1.

DEFINICION Eventos, Riesgos y Oportunidades Un evento es un incidente o acontecimiento procedente de fuentes internas o exte rnas que afecta a la consecucin de objetivos y que puede tener un impacto negativ o o positivo o de ambos tipos a la vez. Los eventos de signo negativo constituye n riesgos. Por tanto, un riesgo se define como sigue: Riesgo es la posibilidad de que un evento ocurra y afecte desfavorablemente al l ogro de objetivos. Los eventos con impacto negativo impiden la creacin del valor o erosionan el valo r existente. Ejemplos de esto lo constituyen las averas de la maquinaria, un ince ndio o prdidas de crdito. Este tipo de eventos pueden derivarse de condiciones apa rentemente positivas, como, por ejemplo, cuando la demanda de productos por los clientes supera a la capacidad productiva, provocando fallos al atender las soli citudes de los compradores, la erosin de la fidelidad del cliente y el declive de pedidos futuros. Los eventos con impacto positivo pueden compensar otros impactos negativos o rep resentar oportunidades. Una oportunidad se define como sigue: Oportunidad es la posibilidad de que un evento ocurra y afecte positivamente a l a consecucin de objetivos. Las oportunidades refuerzan la creacin de valor o su conservacin. La direccin las r evierte hacia la estrategia o los procesos de fijacin de objetivos, para que se p uedan formular acciones que aprovechen las oportunidades. Definicin de la Gestin de Riesgos Corporativos La gestin de riesgos corporativos se ocupa de los riesgos y oportunidades que afe ctan a la creacin de valor o su preservacin. Se define de la siguiente manera: La gestin de riesgos corporativos es un proceso efectuado por el consejo de admin istracin de una entidad, su direccin y restante personal, aplicado en la definicin de la estrategia y en toda la entidad y diseado para identificar eventos potencia les que puedan afectar a la organizacin y gestionar sus riesgos dentro del riesgo aceptado, proporcionando una seguridad razonable sobre el logro de objetivos.

Esta definicin refleja algunos conceptos fundamentales de la gestin de riesgos cor porativos: Es un proceso continuo que fluye a travs de una entidad. Se realiza por personas en cada nivel de una organizacin. Se aplica al establecimiento de la estrategia. Se aplica en toda la empresa, a cada nivel y unidad, e incluye una perspectiva d el riesgo al nivel de entidad Est diseada para identificar eventos potenciales que afecten a la entidad y gestio nar los riesgos dentro del riesgo aceptado. Puede proporcionar una seguridad razonable a la direccin y al consejo de administ racin de una entidad. Est orientada a la consecucin de objetivos en una o varias categoras separadas, au que es un medio para conseguir un fin, no un fin en s mismo. La definicin es conscientemente amplia por varias razones. Capta los conceptos cl aves fundamentales de cmo las empresas y otras organizaciones gestionan el riesgo y proporciona una base para su aplicacin en todas las entidades y sectores. Se c entra directamente en el cumplimiento de los objetivos establecidos por una enti dad determinada y proporciona una base para definir la eficacia en la gestin de r iesgos corporativos que se comentar posteriormente en este captulo.

Consecucin de Objetivos Dentro del contexto de la misin establecida, la direccin fija objetivos estratgicos , selecciona su estrategia y establece otros objetivos que fluyen en cascada por toda la entidad y estn en lnea con la estrategia y vinculados a ella. Aunque much os objetivos son especficos para una entidad determinada, algunos son ampliamente compartidos. Por ejemplo, son objetivos comunes para prcticamente todas las enti dades la consecucin y mantenimiento de una reputacin positiva en el mbito empresari al y de negocio, la generacin de informacin fiable para los grupos de inters o un d esarrollo de operaciones en concordancia con las leyes y normas. Este Marco establece cuatro categoras de objetivos de una entidad: Estrategia Relativos a los objetivos restndole apoyo Operaciones Relativos al uso eficaz y Informacin Relativos a la fiabilidad Cumplimiento Relativos al cumplimiento de alto nivel, alineados con la misin de la entidad y p eficiente de los recursos de la entidad de los informes de la entidad por la entidad de las leyes y normas aplicables .

Esta clasificacin de los objetivos de una entidad por categoras permite enfocar lo s aspectos diferenciados de la gestin de riesgos corporativos. Estas categoras dis tintas, aunque atienden a las distintas necesidades de la entidad y posiblemente a la responsabilidad directa de diferentes directivos, permitiendo tambin distin guir entre lo que puede esperarse de cada una de ellas. Algunas entidades utilizan otra categora de objetivos, la salvaguarda de recursos, a veces denominada salvaguarda de activos. Desde una perspectiva amplia, trata de la prevencin de prdidas de activos o recursos de una entidad por robo, despilfarro , ineficiencia o simplemente por decisiones empresariales equivocadas, tales com o vender productos a un precio demasiado bajo, no haber podido retener a emplead os claves o evitar infracciones de patentes o incurrir en pasivos imprevistos. Son principalmente objetivos operacionales, aunque ciertos aspectos de la salvag uarda pueden clasificarse en otras categoras. Cuando se aplican requisitos legale s o normativos, se trata de temas de cumplimiento. Cuando se consideran conjunta mente con la informacin al pblico, a menudo se usa una definicin ms restringida de l a salvaguarda de activos, que trata de la prevencin o deteccin oportuna de cualqui er adquisicin, uso o disposicin no autorizada de los activos de la entidad que pod ra tener un efecto material sobre los estados financieros. Se puede esperar de la gestin de riesgos corporativos que proporcione una segurid ad razonable del logro de objetivos relativos a la fiabilidad de la informacin y el cumplimiento de leyes y normas. La consecucin de estas categoras de objetivos e st dentro del control de la entidad y depende de su grado de xito en la realizacin de actividades relativas a ellas. Sin embargo, el logro de objetivos estratgicos, como la obtencin de una cuota de m ercado especfica, y de objetivos operativos, como el lanzamiento con xito de una n ueva lnea de producto, no est siempre dentro del control de la entidad. La gestin d e riesgos corporativos no puede prevenir juicios o decisiones equivocadas, ni ev entos externos que puedan provocar que una entidad falle en la consecucin de obje tivos operativos. Sin embargo, s mejora la probabilidad de que la direccin tome me jores decisiones. Respecto a dichos objetivos, la gestin de riesgos corporativos puede proporcionar una seguridad razonable de que la direccin y el consejo de adm inistracin, en su papel de supervisin, sean informados oportunamente del grado de progreso de la entidad hacia la consecucin de sus objetivos.

Componentes de la Gestin de Riesgos Corporativos La gestin de riesgos corporativos consta de ocho componentes interrelacionados, d erivados de la manera como la direccin lleva el negocio, que se integran en el pr oceso de gestin. Estos componentes son: Ambiente interno La direccin fija una filosofa respecto al riesgo y determina el riesgo aceptado. E l ambiente interno establece la base de cmo el personal de la empresa debe percib ir y afrontar el control y el riesgo. El ncleo de cualquier negocio est constituid o por sus personas con sus atributos individuales, incluyendo integridad, valore s ticos y competencia- y el entorno en el que actan. Establecimiento de objetivos Los objetivos deben existir antes de que la direccin pueda identificar los evento s potenciales que afectan a su consecucin. La gestin de riesgos corporativos asegu ra que la direccin ha establecido un proceso para fijar objetivos y que los objet ivos seleccionados apoyan la misin de la entidad y se alinean con ella, adems de s er consistentes con el riesgo aceptado. Identificacin de eventos Deben identificarse los eventos potenciales que pueden tener un impacto en la en tidad. Esto implica la identificacin de posibles acontecimientos internos o exter nos que afectan a la consecucin de objetivos, diferencindolos segn su procedencia, e incluye la distincin entre los que representan riesgos u oportunidades o ambas circunstancias a la vez. Las oportunidades se reenvan hacia la estrategia de la d ireccin o a los procesos para fijar objetivos. Evaluacin de riesgos Los riesgos identificados se analizan para formar una base que determine cmo debe n gestionarse y se asocian a los objetivos a los que pueden afectar, evalundose d esde la doble perspectiva de riesgo inherente y residual y considerando tanto su probabilidad como su impacto. Respuesta a los riesgos El personal identifica y evala las posibles respuestas a los riesgos: evitar, ace ptar, reducir o compartir. La direccin selecciona un conjunto de acciones para po ner en lnea los riesgos con sus tolerancias respectivas y el riesgo aceptado por la entidad. Actividades de control Las polticas y procedimientos se establecen y ejecutan para asegurar que se lleva n a cabo eficazmente las respuestas a los riesgos seleccionadas por la direccin. Informacin y comunicacin La informacin relevante se identifica, capta y comunica de un modo y en un plazo que permita a las personas desarrollar sus responsabilidades. Hace falta informa cin a todos los niveles de una entidad para identificar, evaluar y responder a lo s riesgos. Tambin puede darse una comunicacin eficaz en sentido amplio, cuando flu ye en todas direcciones dentro de la entidad. El personal debe recibir comunicac iones claras sobre su papel y responsabilidades. Supervisin Toda la gestin de riesgos corporativos se supervisa, realizando icaciones que sean necesarias. De este modo, se puede reaccionar ambiar si varan las circunstancias. Esta supervisin se lleva a vidades permanentes de la direccin, evaluaciones independientes esgos corporativos o una combinacin de ambas actuaciones. en ella las modif dinmicamente y c cabo a travs de acti de la gestin de ri

La gestin de riesgos corporativos es un proceso dinmico. Por ejemplo, la evaluacin

de los riesgos induce una respuesta a ellos y puede influir en las actividades d e control, as como destacar la conveniencia de reconsiderar las necesidades infor mativas y de comunicacin o las actividades de supervisin de la entidad. As, la gest in de riesgos corporativos no slo constituye estrictamente un proceso en serie, do nde cada componente afecta slo al siguiente, sino que es un proceso multidireccio nal e iterativo en que casi cualquier componente puede influir en otro. No existen dos entidades que apliquen o debieran aplicar la gestin de riesgos cor porativos del mismo modo. Las empresas y sus capacidades y necesidades de gestin de riesgos corporativos difieren enormemente segn su dimensin y sector y segn la fi losofa y cultura de la direccin. As, aunque todas las entidades deberan tener cada c omponente en su lugar y operando eficazmente, la aplicacin de la gestin de riesgos corporativos en una entidad incluyendo las herramientas y tcnicas aplicadas y la asignacin de papeles y responsabilidades a menudo no tendr el mismo aspecto que la empleada en otras entidades. Relacin entre Objetivos y Componentes Existe una relacin directa entre los objetivos que una entidad intenta alcanzar y los componentes de la gestin de riesgos corporativos, que representan lo que hac e falta para lograr aquellos. Esta relacin se muestra a travs de la matriz tridime nsional en forma de cubo que se muestra en la figura 1.1. 36 o estn

Las cuatro categoras de objetivos estrategia, operaciones, informacin y cumplimien representadas por las columnas verticales. Los ochos componentes estn representados por las filas horizontales. La entidad y sus unidades estn representadas por la tercera dimensin del cubo.

Cada fila con un componente cruza y afecta a las cuatro categoras de objetivos. P or ejemplo, los datos financieros y no financieros generados desde fuentes inter nas y externas, que forman parte del componente de informacin y comunicacin, son n ecesarios para fijar la estrategia, gestionar eficazmente las operaciones del ne gocio, informar adecuadamente y determinar si la entidad cumple o no las leyes a plicables. Asimismo, si observamos las categoras de objetivos, los ocho component es son relevantes para cualquiera de ellas. Tomando una categora, por ejemplo, la eficacia y eficiencia operativa, le resultan aplicables los ocho componentes, q ue son importantes para su consecucin. Debera reconocerse que las cuatro columnas representan categoras de objetivos de u na entidad y no partes o unidades de sta. De acuerdo con esto, cuando se consider e la categora de objetivos relativos a la informacin, por ejemplo, ser necesario co nocer una amplia gama de datos sobre las operaciones de la entidad. Pero en este caso, el foco est en la segunda columna desde la derecha en la cara horizontal s uperior informacin de objetivos y no en la tercera operaciones como podra parecer. Eficacia Aunque la gestin de riesgos corporativos es un proceso, su eficacia es un estado o condicin en un momento determinado. Discernir si la gestin de riesgos corporativ os es eficaz es un juicio que se deriva de una evaluacin acerca de si estn presentes los ocho componentes y funcionan eficazmente. As, los componentes tambin constitu yen criterios para una gestin eficaz de riesgos corporativos. Para que los compon entes estn presentes y funcionen adecuadamente, no puede haber debilidades materi ales y los riesgos deben haberse encajado dentro del riesgo aceptado por la enti dad. Cuando se determine que la gestin de riesgos corporativos es eficaz en cada una d e las cuatro categoras de objetivos, respectivamente, el consejo de administracin y la direccin tendrn una seguridad razonable de que: Se conoce el grado de consecucin de los objetivos estratgicos de la entidad.

Se conoce el grado de consecucin de los objetivos operativos de la entidad La informacin de la entidad es fiable. Se cumplen las leyes y normas aplicables.

Aunque para que la gestin de riesgos corporativos pueda considerarse eficaz, los ocho componentes deben estar presentes y funcionar correctamente aplicando los p rincipios descritos en captulos siguientes -, pueden existir entre ellos algunos conflictos. Dado que las tcnicas de gestin de riesgos corporativos sirven para una variedad de propsitos, algunas de las que se aplican a un determinado componente tambin puede n cubrir el propsito de tcnicas normalmente aplicables a otros. Adicionalmente, las respuestas a los riesgos pueden diferir en su grado de atenc in a uno concreto, por lo que las respuestas y controles complementarios, cada un o de efecto limitado, pueden ser satisfactorios en conjunto. Los conceptos que comentamos aqu son aplicables a todas las entidades, sea cual s ea su dimensin. Aunque algunas pequeas y medianas empresas puedan implantar factor es de componentes en forma diferente a otras ms grandes, tambin pueden conseguir u na gestin eficaz de riesgos corporativos. La metodologa para cada componente proba blemente sea menos formal y estructurada en las entidades pequeas que en las gran des, pero los conceptos bsicos debern estar presentes en todas ellas. Normalmente, la gestin de riesgos corporativos se considera dentro del contexto d e una entidad en su conjunto, lo que implica considerar su aplicacin a las unidad es significativas de negocio. Sin embargo, puede haber circunstancias en las que la eficacia de dicha gestin deba ser evaluada de modo individual en una determin ada unidad de negocio. En tales casos, para que exista eficacia en la gestin en e sta unidad, los ocho componentes tienen que estar presentes y funcionar eficazme nte en ella. As, por ejemplo, como contar con un consejo de administracin con caractersticas esp ecficas forma parte del mbito interno, la gestin de riesgos corporativos de una esp ecifica unidad de negocio slo podr juzgarse como eficaz cuando dicha unidad tenga un consejo de administracin u organismo similar que funcione adecuadamente (o cua ndo el consejo de administracin de la entidad lleve a cabo una adecuada supervisin directa sobre la unidad de negocio). De forma similar, debido a que el componen te de respuesta a los riesgos se describe desde una perspectiva de cartera de ri esgos, para que la gestin de riesgos corporativos en dicha unidad de negocio pued a considerarse eficaz, tambin debera aplicarse en ella este tipo de perspectiva. Inclusin del Control Interno El control interno es una parte integral de la gestin de riesgos corporativos y, en consecuencia, el Marco de esta ltima incluye a aqul, aportando as a la direccin u na conceptualizacin y herramienta ms robustas. El control interno se define y desc ribe en el documento Control Interno Marco integrado. Como este documento compon e la base de las reglas, normas y leyes existentes y ha resistido la prueba del tiempo, contina vigente como fuente de la definicin y el marco del control interno . Aunque en el presente documento slo se reproduzcan algunas secciones de Control i nterno Marco integrado, su totalidad s queda integrada en l mediante referencias. Gestin de Riesgos Corporativos y Proceso de Direccin Como la gestin de riesgos corporativos forma parte del proceso de direccin, los co mponentes del presente Marco se comentan dentro del contexto de lo que hace la g erencia al dirigir una empresa u otro tipo de entidad. Por el contrario, no todo lo que hace la direccin de una entidad forma parte de la gestin de riesgos corpor ativos y as, muchos juicios aplicados en la toma de decisiones directivas y otras

acciones asociadas, aunque constituyan parte del proceso de direccin, no forman parte de esa gestin. Por ejemplo: Constituye un componente crtico de la gestin de riesgos corporativos el que exista un proceso apropiado para fijar objetivos en la entidad, pero determinados obje tivos seleccionados por la direccin no forman parte de dicha gestin. Responder a los riesgos, desde una adecuada evaluacin suya, forma parte de la ges tin de riesgos corporativos, pero no as determinadas respuestas al riesgo seleccio nadas y la correspondiente asignacin de recursos de la entidad. Establecer y ejecutar actividades de control para ayudar a asegurar que se lleva n a cabo de modo eficaz las respuestas a los riesgos que la direccin selecciona, forma parte de la gestin de riesgos corporativos, pero no as las particulares acti vidades de control seleccionadas. En general, la gestin de riesgos corporativos implica a aquellos elementos del pr oceso de direccin que permiten a la gerencia tomar decisiones informadas basadas en el riesgo, pero determinadas decisiones seleccionadas dentro de una gama de o pciones apropiadas no sirven para establecer si la gestin de riesgos corporativos es eficaz o no. Sin embargo, aunque los objetivos, respuestas al riesgo y activ idades de control elegidas sean temas a juicio de la direccin, la seleccin efectua da debe dar como resultado la reduccin del riesgo a un nivel aceptable, determina do por el riesgo aceptado y una seguridad razonable respecto a la consecucin de l os objetivos de la entidad. 2. AMBIENTE INTERNO Filosofa de Gestin de Riesgos La filosofa de gestin de riesgos de una entidad es el conjunto de creencias y acti tudes compartidas que caracterizan cmo se contempla el riesgo en ella, desde el d esarrollo e implantacin de la estrategia hasta sus actividades cotidianas. Reflej a los valores de la entidad, influye en su cultura y estilo operativo y afecta a cmo se aplican los componentes de dicha gestin, incluyendo la identificacin de rie gos, los tipos de riesgo aceptados y cmo son gestionados. Una entidad que ha tenido xito aceptando riesgos significativos probablemente ten ga una visin diferente de la gestin de riesgos corporativos que otra que se haya e nfrentado a severas consecuencias econmicas o reguladoras por haberse aventurado en territorio peligroso. Cuando la filosofa de gestin de riesgos est bien desarrollada, entendida y aceptada por el personal, la entidad estar en posicin de reconocer y gestionar los riesgos eficazmente. De lo contrario, puede existir de manera inaceptable una aplicacin desigual de la gestin de riesgos corporativos en las unidades de negocio, funcion es o departamentos. Esta filosofa se refleja en casi todo el quehacer de la direccin para gestionar la entidad y se plasma en las declaraciones de polticas, las comunicaciones verbale s y escritas y la toma de decisiones. Riesgo Aceptado El riesgo aceptado es el volumen de riesgo, a un nivel amplio, que una entidad e st dispuesta a aceptar en su bsqueda de valor. Refleja la filosofa de gestin de ries go de la entidad e impacta a su vez en su cultura y estilo operativo. El riesgo aceptado debe tenerse en cuenta al fijar la estrategia, pues el rendim iento deseado de la estrategia debe estar alineado con el riesgo aceptado de la entidad. Diferentes estrategias expondrn a la entidad a niveles diferentes de rie sgo y la gestin de riesgos corporativos, aplicada en esta fase de fijacin de estra tegias, ayuda a la direccin a seleccionar una estrategia coherente con el riesgo aceptado. Las entidades pueden considerar el riesgo aceptado de un modo cualitativo, usand o categoras como alto, moderado o bajo, o bien optar por un enfoque cuantitativo, que refleje los objetivos de crecimiento y rendimiento y los equilibre con los

