Presentación, objetivo, régimen de preguntas/discusiones.

1

¿Quiénes piensan que su sistema de riesgos tiene el soporte adecuado de la dirección?

Para abrir nuestra charla, no quiero dejar de mencionar a las palabras de quien ha hecho más que cualquier otra persona en Para abrir nuestra charla, no quiero dejar de mencionar a las palabras de quien ha hecho más que cualquier otra persona en proyectar al ERM, aún más que Lehman o Black y Scholes :), Jeffrey Skilling, ex presidente de Enron, “We love risk, because risk of how we make money”. Esta cultura de riesgos incentivada desde el CEO generó una conducta agresiva dentro de su organización. De hecho, Enron es aún el mejor ejemplo de como generar una mala cultura que resultó en falta de liquidez no adecuando su capital al riesgo, fraude contable por más que haya fallado algún control contable y abusos en su modelo de mark-to-model para valuar contratos de futuros.

Veamos que prácticas construyeron una cultura de gestión de riesgos tóxica:1- Despedir anualmente al 10% o 15% de los empleados que tengan los peores evaluaciones (sistema “Rank and Yank” aún usado por el 60% del Forbes500) – Buscar solamente rentabilidad, evitar confrontar prácticas, sólo cumplir órdenes, pensar en el corto plazo, no reportar riesgos, traders tomando riesgos y contables inflando resultados.2- No distinguir entre relaciones personales y profesionalismo (favoritismo, líder carismático, narcisismo)3- la cultura de culpar automáticamente a otros especialmente empleados de bajo rango (Vulnerable System Syndrome)4- No tener un sistema normativo ni de control claros dentro la compañía (diluye las responsabilidades)5- Dejar de lado el factor de riesgos frente a la rentabilidad, sus negocios se transformaron en “apuestas” (y no con dinero propio, sino de los inversores)

Otros casos:SG Sociéte Générale – Al carecer de funciones de riesgos integradas, no pudieron identificar alarmas que resultaron en pérdidas por trading en €4.9 bn en 2008 (Jérôme Kerviel llegó a postear posiciones por más de la capitalización del banco en 2 años prevenible con control de autorización).Bear Stearns – Exceso de confianza en su equipo que riesgo que centralizaron el liderazgo resultó en su colapsoIndependent Insurance – Un liderazgo autocrático y el miedo a “malas noticias” generó bajas reservas y su colapso

También tenemos fraude por toma de posiciones sin autorización, como el Credit Agricole en 2007. Si una cultura de riesgos genera valor para los grupos de interés, hay varios casos de problemas para identificarlos. USB en 2008, 2b USD, Kweku Adoboli donde elsoftware de ERM detectó las operaciones no autorizadas, pero no se investigaron. Tambien, BP y el derrame en el Golfo del Deepwater Horizon: ¿Fueron las precepciones de riesgos de los turistas, ecologistas, contratistas y muchos más incluidas en su cultura? BP carecía de ERM.

Consecuencias de una pobre cultura: insolvencia, rebajas de calificaciones masivas, pérdida de valor de la acción, takeover Estatal

ERM no falla por un método sino por una cultura tóxica, su riesgo último es la falla de la cultura .

2

La discusiones sobre riesgos en las corporaciones son originadas por las crisis. La crisis solamente expone las debilidades de las prácticas de gestión riesgos. En estas discusiones, siempre se hace hincapié en la cultura como un factor para incorporar el riesgo a la toma de decisiones. En esta charla, les quiero compartir experiencias para mantener la actitud apropiada dentro del gobierno la toma de decisiones. En esta charla, les quiero compartir experiencias para mantener la actitud apropiada dentro del gobierno corporativo y algunas herramientas para generar esta cultura de evaluación permanente de riesgos e integrada a la toma de decisiones.

La cultura organizacional es un componente clave dentro del ERM, vinculada al aspecto de toma de decisiones para cumplir objetivos (tanto proveyendo estructura como disciplina). Cuando todos los empleados permanecen vigilantes de riesgos potenciales, tanto internos como externos, la organización aumenta su probabilidad de detectarlos y tratarlos. Esta vigilancia es un subproducto de la cultura (entendida como un sistema de valores compartidos para la conducta de un grupo). La actitud de los niveles para construir esta cultura requiere 1) formular una estrategia de gestión de riesgos, 2) articular esta estrategia para todos los empleados (protocolos, controles, marco ISO/COSO..), y 3) actuar en consistencia a esta estrategia (para obtener tratamientos uniformes de riesgos, asignar responsabilidades claras).

