Una Administración delRiesgo Empresarial (ERM)

Bien Realizada

La Empresa de RiesgoInteligente

Consultoría

ContenidoAdministración del Riesgo Empresarial (ERM) Bien Realizada 1Perfil de Riesgo 2Riesgo Redefinido 3Probabilidad, Vulnerabilidad e Interacción con el Riesgo 3Planeación de Escenario 4Estado de Silo 4Análisis Sintáctico del Riesgo 5Exposición Aceptable 7El Camino Que Nos Espera 7Apéndice: La Empresa de Riesgo Inteligente: Pasos Fundamentales 8

1

Hablando en términos generales, la ERM empezó a escucharsehace poco más de una década. En algunos sectores de negocios,en especial servicios financieros y energía, la mayoría de los riesgos específicos de la industria son administrados con un altonivel de detalle, utilizando modelos de probabilidad complejos y análisis sofisticados. Otras compañías, como las de los sectoresde servicios y consumo, quizá tengan una administración deriesgo menos sofisticada, pero ahora se está haciendo patente la necesidad de prácticas más sistemáticas.

Sin embargo, podemos afirmar que es rara la compañía queadministra inteligentemente el espectro completo del riesgo;que evalúa y aborda adecuadamente el riesgo desde todas lasperspectivas y ángulos; que rompe las barreras organizativas que le impiden ver todos los riesgos a los que se enfrenta sucompañía; y que anticipa y prepara sistemáticamente unarespuesta integrada a los riesgos potencialmente significativos.En efecto, las compañías de servicios financieros tal vez entiendanperfectamente las tasas de interés, las divisas y el riesgo delcrédito, pero, ¿cuántas de ellas han sufrido pérdidas significativaspor eventos severos –como desastres naturales, ataques terroristasy otras amenazas para la continuidad del negocio– al no haberdesarrollado planes de contingencia para dichos acontecimientos?Cierto, muchas compañías anticiparon la transición al comercioelectrónico, pero, ¿cuántas resistieron las pérdidas de reputación yclientes por no haber protegido adecuadamente los datos delcliente en línea?

Como es tan poco frecuente, creemos que cuando la ERM serealiza bien merece una denominación especial. Por ende, aestas compañías modelo las llamamos Empresas de RiesgoInteligente.

Por supuesto, el camino hacia esta denominación y altoreconocimiento es largo y, en ocasiones, muy difícil. Cada compañía que sigue de cerca su progreso se encontrará en un

La Empresa de Riesgo Inteligente

La Empresa de Riesgo Inteligente

punto diferente del mapa, dependiendo de los retos específicosde su campo y de las competencias y capacidades que posea.Pero cada organización que alcance el estatus de Empresa deRiesgo Inteligente compartirá características similares, incluyendo:

• Prácticas de administración del riesgo que abarcan a toda laempresa, creando conexiones entre los llamados “silos” quesurgen a menudo en corporaciones grandes, maduras y/odiversas

• Estrategias de administración del riesgo que abordan toda lagama de riesgos, incluyendo los específicos para una industria,de cumplimiento, competitivos, ambientales, de seguridad,privacidad, continuidad del negocio, estratégicos, de reporte y operativos

• Procesos de evaluación de riesgos que incrementan el énfasisconvencional en la probabilidad, dándole un peso significativoa la vulnerabilidad

• Enfoques de administración del riesgo que no sólo consideranlos eventos aislados, sino que también toman en cuenta losescenarios de riesgo y la interacción de múltiples riesgos

• Prácticas de administración del riesgo que están embebidas en la cultura corporativa misma, de manera que la estrategia y la toma de decisiones son desarrolladas a partir de un proceso informado en cuanto al riesgo, en lugar de imponerconsideraciones sobre el riesgo después del hecho (si es quellegan a imponerse)

• Filosofía de administración del riesgo que se enfoca no sólo en evitar el riesgo, sino también en tomar el riesgo comomedio para la creación de valor

Quizá algunos de estos puntos no le sean familiares. Perosostenemos que todos son características esenciales de laEmpresa de Riesgo Inteligente. A continuación discutiremoscada uno en detalle.

Pídale a varios líderes seleccionados al azar que definan la “administración de riesgoempresarial (ERM, por sus siglas en inglés)” y es probable que cada uno le ofrezca unainterpretación diferente. Esto se debe a que, a pesar de que el término “ERM” es muycomún en el léxico de los negocios, es difícil coincidir en una definición estándar.Además, a pesar de la creciente concientización de la necesidad de administrar el riesgode manera efectiva, el rango de prácticas que pueden ubicarse en el campo de la ERMes muy amplio y sigue creciendo.

Administración del Riesgo Empresarial (ERM) Bien Realizada

Las Empresas de Riesgo Inteligente son de todos tamaños yprovienen de todas las industrias, y cada una ajusta sus prácticasde administración del riesgo a sus circunstancias y necesidadesparticulares. Sin embargo, todas las Empresas de RiesgoInteligente comparten esta visión:

Las organizaciones más eficaces y eficientes en la administraciónde riesgos para el mantenimiento de sus activos existentes y su crecimiento futuro superarán, en el largo plazo, a aquéllasque no lo son. En otras palabras, las compañías hacen dinerotomando riesgos y pierden dinero al no administrarlos

Perfil de RiesgoVarias fuerzas han convergido para que la administración del riesgo llame la atención de la gerencia y los consejosadministrativos. Quizá la más destacada sea la reciente rachade escándalos corporativos: los juicios de miles de millones de dólares por las demandas de los accionistas de Enron yWorldCom forzaron a los miembros del consejo a echar manode sus bienes personales para resolverlos; seguramente otrosdirectores tratarán de prevenir y evitar el uso de sus propiasfortunas. Al mismo tiempo, los medios de comunicación hanestado plagados de imágenes de ejecutivos esposados yarrestados ignominiosamente; ningún ejecutivo quiere ser el chivo expiatorio del siguiente escándalo que alimente a los medios.

