Administración integral de riesgos de negocios
Anuncio
ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Profesor: BENJAMIN FERNANDEZ Alumno: Diego Martín Manocchio N° Registro: 452.202 DNI: 23.771.162 1° cuatrimestre de 2001 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Indice I. Sumario 3 II. Introducción 4 III. II.1. ¿Cuando comenzó el interés por administrar los riesgos? 4 II.2. ¿Cual es la mayor preocupación de la Alta Gerencia? 5 II.3. ¿Por qué focalizarse en la administración integral de riesgos de negocio? 6 II.4. ¿Que conceptos de administración están cambiando? ¿Que relación existe entre estos cambios y la administración integral de riesgos de negocio? 7 Como establecer un proceso de Administración de Riesgo de Negocio 9 III.1. Aspectos fundamentales de la Administración de los Riesgos de Negocio 9 III.2. Enfoque integral para la administración de riesgos III.2.1. Elementos de un enfoque integral 11 13 III.2.1.1. Desarrollo de un lenguaje de riesgo de negocio compartido 13 III.2.1.2. Desarrollo de una estructura de control organizacional efectiva 16 III.2.1.3. Crear una visión de los negocios a través de sus procesos 20 IV. Diseñar / implementar capacidades de gestión de riesgos 24 V. Mejorar las estrategías, procesos y mediciones de riesgos en forma continua 30 VI. Ejemplo práctico para su implementación 36 VII. Conclusión 47 Glosario 49 Bibliografía 50 Anexo I (Diccionario de Riesgos) Anexo II (Modelo de Matriz de riesgos) 2 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO I. Sumario La implantáción de una Administración Integral de Riesgos de Negocio permite a la organización alinear en forma idónea, coherente y continua la necesidad de preservar el capital con el deseo de generar un mayor retorno en un negocio creciente. No se trata de tecnología espacial, pero tampoco se la puede implantar de la noche a la mañana. Al observar a las organizaciones avanzar hacia la Administración Integral de Riesgos de Negocio, nos damos cuenta de que la implantación de la misma requiere avances en dos áreas: 1. Un compromiso con el camino hacia la Administración de Riesgos de Negocio. Los pasos a lo largo de dicho camino, tal como nosotros lo vemos, incluyen: • Adoptar un lenguaje común. • Establecer metas, objetivos y estructura de control de gestión de riesgos generales. • Desarrollar e implementar procesos uniformes para evaluar el riesgo del negocio y desarrollar estrategias de gestión de riesgos. • Desarrollar e implementar capacidades de gestión de riesgos para ejecutar estrategias de gestión de riesgos definidas. • Construir sobre dichos cimientos para mejorar las estrategias, los procesos y las medidas para los riesgos individuales. • Medidas de riesgo múltiple generales. • Establecer un vínculo entre la medición y el desempeño de la empresa. • Construir a partir de las capacidades mencionadas en los puntos precedentes para formular estrategias de riesgo para toda la empresa, que dé como resultado nuevas concepciones que desarrollen nuevas habilidades de gestión de riesgo. 2. La aplicación de una concepción uniforme para toda la empresa de proceso de gestión de riesgos del negocio. Al crear procesos coherentes para evaluar, administrar y monitorear los riesgos y aplicarlos en el ámbito de toda la empresa, la organización facilita la comunicación, mejora la formación de la estrategia, ofrece herramientas y técnicas y, en general, aumenta las capacidades de la organización. 3 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO II. Introducción No se trata de eliminar el riesgo, porque sin riesgo, no hay negocio. Thomas Schmidheiny, CEO, Holderbank II.1. ¿Cuando comenzó el interés por administrar los riesgos? En la última década del presente siglo se ha presentado como un período de cambio profundo, tanto en la Argentina como en el mundo entero, en el que no sólo se agudizan distintos procesos que se venían manifestando hasta el presente sino que van apareciendo nuevos elementos hasta ahora desconocidos. La velocidad del cambio, el incremento de la complejidad de la economía global, las mayores expectativas de los clientes, la intensificación de la competitividad, los cambios tecnológicos y muchos otros factores afectan a las organizaciones de diversas maneras para las cuales la Alta Gerencia no se encuentra preparada. Las organizaciones se encuentran en la búsqueda de enfoques más abarcativos para administrar los riesgos de negocio y por esto nació la necesidad de crear un nuevo paradigma para la evaluación de los riesgos y controles de negocios (1). El gran número de riesgos complejos con los que las organizaciones deben tratar diariamente requiere que la Alta Gerencia desarrolle un enfoque integral para la evaluación de riesgos del negocio así como también efectivos procesos para reducir los riesgos a un nivel aceptable. La pregunta que sobreviene, dados todos los riesgos que los negocios enfrentan cada día, es ¿cuál es la mejor estrategia para capitalizar las oportunidades minimizando y controlando el riesgo?. ¿Qué es un riesgo de negocio? la amenaza de que un evento o acción afecte adversamente a la capacidad de una organización para alcanzar sus objetivos de negocio y/o ejecutar sus estrategias exitosamente. Cabe aclarar que los riesgos de negocio surgen tanto de la probabilidad de que algo bueno no ocurra como de la amenaza de que algo malo ocurra.(1) La palabra riesgo tiene diferentes significados para la gente. Algunos asocian a la administración de riesgos con riesgos asegurables y otros lo vinculan con riesgos de 4 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO tesorería. A pesar de que tarde o temprano cualquier riesgo creará consecuencias económico / financieras, la expresión “riesgo financiero” es muy restrictiva. La expresión riesgo de negocio es más abarcadora y cubre a toda amenaza significativa para el éxito de una organización. Ninguna organización es inmune al riesgo. Es más, cada riesgo individual de una organización cambia en forma constante. Si bien la reacción a los riesgos que debe enfrentar una organización es a veces necesaria; la mera detección y reacción no son suficientes para administrar dichos riesgos en forma efectiva. Las organizaciones deben aprender a “anticipar y prevenir los riesgos” a través de la implantación de algún proceso que permita identificar, medir y controlar riesgos de negocio de manera proactiva. II.2. ¿Cual es la mayor preocupación de la Alta Gerencia? Actualmente la alta gerencia concentra su mayor atención en la inversión y el retorno, en las oportunidades y las recompensas y en la ventaja competitiva y el crecimiento. Es por eso que la administración de riesgos en los diferentes procesos de negocio es vital para garantizar su éxito: • ¿Inversión y retorno? – Toda inversión conlleva incertidumbre. Encarar y dominar el riesgo constituye una de las claves para la gestión de la inversión y el retorno. • ¿Oportunidad y recompensa? – El riesgo y la oportunidad van de la mano. La conducta orientada a la búsqueda de oportunidades se ve fortalecida si los gerentes poseen la confianza que surge de saber que comprenden los riesgos y de que cuentan con las capacidades necesarias para su gestión. • ¿Ventaja competitiva y crecimiento? – La administración de los riesgos del negocio es mucho más que simplemente evitar los riesgos o compensar las apuestas. También entraña la capacidad de discernir al seleccionar las apuestas más racionales que ha de efectuar una empresa en el marco de las fuerzas dinámicas y poderosas que gobiernan la nueva economía. Estas mismas fuerzas ofrecen interesantes oportunidades para la creación de nuevas fuentes de ventaja competitiva y crecimiento. Toda administración de riesgos efectiva comienza con una evaluación detallada de los procesos de negocio. 5 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO II.3. ¿Por qué focalizarse en la administración integral de riesgos del negocio? El aumento de la complejidad de los negocios, y el incremento de los riesgos que se asumen, está llevando a las organizaciones a desarrollar procesos más sofisticados para evaluar y controlar los riesgos a fin de anticiparlos y actuar con mayor precaución y no por reacción • Velocidad del cambio • Incremento de la complejidad de la economía global • Mayores expectativas de los clientes • Intensificación de la competitividad • Cambios tecnológicos • Frecuencia en la ocurrencia de actividades fraudulentas Imagine una organización en la cual: • el directorio y la alta gerencia se encuentran en una posición tal que son capaces de tomar decisiones fundamentadas en la información en lo que respecta al equilibrio entre riesgo y recompensa y las decisiones cotidianas del negocio de nivel operativo se toman dentro del contexto la estrategia de la empresa en relación con el riesgo y de su capacidad de administrarlo; • los riesgos relacionados con el valor de los activos tales como la base de clientes de la empresa, sus socios de distribución, su cadena de distribución, su capital intelectual y de conocimientos, sus procesos y sistemas, se reconocen y se optimizan de idéntica forma que sus activos físicos y financieros; • la necesidad de control operativo se equilibra con el empowerment de su gerencia empresarial; • los ejecutivos identifican y administran los riesgos sistemáticamente en forma integral; • se evalúan inversiones nuevas –y existentes- tanto sobre la base individual como de la cartera; • la empresa comprende sus capacidades en materia de gestión de riesgos en forma tan exhaustiva y sus procesos se encuentran tan bien diseñados, que puede actuar de inmediato ante oportunidades que generarían temor o fracaso de empresas menos sofisticadas. 6 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Tales organizaciones ya existen o están evolucionando a un ritmo acelerado. El proceso de gestión que están incorporando es el que se puede denominar Administración Integral de Riesgos de Negocios. II.4. ¿Que conceptos de administración están cambiando? ¿Que relación existe entre estos cambios y la Administración Integral de Riesgos de Negocio? Las ventajas competitivas se han convertido en más fugaces. Los mercados globales y la competencia intensa han reducido drásticamente el tiempo de reacción para contrarrestar las acciones de los competidores y para satisfacer las necesidades cambiantes de los clientes. La demora en la toma de decisiones debido a que la información debe fluir hacia arriba y abajo en la cadena de mando (burocracia corporativa) puede tener consecuencias fatales en ambientes donde el cambio se presenta como algo extremadamente rápido. Debido a ello, muchas organizaciones han comenzado delegar la autoridad y el poder de toma de decisiones a empleados y gerentes operativos. Inevitablemente, el cambio rápido y el empowerment han agregado riesgo. La Alta Gerencia debe encontrar el balance correcto entre la delegación de autoridad y el mantenimiento del control. Recordemos que la responsabilidad es indelegable Como consecuencia de lo expresado precedentemente, surgió la necesidad de contar con un nuevo paradigma para el análisis y administración de los riesgos de negocio. Este paradigma es necesario particularmente para las organizaciones donde se ha practicado empowerment y downsizing e implementado nuevas tecnologías. Los líderes de negocio y los funcionarios públicos necesitan preguntarse a sí mismos cuando lo impensable puede ocurrir. La Alta Gerencia debe tomar la iniciativa de promover la mejora de los procesos de administración de riesgos de negocio de la compañía. De esta manera, las mismas se diferenciarán y ganarán la confianza tanto del mercado como de la comunidad inversora. 