riesgos. El Consejo de Administracin El consejo de administracin de una entidad es una parte crtica del mbito interno e influye de modo significativo en sus elementos. Su independencia frente a la dir eccin, la experiencia y reputacin de sus miembros, su grado de implicacin y supervi sin de las actividades y la adecuacin de sus acciones juegan un papel muy importan te. Otras caractersticas son el alcance con que se plantean y persiguen, junto co n la direccin, cuestiones difciles relativas a estrategias, planes y rendimientos y su interaccin o la del comit de auditora con los auditores internos externos. Un consejo de administracin u organismo similar activo e implicado debera poseer u na adecuada experiencia directiva, tcnica y de otro tipo, junto con la necesaria mentalidad para llevar a cabo sus responsabilidades de supervisin. Esto es crtico para un entorno eficaz de gestin de riesgos corporativos. Los miembros de la alta direccin pueden ser partcipes eficaces en el consejo, apor tando su conocimiento profundo de la empresa. Sin embargo, debe existir un nmero suficiente de miembros externos independientes que no slo faciliten consejo y ori entacin razonables, sino que tambin sirvan como una necesaria verificacin y supervi sin de la direccin. Los consejos de administracin eficaces aseguran que la direccin mantiene una adecu ada gestin de riesgos corporativos. Hay que reconocer que, aunque una compaa pueda tener una estrategia slida, empleados competentes, slidos procesos de negocio y un a tecnologa fiable, es vulnerable al riesgo como cualquier entidad y necesita un proceso de gestin de riesgos corporativos que funcione eficazmente. Integridad y Valores ticos La estrategia y objetivos de una entidad y la manera en que se ponen en prctica s e basan en las preferencias, juicios de valor y estilos de gestin. La integridad de la direccin y su compromiso con los valores ticos influyen en dichas preferenci as y juicios, que se traducen en normas de conducta. Dado que la reputacin de una entidad es tan valiosa, las normas de conducta deben ir ms all del mero cumplimie nto de la ley. Los directivos de empresas bien gestionadas aceptan cada vez ms la idea de que la tica es rentable y que una conducta ntegra es un buen negocio. La integridad de la direccin es un requisito previo de la conducta tica en todos l os aspectos de la actividad de una entidad. La eficacia de la gestin de riesgos c orporativos no debe sobreponerse a la integridad y los valores ticos de las perso nas que crean, administran y controlan sus actividades. La integridad y valores t icos son elementos esenciales del mbito interno de una entidad y afectan al diseo, administracin y seguimiento de los otros componentes de la gestin de riesgos corp orativos. A menudo, resulta difcil establecer los valores ticos, dada la necesidad de tener en cuenta las preocupaciones de varias partes. Los valores de la direccin deben e quilibrar los intereses de la empresa, sus empleados, proveedores, clientes y co mpetidores y del pblico en general. La bsqueda de este equilibrio entre intereses, a menudo contrarios, puede resultar complicada y frustrante. La conducta tica y la integridad de la direccin se derivan de la cultura corporati va, que abarca las normas ticas y de conducta y cmo son comunicadas y potenciadas. Las polticas oficiales especifican lo que el consejo y la direccin quieren que su ceda. La cultura corporativa determina lo que actualmente ocurre y qu reglas son acatad as, manipuladas o ignoradas. La alta direccin, empezando por el consejero delegad o, juega un papel clave a la hora de establecer la cultura corporativa. Ciertos factores organizativos tambin pueden influir en la probabilidad de que ex istan prcticas fraudulentas y cuestionables en la informacin financiera. Estos mis mos factores probablemente tambin influyan en la conducta tica. Los individuos pue den implicarse en actos deshonestos, ilegales o no ticos, simplemente porque la e ntidad les proporciona importantes incentivos o tentaciones para hacerlo. Un nfas is indebido sobre los resultados, particularmente a corto plazo, puede fomentar un ambiente interno inadecuado. Enfocarse solamente a los resultados a corto pla

zo puede daar a la entidad, incluso en ese mismo corto plazo. Centrarse en los re sultados, ventas o beneficios a cualquier coste, a menudo provoca acciones o rea cciones no deseadas. Las tcticas agresivas de venta, las negociaciones sin piedad , las ofertas tcitas de sobornos, por ejemplo, pueden provocar reacciones con efe ctos inmediatos (e, incluso, duraderos). Eliminar o reducir los incentivos y tentaciones inadecuadas supone un buen camin o hacia la eliminacin de conductas no deseadas. Otra causa de prcticas cuestionables es la ignorancia. Los valores ticos no slo deb en ser comunicados, sino tambin acompaados por una orientacin explcita de lo que est bien y mal. Los cdigos formales de conducta corporativa son importantes y sirven de base para un programa eficaz de tica. Los cdigos tratan una variedad de temas d e conducta, tales como integridad y tica, conflictos de inters, pagos ilegales o i nadecuados y acuerdos contra la libre competencia. Tambin son importantes los can ales ascendentes de comunicacin, para que los empleados se sientan cmodos aportand o informacin relevante. La existencia de un cdigo escrito de conducta, de documentacin donde conste que lo s empleados lo han recibido y entendido y un adecuado canal de comunicaciones no aseguran por s mismos que el cdigo se est cumpliendo. Tambin son importantes para su cumplimiento las sanciones resultantes para los em pleados que lo violen, los mecanismos que animen al personal a denunciar presunt as violaciones y las acciones disciplinarias contra empleados que conscientement e no denuncien las infracciones. Sin embargo, el cumplimiento de las normas ticas, formalizadas o no en un cdigo es crito, est igualmente, si no ms, asegurado eficazmente por las acciones de la alta direccin y su ejemplo. Es probable que los empleados desarrollen las mismas acti tudes hacia lo correcto e incorrecto y acerca de los riesgos y controles que las exhibidas por la alta direccin. Los mensajes transmitidos por las acciones de la direccin se incorporan rpidamente a la cultura corporativa. Compromiso con la Competencia La competencia refleja los conocimientos y habilidades necesarios para realizar el cometido asignado. La direccin decide el nivel de realizacin de los cometidos, sopesando la estrategia y objetivos de la entidad respecto a sus planes de impla ntacin y realizacin. Existe a menudo un conflicto entre competencia y coste, no es necesario, por ejemplo, contratar a un ingeniero elctrico para cambiar una bombi lla. La direccin establece los niveles de competencia para trabajos concretos y los tr ansforma en conocimientos y habilidades requeridos. A su vez, stos pueden depende r de la inteligencia, formacin y experiencia del individuo. Los factores a tener en cuenta en el desarrollo de niveles de conocimiento y habilidad incluyen la na turaleza y grado del juicio a aplicar en un trabajo concreto. A menudo, existe u n conflicto entre el grado de supervisin y el nivel de competencia requerido del individuo. Estructura Organizativa La estructura organizativa de una entidad proporciona el marco para planificar, ejecutar, controlar y supervisar sus actividades. Una estructura organizativa re levante incluye la definicin de reas claves de autoridad y responsabilidad y el es tablecimiento de lneas adecuadas de informacin. Por ejemplo, una funcin de auditora interna debera estructurarse de manera que alcance objetividad organizativa y que se permita su acceso ilimitado a la alta direccin y al comit de auditora del conse jo, al mismo tiempo que su mximo responsable debe informar y reportar a un nivel de la organizacin que permita que la auditora interna cumpla con su cometido. Una entidad desarrolla una estructura organizativa ajustada a sus necesidades. A lgunas son centralizadas y otras descentralizadas. Unas presentan relaciones dir ectas de dependencia, mientras otras tienen una organizacin del tipo matricial. C iertas entidades estn organizadas por sector de actividad o lnea de producto, por ubicacin geogrfica, por un modo concreto de distribucin o por una determinada red c omercial. Otras entidades, incluyendo muchos organismos gubernamentales, estatal

es o locales, y entidades sin nimo de lucro, estn organizadas por funciones. La adecuacin de la estructura organizativa de una entidad depende en parte de su dimensin y de la naturaleza de sus actividades. Una organizacin muy estructurada c on lneas formales de dependencia y responsabilidad puede resultar adecuada para u na entidad grande con muchas divisiones operativas, incluyendo las operaciones e n el extranjero. Sin embargo, en una empresa reducida, esta estructura podra impe dir el flujo necesario de informacin. Sea cual sea dicha estructura, una entidad debera organizarse para permitir una gestin eficaz de riesgos corporativos, desarr ollar sus actividades y alcanzar sus objetivos. Asignacin de Autoridad y Responsabilidad La asignacin de autoridad y responsabilidad implica el punto hasta el que los ind ividuos y equipos estn autorizados y animados a utilizar su iniciativa para trata r los temas y resolver problemas, as como los lmites de dicha autoridad. Incluye e l establecimiento de relaciones de informacin y protocolos de autorizacin, adems de polticas que describan las prcticas empresariales adecuadas, los conocimientos y experiencia del personal clave y los recursos proporcionados para que lleven a c abo sus cometidos. Algunas entidades han descentralizado la toma de decisiones a niveles inferiores para aproximar la toma de decisiones al personal de lnea. La delegacin de autorid ad significa traspasar el control central de algunas decisiones de negocio hacia niveles inferiores a los individuos que estn ms cerca de las transacciones empres ariales cotidianas. Esto puede implicar la delegacin de facultades para vender pr oductos con descuento, negociar contratos con proveedores, licencias o patentes a largo plazo y formar alianzas o joint ventures. Un reto crtico ser delegar slo en la cuanta requerida para alcanzar objetivos, lo qu e implica asegurar que la toma de decisiones se basa en prcticas slidas de identif icacin y evaluacin de riesgos, incluyendo su dimensionamiento y la relacin entre prd idas potenciales y ganancias posibles al determinar los riesgos aceptables y cmo gestionarlos. Otro reto ser asegurarse de que todo el personal entiende los objetivos de la ent idad. Es esencial que los individuos conozcan cmo sus acciones se relacionan entr e s y contribuyan a la consecucin de objetivos. Una mayor delegacin a veces va intencionalmente acompaada o lleva como resultado a una simplificacin o aplanamiento de la estructura organizativa. Un cambio estructu ral til que fomente la creatividad, la toma de iniciativas y reduzca los tiempos de respuesta, puede mejorar la competitividad y la satisfaccin del cliente. Esta mayor delegacin de facultades puede acarrear como requisito implcito un mayor nive l de competencia del empleado, adems de un aumento de su responsabilidad. En com binacin con mejores decisiones orientadas al mercado, delegar puede aumentar el nm ero de decisiones indeseadas o no anticipadas. Por ejemplo, si un director comer cial regional decide que su autoridad para vender con un descuento del 35% sobre precio de catlogo le permite aplicar un descuento temporal del 45% a fin de aume ntar la cuota de mercado, la direccin posiblemente debiera conocerlo, para poder anular o aceptar dicha decisin. El mbito interno se ve muy influenciado por el grado de responsabilidad reconocid o por los individuos, algo aplicable hasta al consejero delegado, quien, conjunt amente con la supervisin del consejo de administracin, es el mximo responsable de t odas las actividades de la entidad. Normas para Recursos Humanos Las prcticas de recursos humanos relacionadas con la contratacin, orientacin, forma cin, evaluacin, tutora, promocin, compensacin y adopcin de acciones remediadoras trans miten mensajes a los empleados en relacin con los niveles esperados de integridad , conducta tica y competencia. Por ejemplo, las normas de contratacin de las perso nas ms cualificadas, poniendo el nfasis en su historial acadmico, experiencia labor al previa, logros anteriores y pruebas de su integridad y conducta tica, muestran el compromiso de una entidad con las personas competentes y de confianza. Lo mi smo se aplica cuando las prcticas de seleccin e incorporacin de personal incluyen e ntrevistas formales y unos cursos de formacin sobre la historia, cultura y estilo

operativo de la entidad. Las polticas de formacin pueden potenciar los niveles esperados de rendimiento y c onducta mediante la comunicacin de los papeles y responsabilidades futuras y la i nclusin de prcticas, tales como los talleres y seminarios de formacin, estudio de c asos simulados y ejercicios de interpretacin de papeles. Los traslados y ascensos impulsados por evaluaciones peridicas del rendimiento muestran el compromiso de la entidad con la promocin de sus empleados cualificados. Los programas competiti vos de compensacin que incluyen incentivos sirven para motivar y potenciar el ren dimiento destacable, aunque los sistemas de compensacin debern estar estructurados y debidamente controlados, para evitar la indebida tentacin de falsificar los re sultados comunicados. Las acciones disciplinarias transmiten el mensaje de que n o sern toleradas las violaciones de la conducta esperada. Es esencial que los empleados estn preparados para enfrentarse a nuevos retos a m edida que los temas y riesgos cambian en la entidad y se hacen ms complejos impul sados en parte por tecnologas que cambian rpidamente y el aumento de la competitiv idad. La educacin y formacin, basadas en cursos, autoestudio o enseanza en el puest o de trabajo, deberan ayudar al personal a mantenerse a nivel con un entorno en e volucin y enfrentarse eficazmente a l. No es suficiente la contratacin de personas competentes a las que se les proporc iona solo formacin en el momento inicial. El proceso formativo debe ser constante . Implicaciones Es difcil valorar en exceso la importancia del ambiente interno de una entidad y el impacto positivo o negativo que pueda tener en los otros componentes de la ge stin de riesgos corporativos. El impacto de un ambiente interno ineficaz puede te ner amplias consecuencias, tales como prdidas financieras, una imagen pblica manci llada o la quiebra. Por ejemplo, se pensaba que cierta compaa de energa mantena una eficaz gestin de ries gos corporativos, ya que contaba con directivos muy cualificados y respetados, u n prestigioso consejo de administracin, una estrategia innovadora, sistemas de in formacin y controles bien diseados, amplios manuales de polticas sobre las funcione s de riesgo y control y detallados procedimientos integrales de conciliacin y sup ervisin. Sin embargo, su ambiente interno tena un defecto significativo: La direcc in participaba en prcticas empresariales muy cuestionables y el consejo miraba par a otro lado. Se averigu que la compaa haba falseado sus resultados financieros y que sufra una prdida de confianza de los accionistas, una crisis de liquidez y la des truccin de valor de la entidad. Finalmente, dio lugar a una de las quiebras ms son adas de la historia. 3. ESTABLECIMIENTO DE OBJETIVOS El establecimiento de objetivos es condicin previa para la identificacin de evento s, la evaluacin de riesgos y la respuestas a ellos. Tienen que existir primero lo s objetivos para que la direccin pueda identificar y evaluar los riesgos que impi dan su consecucin y adoptar las medidas necesarias para gestionar stos ltimos.

Objetivos Estratgicos La misin de una entidad establece en amplios trminos lo que se aspira a alcanzar. Sea cual sea el trmino empleado, como misin, visin o finalidad, es importante que la ccin con la supervisin del consejo establezca expresamente la razn de ser de la entid ad en trminos generales. A partir de esto, la direccin fija los objetivos estratgic os, formula la estrategia y establece los correspondientes objetivos operativos, de informacin y de cumplimiento para la organizacin. Aunque la misin de una entida d y sus objetivos estratgicos sean generalmente estables, su estrategia y muchos objetivos relacionados con ella son ms dinmicos y se adecuan mejor a las cambiante s condiciones internas y externas.