Las acciones de regulación también han puesto en escena alriesgo. En EUA, la Comisión de Valores y Bolsa (SEC, por sussiglas en inglés), la Junta de Supervisión de Firmas deContabilidad Pública (PCAOB, por sus siglas en inglés) y laBolsa de Valores de Nueva York, todas requieren o fomentanlas actividades relacionadas con la administración del riesgo.Un renovado interés en la Ley de Prácticas de Corrupción en el Extranjero, de 1977, y la Ley Sarbanes-Oxley de 2002, hanaumentado, aún más, esta concientización sobre el riesgo(aunque algunos observadores afirman que, en realidad, esta última ley ha reducido la atención otorgada al espectrocompleto de riesgos debido al gran interés que tiene dicha ley en los riesgos de los estados financieros).

La Empresa de Riesgo InteligentePerfil de Riesgo

2

Las organizaciones más eficaces y eficientes en la administración de riesgos para el mantenimiento de sus activos existentesy su crecimiento futuro superarán, en el largo plazo, a aquéllas que no lo son.

Evidentemente, los riesgos potenciales se extienden más alláde los estados financieros erróneos y los actos de fraude. Losataques terroristas, por ejemplo, exponen los riesgos para la continuidad del negocio. Los delincuentes informáticosresaltan la conciencia en los riesgos de seguridad y privacidad.Los costosos arreglos relacionados con los asbestos ilustran lospeligros para la salud pública y los riesgos de seguridad. Lamala preparación y respuestas torpes ante crisis corporativasdestacan los riesgos de reputación.

Las Recompensas del Riesgo Inteligente

Los beneficios competitivos de una Mayor Inteligenciapara enfrentarse al Riesgo incluyen:• Una mayor habilidad para prevenir, detectar rápidamente,

corregir y escalar los problemas de riesgo críticos• Una menor carga en las operaciones de la empresa al

estandarizar los principios y el lenguaje de la administracióndel riesgo

• Un menor costo de administración del riesgo al compartirmejor la información sobre riesgos y al integrar las funciones existentes de administración del riesgo

• Un medio para mejorar la flexibilidad estratégica paraambos tipos de escenarios: positivo y negativo

• La habilidad para proporcionar un “nivel de tranquilidad”al consejo y a otros interesados al comprender y administrar el rango completo de riesgos

También entran en juego las expectativas crecientes de losinteresados y el activismo. En la actualidad, muchos inversionistasinstitucionales están exigiendo prácticas de administración delriesgo sólidas, y la capitalización del mercado puede recibir un golpe grave e inmediato si las compañías no protegen susactivos existentes o la integridad de sus estados financieros.

Algunos servicios de evaluación de inversionistas y calificacionesde crédito, en especial Moody’s y Standard & Poor’s, han añadidocapacidades de administración del riesgo empresarial en suscriterios de evaluación. Las compañías consideradas deficientes en sus capacidades de administración del riesgo puedenenfrentar un mayor costo de capital.

3

Riesgo RedefinidoAntes de que podamos mejorar nuestra inteligencia en lo quese refiere al Riesgo, primero debemos entender la terminologíay conceptos clave. Empezando, por supuesto, con la palabra“riesgo”.

Existen muchas definiciones, con diversos grados de detalle y precisión. Nosotros hemos analizado y asimilado varias, combinándolas con nuestra perspectiva; el resultado es el siguiente:

El riesgo es la pérdida potencial causada por un evento (o serie de eventos) que puede afectar adversamente al logro de los objetivos de la compañía.

Observe que esta definición incluye tanto la protección de losactivos existentes como la mejora de los objetivos de crecimientofuturo. Es decir, la administración inteligente del riesgo implica nosólo el deseo de evitar algo negativo (evitar que un delincuentecibernético robe la base de datos de su cliente), sino tambiénla necesidad de lograr algo positivo (integrar exitosamente unacompañía adquirida). La Empresa de Riesgo Inteligente consideraque el riesgo no es sólo una vulnerabilidad, en el aspecto negativo, sino también una preparación, desde el punto devista positivo. La distinción es esencial: las Empresas de RiesgoInteligente consideran que la habilidad para anticiparse y reaccionar a una oportunidad de mercado es tan importantecomo la preparación para una interrupción de actividadespotencialmente devastadora.

La Empresa de Riesgo InteligenteRiesgo Redefinido

Si un riesgo es importante y tiene un granimpacto, debe ser atendido, sin importarque sea “remota” su probabilidad de ocurrencia.

