgo, los límites de riesgo y un

esquema de los roles y responsabilidades de los que supervisan la

implementación y el monitoreo del RAF. El RAF debe considerar los riesgos

importantes que enfrenta la institución financiera, así como los que afectan la

reputación de la institución vis-à-vis los asegurados, depositante, inversionistas y

clientes. El RAF se alinea con la estrategia de la institución.

Declaración

del apetito

por el riesgo:

La articulación en su forma escrita del nivel agregado de los tipos de riesgo que

una institución financiera está dispuesta a aceptar, o evitar, para lograr sus

objetivos del negocio. Incluye declaraciones cualitativas así como medidas

cuantitativas formuladas respecto a ganancias, capital, medidas de riesgo,

liquidez y otras medidas relevantes según sea necesario. También debe abordar

riesgos que son más difíciles de cuantificar, tales como los de reputación y

comportamiento así como los de lavado de dinero y prácticas poco éticas.

Capacidad de

riesgo:

El nivel máximo de riesgo que una institución financiera pude asumir dado su

nivel actual de recursos antes de violar las restricciones determinadas por el

capital reglamentario y las necesidades de liquidez, el ambiente operativo (e.g.

infraestructura técnica, capacidad para la gestión de riesgo, su conocimiento

experto) y obligaciones, y también desde la perspectiva del comportamiento, a

los depositantes, asegurados, accionistas, inversionistas a plazo fijo, así como a

otros clientes y actores.

Apetito por el

riesgo:3

El nivel agregado y los tipos de riesgo que una institución financiera está

dispuesta a asumir dentro de su capacidad de riesgo para lograr sus objetivos

estratégicos y plan de negocios.

3 Los términos “apetito por el riesgo”, “tolerancia al riesgo”, y “límites de riesgo”, pueden ser utilizados por los autores con significados

ligeramente diferentes; sin embargo, para claridad y simplicidad el FSB únicamente utiliza los términos apetito por el riesgo y límites de

riesgo.

Límites de riesgo:

Medidas cuantitativas con base en supuestos sobre el futuro que determinan la

declaración del apetito por el riesgo agregado de la institución financiera (e.g. la

medición de pérdidas o de eventos negativos) para las líneas de negocios,

entidades legales, conforme se requiera, las categorías específicas de riesgos, las

concentraciones y conforme sea necesario, otros niveles.

Perfil de riesgo:

Evaluación en el tiempo de las exposiciones brutas y, según sea el caso,

netas de riesgo de la institución financiera (después de tomar en cuenta

los mitigantes) que fueron agregadas dentro y a través de cada categoría

relevante de riesgo con base en los supuestos futuros,

III. Principios

1. Marco del apetito por el riesgo

El desarrollo y establecimiento de un RAF eficaz es un proceso iterativo y evolucionario que

requiere un diálogo continuo dentro de toda la institución financiera para lograr la aceptación a

través de la organización. El RAF establece el perfil de riesgo de la institución y forma parte del

proceso de desarrollo e implementación de la estrategia y determinación de la institución respecto

a los riesgos que fueron llevados a cabo en relación con la capacidad de riesgo de la institución.

Para los fines de estos Principios, el RAF no incluye los procesos para establecer la estrategia,

desarrollar el plan de negocios y los modelos y sistemas para medir y agregar riesgos.4 El RAF

debe estar alineado con el plan de negocios, el desarrollo de la estrategia, planeación de capital y

esquemas de compensación de la institución financiera. Un RAF efectivo debe proporcionar un

marco común y medidas comparables a través de la institución financiera para que la alta gerencia

y la junta puedan comunicarse, entender y evaluar los tipos y el nivel de riesgo que están

dispuestas a aceptar. De forma explícita define los límites dentro de los cuales se espera que la

gerencia opere cuando está tratando de seguir las estrategias de negocio de la institución. Las

instituciones financieras que logran implementar un RAF de la forma más eficaz son aquellas que

incluyen al marco dentro de su proceso de toma de decisiones y dentro del marco de gestión de

riesgo de toda la institución y que comunican y promueven el marco a través de la organización

iniciando desde arriba. Las instituciones financieras y los supervisores deben verificar que el

apetito por el riesgo “desde arriba hacia abajo” sea congruente con la perspectiva “de abajo hacia

arriba” mediante, por ejemplo, encuestas de los empleados, revisiones independientes e informes

internos.