7 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO A su vez, la vieja regla de “detectar y corregir los riesgos” no es aplicable en organizaciones que aspiran a incrementar la productividad y establecer ventajas competitivas. La nueva regla que debe regir en todas las organizaciones es “prevenir y monitorear los riesgos”. 8 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO III. Como establecer un proceso de Administración de Riesgo de Negocio Creemos que el futuro de la gestión de riesgos es un modelo adoptado y sustentado a lo largo y a lo ancho de la organización, no puede ser un proceso impulsado sólo por el CEO o el Directorio. Mike McLamb, CFO, MarineMax III.1. Aspectos fundamentales de la Administración de los Riesgos de Negocio Para establecer un proceso de Administración de Riesgo de Negocio es necesario tener en cuenta estos aspectos fundamentales: • Identificar, determinar y medir el origen de los riesgos del negocio: Entender la naturaleza de los riesgos incluyendo aquellos controlables y los no controlables • Determinar el origen del riesgo, tanto externos a la organización como internos Evaluar la materialidad del riesgo y su probabilidad de ocurrencia Entender los procesos y objetivos del negocio para definir adecuados requerimientos de control: los objetivos de cualquier proceso de negocio deben ser consistentes con los objetivos fijados por la organización. Dichos objetivos son importantes porque proveen puntos claves para la evaluación de los controles a implementar en los procesos de la organización que permitan reducir los riesgos a niveles aceptables. • Adoptar un enfoque integral para la administración de riesgos: que permita contemplar los cambios continuos del negocio. Viejo paradigma ¿ Nuevo paradigma La evaluación de riesgos es una actividad AD HOC, desarrollada cuando los gerentes creen que existe una necesidad específica 9 ¿ La evaluación actividad continua de riesgos es una ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO ¿ ¿ Contaduría, Finanzas y Auditoría son los ¿ Todos en la organización únicos departamentos involucrados con involucrados riesgos y controles administración de riesgos de negocio Fragmentación – cada función y ¿ departamento actúa independientemente con la están identificación y La evaluación y control de riesgos se focaliza y coordina bajo la supervisión de la alta gerencia ¿ El control se focaliza en riesgos ¿ financieros El control se focaliza primeramente en la eliminación de riesgos de negocio inaceptables o a su reducción a niveles aceptables ¿ No existe una política de control de ¿ riesgos de negocio Una política de control de riesgos de negocio debe ser aprobada por la alta Gerencia y distribuida y entendida por toda la organización ¿ Inspeccionar y detectar riesgos de negocio ¿ y entonces reaccionar Anticipar y prevenir riesgos de negocio en sus orígenes y entonces monitorear constantemente ¿ Personal inapropiado es la fuente primaria de riesgos de negocio • ¿ Procesos inapropiados son la fuente primaria de riesgos de negocio Definir estándares de control para la organización: Organizaciones comprometidas en procesos de reingeniería o en continuos procesos de mejora están diseñando controles de riesgos de negocio para ayudar a incorporar calidad en los procesos y medir su producción y desempeño. Estas organizaciones han probado que existe una poderosa interrelación entre los controles de los riesgos del negocio y los conceptos de calidad y reingeniería. Para implementar este nuevo paradigma, las Gerencias deben salir del encasillamiento y pensamiento tradicional, y cambiar los supuestos del modelo de control. Un enfoque integral para la administración de riesgos debe construirse sobre la base de este nuevo paradigma para incorporar estrategias de control y focalizarse en la identificación, determinación, medición y monitoreo continuo de los riesgos. 10 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO III.2. Enfoque integral para la administración de riesgos En la figura N°1 podemos ver en forma gráfica el enfoque integral para la administración de riesgos. 11 Evaluar los riesgos del negocio en forma continua Inaceptable Rechazar Identificar Origen Continuamente monitorear decisión Análisis de Riesgo/Beneficio Al nivel del riesgo existente Medir Aceptable Si el riesgo se transfiere Aceptar Si el riesgo se debe reducir a un nivel aceptable Si ¿Existen y funcionan procesos de control de riesgo del negocio? Diseñar e instalar un proceso de control No Figura N° 1 12 Continuamente medir el desempeño del proceso a fin de identificar y reducir los riesgos ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO III.2.1. Elementos de un enfoque integral Existen tres elementos esenciales para lograr un enfoque integral para la administración de riesgos de negocio, estos son: ¿ Desarrollo de un lenguaje de riesgo de negocio compartido ¿ Desarrollo de una estructura de control organizacional efectiva ¿ Crear una visión de los negocios a través de sus procesos III.2.1.1 Desarrollo de un lenguaje de riesgo de negocio compartido A efectos de que el enfoque sea integral y abarque a toda la organización, los Administradores del riesgo deben poder comunicarse fácil y rápidamente utilizando un lenguaje de riesgos de negocio que les sea común y les permita entenderse los unos a los otros. En este sentido, la Alta Gerencia debe desarrollar un lenguaje común para todos los miembros de la organización. En la actualidad son muy pocas las organizaciones que usan un modelo de riesgos de negocio para focalizar los esfuerzos de evaluación de riesgos abarcando a toda la organización. La administración de los riesgos del negocio comienza con un lenguaje común que todos los miembros de la organización entiendan y acepten. La utilización de un lenguaje común permite que personas con diversos conocimientos del negocio, sus clientes, productos, competidores y procesos puedan comunicarse en forma efectiva a lo largo de toda la organización. Una manera útil de organizar el universo de riesgos es bajo el “Modelo de Riesgos de Negocio” (Figura N° 2), un práctico sistema para identificar, suministrar y medir riesgos del negocio. El modelo subraya la relación entre diferentes tipos de riesgos, define un esquema que puede ser adaptado para cualquier industria y negocio con el objetivo de identificar y comprender los riesgos que pueden afectar a toda la organización. Esta perspectiva genera en la organización mayor facilidad para detectar y manejar los riesgos de alto nivel. 13 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Figura N° 2 (Fuente: Modelo de riesgos de negocio - Arthur Andersen - 2001) A continuación se describen brevemente las tres áreas de riesgos más importantes: (la descripción total de los riesgos se detalla en el Anexo I) Riesgos del Entorno El riesgo surge cuando existen fuerzas externas que pueden cambiar significativamente los fundamentos sobre los cuales se basan los objetivos y estrategias generales de la compañía y, en caso extremo, sacar a la compañía del negocio. 14 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Dentro de este área se encuentran aquellos riesgos tales como: competencia, mercados financieros, relaciones con los accionistas, aspectos legales. Riesgos de los procesos El riesgo surge cuando los procesos del negocio: ¿ No están alineados en forma efectiva con las estrategias de negocio ¿ No satisfacen al cliente en forma efectiva ¿ Funcionan en forma ineficaz ¿ No producen ganancias ¿ No logran proteger a los activos financieros, físicos o información propia de la empresa Este área se encuentra subdividida en: ¿ Operativo: El riesgo de que las operaciones no sean eficientes y/o efectivas para satisfacer a los clientes y los objetivos de costo, calidad y ciclos de la compañía los riesgos de procesamiento de información / riesgo tecnológico (riesgos de disponibilidad, integridad, relevancia, acceso e infraestructura). ¿ Financiero: El riesgo de que el cash flow y los riesgos financieros no sean administrados adecuadamente para: ¿ ¿ • Maximizar las disponibilidades • Reducir la incertidumbre en cuanto a riesgos de precio, liquidez y crédito • Mover los fondos de efectivo en forma rápida sin que pierdan valor Empowerment: El riesgo de que los gerentes y los empleados: • No estén correctamente guiados • No sepan qué hacer cuando necesitan hacerlo • Excedan los límites de su autoridad o ● Se los incentive para que no hagan lo correcto Procesamiento de información: Riesgo de acceso desautorizado a datos e información, pérdida de la integridad de los datos e información, uso de datos irrelevantes durante el procesamiento de la información y pérdida de la disponibilidad de los datos e información ¿ Integridad: El riesgo de fraude de la Gerencia, fraudes de empleados, actos ilícitos y actos sin autorización, que podrían llevar a la pérdida de reputación en el mercado. Riesgos de la información para la toma de decisiones 15 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO El riesgo surge cuando la información utilizada para soportar decisiones estratégicas, operacionales y financieras no sea relevante ni confiable en el proceso de toma de decisiones. Dentro de este área se incluyen riesgos que afectan a la información Operativa, a la Financiera y a la Estratégica. III.2.1.2. Desarrollo de una estructura de control organizacional efectiva El segundo elemento del enfoque integral para la administración de riesgos del negocio es desarrollar una estructura de control organizacional efectiva. Los riesgos cambian constantemente, lo que los hace más difíciles de identificar y administrar. Una estructura de control efectiva ayuda a la organización a aprender como anticiparse a los riesgos de negocio críticos y a adaptar los procesos de control a efectos de evitar o minimizar dichos riesgos. La estructura de control abarca a los procesos de control estratégicos, gerenciales y de procesos de negocio. Los procesos de control estratégico y gerencial cubren controles al nivel de la organización en su conjunto mientras que los procesos de control de procesos de negocio abarcan controles al nivel de cada proceso. Control Estratégico: conjunto de procesos vitales que son usados continuamente para evaluar los efectos de los cambios en los riesgos del ambiente, formular estrategias de negocio y alinear a la organización con estas estrategias.