Esta cultura comprende entonces las actitudes y el comportamiento colectivo de la organización para identificar, discutir y gestionar los riesgos que toma. La definición de cultura que utilizada en esta presentación se hace en el contexto de la pregunta ¿Qué determina como una compañía toma decisiones? La clave de una cultura para ERM es que hablamos de una cultura fuerte cuando estas decisiones se toman de forma disciplinada, tomando en consideración los riesgos y los beneficios sobre una base fundamentada. Estas decisiones se extienden en la organización desde la definición de estrategias globales a largo plazo hasta decisiones de negocios rutinarias. Esto determina que la cultura de riesgos no sea un concepto de un grupo concreto en el topmanagement sino que debe extenderse a todos quienes toman decisiones (por ejemplo y especialmente en planeamiento y presupuestación). La conciencia de riesgos implica entender que son una parte de nuestro negocio, y por lo tanto gestionables (no necesariamente para eliminarlos). Una buena cultura asegura que “hacer lo correcto” prima sobre “hacer todo lo que sea necesario”.

Esta cultura sostiene las decisiones en situaciones complejas:-decisiones que sacrifican el valor ajustado al riesgo en el largo plazo por ganancias en el corto plazo (incremento de ventas, hipotecas subprime)-decisiones que involucran el ingreso y el ego de quienes las toman (promociones, bonus, crecer, sistemas compensatorios)-decisiones bajo presión (de reguladores, agencias de rating, mercados)

La cultura también debe aprender de la experiencia pasada, incrementando el conocimiento para tomar mejores decisiones. Aquí tiene peso el resultado de lo que medimos (KRIs).

La cultura se puede crear y cambiar, para ello hay un papel educativo de los lideres sobre riesgos en la organización. Para pasar de empleados sin entendimiento de riesgos a aquellos que actúan en forma inteligente debemos educar sobre riesgos en seminarios y presentaciones sobre casos, así como incentivar que los empleados hagan sus propias evaluaciones sobre riesgos. Demos dar el poder a los empleados para definir sus riesgos y sus controles.

Para las compañías de seguros bajo Solvency II, debemos demostrar que la metodología de cuantificar riesgos operacionales está alienada al perfil de riesgos, y que el resultado se usa en el proceso de decisiones estratégicas y planeamiento de negocios.

3

Una cultura consiente de los riesgos es necesaria para el éxito de todo ERM, asegurando de optimizar el valor de los accionistas a través de optar por alternativas de riesgos/beneficios. De todos los componentes de riesgos, la cultura es por lejos la parte más compleja con un impacto exponencial. Esta cultura que involucra desde la filosofía corporativa a las percepciones individuales. Debemos evitar el común que se perciba a la cultura de Esta cultura que involucra desde la filosofía corporativa a las percepciones individuales. Debemos evitar el común que se perciba a la cultura de gestión riesgos como un mero tema de compliance, y el gestor de riesgos se convierte solamente en el custodio del registro de riesgos.

Si falla alguno de sus elementos, puede que no identifiquemos todos los riesgos o sean valuados incorrectamente. De esta forma las decisiones terminan ignorando ciertos riesgos o no son consistentes con los objetivos corporativos. Necesitamos criterios rigurosos y estos se basan en la cultura de riesgos. Cuando la cultura no es correcta, aún el modelo de gestión de riesgos más sofisticado será inefectivo.

En una mala cultura, nuestros gestores no hacen “lo correcto” a pesar que exista una buena política de riesgos y controles. En una buena cultura, nuestros gestores hacen siempre “lo correcto” aunque fallen las políticas y los controles. Muchas veces “el poder” dentro de la organización no deja que se generen y compartan percepciones distintas sobre los niveles de riesgos. Muchas veces la definición de los objetivos estratégicos no es compartida dentro de la organización.

En la práctica, encontramos más ejemplo de malas culturas “ex-post” de problemas, que identificar los elementos de una buena cultura “ex-ante”. Elementos de una buena cultura de gestión de riesgos: 1- Hay una clara estrategia de ERM, con objetivos, apetito y métodos definidos que incluyen a todos los grupos de interés y contrapartes. Hay confianza y liderazgo.2- La caracterización de los riesgos está integrada a la toma de decisiones y cuenta con KRIs y planes de acción3- Todos los procesos tienen su análisis de riesgos y se actualizan a su nivel y agregación (evita seguir el “risk ju jour”, proceso iterativo, al poder agregar nos permite identificar estrategias de diversificación de riesgos)4- Se cuenta con el factor humano capacitado y disponible para identificar, valuar y tratar riesgo. Tanto la evaluación de desempeño de la compañía y de las personas se ajusta a los riesgos5- Se cuenta con un sólido sistema de reporte de riesgos y pérdidas. Los responsables se sienten cómodos al reportar sus riesgos y pérdidas (comunicación abierta). 6- ERM está optimizado para detectar oportunidades, incluyendo a la mejora continua7- Se cuenta con la capacidad para estructurar varias visiones sobre el mismo riesgo (métodos, modelos documentados, una única taxonomía que se pueda agregar/armonización, un solo vocabulario)

En riesgos hablamos de los sesgos cognitivos que generar una distorsión con la realidad y sus datos, originando una toma de decisiones irracional (“mi riesgo es el más importante”/”yo soy el mejor gestor de este riesgo”, todos sostienen que gestionan riesgo en forma conservadora). Buscamos investigar solo las opiniones que creemos de antemano, nuestra memoria se altera, pensamos que los eventos del pasado fueron predecibles, nos creemos responsables de los éxitos pasados (sin mirar a “la suerte”). Para ilustrar este tipo de sesgo, pensemos en el capitán del Costa Concordia.

