Riesgos Corporativos - pwc.com · Recompensas financieras del liderazgo de la Primera Línea La...

Riesgos CorporativosUn enfoque empresarial para lograr la efectividad y el crecimientoEstudio anual 2017

El fondo del asunto 4

Liderazgo de Primera Línea, éxito basado en la colaboración¿Quiénes son los Actores de la Primera Línea “Front liners”?

Una discusión a fondo 9

Tendencia: Un enfoque empresarial para lograr la efectividad y el crecimientoCómo dirigen los Actores de la Primera Línea

Recompensas financieras del liderazgo de la Primera Línea

La administración de riesgos integrada y basada en la colaboración, beneficia a todas las líneas de defensa

Importancia de una sólida cultura de riesgo

Áreas en donde ha mejorado la administración de riesgos - y en dónde no

Los CRO buscan roles más estratégicos

Madurez del riesgo cibernético

Caso de estudio

Caso de estudio MUFG: El crecimiento global conlleva mayores requisitos

Madurez de la cultura de riesgo

Medición de la madurez de la administración de riesgos

Lo que esto implica para su negocio 27

Desarrollo de un ecosistema optimizado de administración de riesgosLlamado a la acción

Poner al grupo de Directivos (C) de las empresas a trabajar

Índice

Riesgos Corporativos 2017: Metodología de investigación

Para este estudio anual de Riesgos Corporativos, PwC realizó una encuesta global en los meses previos al cierre de 2016, recopilando las respuestas de 1,581 funcionarios corporativos de 30 industrias en 80 países. Los participantes eran miembros de consejos directivos, ejecutivos de nivel C y el personal que les reporta directamente. Los puestos corporativos más representados en la encuesta fueron: el de Director de Riesgos (CRO), Director de Auditoría (CAE)/auditor general o subordinados directos, Director de Finanzas (CFO), Presidente del Comité de Auditoría y el Director General (CEO) u otro miembro del consejo directivo. La participación de ejecutivos de nivel C fue considerablemente mayor que la de la encuesta de 2016, con un incremento del 31% en CEOs y CROs. (Nota: Los puestos corporativos toman en cuenta variantes, es decir, CAE/auditor general, CRO/encargado de administración de riesgos, etc.).

Para actualizar nuestros hallazgos, obtuvimos retroalimentación de los líderes internos de PwC y de Oxford Economics, también nos entrevistamos con ejecutivos de compañías específicas de los diferentes sectores de la industria.

Las organizaciones participantes con sede en América del Norte representan el 34% de nuestra muestra, seguidas por organizaciones con sede en Europa (33%), Asia Pacífico (19%), América Latina (7%) y Medio Oriente y África (7%).

Para fines del estudio, dividimos a los participantes en seis amplios grupos: Productos y Servicios Industriales y de Consumo (CIPS), que comprenden el 40% de los participantes; Servicios Financieros (33%); Tecnología, Información, Comunicación y Entretenimiento y Medios (11%); Salud (8%); Gobierno y Sector Público (4%); Educación y No Lucrativo (2%) y los participantes de otros sectores 2%.

¡Gracias a todos los que contribuyeron con el estudio de este año!PwC | Riesgos Corporativos 2017 3

PwC | Riesgos Corporativos 2017 4

El Chief Risk Officer (CRO), o director de riesgos, es una persona que si bien pertenece a la segunda línea de defensa, tiene la capacidad de interactuar con la primera y la tercera, así como con el consejo de administración, trabajando en la generación de una cultura de administración de riesgos que permee en toda la organización.

Riesgos Corporativos muestra que en los próximos 18 meses, 57% de los CRO reportará un avance en la efectiva administración de riesgos, gracias al incremento de su participación en el proceso de planeación estratégica de la compañía.

Tecnología y otros retosHoy las organizaciones buscan que sus modelos de gestión de riesgos se soporten en tecnología para tomar mejores decisiones, establecer mejores controles y reaccionar anticipadamente ante algún posible y latente evento de ciberseguridad que comprometa su información.

Sin embargo, aún queda mucho camino por andar. De acuerdo con el estudio, sólo 9% de los participantes a nivel global tiene una muy alta o alta madurez de administración de riesgos de ciberseguridad, en tanto que 74% tiene una madurez baja o nula.

Existen tres áreas de oportunidad que hemos identificado, además de la ciberseguridad, para una administración de riesgos cada vez más eficiente: la primera es el uso de una metodología consistente de riesgos alineada con la estrategia de la operación, en donde el CRO desempeñe un papel cada vez más importante. La segunda es contar con planes flexibles para que se ajusten a todos sus riesgos emergentes de manera proactiva. La tercera es tener una línea de comunicación con los grupos de interés.

Al final, lo más importante es contar con una visión integral de la administración de riesgos, considerando todo tipo de riesgos disruptivos que afectan la estrategia de la organización, además de la tecnología, como los eventos políticos-sociales, nuevas regulaciones y brechas generacionales del personal.

IntroducciónAunque la administración de riesgos en México responde más a temas de cumplimiento que a mejores prácticas corporativas, hemos dado grandes pasos en la materia. Mientras que a nivel global sólo 13% de las empresas ha logrado involucrar a la alta gerencia y a las unidades de negocio –conocidas como la Primera Línea de Defensa–, de acuerdo con el estudio Riesgos Corporativos: un enfoque empresarial para lograr la efectividad y el crecimiento, elaborado por PwC, en México este número ronda entre el 5 y 8%.

No obstante, en la mayoría de las áreas del negocio los encargados de la administración de riesgos son los actores de segunda y tercera líneas, es decir los comités de riesgos y auditoría interna, respectivamente. Esto repercute directamente en la capacidad de resiliencia de la organización: de acuerdo con este estudio, de las empresas que sufrieron interrupciones causadas por cambios en los modelos de negocio o estrategias, 55% de los actores de primera línea señaló haberse recuperado con éxito, a diferencia del 48% de otros participantes.

Falta de integraciónUno de los principales problemas es que, por lo general, la administración de riesgos en la organización se divide en silos y no de manera integral. En este sentido, el estudio revela que las empresas que han dejado de lado los riesgos que consideran más maduros, en pos de concentrarse en otros más disruptivos, han padecido una administración de riesgos menos eficiente.

Si bien muchas de las organizaciones más maduras en nuestro país cuentan con un comité de riesgos, es cierto que, como muestra este reporte, hace falta una figura activa dentro de la empresa encargada de analizar los peligros, asignar la propiedad de las amenazas y alinear el modelo de administración de riesgos a los objetivos de la compañía.

El fondo del asuntoLiderazgo de Primera línea, éxito basado en la colaboración

Hace casi una década, desde la crisis financiera global del 2008, las secuelas obligaron a las empresas a adoptar una postura defensiva de administración de riesgos, quitando la responsabilidad a las unidades de negocios y pasándola a la Segunda Línea de defensa, a la vez que esta trataba de sobrellevar la tormenta.