(3) Formular estrategias de administración de riesgos del negocio • • Adquirir y asignar los recursos Administar la cartera de negocios Rankear, comparar y seleccionar las alternativas de inversión Efectuar post-auditorías • Determinar niveles aceptables de riesgos Definir la política de control de riesgos • • 3 4 Continuamente mejorar el proceso de administración estratégica • • • Evaluar implicancias estrategicas del riesgo del ambiente Identificar los riesgos del ambiente y medirlos Evaluar riesgos no controlables Evaluar los supuestos estratégicos 22 • • • 6 Monitorear el desempeño de la organización/unidad de negocios • • Monitorear el ambiente externo Obtener información relevante del ambiente de riesgos Benchmark Performance Efectuar análisis de escenarios alternativos 1 16 Fijar objetivos de desempeño Alinear a las mediciones de la organización y procesos con las estrategias del negocio 5 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO En un ambiente que cambia rápidamente y muy competitivo, los procesos de control estratégicos son esenciales. Las acciones que normalmente se llevan a cabo son: 1 ¿ Monitorear el ambiente externo: Los riesgos de negocio se ven incrementados cuando: • las principales hipótesis respecto del ambiente externo son inconsistentes con la realidad o, • la organización no cuenta con un proceso efectivo y continuo para obtener información relevante acerca del ambiente externo. Para reducir este riesgo a un nivel aceptable, la Gerencia debe diseñar un proceso para monitorear sistemáticamente el ambiente a efectos de identificar cambios significativos en la competencia, los mercados, los clientes, en las regulaciones, etc. Un proceso de monitoreo del ambiente incluye: análisis de la industria, los competidores, el mercado, benchmarking de performance, análisis de escenarios alternativos. Un proceso efectivo de monitoreo requiere el soporte continuo de la Alta Gerencia, Gerentes de línea y de los dueños de los procesos, involucrando a todos los niveles de la organización a través de la comunicación interactiva e información compartida. ¿ Evaluar implicancias estratégicas del riesgo del ambiente: Cada negocio necesita de un proceso efectivo para la evaluación del riesgo a efectos de identificar el origen de riesgos significativos. La evaluación de riesgos de negocio debe ser conducida en dos niveles: • Al nivel de la organización en su conjunto. • Al nivel de proceso de negocio para cada proceso de negocio significativo. El proceso de evaluación y monitoreo de riesgos de negocio a lo largo de toda la organización debe proveer de información relevante referida a cambios en los factores de riesgos tanto externos como internos. Los tomadores de decisiones deben evaluar esta información así como sus efectos en los riesgos de negocio de la organización. A medida que ocurren cambios significativos en los riesgos se deben reevaluar las estrategias de negocio. ¿ Formular estrategias de análisis de riesgos de negocio: Cada negocio necesita de un esquema para tomar decisiones referidas a la administración de riesgos. Este esquema debe permitirle a la gerencia identificar riesgos de negocio significativos, comprender las relaciones entre distintos riesgos y sus efectos, decidir cuando aceptar o rechazar aquellos riesgos y evaluar las implicancias de las decisiones administración de riesgos de negocio. en materia de La política de administración de riesgos de negocio definida por la Gerencia debe establecer los objetivos y filosofía de administración de riesgos de la organización (esquema para la evaluación de decisiones de aceptación de riesgos, estrategias para administrar distintos tipos de riesgos) y 17 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO quienes son los responsables de su implementación. La política debe focalizarse principalmente en el qué y no en cómo y debe ser aprobada por el más alto nivel de la compañía. Cada gerente responsable debe definir e implantar procedimientos específicos que permitan cumplir con la política. ¿ Adquirir y asignar los recursos necesarios para ejecutar las estrategias de negocio: Para que la administración de riesgos sea exitosa es necesaria la asignación de los recursos escasos a aquellas oportunidades que proveen una aceptable tasa de retorno con un nivel de riesgo adecuado. Se debe establecer un proceso que asegure que los recursos son adquiridos y asignados de la manera más efectiva posible a efectos de soportar la ejecución de las estrategias de negocio y de reducir los riesgos de evaluación de la inversión y de una inadecuada asignación de recursos. Esto último puede lograrse a través del establecimiento de un método formal y consistente para definir prioridades, comparar y seleccionar proyectos de inversión, implantar sistemas para monitorear y evaluar los resultados de las decisiones de asignación de recursos comúnmente llamado post-auditorías. ¿ Monitorear el desempeño de la organización / unidad de negocios: Las organizaciones deben asegurarse de que sus medidas de medición de desempeño balancean adecuadamente con sus objetivos de corto y largo plazo de acuerdo con las estrategias de negocio. Las medidas organizacionales de calidad, costo y tiempo basadas en las estrategias de negocio son indicadores claves de desempeño para monitorear el camino hacia el éxito/logro de las estrategias de negocio. Si las mediciones de desempeño no están medidas en función a las estrategias, la gerencia nunca estará segura de que dichas estrategias están siendo implantadas efectivamente. ¿ Continuamente mejorar el proceso de administración estratégica: Como cualquier proceso de negocio, los procesos de control de riesgo deben ser mejorados constantemente. Los gerentes deben aprender de las decisiones estratégicas pasadas y mejorar la red de información que soporta dichas decisiones. Los gerentes continuamente deben realizarse cuestionamientos tales como: • ¿Qué información nos será más útil para el proceso de toma de decisiones? • ¿Qué fue mal? ¿Qué cosas sucedieron que no esperábamos? • ¿Qué conocimientos del ambiente externo no tuvimos cuando formulamos las estrategias que nos hubieran ayudado a tomar mejores decisiones? • ¿Qué podríamos hacer para obtener ese conocimiento y cuáles son las implicancias para el actual proceso de información que soporta la toma de decisiones estratégicas? • ¿Cómo podemos mejorar el proceso de administración estratégico? 18 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Control Gerencial: conjunto de procesos que trasladan la evaluación y control de riesgos de negocio a toda la organización. Los mecanismos, procesos y mediciones que utiliza la Gerencia para controlar el negocio juegan un papel muy importante para influir en los comportamientos en todos los niveles de la organización. Con el fin de trasladar la evaluación y control de riesgos a toda la organización, la Gerencia debe: ¿ Comunicar los propósitos, valores compartidos y objetivos de la organización. ¿ Establecer límites claros en los comportamientos aceptables ¿ Seleccionar y desarrollar al mejor personal ¿ Establecer responsabilidades en todos los niveles de la organización que alineen continuamente los objetivos de los procesos, las metas y las medidas de desempeño con las estrategias del negocio y mejoren los controles de los riesgos de negocio. ¿ Soportar la comunicación en todos los sentidos y fomentar el compartir de la misma. ¿ Implantar procesos efectivos para la evaluación y control de los riesgos de negocio en todos los niveles de la organización. Para implementar dichos procesos de evaluación y control de riesgo se debe contar con: • una política de control de riesgos de negocio que establezca que todo Gerente y empleado debe participar en la evaluación y control de riesgos, • estándares de riesgo que describan los riesgos significativos que los dueños de los procesos deben considerar y reduzcan riesgos a niveles aceptables • un proceso de evaluación con una buena relación costo – beneficio • Supervisión de la Alta Gerencia: el liderazgo e involucramiento de la alta Gerencia para determinar si la política de administración de riesgos es ejecutada en forma oportuna por el personal apropiado. 19 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO III.2.1.3. Crear una visión de los negocios a través de sus procesos Los objetivos proveen aspectos claves para la evaluación de riesgos Identificar, determinar y medir los riesgos provee un contexto para la evaluación y diseño de controles de riesgos Evaluar el riesgo Están funcionando los controles? Han cambiado nuestros Diseñar, implementar y mejorar los controles de riesgos Monitorear el proceso Definir objetivos Estamos alcanzando nuestros objetivos? Cómo se está desempeñando el proceso? Medir el desempeño Las mediciones identifican áreas de cumplimiento deficiente y afinan la evaluación de riesgos Los controles de riesgos proveen garantía de que los objetivos están alcanzados y los riesgos están reducidos a un nivel aceptable Una vez que se ha implantado una estructura que abarca a toda la organización, incluyendo controles estratégicos y gerenciales, y cuenta con un lenguaje de riesgos de negocio compartido, está preparada para el tercer elemento del control de riesgos de negocio. Los procesos de control estratégicos identifican, monitorean y miden constantemente los riesgos del ambiente bajo la luz del cambio permanente. Los controles gerenciales trasladan la evaluación y control de riesgos de negocio a toda la organización. Entonces, ésta debe adoptar una visión de los procesos que la atraviesan en forma horizontal enfatizando los vínculos de distintas funciones aparentemente no relacionadas. La mayor parte de las organizaciones están organizadas alrededor de funciones. Los procesos de negocio son las actividades que atraviesan las funciones y departamentos y, de esa manera, son vitales para la creación y entrega de productos y servicios para satisfacer las demandas de los clientes. Los controles de un proceso de negocio son las tareas esenciales que tienen como objetivo evitar o reducir riesgos en la compañía y que son ejecutados por los Gerentes y empleados que más conocen el proceso y, a sus clientes, actividades y riesgos. Los procesos de negocio pueden clasificarse en: 20 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO ¿ Procesos operativos: procesos primarios del negocio involucrados directamente en la generación de nuevos productos/desarrollo de servicios, marketing, ventas, producción, ordenes de compra, logística/distribución y productos/servicios entregados. A su vez estos están integrados por: 1. Entendimiento del mercado y clientes. 2. Desarrollo de la visión y la estrategia. 3. Diseño de productos y servicios. 4. Marketing y ventas. 5. Producción y entrega de productos y servicios (estos procesos incluyen la compra de bienes de capital y materiales de suministros). 6. Producción y entrega para organizaciones orientadas a los servicios. 7. Facturación y servicio a los clientes. ¿ Procesos de administración y soporte: soportan los procesos primarios del negocio y son requeridos por ellos para desempeñarse efectiva y eficientemente. 1. Desarrollo y administración de RRHH. 2. Administración de la información. 3. Administración de los recursos físicos y financieros. 4. Ejecución del programa de gerenciamiento ambiental. 5. Manejo de las relaciones externas. 6. Administración del cambio y mejoras. ¿ Procesos gerenciales: garantizan la existencia de evaluaciones periódicas del ambiente del negocio y su impacto en la estrategia de la organización y además, que los recursos sean adquiridos, desarrollados y usados de acuerdo con la estrategia. A su vez, deben proveer ciertas garantías respecto a que se asigne a los procesos de negocio críticos el mejor personal a efectos de designarlos sus “propietarios”. Cada dueño de los procesos será responsable de la evaluación y control de los riesgos de los procesos para lo cual deberán focalizarse en las siguientes prácticas de control: • Definir los objetivos del proceso de negocio: Cuando se diseñan medidas de desempeño, se evalúan los riesgos de negocio y se construyen controles, todos los objetivos del proceso deben ser considerados. Estos objetivos apuntan a la eficiencia y efectividad operativa, la integridad del proceso, la integridad y relevancia de la información y el cumplimiento de leyes y regulaciones aplicables. Los objetivos de los procesos de negocio deben ser consistentes con los objetivos de la organización y sus estrategias, lo que permitirá una adecuada evaluación de los riesgos del negocio. 