La cultura debe fomentar:1- No evitar discusiones conflictivas (me pone nervioso una reunión sobre riesgos donde todos estén felices, buscar múltiples perspectivas, si todos piensan lo mismo es porque alguien no está pensando)2- Darnos el tiempo necesario para tomar decisiones informadas, definiendo bien los perímetros de cada riesgo3- Explicar nuestros conocimientos que basan las decisiones (aunque requieran mayores esfuerzos).4- No encuadramos a nuestro conocimiento sin buscar terceras opiniones5- No sobre estimar nuestra capacidad para tomar buenas decisiones6- Darnos la posibilidad de cambiar (tendemos siempre a mantener las posturas que hemos tomado en el pasado)

4

Importancia de la cultura al reclutar.

Estudio sobre ofertas de trabajo internacionales sobre posiciones gerenciales en riesgo

(“risk manager”, “risks director”, “Chief Risk Officers”, “Head of Risk”, “Risk Leader”,

“Risk Management Officer”). Frecuencia de palabras en “responsabilidades” para

ofertas laborales en jobscout24.ch , gaapweb, monster, indeed, etc – Solo 2 ofertas con

referencias explícitas para promover la cultura sobre 100.

A pesar de esto, el nuevo COSO en borrador nombra la cultura 12 veces.

http://www.coso.org/documents/coso_framework_body_v6.pdf

5

Dicen que las acciones hablan más fuerte que las palabras. La cultura de conciencia de riesgos requiere que todas las áreas de la empresa conozcan sus riesgos. ¿Cuáles son las claves para el éxito entonces?

Liderazgo – Una característica de una cultura de riesgo fuerte es un estilo de liderazgo fuerte para toda la organización y todos sus proyectos, además se complementa con un estilo de gestión participativa y que se base en el conocimiento de los empleados y los miembros del equipo. EMR debe ser muy visible: queremos mejorar la habilidad de la compañía para tomar riesgos, y no limitar negocios. La efectividad depende que le guiemos a nuestros empleados concretamente que hacer. Si no creemos en ERM, no posibilidad de generar el entusiasmo necesario. También nos encontramos con la pregunta: ¿si todos ya estamos gestionando riesgos, para que necesitamos un marco de ERM? El problema es que la diversidad de riesgos, necesita uniformizar criterios (establecer un apetito, una visión). Sin saber a que puerto navegamos, ningún viento es favorable (Seneca).

Responsabilidades – Al asignar metas a nuestra gente, asignamos responsabilidades (y riesgos) por esas metas. Promover que los empleados sean responsables por sus acciones (decisiones). Un elemento de fundamental de asimetría es que personas buscadoras de riesgos manejan dinero de otros. De esta forma, los beneficios del dinero de otros e incentivos al gestor de riesgos deben estar alineados con responsabilidades. Estas responsabilidades sobre riesgos se desprenden de que cada persona es responsable por metas establecidas. Debemos fomentar que este bien claro quien es el propietario de cada riesgo (y que realmente lo entienda). Hay responsabilidades top-down (ej. RCSA) y bottom-up (escalar tratamientos, aprobación de riesgos/RCSA). La maduración de un sistema de ERM depende que se de la delegación de autoridad en cascada a todos los niveles. De principio, los gerentes en cada línea de negocio deben ser aquellos que identifican, evalúan, controlan y son propietarios de los riesgos. Luego tenemos otras responsabilidades dentro de ERM, como la dirección en establecer el apetito y establecer las líneas de reporte, los comités de riesgos y auditoría sobre el monitoreo. Objetivos pocos claros generan riesgos inesperados.

Captura riesgos 360º - Permitir la captura de riesgos dentro de todos los niveles de la organización, por áreas y por proyectos. Uno de los principales problemas culturales que piensen que los gestores de riesgos sabemos de antemano donde está cada riesgo. Cuando ponemos nuestros métodos de identificación de riesgos en manos de otros gerentes y empleados, es cuando cambiamos la cultura saliendo de los silos de información. En esto, además debemos mirar por igual ganancias o perdidas no esperadas. La generación de caja en forma inesperada, también es un síntoma de debilidades de control. Esto requiere también centralizar los perfiles de riesgos en un registro y bajo un cargo, buscando la consistencia entre los departamentos. Identificar riesgos en 360 grados favorece comprender la interacción de riesgos a un nivel “de portfolio”, permitiendo consolidar riesgos empresariales. Este alcance de 360º debe estar formalizado.