La evaluación del perfil de riesgo consolidado de una institución financiera versus su apetito por el

riesgo también debe ser un proceso continuo e iterativo. Para implementar un RAF eficaz se

requiere de una combinación adecuada de políticas, procesos, controles, sistemas y procedimientos

para lograr un conjunto de objetivos.

4 Información adicional sobre estos temas se encuentra disponible por ejemplo en Principles for Sound Liquidity Risk Management

and Supervision (2008, disponible en http://www.bis.org/publ/bcbs144.htm) o Principles for Effective Risk Data Aggregation and Risk

Reporting (2013, disponible en http://www.bis.org/publ/bcbs239.htm) del Comité de Basilea.

El RAF debe lograr que la capacidad de riesgo, el apetito por el riesgo, los límites de riesgo y el

perfil de riesgo sean considerados para las líneas de negocios y las entidades legales como

relevantes y que dentro del contexto del grupo también se tome en cuenta las relaciones a través de

las entidades legales (e.g. en el caso de agrupamiento de riesgos u otras interconexiones).5 Como

tal, un RAF efectivo y eficaz debe estar muy vinculado al desarrollo de la tecnología de la

información (IT, por sus siglas en inglés) y a los sistemas gerenciales de información (MIS, por

sus siglas en inglés) en las instituciones financieras.6

Los supervisores deben ser flexibles y utilizar sus habilidades, experiencia y conocimiento de la

institución financiera en la evaluación de la suficiencia del RAF. Los supervisores pueden evaluar

la calidad de un RAF en particular mediante, por ejemplo, un diálogo con la junta y con la alta

gerencia respecto a cómo está relacionada la estrategia de la institución al RAF, así como que

impacto tuvo el apetito por el riesgo sobre las decisiones de la institución. Esto incluye una

revisión de otros materiales, tales como los documentos sobre la estrategia y planeación y los

informes de la junta, dentro del contexto de cómo la junta determina, implementa y monitorea su

apetito por el riesgo, de tal manera que se pueda asegurar que la toma de riesgo vaya de acuerdo

con la declaración de apetito por el riesgo que fue aprobada por la junta.

1.1 Un RAF eficaz debe:

a) establecer un proceso para comunicar el RAF a través y dentro de la institución

financiera así como para compartir información no confidencial con los actores

externos (e.g. accionistas, depositantes, inversionistas a plazo fijo);

b) ser impulsado tanto por el liderazgo de la junta desde arriba hacia abajo como por

el involucramiento de abajo hacia arriba de la gerencia a todos los niveles e

integrados y entendidos a través de la institución financiera;

c) facilitar la integración del apetito por el riesgo dentro de la cultura de riesgo de la

institución financiera;

d) evaluar las oportunidades para la toma de riesgos y actuar en defensa de la toma

excesiva de riesgo;

e) permitir que se use la declaración del apetito por el riesgo como una herramienta

para promover un diálogo robusto sobre el riesgo y como una base sobre la cual las

funciones de la junta, la gerencia de riesgos y auditoría interna puedan debatir y

cuestionar de forma efectiva y creíble las recomendaciones y decisiones de la

gerencia;

f) ser flexible para adaptarse a los cambios en los negocios y condiciones de mercado,

de tal manera que, sujeto a la aprobación de la alta gerencia y de la junta según sea

el caso, las oportunidades que requieren un incremento en el límite de riesgo de una

línea de negocios o de una entidad legal puedan cumplirse al mismo tiempo que se

5 Las instituciones financieras deben determinar la importancia de acuerdo con su evaluación interna del apetito por el riesgo, capacidad

de riesgo y perfil de riesgo, tomando en cuenta el capital, liquidez y ganancias a nivel de la entidad. 6 La implementación de los BCBS Principles for Effective Risk Data Aggregation and Risk Reporting facilitará la capacidad de la

institución para identificar, agregar e informar sobre los riesgos a través de toda la institución, entidad legal y niveles de categoría de

riesgos.