21 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO • Evaluar el riesgo: Identificar y medir las causas que amenazan el cumplimiento de los objetivos del proceso de negocio a efectos de evaluar y diseñar controles efectivos. Es imposible controlar efectivamente a los riesgos si el personal apropiado que conoce los riesgos significativos y sus orígenes no está involucrado. La evaluación del riesgo comienza con el conocimiento detallado de los objetivos del proceso del negocio y sus estrategias clave. Incluye, en el ámbito del proceso, lo siguiente: − Identificar los riesgos: el personal adecuado dentro de la organización que conoce la naturaleza de los riesgos ya sean aceptables o no aceptables, controlables o no controlables; − Causas de los riesgos: determinar el origen de los riesgos tantos del exterior de la organización como del interior (procesos); y − Medir los riesgos: Evaluar la materialidad del riesgo y su probabilidad de ocurrencia. Evaluar los riesgos es esencial para los controles de riesgo ya que permiten a los propietarios de los procesos evaluar si los riesgos han sido reducidos a un nivel aceptable y si han habido cambios en el desempeño de los controles implementados. • Diseñar, implementar y mejorar los controles de riesgos: A medida que las organizaciones avanzan en sus pasos de evaluación de riesgos se identifican numerosos riesgos de negocio controlables que podrían ser inaceptables en el nivel corriente. En estos casos, se deben definir acciones para diseñar e implementar procesos costo – efectivos para aceptarlos al nivel de riesgo existente o transferirlos, reducirlos a un nivel aceptable y proveer garantías de que los objetivos de negocio son alcanzados. • Medir el desempeño: Las mediciones del desempeño del proceso deben ser comparadas con parámetros que se encuentren alineados con los objetivos del proceso y de la organización. Las mediciones del desempeño son normalmente indicadores de riesgo debido a que proveen información sobre cuan bien se desempeña el proceso. Si los indicadores muestran que el proceso no está alcanzando el cumplimiento de alguno de los objetivos, sus dueños deben determinar las causas. Tipos de mediciones: − Las mediciones del desempeño general de la organización son controles de la organización. Ayudan a la Alta Gerencia a evaluar el grado con que la compañía alcanza el cumplimiento de sus objetivos estratégicos. − Las mediciones del desempeño de un proceso de negocio permiten a los dueños del mismo auto - evaluar si el proceso opera de manera consistente con los objetivos de calidad, tiempo y costos corporativos. 22 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO − Las mediciones en el ámbito de los empleados se focalizan en la compensación, desarrollo y motivación de la gente, su desempeño, habilidades, respuesta y flexibilidad. • Monitorear el proceso. No es suficiente diseñar un proceso de control efectivo o seleccionar medidas de desempeño relevantes. La efectividad de las mediciones y del control para evitar, transferir los riesgos o reducirlos a niveles aceptables debe ser monitoreada permanentemente por los dueños de los procesos. La forma de hacerlo consiste en responderse las siguientes preguntas: − ¿estamos alcanzando nuestros objetivos?, − ¿han cambiado nuestros riesgos de negocio?, − ¿están funcionando los controles?, − ¿cómo se está desempeñando el proceso?. 23 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO IV. Diseñar / Implementar capacidades de gestión de riesgos No se trata de adoptar las herramientas más sofisticadas, se trata de escoger las herramientas más apropiadas. Chris Valentine, Director de Gestión de Riesgos, Cable & Wireless El término capacidades abarca los procesos, personas, informes, métodos y tecnologías (sistemas e información) necesarios para implantar una estrategia en particular. Nos referimos a estos seis elementos (que incluyen las estrategias y las políticas) como los componentes de la infraestructura, e incluyen lo siguiente: • Estrategias y políticas del negocio. El marco formal de la política y la estrategia incluye pautas específicas para tipos de riesgos, productos u operaciones así como también los principios más generales que se aplican a todos los aspectos del negocio, tal como se mencionó en el presente resumen. Permite a los responsables del riesgo comprender qué se intenta lograr con las capacidades de gestión de riesgos. (1) • Procesos de gestión de riesgos y de negocios. Los procesos de la organización son sus medios primarios de ejecutar las estrategias y políticas del negocio. Las actividades de gestión de riesgos están integradas en la medida de lo deseable a los procesos de negocio porque la gestión de riesgos y el control de los mismos es mejor cuanto más cerca de la fuente. Las definiciones de procesos deberían precisamente describir la secuencia de actividades y tareas que deben llevarse a cabo para lograr el objetivo de gestión de riesgos deseado.(1) • La gente. La gente ejecuta los procesos. Deberían definirse y delinearse los papeles y responsabilidades de la toma de riesgos versus las funciones de control de riesgos así como también la interacción y los flujos de información y decisión entre funciones relacionadas. La responsabilidad general de la implantación de las capacidades mejoradas de gestión de riesgos debería recaer en uno o más individuos calificados con los conocimientos, pericia y experiencia necesarios. (1) • Informes de gestión. El sistema de presentación de informes de la organización está diseñado en función de las necesidades de información de las personas responsables de 24 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO ejecutar procesos de acuerdo con la estrategia de riesgos. El proceso de informes de riesgos tiene por objeto brindar a la gerencia conocimientos acerca de los riesgos, incluido el nivel de exposiciones en función de los límites, hipotéticos “qué pasaría si...”, tendencias en impulsores de riesgo, diversificación y concentración de riesgos, violaciones a los límites y otro tipo de información. Los informes a la gerencia deben ser prácticos, fáciles de usar, ligados a responsabilidades bien definidas y elaborados con frecuencias adecuadas.(1) • Métodos. La solidez de los informes a la gerencia se ve incrementada o limitada por los métodos que los sustentan. Los métodos efectivos ayudan a identificar los riesgos y a establecer las prioridades, rastrear los riesgos hasta sus fuentes clave y cuantificar los mismos. También sirven de sustento al análisis de compensación de riesgos/recompensa, intercambio, diversificación de cartera, evaluación de la efectividad de las alternativas de disminución del riesgo desde el punto de vista del costo, asignación de capital para absorber pérdidas potenciales, fijación de precios de productos y servicios para compensar de manera adecuada los riesgos adoptados y planeamiento para contingencias en caso de resultados inciertos. Cuando sea posible, los modelos y métricas de riesgo deben normalizarse para proporcionar un denominador común para comparar alternativas de estrategia distintas.(1) • Sistemas e información. Los sistemas de información sustentan la confección y elaboración de informes que son parte integral de las capacidades de gestión de riesgos. Proporcionan información relevante, precisa y oportuna. Las nuevas tecnologías están generando mediciones más exactas y están haciendo más fácil la identificación y comprensión de los riesgos, los propulsores de riesgo y la repercusión de los mismos en la empresa. En suma, los sistemas de información deben satisfacer los requisitos de negocios de la empresa y ser flexibles para su futura mejora, gradación e integración con otros sistemas.(1) Cuando los gerentes comienzan a organizar y alinear la infraestructura de la empresa para la gestión de riesgos, envían una señal clara de que sus intenciones respecto de la gestión de riesgos son serias. Los componentes individuales de la infraestructura en si mismos son importantes, pero la interrelación entre los componentes es igualmente crítica. Sin alineación, es difícil obtener capacidades de gestión de riesgos orientadas hacia el valor y abarcadoras. Si cualquiera de los componentes de la infraestructura es deficiente, la efectividad de los demás componentes puede verse afectada en forma significativa, como lo muestra la siguiente figura. 25 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Integración de los componentes de la infraestructura Los componentes clave deben estar relacionados por diseño: Estrategias y políticas del negocio Procesos de gestión de riesgos y del negocio Informes a la gerencia Gente Métodos Sistemas e información Riesgo si un componente es deficiente: El proceso no logra cumplir con la estrategia La gente no puede llevar a cabo los procesos Los informes no proporcionan información para una gestión efectiva Los métodos no analizan la información en forma adecuada La información no se encuentra disponible para su análisis y elaboración de informes Fuente: (1) Una infraestructura efectiva provee las capacidades de gestión de riesgos para ejecutar las estrategias de riesgos definidas. Si bien destinado a ser un enfoque más bien interactivo que estrictamente lineal, la infraestructura se desarrolla un vínculo por vez: cada componente impulsado por el anterior. Estas capacidades de gestión de allanan el camino para el éxito en la implantación de la Administración Integral de Riesgos de Negocio. Los siguientes dos pasos de este proceso son controlar el desempeño en materia de gestión de riesgos y mejorar las capacidades de gestión de riesgos en forma continua, basadas ambas en la toma de decisiones. Controlar el desempeño de la gestión de riesgos La efectividad del proceso, las personas, los informes, los métodos y las tecnologías específicamente diseñados para ejecutar la estrategia de gestión de riesgos seleccionada debe controlarse en forma continua. El control está compuesto tanto por procesos formales como informales aplicados por gerentes/directores ejecutivos, responsables de proceso/actividad, responsables de riesgo y auditores internos. Mientras que las personas que mejor conocen el proceso (los “responsables o propietarios”) tienen la responsabilidad primaria de autoevaluar su desempeño, es necesario que ejecutivos independientes del proceso efectúen el control de su desempeño. 26 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO El control se ocupa de preguntas clave del tipo “¿Cómo sabemos …” que toda persona responsable necesita preguntar, tal como lo ilustra la siguiente figura Preguntas que formula el control ¿Estamos logrando nuestras metas y objetivos? ¿Contamos con la estructura de supervisión correcta? ¿Si nuestros riesgos han cambiado? ¿Estamos mejorando en forma oportuna? ¿Cómo sabemos … ¿Nuestras estrategias son las correctas? ¿Nuestras capacidades están ejecutando las estrategias? ¿Nuestro control es efectivo? ¿Nuestros controles y supervisión de riesgo son efectivos? Fuente: (1) El control real consiste en una combinación de mediciones, comunicaciones regulares y auditorías y evaluaciones periódicas a cargo de ejecutivos y funciones independientes a niveles apropiados de la empresa. La Administración Integral de Riesgos de Negocio expande la concepción del papel de control al ofrecer a los directores y ejecutivos las garantías vitales a medida que la organización administra el cambio. Mejorar las capacidades de gestión de riesgos en forma continua La necesidad de implementar mejoras en los procesos, las personas, los informes, los métodos y los sistemas identificadas mediante el control deben evaluarse e implantarse, según sea pertinente, en forma coherente con una filosofía de mejora continua. Encontramos tres facilitadores de tal filosofía: • realizar un benchmarking del desempeño para identificar las mejores prácticas; • distribución de la información y comunicaciones interactivas de cuatro vías; e 27 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO • integración del lenguaje y el proceso de la empresa en materia de riesgo a los programas de aprendizaje de los empleados. Desarrollar información para la toma de decisiones Si los controles no existen, si la información que surge de los negocios no es íntegra o precisa, si la organización no se encuentra alineada, entonces puede tirar el concepto de Gestión de los riesgos del negocio por