Estos objetivos estratgicos son de alto nivel, estn alineados con la misin/visin de la entidad y la dan su apoyo. Reflejan la opcin que ha elegido la direccin en cuan to a cmo la entidad crear valor para sus grupos de inters. Objetivos Relacionados Constituye un factor crtico de xito el establecimiento de objetivos adecuados que apoyen a la estrategia seleccionada, correspondiente a todas las actividades de la entidad, y estn en lnea con ella. Al enfocar primero los objetivos estratgicos y la estrategia, una entidad est en posicin de desarrollar los objetivos globales, cuya consecucin crear y conservar el valor. Los objetivos al nivel de empresa estn v inculados y se integran con otros objetivos ms especficos, que repercuten en casca da en la organizacin hasta llegar a sus objetivos establecidos, por ejemplo, en l as diversas actividades de ventas, produccin, ingeniera e infraestructura. Al fijar sus objetivos a los niveles de entidad y actividades, la organizacin pue de identificar los factores crticos de xito, que han de funcionar bien si se quier en alcanzar los objetivos. Estos factores crticos afectan a la entidad, a cada un idad de negocio, funcin o departamento y a los individuos. Al fijar sus objetivos , la direccin puede identificar los criterios de medida del rendimiento, con aten cin a los factores crticos de xito. Cuando los objetivos guardan conformidad con las prcticas y rendimientos anterior es, se conoce la conexin entre actividades. Sin embargo, cuando los objetivos se desvan de estas prcticas anteriores de la entidad, la direccin debe reorientar las conexiones o aceptar unos riegos mayores. Los objetivos deben ser fcilmente entendibles y mensurables. La gestin de riesgos corporativos exige que el personal a todos los niveles tenga un entendimiento ne cesario de los objetivos de la entidad, en cuanto se relacionan con el mbito del individuo. Todos los empleados deben tener una comprensin mutua de lo que se ha d e lograr y de los medios para medir lo que se consiga. Categoras de Objetivos Relacionados A pesar de la diversidad de objetivos entre entidades, se pueden establecer algu nas categoras amplias: Objetivos operativos Se corresponden con la eficacia y eficiencia de las operaciones de la entidad, i ncluyendo los objetivos de rendimiento y rentabilidad y de salvaguarda de recurs os frente a prdidas. Varan segn las opciones de la direccin respecto a estructura y rendimiento. Objetivos de informacin Relativos a la fiabilidad de la informacin. Incluyen informacin interna y externa e implican la financiera y no financiera. Objetivos de cumplimiento Se refieren al cumplimiento de leyes y normas relevantes. Dependen de factores externos y tienden a ser similares entre entidades, en algunos casos, y sectoria lmente, en otros. Por contra, los objetivos operativos, as como los relativos a la informacin intern a de gestin, se basan ms en las preferencias, juicios y estilo de la direccin. Varan mucho entre entidades, simplemente porque personas capaces y honestas pueden se leccionar objetivos diferentes. Objetivos Operativos Los objetivos operativos se refieren a la eficacia y eficiencia de las operacion es de la entidad e incluyen otros sub-objetivos orientados a mejorar ambas carac

tersticas mediante la movilizacin de la empresa hacia sus metas finales. Los objetivos operativos deben reflejar los entornos empresarial, sectorial y ec onmico en los que acta la entidad. Necesitan, por ejemplo, ser relevantes respecto a las presiones competitivas hacia la calidad, una menor duracin del ciclo de pu esta a disposicin del producto en el mercado o hacia los cambios tecnolgicos. La d ireccin debe asegurar que los objetivos reflejan la realidad y las exigencias del mercado y que estn expresados en trminos que permitan conocer las principales med idas del rendimiento. Un conjunto claro de objetivos operativos, vinculados a su b-objetivos, es esencial para el xito. Los objetivos operativos proporcionan un p unto de focalizacin para orientar la asignacin de recursos. Si los objetivos no so n claros o no estn bien concebidos, dicha asignacin puede resultar desenfocada. Objetivos de Informacin Una informacin fiable proporciona a la direccin datos seguros y completos, adecuad os para la finalidad pretendida, y la presta apoyo en su toma de decisiones y en el seguimiento de las actividades y rendimientos de la entidad. Ejemplos de dic ha informacin son los resultados de las campaas de marketing, los informes de vent as diarias, la calidad de produccin y los resultados de encuestas sobre la satisf accin de clientes y empleados. La informacin tambin est relacionada con los document os preparados para su difusin externa, como es el caso de los estados financieros y sus notas de detalle, los comentarios y anlisis de la direccin y los informes p resentados a entidades reguladoras. Objetivos de Cumplimiento Las entidades deben llevar a cabo sus actividades y a menudo acciones concretas de acuerdo con las leyes y normas relevantes. Estos requisitos pueden referirse al mercado, precios e impuestos, medioambiente, bienestar de los empleados y com ercio exterior. Las leyes y normas aplicables establecen pautas mnimas de conduct a, que la entidad integra en sus objetivos de cumplimiento. Por ejemplo, las nor mas sobre higiene y salud laboral hacen que una empresa defina uno de sus objeti vos como Empaquetar y etiquetar todas los productos qumicos segn normativa. En este caso, las polticas y procedimientos se dirigen a los programas de comunicacin, ins pecciones in situ y formacin. El historial del cumplimiento de una entidad puede afectar de modo significativo positiva o negativamente a su reputacin en la comunid ad y el mercado. Sub-categoras Las categoras de objetivos forman parte del lenguaje comn establecido por este Mar co y facilitan la comprensin y la comunicacin. Una entidad puede, sin embargo, enc ontrar til plantear un subconjunto de una o ms de estas categoras, para facilitar l a comunicacin interna y externa sobre un tema ms especfico. Una empresa podra optar por comunicar la eficacia de una parte de la categora de informacin, por ejemplo l a gestin de riesgos corporativos en la informacin externa o quizs slo en la informac in externa de ndole financiera. Actuando as, permite que la comunicacin se mantenga dentro del contexto del presente Marco para dicha gestin y, a su vez, permite las comunicaciones sobre determinados subconjuntos de categoras. Sobre posicin de Objetivos Un objetivo de una categora puede reforzar a otro objetivo de otra o solaparse co n l. La categora en que incide un objetivo depende a veces de las circunstancias. Por ejemplo, proporcionar informacin fiable a la direccin de una unidad de negocio para que gestione y controle sus actividades de produccin, puede servir para alc anzar objetivos operativos y de informacin. Incluso, si esta informacin sirve para comunicar datos medioambientales a la Administracin, tambin se estn alcanzando obj etivos de cumplimiento. Algunas entidades usan otra categora de objetivos, la salvaguarda de recursos, a ve ces denominada salvaguarda de activos, que se solapa con las otras categoras de obj etivos. Vista con amplitud, la salvaguarda de activos trata de prevenir la prdida

de activos o recursos de una entidad por robo, despilfarro, ineficiencia o lo q ue resulta ser simplemente malas decisiones empresariales como la venta de produ ctos a un precio demasiado bajo, la ausencia de retencin de empleados claves, no haber prevenido la violacin de patentes o incurrir en pasivos no previstos. Son p rincipalmente objetivos operativos, aunque algunos aspectos de la salvaguarda de activos pueden incluirse en otras categoras. Sin embargo, cuando se aplican requ isitos legales o de normas, se convierten en objetivos de cumplimiento. Por otro lado, el reflejo adecuado de las prdidas de activos en los estados financieros d e la entidad representa un objetivo de informacin. Consecucin de Objetivos Un proceso adecuado para establecer objetivos es un componente crtico de la gestin de riesgos corporativos. Aunque los objetivos proporcionan metas mensurables a las que se encamina la entidad cuando realiza sus actividades, existen en ellos diferentes grados de importancia y prioridad. Por tanto, aunque una entidad deba tener seguridad razonable de que ciertos objetivos se estn alcanzando, puede que ste no sea el caso para todos ellos. Sin embargo, existe una diferencia entre los objetivos estratgicos y operativos, porque su consecucin no est exclusivamente bajo el control de la entidad. Una empr esa puede actuar tal como est previsto, pero es posible que un competidor le llev e ventaja. Est sujeta a eventos externos como un cambio de gobierno, mal tiempo u otros cuya existencia no est bajo su control. Incluso, es posible que la entidad h aya contemplado alguno de dichos eventos en el proceso de fijacin de objetivos, t ratndolos como si su probabilidad fuera remota y elaborando un plan de contingenc ia para el caso en que tuviesen lugar. Sin embargo, tal plan slo mitiga el impact o de los eventos externos y no asegura que los objetivos se vayan a alcanzar. La gestin de riesgos corporativos sobre las operaciones se centra principalmente en el desarrollo de una coherencia de objetivos y metas en toda la organizacin, e n la identificacin de factores de xito y riesgos claves, en la evaluacin de riesgos y la formulacin de respuestas acertadas, en las respuestas adecuadas a los riesg os, en el establecimiento de los controles necesarios y en la informacin oportuna del funcionamiento y expectativas. Objetivos Seleccionados Como parte de la gestin de riesgos corporativos, la direccin no slo elige los objet ivos y considera cmo apoyan la misin de la entidad, sino que tambin asegura que estn alineados con el riesgo aceptado por la entidad. Un error en dicha alineacin pod ra dar como resultado una aceptacin insuficiente del riesgo existente en el logro de objetivos o, por el contrario, una aceptacin de un riesgo excesivo. Una gestin eficaz de riesgos corporativos no dicta los objetivos que la direccin debe elegir , pero le proporciona un proceso para alinear los objetivos estratgicos con la mi sin de la entidad y asegurar que stos, junto con sus correspondientes objetivos co nexos, concuerdan con el riesgo aceptado por la entidad. Riesgo Aceptado El riesgo aceptado, establecido por la direccin bajo control del consejo de admin istracin, es una orientacin para establecer los objetivos. Las empresas pueden exp resar su riesgo aceptado como un equilibrio adecuado entre crecimiento, riesgo y rendimiento o como unas medidas de adicin de valor para el accionista, ajustadas a su propio nivel de riesgo. Algunas entidades, como son las organizaciones sin nimo de lucro, expresan su riesgo aceptado como el nivel de riesgo que aceptaran a cambio de crear valor para sus grupos de inters. Existe una relacin entre el riesgo aceptado de una entidad y su estrategia. Norma lmente se pueden disear muchas estrategias diferentes para conseguir los objetivo s deseados de crecimiento y rendimiento, cada uno con riesgos diferentes. La gestin de riesgos corporativos, aplicada al establecimiento de la estrategia,

ayuda a la direccin a seleccionar una estrategia consecuente con su riesgo acepta do. El riesgo aceptado se ve reflejado en la estrategia de la entidad, que, a su vez orienta la asignacin de recursos. La direccin distribuye los recursos entre las u nidades de negocio teniendo en cuenta el riesgo aceptado por la entidad y los pl anes estratgicos de cada unidad de negocio, para as generar el rendimiento deseado sobre los recursos invertidos. La direccin busca alinear la organizacin, el perso nal, los procesos y la infraestructura para facilitar la implantacin de la estrat egia con xito y capacitar a la entidad a mantenerse dentro de los lmites de su rie sgo aceptado. Tolerancias al Riesgo Las tolerancias al riesgo son los niveles aceptables de desviacin relativa a la c onsecucin de objetivos. Pueden medirse, y a menudo resulta mejor, con las mismas unidades que los objetivos correspondientes. Las medidas de rendimiento se usan para ayudar a asegurar que los resultados rea les se cien a las tolerancias al riesgo establecidas. Por ejemplo, una empresa fi ja un objetivo del 98% de puntualidad para sus entregas, con una desviacin acepta ble entre el 97% y el 100%; fija como objetivo de formacin una nota de aprobado d el 90%, con un rendimiento aceptable mnimo del 75%; y espera que el personal resp onda a todas las reclamaciones de los clientes en un plazo de 24 horas, aunque a cepta que hasta un 25% de ellas se atiendan entre 24 y 36 horas. Al fijar las tolerancias al riesgo, la direccin tiene en cuenta la importancia re lativa de los objetivos correspondientes y alinea aquellas con el riesgo aceptad o. Operar dentro de las tolerancias al riesgo proporciona a la direccin una mayor confianza en que la entidad permanece dentro de su riesgo aceptado, que, a su v ez, proporciona una seguridad ms elevada de que la entidad alcanzar sus objetivos. 4. IDENTIFICACIN DE EVENTOS Eventos Un evento es un incidente o acontecimiento, derivado de fuentes internas o exter nas, que afecta a la implantacin de la estrategia o la consecucin de objetivos. Lo s eventos pueden tener un impacto positivo, negativo o de ambos tipos a la vez. 56 Al identificar eventos, la direccin reconoce que existen incertidumbres, por lo q ue no sabe si alguno en particular tendr lugar y, de tenerlo, no sabe cundo ser, ni su impacto exacto. La direccin considera inicialmente una gama de eventos potenciales, derivados de fuentes internas o externas, sin tener que centrarse necesariamente sobre si su impacto es positivo o negativo. De esta forma, la direccin identifica no slo los e ventos potenciales negativos, sino tambin aquellos que representan oportunidades a aprovechar. Los eventos abarcan desde lo evidente inconsecuente a lo muy significativo. entos relevantes, procede realizar de cin de su probabilidad de ocurrencia a la Evaluacin de Riesgos. a lo desconocido, y sus efectos, desde lo Para evitar una consideracin excesiva de ev forma separada su identificacin y la evalua e impacto, aspecto este ltimo que corresponde

Sin embargo, existen limitaciones prcticas y a menudo es difcil saber distinguirla s. Pero incluso los eventos con una probabilidad de ocurrencia relativamente baja no deberan ignorarse si es grande su impacto sobre la consecucin de un objeti vo importante.

Factores Influyentes Son muchos los factores externos e internos que provocan eventos que afectan a l a implantacin de la estrategia y la consecucin de objetivos. Como parte de la gest in de riesgos corporativos, la direccin reconoce la importancia de entender dichos factores y el tipo de evento que puede derivarse de ellos. Los factores externos, junto con ejemplos de eventos relacionados y sus implicac iones, incluyen los siguientes: Econmicos Eventos tales como los cambios de precios, la disponibilidad de capital o unas m enores barreras a la entrada de la competencia, que generan mayores o menores co stes de capital y competidores nuevos. Medioambientales Incluyen las inundaciones, incendios y terremotos, que provocan daos a las instal aciones o edificios, un acceso restringido a las materias primas o la prdida de c apital humano. Polticos Incluyen la eleccin de gobiernos con nuevos programas polticos, leyes y normas, qu e provocan, por ejemplo, nuevas restricciones o aperturas en el acceso a mercado s extranjeros o impuestos mayores o menores. Sociales Relacionados con los cambios demogrficos, costumbres sociales, estructuras famili ares, prioridades trabajo/ocio y actividades terroristas, que tienen como result ado cambios en la demanda de productos y servicios, nuevos puntos de venta, aspe ctos relacionados con recursos humanos y paros en la produccin. Tecnolgicos Relativos a los nuevos medios de comercio electrnico, que generan una mayor dispo nibilidad de datos, reducciones de costes de infraestructura y un mayor aumento en la demanda de servicios basados en la tecnologa. Los eventos tambin se derivan de las decisiones de la direccin respecto a cmo se pr oducirn. La aptitud y capacidad de una entidad para reflejar las decisiones previ as, influye en los acontecimientos futuros y afectos a las decisiones de la dire ccin. Los factores internos, junto con ejemplos de eventos relacionados y sus implicac iones, incluyen los siguientes: Infraestructura Eventos como el incremento de asignacin de capital para mantenimiento preventivo y el apoyo a los centros de atencin a clientes reducen el tiempo de inactividad d el equipo y se mejora la satisfaccin del cliente. Personal Eventos como los accidentes laborales, las actividades fraudulentas y el vencimi ento de convenios colectivos, causan prdidas de personal disponible o monetario, daos de imagen y paros en la produccin. Procesos Eventos como la modificacin de procesos sin adecuados protocolos para la gestin de los cambios, los errores en su ejecucin y la externalizacin de entregas al client e con un control insuficiente, provocan prdidas de cuota de mercado, ineficiencia s e insatisfaccin y prdidas de clientes. Tecnologa Eventos como el aumento de recursos para gestionar la volatilidad de volumen, lo s fallos de seguridad y la potencial cada de los sistemas dan lugar a atrasos en la produccin, transacciones fraudulentas e incapacidad para continuar las operaci ones del negocio.

La identificacin de factores internos y externos que impactan en los eventos es ti l, a su vez, para identificar a estos ltimos. Una vez que se han identificado los principales factores contribuyentes, la direccin puede considerar su relevancia y centrarse en los eventos que puedan afectar al logro de objetivos. Tcnicas de Identificacin de Eventos La metodologa de identificacin de eventos de una entidad puede comprender una comb inacin de tcnicas, junto con herramientas de apoyo. Por ejemplo, la direccin puede usar talleres interactivos de trabajo como parte de dicha metodologa, con un moni tor que emplee alguna herramienta tecnolgica para ayudar a los participantes. 58 Las tcnicas de identificacin de eventos se aplican tanto al pasado como al futuro. Aquellas centradas en eventos y tendencias pasadas consideran temas tales como historiales de impagos, cambios en los precios de los bienes y accidentes que pr ovocan prdidas de tiempo. Las tcnicas que se centran en los riesgos futuros consideran temas tales como cam bios demogrficos, nuevas condiciones de mercado y acciones de los competidores. Las tcnicas varan ampliamente en su nivel de sofisticacin. Aunque muchas de las ms s ofisticadas corresponden a sectores especficos, la mayora se derivan de un enfoque comn. Por ejemplo, tanto los servicios financieros como los del sector de la seg uridad e higiene utilizan tcnicas de rastreo e identificacin de eventos que genere n prdidas. Estas tcnicas empiezan con un enfoque sobre los eventos histricos comune s los enfoques ms bsicos estudian acontecimientos derivados de percepciones del per sonal, mientras que las tcnicas ms avanzadas se basan en fuentes reales de eventos observables y luego, se introducen los datos en modelos de previsin ms sofisticado s. Las empresas ms avanzadas en la gestin de riesgos corporativos normalmente apli can una combinacin de tcnicas que contemplan a la vez eventos pasados y futuros po tenciales. Las tcnicas tambin varan segn dnde se estn aplicando dentro de una entidad. Algunas s e centran en el anlisis detallado de datos y crean una perspectiva ascendente de eventos, mientras que otras lo enfocan al contrario. Ejemplos de las tcnicas de identificacin de eventos. Inventarios de eventos Son relaciones detalladas de acontecimientos potenciales comunes a empresas de u n sector determinado o a un proceso o actividad especfica que se da en diversos s ectores. Las aplicaciones de software pueden generar relaciones relevantes de ev entos genricos potenciales, que algunas entidades usan como punto de partida para la identificacin de eventos. Por ejemplo, una empresa que est acometiendo un proy ecto de desarrollo de software elaborar un inventario que describa eventos genrico s relativos a este tipo de proyecto. Anlisis interno Puede llevarse a cabo como parte de un proceso rutinario del ciclo de planificac in empresarial, normalmente mediante reuniones del personal de la unidad de negoc io. El anlisis interno utiliza a veces la informacin procedente de grupos de inters de dicha unidad (clientes, proveedores y otras unidades de negocio) o de expert os en el tema ajenos a ella (expertos funcionales internos o externos o la audit ora interna). Por ejemplo, una empresa que est considerando introducir un nuevo pr oducto, usa su propia experiencia histrica, junto con investigacin externa de merc ado que identifique eventos que hayan afectado al xito de productos de los compet idores. Dispositivos de escala o umbral Estos dispositivos alertan a la direccin respecto a reas con problemas comparando

transacciones o eventos actuales con criterios predefinidos. Una vez que suena l a alarma, es posible que un evento exija una evaluacin ulterior o una respuesta i nmediata. Por ejemplo, la direccin de una empresa hace un seguimiento del volumen de ventas en mercados seleccionados con vista a nuevos programas de marketing o publicidad y reorienta los recursos segn los resultados. La direccin de otra empr esa sigue las estructuras de precios de los competidores y contempla cambios en sus propios precios cuando se franquea un determinado umbral. Talleres de trabajo y entrevistas Estas tcnicas identifican los eventos aprovechando el conocimiento y la experienc ia acumulada de la direccin, el personal y los grupos de inters, a travs de discusi ones estructuradas. Un monitor lidera y facilita la discusin sobre los eventos qu e pueden afectar a la consecucin de objetivos de. La profundidad, amplitud, calendario y disciplina en la identificacin de eventos varan segn entidades. La direccin selecciona tcnicas que encajan con su filosofa de g estin de riesgos y asegura que la entidad desarrolla las capacidades necesarias d e identificacin de eventos y que estn operativas las herramientas de apoyo. Por en cima de todo, la identificacin de eventos necesita ser potente y fiable, ya que f orma la base de los componentes de la evaluacin de riesgos y de la respuesta a el los. Interdependencias Frecuentemente, los eventos no ocurren de forma aislada. Un acontecimiento puede hacer que se desencadene otro, por lo que pueden ocurrir de forma concurrente. En la identificacin de eventos, la direccin debera entender cmo stos se relacionan en tre s. Evaluando estas relaciones, se puede determinar dnde mejor deberan aplicarse los esfuerzos en la gestin de riesgos. Por ejemplo, un cambio en el tipo de inters de un banco central afecta a los tipo s de cambio de moneda extranjera, relevantes para las ganancias y prdidas en las transacciones de una entidad. Una decisin para reducir la inversin en capital posp one una actualizacin de los sistemas de gestin de distribucin, provocando ms tiempo de inactividad y un aumento de costo a la entidad o alguna de sus unidades. Por ejemplo, un controller financiero dirige un taller de trabajo con miembros del e quipo contable, para identificar eventos que puedan afectar a los objetivos de i nformacin financiera externa. Al combinar los conocimientos y la experiencia de l os miembros del equipo, se identifican eventos importantes que de otro modo podra n haberse olvidado. Anlisis del flujo del proceso Esta tcnica considera la combinacin de inputs, tareas, responsabilidades y outputs de un proceso. Al considerar los factores internos y externos que afectan en cierto proceso a l os inputs de las actividades o a estas mismas, una entidad identifica los evento s que podran afectar a la consecucin de los objetivos. Por ejemplo, un laboratorio mdico elabora mapas de los procesos de recepcin y anlisis de muestras de sangre. U tilizndolos, se considera la gama de factores que podran afectar a los elementos d el proceso citados anteriormente, identificando as riesgos relativos al etiquetad o de muestras, transferencias en el proceso y cambios de turno del personal. Indicadores de eventos importantes Supervisando datos correlacionados con los eventos, las entidades identifican la existencia de condiciones que podran dar lugar a un acontecimiento. Por ejemplo , las instituciones financieras reconocen desde hace mucho tiempo la correlacin e ntre la demora en el pago de prstamos y su eventual impago futuro, as como el efec to positivo de una intervencin anticipada. Por ello, el control de las pautas de pago permite mitigar el impago mediante acciones oportunas anticipadas. Metodologas para datos de eventos con prdidas