encuentran dentro del apetito por el riesgo concordado para toda la institución;7

g) cubrir actividades, operaciones y sistemas de la institución financiera que se

encuentran dentro de su entorno de riesgo pero que están fuera de un control

directo, que incluye a las subsidiarias y a los proveedores subcontratados externos;

y

h) ser congruente con los principios de este documento

2. Declaración del apetito por el riesgo

La declaración del apetito por el riesgo debe ser fácil de comunicar y por lo tanto fácil de entender

para todos los actores. Debe estar directamente vinculada a la estrategia de la institución financiera,

abordar los riesgos importantes de la institución tanto bajo las condiciones8 macroeconómicas y de

mercado normales como bajo estrés, e implementar términos y expectativas claras mediante el

establecimiento de límites cuantitativos y declaraciones cualitativas. Debe establecer medidas

cuantitativas de pérdidas o resultados negativos que puedan ser agregados o desagregados. Estas

medidas pueden estar expresadas en términos de ganancias, capital, liquidez en riesgo, u otras

métricas apropiadas (e.g. crecimiento, volatilidad). Las declaraciones cualitativas deben

complementar las medidas cuantitativas, establecer la tónica general del enfoque de la institución

financiera hacia la toma de riesgos; articular con claridad las motivaciones para asumir o evitar

ciertos tipos de riesgos, productos, exposiciones regionales/de país, u otras categorías. El primer

paso debe ser el establecimiento del apetito por el riesgo de toda la institución; el apetito por el

riesgo agregado debe ser asignado a las líneas de negocios de la institución financiera, a las

entidades legales conforme sea relevante, y a otros niveles de acuerdo al caso, conjuntamente

alineado a los planes estratégicos y de negocios de la institución. Esto implica sentido común y

requiere recibir información de abajo hacia arriba así como de arriba hacia abajo.

Otros ejemplos mejores de declaraciones del apetito por el riesgo incluyen una declaración

recapitulativa que sea fácil de entender para todos los accionistas y que aborde los niveles y tipos de

riesgo que la institución financiera está dispuesta a aceptar para lograr sus objetivos de negocio. No es

necesario que el apetito por el riesgo se exprese en un sólo documento; sin embargo, se debe revisar

cuidadosamente la forma en que está expresado y la manera mediante la cual varios documentos

forman un “todo coherente” para estar seguros de que la junta reciba un punto de vista del apetito por

el riesgo de la institución financiera que sea holístico pero compacto y fácil de absorber.

2.1 Una declaración eficaz del apetito por el riesgo debe:

a) incluir antecedentes de información y supuestos clave que dieron a conocer los

planes estratégicos y de negocio de la institución en el momento en que fueron

aprobados:

7 Esto se puede cumplir, por ejemplo, si se incrementa la capacidad de riesgo de la institución, si se reduce el riesgo dentro de otra línea de

negocio o de entidad legal, o si se asigna un límite de riesgo de otra línea de negocio o de entidad legal. 8 Por ejemplo, un escenario de estrés para medidas de liquidez podría incluir la capacidad para cumplir con las salidas de efectivo

esperadas debido a un evento de liquidez específico de la institución financiera que incluye la pérdida del acceso a todos los mercados

de financiamiento no garantizado por un periodo de hasta 12 meses (ver Monitoring Tools for Intraday Liquidity Management del

BCBS que se encuentra disponible en: http://www.bis.org/publ/bcbs248.pf).