la ventana. Rick Causey, Vice Presidente Ejecutivo y Director Financiero, Enron Si una empresa ha hecho su tarea hasta este punto, ya posee una riqueza de información que sustenta sus capacidades de gestión de riesgos. Una concepción integral que abarca toda la empresa conduce en última instancia a la empresa a integrar su información en materia de gestión de riesgos del negocio para la toma de decisiones con otros tipos de información utilizados en el negocio. La empresa mide e informa aquello que importa (esto significa que toda la información crítica relacionada con la calidad, el costo, el tiempo y los riesgos debe integrarse en su agenda en forma equilibrada). Si bien es más fácil decirlo que hacerlo, las empresas comprometidas con la Administración de Riesgos de Negocio trabajan para convertirlo en realidad. La tecnología está aportando a esta capacidad. Por ejemplo, vemos empresas que implementan soluciones tecnológicas basadas en la Intranet como apoyo a la implantación de un enfoque integrado que abarca toda la empresa de evaluación y gestión de riesgos del negocio, para administrar el conocimiento respecto del riesgo empresario y para mejorar las capacidades de gestión de riesgos. Los sistemas de gestión de riesgos sustentados a través de la red organizan la información acerca de los riesgos y de la gestión de riesgos para extracción manual y electrónica y análisis por parte de los responsables de riesgo y de un grupo central. Muchos tipos de información son pertinentes para los encargados de la gestión de riesgos, incluida la información histórica calculada, de las operaciones y cargos. Las bases de datos no sólo deben mantener esa información, también deben apoyar la gestión de riesgos en todos los niveles de la empresa al brindar un marco para la identificación, captura y organización de los elementos de información de riesgo que se encuentran disponibles para los encargados de la toma de decisiones. 28 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Hemos enfatizado la importancia de desarrollar capacidades apropiadas para la gestión de riesgos. Hemos esbozado el vínculo de los componentes de la infraestructura que fluyen de las estrategias y las políticas a través de los procesos, las personas, los informes a la gerencia y los métodos hasta la información y los sistemas necesarios. También hemos señalado la necesidad de efectuar el control de las capacidades y crear un entorno que favorezca la mejora continua. Queremos colocar a nuestro Directorio en una posición en la cual satisfaga completamente los requisitos externos de presentación de informes. Pero lo que es más importante, queremos optimizar nuestra gestión de riesgos y brindar a nuestros ejecutivos a cargo de la misma un marco (colocarlos en la mejor posición posible para la identificación y gestión de sus riesgos.) Peter Cartmell, Director de Estrategia de Riesgos, Cadbury-Schweppes Diseñar/implementar capacidades ¿Cuenta la empresa con: Un marco para ocuparse de todos los componentes de la infraestructura al diseñar / implementar capacidades de gestión de riesgos? Productos primarios: • Documentación de las capacidades actuales mediante seis componentes de infraestructura. • Selección de las capacidades deseadas mediante seis componentes de la infraestructura. • Análisis de la brecha a comparación de las capacidades de gestión de riesgos actuales y deseadas. • Supervisión, control y elaboración de informes mejorados 29 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO V. Mejorar las estrategias, procesos y mediciones de riesgos en forma continua. Se trata de un proceso interactivo – no de un ejercicio único – en el cual la organización aprende en todas las etapas. Nick Chown, Gerente de Riesgos de Grupo, The British Post Office Las capacidades de gestión de riesgos deben procurarse en forma explícita y, dados recursos finitos, selectiva. La gerencia enfrenta dos desafíos en la tarea de mantener una concepción dinámica de aprendizaje continuo y renovación constante en su gestión de riesgos: 1. Definir el objetivo para los esfuerzos iniciales. ¿Cuán capaz queremos que sea nuestra gestión de riesgos a medida que mejoramos nuestras estrategias, procesos y mediciones para cada uno de nuestros riesgos prioritarios? ¿Variamos las capacidades de gestión de riesgos por riesgo? Para ayudar en el proceso, estamos a punto de introducir una herramienta: el continuo de madurez de la capacidad de gestión de riesgo. 2. Estimular la mejora continua una vez que hemos alcanzado el objetivo. Una vez que hemos decidido acerca de las capacidades para un riesgo en particular y hemos alcanzado dichas capacidades, ¿cómo garantizamos que nuestras ganancias se mantienen y se incrementan? La continuidad en la madurez de la capacidad de gestión de riesgos Es innecesario desplegar las técnicas más avanzadas y sofisticadas para todos los riesgos. Ninguna empresa cuenta con los recursos para hacerlo, ni existe una razón del negocio viable para ello. Para cada tipo de riesgo o grupo de riesgos relacionados, la gerencia debe evaluar la madurez relativa de las capacidades de gestión de riesgos de la empresa. A partir de allí, debe tomar una decisión consciente: ¿cuánta capacidad adicional necesitamos para lograr en forma continua nuestros objetivos del negocio? Además, ¿cuáles son los costos y beneficios esperados del incremento de las capacidades de gestión de riesgos? El objetivo es identificar las exposiciones e incertidumbres más acuciantes de la empresa y 30 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO concentrarse en la mejora de las capacidades que permiten la gestión de dichas exposiciones e incertidumbres. Pero necesitamos una herramienta para pensar claramente acerca del problema de unir las capacidades de la empresa con las soluciones deseadas en materia de gestión de riesgo, y viceversa. El continuo de madurez de la capacidad de gestión de riesgo ilustrado en la siguiente figura está adaptado del modelo de madurez de proceso de programa de computación de Carnagie Mellon. Hemos descubierto que esta herramienta, aplicada con éxito a programas de computación, también ofrece un marco efectivo para discernir las capacidades de gestión de riesgos actuales y de dirigirse hacia las capacidades deseadas. La continuidad en la madurez de la capacidad de gestión de riesgo Evolución del Proceso Continuo Método de obtención Atributos de capacidad Optimizado (Retroalimentación continua) La gestión de riesgos es una fuente de ventaja competitiva Administrado (Cuantitativo) Riesgos medidos/ administrados en forma cuantitativa y sumadas a lo largo de toda la empresa Definido (Cualitativo/ cuantitativo) Políticas, procesos y normas definidos e institucionalizados Repetible (Intuitivo) Proceso establecido y que se repite; menor dependencia de las personas Inicial (Ad hoc/ caótico) Depende de conductas heroicas; falta de capacidad institucional • Estrategia empresaria integral – énfasis en adoptar y explotar riesgos • Procesos de primer nivel • Conocimiento acumulado y compartido • Medición, métodos y análisis rigurosos • Debate intensivo sobre cuestiones relativas al equilibrio riesgo/recompensa • Proceso aplicado en forma uniforme en toda la empresa • Componentes restantes de infraestructura • Métodos rigurosos • Lenguaje común • Asignación de personas calificadas • Tareas definidas • Componentes iniciales de infraestructura • Tareas no definidas • Confía en la iniciativa • “Sólo hazlo” • Confianza en personas clave Fuente: (1) - Adaptado del modelo de madurez de capacidad de la Carnagie Mellon University - Cada empresa debe decidir en que punto del continuo desea estar en relación con cada tipo de riesgo que pretende administrar. El punto es que no todos los riesgos requieren el mismo grado de capacidad para lograr los objetivos de la dirección de la empresa. El continuo de madurez de capacidad ilustra cómo la mejora de las capacidades de Administración de los Riesgos de Negocio requiere la adopción de nuevas prácticas de 31 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO negocios a lo largo del tiempo mediante mejoras pautadas, como lo muestra la siguiente figura Nuevas prácticas de negocios requeridas para mejorar las capacidades en materia de Administración de riesgos de Negocio Capacidades mejoradas: Inicial Repetible Definido Administrado / Que optimiza • • • • • • • • • • Identificación de riesgos Lenguaje común Recursos dedicados Política de gestión • de riesgos • Determinación de las fuentes de • riesgo Procesos definidos Responsabilidades • de ARN Pautas de la política aplicadas • en toda la organización Medición del riesgo • Informes sobre riesgo coherente Límites para toda la empresa Estrategias de riesgo para toda la empresa Diversificación de riesgos explotada en forma competitiva Cuantificación de riesgo vs. tolerancias Sistemas de medición de riesgos integrados Mediciones de riesgo aplicadas a objetivos de desempeño del negocio Fuente: (1) - Adaptado de Watts S. Humphrey (1994) The Capability Maturity Model: Guidelines for Improving the Software Process, Carnagie Mellon University Software Engineering Institute -. Esta idea de “mejoras pautadas” representa un enfoque práctico y preferido que reduce las perturbaciones a la organización y aumenta las probabilidades de una implantación exitosa. Implantar una Administración Integral de Riesgos de Negocio no es algo que se da de la noche a la mañana. El continuo ilustra la progresión necesaria para mejorar las capacidades de gestión de riesgos. Los beneficios de una Administración Integral de Riesgos de Negocio también se acumulan a medida que mejoran las capacidades de gestión de riesgos, como lo ilustra la siguiente figura 32 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Acumulación de beneficios del negocio a partir de la mejora de capacidades de la Administración de Riesgos de Negocio. Beneficios del desempeño del negocio: Inicial Repetible Definido Administrado / Que optimiza • • • • • • • • Concientización de riesgos Mayor conocimiento • del negocio Incertidumbres evaluadas Decisiones respecto de riesgo – • recompensa reciben mayor atención • Toma de decisiones basada en el riesgo más efectiva Riesgo anticipado mejor que los competidores Vínculo entre gestión de riesgos y gestión de operaciones de línea Mejor asignación de capital y recursos Transparencia en materia de riesgo con las partes interesadas • • • Capitalizar las oportunidades de mercado Gestión de riesgos como parte integral de la gestión de negocios Explotación de los efectos de la diversificación Riesgos totales para reducir los costos de transferencia de riesgos Gestión de riesgos integrada con planeamiento y estrategia del negocio Fuente: (1) - Adaptado de Watts S. Humphrey (1994) The Capability Maturity Model: Guidelines for Improving the Software Process, Carnagie Mellon University Software Engineering Institute -. Los elementos que posibilitan la mejora continua El continuo de madurez de capacidad de gestión de riesgos puede ayudar a establecer objetivos e identificar brechas que generan mejoras significativas en la gestión de riesgo. En este punto entran en juego los tres elementos que posibilitan la mejora continua: • Benchmarking. Esta técnica es más efectiva cuando se la aplica a entidades de desempeño superior pero la Administración Integral de Riesgos de Negocio también permite el benchmarking entre entidades de negocios relacionadas. 