Probabilidad, Vulnerabilidad e Interacción con el RiesgoOtro atributo significativo de la Empresa de Riesgo Inteligentepuede encontrarse en esta vinculación de la probabilidad conla vulnerabilidad y la interacción de los riesgos. Evidentemente,la probabilidad es importante y está bien establecida en losprogramas tradicionales de administración del riesgo. En efecto,muchos eventos de riesgo ocurren regularmente y puedenajustarse bien a un patrón utilizando técnicas estadísticas. Sinembargo, la probabilidad no es tan efectiva para los riesgosque ocurren fuera de las fluctuaciones normales, es decir,cuando el evento es raro o no tiene precedentes, cuando lasreglas se desconocen o cambian rápidamente, o cuando lascausas se rigen por factores externos fuera del control de unindividuo o una compañía.

Considere, por ejemplo, al huracán Katrina: los modelos probabilísticos muestran claramente que, cada siglo, NuevaOrleáns sufrirá tres grandes huracanes, por lo menos. Pero loque no pueden demostrar, con ningún grado de certeza, es en qué año azotará sus costas esta devastadora tormenta;tampoco han hecho un buen trabajo, hasta ahora, en elpronóstico de la evolución cuando convergen varios factoresde riesgo.

En tales casos, las nociones de vulnerabilidad e interacción conel riesgo adquirirían importancia en los procesos de evaluaciónde riesgos y administración del riesgo.

En el caso de Katrina, la vulnerabilidad de la ciudad a tal eventoprobó ser excesivamente alta en prácticamente todos losaspectos, incluyendo los procesos (por ejemplo: planes deevacuación defectuosos), la gente (por ejemplo: cadenas demando confusas) y los sistemas (por ejemplo: falta de sistemasde comunicación de respaldo).

Katrina también se caracterizó por no considerar la correlaciónde varios factores de riesgo interrelacionados. En particular,una parte significativa de los daños asociados con la tormentase debió a la inundación causada por las roturas de diques, y en un grado menor a la oleada de la tormenta (que fue unfactor contribuyente). El viento y la lluvia fueron, de hecho,factores menores. La inundación ocasionada por las roturas de losdiques se vio exacerbada por el hecho de que la evacuación dejóvirtualmente desierta la operación de los sistemas de bombeode agua, para regresarla al lago o la reparación oportuna delas grietas. En consecuencia, las fallas en el bombeo estuvieronmuy relacionadas con la tormenta y la inundación resultante.

Aunque es importante considerar la vulnerabilidad y la interacción,esto no implica que la probabilidad no sea importante. Laprobabilidad funciona bien en muchas aplicaciones, como enel caso de las industrias bancarias, que utilizan la probabilidadpara administrar el mercado, el crédito y el riesgo operativo; yen los seguros, que utilizan los datos actuariales para establecertasas y reservas.

Pero, dependiendo de las variables, quizá también sea necesariotener en cuenta la vulnerabilidad para la evaluación global deriesgos. El hecho es que si un riesgo es importante y tiene ungran impacto, debe ser atendido, sin importar que sea “remota”su probabilidad de ocurrencia1; y esto se aplica por igual a losnegocios y a la administración de emergencias. Observe que,en este contexto, la expresión “ser atendido” no necesariamentesignifica “mitigado”. Seguramente, una organización no puedededicar toda su atención (y su dinero) a administrar y mitigarunos cuantos riesgos de baja probabilidad/alto impacto excluyendolas amenazas de mayor probabilidad/menor impacto; es preferibleque se logre un equilibrio. La vulnerabilidad debe sopesarsejunto con la probabilidad, de acuerdo con las circunstancias, y tomarse una decisión inteligente en lo que respecta al Riesgo.

4

Las posibles respuestas pueden variar ampliamente, e incluirsimplemente tener al riesgo en la mira del radar y hacer unseguimiento de los cambios y la gravedad, sin tomar ningunaotra acción de mitigación. En estas consideraciones es claroque la disponibilidad y la asignación de los recursos son factoresprimordiales.

Cabe hacer notar que, en ocasiones, los eventos improbablessí ocurren y tienen un efecto devastador, mientras que enotras, los eventos probables no se materializan. La Empresa de Riesgo Inteligente entiende lo posible, no sólo lo probable,y responde según las circunstancias.

Planeación de EscenarioUna manera de evaluar los eventos de alto impacto/baja probabilidad es a través de la planeación de un escenario quepueda mejorar los modelos estadísticos y ayudar a las compañíasa prepararse para eventos específicos. La planeación del escenariopermite a los ejecutivos responder a las preguntas: “¿Quépodría obstaculizar nuestros planes? y ¿Qué tan vulnerablessomos?”

Por largo tiempo las compañías se han ocupado de presupuestary pronosticar, aunque, frecuentemente, de manera restringida,considerando sólo un estrecho rango de resultados (por ejemplo:suposiciones sobre la estabilidad de los precios de las mercancías)y enfocándose principalmente en el impacto directo y último.Desafortunadamente, esta visión limitada puede hacer que lacompañía no esté preparada para cuando ocurran variacionessignificativas inesperadas, tanto buenas como malas.

La Empresa de Riesgo Inteligente considera los efectos indirectoso de largo plazo debidos, por ejemplo: a la pérdida de reputacióny clientes (un escenario “negativo”) o a la falta de capacidadde producción por aumentos en la demanda (un escenario“positivo”). De manera similar, estas compañías toman encuenta un mayor rango de causas y efectos que va más alládel impacto financiero a corto plazo. Una vez identificados los escenarios potenciales, entonces se establece un rango de“desencadenantes” (acontecimientos como el que la monedacaiga por debajo de un cierto valor o que los competidoresobtengan una participación específica en el mercado), el cualalerta a la compañía sobre una situación que requiere unaevaluación y respuesta adicionales.