b) estar vinculada a los planes estratégicos, de capital y financieros de corto y largo

plazo de la institución, así como los programas de compensación;

c) establecer la cantidad de riesgo que una institución financiera está dispuesta a

aceptar al tratar de lograr sus objetivos estratégicos y sus planes de negocio, al

mismo tiempo que toma en cuenta los intereses de sus clientes (e.g. depositantes,

asegurados) y su deber fiduciario hacia los accionistas así como el capital y otros

requerimientos reglamentarios;

d) determinar para cada riesgo importante el nivel máximo general de riesgo dentro

del cual la institución financiera está dispuesta a operar, con base en su apetito

general por el riesgo, su capacidad de riesgo y perfil del mismo;

e) incluir medidas cuantitativas que puedan traducirse en límites de riesgo que se

puedan aplicar a las líneas de negocios y entidades legales según se requiera, y a

nivel de grupo, que a su vez puedan ser agregadas o desagregadas para permitir la

medición del perfil de riesgo versus su apetito por el riesgo y su capacidad de

riesgo;

f) incluir declaraciones cualitativas que articulan de forma clara las motivaciones

para aceptar o evitar ciertos tipos de riesgo, incluyendo riesgos de reputación y de

otras conductas a través de los mercados minoristas y mayoristas, y establecer

alguna forma de límites o indicadores (e.g. medidas no cuantitativas) para permitir

el monitoreo de estos riesgos;

g) asegurase de que la estrategia y los límites de riesgo de cada una de las líneas de

negocio y de la entidad legal, conforme sea necesario, se alineen con la declaración

del apetito por el riesgo de toda la institución, según se requiera; y

h) tener una visión futurista y, donde sea necesario, estar sujeta a las pruebas de

escenarios y estrés para cerciorarse de que la institución financiera entiende cuales

son aquellos eventos que pudieran encaminar a la institución financiera fuera de su

apetito por el riesgo o su capacidad de riesgo.

3. Límites de riesgo

Para fines del apetito por el riesgo, los límites de riesgo significa la asignación de la declaración del

apetito por el riesgo agregado de la institución financiera a la línea de negocio, niveles de entidad

legal, categorías específicas de riesgo, concentraciones y, conforme sea necesario, a otros niveles.

Para poder facilitar un monitoreo y la entrega de informes que sea eficiente, los límites de riesgo

deben ser específicos y sensibles a la forma de las carteras reales, ser medibles9, de acuerdo a la

frecuencia, que se puedan informar, y que tengan como base los supuestos futuristas. Al tener límites

de riesgo que sean medibles puede evitar que la institución financiera, sin darse cuenta, se exceda en

9 Para los riesgos no cuantificables (e.g. riesgo de reputación) los límites deben ser medibles aún mediante evaluaciones cualitativas.

su capacidad de riesgo conforme cambian las condiciones de mercado y entonces los límites pueden

fungir como una forma de defensa eficaz en contra de una toma de riesgo excesiva. Al establecer sus

límites de riesgo, las instituciones financieras necesitan considerar la interacción entre los riesgos

dentro y a través de las líneas de negocios y su impacto correlacionado o compuesto sobre las

exposiciones y los resultados. Como tal, las pruebas de estrés deben realizarse a nivel de toda la

institución así como para las entidades legales y los riesgos específicos. El número de límites

seleccionado debe equilibrar la compensación entre la totalidad y los costos de monitoreo y la

eficacia. 3.1 Los límites de riesgo deben:

a) estar establecidos dentro de un nivel para limitar la toma de riesgo dentro del apetito

por el riesgo tomando en cuenta los intereses de los clientes (e.g. depositantes,

asegurados) y los accionistas, así como el capital y otros requerimientos

reglamentarios en caso de que se viole un límite de riesgo así como la posibilidad de

que cada riesgo importante ocurra;

b) estar establecidos para las líneas de negocios y entidades legales conforme se

requiera y expresados de forma general respecto a las ganancias, capital, liquidez u

otras medidas relevantes (e.g. crecimiento, volatilidad);

c) incluir concentraciones importantes de riesgo a niveles de la institución o de todo el

grupo, línea de negocio y de entidad legal según sea relevante (e.g. contraparte,

industria, país/región, tipos de colateral, producto).

d) a pesar de estar referenciados a las mejores prácticas del mercado y a los puntos de

referencia, no deben estar estrictamente basados en la comparación a los homólogos o

a un incumplimiento a los límites reglamentarios.