Comunicación – Una comunicación completa y transparente permite que tengamos una “visión de helicóptero” (contra la “visión de túnel” y el sesgo confirmatorio). Las empresas que efectivamente gestionan sus riesgos son propensas a comunicarlos y tolerantes para discutirlos . ¿Nos podemos dar el lujo de perder datos? Es natural que la gente se sienta vulnerable al discutir los riesgos e incidentes de su área y su evaluación tiende a no ser honesta. Una cultura de comunicación abierta requiere definiciones formales y que la Dirección lidere con el ejemplo. La comunicación debe incluir a todos los grupos de interés, geografías y gestores de portfolios. Generalmente en empresas de alta competencia, los empleados no se compartan información y genera un desafío extra al ERM. La comunicación permite encontrar riesgos de contagio y correlaciones. Si pretendemos que el ERM esté en nuestras decisiones, no puede ser una especialidad de pocos. Riesgos implica muchísimo intercambio de información. Nadie puede asumir responsabilidades sobre lo que no entiende, y aquí hay un soporte de entrenamiento desde ERM. Aquí hay un papel importante en el software de GRC que utilicemos. En palabras de Warren Buffett “el riesgo se origina cuando no sabes lo que estás haciendo”.

Es difícil que buenos controles compensen una mala cultura.¿Quiénes vienen de organizaciones que tengan más de un 10% de empleados con contacto en ERM?

6

En negocios, los resultados se alcanzan por medir el éxito de cierta acción y

monitorear su progreso en el tiempo. En riesgos, lo mismo pasa para la cultura. El monitorear su progreso en el tiempo. En riesgos, lo mismo pasa para la cultura. El

liderazgo o la comunicación no significan nada si no pueden ser medidos. La medición

y el monitoreo son condiciones necesarias pero no suficientes para la mejora

continua del sistema de gestión de riesgos. ERM quedaría solo con un efecto

placebo. Una cultura de conciencia de los riesgos no es un concepto meramente

intangible, sino tiene elementos medibles para saber como estamos progresando hacia

ciertos objetivos.

Decirle a alguien que tiene un rol en la gestión de riesgos, pero no medirlo, no genera

un incentivo para modificar conductas. Además, la medición y monitoreo del ERM es la

forma de justificar su aporte a la organización.

Medir generar la oportunidad de aprender el pasado, investigando las opiniones de los

grupos de interés internos y externos (y en particular sobre auditoría donde sus planes

de trabajo se basan en riesgos). Una herramienta es el Control Risk Self Assessment,

el reporte de riesgos, y las bases de reporte de incidentes y pérdidas. Se necesitan

encuestas para obtener información. Debemos generar “business cases” en lugar que

advertencias. Por ejemplo, no solo reportar que tenemos dos centros de respaldo de

datos muy cercanos en una zona inundable, sino demostrar con valores cual es el ahorro

de mudarlos.

Papel de las encuestas de satisfacción.

7

La mitad de toda gestión es hacer la pregunta correcta, y la otra mitad es obtener la respuesta correcta. Una buena herramienta para medir la efectividad de la gestión de riesgos son las encuestas anónimas. Buscamos acá encontrar herramienta para medir la efectividad de la gestión de riesgos son las encuestas anónimas. Buscamos acá encontrar los datos que evidencian si estamos en la cultura correcta. Hay varias soluciones en el mercado (PWC, sobre web, confidencialidad al gestionarla un tercero, customizada por área, posibilidad de benchmarking). Cada capítulo de la encuesta debe tener su propietario (ej. liderazgo a la alta dirección, y gestión sobre el grupo ERM).

¿Qué medimos? ¿Cómo nos ven? ¿Riesgos se extendió más allá de compliance o auditoría? -Liderazgo: Qué tan bien hemos transmitido la misión ética de la empresa así como comunicado los objetivos. Es decir, que el sector de gestión de riesgos genera valor y un clima de confianza con su liderazgo. ¿Hemos construido un clima para un debate abierto sobre riesgos y los objetivos estratégicos? ¿Mensaje consistente, propensos al riesgo o al control? ¿Somos inclusivos?-Responsabilidad: Qué tan bien hemos alineado las responsabilidades individuales de la gestión de riesgos con los inventivos. Incluye acá el análisis de escalamiento apropiado de cuestiones. ¿Está en claro quienes son los dueños de los riesgos? ¿Sancionamos a quienes sobrepasaron un nivel de riesgo?-Comunicación: Qué tan bien hemos comunicado las herramientas de gestión (ej. capacitación, el apetito de riesgo, la posibilidad de crear conocimiento especialmente desde los errores). ¿Hemos comunicado a nuestros empleados las fronteras por las cuales pueden operar? ¿Se reportan “las malas noticias”? ¿La comunicación fluye top-down, bottom-up o en ambos sentidos? ¿Incentivamos la mejora continua?-Gestión: Qué tan bien hemos construido planes de acción, controles, y la infraestructura que hemos construido. Es decir, en que medida hemos integrado ERM a la toma diaria de decisiones. ¿Están funcionando bien los comités de riesgos? ¿Se aplica consistentemente el marco de ERM?

Esta encuesta debe cubrir a todos aquellos que tienen algún rol en la gestión de riesgos (gerencias operativas, finanzas, seguros, estrategias). Su aporte más importante es que genera un diálogo interno para utilizar mejor los recursos invertidos en ERM, recordando que el principal objetivo del GRC es la mejora de la eficiencia. Esta encuesta da un marco general a los RCSAs.