Ante los nuevos retos, del complejo ambiente de riesgos de negocios, las empresas están volviendo a ver un cambio en la marea. Actualmente, un enfoque de colaboración de administración de riesgos con responsabilidades claras en la Primera línea de defensa puede ser crucial para alcanzar mayor resiliencia y crecimiento organizacional; esto requiere de una Primera Línea de defensa proactiva que tome decisiones alineadas a las estrategias. Requiere también de una Segunda Línea de defensa dinámica que influya en la toma de decisiones con cuestionamientos y consultas y colaboración oportunos. Asimismo, es importante una Tercera Línea independiente enfocada en la misión central de proteger a la organización y crear valor.


Derivado de los análisis anuales, se observa una tendencia a que las unidades de negocios y los ejecutivos corporativos asuman un papel crucial al alinear la responsabilidad de los riesgos clave de negocios con la responsabilidad de la toma de decisiones de riesgos.

En resumen, casi dos terceras partes (63%) de los participantes encuestados dijeron que la migración de más responsabilidades de administración de riesgos a la Primera Línea vuelve a sus compañías más ágiles –es decir, anticipan y mitigan riesgos de mejor forma– y el 46% planea implementar y desarrollar este cambio en los próximos tres años.

Pero un grupo de participantes en la encuesta, que hemos llamado los Actores de Primera Línea “Front-liners”, se ha adelantado al resto.

Estas empresas, que representan cerca del 13% de nuestra muestra, tienen más probabilidades de decir que las decisiones de administración de riesgos son propiedad de y administradas por la Primera Línea de defensa. Están seguras que la Primera Línea de defensa administra la mayoría de las áreas de riesgo de forma efectiva, y respaldan esa confianza con métodos probados de administración de riesgos efectivos y con Segundas y Terceras Líneas de defensa formales.

Esas fortalezas generan más fortalezas: A diferencia de la mayoría de los participantes encuestados, los Actores de Primera Línea tienen más probabilidad de esperar ingresos y un margen de utilidad en los próximos dos años. Y aunque no están exentos a problemas en comparación con las otras empresas, estas se recuperan más rápido de eventos adversos de riesgos y de disrupciones relacionadas; debido a que facilitan que cada una de sus líneas de defensa se concentre en áreas específicas, logrando así que sean más ágiles y enfocadas durante los tiempos difíciles.

13% dirigen las decisiones de riesgo y la colaboración desde la Primera línea (Actores de Primera línea).

63% concuerdan en que la migración de la toma de decisiones a la Primera línea les permite anticipar y mitigar los riesgos de mejor manera.

46% planean migrar más responsabilidades de administración de riesgos a la Primera línea en los próximos tres años, y

Mientras que sólo

Los participantes concuerdan: La toma de decisiones de Primera Línea es ideal


Un ecosistema de administración de riesgos dirigido desde la Primera Línea de defensa, que promueve la colaboración y responsabilidad compartidas en las tres líneas de defensa, permite a una empresa enfrentar de forma efectiva los retos del panorama actual. Para lograrlo, una empresa debería:

En lugar de representar una amenaza para las funciones de administración de riesgos, cumplimiento y de auditoría, la migración de ciertas actividades de administración de riesgos a la Primera Línea representa una oportunidad. Al alinear todas las líneas de defensa dentro de una estructura de colaboración estratégica, la administración de riesgos empresarial permite a la Segunda y Tercera Líneas convertirse en verdaderos socios para la creación de valor de la empresa.

Fijar un tono organizacional sólido enfocado en la cultura de riesgo

Alinear a la administración de riesgos con la estrategia en el momento de la toma de decisiones

Nivelar el programa de administración de riesgos a lo largo de las tres líneas de defensa

Implementar un marco biendefinido de apetito al riesgo Desarrollar informes

sobre riesgos

que comienza con el consejo administrativo, el CEO y permea a toda la organización.

para que la Primera Línea anticipe los riesgos de negocios al establecer prioridades tácticas.

teniendo la Primera Línea la toma de decisiones sobre riesgos empresariales, la Segunda línea monitorea a la Primera, y la tercera línea proporciona la supervisión objetiva.

en toda la organización.que permitan a la dirección ejecutiva y al consejo directivo ejecutar con eficacia sus responsabilidades de supervisión de riesgos.

3era2da1ra

Auditoría internaFunciones de riesgo y cumplimiento

Alta gerencia y unidades de negocios

8

¿Quiénes son los Actores de la Primera Línea?El 13% de las empresas encuestadas que forman nuestro grupo de Actores de Primera Línea comparte fortalezas en común, como lo muestran sus respuestas.

Participación de los Actores de Primera Línea:

1. Concuerdan o coinciden enfáticamente que sus unidades de negocios (es decir su Primera línea de defensa) tienen la autoridad, los recursos y el apoyo a nivel ejecutivo apropiados para administrar riesgos de forma efectiva.

2. Concuerdan o coinciden enfáticamente que migrar ciertas responsabilidades de administración de riesgos a la Primera línea permite a sus compañías anticipar y administrar de mejor forma los eventos negativos de riesgo.

3. En la actualidad administran las decisiones de riesgos en la Primera línea en al menos 6 de las 12 áreas de riesgo encuestadas.

4. Tienen mayor probabilidad que la mayoría de los encuestados al contar con una estructura de apetito al riesgo bien definida y comunicada, y de tomar decisiones clave de administración de riesgos dentro de dicha estructura.

5. Es más probable que preparen presupuestos adecuados para la administración de riesgos, utilicen tecnología para agregar riesgos a lo largo de la organización, creen una fuerte cultura de riesgo que integre la administración de riesgos en las operaciones diarias, y exhiban una sociedad estratégica entre las tres líneas de defensa.

8

También es mucho más probable que los CRO de Primera Línea comenten que sus compañías consideran al programa de administración de riesgos como un catalizador del crecimiento más que un impedimento, y que sus funciones independientes de riesgo y cumplimiento ofrecen una guía estratégica proactiva para las unidades de negocios de sus compañías.

PwC | Riesgos Corporativos 2017


Fig. 1: Front Liners by industry and region

Por industria:

Por región:

34% 33%

19%

7%7%

Nortamérica Europa

Asia Pacífico

América

Medio Oriente

40%

Productos y Servicios Industriales y de Consumo

33%

Servicios Financieros

11%

Tecnología, Información, Comunicaciones, y Entretenimiento y Medios

8%

Salud

4%

Gobierno

2%

Educación

Actores de Primera Línea por industria y regiónLas compañías de Productos y Servicios Industriales y de Consumo representan el 41% del total de los participantes y el 40% de nuestro Grupo de Actores de Primera Línea. Los Participantes del sector de servicios financieros representan el 29% del total de participantes y el 33% de nuestro grupo de Actores de la Primera Línea, por lo que es más probable que sean Actores de la Primera Línea.