e) no deben ser demasiado complicados, ambiguos o subjetivos; y

f) ser monitoreados con regularidad

4. Roles y responsabilidades La junta directiva

10 debe establecer el RAF de toda la institución y aprobar la declaración del apetito

por el riesgo, que se desarrolla en colaboración con el director general (CEO), el director de riesgos

(CRO) y el director de finanzas (CFO). El CEO, CRO y CFO transforman esas expectativas en

objetivos y restricciones para que las líneas de negocios y las entidades legales las sigan.11

La

evaluación independiente del RAF de la institución financiera (i.e. por auditoría interna, un auditor

externo y/o un tercero independiente) es crítica para el monitoreo y la evaluación continua del diseño

y de la efectividad general de los controles internos, la gestión de riesgo y el gobierno de riesgo de la

institución financiera. La fortaleza de las relaciones entre la junta, el CEO, CRO, CFO, las líneas de

negocio y auditoría interna juega un papel importante en le eficacia del RAF. Como tal, es esencial

contar con mandatos y responsabilidades definidas para cada uno de estos niveles de gobierno. Las

instituciones financieras deben asignar roles y responsabilidades precisas de acuerdo con su

estructura organizacional, sin embargo la vigilancia y funciones de control (por lo general realizada

por el CEO, CRO, CFO, los líderes de las líneas de negocio y auditoría interna) siempre deben jugar

un papel importante.

Algunas instituciones financieras requieren que la alta gerencia apruebe la declaración del apetito

por el riesgo y que la junta la reciba formalmente y tome nota de la declaración por el riesgo. Sin

embargo, las juntas que aprueban la declaración del apetito por el riesgo tienden a tener un mayor

nivel de comprensión del apetito por el riesgo de la institución financiera que cuando ésta “se recibe”

o “se toma nota”. Cuando sea necesario, los supervisores deben obtener la verificación o

demostración del papel que jugó la junta en la aprobación de la declaración del apetito por el riesgo

de la institución financiera, por ejemplo mediante la revisión del acta de la junta o mediante pláticas

con los directores, para cerciorarse de que la junta no simplemente “dio el visto bueno de forma

automática” a la recomendación de la gerencia. Una junta también debe quedar satisfecha de que los

límites de riesgo en la declaración del apetito por el riesgo estén reflejados de forma apropiada en los

planes estratégicos del negocio y en los límites específicos de riesgo (e.g. para las exposiciones de

riesgo crediticio y de mercado). Los supervisores deben buscar la evidencia en los documentos de la

junta y en el acta, en los documentos de la declaración del apetito por el riesgo, métricas, informes

entregados y otras actividades, que muestren que la junta entiende cómo la gerencia interpreta el

apetito por el riesgo y los límites de riesgo

4.1 La junta directiva debe:

a) aprobar el RAF de la institución financiera en colaboración con el CEO, CRO y

10

Como se pudo observar en los Principles for Enhancing Corporate Governance del 2010 del BCBS, algunos países utilizan una

estructura de dos niveles, donde la función de supervisión de la junta es realizada por una entidad separada conocida como la junta de

supervisión, la cual no cuenta con funciones ejecutivas. Otros países utilizan una estructura de un solo nivel donde la junta juega un

papel mayor. Otros países han optado o están optando por un enfoque que desalienta o les prohíbe a los ejecutivos ser miembros de la

junta o limita su número y/o requiere que la junta y sus comités tengan como presidente a un miembro de la junta que no sea ejecutivo.

Debido a estas diferencias, este documento no prescribe una estructura específica para la junta. El término junta se refiere a la función de

vigilancia y a la función gerencial en general y deberá interpretarse a través del documente de acuerdo con la ley correspondiente dentro

de cada jurisdicción. Lo mismo aplica a los comités mencionados en este informe que podrían estar bajo el control de diferentes

funciones de la junta, por lo tanto, sujetos a la estructura de la junta y sujetos a sus tareas respectivas. Conscientes de que los diferentes

enfoques estructurales respecto al gobierno corporativo existen a través de los países, este documento promueve prácticas que pueden

fortalecer los pesos y contrapesos y el gobierno corporativo sano bajo diferentes estructuras. 11

La estructura organizacional de cada institución financiera es relevante para aquellos que van a estar involucrados, sin embargo estas tres

funciones específicas (CEO, CRO, CFO) siempre deben jugar un papel importante.