Un método de construcción de culturas solidas de gestión de riesgos está en su infancia. Las prácticas más actuales tienen problemas para relacionar objetivos con riesgos por falta de información (especialmente la externa). También la falta de conocimiento es un impedimento fuerte para el desarrollo de la cultura. Esto impide encontrar indicadores predictivos de riesgos como amplios análisis de competencia o planeamiento por escenarios. Sin embargo hay puntos a favor, cada vez más empresas no financieras crean sus funciones de CROs como consejeros estratégicos, y hay mayor presión de los reguladores (ej. Swiss Quality Assessment para seguros).

8

9

Otro elemento clave en sustentar la cultura de riesgos es una buena política de riesgos que provea dirección, transparencia a los grupos de interés y neutralidad en la gestión.dirección, transparencia a los grupos de interés y neutralidad en la gestión.

Esta política debe definir:•los objetivos y los recursos del grupo de gestión de riesgos•generar un léxico común (y un registro común)•el nivel de riesgos que la compañía está dispuesta a aceptar (implementar el apetito de riesgos en niveles operativos y en responsabilidades es un proceso complejo, establecido por el directorio, ej. crecimiento > del 2% en el BRIC, inversiones de > un free cash flow de $$$, mantener el B+, > EBITDA/intereses de 4, evitar pérdidas de > $$$ )•el proceso formal de identificación y tratamiento de riesgos y oportunidades, y relacionándolos con los procesos de planeamiento estratégico•estrategias: top-down y/o bottom-up, cuantititivas o cualitativas.•el mapeo desde los riesgos hasta los controles•Los responsables del seguimiento de los riesgos (y de gestionar el registro), frecuencias de actualización•El reporte de indicadores

Esta política debe dar un marco para la toma de decisiones que involucren alto riesgo (adquisiciones, litigios, asumir riesgos no asegurables, endeudamiento). Es relevante prever este proceso, así como prevemos y documentamos nuestros planes de emergencia. Este punto requiere que se identifiquen aprobadores, análisis a solicitar, niveles de calidad mínimos (por ejemplo, utilizar nuestros mejores recursos para llevarlas a cabo), comunicación y dialogo con grupos de interés, y quienes serán los negociadores. Básicamente, debemos prever como evitar sesgos cognitivos en este proceso. La política de ERM debe estar integrada a las iniciativas de GRC.

Luego de definir la política de riesgos, el paso natural es armar el perfil de riesgos listando todos los riesgos potenciales que la organización puede enfrentar.

La política debe involucrar que nuestros socios y proveedores estratégicos cumplen con nuestros estándares de gestión de riesgos (por ejemplo, como los seleccionamos y evaluamos). Esta política debe permitir que los riesgos identificados se comparen con el portfolio de bienes asegurados.

10

Estas funciones para desarrollar una cultura de riesgos se basan principalmente en los objetivos de un comité de riesgos corporativo. En la práctica (y según varias encuestas), el principal sponsor del ERM es el CFO (y por presiones regulatorias). Contar con un comité de riesgos aumenta la credibilidad de esta iniciativa, aunque no se encuentren con recursos dedicados.credibilidad de esta iniciativa, aunque no se encuentren con recursos dedicados.

En términos generales sus objetivos incluyen:1- sostener un monitoreo general sobre las funciones de gestión de riesgos y cumplimiento normativo. En este aspecto, garantiza el seguimiento de riesgos que ponen en peligro el cumplimiento de objetivos estratégicos, emiten políticas de gestión de riesgos, evalúan los planes de acción con sus controles y planes de continuidad de negocios y contingencias, estructuran políticas de alto nivel de seguros, evaluar la consistencia entre los riesgos no asegurados y la tolerancia/expectativas de los grupos de interés, definir el registro de riesgos y sus indicadores, planes de identificación de riesgos por las unidades de negocios y el seguimiento de cuestionarios. El centro aquí es dar una estructura a estos temas.2- proveer información de entrada sobre los riesgos que enfrenta la organización tanto internos como externos (portfolio de riesgos corporativos). En este aspecto, tienen un papel de coordinación y planeamiento de recursos en vistas de nuevos riesgos previstos como cambios esperados en el entorno. Los miembros de este comité deben tener recursos para identificar riesgos externos emergentes (y mantener un pensamiento “out of thebox”). 3- proveer de recomendaciones a la junta ejecutiva con respecto a las prácticas de negocios y las actividades de ERM. En este aspecto, tienen un papel de consultores sobre las mejores prácticas para administrar el programa de ERM, las técnicas para mitigar riesgos, implementación de medidas de prevención de pérdidas.

Es decir, toma las responsabilidades (y la autoridad) de la alta dirección en ERM para un mejor seguimiento y reporte a todos los stakeholders. La alta dirección queda a cargo de establecer las estrategias, pero debe entender los riesgos inherentes a las mismas y recibir cuestiones escaladas. Su principal responsabilidad entonces es construir una cultura de riesgos dentro de la organización, con un enfoque educativo e integrando prácticas. Busca así evitar un comportamiento disfuncional que tienda a absorber riesgos excesivos.