Aunque podría esperarse que las compañías de Servicios Financieros representen a muchos de nuestros Actores de la Primera Línea, las compañías de Productos y Servicios Industriales y de Consumo podrían no hacerlo; sin embargo, existen razones por las cuales estas se estén acercando poco a poco a la curva de madurez de administración de riesgos.

Actualmente, están migrando mayores responsabilidades de administración de riesgos a la Primera Línea de defensa

Es más probable que las compañías de Productos y Servicios Industriales y de Consumo administren el riesgo operativo desde la Primera Línea de defensa.

Y, del total de compañías de Productos y Servicios Industriales y de Consumo que han experimentado interrupciones operativas, el 53% dice que lo manejaron de forma efectiva, a diferencia del 46% del total de participantes.


Una discusión a fondoTendencia: Un enfoque empresarial para lograr la efectividad y el crecimiento

Cuando la Primera línea de defensa está a cargo de la toma de decisiones de riesgos, las compañías reportan un enfoque más riguroso para la determinación de la tolerancia al riesgo junto con una mayor efectividad general de administración de riesgos - y es más probable que esperen recibir ingresos y experimenten un crecimiento de utilidades.

La tendencia hacia que la Primera línea sea propietaria de la toma de decisiones de riesgo ya está bien establecida, pues todos los participantes en la encuesta reportaron que sus diferentes riesgos son propiedad de y administrados únicamente por la Primera Línea de las unidades de negocios o en colaboración entre las unidades de negocios y las funciones de riesgo y cumplimiento de la Segunda Línea.


El historial de las siguientes estadísticas muestra el cambio: Al comparar los resultados de encuestas de revisión de riesgos de 2017 y 2015, observamos que la propiedad y administración de riesgos por parte de la Segunda línea de defensa es nula o va a la baja en 8 de las 11 áreas de riesgo encuestadas en ambos años. Mientras tanto, la propiedad y la administración de riesgos de la Primera línea tendió a la alza en 5 de las 11 áreas.

0

20

40

60

Segunda línea de defensa Colaboración Primera línea de defensa

2015

2017

Riesgos de capital humano

0

20

40

60

2015

2017

Riesgos ambientales/de sustentabilidad

Segunda línea de defensa Colaboración Primera línea de defensa0

20

40

60

2015

2017

Riesgos de tecnología


20

40

60

2015

2017

Riesgos operativos


0

20

40

60

2015

2017

Riesgos de utilidades y volatilidad


0

20

40

60

2015

2017

Riesgo financiero


20

40

60

2015

2017

Riesgos de marca/reputación


0

20

40

60

2015

2017

Riesgos de cultura e incentivos


20

40

60

2015

2017

Amenazas de seguridad cibernética y privacidad


0

20

40

60

2015

2017

Riesgos estratégicos


0

20

40

60

2015

2017

Regulatory and compliance risks



Este cambio es oportuno. Por más de una década, los esfuerzos de administración de riesgos de muchas compañías funcionaron principalmente como ejercicios de cumplimiento alineados a los requisitos de las leyes Sarbanes-Oxley (SOX) y Dodd-Frank. Esos esfuerzos elevaron de forma natural los puestos de Director de Cumplimiento, Director de Riesgos y de los líderes de auditoría en la jerarquía general de administración de riesgos. Pero a más de 15 años de la experiencia SOX y con la crisis financiera de 2007-2009, las compañías están comprometiendo sus esfuerzos para revolucionar la administración de riesgos y cumplir con las necesidades de sus entornos actuales.

En la reciente Vigésima Encuesta de CEOs Global Anual de PwC, los directores de muchas empresas participantes de diferentes industrias señalaron al crecimiento económico incierto, la sobrerregulación, la disponibilidad de habilidades clave, la incertidumbre geopolítica y la velocidad del cambio tecnológico como las principales amenazas para sus empresas. Sumemos a esto los evidentes daños actuales de ataques cibernéticos, el comportamiento cambiante de clientes y la inestabilidad social, además tenemos un panorama en donde los propietarios de riesgos de la Primera Línea también son los encargados de administrar dichos riesgos.

Melissa Lea, Directora de Cumplimiento global, dice que en su organización esa conexión directa es de vital importancia. “Ponemos mucha importancia en la Primera línea de defensa. Entre más podamos migrar la responsabilidad del riesgo –primero hacia la administración y luego a los empleados para asegurarnos que estén armados con las expectativas adecuadas para una correcta toma de decisiones– mayor será nuestro éxito. Tratamos de hacer que la gente –ya sea en sitio, en el país o con las mejores perspectivas sobre la forma en que puede materializarse un riesgo específico– se adueñe del enfoque para mitigarlo.”


Una efectiva administración de riesgos requiere de la participación de toda la organización, en donde la Primera Línea se asegura que la administración de riesgos esté alineada a la estrategia, y la Segunda y tercera línea de defensa obtenga los recursos para apoyar la administración de riesgos en toda la compañía. Los resultados de encuestas de nuestras principales empresas de Actores de la Primera Línea indican que el tipo de enfoque empresarial promueve una administración de riesgos más efectiva, asegura una recaudación de ingresos y un crecimiento en el margen de utilidades más robustas.

Cómo dirigen los Actores de la Primera LíneaEs más probable que nuestras empresas de Primera Línea adopten un enfoque riguroso hacia la administración de riesgos aprovechando un apetito de riesgo claramente definido y prácticas bien establecidas.

Dentro de los cinco tipos de mejores prácticas de administración de riesgos, los Actores de Primera Línea están a la cabeza de los otros participantes por al menos 12 puntos porcentuales.

Fig. 2: Front Liners take a more rigorous approach to risk management

57%45%

46% 61%

65%49%

52%

53%

66%

69%

El apetito al riesgo ha sido definido en diferentes categorías clave.

Tomamos en cuenta nuestro apetito al riesgodefinido, al tomar decisiones de negocios.

Nuestra compañía tiene una estructura bien definidade apetito al riesgo y es claramente comunicado.

Contamos con un proceso formal para agregar riesgos dentro de la compañía y revisar los resultados contra nuestro apetito al riesgo definido.

Supervisamos nuestro apetito al riesgo de formaefectiva utilizando indicadores clave.

Actores de Primera LíneaTodos los demás

Front Liners take a more rigorous approach to risk management

“La Primera Línea representa a nuestros tomadores de riesgos” comenta Steve Gruppo, Vicepresidente Sénior y Director de riesgos de TIAA. “Ellos son propietarios del riesgo y entienden nuestra tolerancia al riesgo. La Segunda Línea asesora y cuestiona a nuestros socios de negocios y les ayuda a implementar nuestros programas de riesgos, administrando riesgos empresariales y riesgos específicos de las unidades de negocios.”


A diferencia de los otros participantes, es más probable que los Actores de Primera Línea como grupo comenten que administran de forma efectiva los riesgos de las 12 áreas de riesgo encuestadas. En algunas áreas de riesgos, las diferencias son notables.