33 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO • Distribución del conocimiento y comunicación interactiva de cuatro vías. La transferencia y el intercambio continuos de información acerca del riesgo en sentido vertical y horizontal a lo largo de la empresa constituye un elemento facilitador vital de la Administración Integral de Riesgos de Negocio. La dirección de la empresa es responsable de establecer el entorno que facilita estas comunicaciones de cuatro vías. • Capacitación del personal. Las empresas que tienen la intención de incorporar la Administración Integral de Riesgos de Negocio • consideran que compartir conocimientos, educar y capacitar son elementos vitales. El aprendizaje efectivo por parte de los empleados ayuda a los gerentes a cargo de procesos y unidades operativas así como también a los responsables de riesgo y de proceso en sus esfuerzos por generar la concientización en relación con la visión, la estrategia, las políticas y los procesos de gestión de riesgos y los sistemas de información que sustentan la ejecución de cada uno de esos componentes. También contribuye a que se “compre” la idea y a la responsabilidad respecto de la misma (pero no puede lograrlo por sí misma). La capacitación de los empleados debe enfatizarse en las siguientes áreas: • Estrategias y políticas de gestión de riesgos del negocio de la empresa; • Lenguaje de riesgos de negocios y el entorno de evaluación de riesgos de la empresa, incluidos los principios de aplicación; • procesos clave de autoevaluación y cómo se los puede integrar a las actividades cotidianas del negocio; • uso efectivo de los métodos de gestión de riesgos seleccionadas por la empresa; • componentes de la infraestructura de gestión de riesgos y su utilización para crear y mejorar las capacidades de gestión de riesgos; • participación en canales de comunicación establecidos para garantizar que existe un flujo de información en sentido vertical y horizontal que abarca toda la empresa; y • el compromiso de la empresa con la mejora continua y qué significa para la gestión de riesgos y para el empleado en forma individual. La mejora continua se aplica a la gestión de riesgos del negocio al igual que lo hace a cualquier otro proceso. Mejora continua ¿Cuenta la empresa con: Un entorno para evaluar constantemente sus capacidades y mejorar sus estrategias, procesos y 34 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO medidas en términos del riesgo? Resultados primarios: • Evaluaciones actualizadas de capacidades deseadas a medida que cambian las condiciones • Cierre de brechas entre las capacidades actuales y deseadas a través de mejoras pautadas • Distribución de información y comunicaciones interactivas de cuatro vías y capacitación continua de los empleados Beneficios clave: • El desempeño en materia de gestión de riesgos coincide con la capacidad deseada • Aprendizaje mejorado de la organización • Implantaciones exitosas con menos trastornos 35 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO VI. Ejemplo práctico para su implementación Luego del desarrollo teórico, no por eso innecesario, trataré sucintamente en este capítulo de mostrarles quién y cómo debería llevar adelante la Administración Integral de Riesgos de Negocio en una Organización. Hoy en día en nuestro país la Administración Integral de Riesgos Negocio no es un proceso que se encuentre implantado en la mayoría de las Organizaciones, muy por el contrario son pocas aquellas que tomaron conciencia de la necesidad de su implantación. Es por ello que tomaremos, para desarrollar este capítulo, la industria bancaria, ya que por la envergadura de sus organizaciones y la composición de sus capitales, en su mayoría extranjeros, poseen (o están implementando) un proceso de Administración Integral de Riesgos de Negocio. A continuación expondremos cual es la estructura deseada para la Administración Integral de Riesgos de Negocio, cuales son sus funciones, áreas con las que interactúa, perfil de las personas que integran las áreas, etc. Estructura deseada Head Office Comité Ejecutivo de Gestión de Riesgos (CEGR) Chief Risk Officer (CRO) Cumplimiento regulatorio y Lavado de Dinero Riesgo de Crédito 36 Riesgo Operativo Riesgo de Mercado ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Descripción del área de administración integral de riesgos de negocio a) Componentes esenciales y sus funciones para una adecuada Administración integral de riesgos de negocio (AIRN) Head Office Comité Ejecutivo de Gestión de Riesgos (CEGR) Chief Risk Officer (CRO) Cumplimiento regulatorio y Lavado de Dinero Riesgo de Crédito Riesgo Operativo Riesgo de Mercado Head Office : 9 toma conocimiento de los riesgos críticos que afectan la operatoria de la Entidad 9 aprueba las estrategias y políticas referidas a la AIRN 9 monitorea el cumplimiento de las políticas y procesos de administración de riesgos de negocio 9 evalúa la efectividad del proceso de administración de riesgos Head Office Comité Ejecutivo de Gestión de Riesgos (CEGR) Chief Risk Officer (CRO) Cumplimiento regulatorio y Lavado de Dinero Riesgo de Crédito Riesgo Operativo Riesgo de Mercado Comité ejecutivo de gestión de Riesgos (CEGR): 9 está integrado por el Gerente General, CRO y un responsable de Auditoría Interna, con participación de las gerencias de apoyo, en caso de corresponder. 9 define su estatuto y lo eleva a Head Office para su aprobación 9 define la visión, las metas y los objetivos del proceso de AIRN para la Entidad en su conjunto y para sus unidades de negocio, es decir pautas específicas para tipos de riesgo, productos u operaciones. 9 asigna responsables para los riesgos más significativos 37 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO 9 desarrolla políticas de AIRN a nivel de Entidad. Dichas políticas deberán contemplar como mínimo los siguientes aspectos: 1. ser escritas de manera concisa utilizando un lenguaje común de riesgos de negocio 2. contar con el soporte visible del Gerente General y Head Office 3. definir los lineamientos a seguir en el proceso de AIRN y definir cursos de acción ante problemas específicos 4. transmitir a los empleados que el cumplimiento de las políticas del sector es una prioridad y que las mismas son consistentes a lo largo de toda la organización 5. crea una cultura corporativa que promueva y premie el cumplimiento de dichas políticas 6. identificar a la gente que se debe contactar en caso de dudas o inquietudes 9 desarrolla y promulga políticas de riesgo para cada proceso de negocio 9 define un lenguaje común de riesgos de negocio 9 coordina la toma de decisiones (por ejemplo, recomienda los perfiles y niveles de tolerancia al riesgo a Head Office). 9 evalúa la efectividad de la infraestructura existente para la administración de riesgos específicos 9 evalúa los métodos de medición de riesgos Head Office Comité Ejecutivo de Gestión de Riesgos (CEGR) Chief Risk Officer (CRO) Cumplimiento regulatorio y Lavado de Dinero Riesgo de Crédito Riesgo Operativo Riesgo de Mercado Chief Risk Officer (CRO) : 9 es responsable de la implementación del proceso de AIRN. Esto implica: 1. Adoptar un lenguaje común 2. Establecer metas, objetivos y estructura de control de gestión de riesgos generales 3. Desarrollar e implementar procesos uniformes para evaluar el riesgo del negocio y desarrollar estrategias de gestión de riesgos. 4. Desarrollar e implementar capacidades de gestión de riesgos para ejecutar estrategias de gestión de riesgos definidas. 38 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO 5. Construir sobre dichos cimientos para mejorar las estrategias, los procesos y las medidas para los riesgos individuales. 6. Medidas de riesgo múltiple generales. 7. Establecer un vínculo entre la medición y el desempeño de la empresa. 8. Construir, a partir de las capacidades mencionadas en los puntos precedentes, para formular estrategias de riesgo para toda la empresa, que dé como resultado nuevas concepciones que desarrollen nuevas habilidades de gestión de riesgo. 9 supervisa la gestión de las gerencias de apoyo 9 administra riesgos específicos asignados por el Comité de Riesgos 9 junto con las gerencia de apoyo, define el esquema de monitoreo y reporting del proceso de AIRN Head Office Comité Ejecutivo de Gestión de Riesgos (CEGR) Chief Risk Officer (CRO) Cumplimiento regulatorio y Lavado de Dinero Riesgo de Crédito Riesgo Operativo Riesgo de Mercado Gerencias de Apoyo : La estructura del management de este área es centralizada. La estructura de este área está compuesta por las siguientes gerencias de apoyo: Cumplimiento regulatorio y Lavado de dinero, Rieso de crédito, Riesgo operativo y Riesgo de mercado. Tareas generales 9 comunica políticas y procedimientos en materia de administración de riesgos de negocio 9 monitorea el proceso de administración de los riesgos de negocio ejecutado por las gerencias operativas e informa los resultados al CRO 9 asigna responsabilidades y obligaciones relacionadas con la administración de riesgos dentro de sus respectivas unidades 9 define las técnicas de medición de riesgos 9 junto con el dueño de los procesos, identifica, mide y determina el origen de los riesgos inherentes a dichos procesos y a los productos asociados 9 junto con el área de RRHH, define un programa de entrenamiento para el personal 39 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO 9 interactúa con el área de RRHH a efectos de describir las tareas a desarrollar por los empleados y la evaluación de desempeño de los mismos 9 efectúa benchmarking en materia de administración de riesgos de negocio con otras entidades, con el fin de introducir mejoras en el proceso de AIRN . 9 junto con el CRO, define el esquema de monitoreo y reporting del proceso de administración de riesgo de negocio 9 actúa como soporte de las unidades de negocio en materia de administración de riesgos Tareas específicas Head Office Comité Ejecutivo de Gestión de Riesgos (CEGR) Chief Risk Officer (CRO) Cumplimiento regulatorio y Lavado de Dinero Riesgo de Crédito Riesgo Operativo Riesgo de Mercado Cumplimiento regulatorio y Lavado de dinero: La misión del área es: 9 desarrollar, implementar y mantener adecuados programas que garanticen el cumplimiento por parte de los procesos de la Entidad de las leyes y regulaciones internacionales, del país, locales e internas de la Entidad. Este riesgo expone a la institución a sanciones, multas y penalidades y puede llevar a una disminución de la reputación, de las oportunidades de negocio y de la expansión potencial. También puede exponer a altos funcionarios a sanciones administrativas y/o penales. 9 desarrollar, implementar y mantener un programa integral para la prevención de lavado de dinero que garantice la implementación por parte de la Entidad de un esquema de prevención correspondiente esquema de reporting. 40 de operaciones inusuales y su ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Head Office Comité Ejecutivo de Gestión de Riesgos (CEGR) Chief Risk Officer (CRO) Cumplimiento regulatorio y Lavado de Dinero Riesgo de Crédito Riesgo Operativo Riesgo de Mercado Riesgo de Crédito : La función primaria de esta área es identificar los riesgos asociados al ciclo crediticio y diseñar los controles necesarios para mitigar los mismos. Head Office Comité Ejecutivo de Gestión de Riesgos (CEGR) Chief Risk Officer (CRO) Cumplimiento regulatorio y Lavado de Dinero Riesgo de Crédito Riesgo Operativo Riesgo de Mercado Riesgo Operativo: Su función primaria es asegurar que todo nuevo producto o servicio o cambios a los existentes cuenten con controles operativos adecuados que aseguren que los riesgos asociados al proceso son mitigados. Head Office Comité Ejecutivo de Gestión de Riesgos (CEGR) Chief Risk Officer (CRO) Cumplimiento regulatorio y Lavado de Dinero Riesgo de Crédito Riesgo Operativo Riesgo de Mercado Riesgo de mercado: Su función primaria es identificar los riesgos asociados al ciclo de tesorería (operaciones de mercado) y diseño de los controles necesarios para mitigar los mismos. 