Cuando el comité de auditoría tiene el tiempo, el apoyo y las habilidades necesarias, estas funciones pueden ser llevadas por ellos. En ciertas industrias, la complejidad puede requerir un comité por separado; o bien cuando el comité de auditoria se centra solamente en compliance sobre temas que tienen impacto contable. Adicionalmente, hay aspectos regulatorios que pueden pedir un comité por separado, por ejemplo, la ley Dodd-Frank para bancos cotizantes con más de 10b USD en activos o empresas no bancarias supervisas por la Reserva Federal (ING, GMAC). La separación de funciones es positiva en empresas complejas desde lo financiero, que tienen ambientes cambiantes (IT), o ante cambios de entornos (crisis de crédito/liquidez, mercados). Los comités de riesgos pueden regionalizarse para luego consolidarse globalmente. También estas funciones pueden ser llevadas por un grupo de trabajo menos formalizado y dentro del “C-suits”. Este grupo ayudará a sustentar los esfuerzos del Chief Risk Officer o el líder en ERM.

En la encuesta de Protiviti publicada por COSO en Diciembre de 2010, el 71% de los directores indicó que el comité ejecutivo no estaba llevando a cabo un análisis maduro y robusto para monitorear el proceso de detección de riesgos (a pesar de la atención a este tema en los últimos 10 años). Si bien muchos reciben un resúmen de los riesgos claves por unidad de negocio, en general les falta el análisis de escenarios sobre el impacto de cambios externos, las excepciones a las políticas de riesgos, cambios en riesgos inherentes, y el reporte de los planes de mitigación.

Este Comité también debiera mantener un diálogo para establecer el apetito de riesgos de la organización (y formalizarlo en su propia política de gestión de riesgos). Especialmente debe establecer los supuestos para determinar este apetito, en términos de articular los criterios establecidos para crecer en los mercados a partir de estrategias regionales, la evaluación de riesgos reputacionales, los límites de inversión, de nivel de deuda, de rating crediticio y de liquidez deseados. La cultura organizacional tiene un alto impacto al establecer el apetito de riesgo. Sorprendentemente a pesar de su importancia, el concepto de apetito de riesgos no está mencionado en la ISO 31.000 (aunque si en otras ISOs). También debiera participar en los programas de incentivos.

¿Quiénes pueden implementarlo?

11

Desde hace mucho tiempo, los ingenieros en geología descubrieron que poner pernos y cables de fuerza reforzaba las aberturas y los pasajes en las minas para compensar la presión de las rocas. Estos ingenieros detallaron la densidad y el modo de sujetar los cables para mantener la mina segura y evitar un colapso. Con el tiempo, quienes debían ponerlos se dieron cuenta que podían cables para mantener la mina segura y evitar un colapso. Con el tiempo, quienes debían ponerlos se dieron cuenta que podían espaciarlos, llevarse su salario con un premio “productividad” y dejar un falso sentido de seguridad. Centímetro a centímetro, esta práctica termina con el colapso de la mina. Sobran ejemplos sobre la generación de riesgos no aceptados por un correcto sistema de incentivos.

El interés personal es un fuerte motivador sobre la forma que los empleados toman decisiones. En términos de riesgos, los incentivos son el factor más determinante para que se tomen las alternativas más alienadas a las estrategias corporativas. En unmundo perfecto, premiamos a los gerentes que minimizan la exposición a riesgos de la compañía. ¿Si tenemos un gerente que baja las pérdidas, no debemos reconocerlo? ¿Premiamos por bajar índices de siniestros o pérdidas? En la práctica, es frecuente encontrar que los premios y los castigos no son simétricos (premiamos mucho y castigamos poco). No es tanto el problema el pagar bonos, sino el hecho de no penalizar las malas conductas. ¿Hay simetría para un trader entre un bono suculento o ser despedido para encontrar un nuevo trabajo en días?

En estas últimas décadas, hemos visto que la compensación de los gerentes se basa mayormente sobre ganancias, pero ¿incentivamos a nuestros gerentes a “hacer lo correcto”? ¿Incentivamos el cumplimiento de objetivos de control así como los financieros? Hemos visto especialmente con la crisis financiera de 2008 que los programas de incentivos contribuyeron fuertemente a que las decisiones sobre riesgos no sean ni prudentes ni se basen en el largo plazo. Los incentivos para todos los niveles deben basarse en las acciones para cumplir las estrategias dentro de un apetito de riesgo. No incluir estos aspectos genera un mal mensaje a los empleados: la compañía no valora el riesgo. Es muy difícil convencer a la organización a limitar sus riesgos (especialmente en los auges económicos), y más aún cuando solamente premiamos rentabilidades. Los traders se ven como centro de ganancias y los gerentes de riesgos como centros de costos. Hemos visto gerentes buscando obtener un gran impacto en resultados para ascender, y no en proyectar sus carreras en 40 años. Con la rotación actual, muchos gerentes de línea están pensando en planes a corto plazo. Por otro lado, no podemos perder la motivación de nuestros gerentes en sus aspiraciones económicas (de hecho, es el tipo de personalidad alpha que busca resultados que se busca). En un ambiente donde se busca ser más rico, no es sorprendente que riesgo pase a segundo lado a menos que se refuerce desde la alta dirección.