Las respuestas de los Actores de Primera Línea respecto de eventos pasados sugieren que su confianza se basa en registros de éxito: Un porcentaje mucho más grande de Actores de Primera Línea comentaron haber atendido eventos negativos de riesgos. Esto fue cierto en todas las 12 causas de interrupciones de negocios encuestadas.

De las empresas que sufrieron interrupciones causadas por cambios en modelos de negocios o estrategias, el 55% de Actores de Primera Línea reportaron haberse recuperado con éxito a diferencia del 48% de los otros participantes. De las compañías que sufrieron interrupciones por riesgos operativos, el 63% de Actores de Primera Línea dijeron haberse recuperado con éxito, a diferencia del 46% de los no Actores de Primera Línea; de las compañías que sufrieron interrupciones de negocios causadas por disturbios geopolíticos, el 56% de Actores de Primera Línea se recuperaron con éxito a diferencia del 39% de los otros participantes.

Fig. 3: Front Liners manage risks more effectively

0%

20%

40%

60%

80%

100%

Normatividad y cumplimiento

Utilidades y volatilidad

Operativos Marca/reputación

Ciberseguridad Cultura e incentivos

Tercero (proveedor o cadena

de suministro)

Capital humanoTecnologíaAmbientalesEstratégicosFinancieros

Actores de Primera Línea

Todos los demás

Los Actores de Primera Línea administran los riesgos más efectivamente


Los Actores de Primera línea reportan mejores métricas de desempeño

Recompensas financieras del liderazgo de Primera líneaLa conexión entre la efectiva administración de riesgos alineada de forma estratégica y un mejor rendimiento financiero ha sido evidente en los resultados de nuestras anteriores encuestas de Riesgos Corporativos; así que no sorprende que los resultados de este año sugieran que la administración de riesgos desde la Primera Línea de defensa deriva en mejores métricas de rendimiento.

Por medio de su estrategia de alineación, propiedad del riesgo, y toma de decisiones, un programa de administración de riesgos dirigido por la Primera Línea se vuelve en automático más estratégico y activo que protector y reactivo,

Fig. 4: Front Liners report better performance metrics

Todos los demás

En los próximos dos años:

59%51% 71%

77%

Esperan un mejor margen de utilidades

Esperan un incremento en el crecimiento de utilidades

Actores de Primera Línea

No queremos dejar de tomar riesgos; queremos tomar riesgos de forma inteligente e informada y con los ojos bien abiertos, dentro de la tolerancia al riesgo general de la compañía. Yo uso la analogía de la carrera de autos, en donde los frenos son lo que te dan confianza para poder ir a mayor velocidad. Aceleras en las rectas y usas los frenos en las curvas para mantenerte en control. El impacto neto es una velocidad promedio muy alta en comparación con lo que podrías hacer si el auto no tuviera frenos.” —Nick Hirons, SVP de ética global y cumplimiento, GlaxoSmithKline

contribuyendo así a la generación de ingresos sólidos y al crecimiento de las utilidades, una menor rotación de empleados, y una mayor capacidad de soportar interrupciones.

En resumen: A diferencia del resto de los encuestados, es más probable que los Actores de Primera Línea esperen un mayor crecimiento en sus utilidades y márgenes de utilidad en los siguientes dos años.


La administración de riesgos integrada y en colaboración beneficia a todas las líneas de defensaEl liderazgo efectivo de la Primera Línea de administración de riesgos no significa minimizar el papel y el impacto de la Segunda línea de administración de riesgos y funciones de cumplimiento. Por el contrario, es una consecuencia natural del impulso por comunicar la conciencia y responsabilidad del riesgo a lo largo de la cultura empresarial y crear un ecosistema de riesgos efectivo. En lugar de administrar los riesgos en un vacío, los Actores de la Primera línea promueven un enfoque de colaboración que reúne a las tres líneas de defensa para administrar riesgos de forma estratégica y efectiva.

Los Actores de la Primera Línea se enfocan en desarrollar una cultura sólida a nivel empresa dirigida por el ejemplo del grupo de directivos (C) de las empresas y los líderes de las unidades de negocios, y que está alineado a la estrategia de negocios para promover una respuesta más rápida y efectiva ante riesgos e interrupciones, bajo este tipo de estructura:

Los encargados de la toma de decisiones de la Primera Línea predicen los riesgos de negocios, integran la administración de riesgos en la planeación estratégica y la ejecución táctica, y asignan los riesgos adecuados a ser administrados en los lugares precisos.

Las funciones de riesgos y cumplimiento como Segunda Línea trabajan en colaboración con la Primera Línea proporcionando revisiones y balances para optimizar el proceso de administración de riesgos.

La auditoría interna como Tercera Línea se encarga de realizar pruebas de control objetivas y ofrece auditorías independientes para evaluar las actividades de la Primera y Segunda línea de defensa.

“Se trata de facilitar el trabajo de colaboración” comenta el Auditor General y Director de Riesgos de una importante empresa estadounidense. “No estoy a cargo de la toma de decisiones en lo que respecta a la administración de riesgos empresariales y aceptación de riesgos; soy coordinador y comunicador, y mi gente está sintonizada al negocio. Identificamos inquietudes y las validamos. Pero al final del día, cuando le reporto al Director General y el Comité Sénior de Riesgos, ellos son los encargados de la toma de decisiones y la aceptación de riesgos. “Quizá no siempre estén de acuerdo en las Primeras dos, tres o cuatro discusiones pero la pregunta final es ¿Qué le convienen a la organización y a los accionistas, y cómo afecta esto a nuestras metas y objetivos?”.

16


Importancia de una sólida cultura de riesgoUna cultura de riesgo madura, opera sobre la clasificación acordada de agregar, rastrear y predecir riesgos, realizando análisis de datos y otras tecnologías para lograr una cobertura óptima. Una buena comunicación de las tres líneas de defensa comunica un entendimiento amplio sobre la tolerancia al riesgo de la empresa, respaldado por supervisión continua y un sistema de indicadores de desempeño asociado a riesgos.

“Contamos con un proceso estructurado para desarrollar y comunicar nuestra tolerancia al riesgo, el cual incluye la participación y aprobación del consejo administrativo respecto de las declaraciones de la tolerancia al riesgo - tanto a nivel empresa como en cada una de nuestras principales líneas de negocios,” comenta Steve Gruppo de TIAA. “A un nivel alto, lo anterior incluye una declaración cualitativa enfocada en las actitudes hacia riesgos, así como una serie de métricas cuantitativas.”

Los Actores de Primera Línea muestran a otras compañías las medidas que definen a una sólida cultura de riesgo a nivel empresa, al:

- Comunicarse de forma proactiva con las partes interesadas después de ocurrido un evento negativo de riesgo (49% contra 39%).

- Volver obligatoria la capacitación de ética y cumplimiento para todos los empleados (80% contra 71%).

- Tener uno o más comités a nivel consejo que aseguren los enfoques descendentes y ascendentes de administración de riesgos (64% contra 54%).

- Promover una cultura en la que la Segunda línea de defensa pueda cuestionar y habilitar de forma efectiva a la Primera Línea (55% contra 45%).