CFO, y cerciorarse de que se mantengan congruentes con la estrategia de corto y

largo plazo de la institución, los planes de negocio y capital, la capacidad de riesgo,

así como lo programas de compensación;

b) solicitar la rendición de cuentas del CEO y de otros altos ejecutivos respecto a la

integridad del RAF, incluyendo la oportuna identificación, gestión y aumento en las

violaciones respecto a los límites de riesgo y de las exposiciones importantes de

riesgo;

c) cerciorarse de que los planes anuales de negocio concuerden con el apetito por el

riesgo aprobado y que los incentivos/desincentivos estén incluidos en los programas

de compensación para facilitar el cumplimiento con el apetito por el riesgo;

d) incluir una evaluación del apetito por el riesgo dentro de sus pláticas estratégicas

respecto a fusiones, adquisiciones y crecimiento en las líneas de negocios o

productos;

e) revisar y monitorear periódicamente el perfil de riesgo real y los límites de riesgo

versus los niveles acordados (e.g. por línea de negocio, entidad legal, producto,

categoría de riesgo) incluyendo las medidas cualitativas del riesgo de

comportamiento;

f) dialogar y monitorear para cerciorarse de que las medidas adecuadas se realicen

respecto a las “violaciones” a los límites de riesgo;

g) cuestionar a la alta gerencia respecto a las actividades que están fuera de la

declaración del apetito por el riesgo, en caso de que existan;

h) obtener una evaluación independiente (mediante asesores internos, de terceros o

ambos) del diseño y de la eficacia del RAF y su alineación con las expectativas de

supervisión;

i) sentirse satisfecha de que existen mecanismos establecidos para cerciorarse de que la

alta gerencia puede actuar de forma oportuna para manejar de forma eficaz, y donde

sea necesario mitigar, las exposiciones de riesgo adversas e importantes, en particular

aquellas que están próximas a/o ya han rebasado la declaración del apetito por el

riesgo o los límites de riesgo;

j) dialogar con los supervisores sobre las decisiones respecto al establecimiento y el

monitoreo continuo del apetito por el riesgo así como los cambios importantes en los

niveles actuales del apetito por el riesgo o las expectativas reglamentarias asociadas

al apetito por el riesgo;

k) cerciorarse de que se dediquen los recursos y el conocimiento experto adecuado a la

gestión de riesgo así como a la auditoría interna con el fin de proporcionarle a la

junta y a la alta gerencia una garantía de forma independiente para que estén

convencidos de que operan dentro de un RAF aprobado, que incluye el uso de

terceros para complementar los recursos existentes donde se requieran; y

l) cerciorarse de que la gestión de riesgo cuenta con un sistema de tecnología IT y

MIS robusto y adecuado que permita la identificación, medición, evaluación y

generación de informes de riesgo de forma oportuna y precisa.

4.2 El director general debe:

a) establecer un apetito por el riesgo apropiado para la institución financiera (en

colaboración con el CRO y el CFO) que va de acuerdo con la estrategia de corto y

largo plazo de la institución, planes de negocio y capital, capacidad de riesgo, así

como con los programas de compensación y que esté alineado con las expectativas

de supervisión;

b) rendir cuentas, conjuntamente con el CRO, CFO y las líneas de negocios para la

integridad del RAF, incluyendo la identificación oportuna y aumento de las

violaciones a los límites de riesgo y de las exposiciones importantes de riesgo.