Los archivos de datos sobre eventos individuales con prdidas en el pasado son una fuente til de informacin para identificar las tendencias y causas principales. Un a vez que se identifica una de stas, la direccin puede averiguar qu es ms efectivo, si evaluarla y tratarla o afrontar los eventos individuales. Por ejemplo, una em presa que explota una gran flota de coches mantiene una base de datos de las rec lamaciones por accidentes y, mediante su anlisis, averigua que un porcentaje desp roporcionado de ellos, tanto en nmero como en importe, se vincula a conductores d el equipo en ciertas unidades, localizaciones geogrficas y franjas de edad. Este anlisis capacita a la direccin para identificar las causas principales de los even tos y tomar acciones. Una decisin para ampliar la formacin en marketing puede mejorar las capacidades de venta y la calidad de servicio, lo que dar lugar a un aumento de la frecuencia y volumen de los pedidos recurrentes de clientes. Una decisin para entrar en una n ueva lnea de negocio, con incentivos importantes vinculados al rendimiento, puede incrementar los riesgos de error en la aplicacin de principios contables y de qu e se genere una informacin fraudulenta. Categoras de Eventos Puede ser til agrupar los eventos potenciales en categoras. Al agregarlos horizont almente en toda la entidad y verticalmente dentro de las unidades operativas, la direccin desarrolla un entendimiento de las relaciones entre eventos, obteniendo una mejor informacin como base para la evaluacin los riesgos. Mediante esta agreg acin de eventos similares, la direccin puede determinar mejor las oportunidades y riesgos. La clasificacin de eventos por categoras tambin permite a la direccin considerar la totalidad de los esfuerzos aplicados a su identificacin. Por ejemplo, una empresa puede haber clasificado los eventos relacionados con los cobros de deudores en una nica categora denominada impago de deudores. Si la direccin estudia los eventos relacionados con esta categora, puede evaluar si se han identificado todos los p osible eventos significativos relacionados con dicho impago. sus objetivos por c ategoras, usando una jerarqua que empieza con los objetivos de alto nivel y luego, en cascada hasta los objetivos relevantes para las unidades organizativas, func iones o procesos de negocio. 61 Distincin entre Riesgos y Oportunidades Los eventos, si ocurren, tienen un impacto negativo, positivo o de ambos tipos a la vez. Los de signo negativo representan riesgos, que requieren la evaluacin y respuesta de la direccin. Por tanto, un riesgo es la posibilidad de que ocurra un evento que afecte de modo adverso a la consecucin de objetivos. Los eventos de signo positivo representan oportunidades, que compensan los impac tos negativos de los riesgos. Una oportunidad es la posibilidad de que ocurra un Categoras de eventos Factores externos Factores internos Econmicos Disponibilidad del capital Emisin de deuda, impago Concentracin Liquidez Mercados financieros Desempleo Competencia Fusiones/Adquisiciones Infraestructura Disponibilidad de activos Capacidad de los activos Acceso al capital Complejidad

Medioambientales Emisiones y residuos Energa Catstrofes naturales Desarrollo sostenible Personal Capacidad del personal Actividad fraudulenta Seguridad e higiene Polticos Cambios de gobierno Legislacin Polticas pblicas Regulacin Procesos Capacidad Diseo Ejecucin Proveedores/Subordinados Sociales Demografa Comportamiento del consumidor Responsabilidad social corporativa Privacidad Terrorismo Tecnolgicos Interrupciones Comercio electrnico Datos externos Tecnologa emergente Tecnologa Integridad de datos Disponibilidad de datos y sistemas Seleccin de sistemas Desarrollo Despliegue Mantenimiento 62 Distincin entre Riesgos y Oportunidades Los eventos, si ocurren, tienen un impacto negativo, positivo o de ambos tipos a la vez. Los de signo negativo representan riesgos, que requieren la evaluacin y respuesta de la direccin. Por tanto, un riesgo es la posibilidad de que ocurra un evento q ue afecte de modo adverso a la consecucin de objetivos. Los eventos de signo positivo representan oportunidades, que compensan los impac tos negativos de los riesgos. Una oportunidad es la posibilidad de que ocurra un Evento que afecte positivamente a la consecucin de objetivos y la creacin de valo r. Los eventos que implican oportunidades son canalizados hacia los procesos de la direccin en que se establecen la estrategia y objetivos de la entidad, de forma q

ue puedan formularse acciones para aprovechar las oportunidades. Los eventos que compensen el impacto negativo de los riesgos deben tenerse en cu enta por parte de la direccin al evaluar los riesgos y darles respuesta. 5. EVALUACIN DE RIESGOS Resumen del captulo: La evaluacin de riesgos permite a una entidad considerar la a mplitud con que los eventos potenciales impactan en la consecucin de objetivos. L a direccin evala estos acontecimientos desde una doble perspectiva probabilidad e impacto- y normalmente usa una combinacin de mtodos cualitativos y cuantitativos. Los impactos positivos y negativos de los eventos potenciales deben examinarse, individualmente o por categora, en toda la entidad. Los riesgos se evalan con un d oble enfoque: riesgo inherente y riesgo residual. Contexto de la Evaluacin de Riesgos Los factores externos e internos determinan qu eventos pueden ocurrir y hasta qu p unto afectarn a los objetivos de una entidad. Aunque algunos factores son comunes a empresas de un mismo sector, los eventos resultantes son a menudo nicos para u na entidad determinada, debido a sus objetivos establecidos y sus decisiones ant eriores. En la gestin de riesgos, la direccin tiene en cuenta la mezcla de potenci ales eventos futuros relevantes para la entidad y sus actividades, dentro del co ntexto de los aspectos que conforman el perfil de riesgo de la entidad, como son su dimensin, la complejidad de sus operaciones y el grado de regulacin de sus act ividades. Al evaluar los riesgos, la direccin considera los eventos esperados e inesperados . Muchos de stos son rutinarios y recurrentes y ya se contemplan en los programas d e gestin y presupuestos operativos, pero otros son inesperados. La direccin evala e l riesgo de los eventos potenciales inesperados y, si todava no lo ha hecho, los eventos esperados que puedan tener un impacto significativo en la entidad. Aunque el trmino evaluacin de riesgos se aplica a veces en relacin con una actividad puntual, en el contexto de la gestin de riesgos corporativos su componente con es a misma denominacin constituye una continua e iterativa interaccin de acciones que tienen lugar a travs de la entidad. Riesgo Inherente y Riesgo Residual La direccin considera a la vez ambos conceptos de riesgo. El riesgo inherente es aqul al que se enfrenta una entidad en ausencia de acciones de la direccin para mo dificar su probabilidad o impacto. El riesgo residual es el que permanece despus de que la direccin desarrolle sus respuestas a los riesgos. Estimacin de Probabilidad e Impacto La incertidumbre de los eventos potenciales se evala desde dos perspectivas prob abilidad e impacto. La primera representa la posibilidad de que ocurra un evento determinado, mientras que la segunda refleja su efecto. Ambos trminos se aplican de forma comn, aunque algunas entidades usen otros, tales como frecuencia, sever idad, seriedad o consecuencia. A veces, las palabras adquieren connotaciones ms e specficas y el concepto probabilidad puede indicar tanto la posibilidad de que ocur ra cierto evento en trminos cualitativos como alta, media y baja o derivados de o tras escalas de medida o bien en trminos cuantitativos como porcentaje, frecuenci a y ocurrencia o derivados de otras mtricas numricas. Es una tarea difcil y llena de retos la determinacin de cunta atencin hay que presta r a la evaluacin de la gama de riesgos a los que se enfrenta una entidad. Su dire ccin reconoce que generalmente no merece ulterior consideracin un riesgo con poca

probabilidad de ocurrencia y escaso impacto potencial. Por otro lado, exige una atencin considerable un riesgo con alta probabilidad de ocurrencia y significativ o impacto potencial. Las circunstancias entre ambos extremos normalmente requier en juicios difciles. Es importante que el anlisis sea racional y cuidadoso. El horizonte temporal usado para evaluar los riesgos debera ser consecuente con e l horizonte temporal de la estrategia y objetivos correspondientes. Como estos d os conceptos apuntan en muchas entidades a horizontes de tiempo entre el corto y medio plazo, la direccin se centra naturalmente en los riesgos asociados con est os plazos de tiempo. Sin embargo, algunos aspectos de la orientacin y objetivos e stratgicos se extienden hasta el largo plazo. Como resultado, la direccin necesita ser consciente de los marcos temporales ms dilatados y no obviar los riesgos que pueda deparar un futuro distante. Por ejemplo, una empresa que opera en California puede tener en cuenta el riesgo de interrupcin de sus operaciones a causa de un terremoto. Sin un horizonte temp oral especfico para la evaluacin de riesgos, la probabilidad de que un terremoto s upere los seis grados en la escala de Richter es alta, quiz con una certeza virtu al. Por otro lado, la probabilidad de que un terremoto de tal intensidad suceda dentro de dos aos es sustancialmente menor. Al establecer un horizonte de tiempo, la entidad entiende mejor la importancia relativa del riesgo y mejora su capaci dad para comparar riesgos mltiples. La direccin usa a menudo medidas del funcionamiento para determinar el grado de c onsecucin de objetivos y normalmente aplica la misma unidad de medida, u otra con gruente con ella, que la utilizada para considerar el impacto potencial de un ri esgo sobre la consecucin de un objetivo concreto. Una empresa, por ejemplo, que t iene establecido el objetivo de mantener un nivel determinado de servicio al cli ente, habr diseado un coeficiente u otro tipo de medida para dicho objetivo tales como el ndice de satisfaccin del cliente, el nmero de reclamaciones o el volumen de negocio recurrente. Cuando se evala el impacto de un riesgo que podra afectar al servicio al cliente tal como la posibilidad de que la web de la empresa pueda es tar no disponible durante un periodo de tiempo se determina mejor el impacto usa ndo las mismas medidas. Fuentes de Datos A menudo, las estimaciones de la probabilidad del riesgo y su impacto se determi nan usando datos procedentes de eventos anteriores observables, que proporcionan una base ms objetiva que las estimaciones totalmente subjetivas. Los datos gener ados internamente a partir de la experiencia propia de la entidad pueden refleja r un menor sesgo subjetivo personal y proporcionan mejores resultados que los da tos procedentes de fuentes externas. Sin embargo, incluso cuando los datos gener ados internamente sean un input primordial, los datos externos pueden resultar ti les como punto de contraste o para mejorar el anlisis. Por ejemplo, la direccin de una empresa que evala el riesgo de paradas en la produccin por fallos de los equi pos, primero estudia la frecuencia e impacto de fallos anteriores de su propio e quipo productivo. A continuacin complementa dichos datos con datos comparativos d el sector, lo que permite una estimacin ms exacta de la probabilidad e impacto de los fallos, lo que permite una programacin ms eficaz del mantenimiento preventivo. Se debe ser cauto cuando se usan eventos pasados para establecer previsiones fu turas, a que los factores que influyen en los eventos pueden cambiar con el tiem po. Perspectivas La direccin formula a menudo juicios subjetivos sobre la incertidumbre y, al hace r esto, debe reconocer sus limitaciones inherentes. Los resultados de investigac iones psicolgicas indican que las personas que toman decisiones a varios niveles de capacidad, incluyendo los directivos de empresa, tienen demasiada confianza e n su capacidad de estimacin y no reconocen el volumen de incertidumbre que realme nte existe. Los estudios muestran un marcado sesgo de confianza excesiva, que ll

eva a intervalos de confianza inadecuadamente estrechos respecto a las estimacio nes o probabilidades, tal como se aplican, por ejemplo, en las metodologas del va lor en riesgo. Esta inclinacin hacia el exceso de confianza al estimar la incerti dumbre puede externamente. En ausencia de stos, una aguda conciencia de la penetr acin de los sesgos puede ayudar a mitigar los efectos de ese exceso de confianza. Las tendencias humanas respecto a la toma de decisiones se muestran de otra forma, pues no es infrecuente que las personas tomen diferentes opciones en bsque da de ganancias antes que en evitar prdidas. Al reconocer estas tendencias, los d irectivos pueden estructurar la informacin para reforzar el riesgo aceptado y el comportamiento hacia el riesgo en toda la entidad. La manera de presentar la inf ormacin puede afectar de modo significativo a su interpretacin y cmo se perciben lo s riesgos y oportunidades asociados. Los individuos tienen reacciones diferentes ante prdidas potenciales que frente a ganancias potenciales. La manera de enmarcar un riesgo enfocando hacia lo positi vo (una ganancia potencial) o lo negativo (una prdida potencial)- influir a menudo en la respuesta. La teora de la prospeccin, que explora la toma de decisiones del ser humano, dice que los individuos no son neutrales ante el riesgo y de hecho, una respuesta a prdidas tiende a ser ms extrema que otra frente a ganancias. Y co n esto surge una inclinacin hacia la mala interpretacin de las probabilidades y la s reacciones hacia la mejor solucin. A modo ilustrativo, un individuo se enfrenta a dos conjuntos de opciones: 1. Aceptar una ganancia segura de 240 u.m. o bien una posibilidad del 25% d e ganar 1.000 u.m. ms la restante probabilidad del 75% de no ganar nada. 2. Aceptar una prdida segura de 750 u.m. o bien una posibilidad del 75% de p erder 1.000 u.m. ms la restante probabilidad del 25% de no perder nada. En el primer conjunto de opciones, la mayora de las personas selecciona una ganancia segura de 240, debido a la inclinacin a evitar riesgos en las ganancias y a las preguntas planteadas de forma positiva. En contraste, la mayora de las personas selecciona una posibilidad del 75% de perder 1.000, debido a la inclinacin a asumir riesgos en las prdidas y a las preguntas planteadas de mo do negativo. La teora de la prospectiva mantiene que las personas no quieren arri esgar lo que ya tienen o piensan que pueden tener, pero tendrn mayores tolerancia s al riesgo cuando crean que pueden minimizar prdidas. Tcnicas de Evaluacin La metodologa de evaluacin de riesgos de una entidad consiste en una combinacin de tcnicas cualitativas y cuantitativas. La direccin aplica a menudo tcnicas cualitati vas cuando los riesgos no se prestan a la cuantificacin o cuando no estn disponibl es datos suficientes y crebles para una evaluacin cuantitativa o la obtencin y anlis is de ellos no resulte eficaz por su coste. Las tcnicas cuantitativas tpicamente a portan ms precisin y se usan en actividades ms complejas y sofisticadas, para compl ementar las tcnicas cualitativas. Las tcnicas cuantitativas de evaluacin normalmente exigen un mayor grado de esfue rzo y rigor y a veces emplean modelos matemticos. Estas tcnicas dependen mucho de la calidad de los datos e hiptesis de soporte y resultan ms relevantes para riesgo s con un historial y una frecuencia de variabilidad conocidos, pues permiten una proyeccin fiable, por ejemplo: Benchmarking Es un proceso comparativo entre entidades, que enfoca eventos o procesos concret os, compara medidas y resultados mediante mtricas comunes e identifica oportunida des de mejora. Se desarrollan datos sobre dichos eventos y procesos y mediciones para comparar el funcionamiento. Algunas empresas usan esta tcnica para evaluar la probabilidad e impacto de event os en un sector determinado.