La adquisición y el uso de herramientas y técnicas de punta para la administración de riesgos también son clave para mantener una sana cultura de riesgo, y debido a ello, los Actores de Primera Línea se adelantan a otros participantes de manera considerable.


“Consideramos todo nuestro trabajo como un proceso continuo de evaluación de riesgos - lo que incluye interactuar de forma regular con el negocio. Si tenemos que pasar por un enorme proceso aparte, significa que no estamos lo suficientemente cerca del negocio.” — Doug Watt, Vicepresidente Sénior y Director de Auditoría, Fannie Mae

Sistema de calificación de riesgos

Desarrollo de resiliencia organizacional ante riesgos

Especificación de la tolerancia al riesgo corporativo

Auditorías de terceros / proveedores

Pruebas de estrés

Escaneo de horizonte o indicadores de alerta temprana

Incentivos de desempeño asociados a riesgos

Revisiones due diligence mejoradas

Planeación de escenarios u otros métodos a futuro

Identificación y proyección de riesgos emergentes

Tablero/visualización de revisión de riesgos

Auditorías de ambiente, salud y seguridad

14%

13%

13%

12%

12%

9%

9%

8%

7%

7%

6%

2%

Porcentaje de Actores de la Primera Línea qué más probablemente las usen a diferencia del resto

Es más probable que los Actores de la Primera línea usen herramientas y técnicas de administración de riesgos


Áreas en donde la administración de riesgos ha mejorado –y en dónde noUna comparación de datos de nuestras encuestas en 2015 y 2017 muestran una tendencia general hacia la administración más efectiva de la mayoría de los riesgos de negocios, así como al mayor uso de prácticas de administración de riesgos estratégica. Sin embargo, las estadísticas han bajado ligeramente o se mantienen sin cambio en la administración de ciertas áreas de riesgo.

Los encuestados reportaron sus más importantes mejoras de administración en las áreas de riesgo ambiental y ciberseguridad. También reportaron una ligera baja en la efectividad de su respuesta a riesgos financieros, riesgos operativos y riesgos estratégicos.

Fig. 10: Incremental progress in managing risk effectively

Normatividad y cumplimiento

Utilidades y volatilidad

Marca/reputación

Ambiental

Ciberseguridad

Tecnología

Cultura e incentivos

Capital Humano

Financieros

Operativos

Estratégicos

Se reportó una administración de riesgos más efectiva

Less effective risk management reported

Progreso incremental por la efectiva administración de riesgos de 2017 contra 2015.

Fig. 9: Improvement seen in approaches to risk appetite

El apetito o tolerancia al riesgo se ha definido a lo largo de diferentes categorías clave.

Supervisamos nuestro apetito al riesgo de forma efectiva utilizando indicadores clave.

Contamos con un proceso formal para agregar riesgos dentro de la compañía y revisar los resultados contra nuestro apetito al riesgo definido.

Nuestra compañía tiene una estructura bien definida de apetito al riesgo y es claramente comunicado.

55%

51%

49%

47%

42%

38%

38%

36%

20172015

Mejora en los enfoques sobre la tolerancia al riesgo

En los últimos dos años se experimentaron ganancias a lo largo de nuestro estudio debido al uso de ciertos enfoques sobre la tolerancia al riesgo, lo que soporta la migración estratégica de administración de riesgos hacia la Primera Línea de defensa.

20

Los CRO buscan roles más estratégicosAun cuando las compañías están migrando la toma de decisiones de administración de riesgos hacia los líderes corporativos y las unidades de negocios, los Directores Principales de Riesgos (CRO) están buscando que sus roles y funciones sean más estratégicas. Cuando el 39% de los CRO reportan haber incrementado su participación en la planeación estratégica como una prioridad actual, ese número sube al 57% en las prioridades de CRO para los próximos 18 meses.

En un ecosistema que integra la administración de riesgos, en la toma de decisiones de Primera línea, las funciones de riesgo y cumplimiento deben ver la imagen completa al entender los procesos operativos totales desde una perspectiva estratégica, operativa y financiera. Al hacerlo, amplían su valor como socios clave de la cultura con enfoque en riesgos.

Los CRO reportan un avance en la efectiva administración de riesgos

Siendo consultados respecto de nuevas oportunidades de negocios.

Solidificando los procesos de monitoreo y administración de riesgos.

La colaboración con el Director de Información y los líderes de negocios reduce al mínimo los riesgos de seguridad cibernética y privacidad.

Incrementando la participación en el proceso de planeación estratégica de la Compañía.

Migrando mayores responsabilidades de administración de riesgos a la Primera línea de defensa.

En 18 mesesHoy

48%41%

39% 57%

38% 46%

36% 46%

22% 40%

Figure 9: Chief Risk Officers plan to be more involved in company strategy


Asimismo, en comparación con los resultados de 2016, un número considerablemente mayor de CRO reporta que sus líderes entienden el valor de una sólida administración de riesgos (72% contra 58%) y que la Segunda línea de defensa es considerada un catalizador para el crecimiento (43% contra 36%).


Madurez del riesgo cibernéticoA medida que las plataformas digitales se convierten en territorio de acecho para cibercriminales cada vez más astutos, la concientización de los riesgos cibernéticos ha llegado a un entorno crítico. Nuestra reciente Vigésima Encuesta Global Anual de Directores Generales, más de la mitad de ellos (53%) comentaron que esperan sufrir violaciones de seguridad de datos y seguridad cibernética que amenazan la confianza de los grupos de interés de sus industrias en los próximos cinco años. En los Estados Unidos, el 85% de los Directores Generales encuestados dijeron que están algo o sumamente preocupados por la amenaza que representan los crímenes cibernéticos para el crecimiento esperado de sus organizaciones.

Los riesgos de crimen cibernético y privacidad de datos tienen el potencial de afectar todos los aspectos de las operaciones de una compañía, y esa amenaza es aún mayor cuando las industrias amplían sus interfaces con el Internet of Things y otras tecnologías emergentes. Para poder analizar a las organizaciones más avanzadas en la administración de riesgos cibernéticos y determinar qué tan preparados están para la nueva realidad de ciberseguridad, hemos creado una curva de madurez de administración de riesgos cibernéticos. Dentro de la muestra completa, los participantes con mayor experiencia refirieron las siguientes prácticas:

1. El Director de Riesgos (CRO) y el Director de Información (CIO)/Director de Tecnología (CTO) son corresponsables de supervisar los riesgos de ciberseguridad y privacidad.

2. Los riesgos de ciberseguridad y privacidad son administrados por el CIO/CTO.

3. El CIO/CTO trabaja con cada unidad de negocios y cada función individual para salvaguardar los datos.

4. La Compañía cuenta con un comité de riesgos de ciberseguridad/información interdisciplinario.

Madurez de administración de riesgos de ciberseguridad, todos los participantesFig. 7: Cyber risk management maturity, major industry groups

% total del sector

Madurez baja o nula

Madurez media

Madurez alta

Madurez muy alta 3%17%

74%

6%

En todos los sectores, los participantes de la encuesta consideran que los riesgos cibernéticos les causarán mayores disrupciones corporativas en los siguientes años. Ante esta nueva norma, las compañías con prácticas de administración de riesgos muy desarrolladas disfrutarán de una ventaja competitiva clara.