c) asegurarse, conjuntamente con el CRO y el CFO, que se convierta correctamente el

apetito por el riesgo en límites de riesgo para las líneas de negocios y entidades

legales y que las líneas de negocios y entidades legales incluyan el apetito por el

riesgo dentro de su planificación estratégica y financiera, procesos de toma de

decisiones y decisiones de compensación;

d) cerciorarse de que la declaración del apetito por el riesgo de toda la institución sea

implementada por la alta gerencia mediante declaraciones congruentes del apetito

por el riesgo o límites de riesgo específicos para las líneas de negocios y entidades

legales.

e) transmitir liderazgo al comunicar el apetito por el riesgo a los actores internos y

externos para facilitar la integración de una forma apropiada de toma de riesgos

dentro de la cultura de riesgo de la institución financiera:

f) establecer la tónica adecuada y el ejemplo correcto mediante el empoderamiento y

el apoyo que se les da al CRO y al CFO respecto a sus responsabilidades, y

eficazmente incorporar el apetito por el riesgo dentro de sus procesos de toma de

decisiones.

g) cerciorarse de que las líneas de negocios y las entidades legales tengan estipulado

un proceso adecuado para identificar, medir, monitorear e informar de forma eficaz

sobre el perfil de riesgo para establecer los límites de riesgo sobre un base

continua.;

h) dedicar suficientes recursos y competencias a la gestión de riesgo, auditoria

interna e infraestructura IT para ayudar a proporcionar una vigilancia

eficaz de cumplimiento con el RAF.

i) actuar de forma oportuna para asegurar una gestión eficaz, y donde sea necesario la

mitigación de las exposiciones de riesgo importantes, en particular aquellas que se

han acercado a, o excedido, la declaración por el riesgo y/o los límites de riesgo

que fueron aprobados; y

j) establecer una política para notificar a la junta y al supervisor sobre violaciones

importantes a los límites de riesgo y a exposiciones importantes e inesperadas.

4.3 El director de riesgos debe:

a) desarrollar un apetito por el riesgo adecuado a la institución financiera (en

colaboración con el CEO y el CFO) que cumpla con las necesidades de la

institución y que esté alineado con las expectativas de supervisión:

b) obtener la aprobación de la junta del apetito por el riesgo aprobado e informar de

forma periódica a la junta sobre el perfil de riesgo de la institución financiera

respecto al apetito por el riesgo;

c) activamente monitorear el perfil de riesgo de la institución financiera respecto a su

apetito por el riesgo, estrategia, planes de negocio y capital, capacidad de riesgo,

así como los programas de compensación:

d) establecer un proceso para la entrega de informes sobre el riesgo y sobre la

alineación (u otros aspectos) del apetito por el riesgo y el perfil de riesgo con la

cultura de riesgo de la institución;

e) cerciorarse de la integridad de las técnicas de medición de riesgo y del MIS que

son utilizadas para monitorear el perfil de riesgo de la institución financiera

respecto a su apetito por el riesgo;

f) establecer y aprobar, en colaboración con el CEO y el CFO, límites de riesgo

apropiados para las líneas de negocios y las entidades legales que sean prudentes y

congruentes con la declaración del apetito por el riesgo de la institución financiera;

g) monitorear de forma independiente los límites de riesgo de las líneas de negocios y

entidades legales y el perfil de riesgo agregado de la institución financiera para

asegurarse de que siguen siendo congruentes con el apetito por el riesgo de la

institución;

h) actuar de forma oportuna para garantizar una gestión eficaz, y donde sea necesario,

la mitigación de exposiciones de riesgo importantes, en particular aquellas que

están cerca de o que exceden el apetito por el riesgo aprobado y/o los límites de

riesgo; y

i) enviar puntualmente a la junta y al CEO cualquier violación importante a los

límites de riesgo que ponga en peligro a la institución financiera de exceder su

apetito por el riesgo y, en particular, de poner en riesgo la condición financiera de

la institución financiera.