 Modelos probalsticos Sobre la base de ciertas hiptesis, los modelos probabilsticos relacionan una gama de eventos con su probabilidad de ocurrencia e impacto resultante. Ambos concept os se evalan a partir de datos histricos o resultados simulados que reflejen hiptes is de comportamiento futuro. Se usan modelos probabilsticos para evaluar el valor en riesgo, el flujo de caja en riesgo y los resultados en riesgo y tambin para d esarrollar distribuciones de prdidas operacionales y crediticias. Los modelos probabilsticos pueden usarse con diferentes horizontes de tiempo para estimar resultados tales como la franja de valores de los instrumentos financie ros a lo largo del tiempo y tambin, para evaluar resultados medios o esperados fr ente a impactos extremos o inesperados. Modelos no probalsticos Los modelos no probabilsticos aplican hiptesis subjetivas para estimar el impacto de eventos sin una probabilidad asociada cuantificada. La evaluacin del impacto d e eventos se basa en datos histricos o simulados e hiptesis de comportamiento futu ro. Ejemplos de este tipo de modelos son las medidas de sensibilidad, las prueba s de carga y los anlisis de escenarios. Para conseguir un consenso sobre probabilidad e impacto usando tcnicas cualitativ as de evaluacin, las entidades pueden aplicar el mismo enfoque que usan en la ide ntificacin de eventos, tales como las entrevistas y grupos de trabajo. Un proceso de autoevaluacin del riesgo capta los puntos de vista de los participantes sobre la probabilidad y el impacto potencial de eventos futuros, usando escalas descr iptivas o numricas. Una entidad no necesita aplicar las mismas tcnicas de evaluacin en todas sus unida des de negocio. Antes bien, la seleccin de tcnicas debera reflejar la necesidad de precisin y la cultura de cada unidad. En una empresa, por ejemplo, al identificar y evaluar los riesgos al nivel de proceso, una unidad usa cuestionarios de auto evaluacin, mientras que otra utiliza grupos de trabajo. Los riesgos se evalan de m odo inherente o residual y luego, se organizan y agrupan segn las categoras de rie sgo y objetivos de ambas unidades. Aunque se apliquen mtodos distintos, ambos pro porcionan suficiente concordancia para facilitar la evaluacin de riesgos en toda la entidad. La direccin puede generar una medida del impacto cuantitativo de un evento en tod a la entidad cuando todas las evaluaciones individuales de riesgo referentes al mismo se expresen en trminos cuantitativos. Por ejemplo, el impacto de un cambio en el precio de la energa sobre el margen bruto se calcula en todas las unidades de negocio y se determina as el impacto global para toda la entidad. Cuando exist a una mezcla de medidas cualitativas y cuantitativas, la direccin desarrolla una evaluacin cualitativa a travs de ambos tipos de medicin, con el resultado de una ev aluacin compuesta expresada en trminos cualitativos. La generacin de estas evaluaci ones compuestas se facilita estableciendo trminos comunes de probabilidad e impac to para toda la entidad y categoras comunes de riesgo para las medidas cualitativ as. Relaciones entre Eventos Cuando los eventos potenciales no estn relacionados entre s, la direccin los evala i ndividualmente. Por ejemplo, una empresa con unidades de negocio expuestas a dif erentes fluctuaciones de precios tales como el de la pasta de papel o el de moned as extranjeras evaluara los riesgos independientemente de los movimientos del merc ado. Pero cuando exista correlacin entre los eventos o stos se combinen e interacc ionen para crear probabilidades o impactos significativamente diferentes, la dir eccin los evaluar en conjunto. Aunque el impacto de un solo evento pueda ser liger o, el impacto de una secuencia o combinacin de eventos puede ser ms significativo. Por ejemplo, una vlvula defectuosa de un depsito de propano en un almacn de distrib

ucin origina un escape de gas, mientras se mantienen cerradas las puertas de la i nstalacin para retener el calor de las oficinas adyacentes. Cuando el conductor d e un camin que se acerca al almacn activa un dispositivo a control remoto para abr ir las puertas, la presencia conjunta del gas y la chispa del motor de la puerta causan una explosin. Eventos distintos interaccionan y dan como resultado un rie sgo significativo. En otro ejemplo, una empresa se introduce en un mercado extra njero, donde cuenta con nuevos directivos contratados localmente, sistemas de in formacin no probados y poca base para que la direccin central pueda juzgar su corr espondiente funcionamiento, lo que da como resultado un riesgo significativo de informacin errnea o fraudulenta. Cuando sea probable que los riesgos afecten a mltiples unidades de negocio, la di reccin puede agruparlos en categoras comunes de eventos y despus, considerarlos pri mero segn unidad y luego conjuntamente para toda la entidad. Por ejemplo, las uni dades de una empresa de servicios estn sujetas al riesgo de modificacin del tipo d e inters oficial y su direccin evala este riesgo no slo en cada unidad, sino tambin d e una forma combinada global. Una empresa industrial tiene muchas unidades de ne gocio, cada una expuesta a las fluctuaciones en el precio del oro, por lo que la direccin agrega el riesgo de los cambios potenciales en dicho precio en una nica medida que muestra el efecto neto de un cambio de 1 u.m. por onza del metal sobr e su inventario total de oro. La naturaleza de los eventos y el hecho de que estn relacionados o no, puede afec tar a las tcnicas de evaluacin utilizadas. Por ejemplo, al evaluar el impacto de e ventos que podran tener un efecto extremo, la direccin puede usar pruebas de stress testing, mientras que para evaluar el efecto de eventos mltiples, la direccin pued e encontrar ms til el uso de simulaciones o anlisis de escenarios. 69 La observacin de interrelaciones entre probabilidad e impacto de los riesgos cons tituye una importante responsabilidad de la direccin. Una gestin eficaz de riesgos corporativos requiere que su evaluacin se realice atendiendo tanto al riesgo inh erente como a la repuesta a l, como se expone en el captulo siguiente.

6. RESPUESTA A LOS RIESGOS Una vez evaluados los riesgos relevantes, la direccin determina cmo responder a el los. Las respuestas pueden ser las de evitar, reducir, compartir y aceptar el ri esgo. Al considerar su respuesta, la direccin evala su efecto sobre la probabilida d e impacto del riesgo, as como los costes y beneficios, y selecciona aquella que site el riesgo residual dentro de las tolerancias al riesgo establecidas. La dir eccin identifica cualquier oportunidad que pueda existir y asume una perspectiva del riesgo globalmente para la entidad o bien una perspectiva de la cartera de r iesgos, determinando si el riesgo residual global concuerda con el riesgo acepta do por la entidad. Las respuestas a los riesgos se incluyen en las siguientes categoras: Evitar Supone salir de las actividades que generen riesgos. Evitar el riesgo puede impl icar el cese de una lnea de producto, frenar la expansin hacia un nuevo mercado ge ogrfico o la venta de una divisin. Reducir Implica llevar a cabo acciones para reducir la probabilidad o el impacto del rie sgo o ambos conceptos a la vez. Esto implica tpicamente a algunas de las muchas d ecisiones empresariales cotidianas.

 Compartir La probabilidad o el impacto del riesgo se reducen trasladando o, de otro modo, compartiendo una parte del riesgo. Las tcnicas comunes incluyen la contratacin de seguros, la realizacin de operaciones de cobertura o la externalizacin de una acti vidad. Aceptar No se emprende ninguna accin que afecte a la probabilidad o el impacto del riesgo . Al determinar la respuesta a los riesgos, la direccin debera tener en cuenta lo si guiente: Los efectos de las respuestas potenciales sobre la probabilidad y el impacto del riesgo y qu opciones de respuesta estn en lnea con las tolerancias al riesgo de la entidad. Los costes y beneficios de las respuestas potenciales. Las posibles oportunidades para alcanzar los objetivos de la entidad, lo que va ms all del tratamiento de un riesgo concreto. Para los riesgos significativos, una entidad considera tpicamente las respuestas posibles dentro de una gama de opciones de respuesta, lo que proporciona profund idad a la seleccin de respuesta y se enfrenta al status quo. Evaluacin de Posibles Respuestas Los riesgos inherentes se analizan y las respuestas a ellos se evalan con el props ito de conseguir un nivel de riesgo residual en lnea con las tolerancias al riesg o de la entidad. A menudo, cualquiera de las diversas respuestas posibles situar dicho riesgo residual dentro del marco de esas tolerancias y, a veces, una combi nacin de ellas proporcionar el resultado ptimo. Por otro lado, a veces una respuest a afectar a mltiples riesgos, en cuyo caso la direccin puede decidir que no se prec isan acciones adicionales para tratar un riesgo determinado. Evaluacin del Efecto sobre la Probabilidad y el Impacto del Riesgo Al evaluar las opciones de respuesta, la direccin considera el efecto sobre la pr obabilidad del riesgo y su impacto, reconociendo que una respuesta puede afectar las de modo diferente. Por ejemplo, una empresa con un centro informtico ubicado en una regin con fuerte actividad tormentosa establece un plan de continuidad de negocio que, aunque no tiene efecto alguno sobre la probabilidad de que se produ zca una tormenta, mitiga el impacto de los daos en el edificio o de la dificultad para que el personal acceda a su trabajo. Por otro lado, la opcin de trasladar e l centro informtico a otra regin no reducir el impacto de posibles tormentas que pu edan producirse, pero s reduce la probabilidad de que tengan lugar en este nuevo centro. Al analizar las respuestas, la direccin puede tener en cuenta los eventos y tende ncias pasadas y los posibles escenarios futuros. Al evaluar las respuestas alter nativas, la direccin tpicamente determina su efecto potencial usando las mismas un idades de medicin, u otras congruentes, que las usadas para el objetivo correspon diente. Evaluacin de Costes y Beneficios Los recursos siempre presentan restricciones y las entidades pueden considerar l os costes y beneficios derivados de opciones alternativas de respuesta a este ti po de riesgo. Las medidas de coste/beneficio para la puesta en prctica de respues tas se realizan con varios niveles de precisin. Generalmente, es ms fcil tratar los costes, pues en muchos casos pueden cuantificarse con bastante detalle. Normalm ente, se tienen en cuenta todos los costes directos relacionados con la implanta cin de una respuesta y los costes indirectos que se puedan medir de un modo prctic o. Algunas entidades tambin incluyen los costes de oportunidad relativos al uso d e recursos. En algunos casos, sin embargo, es difcil cuantificar los costes de la respuesta al riesgo.

Surgen retos respecto a la cuantificacin al estimar el tiempo y el esfuerzo asoci ados a una determinada respuesta, como puede ser el caso, por ejemplo, de recaba r informacin de mercado sobre las preferencias en evolucin de los clientes, las ac tividades de los competidores u otra informacin generada externamente. El lado de los beneficios implica a menudo valoraciones mucho ms subjetivas. Por ejemplo, las ventajas de los programas de formacin son normalmente evidentes, per o son difciles de cuantificar. En muchos casos, sin embargo, el beneficio de una respuesta al riesgo puede evaluarse dentro del contexto de beneficios ligados a la consecucin del objetivo correspondiente. Al considerar las relaciones coste-beneficio, la atencin a los riesgos como si es tuvieran interrelacionados permite a la direccin agrupar las respuestas para redu cir y compartir el riesgo de la entidad. Por ejemplo, cuando se comparte un ries go mediante un seguro, puede ser beneficioso combinar los riesgos en una sola pli za ya que el precio normalmente se reduce cuando se aseguran conjuntamente diver sas exposiciones a riesgos bajo un mismo acuerdo de cobertura. Oportunidades en las Opciones de Respuesta Los eventos con impacto positivo representan las oportunidades y se revierten ha cia los procesos de fijacin de objetivos o estrategias. De forma similar, las oportunidades pueden identificarse al contemplar las respu estas a los riesgos. Las consideraciones sobre estas respuestas a los riesgos no deberan limitarse exclusivamente a la reduccin de los riesgos identificados, sino que tambin deberan incluir la consideracin de nuevas oportunidades para la entidad . La direccin puede identificar las respuestas innovadoras, que, aunque pertenezcan a las categoras de respuestas descritas anteriormente en este captulo, pueden ser totalmente nuevas para la entidad e, incluso, para el sector. Dichas oportunida des pueden surgir cuando existen opciones de respuesta a los riesgos que estn alc anzando los lmites de eficacia y cuando ulteriores actualizaciones probablemente slo faciliten cambios marginales en el impacto y probabilidad del riesgo. Un ejem plo es la respuesta creativa de una empresa de seguros automovilsticos que, ante el alto nmero de siniestros en ciertos cruces de carreteras, decidi financiar mejo ras en la sealizacin con semforos, reduciendo as las reclamaciones por accidentes y mejorando los mrgenes. Respuestas Seleccionadas Una vez evaluados los efectos de las respuestas alternativas a los riesgos, la d ireccin decide cmo pretende gestionar los riesgos, seleccionando una respuesta o u na combinacin de ellas diseada para situar la probabilidad e impacto del riesgo de ntro de las tolerancias establecidas. Sin embargo, cuando una respuesta a los ri esgos pudiera desembocar en que el riesgo residual superar la tolerancia establec ida, la direccin tiene que volver sobre sus pasos y revisar su respuesta o, bajo ciertas circunstancias, reconsiderar la tolerancia al riesgo establecida. Por ta nto, el equilibrio entre riesgo y tolerancia al riesgo puede implicar un proceso iterativo. Evaluar las respuestas alternativas a los riesgos inherentes requiere tener en c uenta los riesgos adicionales que pueden derivarse de cada respuesta, lo que pue de iniciar un proceso iterativo en que la direccin, antes de tomar su decisin, con sidere dichos riesgos adicionales, incluyendo aquellos que pudieran no ser evide ntes de modo inmediato. Una vez que la direccin selecciona una respuesta, es posible que necesite desarro llar un plan de implantacin para ejecutarla. Una parte crtica de dicho plan es el establecimiento de acciones de control (presentadas en el captulo siguiente) para

asegurar que se lleva a cabo la respuesta a los riesgos. La direccin reconoce que siempre existir algn nivel de riesgo residual, no slo por l as limitaciones de los recursos, sino tambin por la incertidumbre del futuro y de ms limitaciones inherentes a todas las actividades. Perspectiva de Carteras de Riesgos La gestin de riesgos corporativos requiere que el riesgo se considere desde una p erspectiva: de toda la entidad o desde otra perspectiva de carteras de riesgos. Normalmente, la direccin elige un enfoque en que primero se contemplan los riesgo s de cada unidad de negocio, departamento o funcin y luego su director responsabl e desarrolla una evaluacin compuesta de ellos, que refleja su perfil de riesgo re sidual respecto a sus objetivos y tolerancias al riesgo. Con una perspectiva del riesgo para cada unidad individual, la alta direccin de u na empresa est bien situada para tener una perspectiva de carteras y determinar s i el perfil de riesgo residual de la entidad est a la par del riesgo aceptado glo bal respecto a sus objetivos. Los riesgos de las diferentes unidades pueden esta r dentro de sus respectivas tolerancias individuales, pero en conjunto pueden su perar al riesgo aceptado globalmente por la entidad, en cuyo caso hacen falta re spuestas adicionales o diferentes para emplazar el riesgo dentro del nivel de ri esgo aceptado. A la inversa, los riesgos pueden compensarse naturalmente a travs de la entidad cuando, por ejemplo, algunas unidades individuales tienen un mayor riesgo y otras son relativamente adversas a l, de tal modo que el riesgo global est dentro del riesgo aceptado por la entidad, evitando la necesidad de una respu esta diferente a los riesgos. Una perspectiva de carteras de riesgos puede ser representada de muchas maneras. Puede alcanzarse centrndose en los principales riesgos o categoras de riesgo de la s unidades de negocio o de la empresa en su totalidad, usando mtricas como el cap ital ajustado al riesgo o el capital en riesgo. Dichas medidas compuestas son pa rticularmente tiles para medir el riesgo frente a objetivos establecidos en trmino s de resultados, crecimiento u otras medidas de funcionamiento, a veces relacion adas con el capital asignado o disponible. Estas medidas de la perspectiva de ca rteras pueden facilitar informacin til para la reasignacin del capital entre unidad es y la modificacin de la orientacin estratgica. Un ejemplo es una empresa industrial que aplica una perspectiva de carteras de r iesgos en el contexto de su objetivo de resultados operativos. La direccin aplica las categoras comunes de eventos para captar riesgos en todas las unidades de ne gocio. A continuacin, elabora un grfico que muestra, por categora y unidad de negocio, la probabilidad de riesgo en trminos de frecuencia en un horizonte temporal y los im pactos relativos sobre resultados. El resultado es una perspectiva compuesta, o de carteras, del riesgo al que se enfrenta la empresa, con la direccin y el conse jo de administracin en situacin de considerar la naturaleza, probabilidad y dimens in relativa de los riesgos y cmo pueden afectar a los resultados. 7. ACTIVIDADES DE CONTROL Las actividades de control son las polticas y procedimientos. Estos ltimos son las acciones de las personas para implantar las polticas, directamente o a travs de l a aplicacin de tecnologa, y ayudar a asegurar que se llevan a cabo las respuestas de la direccin a los riesgos. Las actividades de control pueden ser clasificadas por la naturaleza de los objetivos de la entidad con la que estn relacionadas: es trategia, operaciones, informacin y cumplimiento.

Aunque algunas actividades de control corresponden exclusivamente a una sola cat egora, a menudo se solapan. Segn circunstancias, una determinada actividad de cont rol podra ayudar a alcanzar los objetivos de la entidad en ms de una categora. Por ejemplo, ciertos controles sobre operaciones tambin pueden ayudar a asegurar una informacin fiable y las actividades de control sobre la informacin tambin puede n servir para llevar a cabo el cumplimiento. Integracin con la respuesta al riesgo Despus de haber seleccionado las respuestas al riesgo, la direccin identifica las actividades de control necesarias para ayudar a asegurar que las respuestas a lo s riesgos se lleven a cabo adecuada y oportunamente. El siguiente ejemplo sirve para ilustrar el vnculo entre objetivos, respuestas a los riesgos y actividades d e control. Una empresa fija un objetivo de alcanzar o superar las ventas presupu estadas, identificando como riesgo la falta de conocimientos suficientes sobre f actores externos tales como las necesidades actuales y potenciales de los client es. Para reducir la probabilidad de ocurrencia y el impacto del riesgo, la direc cin establece historiales de compra de los clientes actuales y realiza unas nueva s iniciativas de investigacin de mercado. Estas respuestas al riesgo sirven como puntos bsicos para establecer las actividades de control, incluyendo el seguimien to del desarrollo de dichos historiales en comparacin con los calendarios estable cidos y la adopcin de medidas para asegurar la exactitud de los datos informados. En este sentido, las actividades de control estn integradas directamente en el p roceso de gestin. Al seleccionar las actividades de control, la direccin considera cmo se relacionan entre s. En algunos ejemplos, una sola de ellas afecta a riesgos mltiples. En otr os, son necesarias muchas actividades de control para una respuesta al riesgo. I ncluso, en otros, la direccin puede descubrir que las actividades de control exis tentes son suficientes para asegurar que las nuevas respuestas a los riesgos se ejecutan eficazmente. Aunque las actividades de control se establecen generalmente para asegurar que l as respuestas a los riesgos se lleven a cabo de modo adecuado, con respecto a ci ertos objetivos, tambin constituyen por s mismas una respuesta al riesgo. Por ejem plo, para un objetivo que establece que unas transacciones especficas deben estar debidamente autorizadas, la respuesta ser probablemente unas actividades de cont rol tales como la segregacin de funciones o la aprobacin por personal supervisor. De igual manera que la seleccin de respuestas a los riesgos considera su adecuacin y el riesgo residual que resulta de ellas, la seleccin o revisin de las actividad es de control debera incluir la consideracin de su relevancia y adecuacin a la resp uesta al riesgo y los objetivos relacionados. Esto puede llevarse a cabo conside rando por separado la adecuacin de dichas actividades o bien contemplando el ries go residual dentro del contexto formado por las respuestas al riesgo y las corre spondientes actividades de control. Estas ltimas son una parte importante del proceso con el que una empresa se esfue rza en alcanzar sus objetivos de negocio. No se realizan simplemente porque s o p orque parezcan la cosa correcta o adecuada a hacer. En el ejemplo anterior, la d ireccin necesita tomar medidas para asegurar que se consiguen los objetivos de ve nta. Las actividades de control sirven como mecanismos para gestionar la consecu cin de tal objetivo. Tipos de actividades de control Se han propuesto muchas descripciones diferentes de los tipos de actividades de control, incluyendo los controles de prevencin, deteccin, manuales, informticos y d e direccin. Las actividades de control tambin pueden tipificarse segn objetivos con cretos de control, tales como los de asegurar la integridad y exactitud del proc esamiento de datos.