Actualmente pocas compañías exhiben una madurez alta de seguridad cibernética, a pesar de que esperan que este riesgo crezca de forma drástica en los siguientes tres años.Solo 3% de los 1,581 participantes encuestados obtuvieron una calificación de muy alta de madurez de riesgo cibernético, mientras que el 6% calificó alto y el 17% calificó medio. Es notable que dos terceras partes de los participantes (66%) calificaron bajo (es decir, que cumplen con solo uno de los cuatro criterios de madurez), y el 8% calificó con cero la madurez de administración de riesgos cibernéticos. Sin embargo, la seguridad cibernética es una de las áreas de riesgo en donde los encuestados argumentan haber tenido las mayores mejoras sobre resultados de encuestas anteriores. Esto sugiere que aunque las compañías se sienten más seguras de sus capacidades, continúan bajo un enfoque defensivo ante el riesgo cibernético y no han adoptado aún las mejores prácticas que pueden ayudarles a mejorar su nivel de competitividad en relación con la seguridad cibernética y el mercado.

Many companies see cyber and privacy as top-growing risks, but few are prepared

El 62% prevé que el riesgo cibernético le afectará en los próximos 3 años.

Pero solo el 9% tiene una madurez alta o muy alta de riesgo cibernético

Muchas compañías consideran a los riesgos cibernéticos y de privacidad como riesgos de crecimiento acelerado, pero pocas están preparadas para ello

“En realidad ya no es posible atender el riesgo cibernético o de lavado de dinero a nivel regional. Si estás en una red conectada a nivel global, que maneja sistemas globales, tus controles deben mantener el mismo nivel de exigencia en los diferentes ambientes compartidos; de lo contrario, solo serás tan fuerte como tu eslabón más débil.”—Lisa Humbert, Directora General, Directora de Riesgo de Información y Encargada de Administración de riesgos de Información, MUFG Union Bank, N.A



Fig. 8: Companies with high cyber risk maturity have better risk culturesTodos los demásMadurez de riesgo

cibernético muy alta0% 20% 40% 60% 80% 100%

Contamos con un proceso formal para que los empleados reporten riesgos potenciales o alertas rojas cuando estos ocurren.

La capacitación de ética y cumplimiento es obligatoria para todo el personal.

Nuestro liderazgo da prioridad a una cultura de riesgo enfocada en hacer lo correcto - más allá de lo requerido.

Ofrecemos cursos educativos periódicos para actualizar el personal sobre riesgos nuevos o potenciales para la compañía.

Mi compañía tiene uno o más comités a nivel consejo que aseguran los enfoques descendentes y ascendentes de administración de riesgos.

En mi compañía, la Segunda línea de defensa puede cuestionar el negocio de forma efectiva.

Las actualizaciones de administración de riesgos son parte de los reportes normales de desempeño.

En caso de un evento adverso, el personal de relaciones exteriores se comunica de forma oportuna con las partes interesadas.

Recurrimos a proveedores externos de administración de riesgos, cumplimiento, capacitación u otros servicios.

Contamos con un administrador dedicado de riesgos de terceros.

Recompensamos a los empleados que toman medidas para reducir el riesgo al mínimo por medio de recursos existentes.

Las empresas con una alta madurez de riesgo cibernético tienen mejores culturas de riesgo

Mejorar la administración de riesgos cibernéticos de una empresa parece tener beneficios más allá de lo evidente. Nuestro análisis muestra que esa madurez es indicativa de capacidades avanzadas de administración de riesgos en otras áreas, en donde las compañías mejor calificadas reportan tener mayor capacidad de manejar riesgos estratégicos, operativos, de marca, normativos, financieros entre otros. En cualquier aspecto de la cultura de riesgo, las compañías con calificaciones altas sobrepasan de forma dramática a la mayoría de los participantes.

Al imitar las expectativas de crecimiento más altas de los Actores de la Primera Línea, los participantes que aplican las cuatro prácticas de madurez de administración de riesgo cibernético predicen un crecimiento de 63% en el margen de utilidad para los próximos dos años, a diferencia del 50% de los otros participantes. Las compañías con las calificaciones más altas de la curva tienen mayor probabilidad de esperar un crecimiento en utilidades (75% contra 71%).


Caso de estudio MUFG: El crecimiento global conlleva mayores requisitosEn 2014, Mitsubishi UFJ Financial Group, Inc. (MUFG) integró la rama estadounidense de UFJ’ de The Bank of Tokyo–Mitsubishi (BTMU) U.S. en sus operaciones bancarias con Union Bank, N.A. e inició operaciones bancarias combinadas en los Estados Unidos bajo el nuevo nombre de MUFG Union Bank, N.A. Las operaciones combinadas atienden a clientes bancarios corporativos y de inversión, a la banca comercial, y a clientes de capital y consumo, y están comprometidas con una ambigua estrategia de crecimiento en los Estados Unidos a la vez que se apegan a la visión global de MUFG por ser el grupo financiero más confiable a nivel mundial.

Al igual que con otras firmas de servicios financieros de primer nivel mundial, MUFG Union Bank, N.A. debe cumplir con mayores requisitos normativos. “Antes de combinar las operaciones, no estábamos clasificados como una institución de crédito grande” comenta Lisa Humbert, Directora Ejecutiva, Directora de Riesgo de Información, y Encargada de la Administración de Riesgos (IRM). “Ahora lo estamos, y eso conlleva un mayor enfoque y escrutinio normativo, que incluye mayor atención sobre nuestro cumplimiento con las Normas Prudenciales Mejoradas del Consejo de la Reserva Federal, las Normas Ampliadas de OCC, y las reglas aumentadas de cibernética, por nombrar algunas”.

La atención de estos requisitos implica impulsar el cambio en diferentes niveles a lo largo de la empresa. Conforme crece la complejidad y el tamaño de los bancos, estos deben evolucionar su estrategia y enfoque de administración de riesgos. Ese proceso implica establecer una estructura formal de IRM, que incluye un gobierno corporativo mejorado, una lista definida de riesgos de información clave, amenazas, controles, procedimientos, métricas y presentación de información.

Las firmas de servicios financieros también deben establecer bases sólidas de administración de IRM, con roles, responsabilidades, componentes y descripciones claras de la forma en que operan, una taxonomía consistente y una metodología de evaluación de riesgos. Las organizaciones IRM trabajan con las funciones de gobierno corporativo y riesgo operativo de las empresas para asegurar la consistencia dentro de los diferentes tipos de riesgos y amenazas gestionados por el banco.

Caso de estudio

“Sabíamos que teníamos que salir rápidamente para enfrentar mayores requisitos normativos, e incluso más pronto en algunas áreas específicas” comenta Humbert.