La Empresa de Riesgo InteligentePlaneación de Escenario

La planeación del escenario permite a los ejecutivos responder a las preguntas:“¿Qué podría obstaculizar nuestrosplanes? y ¿Qué tan vulnerables somos?”

1 Para los propósitos de este artículo, el término “probabilidad” es utilizado sólo en el contexto de administración del riesgo. Este término no tiene relación intencional,declarada o implicada con los términos definidos y utilizados en la Declaración No. 5 delos Estándares de Responsabilidad Financiera, Responsabilidad por Contingencias delConsejo de Estándares de Responsabilidad Financiera (Statement of Financial AccountingStandards No. 5, Accounting for Contingencies, of Financial Accounting Standards Board).

Una compañía puede construir su habilidad para responder adiferentes escenarios invirtiendo selectivamente en las capacidadesque requeriría en caso de que llegara a ocurrir un suceso. Porejemplo: una fábrica podría tomar una participación parcial decapital accionario de una compañía en otro mercado o región,con la opción a tener el control total. O una compañía demedios de comunicación podría soportar, simultáneamente,diferentes tecnologías para la distribución de medios en líneahasta que las normas estuvieran bien definidas; de hecho, alsoportar inicialmente varias tecnologías, el proveedor tomauna “opción real” para adaptarse rápidamente a las futurascondiciones del mercado. O, en lugar de construir una fábrica,una compañía podría firmar un acuerdo de producción compartida(incluso con un competidor) a un precio previamente acordadoque les permitiera tener acceso a capacidad exceso para responderen caso de una mejora del mercado. Esto los protege y lesahorra el costo inmediato de construir una planta en caso de quela mejora no se materialice.

Sin embargo, podría surgir un problema con la planeación delescenario: con frecuencia es difícil tratar con escenarios imaginariosdentro de la infraestructura actual de la administración del riesgo (es decir, dentro de las divisiones funcionales). La gerenciadebe estar consciente de este problema y tratar de resolverlo.Para ello, los líderes funcionales deben involucrarse en el procesode desarrollo de escenarios, y colaborar en el desarrollo deplanes de mitigación para todas las divisiones, según sea necesario.Cualquier escenario posible que no pueda ser resuelto de manerasatisfactoria debe ser llevado al nivel gerencial adecuado paradeterminar las acciones correctivas y asignar las responsabilidadesrespectivas.

Estado de SiloEl término “silo o asilamiento/separatista” describe la tendenciaexistente en las organizaciones a separar en segmentosautónomos con base en la geografía o la función de negocio.Cuando la administración del riesgo se “aísla,” cada una deestas unidades –como auditoría interna, tesorería, RH y TI– llegaa tener diferentes filosofías y enfoques. En una situación extrema,los silos se vuelven ecosistemas en miniatura, con culturas,argot y prácticas distintas.

5

La Empresa de Riesgo InteligenteAnálisis Sintáctico del Riesgo

Silos y SubcontrataciónExacerbar el problema del silo es una práctica cada vezmás común de las funciones de negocios subcontratadas,tales como nómina, requisición de órdenes y administraciónde prestaciones. La subcontratación puede ser riesgosa,ya que para las compañías que contratan a tercerospara dichas funciones puede ser más difícil lograr unpanorama integral del perfil de riesgo. Al mismo tiempo,la subcontratación puede representar una respuestaestratégica para evitar el riesgo, cuando se lleva a cabocon el fin de explotar ciertas oportunidades. Pero si nose maneja adecuadamente (debido a un enfoque aislado)puede ser más dañino que benéfico. Para solucionareste problema algunas compañías están regresando ciertasactividades subcontratadas; otras están empleando programas reforzados de cumplimiento y riesgo de contratopara asegurar que sus socios de negocios están apegándosea altos estándares de administración del riesgo.

Escenarios de Silo Las implicaciones de operar en silos organizacionalespueden ser significativas. Por ejemplo: al operar en silos,una compañía quizá no logre coordinar su departamentolegal con tesorería para ofrecer garantías de precio a susclientes o proveedores, dando como resultado un riesgoy una responsabilidad innecesarios. Idealmente, empleandoun Riesgo Inteligente apropiado, tesorería evaluaría yfijaría el riesgo de la garantía, mientras que el departamentolegal mitigaría los riesgos de gobierno y responsabilidad.

Del “estado de silo” pueden surgir una multitud de problemas:duplicación de esfuerzos; mayor carga para el negocio; faltade confianza adecuada en el trabajo del otro; falta deestandardización en la metodología; y ausencia de colaboraciónen Inteligencia para el Riesgo. Todos ellos pueden hacer difícil –si no es que imposible– obtener una visión exacta y completade la naturaleza y nivel del riesgo al cual está realmenteexpuesta toda la compañía.

Y, por supuesto, sin esta visión integral (que algunas veces seconoce como visión de “cartera”), no es posible entender ymanejar la totalidad de los riesgos a los que se enfrenta lacompañía.