A continuacin se describe las actividades de control utilizadas normalmente. Son solo unos cuantos de entre muchos procedimientos normalmente aplicados por el pe rsonal en distintos niveles de la organizacin que sirven para potenciar la adhesin a los planes de accin establecidos y mantener el rumbo de las entidades hacia el logro de sus objetivos. Se presentan a continuacin para ilustrar la amplitud y v ariedad de las actividades de control y no para sugerir una determinada clasific acin. Revisiones a alto nivel La alta direccin revisa el funcionamiento real en contraste con presupuestos, pre visiones y datos de periodos previos y de competidores. Se hace un seguimiento d e las iniciativas importantes tales como las campaas de marketing, la mejora de lo s procesos de produccin y los programas de contencin o reduccin del coste- para med ir hasta qu punto se consiguen los objetivos. Tambin se supervisa la implantacin de planes financieros, de desarrollo de nuevos productos y de joint ventures. Gestin directa de funciones o actividades Los directivos que gestionan las funciones o actividades revisan los informes de rendimiento. Un directivo responsable de los crditos al consumo de un banco revi sa los informes por sucursal, regin y tipo de prstamo (garantas), verificando los r esmenes, identificando tendencias y comparando los resultados con estadsticas y ob jetivos econmicos. A su vez, los directores de oficina reciben datos de las nueva s operaciones, clasificadas por responsable del prstamo y por segmento de cliente local. Estos directores tambin se centran en temas de cumplimiento, revisando lo s informes que requieren los reguladores sobre nuevos depsitos que superen unos i mportes especficos. Se realizan conciliaciones de los flujos de caja diarios, reportando las posicio nes netas a la central para su posterior transferencia e inversin durante la noch e. Procesamiento de la informacin Se lleva a cabo una variedad de controles para verificar la exactitud, integrida d y autorizacin de las transacciones. Los datos introducidos estn sometidos a comp robaciones en lnea y conciliaciones con ficheros de control aprobados. Se aceptar un pedido de un cliente, por ejemplo, slo tras contrastarse con un fichero de cli entes y verificarse el lmite de crdito autorizado. Las secuencias numricas de las t ransacciones son registradas y se hace un seguimiento de las excepciones, que se comunican a niveles superiores. Se controlan el desarrollo de nuevos sistemas y las modificaciones en los existentes, como es el caso del acceso a datos, fiche ros y programas. Controles fsicos Los equipos, existencias, valores, efectivo y dems activos estn fsicamente asegurad os, se someten peridicamente a recuentos y se contrastan con los importes de los registros de control. Indicadores de rendimiento El contraste entre s de diferentes conjuntos de datos operativos o financieros, jun to con el anlisis de relaciones y las acciones de investigacin y correccin, constit uye una actividad de control. Los indicadores de rendimiento incluyen, por ejemp lo, la rotacin de plantilla por unidad. Al investigar resultados inesperados o te ndencias inusuales, la direccin identifica las circunstancias en que una capacida d insuficiente para completar los procesos claves puede significar que los objet ivos tengan una menor probabilidad de alcanzarse. El uso de esta informacin por l os directivos slo para decisiones operativas o tambin para seguir los resultados in esperados en los sistemas de informacin determina si el anlisis de los indicadores de rendimiento slo tienen efectos operativos o tambin de control sobre la informac in.

 Segregacin de funciones Las funciones se dividen o segregan entre diferentes personas para reducir el ri esgo de error o fraude. Por ejemplo, estn segregadas las responsabilidades para a utorizar transacciones, registrarlas y manejar el activo correspondiente. Un dir ector que autoriza las ventas a crdito no puede ser responsable del mantenimiento de las cuentas a cobrar o la custodia de los cobros. Asimismo, el personal come rcial no tendr capacidad para modificar los ficheros de precio de productos o los porcentajes de comisin. A menudo, se pone en marcha una combinacin de controles para tratar las correspon dientes respuestas al riesgo. Por ejemplo, la direccin de una empresa fija los lmi tes de transaccin para gestionar los riesgos relativos a una cartera de inversin y establece actividades de control diseadas para ayudar a asegurar que no se super an los lmites de contratacin. Las actividades de control incluyen controles preven tivos, para frenar ciertas transacciones antes de su ejecucin, y controles de det eccin, para identificar otras oportunamente. Las actividades de control combinan controles informticos y manuales, incluyendo aquellos automatizados que aseguran la captacin correcta de la informacin, y procedimientos de autorizacin y aprobacin d e las decisiones de inversin por parte de las personas responsables. Polticas y procedimientos Las actividades de control normalmente implican dos componentes: una poltica que establece lo que debe hacerse y procedimientos para llevarla a cabo. Por ejemplo , una poltica podra exigir la revisin de las actividades de contratacin de clientes por parte de un director de oficina de una entidad de gestin burstil. El procedimiento lo constituye dicha revisin en s misma, realizada de manera oport una y con atencin a los factores establecidos en la poltica, tales como la natural eza y volumen de los valores contratados y su relacin con el patrimonio y edad de l cliente. Muchas veces, las polticas se comunican verbalmente. Las polticas no escritas pued en ser eficaces cuando la poltica lleve aos en vigor y constituya una prctica bien comprendida y en organizaciones reducidas donde los canales de comunicacin impliq uen pocos niveles directivos y una interaccin estrecha, junto con la supervisin de l personal. Pero independientemente de si est escrita o no, una poltica debera impl antarse de forma meditada, consciente y consecuente. Un procedimiento no ser til s i se lleva a cabo mecnicamente y sin un enfoque claro y continuo sobre las condic iones a las que se orienta la poltica. Posteriormente, es esencial investigar las condiciones identificadas como resultado del procedimiento y adoptar las accion es correctivas necesarias. Las acciones de seguimiento podran variar segn la dimensin y estructura organizativ a de una empresa. Pueden abarcar desde procesos formales de informacin de una emp resa grande donde las unidades de negocio explican por qu no se alcanzan los objet ivos y qu acciones se estn adoptando para evitar la repeticin de ello hasta el caso de un director-propietario de una empresa pequea que se desplaza personalmente p ara hablar con el responsable de planta sobre lo que ha fallado y qu es necesario hacer. Controles sobre los sistemas de informacin Con una dependencia importante de los sistemas de informacin para operar una empr esa y alcanzar los objetivos de informacin y cumplimiento, hacen falta controles sobre dichos sistemas. Pueden usarse dos amplios grupos de actividades de contro l de los sistemas de informacin. El primero lo forman los controles generales, qu e se aplican a muchos de esos sistemas, si no a todos, y ayudan a asegurar que s iguen funcionando continua y adecuadamente. El segundo son los controles de apli cacin, que incluyen fases informatizadas dentro del software para controlar el pr oceso.

Ambos tipos de controles, combinados con controles manuales de proceso cuando se a necesario, operan juntos para asegurar la integridad, exactitud y validez de l a informacin. Controles Generales Los controles generales incluyen controles sobre la gestin de la tecnologa de info rmacin, su infraestructura, la gestin de seguridad y la adquisicin, desarrollo y ma ntenimiento del software. Se aplican a todos los sistemas desde entornos de main frames o cliente/servidor hasta ordenadores de sobremesa o porttiles. Ejemplos de controles comunes dentro de estas categoras. Gestin de la tecnologa de informacin Un comit de trabajo proporciona supervisin, seguimiento e informacin de las activid ades de tecnologa informtica y las iniciativas para su mejora. Infraestructuras de la tecnologa de informacin Los controles se aplican a la definicin, adquisicin, instalacin, configuracin, integ racin y mantenimiento de los sistemas. Pueden incluir acuerdos de servicio que es tablezcan y potencien su funcionamiento, los planes de continuidad del negocio q ue mantienen la disponibilidad del sistema, el seguimiento del rendimiento de la red para detectar fallos operativos y la programacin de tiempos para las operaci ones informticas. El componente del software del sistema dentro de la infraestruc tura de la tecnologa de informacin puede incluir controles tales como la revisin y aprobacin de nuevas adquisiciones significativas por parte de la direccin o un com it de trabajo, la restriccin de accesos a la configuracin del sistema y al software del sistema operativo, las conciliaciones automticas de datos a los que se acced e a travs del software middleware y la deteccin de bit de paridad en los errores de comunicacin. Los controles del software del sistema tambin incluyen el seguimiento de incidencias, el logging del sistema y la revisin de informes de detalle sobre e l uso de utilidades informticas que alteren los datos. Gestin de la seguridad Son controles de acceso lgico tales como contraseas seguras de restriccin de acceso s a la red, bases de datos y aplicaciones. Las cuentas y nmeros de usuario y los correspondientes controles del privilegio de acceso ayudan a limitar ste slo a las aplicaciones o funciones necesarias para que cada usuario autorizado desempee su cometido. Los firewalls de Internet y las redes privadas virtuales protegen los d atos contra acceso externo sin autorizacin. Adquisicin, desarrollo y mantenimiento del software Los controles sobre la adquisicin e implantacin del software se incorporan a un pr oceso establecido para gestionar el cambio, incluyendo los requisitos de documen tacin, la comprobacin de la aceptacin del usuario, las pruebas de carga y las evalu aciones del riesgo de proyectos. El acceso a los cdigos fuente est controlado medi ante una librera de cdigos. Las personas que desarrollan software slo trabajan en e ntornos segregados de desarrollo/prueba y no tienen acceso al entorno de producc in. Los controles sobre los cambios en el sistema incluyen la necesaria autorizac in de las solicitudes de modificacin, revisin de los cambios, aprobaciones, documen tacin, comprobaciones, implicaciones de los cambios para otros componentes de la tecnologa de informacin, resultados de las pruebas de carga y protocolos de implan tacin. Controles de Aplicacin Los controles de aplicacin se centran directamente en la integridad, exactitud, a utorizacin y validez de la captacin y procesamiento de datos. Ayudan a asegurar qu e los datos se captan o generan en el momento de necesitarlos, que las aplicacio nes de soporte estn disponibles y que los errores de interfaz se detecten rpidamen te.

Un objetivo importante de los controles de aplicacin es prevenir que los errores se introduzcan en el sistema, as como detectarlos y corregirlos una vez introduci dos en l. Para ello, los controles de aplicacin a menudo implican comprobaciones i nformatizadas de edicin, que consisten en formato, existencia, razonabilidad y ot ras comprobaciones de datos integrados ya en las aplicaciones durante su desarro llo. Si se disean correctamente, pueden facilitar el control sobre los datos intr oducidos en el sistema. Ejemplos de controles de aplicacin Son slo unos cuantos entre mltiples controles realizados cada da, mediante clculo y contraste, que sirven para prevenir y detectar la captacin y procesamiento de dat os inexactos, incompletos, inconsecuentes o inadecuados. Equilibrar las actividades de control Detectar los errores en la captacin de datos, mediante la conciliacin entre los im portes introducidos, manual o automticamente, y un total de control. Una empresa cuadra automticamente el nmero total de transacciones procesadas y transferidas de sde su sistema on-line de introduccin de pedidos con el nmero de transacciones rec ibidas en su sistema de facturacin. Dgitos de control Validan los datos mediante clculos. La numeracin de los repuestos de una empresa c ontiene un dgito de control que detecta y corrige pedidos inexactos a sus proveed ores. Listados predefinidos de datos Proporcionan al usuario listas preestablecidas de datos aceptables. La Intranet de una empresa ofrece listas de seleccin de productos disponibles para su compra. Pruebas de razonabilidad de datos Comparan los datos captados con una pauta existente o aprendida de razonabilidad . Un pedido solicitado a un proveedor por un minorista del sector de bricolaje p or un volumen inusual de tableros de madera provoca una revisin. Pruebas lgicas Incluyen el uso de lmites de rango o pruebas alfanumricas o de valor. Una agencia gubernamental detecta errores potenciales en los nmeros de la seguridad social ve rificando si todos los nmeros introducidos contienen nueve dgitos. Aspectos Especficos de las Entidades Debido a que cada entidad tiene su propio conjunto de objetivos y enfoques de im plantacin, existirn diferencias en las respuestas al riesgo y las actividades de c ontrol relacionadas. Incluso cuando dos entidades tuvieran objetivos idnticos y t omasen decisiones similares respecto a cmo alcanzarlos, las actividades de contro l probablemente seran distintas. Cada entidad est gestionada por personas diferent es que tienen criterios individuales diferentes en la aplicacin de controles. Es ms, los controles reflejan el entorno y sector en que opera una entidad, as como s u dimensin y complejidad de organizacin, la naturaleza y alcance de sus actividade s y sus antecedentes y cultura. Las organizaciones grandes y complejas con diversidad de actividades pueden enfr entarse a situaciones de control ms difciles que las organizaciones pequeas y senci llas con actividades menos variadas. Una entidad con operaciones descentralizada s y un nfasis en la autonoma e innovacin local presenta diferentes circunstancias d e control que otra altamente centralizada. Otros factores que influyen en la com plejidad de una entidad, y, por tanto, la naturaleza de sus controles, incluyen la ubicacin y dispersin geogrfica, la extensin y sofisticacin de las operaciones y lo s mtodos de procesamiento de informacin.

8. INFORMACIN Y COMUNICACIN La informacin pertinente se identifica, capta y comunica de una forma y en un mar co de tiempo que permiten a las personas llevar a cabo sus responsabilidades Los sistemas de informacin usan datos generados internamente y otras entradas de fue ntes externas y sus salidas informativas facilitan la gestin de riesgos y la toma de decisiones informadas relativas a los objetivos. Tambin existe una comunicacin eficaz fluyendo en todas direcciones dentro de la organizacin. Todo el personal recibe un mensaje claro desde la alta direccin de que deben considerar seriamente las responsabilidades de gestin de los riesgos corporativos. Las personas entien den su papel en dicha gestin y cmo las actividades individuales se relacionan con el trabajo de los dems. Asimismo, deben tener unos medios para comunicar hacia ar riba la informacin significativa. Tambin debe haber una comunicacin eficaz con terc eros, tales como los clientes, proveedores, reguladores y accionistas. 86 Cada empresa identifica y capta una amplia gama de informacin, relativa a los eve ntos y actividades tanto externas como internas, relevantes para dirigir la enti dad. Esta informacin se facilita al personal de una forma y en un marco de tiempo que le permitan llevar a cabo su gestin de riesgos corporativos y dems responsabi lidades. Informacin La informacin se necesita a todos los niveles de la organizacin para identificar, evaluar y responder a los riesgos y por otra parte dirigir la entidad y consegui r sus objetivos. Se usa mucha informacin, relevante para una o ms categoras de obje tivos. La informacin operativa de fuentes internas y externas, tanto financiera c omo no financiera, es relevante para mltiples objetivos de negocio. La informacin financiera, por ejemplo, se usa para elaborar los estados financieros con fines de informacin y tambin para tomar decisiones operativas, tales como la supervisin d el funcionamiento y la asignacin de recursos. Una informacin financiera fiable es bsica para planificar, presupuestar, fijar precios, evaluar el rendimiento del ve ndedor, evaluar joint ventures y alianzas y llevar a cabo otras actividades de g estin. De forma similar, la informacin operativa es esencial para elaborar los informes financieros y de otro tipo. Esto incluye aquella ms rutinaria compras, ventas y de ms transacciones junto con la correspondiente a nuevas versiones de producto o con diciones econmicas de los competidores, que pueden afectar a las existencias y la s valoraciones de cuentas a cobrar. La informacin necesaria a efectos de cumplimi ento, tal como la relativa a las emisiones de partculas a la atmsfera o datos del personal, tambin puede aplicarse a objetivos de informacin financiera. La informacin procede de muchas fuentes internas y externas, de forma cuantitativa y cualitativa y facilita respuestas a las condiciones cambiantes. Un reto para l a direccin es cmo procesar y depurar grandes volmenes de datos para convertirlos en informacin manejable y se enfrenta a l estableciendo una infraestructura de siste mas de informacin para buscar, captar, procesar, analizar y comunicar la informac in relevante. Estos sistemas habitualmente informatizados, pero conteniendo tambin entradas manuales o interfaces se ven a menudo dentro del contexto del procesamie nto de datos generados internamente. Pero los sistemas de informacin tienen una a plicacin ms amplia. Tambin abordan caractersticas o circunstancias de eventos extern os, por ejemplo, datos econmicos especficos de un mercado o sector que muestran ca mbios en la demanda de los productos o servicios de una empresa, datos sobre pro ductos y servicios para los procesos de produccin, informacin de mercado sobre la evolucin de preferencias o demandas del consumidor, informacin sobre las actividad es de desarrollo de productos de los competidores e iniciativas legislativas o n ormativas. Los sistemas de informacin pueden ser formales o informales. Las conversaciones c