Las firmas de servicios financieros como MUFG han tenido que adoptar un modelo de Tres Líneas de Defensa. Conforme a ese modelo, cada línea entiende su rol en la administración de riesgos y colabora con las otras líneas para asegurar una administración de riesgos efectiva, proactiva y sustentable. Los negocios (Línea 1) tienen la responsabilidad de administrar el riesgo dentro de sus áreas y deben evaluar los factores de riesgo como parte de su proceso de toma de decisiones; Riesgos y Cumplimiento, incluyendo a IRM (Línea 2), define las estructuras de la empresa y revisa y cuestiona dicha estructura; y Auditoría Interna (Línea 3) ofrece seguridad independiente de que el proceso y los controles se están siguiendo y que existen estructuras adecuadas de administración de riesgos.

“Es importante que los negocios de la Línea 1 entiendan el impacto de los riesgos de información derivado de las decisiones que tomen o el que tiene la tecnología a su favor, ya que el riesgo afecta al negocio directamente. Cuando hablamos de administrar riesgos en MUFG, es claro que todos estamos en esto juntos.

“Si estás en el espacio de Tecnologías de la Información, debes preguntarte ‘¿Si existe una vulnerabilidad dentro de un ambiente crítico y la tecnología no lo arregla, el riesgo podría impactar al departamento de TI?’ Si se explota la vulnerabilidad, esta impactará al negocio y potencialmente a la reputación de la compañía, e incluso mucho más. En este caso, el negocio se está poniendo en riesgo. Al aplicar un modelo de Tres Líneas de Defensa, tenemos la perspectiva y las herramientas necesarias para entender la situación y actuar con agilidad ante los riesgos potenciales, trabajando conjuntamente”, comenta Humbert. “La capacitación de cultura y concientización del riesgo es necesaria en todos los niveles, desde los directores hasta los equipos de TI y los empleados de toda la organización, quienes tienen un papel en la administración de riesgos de información”, nos comenta

1. https://www.mufgamericas.com/sites/default/files/u2/FINAL_US_release.pdf

24PwC | Riesgos Corporativos 2017


Madurez de la cultura de riesgoAl evaluar la madurez de la cultura de riesgo, hemos cuestionado a las compañías sobre las 11 prácticas que distinguen a las culturas de riesgo altamente desarrolladas. Para calificar la madurez cultural, asignamos un punto a cada práctica implementada por los participantes. Los encuestados con madurez baja calificaron 0-2 puntos, los de madurez media 3-5 puntos, los de madurez alta 6-8 puntos y los de madurez muy alta 9-11 puntos. Las organizaciones de servicios financieros y de salud tuvieron las calificaciones más altas.

En la mayoría de los sectores, los participantes comúnmente contaban con capacitación obligatoria de ética y cumplimiento, en donde los servicios financieros (81%) y salud (79%) recibieron las calificaciones más altas. Otras áreas que mostraron una buena posición en diferentes sectores contaban con un proceso formal para que sus empleados reporten irregularidades o riesgos potenciales (liderado por servicios financieros con 70% y salud con 66%), y con uno o más comités directivos (liderado por servicios con 72% y salud con 56%).

Las áreas rezagadas en los diferentes sectores incluyen la retribución a empleados que usan los recursos existentes para reducir el riesgo, en donde solo un sector (salud) registró una respuesta positiva por encima del 20%. De igual modo, solo servicios financieros registró una respuesta por encima del 20% respecto a contar con un administrador dedicado a riesgos de terceros.

Medición de la madurez de la administración de riesgosAl examinar los sectores de la industria para determinar su madurez comparativa de riesgo, llegamos al resultado esperado: Las industrias más reguladas tienen las prácticas de administración de riesgos más altamente desarrolladas. Sin embargo, cuando analizamos los principales sectores de la industria para determinar sus curvas de madurez de administración de riesgos cibernéticos y su cultura de administración de riesgos, observamos que una madurez de riesgos cibernéticos relativamente baja derivó en resultados inesperados, como se muestra a continuación.

Fig. 12: Risk culture maturity, major industry groups

Total Servicios financieros Productos y Servicios Industriales y de Consumo

Tecnología, información, comunicaciones, y entretenimiento y medios Servicios de salud/ farmacéuticos

% del sector

Madurez baja Madurez media Madurez alta Madurez muy alta

23%22%19%

14%

27%

46%

38%

42%41% 41%

33%

23%

28% 28%27%

15%

9% 9%7% 7%

Madurez de la cultura de riesgo, principales grupos de la industria


Fig. 11: Industries by risk culture and cyber risk maturity

30 35 40 45 50 5525

30

35

40

Mad

urez

de

riesg

o ci

bern

étic

o

Madurez de la cultura de riesgo

Bancos

Tecnología

Administración de activos

Educación

Detallista yConsumo

Automotriz

Servicios empresariales

Seguros

Servicios de saludQuímicos

Manufactura industrial

Pharma

Energía

Ingeniería y construcción

Transporte y logística

Entretenimiento, medios y comunicaciones

Servicios públicos

Servicios financieros- Administración de activos- Bancos- Seguros

Cuidado de la salud - Servicios de salud- Farma

Educación

Gobierno

Productos y servicios industriales y de consumo - Automotriz- Servicios empresariales- Químicos- Energía- Ingeniería y construcción- Manufactura industrial - Detallista y consumo- Transportación y logística- Servicios públicos

Tecnología, información, comunicaciones y entretenimiento - Entretenimiento, medios y

comunicaciones - Tecnología

Gobierno

Educación

Industrias por madurez de cultura de riesgo y de riesgo cibernético


Lo que esto implica para su negocioDesarrollo de un ecosistema optimizado de administración de riesgos

El liderazgo de administración de riesgos de Primera línea tiene que ver en concreto con la participación: asignar responsabilidad por los diferentes componentes de un programa efectivo de administración de riesgos - alineación estratégica, especialización, procesos, auditoría - con la línea de defensa mejor preparada para ejecutarlos. Al aclarar la función de cada línea de defensa se libera a las líneas de realizar tareas que pertenecen a otra área, y la colaboración estrecha entre las líneas promueve un flujo libre y gratificante de perspectivas e ideas.

“El traspaso de la responsabilidad hacia la Primera Línea y la migración de la Segunda Línea a un papel de supervisión requiere de una gran colaboración, pero puede ser difícil colaborar y cuestionar de forma efectiva a la vez”, comenta Kimberly Johnson, Vicepresidente Ejecutivo y Director de Riesgos de Fannie, Mae. “La administración de riesgos solía ser una función estrechamente relacionada a las cifras, pero ahora también tienes que tener inteligencia emocional para ser un administrador de riesgos efectivo. Debes poder cuestionar ideas y supuestos sin retar a la persona y cerrar la comunicación.”


