jueves, 20 de octubre de 2016

Empleando una estructura normativa eficaz para establecer la responsabilidad sobre el riesgo



Por: Jim Deloach*
El equipo de gestión y el Comité deben evaluar las exposiciones más significativas a los riesgos estratégicos, operativos, financieros y de cumplimiento propios del negocio e implementar un proceso para actualizar esta evaluación a medida que los mercados y las condiciones cambian. Una vez hecho esto, el equipo de la gestión debe ―con los aportes del Comité― decidir cuáles de estos riesgos debe ser rechazados o asumidos.
Pasos para evitar el riesgo
Las decisiones sobre rechazar o asumir los riesgos tienen implicaciones en las políticas. Si la decisión es rechazar una exposición al riesgo, porque está fuera de la estrategia, porque ofrece recompensas poco atractivas, porque es lo que hay que hacer (por ejemplo, en el caso del cumplimiento y las amenazas a la seguridad pública) o porque es demasiado arriesgada y la organización no tiene la capacidad para manejarla; entonces, la administración debe tomar las medidas apropiadas para evitar el riesgo:
  • Si el riesgo es de carácter estratégico. Los pasos para prevenir el riesgo podrían incluir la adopción de una estrategia para salir de un mercado, negocio o área geográfica, y orientar de manera más específica las actividades de desarrollo mercantil y de expansión del mercado de la entidad para evitar perseguir oportunidades que están por fuera de la estrategia. También, se pueden buscar proyectos alternativos de capital e inversiones para evitar la baja rentabilidad, las operaciones por fuera de la estrategia y las iniciativas con riesgos inaceptablemente altos.
  • Si el riesgo es de carácter operativo. Los pasos para evitar el riesgo típicamente incluyen eliminar el riesgo en la fuente. Por ejemplo, se puede efectuar una reingeniería de un proceso defectuoso o diseñar e implementar procesos internos de prevención para eliminar los defectos del producto en el punto en que se originan.
  • Si el riesgo es de naturaleza financiera. Los ejemplos para evitar los riesgos incluirían desplegar una posición de valores o de valores derivados y/o prohibir o detener por completo las actividades comerciales que dan lugar al riesgo en cuestión.
  • Si el riesgo es de cumplimiento. Los ejemplos incluyen evitar hacer negocios en algunas zonas geográficas o con ciertos clientes, y tomar decisiones que generen políticas prohibitivas y procesos mejorados tanto de supervisión como de formación.
Respuesta a los Riesgos
Si una entidad conserva una gran exposición al riesgo ―es decir, si opta por asumirlo― hay varias respuestas disponibles. La empresa puede:
  • Aceptar el riesgo en su nivel actual. El equipo de gestión no debe tomar esta decisión sin consultar al Consejo y, eventualmente, debe informarla a los accionistas. Por ejemplo, algunas compañías mundiales de petróleo no ocultan que están tomando un riesgo en los precios del crudo y del gas natural y que, en efecto, están pasando el riesgo a sus accionistas. En algunos casos, la organización podrá utilizar un seguro cautivo para financiar o auto-asegurar el riesgo.
  • Reducir la gravedad del riesgo y/o su probabilidad de ocurrencia. Por ejemplo, las actividades de control (normas y procedimientos) reducen la severidad del impacto de un evento de riesgo a través de controles de detección y corrección eficaces, y planes de respuesta. Las actividades de control también pueden reducir la probabilidad de ocurrencia de un evento de riesgo. La dispersión geográfica de los activos reduce el impacto de la ocurrencia de un evento catastrófico ―como un terremoto o un huracán― en la empresa.
  • Compartir el riesgo con una parte grupo independiente y capaz. Las estrategias de transferencia de riesgos incluyen coberturas, seguros y empresas conjuntas.
Si se toma la decisión de rechazar o asumir un riesgo, es importante designar a un grupo, función o unidad, la responsabilidad y autoridad para responder ante este. Las decisiones de rechazar o asumir los riesgos provenientes de las directivas impulsan la necesidad de formular respuestas específicas que se integren dentro de la estrategia y el plan de negocios de la empresa. Este proceso de integración impulsa la transparencia en toda la organización en cuanto a la exposición al riesgo, la gestión y la responsabilidad sobre este.
Para tal efecto, el modelo de líneas de defensa establece que cada unidad operativa es responsable de los riesgos de sus respectivas actividades empresariales y de las respuestas integrales a estos. Para ser eficaces como “encargadas de los riesgos”, las partes responsables deben como mínimo: (1) decidir las tácticas a emplear en la ejecución de la respuesta a los riesgos seleccionados, (2) diseñar (o ser responsable del diseño de) las capacidades para la gestión del riesgo de conformidad con la respuesta a este y (3) supervisar estas capacidades a medida que pasa el tiempo para garantizar que funcionen según lo previsto.
Una estructura normativa eficaz
La responsabilidad sobre el riesgo es clara cuando se escribe una política para articular lo que las personas deben o no hacer. El formato y los detalles de la política de riesgos varían de una compañía a otra y dependen de la naturaleza de los riesgos subyacentes. Dicho esto, una estructura normativa eficaz a menudo aborda lo siguiente:
  • Objetivos del seguimiento y de la gestión del riesgo.
  • Roles y responsabilidades de las unidades operativas y líneas de negocio en la gestión de riesgos y en la delimitación de las responsabilidades de los encargados de las amenazas, del personal de supervisión y de las funciones de riesgo y cumplimiento independientes.
  • Postulados generales de la propensión al riesgo vinculado a los objetivos del negocio (por ejemplo, si los objetivos de gestión son ganar 6,75 USD por acción y pagar una deuda de 850 millones durante el próximo año, ¿cuánta exposición al riesgo de las ganancias y cuánta variabilidad del flujo de caja puede soportar el negocio?).
  • Límites específicos establecidos por la administración y que pueden desplegarse operativamente con el objeto de controlar las oportunidades potencialmente riesgosas para crear valor empresarial y especificar la “tolerancia al riesgo” de la compañía (es decir ¿Cuánto riesgo está dispuesta a aceptar la empresa?).
  • Autorizaciones a personas específicas para emplear recursos de la empresa en relación con la gestión de actividades volátiles y de alto riesgo, y para ejecutar respuestas a los riesgos específicos.
  • Controles mínimos de riesgo (por ejemplo, separación de funciones, limitaciones de acceso, etc.) que deben implementarse en circunstancias específicas.
  • Generación de los informes de riesgo requeridos y de las metodologías aprobadas para medir y valorar el riesgo, incluidos los portafolios de valoración a precios de mercado de los instrumentos financieros y de las mercancías.
La estructura normativa es más eficaz si aborda las principales exposiciones al riesgo que deben ser manejadas diariamente y si define de forma explícita las respuestas a los riesgos primarios que la gestión ha elegido. Por ejemplo, se podrían abordar estrategias para manejar diferentes exposiciones, incluidas las técnicas de gestión de riesgos aceptables, y las herramientas y prácticas prescritas. Si es necesario, también se pueden especificar las estrategias de respuesta a los riesgos, las herramientas, los productos y las prácticas que no están permitidas.
Aunque la especificidad de la política de la empresa permite la rendición de cuentas efectiva, es solo un comienzo. Después de la aprobación de una política, el equipo de gestión debe garantizar, con la supervisión del Comité, que las normas establecidas se aborden mediante procedimientos efectivos y que la aplicación de tales procedimientos sea supervisada y aplicada. Desde el punto de vista de la rendición de cuentas, los mejores procedimientos de control e información de riesgos no tendrán ningún valor si los comerciantes, gerentes, operadores y demás piensan que pueden ignorarlos. La gestión debe dejar claro a todo el mundo que la violación de las políticas y límites establecidos será objeto de medidas disciplinarias y, dependiendo de la gravedad, de posible terminación del contrato laboral. Cuando se producen violaciones, estas no deben ser toleradas. Las lecciones aprendidas deben compartirse.
Cuando las estructuras normativas dictan las expectativas de comportamiento y rendimiento, es importante que el sistema de recompensa esté alineado con tales expectativas. Por ejemplo, la compensación para las llamadas “grandes estrellas” debe evaluarse cuidadosamente para determinar si está incentivando una actitud de toma de riesgos que no es conveniente para los intereses de la organización. Ni a la Dirección ni al Comité les debe interesar un estilo arrogante y polémico de gestión, o una “cultura guerrerista” en la que los directores de unidades de operación o empleados individuales tiendan a centrarse en la compensación a corto plazo y, por ende, no piensen lo suficiente ―o en lo absoluto― en los riesgos que sus actividades pueden crear para la empresa.
Por lo tanto, la Dirección Ejecutiva debe garantizar la implementación de los incentivos y los controles adecuados para que los responsables se enfoquen en los riesgos críticos de la empresa y en el comportamiento empresarial aceptable e inaceptable. Para tal fin, la gestión y el Comité Directivo deben reconocer las posibles consecuencias negativas de un énfasis excesivo en los incentivos a corto plazo y los beneficios de las estructuras de compensación ajustadas al riesgo.
Cuando la estructura normativa de la organización establece claramente las responsabilidades sobre el riesgo y el sistema de compensación las refuerza, se da un impacto positivo en la conciencia y en la cultura de riesgo de la organización. La articulación efectiva de las responsabilidades sobre el riesgo sienta las bases para equilibrar dos aspectos, la generación de ingresos por una parte, y el control y la supervisión del riesgo por otra. Esto de forma que ninguno de los dos aspectos prevalezca de manera desproporcionada con respecto al otro. Este equilibrio es difícil de alcanzar, por lo que una base sólida de rendición de cuentas claras es vital para cualquier organización.
* Es miembro del equipo de liderazgo Protiviti Solutions. Su enfoque es ayudar a las organizaciones a responder exitosamente ante los mandatos gubernamentales, las demandas de los accionistas y el entorno empresarial cambiante de una manera rentable y sostenible que reduzca el riesgo a un nivel aceptable.
Blog: AUDITOOL

No hay comentarios.:

Publicar un comentario