on clientes, proveedores, reguladores y personal de la entidad a menudo proporci onan informacin crtica necesaria para identificar riesgos y oportunidades. De form a similar, la asistencia a seminarios profesionales o del sector y la participac in en asociaciones mercantiles o de otro tipo pueden ser una fuente de informacin valiosa. Es particularmente importante mantener la informacin en forma coherente con las necesidades cuando una entidad se enfrenta a cambios fundamentales en el sector, competidores muy innovadores y rpidos o cambios significativos en la dem anda de los consumidores. Los sistemas de informacin cambian segn la necesidad de apoyo a nuevos objetivos, por lo que deben identificar y captar la informacin fin anciera y no financiera y procesarla y comunicarla en un marco de tiempo y una f orma que sean tiles para controlar las actividades de la entidad. Sistemas Estratgicos e Integrados El diseo de una arquitectura de sistemas de informacin y la adquisicin de la tecnol oga son aspectos importantes de la estrategia de una entidad y las decisiones res pecto a la tecnologa pueden resultar crticas para lograr los objetivos. Las decisi ones sobre la seleccin e implantacin de tecnologa dependen de muchos factores, incl uyendo objetivos organizativos, necesidades del mercado y exigencias competitiva s. Aunque los sistemas de informacin sean fundamentales para una gestin eficaz de riesgos corporativos, tambin las tcnicas empleadas en esta gestin pueden ayudar a t omar decisiones tecnolgicas. Desde hace mucho tiempo, los sistemas de informacin se disean y aplican para apoya r la estrategia de negocio. Este papel se hace crtico a medida que las necesidade s del negocio cambian y la tecnologa crea nuevas oportunidades para aprovechar un a ventaja estratgica. Integracin con las Operaciones Los sistemas de informacin a menudo estn totalmente integrados en la mayora de los aspectos de las operaciones. Los sistemas de Internet o basados en la red son fr ecuentes y muchas empresas tienen sistemas de informacin para toda la entidad, ta les como la planificacin corporativa de recursos. Estas aplicaciones facilitan el acceso a informacin previamente enmarcada en silos funcionales o departamentales , hacindola as disponible para un uso amplio de la direccin. Las transacciones se r egistran y siguen en tiempo real, permitiendo a los directivos acceder inmediata mente a informacin financiera y operativa de forma ms eficaz para controlar las ac tividades del negocio. Por ejemplo, una empresa constructora dedicada a proyecto s a gran escala utiliza un sistema integrado, basado en una extranet, para alcan zar las expectativas del mercado y de eficiencia. El sistema proporciona informa cin que ayuda a los directivos a seguir las existencias y componentes suministra dos a los clientes, identificar los excesos y defectos de suministros de materia l en muchas obras, obtener un ahorro de costes respecto a los proveedores de mat eriales usuales, vincularse a organizaciones similares para obtener descuentos p or volumen y supervisar las actividades de los subcontratistas. Esto tambin permi te al personal compartir sin fisuras los planos actuales con arquitectos e ingen ieros, clientes, subcontratistas y reguladores, aunque manteniendo el control de las versiones de los planos. Adicionalmente, el sistema abarca las capacidades de gestin del conocimiento que permite a los empleados de la empresa compartir so luciones innovadoras en toda la organizacin. Para apoyar una gestin eficaz de riesgos corporativos, una entidad capta y usa da tos actuales e histricos. Los datos histricos permiten seguir el funcionamiento re al respecto a objetivos, planes y expectativas y proporcionan ideas sobre el ren dimiento de la entidad bajo condiciones pasadas, permitiendo a la direccin identi ficar correlaciones y tendencias y prever el funcionamiento futuro. Los datos hi stricos tambin pueden facilitar un aviso anticipado de eventos potenciales que mer ecen la atencin de la direccin. Profundidad y Oportunidad de la Informacin La importancia de la profundidad de los datos se ilustra si observamos diferente

s eventos que afectan a una agencia de valores ubicada en una ciudad propensa a las inundaciones. Para planificar la continuidad del negocio, la direccin mantien e un conocimiento general de las condiciones de inundacin potencial y est en situa cin de aconsejar al personal cundo desplazarse a las instalaciones de seguridad. L a informacin captada a este alto nivel es suficiente para permitir que la firma g estione adecuadamente el riesgo. En contraste, como agencia de valores que es, l a firma busca y capta continuamente cambios en los precios de valores, bonos y b ienes tangibles hasta con varios decimales. Este nivel de oportunidad y detalle de los datos es consecuente con la necesidad que tiene la firma de responder inm ediatamente a los cambios de precios que puedan generar riesgos, tales como una posicin que asume demasiado riesgos respecto a un solo sector de mercado o un val or que no concuerda con el riesgo aceptado de la firma. La infraestructura de informacin transforma los datos no tratados en informacin re levante que ayuda al personal a llevar a cabo su gestin de riesgos corporativos y dems responsabilidades. La informacin se proporciona en una forma y dentro de un marco de tiempo que permite las actuaciones, es utilizable con facilidad y estn v inculadas a las responsabilidades definidas. Los avances en la recogida, procesa miento y almacenamiento de datos han dado como resultado un crecimiento exponenc ial del volumen de datos. Con ms datos disponibles a menudo en tiempo real para ms g ente en una organizacin, el reto es evitar la sobrecarga de informacin, asegurando e l flujo de la informacin adecuada, en la forma adecuada, al nivel de detalle adec uado, a las personas adecuadas y en el momento adecuado. En el desarrollo de la infraestructura de conocimientos e informacin, hay que contemplar los distintos r equisitos de informacin de los usuarios y departamentos y la informacin de resumen necesaria para los diferentes niveles de direccin. Calidad de la Informacin Dada la creciente dependencia en sofisticados sistemas de informacin y en sistema s y procesos para la toma de decisiones automatizados e impulsados por los datos , es esencial la fiabilidad de estos ltimos. Unos datos inexactos pueden dar como resultado riesgos no identificados o pobres evaluaciones y decisiones empresari ales equivocadas. La calidad de la informacin incluye averiguar si: Su contenido es adecuado Est al nivel correcto de detalle? Es oportuna Est disponible cuando se necesita y dentro de un plazo adecuado? Est actualizada Es la ltima informacin disponible? Es exacta Sus datos son correctos? Est accesible Las personas que la necesitan pueden obtenerla fcilmente? Para impulsar la calidad de los datos, las entidades establecen programas corpor ativos para su gestin que abarcan la adquisicin, mantenimiento y distribucin de inf ormacin relevante. Sin tales programas, los sistemas de informacin no podran facili tar la informacin que la direccin y otro personal requieren. Los retos son muchos, pues los conflictos entre necesidades funcionales, restricciones del sistema y procesos no integrados pueden inhibir la adquisicin y uso efectivo de los datos. Para enfrentarse a ellos, la direccin establece un plan estratgico con claras resp onsabilidades sobre la integridad de los datos y realiza peridicamente evaluacion es de su calidad. Para realizar una gestin de riesgos corporativos, es fundamental disponer de una informacin correcta y en el lugar y momento adecuados. Por esto, los sistemas de informacin, aunque constituyan un componente de la gestin de riesgos corporativos, tambin deben ser controlados. Comunicacin La comunicacin es inherente a los sistemas de informacin. Como ya se ha comentado antes, estos sistemas deben proporcionar informacin al personal adecuado, para qu e pueda llevar a cabo sus responsabilidades operativas, de informacin y de cumpli

miento. Pero la comunicacin tambin debe tener lugar en un sentido ms amplio, aborda ndo las expectativas, las responsabilidades de los individuos y grupos y otros t emas importantes. Comunicacin Interna La direccin proporciona comunicaciones especficas y orientadas que se dirigen a la s expectativas de comportamiento y las responsabilidades del personal. Esto incl uye una exposicin clara de la filosofa y enfoque de la gestin de riesgos corporativ os de la entidad y una delegacin clara de autoridad. La comunicacin sobre procesos y procedimientos debera alinearse con la cultura deseada y reforzarla. La comunicacin debe expresar eficazmente: La importancia y relevancia de una gestin eficaz de riesgos corporativos Los objetivos de la entidad El riesgo aceptado y las tolerancias al riesgo de la entidad Un lenguaje comn de riesgos Los papeles y responsabilidades del personal al desarrollar y apoyar los compone ntes de la gestin de riesgos corporativos 9. SUPERVISIN La supervisin puede realizarse de dos maneras: a travs de actividades permanentes o mediante evaluaciones independientes. Cuanto mayor es el alcance y eficacia de la supervisin permanente, existe menor n ecesidad de elaborar evaluaciones independientes. Para determinarla, se tendr en cuenta la naturaleza y alcance de los cambios prod ucidos y sus riesgos correspondientes, la competencia y experiencia del personal que implanta las respuestas a los riesgos y sus controles correspondientes y, t ambin, los resultados de la supervisin permanente. Actividades de Supervisin Permanente Las actividades permanentes de supervisin se distinguen de las actividades de fun cionamiento segn lo requiera la poltica de procesos de negocio. Por ejemplo, se de finen mejor como actividades de control las aprobaciones de transacciones, las c onciliaciones de saldos y la verificacin de exactitud de los cambios en los fiche ros maestros, realizadas segn las pautas marcadas por los sistemas informticos o l os procesos de contabilidad. Ejemplos de Actividades de Supervisin Permanente Los auditores y asesores internos y externos facilitan peridicamente recomendacio nes para reforzar la gestin de riesgos corporativos. Los auditores pueden prestar una atencin considerable a los riesgos claves, las respuestas a ellos y el diseo de las actividades de control. Pueden identificarse debilidades potenciales y re comendarse a la direccin acciones alternativas, acompaadas de informacin til para ef ectuar determinaciones sobre coste-beneficio. Los auditores internos y otro pers onal que desarrolle funciones similares de revisin pueden ser particularmente efi caces en la supervisin de las actividades de la entidad. Los seminarios de formacin, sesiones de planificacin y otras reuniones proporciona n una retroalimentacin importante a la direccin sobre si la gestin de riesgos corpo rativos est siendo eficaz. Junto a problemas particulares que pueden indicar la presencia de temas de riesg o, a menudo se hace patente la consciencia de los participantes respecto al ries go y el control interno. Evaluaciones Independientes Aunque los procedimientos de seguimiento permanente normalmente proporcionan una

retroalimentacin importante sobre la eficacia de otros componentes de la gestin d e riesgos corporativos, puede resultar provechoso echar un nuevo vistazo de vez en cuando, centrndose directamente sobre la eficacia de dicha gestin. Esto tambin p roporciona una oportunidad de tener en cuenta la eficacia continuada de los proc edimientos de supervisin permanente. Alcance y Frecuencia Las reas de riesgo de alta prioridad y sus respuestas tienden a evaluarse ms a men udo. Cuando se toma la decisin de realizar una evaluacin integral de la gestin de riesgo s corporativos de una entidad, hay que dirigir la atencin hacia su aplicacin en el establecimiento de la estrategia, as como en relacin con las actividades signific ativas.

El alcance de la evaluacin tambin depender de qu categoras de objetivos estratgicos, o erativos, de informacin y de cumplimiento- van a tenerse en cuenta. Quien Evala Evala las actividades relativas a las decisiones estratgicas y los objetivos de al to nivel, junto al componente de mbito interno, mientras que las personas respons ables de las diversas actividades operativas de la divisin evalan la eficacia de l os componentes de la gestin de riesgos relacionados con sus respectivas reas de re sponsabilidad. Los auditores internos normalmente realizan evaluaciones como parte de sus funci ones normales o a peticin expresa de la alta direccin, el consejo de administracin o los directivos de filiales y divisiones. Asimismo, la direccin puede utilizar i nformacin de los auditores externos para considerar la eficacia de la gestin de ri esgos corporativos. Se puede aplicar una combinacin de esfuerzos a la realizacin d e los procedimientos de evaluacin que la direccin estime necesarios. Proceso de Evaluacin El evaluador debe entender cada actividad de la entidad y cada componente de la gestin de riesgos corporativos a abordar. Puede resultar til centrarse primero en cmo la gestin de riesgos Corporativos funciona de manera significativa a veces, est o se denomina diseo del sistema o proceso. El evaluador debe determinar cmo funcio na el sistema en realidad. Los procedimientos diseados para operar de un modo con creto pueden ser modificados con el tiempo para operar de forma diferente o ser eliminados. Una determinacin sobre el funcionamiento real puede realizarse manten iendo entrevistas con el personal operativo o que resulte afectado por la gestin de riesgos corporativos, con anlisis de los registros de funcionamiento o una com binacin de procedimientos. El evaluador analiza el diseo del proceso de gestin de r iesgos corporativos y los resultados de las pruebas realizadas. Metodologa Se dispone de una variedad de metodologas y herramientas de evaluacin, incluyendo listas de comprobacin, cuestionarios, cuadros de mando y tcnicas de diagramas de f lujo. Documentacin Las organizaciones ms grandes normalmente disponen de manuales escritos de poltica s, organigramas formales, descripciones escritas de las funciones del personal, instrucciones operativas y diagramas de flujo de los sistemas de informacin. Las entidades ms pequeas habitualmente tienen un volumen considerablemente menor de do cumentacin. Un nivel adecuado de documentacin normalmente hace que las evaluacione s sean ms eficaces y eficientes. Normalmente, se parte de documentacin existente en la gestin de riesgos corporativ os de la entidad y, habitualmente, se complementa este proceso con documentacin a

dicional, junto con descripciones de las pruebas y los anlisis efectuados durante la evaluacin. Informacin de Deficiencias Una deficiencia es una situacin dentro de la gestin de riesgos corporativos que me rece atencin y que puede representar una debilidad percibida, potencial o real, o una oportunidad para fortalecer la gestin de riesgos corporativos y aumentar la probabilidad de que se logren los objetivos de la entidad. Fuentes de Informacin Una de las mejores fuentes de informacin sobre las deficiencias de la gestin de ri esgos corporativos es la misma gestin de riesgos. Las actividades de supervisin pe rmanente de una empresa, incluyendo las acciones directivas y la supervisin diari a de los empleados, generan ideas de aquellos directamente involucrados en las a ctividades de la entidad. Los terceros proporcionan frecuentemente informacin imp ortante sobre el funcionamiento de la gestin de riesgos corporativos de una entid ad. Entre ellos se incluyen clientes, proveedores, y otros que colaboran con la entidad, as como los auditores externos y reguladores. Qu es lo que se debera informar?. Aunque no sea posible una respuesta universal, ha y ciertos parmetros que pueden delimitarse. Todas las deficiencias identificadas de gestin de riesgos corporativos que afectan a la capacidad de la entidad para d esarrollar e implantar su estrategia y establecer y alcanzar sus objetivos debera n comunicarse a quienes se encuentran en posicin de tomar las medidas necesarias. Junto a las deficiencias, tambin debera informarse de las oportunidades identific adas que puedan aumentar la probabilidad de conseguir los objetivos de la entida d. La informacin generada en el transcurso de las actividades operativas es usualmen te comunicada a travs de los canales normales a los superiores inmediatos, quiene s, a su vez, pueden trasladarla en todas direcciones de la organizacin, para que acabe en las personas que pueden y deberan actuar al respecto. Ante el hallazgo de deficiencias en la gestin de riesgos corporativos, normalment e debera informarse no slo al responsable de la funcin o actividad implicada, sino tambin, al menos, al nivel inmediato por encima de esta persona.

Directrices de Informacin Hay que establecer protocolos para identificar qu informacin se necesita a un nive l determinado para tomar decisiones eficazmente. Tales protocolos reflejan la re gla general de que un directivo debera recibir la informacin que afecta a las acci ones o el comportamiento del personal bajo su responsabilidad, adems de aquella o tra necesaria para alcanzar objetivos especficos. Los altos directivos deberan ser informados de las deficiencias en la gestin de riesgos y de control que afecten a sus unidades. Los supervisores definen los protocolos de informacin para sus su bordinados. Las partes interesadas a las que hay que comunicar las deficiencias a veces proporcionan directrices concretas respecto a lo que debera comunicarse. Un consejo de administracin o comit de auditora, por ejemplo, puede solicitar a la direccin o a los auditores internos o externos que comuniquen slo aquellas deficie ncias que alcancen un determinado umbral de importancia. 10. ROLES Y RESPONSABILIDADES La administracin superior (directamente o travs de sus comits), la alta direccin, lo s auditores internos y otro personal, todos hacen importantes contribuciones a l a gestin de riesgos. El consejo de administracin, la direccin, los directores financieros y de riesgos,

los auditores internos y, de hecho, toda persona de la entidad, contribuyen a u na gestin eficaz de riesgos corporativos. Autoridades Superiores La alta direccin administrativa responde ante las autoridades superiores del nego cio, que proporciona supervisin, asesoramiento y orientacin. Mediante la seleccin d el equipo administrativo, las autoridades superiores desempean su principal papel en la definicin de lo que espera en cuanto a integridad y valores ticos, y median te sus actividades de supervisin puede determinar si se cumplen sus expectativas. Los miembros de la autoridad superior son objetivos, capaces e inquisitivos. Tie nen un conocimiento prctico de las actividades y el entorno del negocio y dedican el tiempo necesario al cumplimiento de sus responsabilidades como consejeros. Utilizan los recursos necesarios para dirigir investigaciones especiales y manti enen comunicaciones abiertas y sin restricciones con los auditores internos y ex ternos y con los asesores legales. La alta direccin administrativa Es responsable de todas las actividades de una entidad, incluyendo la gestin de r iesgos corporativos. Naturalmente, los directivos a diferentes niveles tienen di stintas responsabilidades en la gestin de riesgos corporativos, que varan segn las caractersticas de una entidad, a veces de modo significativo. Los altos directivos normalmente delegan la responsabilidad sobre los procedimie ntos especficos de gestin de riesgos corporativos en los respectivos directivos de los procesos, funciones o departamentos. Por tanto, estos directivos normalment e juegan un papel muy participativo en el diseo y desarrollo de procedimientos de riesgo relativos a los objetivos de la unidad, tales como las tcnicas para ident ificar eventos y evaluar riesgos, y en la determinacin de respuestas, tales como el desarrollo de protocolos para la compra de materias primas o la aceptacin de n uevos clientes. Tambin formulan recomendaciones sobre las actividades de control, supervisan su a plicacin y se renen con los directivos de nivel superior para informarles de su fu ncionamiento. Las funciones de apoyo, tales como las de recursos humanos, cumplimiento y aseso ra legal, tambin tienen importantes papeles de soporte en el diseo o configuracin de los componentes de una gestin eficaz de riesgos corporativos. La funcin de recursos humanos puede disear y ayudar a implantar programas de forma cin sobre el cdigo de conducta de la entidad y otras polticas amplias, a menudo des arrollados junto con los lderes de las unidades de negocio. Las funciones legales facilitan informacin a los directores de lnea sobre las nuevas legislaciones y no rmas que afectan a las polticas operativas y adems, bien sus propios responsables o los de la funcin de cumplimiento, suministran informacin esencial sobre si las t ransacciones planificadas o los protocolos se adecuan a los requisitos legales y ticos. Responsable de Riesgos Un responsable de riesgo denominado en algunas organizaciones como director o ge rente de riesgos trabaja junto a otros directivos para establecer una gestin efica z de riesgos corporativos en sus respectivas reas de responsabilidad. Este respon sable, nombrado por la alta direccin administrativa y en dependencia directa de l, tiene recursos para ayudar a efectuar la gestin de riesgos a travs de las filiale s, negocios, departamentos, funciones y actividades. El director de riesgos puede tener la responsabilidad de supervisar el progreso de dicha gestin y ayudar a los dems directivos a informar sobre los riesgos releva ntes que existen en la entidad en todas direcciones.