Llamado a la acciónEl cambio de las actividades de administración de riesgos, hacia la Primera Línea de defensa es tan solo parte de la evolución hacia un programa de administración de riesgos más proactivo y alienado a la estrategia. El desarrollo de un ecosistema optimizado de administración de riesgos para atender los retos actuales, requiere de la participación de todos los niveles de la empresa. A continuación se presentan cinco pasos para colocar a tu empresa en el camino correcto.

1. Marcar una pauta organizacional enfocada en la cultura de riesgo. El Director General y el Consejo Administrativo deberían diseñar esta

pauta, la cual debería permearse a toda la organización y estar bajo constante supervisión y medición.

- Los Directores Generales deberían asegurarse que la administración y los incentivos de desempeño estén alineados a las metas de su cultura de riesgo.

- La comunicación del equipo de liderazgo debería asegurar mensajes claros y consistentes.

- El riesgo debería incorporarse en las conversaciones de rutina y en la toma de decisiones.

2. Alinear a la administración de riesgos con la estrategia en el momento de la toma de decisiones.

- Tener una visión clara de la estrategia de la organización que le aporte a la Primera Línea una perspectiva común sobre como alinear sus decisiones y comportamiento, lo que le permitirá reaccionar más rápido ante riesgos y disrupciones.

- Los encargados de la toma de decisiones deberían integrar la administración de riesgos en la planeación estratégica y la ejecución táctica.

3. Nivelar el programa de administración de riesgos a lo largo de las tres líneas de defensa.

Para un desempeño óptimo, la Primera línea debe ser propietaria de la toma de decisiones, la Segunda supervisar a la Primera, y la tercera ofrecer supervisión objetiva.

- La definición de límites e intersecciones naturales en todas las líneas de defensa permite una coordinación efectiva de roles y responsabilidades.

- Los líderes pueden así definir mejor sus riesgos, asignarlos a las diferentes líneas, y asegurarse que dichos riesgos están siendo administrados en los puntos correctos.

- Cada línea de defensa debe estar habilitada con la información y los recursos necesarios para asegurar su efectividad.

4. Implementar una tolerancia al riesgo y una estructura de riesgo bien definidas a lo largo de la organización.

- (a) Definir los riesgos que la compañía desea asumir, (b) los riesgos que no puede tolerar, (c) los riesgos que deberían ser medidos y supervisados, y (d) los riesgos asociados a variaciones en el desempeño financiero que podrían evitar que alcance su estrategia.

- El proceso de agregar, rastrear y predecir riesgos debería estar sujeto a una clasificación de riesgos bien entendida por todos, además de apalancar la tecnología y los datos disponibles.

- La tolerancia al riesgo y la estructura de riesgo deberían ser comunicadas con claridad a los encargados de la toma de decisiones.

5. Desarrollar información de riesgos que permita a la Dirección Ejecutiva y al Consejo Administrativo ejecutar de manera efectiva sus responsabilidades de supervisión de riesgos.

- Mejorar el proceso de gobierno y obtención de datos para apoyar la presentación de información de riesgos.

- La adición, el rastreo y la presentación de riesgos son claves para mantener las decisiones de negocios dentro de la tolerancia al riesgo acorada.

- Los procesos de presentación y supervisión de información deberían rastrear de forma rutinaria los riesgos y las actividades asociadas a la administración de riesgos.

- Los responsables deberían ser asignados a los riesgos empresariales de primer nivel y deberían proporcionar planes de acción detallados con fechas límite.


Poner al grupo de Directivos (C) de las empresas a trabajarCuando los líderes impulsan la administración de riesgos, estos van más allá del apoyo a los propietarios

El Director General (CEO) debe fijar las pautas de una cultura de riesgos constructiva, promover una estructura de tolerancia al riesgo a nivel organizacional y alinear la administración de riesgos con la planeación estratégica.

El Director Financiero (CFO) debe apoyar la nivelación de la toma de decisiones de administración de riesgos al asignar personal a esas líneas de defensa y a los puntos de toma de decisiones.

El Director de Riesgos (CRO) facilita la administración de riesgos efectiva al promover la supervisión activa, la capacitación de tolerancia al riesgo, y la coordinación con el CIO/CISO para administrar el riesgo cibernético a nivel organizacional.

El Director de Cumplimiento (CCO) asume un papel de liderazgo al ayudar a la organización a agregar riesgos. A diferencia de otros puestos, es más probable que los CCO digan que cuentan con un proceso formal para agregar riesgos en toda la compañía, y que estos revisen los resultados contra una tolerancia al riesgo definida (58% contra 51% de los CRO). El Director de Información (CIO),

es responsable de todo el riesgo de tecnología, equipa a las líneas de defensa con la tecnología requerida para predecir y supervisar el riesgo. El Director de Riesgos de Información (CIRO) trabaja en coordinación con el CRO para supervisar los riesgos cibernéticos y privacidad de los datos.

El Director de Auditoría (CAE), como última y objetiva línea de defensa contra riesgos, debe evaluar de forma continua el programa general de administración de riesgos – incluyendo la efectividad de los CRO - y evaluar de forma independiente las actividades de riesgos de la Primera y Segunda Líneas.

El Consejo de Administración apoya al CEO para establecer una cultura de riesgos descendentes y supervisar los riesgos agregados en el contexto de la tolerancia al riesgo de la organización y la estructura de tolerancia al riesgo.

pwc.com/riskinreview pwc.com/mx/es/risk-assurance-services.html

Ignacio ToussaintSocio Líder Risk Assurance México Tel. 5263-6000 Ext. 8907 [email protected]

Adolfo RamírezSocio en Risk & Regulatory Tel. 5263-6000 Ext. 8580 [email protected]

Fernando RománSocio en Cyber Security & Privacy Tel. 5263-6000 Ext. 5898 [email protected]

Carlos GaytánSocio de Enterprise Systems Solutions Tel: 018181522000 Ext. 2066 [email protected]

Ignacio MadridSocio de Data Analytics Tel: 5263-6000 Ext. 5780 [email protected]

© 2017 PricewaterhouseCoopers, S.C. Todos los derechos reservados. En PwC nuestro propósito es construir confianza en la sociedad y resolver problemas importantes. Somos una red de firmas con presencia en 157 países y más de 208,000 personas comprometidas a ofrecer servicios de auditoría, consultoría e impuestos y servicios legales de la más alta calidad. Conócenos mejor y dinos qué lo más importante para ti. Visita: www.pwc.com. PwC se refiere a la red y/o una o más firmas miembro de PwC, cada una de las cuales constituye una entidad legal independiente. Favor de ir a www.pwc.com/structure para obtener mayor información al respecto.

Para tener una conversación más profunda sobre la forma en que estos asuntos pueden afectar a su negocio, favor de contactar a:

www.pwc.com/riskinreview

www.pwc.com/mx/es/risk-assurance-services.html

Riesgos Corporativos - pwc.com · Recompensas financieras del liderazgo de la Primera Línea La...

Documents

Transcript of Riesgos Corporativos - pwc.com · Recompensas financieras del liderazgo de la Primera Línea La...