¿No deberíamos ajustar los incentivos para que no solo cubran los resultados del ejercicio pasado para que incluyan años subsecuentes? A pesar de varias experiencias recientes, no tenemos un estudio claro de que tipo de incentivos crea una mejor cultura de riesgos. Cuando cayó Bear Stearns, los empleados tenían un tercio de la empresa por incentivos, y poco valió para evitar su colapso. Sin embargo, la evidencia indica que debemos incentivar una cultura de riesgos a largo plazo. Los incentivos deben cambiar de orientarse al crecimiento y la rentabilidad, a la protección de los activos a largo plazo. Un buen comienzo es el diferimiento progresivo de los bonos (las clawback provisions, que pasaron de 10 a 86 empresas del Fortune 100 desde el 2006, en cierta forma también las stock options). Una alternativa es generar una evaluación de riesgos sobre cada bono (o promoción). Luego, se puede ya implementar un esquema de compensaciones ajustadas al riesgo, es decir, ajustadas a las expectativas del riesgo para los inversores, ajustando la voltalidad (por ejemplo en seguros médicos, ajustando actuarialmente los beneficios por incorporar asegurados con más o menos riesgos que el promedio de cada producto; en general se relativizan los incentivos contra una benchmark/apetito de los inversores).

12

Ningún estándar o política por si solas modifican las conductas. Una herramienta

valiosa para generar una cultura de riesgos son las revisiones de auditoría sobre riesgos. valiosa para generar una cultura de riesgos son las revisiones de auditoría sobre riesgos.

Permiten verificar el cumplimiento de los planes de acción, el diseño de controles

(procedimientos), la validez de los datos que usamos, y en general, sobre como hemos

adoptado la política de ERM. Este concepto va más allá del monitoreo de riesgos

entendido por los cambios en las frecuencias o los impactos. Incluye también que tan

efectivos hemos sido en la aplicación de recursos (personas, sistemas, inversiones en

planes de acción), el nivel de documentación, actuación de los comités, la adecuación

de los modelos, etc. Básicamente si estamos reportando todos los riesgos. ERM debe ser

tan auditable para una organización como cualquiera de sus líneas de negocios.

Tanto auditoría interna como externa, no llegan a cubrir el 20% del inventario de riesgos

en su trabajo anual (Risk Oversight). Es relevante entonces verificar que el proceso que

detecta el 100% de los riesgos es efectivo, más que auditar riesgos puntuales. La

incorporación de ERM en auditoría aún requiere mayores esfuerzos. Además, auditoria

puede seguir sólo algunas entidades dentro de su alcance (por ejemplo para SOX).

Quizás la evolución de la ISO 31k en estándares detallados (incluyendo la definición de

apetito) y certificables, más que en principios generales, de un mayor papel a esta

auditoria. ISO 31004: Risk management – Guidance for the implementation of ISO

31000 planeada para el 2013 (“guia de la guia”).

Quien debe auditar el modelo no es el área responsable de ERM, sino una unidad

independiente (generalmente auditoría interna o un consultor).

13

Estos desafíos no constituyen impedimentos para implementar un buen sistema de ERM, sino que en realidad,

constituyen los casos donde brinda mayor valor. constituyen los casos donde brinda mayor valor.

Los negocios en ambientes que cambian rápido son excitantes y generan innovación (especialmente industrias de alto

crecimiento), pero también generan presiones a nuestro ERM en cuanto a el cumplimiento de metas financieras más

allá de los medios reales en personas y tecnología. También generan una tendencia a que la información fluya solo

hacia abajo, sin poder reconocer los obstáculos y los peligros que enfrentan las personas en operaciones. Esto impide

además estabilizar controles tradicionales, y no podemos analizar escenarios al carecer de información interna. La

cultura es siempre más lenta de cambiar que los negocios (cambiar lo que hacemos es más fácil que cambiar lo que

creemos). Solución: más frecuencia de actualización.

Cuando el sistema de información es limitado (falta de integración entre sistemas, inconsistencias, sin validaciones),

la exposición al riesgo crece. Es una situación, por ejemplo, al gestionar productos o proyectos complejos, donde

pocas personas entienden sus transacciones, y aún menos como se controlan. La diversidad de transacciones o

disponer de poco tiempo hace que los gestores no puedan analizar adecuadamente riesgos. En este ambiente,

podemos capturar riesgos relevantes, pero perdiendo los riesgos menores. También son sistemas que capturan

información cuantitativa del riesgo, pero pierden la cualitativa. Solución: métricas simples.