Las responsabilidades del director de riesgos pueden incluir lo siguiente: Establecer las polticas de la gestin de riesgos corporativos, incluyendo la defini cin de papeles y responsabilidades, y participar en la formulacin de objetivos par a su implantacin Enmarcar la autoridad y responsabilidad de la gestin de riesgos corporativos en l as unidades de negocio Promover las capacidades de gestin de riesgos corporativos en toda la entidad, fa cilitando el desarrollo de pericia tcnica en dicha gestin y ayudando a los directi vos a alinear las respuestas a los riesgos con las tolerancias a ellos y la apli cacin de adecuados controles Guiar la integracin de la gestin de riesgos corporativos con otras actividades de planificacin del negocio y de gestin Establecer un lenguaje comn para la gestin de r iesgos que incluya la unificacin de medidas de su probabilidad e impacto y de las categoras de riesgo Ayudar a los directivos a desarrollar protocolos de informacin, incluyendo umbral es cuantitativos y cualitativos, y a supervisar el proceso de distribucin de info rmes Informar al consejero delegado sobre el progreso y las excepciones resultantes, as como de las acciones necesarias recomendadas. Directores Financieros Son particularmente importantes para las actividades de gestin de riesgos corpora tivos, pues sus actividades propias inciden ascendente y descendentemente en tod as las unidades operativas y de negocio. Estas actividades usualmente forman parte de una organizacin central o corporativa, aunque normalmente tambin tienen una responsabilidad de autorizacin para supervisar las actividades de divisiones, filiales y dems unidades. El director financiero, el director de contabilidad y otros responsables de la f uncin financiera son esenciales en el modo con que la direccin ejerce la gestin de riesgos corporativos. Otro personal de la entidad Es hasta cierto punto responsabilidad de toda persona de una entidad y, por esto , debera ser una parte explcita o implcita de su descripcin de funciones. Todo el personal es responsable de dar apoyo a los flujos de informacin y comunic acin inherentes a la gestin de riesgos corporativos. Esto incluye comunicar a nive les superiores de la organizacin cualquier problema en las operaciones, incumplim iento del cdigo de conducta, violacin de polticas o acto ilegal. La gestin de riesgo s corporativos descansa en las comprobaciones y comparaciones, incluyendo la seg regacin de funciones y que el personal no mire hacia otro lado. Los empleados debera n entender la necesidad de resistir la presin de sus superiores para que particip en en actividades inadecuadas y, asimismo, deberan estar disponibles canales inde pendientes de las lneas normales de informacin para permitir informar de tal circu nstancia. Terceros Varios terceros pueden contribuir a la consecucin de objetivos de la entidad, a v eces mediante acciones que van en paralelo a las realizadas dentro de la entidad . En otros casos, estos terceros pueden facilitar informacin til para la entidad e n sus actividades de gestin de riesgos corporativos. Auditores Externos Los auditores externos aportan al consejo de administracin y a la direccin una per spectiva nica, independiente y objetiva que puede contribuir al logro de sus obje tivos de informacin financiera externa por parte de una entidad, as como de otros objetivos. Durante una auditora de los estados financieros, el auditor expresa su opinin sobr

e la imagen fiel transmitida, de acuerdo con principios contables generalmente a ceptados, con lo que contribuye a alcanzar objetivos de informacin financiera ext erna. Este auditor puede contribuir aun ms al logro de dichos objetivos, facilitando in formacin til a la direccin para que lleve a cabo sus responsabilidades relativas a la gestin de riesgos. Tal informacin incluye:

Averiguaciones de la auditora, informacin analtica y recomendaciones de acciones n cesarias para alcanzar los objetivos establecidos Averiguaciones sobre deficiencias en la gestin de riesgos y el control que llaman la atencin del auditor y recomendaciones para mejorarlas.

El informe de auditora se relacionar frecuentemente no slo con el proceso de inform acin de la entidad, sino tambin con sus actividades estratgicas, operativas y de cu mplimiento, y puede hacer importantes contribuciones a la consecucin de sus objet ivos en todas estas reas. La informacin se comunica a la direccin y, segn su relevan cia, al consejo de administracin o a su comit de auditora. Es importante reconocer que una auditora de los estados financieros normalmente n o incluye un enfoque significativo sobre la gestin de riesgos corporativos y, en cualquier caso, no da como resultado la expresin de una opinin del auditor sobre d icha gestin. Sin embargo, cuando las leyes o normas exigen que el auditor evale la s declaraciones de una empresa relativas a su control interno sobre la informacin financiera y los fundamentos en que se apoyan dichas declaraciones, el alcance del trabajo dirigido a dichas reas ser ms amplio y se obtendr informacin y seguridad adicionales. Legisladores y Reguladores Los legisladores y reguladores afectan a la gestin de riesgos corporativos de muc has entidades, bien a travs de requisitos para establecer mecanismos de gestin de riesgos o controles internos o bien mediante inspeccin de determinadas entidades. Muchas de las leyes y normas relevantes abordan primordialmente los riesgos y co ntroles de la informacin financiera. Algunas, sin embargo particularmente aqullas q ue se aplican a los organismos gubernamentales tambin pueden tratar objetivos oper ativos y de cumplimiento. Muchas entidades estn sujetas desde hace mucho tiempo a requisitos legales de control interno. Por ejemplo, las sociedades annimas de Es tados Unidos estn obligadas a establecer y mantener sistemas de control interno c ontable que satisfagan determinados objetivos. La ms reciente legislacin exige que la alta direccin de empresas que cotizan en bolsa certifique la eficacia del con trol interno de la entidad sobre su informacin financiera, junto con la conformid ad del auditor. Varios organismos reguladores examinan directamente las entidades sobre las que ostentan responsabilidad supervisora. Por ejemplo, los inspectores de un banco c entral llevan a cabo inspecciones de los bancos bajo su jurisdiccin y a menudo se centran en aspectos de sus sistemas de gestin de riesgos y de control interno. E stos organismos emiten recomendaciones y adoptan acciones de refuerzo. Por tanto, los legisladores y reguladores afectan a la gestin de riesgos corporat ivos de dos maneras. Primero, establecen las reglas que impulsan a la direccin a asegurar que la gestin de riesgos y los sistemas de control satisfacen los requis itos mnimos legales y estatutarios. Despus, tras inspeccionar una entidad, facilit an informacin til para aplicar su gestin de riesgos corporativos, recomendaciones y a veces directrices a su direccin respecto a las mejoras necesarias. Terceros en Interaccin con la Entidad Los clientes, proveedores, socios de negocio y otros terceros que colaboran en l

os negocios de una entidad son una fuente importante de informacin usada en las a ctividades de gestin de riesgos corporativos. La informacin puede ser variada, des de la demanda emergente de productos o servicios nuevos, discrepancias sobre envo s y facturas, temas de calidad o acciones de empleados que desbordan las fronter as del comportamiento tico. Esta informacin puede ser muy importante para la entid ad en el logro de sus objetivos estratgicos, operativos, de informacin y de cumpli miento. La entidad debe disponer de mecanismos para recibir tal informacin y tomar las ac ciones adecuadas. Estas ltimas no slo implican abordar la situacin de la que se ha informado, sino tambin investigar el origen subyacente del problema y remediarlo. Adems de los clientes y proveedores, otros terceros, tales como los acreedores, p ueden facilitar una supervisin respecto a la consecucin de objetivos de la entidad . Un banco, por ejemplo, puede solicitar informes sobre el cumplimiento por parte de una entidad de ciertos acuerdos sobre la deuda. Tambin puede recomendar indica dores de funcionamiento u otros objetivos o controles deseados. Proveedores de Servicios Externos Muchas organizaciones externalizan a veces funciones de negocio, tales como las operaciones administrativas, financieras y otras internas, delegando su gestin co tidiana en proveedores externos, a fin de obtener acceso a capacidades superiore s y para reducir el coste de servicios. Una institucin financiera puede externali zar su proceso de revisin de prstamos a terceros; una empresa tecnolgica, la operac in y mantenimiento de su proceso de informacin y un minorista, su auditora interna. Aunque los proveedores externos realicen actividades para cada entidad y por su cuenta, las respectivas direcciones no pueden abdicar de su responsabilidad de g estionar los riesgos correspondientes y deberan implantar un programa para superv isarlos. Analistas financieros, Agencias calificadoras de solvencia financiera y Medios de comunicacin Los analistas financieros y las agencias calificadoras de solvencia financiera t ienen en cuenta muchos factores relevantes para el valor de una entidad como inv ersin. Analizan la estrategia y objetivos de la direccin, los estados financieros histric os y la informacin financiera proyectada, las acciones tomadas en respuesta a las condiciones econmicas y de mercado, el potencial de xito a corto y medio plazo, e l rendimiento del sector y comparaciones con otras entidades similares. Los medi os de comunicacin, particularmente los periodistas financieros, tambin pueden real izar anlisis similares. Las actividades investigadoras y de seguimiento de dichos terceros pueden propor cionar ideas sobre cmo otros perciben el funcionamiento de la entidad, los riesgo s econmicos y sectoriales a los que se enfrenta la entidad, las estrategias innov adoras operativas o financieras que pueden mejorar el rendimiento y las tendenci as del sector. Esta informacin a veces se facilita directamente a la entidad en r euniones personales o bien, indirectamente, la propia entidad la capta de anlisis externos para inversores reales o potenciales y del pblico. En cualquier caso, l a direccin debera tener en cuenta las observaciones e ideas de los analistas finan cieros, las agencias calificadoras de solvencia financiera y los medios de comun icacin que puedan mejorar la gestin de riesgos corporativos. 11. LIMITACIONES DE LA GESTIN DE RIESGOS CORPORATIVOS

Para algunos observadores, la gestin de riesgos corporativos, con un control inte rno integrado, asegura que la entidad no fallar esto es, que la entidad siempre al canzar sus objetivos. Esta perspectiva es errnea. Al considerar las limitaciones de la gestin de riesgos corporativos, hay que reco nocer tres conceptos distintos:

El riesgo corresponde al futuro, que es inherentemente incierto. La gestin de riesgos corporativos incluso una que sea eficaz opera a distintos niv les con respecto a objetivos diferentes. Respecto a los objetivos estratgicos y o perativos, dicha gestin puede ayudar a asegurar que la direccin, y el consejo en s u papel supervisor, es consciente en forma oportuna slo del grado de progreso de la entidad hacia la consecucin de dichos objetivos. Sin embargo, no puede proporc ionar ni siquiera una seguridad razonable de que los objetivos en s mismos se alc ancen. La gestin de riesgos corporativos no puede facilitar una seguridad absoluta res pecto a ninguna de las categoras de objetivos. La primera limitacin recuerda que nadie puede predecir el futuro con certeza. La segunda reconoce que ciertos eventos estn sencillamente fuera del control de la d ireccin. La tercera tiene que ver con el hecho de que ningn proceso har siempre tod o aquello para lo que lo ha sido diseado. El concepto de seguridad razonable no implica que la gestin de riesgos corporativ os vaya a fracasar frecuentemente y muchos factores, individual y colectivamente , refuerzan. El efecto acumulativo de las respuestas al riesgo que satisfacen mlt iples objetivos y la naturaleza multifinalista de los controles internos reducen e l riesgo de que una entidad no pueda conseguir sus objetivos. Es ms, las habitual es y cotidianas actividades operativas y responsabilidades personales que funcio nan en varios niveles de una organizacin se orientan al logro de los objetivos de la entidad. De hecho, en una muestra de entidades bien controladas, es probable que la mayora est informada regularmente de su avance hacia los objetivos estratgicos y operati vos, alcance sus objetivos de cumplimiento con regularidad y genere peridicamente informes fiables. Sin embargo, puede ocurrir un evento incontrolable, un error o una informacin errnea. En otras palabras, incluso una gestin eficaz de riesgos co rporativos puede experimentar un fallo. La seguridad razonable no constituye una seguridad absoluta. Juicios La eficacia de la gestin de riesgos corporativos est limitada por las realidades d e la fragilidad humana al tomar decisiones empresariales, algo a hacer aplicando un juicio humano en el tiempo disponible, a partir de la informacin existente y bajo las presiones de la direccin del negocio. Con la clarividencia de la retrosp eccin, es posible averiguar ms tarde que algunas decisiones han producido resultad os inferiores a lo esperado y que podran necesitar un cambio. Fracasos Una gestin de riesgos corporativos bien diseada puede fallar. Es posible que el pe rsonal no entienda bien las instrucciones y que cometa errores de juicio o por d esidia, distraccin o fatiga. Un supervisor de un departamento de contabilidad que sea responsable de la investigacin de incidencias sencillamente puede olvidarse de hacer el seguimiento o fallar al no continuar la investigacin hasta el punto c onveniente donde efectuar correcciones adecuadas. El personal temporal que reali za funciones de control supliendo a empleados de baja por enfermedad o vacacione s puede desempear mal su cometido. Los cambios de sistema pueden haberse implanta do antes de formar al personal para que reaccione adecuadamente ante los signos de funcionamiento incorrecto.

Connivencia Las situaciones de connivencia entre dos o ms individuos pueden provocar fallos e n la gestin de riesgos corporativos. Las personas que actan colectivamente para pe rpetrar y ocultar un acto a menudo pueden alterar datos financieros u otra infor macin de gestin de una forma que no pueda ser identificada por el proceso de gestin de riesgos corporativos. Por ejemplo, puede haber confabulacin entre un empleado que realiza una importante funcin de control y un cliente, un proveedor u otro e mpleado. A un nivel distinto, varios niveles de la direccin de ventas o de otra divisin pod ran conspirar para eludir controles y conseguir que los resultados a informar coi ncidan o superen los objetivos presupuestados o fijados como incentivo. Costes y Beneficios Como se comenta en el captulo Evaluacin de riesgos, siempre existen restricciones en los recursos y las entidades deben tener en cuenta los costes y beneficios re lativos que las decisiones implican, incluyendo aquellos relacionados con la res puesta al riesgo y las actividades de control. Al determinar si debe decidirse una accin o establecerse un control, deben consid erarse tanto el riesgo de fracaso y el efecto potencial en la entidad, como los costes correspondientes. Por ejemplo, es posible que no resulte provechoso para una empresa instalar controles sofisticados de inventario para supervisar los ni veles de materias primas, si es bajo el coste de las que se usan en un proceso d e produccin, si el material no es perecedero, si existen suministros externos dis ponibles y si hay espacio libre en los almacenes. Los costes y beneficios de implantar unas capacidades de identificacin de eventos y evaluacin de riesgos y las correspondientes respuestas y actividades de contro l pueden medirse con niveles distintos de precisin, que a menudo varan segn la natu raleza de la entidad. El reto es encontrar el equilibrio adecuado. Del mismo mod o que los recursos limitados no deberan asignarse a riesgos no significativos, un control excesivo es costoso y contraproducente. Los clientes que realizan pedid os telefnicamente no van a tolerar procedimientos de aceptacin demasiado complicad os o largos. Un banco que hace pasar por el aro a potenciales clientes solventes n o conceder muchos prstamos nuevos. Un control demasiado escaso, por el contrario, presenta riesgos innecesarios de morosidad. Hace falta un equilibrio adecuado en un entorno muy competitivo. A pesar de las dificultades, se seguirn tomando deci siones coste-beneficio. Imposicin de la Direccin La gestin de riesgos corporativos es tan eficaz como lo sean las personas respons ables de su funcionamiento. Incluso en entidades gestionadas y controladas efica zmente aquellas con niveles generalmente altos de integridad y conciencia de los riesgos y del control, canales alternativos de comunicaciones y un consejo de a dministracin activa e informada que posea un adecuado proceso de gobierno corpora tivo un directivo todava podra hacer caso omiso de la gestin de riesgos corporativo s. Ningn sistema de control o gestin es infalible y aquellas personas con intenciones delictivas se empearn en burlar los sistemas. Sin embargo, una gestin eficaz de ri esgos corporativos mejorar la capacidad de la entidad para prevenir y detectar aq uellas actividades que hagan caso omiso de ella. El trmino imposicin de la direccin se usa aqu con el significado de hacer caso omiso d e las polticas o procedimientos estipulados con fines no legtimos tales como el en riquecimiento personal o la presentacin mejorada de la posicin financiera o del ni vel cumplimiento de una entidad. Un director de una divisin o unidad o un miembro de la alta direccin pueden prescindir de la gestin de riesgos corporativos por mu chas razones: aumentar los ingresos informados para cubrir una reduccin inesperad a de cuota de mercado, alterar los resultados informados a fin de alcanzar presu puestos no realistas, incrementar el valor de mercado de la entidad antes de una

oferta publica de venta, lograr las proyecciones de ventas o resultados a fin d e agrandar los incentivos vinculados al rendimiento o valor de las opciones sobr e acciones, encubrir violaciones de contratos de prstamos y ocultar la falta de c umplimiento de las normas legales. Son prcticas de omisin las presentaciones falsa s deliberadas a bancos, auditores y proveedores y la emisin intencionada de docum entos falsos tales como pedidos de compra o facturas de venta. La imposicin de la direccin no debera confundirse con su intervencin. Esta ltima repr esenta las acciones de la direccin para desviarse con fines legtimos de las poltica s o procedimientos establecidos. La intervencin de la direccin es necesaria para t ratar con transacciones no recurrentes y poco habituales o eventos que, de otro modo, podran manejarse inadecuadamente. Es necesario dar margen a la intervencin d e la direccin, porque no se puede disear ningn proceso que anticipe todos los riesg os y circunstancias. Las acciones de la direccin para efectuar tal tipo de interv encin estn generalmente abiertas y documentadas o, de otra forma, son reveladas al personal adecuado. Hacer caso omiso de la gestin de riesgos corporativos normalm ente no genera documentacin ni revelaciones y tiene la intencin de encubrir las ac ciones.

CONCLUSION La premisa subyacente en la gestin de riesgos corporativos es que las entidades e xisten con el fin ltimo de generar valor para sus grupos de inters. Todas se enfre ntan a la ausencia de certeza y el reto para su direccin es determinar cunta incer tidumbre se puede aceptar mientras se esfuerzan en incrementar el valor para sus grupos de inters. La incertidumbre implica riesgos y oportunidades y posee el potencial de erosion ar o aumentar el valor. La gestin de riesgos corporativos permite a la direccin tr atar eficazmente la incertidumbre y sus riesgos y oportunidades asociados, mejor ando as la capacidad de generar valor. Se maximiza el valor cuando la direccin establece una estrategia y objetivos para encontrar un equilibrio ptimo entre los objetivos de crecimiento y rentabilidad y los riesgos asociados, adems de desplegar recurso eficaz y eficientemente a fin de lograr los objetivos de la entidad. La Gestin de Riesgos Corporativos permite asegurar una informacin eficaz y el cump limiento de leyes y normas, adems de ayudar a evitar daos a la reputacin de la enti dad y sus consecuencias derivadas. En suma, la gestin de riesgos corporativos ayu da a una entidad a llegar al destino deseado, evitando baches y sorpresas por el camino.

BIBLIOGRAFIA 1. Gestin de Riesgos Corporativos Marco Integrado PricewaterhouserCoopers, E dicin 2009 2. Gestin de Riesgo Corporativos Maco Integrado, Tcnicas de Aplicacin ao 2004.