A pesar de estas desventajas, los silos también representan uncomponente esencial de la administración inteligente del riesgo: laespecialización en riesgos. Hoy, más que nunca, se requiere unconocimiento minucioso y un entendimiento a profundidad delos riesgos específicos que afectan a estos silos de negocios.Desafortunadamente la especialización sin colaboración creaproblemas porque muchos riesgos trascienden los límites delsilo. Para ilustrar este caso, considere el estudio de DeloitteResearch, “The Value Killers”2. Este análisis detallado sobre la pérdida de valor en 1000 compañías globales reveló que,durante la década pasada, más de la mitad de las empresasexperimentaron una súbita y abrupta caída en el precio de sus acciones (una pérdida del 20 por ciento o más en un meso menos). Más del 80 por ciento de las pérdidas se debió a lainteracción de múltiples riesgos entre silos.

La Empresa de Riesgo Inteligente está consciente de la tendenciahacia el aislamiento y toma medidas concretas para romper lasbarreras institucionales que pueden inhibir una administracióndel riesgo en colaboración. Ésta puede incluir la creación deequipos multifuncionales que compartan información, realicenanálisis conjuntos y participen en la planeación del escenario.

Sin embargo, debe tenerse cuidado de evitar una sobre-centralización. Algunas compañías que han tratado de poner todos sus silos de administración del riesgo bajo un sólo “zar” (régimen) han fracasado, ya sea porque intentanhomogeneizar los silos o porque asumen el control central deun proceso que hubiera sido mejor manejado por especialistas.Aun cuando debe haber un punto central de coordinación(por ejemplo: un director de riesgo), su papel no debe ser elde controlar todo. Las unidades de negocios siempre debenser responsables de tomar y administrar sus propios riesgos, y enfrentarse a las consecuencias de los riesgos que asuman.

Bien ejecutada, la “eliminación” de los silos se refiere a entenderla necesidad de desarrollar metodologías, terminología ymediciones comunes para el riesgo, buscando asegurar unaadministración y reporte del riesgo consistentes, otorgando al mismo tiempo una autonomía suficiente para que las diferentesfunciones exploten su conocimiento especializado y su experiencia.

Análisis Sintáctico del RiesgoAlgunos ejecutivos tienen una percepción errónea de suresponsabilidad para abordar el riesgo como un deber paraevitarlo. Esta receta lleva al fracaso. Si evita el riesgo, tambiénevitará el éxito. La toma inteligente de riesgos con miras a obtenerrecompensas, es una pieza fundamental del capitalismo, y esesencial para tener una ventaja competitiva.

2 “The Value Killers,” Deloitte Research, 2005, www.deloitte.com/us/valuekillers.

6

Observe que la decisión de asumir o evitar el riesgo no debe servista como una elección entre dos cosas. Cada circunstanciarequiere una respuesta diferente. Algunas veces apostamos todo,otras nos retiramos del juego; pero la mayoría de las vecesnuestras acciones fluctúan entre estos dos extremos, y apostamoscuidadosamente considerando y ponderando las probabilidades.En efecto, en algunos casos, los extremos representan las opcionesmás sencillas. Tomar el mejor curso de acción cuando las opcionesno son tan claras nos impone un mayor reto.

Parte de la responsabilidad de un ejecutivo implica entender la naturaleza del riesgo. A diferencia de la rosa proverbial, un riesgo no es siempre un riesgo. Deben hacerse distincionesfundamentales entre varios tipos de riesgo: sin recompensa o con recompensa, e inherente y residual.

En las empresas donde las capacidades de la administración delriesgo no están totalmente desarrolladas, el riesgo sin recompensasa menudo representa toda la gama de sus actividades deadministración del riesgo. El riesgo sin recompensas toma sunombre del hecho de que no se obtiene beneficio alguno altomar ciertas clases de riesgos (por ejemplo: los riesgos queafecten las operaciones, la integridad de los estados financierosy el cumplimiento de las leyes y reglamentos).

En cambio, el riesgo con recompensas se concentra en la creaciónde valor; implica administrar los riesgos para el crecimiento afuturo, incluyendo poner en riesgo al capital y hacer apuestasrentables. En la toma de riesgos con recompensas, una compañíarecibe un beneficio extra al tomar y administrar los riesgos –y recibir aprobación en el mercado– asociados con nuevos productos, mercados, modelos de negocio, alianzas y adquisiciones.

Considere, por ejemplo, las actividades de fusiones y adquisiciones(M&A, por sus siglas en inglés). Aunque cada compañía querealiza M&A lo hace con el fin de crear valor para sus accionistas,a menudo las ganancias esperadas no se materializan.

La Empresa de Riesgo InteligenteAnálisis Sintáctico del Riesgo

Algunas veces apostamos todo, otras nos retiramos del juego; pero la mayoría delas veces nuestras acciones fluctúan entre estos dos extremos, y apostamos cuidadosamente considerando y ponderando las probabilidades.

Preguntas relacionadas con el Riesgo

Al considerar el riesgo deben responderse varias preguntas:

1. ¿Cuánto podemos perder si no administramos este riesgode manera inteligente?

2. ¿Cuál es la probabilidad de que el riesgo ocurra?3. ¿Hay una correlación del riesgo con otras exposiciones

al riesgo?4. ¿Qué tan vulnerables somos a este riesgo?5. ¿Representa este riesgo una concentración de riesgo

que pudiera causar problemas en la administración o mitigación del riesgo?

6. ¿Si yo evito o mitigo este riesgo, cómo cambia esto la probabilidad y el impacto?

7. ¿Nuestra administración del riesgo o estrategia de mitigación introduce algunos riesgos adicionales?