41 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO b) Áreas con las cuales se relacionan directamente Auditoría interna : 9 realiza auditorías y revisiones para garantizar al Comité de Riesgos y a Head Office que el proceso de AIRN se está llevando a cabo en forma efectiva, los informes y medidas clave son confiables y las políticas establecidas se encuentran en un estado de cumplimiento permanente 9 trabaja juntamente con las gerencias de apoyo para desarrollar un proceso de control eficaz que asigne responsabilidades y evite que las tareas se dupliquen Departamento legal : 9 trabaja juntamente con el área de Cumplimiento regulatorio y las unidades de negocio para seguir los cambios producidos por las leyes y reglamentaciones y difundir la información pertinente a las unidades de negocio. 9 responde las preguntas formuladas por las unidades de negocio relacionadas con la interpretación de una ley o reglamentación 9 alerta a la gerencia general y a las gerencias de las unidades de negocio respecto de los riesgos legales que surgen de los litigios y de los litigios potenciales a los cuales está expuesta la Entidad. Recursos humanos : 9 interactúa con las gerencias de apoyo a efectos de describir las tareas a desarrollar por los empleados y la evaluación de desempeño de cada uno. 9 recibe feedback del personal sobre su grado de satisfacción y motivación en el trabajo que desarrollan en materia de administración de riesgos 9 interactúa con las gerencias de apoyo a efectos de brindar una adecuada capacitación orientativa, de actualización y técnica a los empleados. Al respecto, se debería diseñar un programa de entrenamiento para cada empleado de acuerdo con sus funciones, incluyendo tanto cursos internos como externos. Dicho programa se retroalimentará con las sugerencias que los propios empleados hagan sobre lo que quieren y necesitan aprender. c) Monitoreo y reporting Informes de gestión: 42 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO 9 El sistema de presentación de informes de la organización debe estar diseñado en función de las necesidades de información de las personas responsables de ejecutar procesos de acuerdo con la estrategia de riesgos. El proceso de informes de riesgos tiene por objeto brindar a la gerencia conocimientos acerca de los riesgos, incluido el nivel de exposiciones en función de los límites, supuestos, tendencias en impulsores de riesgo, diversificación y concentración de riesgos, violaciones a los límites y otro tipo de información. Los informes a la gerencia deben ser prácticos, fáciles de usar, ligados a responsabilidades bien definidas y elaborados con frecuencias adecuadas. Métodos: 9 La solidez de los informes a la gerencia se ve incrementada o limitada por los métodos que los sustentan. Los métodos efectivos ayudan a identificar los riesgos y a establecer las prioridades, rastrear los riesgos hasta sus fuentes clave y cuantificar los mismos. También sirven de sustento al análisis de compensación de riesgos/recompensa, intercambio, diversificación de cartera, evaluación de la efectividad de las alternativas de disminución del riesgo desde el punto de vista del costo, asignación de capital para absorber pérdidas potenciales, fijación de precios de productos y servicios para compensar de manera adecuada los riesgos adoptados y planeamiento para contingencias en caso de resultados inciertos. Cuando sea posible, los modelos y métricas de riesgo deben normalizarse para proporcionar un denominador común para comparar alternativas de estrategia distintas. Sistemas de información: 9 Los sistemas de información sustentan la confección y elaboración de informes que son parte integral de las capacidades de gestión de riesgos. Deben proporcionar información relevante, precisa y oportuna. Las nuevas tecnologías están generando mediciones más exactas y están haciendo más fácil la identificación y comprensión de los riesgos, los propulsores de riesgo y la repercusión de los mismos en la empresa. En suma, los sistemas de información deben satisfacer los requisitos de negocios de la empresa y ser flexibles para su futura mejora e integración con otros sistemas Esquema de reporting: 9 Cada unidad de negocio está a cargo de implementar el programa de monitoreo antes mencionado y llevar a cabo un proceso continuo de auto-evaluación facilitado por personal de las gerencias de apoyo y auditoría interna. Dicho proceso de auto-evaluación consiste en la identificación de los riesgos asociados al proceso, verificación de la performance de los controles implementados en los procesos de 43 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO negocio que minimicen los riesgos identificados para incorporar mejoras a realizar en los procesos de negocio, en caso de corresponder. Dicho análisis será reflejado en matrices de riesgo. (Ver modelo en Anexo II) 9 Cada 15 días, cada gerencia de apoyo elevará al CRO un informe que contenga una descripción del trabajo realizado, las observaciones detectadas, los pasos a seguir a efectos de solucionar el problema así como un seguimiento de los aspectos más relevantes de informes anteriores. Dichos informes (actualizados) serán presentados por el CRO una vez por mes ante el CEGR. A efectos de reducir los tiempos utilizados, los informes se mantendrán en una base unificada y la entrega a los usuarios finales será por medios magnéticos. d) Personal especializado 9 el área de Administración de riesgos comprenderá personal familiarizado con los procesos y especializado en la AIRN, normativa, tareas de comunicación, entrenamiento y administración. 9 asimismo, se usará un programa de tutorías para asegurar que el personal esté adecuadamente orientado y desarrollando satisfactoriamente sus carreras. 9 es importante permitir que el personal del área de Administración de riesgos se desarrolle por tiempo determinado en otras gerencias para interactuar con los dueños del proceso y adquirir mayores conocimientos. 9 se debe organizar el ambiente físico de manera que facilite la transferencia de conocimientos, por ejemplo, usar espacios de trabajo compartidos o grandes áreas de trabajo comunes. e) Otras consideraciones Comunicación: la comunicación de información a los empleados pertenecientes a cada una de las gerencias de apoyo, se hará a través de boletines, reuniones informativas, reuniones de comité, seminarios y correo electrónico. Manejo del cambio: es importante definir los lineamientos a seguir en la administración del cambio en los procesos hacia un adecuado manejo de los riesgos y los controles asociados a los mismos. Los principales aspectos se detallan a continuación: 9 lograr una adecuada comunicación de la AIRN 9 identificar las potenciales barreras al cambio favoreciendo el compromiso de la gente involucrando a la misma a partir de una fuerte participación y mensaje de la Dirección 44 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO 9 transmitir mediante capacitación y campañas de concientización al personal las bases metodológicas para la mejora continua 9 definir un esquema de premios y castigos, minimizando los efectos no deseados Outsourcing: cuando por el trabajo a desarrollar no resulte práctico o económico que se involucre nómina de la entidad, o cuando se requiera un perfil altamente técnico o especializado, el área de Administración de riesgos podrá recurrir a la alternativa de outsourcing cumpliendo con todas las políticas vigentes para ello. Tecnología: La tecnología con la que cuente el área debe ser diseñada en función a las necesidades del sector. 9 La tecnología debe ayudar a los empleados a trabajar más eficientemente y facilitar una adecuada toma de decisiones 9 Los sistemas deben ser flexibles y adaptarse a la forma en que la gente adquiere, usa y comparte la información mientras desarrolla sus tareas 9 La Entidad debe continuamente actualizar el hardware y software que usa Rol del Financial Controller en la integridad financiera 9 supervisar los asuntos financieros de una organización 9 recomendar al CEO y al directorio cursos de acción alternativos de control sobre decisiones corporativas de importancia 9 establecer y administrar un sistema de controles internos (políticas contables, procedimientos e informes) 9 administrar flujo de fondos, inversiones y capital en un mercado cada vez más globalizado 9 rediseñar procesos y teconologías para lograr una eficiencia operativa con el propósito de acrecentar el valor a los accionistas 9 procurar técnicas y sistemas abarcativos y holísticos para identificar, medir y administrar el riesgo 9 diseñar y ejecutar las estrategias e iniciativas de la administración del riesgo 9 administrar el riesgo financiero: ¿ Definición: Las variaciones en las tasas de interés, tipos de cambio, precios de comodities o de las acciones generan riesgos financieros para las empresas que operan en la complejidad del mundo actual. La adminsitración del riesgo financiero es el proceso de control de 45 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO aquellos riesgos, y puede resultar efectivo sólo cuando la empresa haya identificado, analizado y medido los riesgos financieros a los cuales está expuesta. Esto requiere de un trabajo conjunto de las unidades de operaciones y el sector de Tesorería de la empresa. Los datos generados por operaciones y por Tesorería dirigen las estrategias y los enfoques de la empresa relacionados con la administración del riesgo. Tanto las estrategias como los enfoques aplicados se basan en el entendimiento de los procesos de negocio de la empresa y los riesgos financieros que surgen de dichos procesos. Tesorería trabaja juntamente con las unidades de operación para desarrollar los enfoques de los controles sobre aquellos riesgos en forma beneficiosa, por lo que se limitan las pérdidas potenciales y se estabiliza el flujo de fondos. Una estrategia efectiva de la administración del riesgo requiere un planeamiento cuidadoso y reglas de base claras, así como también un entendimiento de los instrumentos disponibles. ¿ ¿ Riesgos financieros: riesgo por la tasa de interés − riesgo por el tipo de cambio − riesgo por el precio de los commodities − riesgo por el precio de las acciones Pasos principales a seguir − Evaluar los riesgos financieros en cuanto a los objetivos de negocio − Involucrar al gerente ejecutivo en actividades de administración del riesgo financiero − Establecer, por escrito, políticas de adminsitración del riesgo financiero − Incluir operaciones en los procesos de administración del riesgo financiero − Monitorear la exposición al riesgo financiero y la eficacia de la estrategia de administración del riesgo financiero − Adoptar prácticas consistentes de contabilidad y exposición para las operaciones relacionadas con la administración del riesgo 46 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO VI. Conclusión El riesgo constituye una realidad de la vida y la vida cambia constantemente en el marco de la nueva economía. La Administración Integral de Riesgos de Negocio es un nuevo proceso estratégico que identifica el espectro completo de oportunidades y riesgos del negocio y se ocupa de ellos. Es necesario porque dado que las fuerzas de la nueva economía están reescribiendo las normas que rigen la creación y preservación de la riqueza. La Administración Integral de Riesgos de Negocio es un proceso de gestión de riesgos del negocio que genera valor y proporciona la disciplina y las herramientas necesarias para dominar el riesgo a medida que la empresa crea valor. La Administración Integral de Riesgos de Negocio representa un cambio notable en la actitud y la conducta en la organización. Al igual que en el caso de todo cambio significativo, la adopción de la Administración Integral de Riesgos de Negocio es fundamentalmente un proceso de concientización, de “vender” la idea y en última instancia generar la idea de responsabilidad de la misma por toda la organización. Por lo tanto, las prácticas que posibilitan el cambio son un aspecto significativo de toda iniciativa de esta magnitud. El camino hacia la Administración Integral de Riesgos de Negocio lleva a la empresa a mejorar sus capacidades de gestión de riesgos. A medida que avanza por el camino, la organización se vuelve más sensible a los cambios en el entorno y dentro de sus propios procesos. Esta sensibilidad en la cultura es importante dado que si hay algo que podemos esperar en la nueva economía es esto: las oportunidades y los riesgos seguirán surgiendo y cambiando rápidamente a medida que evoluciona el dinámico mercado internacional. Por lo tanto, desarrollar una visión efectiva que abarque toda la empresa de la gestión de riesgos del negocio siempre representa un camino signado por el aprendizaje y las mejoras constantes, y no como un hecho que va y viene. Las empresas comienzan a recorrer su camino para transformar su gestión de riesgos del negocio en un verdadero proceso que abarque toda la empresa de modo que se convierta en una fuente de ventaja competitiva, de mejora del desempeño del negocio y de optimización del costo. Entonces resumamos a través del siguiente gráfico los pasos en el camino hacia una Administración Integral de Riesgos de Negocio. 