Los gerentes a nivel local y operativo pueden tomar decisiones sin conocer las estrategias definidas por la alta

dirección, y esto puede hacerles asumir altas exposiciones. Las empresas descentralizadas generalmente carecen de

canales de información y responsabilidades bien definidas. De esta forma, no hay una clara comunicación de que

acciones están “fuera de juego”. En estos casos, debemos fomentar una cultura igualitaria (escuchar a todos) antes

que individualista. Nadie puede gestionar un riesgo en forma aislada. Solución: debemos considerar aquí

descentralizar el equipo de ERM pero manteniendo un solo registro.

Debemos cambiar el enfoque que distintos riesgos tienen distintos tratamientos y se gestionan “caso por caso”, a

buscar un solo estándar para integrarlo al sistema de gestión de la organización.

14

Experiencia del CEO despidiendo a varios ejecutivos, asumiendo el riesgo de actuar erróneamente como el mayor de su carrera: ¿podría esto haber estado dentro de un registro de erróneamente como el mayor de su carrera: ¿podría esto haber estado dentro de un registro de riesgos, en un “top 10’” de riesgos o indicado por un software?

Muchas firmas pasan el 80% del tiempo recolectando datos y sólo el 20% analizándolos, y además repiten este proceso periodo a periodo. Además tendemos a poner esta información para analizar en un mapa de calor con Poisson en frecuencia, logarítmica normal en impacto, y donde verde es bueno, rojo es malo y amarillo es algo como indiferente. ¿Cómo llegamos a rankear en alto, medio o bajo? Cuando preguntamos como llegamos a estos mapas vemos que la integridad de la información es muy parcial y genérica. ¿Cuáles son los riesgos claves en nuestra taxonomía? ¿Qué tan granular debe ser nuestra taxonomía? Para responderlo también necesitamos varias iteraciones en la generación de datos (por ejemplo, analizar los resultados de los CRSA por 3 períodos según lo que indica la experiencia). El principal desafío (y punto de inicio para integrar un GRC) es llegar a una taxonomía común que sirva a todos los grupos de interés (auditoría, riesgos, compliance, sistemas, legales, reporte a reguladores…). Esta taxonomía común permite aplicar la “risk intelligence” para reducir controles innecesarios, detectar correlación de riesgos y distinguir datos relevantes.

Tener buena información es clave para la identificación de riesgos. Al comenzar a implementar cada ciclo de estudio de riesgos, comenzamos viendo información histórica como partida, y luego pensamos en los planes a futuro, tendencias y la evolución esperada de los temas abiertos.

Un buen sistema de información debe moverse de ser cualitativo (subjetivo) a cuantitativo (objetivo).

Cubrir otras fuentes de información para identificar riesgos (fuera de modelos, talleres o RCSAs)

15

Conclusiones: El mundo en 1700

1- Lo conocido (Europa), eventos con alta frecuencia y bajos impactos, foco principal de los controles de supervisión. Estos son los riesgos que podemos predecir razonablemente, estandarizar un plan de acción e incluso generalmente evitar que ocurran o escalen. 2- Lo erróneamente conocido (California, Corea), riesgos operacionales y financiero, foco principal de la metodología de valuación de ERM y del monitoreo.3- Lo que sabemos desconocemos (Australia)… y hasta podemos preferimos seguir desconociendo, foco principal de una cultura de gestión de riesgos fuerte. ¿Porqué desconocer riesgos? Por ejemplo en la experiencia de crisis actual, reconocer exposición a los riesgo crediticios limitaba los beneficios a corto plazo, requerían una fuerte acción política de la Dirección, bajaban los ratings, impiden crecer (en ciertos productos) o recortaban los incentivos. La complacencia es el principal enemigo del ERM (desconocer riesgos es al final el “moral hazard” de los rescates públicos). En general, son los riesgos que cambian nuestro modelo de negocio.4- Lo que no sabemos que desconocemos (Antártica, Donald Rumsfeld), ej. riesgos en contagio, riesgos sorprendentes. Para ellos es generar una cultura de continuamente monitorear nuevos riesgos y vulnerabilidades. Aquí no podemos tener ninguna metodología programada y debemos confiar en el criterio de nuestros gerentes operativos y nuestro plan de gestión de crisis. Una buena cultura nos prepara mejor a enfrentar lo conocido.

El 100% de nuestros riesgos, empleados y reguladores son personas; si no entendemos a las personas y su cultura, no entendemos los negocios.

16

Bonus:

La definición de riesgos puede hacerse con una herramienta llamada CASE para articular

sus características:

C onsequence – ¿Cúal es el impacto del riesgo?

A sset – ¿Cuál/es es/son los activos en riesgos? (también los intangibles como la

información o la reputación)

S ource – ¿Cuáles son los actores detrás del riesgo?

E vent – ¿Qué tipo particular de incidente se tiene en cuenta?

Esta herramienta es útil para delimitar riesgos como “terrorismo” que en realidad

comprende múltiples riesgos, ayudando a lograr un consenso sobre la caracterización

(de otra forma cada cual tiene su propia percepción sobre “terrorismo”, riesgos es un

continuo). No solo la frecuencia y el impacto cambian ante cada definición, sino

cambien los planes de acción.

17

18