8. ¿Cuánto podemos ganar si tomamos este riesgo, siempre y cuando lo manejemos correctamente?

9. ¿Cómo podemos tener la certeza de que nuestro nivel de confianza está justificado?

10. ¿Cuánto nos está costando (o nos costará) administrar este riesgo?

11. ¿Con este riesgo hay algún impacto potencial para nuestra reputación?

12. ¿Qué individuo o equipo es responsable de administrar este riesgo de principio a fin?

Es más probable que se logre el resultado deseado cuando se haidentificado, valorado y administrado inteligentemente toda lagama de riesgos de integración. Este punto de vista está apoyadopor un estudio reciente de la Cass Business School en Londres y Towers Perrin, las cuales encontraron que las mejoras en lagobernabilidad corporativa, selección de transacciones e integración posterior a la fusión, reducen los riesgos de fracaso por M&A, y contribuyen a una mejor creación de valor superando al mercado.3

Riesgo inherente. Se refiere al riesgo que existe antes de queusted lo considere, es decir, el riesgo para su compañía en ausenciade acciones que tomaría para alterar la probabilidad o el impacto.Cada compañía, en cada industria, se enfrenta a un riesgoinherente; evidentemente, no cada compañía lo maneja con eficacia.

Riesgo residual. También se conoce como “vulnerabilidad” o“exposición”; es decir, el riesgo que permanece después de queusted ha intentado aminorar el riesgo inherente. Las compañíasentienden el riesgo residual sólo si han considerado primero elriesgo inherente.

Las Empresas de Riesgo Inteligente consideran tanto el riesgoinherente como el residual. Este proceso pone a los ejecutivos y al consejo en una mejor posición para evaluar el nivel deexposición y después decidir si aceptan o no la exposición.

3 “Current M&A Cycle Creates Shareholder Value,” Cass Business School and TowersPerrin, April 2006.

7

La Empresa de Riesgo InteligenteExposición Aceptable

Exposición AceptableY, por supuesto, determinar un nivel aceptable de exposiciónrepresenta la esencia del asunto, tanto para los directores comopara los consejos. Ya sea llenando divulgaciones 10-K, contestandolas preguntas de los inversionistas en una reunión anual, o enun escenario de pesadilla, respondiendo a un abogado adversarioen un juicio, su diligencia sobre el riesgo debe ser irrefutable.Usted debe poder declarar y documentar de manera inequívocay clara que la exposición al riesgo de su compañía, se conocía yanalizó, y que la decisión de aceptar la exposición se tomó demanera informada y deliberada.

No es razonable esperar tener la razón todo el tiempo;inevitablemente, algunas de nuestras apuestas, hechas con todocuidado, perderán. Pero cada interesado puede razonablementeesperar e insistir en que usted tome la mejor decisión posible,sopesando la información (Riesgo Inteligente) y las opcionesdisponibles en ese momento.

En pocas palabras, él éxito de la empresa depende de ello. Lohemos dicho antes, pero vale la pena repetirlo: Las organizacionesmás eficaces y eficientes en la administración de riesgos para elmantenimiento de sus activos existentes y su crecimiento futuro,superarán, en el largo plazo, a aquéllas que no lo son.

El Camino Que Nos EsperaEste documento proporciona una perspectiva de alto nivel sobrela Empresa de Riesgo Inteligente, tratando conceptos más quepasos detallados. Como tal, muchos lectores que lleguen a estepunto se preguntarán: “¿Dónde están otras compañías en suetapa de desarrollo, especialmente dentro de mi industriaespecífica?” y, por supuesto, “¿De aquí adónde me dirijo?”

Cada interesado puede razonablementeesperar e insistir en que usted tome lamejor decisión posible, sopesando la información y las opciones disponibles en ese momento.La respuesta: La dirección que tome depende del punto donde seencuentre ahora. El Modelo de Madurez de la Empresa de RiesgoInteligente (Figura 1, abajo) muestra el camino que tomará lamayoría de las compañías para convertirse en Empresas deRiesgo Inteligente.

Las compañías que están en las primeras etapas pueden empezarrealizando los pasos fundamentales planteados en el Apéndicede este documento. Para las organizaciones que ya están más adelantadas, sería de mucha utilidad la serie de reportes pormenorizados sobre la Empresa de Riesgo Inteligente deDeloitte & Touche LLP, que ofrece referencias comparativasespecíficas para cada industria y una guía relativa a aspectoscríticos, como la gente, los procesos y la tecnología de laadministración efectiva del riesgo. La serie ofrece un enfoqueprogramático sobre el Riesgo Inteligente, desde las perspectivasindustrial y funcional. Comuníquese con su asesor profesional de Deloitte & Touche LLP para más detalles sobre esta serie de reportes.

Para información adicional sobre la Empresa de RiesgoInteligente (Risk Intelligent Enterprise), por favor visitewww.deloitte.com/us/riskintelligence.

Figura 1El Modelo de Madurez de la Empresa de Riesgo Inteligente

¿Qué tan capaz es su compañía actualmente? ¿Qué tan capaz necesita ser? Cada industria, compañía y división probablemente están en una etapa diferente de desarrollo. ¿Dónde deberían estar y cómo pueden llegar ahí?

8

Como ya se dijo, cada compañía es única, y las prácticas deadministración del riesgo inteligente deben ajustarse a las circunstancias y necesidades específicas. Algunas compañíaspueden estar muy adelantadas en el Modelo de Madurez delas Empresas de Riesgo Inteligente (vea la Figura 1, página 7),mientras que otras pueden encontrarse en las etapas iniciales.