4.4 El director de finanzas debe:

a) desarrollar un apetito por el riesgo adecuado para la institución financiera (en

colaboración con el CEO y el CRO) que vaya de acuerdo con la estrategia de

negocios de corto y largo plazo, los planes de negocio y capital, la capacidad de

riesgo así como con los programas de compensación.

b) integrar el apetito por el riesgo dentro de los procesos de compensación y de toma

de decisiones (en colaboración con el CEO y el CRO), incluyendo la planificación

de negocios, nuevos productos, fusiones y adquisiciones y procesos de evaluación

de riesgo y de gestión de capital.

c) trabajar eficazmente con el CRO y el CEO para establecer, monitorear y generar

informes sobre el cumplimiento con los límites de riesgo que aplican.

d) actuar oportunamente para garantizar una gestión eficaz, y donde sea necesario

mitigar, las exposiciones de riesgo importantes, en particular aquellas que están

próximas a o que ya han rebasado el apetito de riesgo aprobado y/o los límites de

riesgo dentro de la función del CFO; y

e) enviar puntualmente al CEO y a la junta (en caso necesario) las violaciones a los

límites de riesgo y exposiciones importantes de riesgo que podrían poner en peligro

la situación financiera de la institución.

4.5 Los líderes de las líneas de negocios y la gerencia a nivel legal deben:

a) rendir cuentas sobre la gestión eficaz de riesgo dentro de sus unidades de negocios

y entidades legales.

b) cerciorarse del alineamiento entre el apetito por el riesgo y los procesos de

planificación, compensación y toma de decisiones de la unidad de negocios y la

entidad legal;12

c) integrar la declaración del apetito por el riesgo y los límites de riesgo dentro de sus

actividades para incluir la toma de riesgo prudente dentro de la cultura de riesgo y

la gestión de riesgo cotidiana de la institución;

d) establecer y de forma activa monitorear el cumplimiento con los límites de riesgo

aprobados;

e) cooperar con el CRO y la función de gestión de riesgo y no interferir con sus

obligaciones independientes.

f) implementar controles y procesos para poder identificar, monitorear e informar

eficazmente en contra de los límites de riesgo asignados;

g) actuar de forma oportuna para asegurar la gestión eficaz, y donde sea necesario, la

mitigación de exposiciones de riesgo importantes, en particular aquellas que

12

Esto incluye, pero no está limitado a: planes de negocios estratégicos y anuales y decisiones respecto a los nuevos mercados y a los

nuevos productos y servicios modificados

rebasan el apetito por el riesgo o los límites de riesgo; y

g) enviar puntualmente las violaciones a los límites de riesgo y las exposiciones de riesgo

importantes al CRO y a la alta gerencia de forma oportuna.

4.6 Auditoría interna (u otro asesor independiente) debe13

:

a) de forma rutinaria incluir las evaluaciones del RAF de toda la institución, así como

de forma individual de las líneas de negocios y de las entidades legales.

b) identificar si las violaciones a los límites de riesgo se están identificando

adecuadamente, si se envían y se generan informes sobre las mismas y en enviar

un informe a la junta y a la alta gerencia sobre la implementación del RAF según

sea necesario;

c) evaluar de forma independiente y periódicamente el diseño y la eficacia del RAF y

su alineación con las expectativas de supervisión;

d) evaluar la eficacia de la implementación del RAF, incluyendo la vinculación con la

cultura organizacional, así como los procesos de planeación estratégica del

negocio, compensación y toma de decisiones;

e) evaluar el diseño y la eficacia de las técnicas de medición de riesgo y MIS que se

utilizan para monitorear el perfil de riesgo de la institución de acuerdo con su

apetito por el riesgo;

f) enviar un informe sobre las deficiencias importantes en el RAF y en la alineación

(o bien) del apetito por el riesgo y perfil de riesgo con la cultura de riesgo a la

junta y alta gerencia de forma oportuna; y

g) evaluar la necesidad de complementar su propia evaluación independiente con

información experta de terceros para entregar un punto de vista independiente e

integral de la eficacia del RAF.

13

Para cerciorarse de la eficacia, auditoría interna u otros asesores independientes deben realizar su trabajo de acuerdo con un conjunto de

normas profesionales mundialmente aceptadas, tales como el documento de 2012 del BCBS The Internal Audit Function in Banks y del

Chartered Institute of Internal Auditors International Standards for the Professional Practice of Internal Auditing.