Por lo tanto, algunos de los pasos aquí incluidos pudieran aplicarse a su situación; otros tal vez hayan sido tratados tiempo atrás. Pero todos son fundamentales para crear laEmpresa de Riesgo Inteligente.

1. Establezca una estructura global, una política y un proceso para valorar y administrar el riesgo

¿Tiene su compañía una estructura de riesgo global que abordelos riesgos a los que está expuesta la compañía, cómo concibeestos riesgos, y cómo los administra? ¿Tiene su compañía unapolítica de riesgos? Si está listada en la Bolsa de Valores deNueva York (New York Stock Exchange, NYSE), debe tener loanterior. Uno de los requisitos de la NYSE es que el comité deauditoría discuta con la administración las principales exposicionesde riesgo financiero y los pasos que se toman para vigilar ycontrolar dichas exposiciones; asimismo, el comité de auditoríadebe estar satisfecho con los procesos de evaluación de riesgos ylos procesos de administración del riesgo de la compañía. Losfactores de riesgo que afectan al negocio, a las operaciones, ala industria, o a la posición financiera, deben estar escritos enun lenguaje claro.

¿Cuenta usted con un proceso? Las políticas solas no crearánuna Empresa de Riesgo Inteligente. Los directores deben desafiara la administración para que demuestre un proceso sistemáticoy disciplinado para la identificación, evaluación y establecimientode un orden de prioridad del riesgo; respuesta al riesgo; ymonitoreo y reporte del riesgo. Los ejecutivos deben proporcionaractualizaciones regulares para el consejo administrativo y elcomité de auditoría para demostrar que sus procesos de riesgose comportan según lo esperado y que los reportes sobre elriesgo son confiables.

La Empresa de Riesgo InteligenteApéndice

Apéndice

La Empresa de Riesgo Inteligente:Pasos Fundamentales

2. Identifique los riesgos y vulnerabilidades clave, y losplanes para tratarlos. Pondere el valor y determine lassituaciones en que los riesgos podrían afectar al valor

Participe en la planeación del escenario: ¿Cuáles son las alternativas futuras? ¿Qué podría hacer que fracasara?¿Cuáles son los riesgos críticos para la misión, que podríantener el impacto adverso más devastador para el valor y losobjetivos estratégicos de la compañía? ¿En dónde es más vulnerable? ¿Cuáles son las primeras señales de advertencia y cómo las reconocerá? Una característica clave del RiesgoInteligente efectivo es la habilidad para separar la informaciónirrelevante de la relevante.

Una consideración importante en esta área es el problema detener una combinación de riesgos múltiples. Considere cómopodrían interactuar los riesgos, teniendo presente que los riesgosno respetan las fronteras de la organización. ¿Qué está haciendo para lidiar con esos riesgos? ¿Y cómo sabe que está funcionando?

Recuerde la lección del estudio de Deloitte Research antes citado:“La mayoría de las principales pérdidas en las 1000 compañíasglobales fueron el resultado de múltiples riesgos de altoimpacto, pero baja probabilidad”.

3. Establezca su apetito por el riesgo. Determine cuántoriesgo ha tomado. Decida si puede tomar más o deberíatomar menos

Una vez que haya decidido tomar un riesgo, ¿cuánto riesgoestá dispuesta a aceptar su compañía? ¿Cuál es su capacidadpara soportar el riesgo? ¿Cuánto capital o activo existente estádispuesto a arriesgar en un momento dado? ¿Cuánto está dispuesto a arriesgar para lograr un crecimiento a futuro?¿Qué tan fuerte es para enfrentarse a un evento extremo?

Una pregunta clave que a menudo es pasada por alto es: ¿Está usted tomando el suficiente riesgo de manera inteligente?Las implicaciones de practicar la evasión de riesgos sin buscar una toma de riesgo que conlleve recompensas, pueden incluiroportunidades de negocios perdidas, menor competitividad y,al final, la desaparición del negocio. Para que las empresassean competitivas deben asumir riesgos.

4. Decida quién tiene la responsabilidad y autoridad para asumir los riesgos a nombre de la compañía

Es sorprendente la cantidad de compañías con carencias enesta área; es frecuente que los papeles y responsabilidades encuanto al riesgo no estén claros y se malentiendan. ¿Cómo seintegrarán y coordinarán las respuestas en toda la empresa? Laespecificidad es una necesidad: ¿Cuáles poderes están reservadospara el consejo administrativo? ¿Quién puede comprometer ala compañía? ¿Cuándo puede delegarse autoridad? ¿Cuálesson los procedimientos de escalamiento para los riesgos con“alerta de peligro”? ¿Quién, si es que hay alguien, tiene lacapacidad de “apostarlo todo”?

5. Determine su capacidad para administrar el riesgo de manera integrada y sostenida

La Empresa de Riesgo Inteligente no puede lograrse de un díapara otro. En la mayoría de los casos, las organizaciones pasaránpor etapas distintas de desarrollo, como pudo observarse en la Figura 1 de la página 7. El menor nivel de habilidad para laadministración del riesgo está caracterizado por un enfoque ad hoc (si no es que caótico) que depende en gran medida de las respuestas individuales y, con frecuencia, en esfuerzos“heroicos”, en ausencia de métodos más sistemáticos. Unavez que han surgido las especializaciones, las etapas siguientesimplicarán sacar de los “silos” la administración del riesgo ytrasladarla a una respuesta totalmente integrada y coordinada.El nivel superior de habilidad construirá las consideraciones del riesgo en la estrategia corporativa y el proceso de toma de decisiones, con un énfasis adecuado en la toma de riesgospara crecimiento futuro y recompensas, así como la proteccióndel activo existente. En la Empresa de Riesgo Inteligente totalmente desarrollada, la administración del riesgo no seconsidera un proyecto sino parte de la cultura, la manera dehacer negocios. El Riesgo Inteligente es cuestión de administraciónde empresas.

deloitte.com/mx

Copyright © 2007 Deloitte Touche Tohmatsu.Todos los derechos reservados.

Limitación de responsabilidad

Este material y la información aquí incluida es proporcionada por Galaz, Yamazaki, Ruiz Urquiza, S.C. (“GYRU”) con el finde mostrar un aspecto general sobre uno o varios temas en particular, y no son un tratamiento exhaustivo sobre el(los)mismo(s).

Por lo tanto, la información presentada no sustituye a la asesoría o a nuestros servicios profesionales en materia contable,fiscal, legal, financiera, de consultoría o de otro tipo. No es recomendable considerar esta información como la única basepara cualquier resolución que pudiese afectarle a usted o a su negocio. Antes de tomar cualquier decisión o acción quepudiese afectar a sus finanzas personales o a su empresa debe consultar a un asesor profesional.

Este material y la información incluida se proporcionan sin interpretación alguna, GYRU no hace ninguna declaración ni otorga garantía alguna, de manera expresa o implícita, sobre el mismo y la información proporcionada. Sin limitar loanterior, GYRU no garantiza que el material o el contenido estén libres de error o que cumplan con criterios particularesde desempeño o calidad. GYRU renuncia expresamente a cualesquier garantías implícitas, incluidas de manera enunciativamas no limitativa, garantías de comercialización, propiedad, adecuación para un propósito en particular, no infracción,compatibilidad, seguridad y exactitud.

Al utilizar este material y la información aquí incluida lo hace bajo su propio riesgo y asume completa responsabilidadsobre las consecuencias que pudieran derivar por el uso de los mismos. GYRU no se responsabiliza por daños especiales,indirectos, incidentales, derivados, punitivos o cualesquier otros deterioros resultantes de una acción de contrato, estatuto,extracontractual (incluyendo, sin limitación, negligencia) o de otro tipo, relacionados con el uso de este material o de la información proporcionada.

Si alguna parte de lo anterior no es completamente ejecutoria, la parte remanente seguirá siendo aplicable.

Acerca de Deloitte

Deloitte se refiere a Deloitte Touche Tohmatsu, una asociación suiza, a sus firmas miembro, así como a sus respectivas subsidiarias y afiliadas. Deloitte Touche Tohmatsu es una organización de firmas miembro dedicadas a la excelencia enproveer servicios profesionales y asesoría, enfocada en el servicio al cliente a través de una estrategia global, ejecutadalocalmente en aproximadamente 140 países. Con acceso al profundo capital intelectual de 135,000 personas en el mundo,las firmas de la organización Deloitte prestan servicios en cuatro áreas profesionales: auditoría, impuestos, consultoría yasesoría financiera. Atiende a más del 80 por ciento de las compañías más grandes a nivel mundial, así como a importantesempresas nacionales, instituciones públicas y empresas exitosas de rápido crecimiento global. Los servicios no son proporcionados por la asociación Deloitte Touche Tohmatsu, y, por regulaciones u otras razones, ciertas firmas miembrono proporcionan servicios en todas las áreas profesionales.

Al ser una asociación suiza, ni Deloitte Touche Tohmatsu ni ninguna de sus firmas miembro tienen responsabilidad sobrelas acciones u omisiones de las demás. Cada firma miembro es una entidad legal separada e independiente operando conlos nombres "Deloitte", "Deloitte & Touche", "Deloitte Touche Tohmatsu", o cualquier otro nombre relacionado.

En México, Galaz, Yamazaki, Ruiz Urquiza, S.C. (“GYRU”), es la firma miembro de Deloitte Touche Tohmatsu, y los servicios sonproporcionados por GYRU y sus subsidiarias. GYRU es la firma líder en México en servicios con enfoque multidisciplinarioen las áreas de auditoría, impuestos y legal, consultoría y asesoría financiera. Cuenta con más de 4,900 profesionales en21 ciudades. Ha sido reconocida por siete años consecutivos con el distintivo “Empresa Socialmente Responsable” (ESR)que otorga el Centro Mexicano para la Filantropía (CEMEFI), y está enfocada en contribuir a la excelencia de sus clientes y de su gente. Para mayor información visite la página de la firma miembro en México en: www.deloitte.com/mx.

Member ofDeloitte Touche Tohmatsu

Contactos

MéxicoIsrael ZagalTel: +52 (55) 5080 6596izagal@deloittemx.com

Alfonso GómezTel: +52 (55) 5080 6176agomez@deloittemx.com

Mark LaytonGlobal Leader, Enterprise Risk Services Tel: +1 (214) 840 7979mlayton@deloitte.com

Rick FunstonNational Practice Leader, Governance & Risk OversightTel: +1 (313) 396 3014rifunston@deloitte.com