47 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO * Observe que el “valor contribuido significa la contribución de la gestión de riesgos a fin de establecer una ventaja competitiva sostenible, mejorando el rendimiento del negocio y optimizando los costos. Valor aportado * ón sti e G teg tra s E ia Gestión integral de riesgos empresarios Gestión de riesgos de negocios cio era p O Gestión de riesgos ie nc a n Fi ro s ne Foco: riesgo del negocio Vínculo con oportunidad: más claro Alcance: gerentes responsables (riesgo-por-riesgo) Foco: riesgo de perjuicio financiero y controles internos Vínculo con oportunidad: subestimado Alcance: tesoro, seguros y operaciones pertinentes Perspectiva de gestión de riesgos Fuente: (1) 48 Foco: riesgo del negocio Vínculo con oportunidad: cristalino Alcance: alineación de estrategia, procesos, gente, tecnología y conocimiento sobre la base de toda la empresa ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Por último se debe recordar en todo momento que es vital introducir un cambio de cultura ya que el riesgo es inherente a todas las actividades de negocios; de hecho, el riesgo va de la mano de la oportunidad. Las personas pueden desestimar la Administración Integral de Riesgos de Negocio o nuestro enfoque, pero a nuestro modo de ver sólo están metiendo la cabeza en la arena. Rick Buy, Vicepresidente Ejecutivo y Funcionario Jefe de Riesgo, Enron 49 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Glosario Downsizing: proyecto de reingeniería de una empresa a través de la cual se procura reducir el número de recursos afectados (principalmente de las áreas de soporte a los procesos operativos del negocio) a través del achatamiento de las estructuras jerárquicas y del agrupamiento en los sectores de funciones afines. Empowerment: forma de management que procura que los sectores operativos tomen la mayor cantidad de decisiones y responsabilidades posibles sobre las actividades que manejan. Benchmarking: mecanismo de comparación de una empresa o sus procesos de negocio con un grupo de empresas, preferiblemente afines, a través de indicadores objetivos, de forma de determinar la eficacia/eficiencia relativa de la misma en el logro de sus objetivos. Intranet: es una red privada que utiliza las características de la red internet como medio de transporte en la tarea de encaminar los mensajes, dar servicios de servidor de archivos e impresión. Outsourcing: es el proceso de tercerización de alguna función o proceso que por diversos motivos la sociedad no desea realizar con personal propio. Feedback: retroalimentación - Proceso por el cual se incorpora contínuamente información a un proceso. 50 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Bibliografía (1) Deloach, James W.: Enterprise-Wide Risk Management - Strategies for Linking risk and opportunity, Ed. Prentince Hall, London, 2000 (2) Ader, J. J. y otros: Organización, Ed. Paidos, Buenos Aires, 1996 (3) Cameron, Gregory D. y otros : Operational Risk and Financial Institutions, Ed. Bookcraft (bath) Ltd., London, 1998. (4) Arthur Andersen: www.arthurandersen.com, 2001 51 ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Anexo I Modelo de Riesgos del Negocio Un lenguaje común de riesgos de negocio s A continuación se definen y ejemplifican cada uno de los riesgos antes expuestos: ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO ENVIRONMENT RISK Competencia Entorno Soberano Político El "environment Sensibilidad Entorno Legal risk" aparece ENVIRONMENT RISK Relaciones con los Accionistas Regulaciones cuando existen fuerzas Disponibilidad de Capital Industria externas que Pérdidas por Catástrofes Mercados Financieros pueden cambiar significativamente los fundamentos sobre los cuales se basan los objetivos y estrategias generales de la compañía y, en el caso extremo, sacar a la compañía del negocio. El "environment risk" aparece por la falta de comprensión de las necesidades del cliente, falta de anticipación o reacción ante las acciones de los competidores, sobredependencia de proveedores vulnerables, etc. Debido a que una ventaja competitiva, y su posibilidad de mantenerla, es cada vez más temporaria, las premisas de la gerencia sobre el entorno del negocio constituyen un punto de partida crítico para formular y evaluar las estrategias de negocio. Estas premisas incluyen el perfil estratégico de los principales competidores, las tendencias sociales y demográficas, la nueva tecnología que brinda oportunidades para ventajas competitivas y los desarrollos económicos, políticos y regulatorios. Si los gerentes clave no comprenden globalmente los riesgos clave del entono, no podrán focalizarse en los objetivos estratégicos de la compañía. Las consecuencias serán graves - pérdida de participación en el mercado y de ventajas competitivas. Debido a los altos riesgos provenientes de errores estratégicos, la gerencia debe asegurarse que las premisas clave acerca del entorno sobre las que se basa la estrategia sean consistentes con la realidad. Riesgo de Competencia Los principales competidores o nuevos ingresantes al mercado toman medidas para establecer o mantener ventajas competitivas sobre la compañía o aún amenazan su habilidad de sobrevivir. Estas acciones incluyen el lanzamiento de nuevos productos al mercado, la mejora en la calidad de los productos, el aumento de la productividad y reducción de costos, y la reconfiguración de la cadena de valor frente a los ojos del consumidor. El desempeño superior de un competidor en el ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO mercado (por ejemplo, en términos de calidad superior, capacidad de proveer a bajo costo o tiempos de respuesta más rápidos) también resultarán en pérdidas de ventajas competitivas. Riesgo de Sensibilidad El riesgo de sensibilidad surge cuando la gerencia compromete los recursos y el cash flow de las operaciones futuras de la compañía a tal punto que reduce la tolerancia (o habilidad para soportar) de la compañía frente a cambios en las fuerzas del entorno que están totalmente fuera de su control. Por ejemplo: • Un cambio desfavorable en la capacidad del competidor, las tasas de interés, los tipos de cambio, la inflación, el mercado de capitales, el mercado internacional y otras condiciones económicas que están altamente relacionadas con el ciclo de negocio (es decir, construcción de viviendas, demanda de los consumidores de bienes durables, etc.) pueden afectar negativamente y aún amenazar la supervivencia de una compañía altamente endeudada o que no tenga ventajas competitivas explotables. • La estrategia de una compañía de crecer rápidamente, expandirse geográficamente e invertir en negocios importantes de alto riesgo puede aumentar su sensibilidad a los desarrollos económicos, regulatorios y de mercado inesperados. • El riesgo sistémico (del sistema) para instituciones financieras es una forma de riesgo de sensibilidad. Es el riesgo de que las dificultades financieras de una institución financiera o la disolución de un mercado importante cause un daño financiero incontrolable a otras instituciones o impida la operación efectiva del sistema financiero en general. El resultado es la pérdida financiera por parte de los depositantes no asegurados y otras compañías importantes que tengan participación en la institución financiera que quebró como resultado de una reacción en cadena incontrolable en los mercados financieros basados fundamentalmente en las expectativas del pago al vencimiento. El riesgo de sensibilidad también ocurre cuando una organización es demasiado inflexible para cambiar en respuesta a cambios del entorno. Si los procesos de negocio de una compañía no pueden alinearse para cumplir con las expectativas del cliente y adecuarse a los desafíos de los avances tecnológicos, las acciones inesperadas de un competidor u otros cambios externos del entorno, se verá significativamente afectada su posibilidad de competir y sobrevivir. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Riesgo de Relaciones con los Accionistas Es el riesgo de que exista una disminución en la confianza del inversor (inversionista) que perjudique la posibilidad de aumentar eficientemente el capital de una compañía. Los inversores actuales o futuros no entienden a la compañía ni a sus mensajes y estrategias principales. Como resultado, no tienen la confianza necesaria en su potencial para brindar retornos suficientes a su inversión. Las consecuencias pueden ser graves - la compañía no tendrá el mismo acceso eficiente que sus competidores a las necesidades de capital para financiar su crecimiento, ejecutar sus estrategias y generar retornos financieros futuros. El menor valor de las acciones puede ocasionar varias consecuencias: • Altos costos de capital y menores beneficios para los accionistas. • Las opciones de conversión en acciones no brindarán una adecuada compensación a los ejecutivos. • Sus acciones no serán una alterativa atractiva de inversión. • Gran dilución de las adquisiciones de acciones. • Pérdida de valor incrementada por la adquisición de acciones. Riesgo de Disponibilidad de Capital La compañía no tiene un acceso eficiente al capital que necesita para financiar su crecimiento, ejecutar sus estrategias y generar retornos financieros futuros. Esto puede resultar en una desventaja competitiva si la compañía se encuentra altamente endeudada o si sus principales compradores tienen mayores reservas de efectivo, costos de estructura más bajos, mayor participación en el mercado, o acceso al capital a través de alianzas estratégicas. Riesgo de Pérdidas por Catástrofes Es el riesgo de no poder mantener las operaciones, brindar los productos y servicios esenciales, o recuperar los costos operativos como resultado de una gran catástrofe. La incapacidad de ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO recuperarse de estos hechos puede dañar la reputación de la compañía, su habilidad para obtener capital o sus relaciones con los inversores. Hay dos causas de pérdidas por catástrofes: • No controlables - Catástrofes originadas en guerra, terrorismo, incendios, terremotos, mal tiempo, inundaciones y otros hechos similares que están totalmente fuera del control de la compañía. Sin embargo, su impacto en los activos y operaciones de la compañía pueden ser administrados por ella. • Controlables - Catástrofes ambientales, violaciones a la salud y seguridad, acuerdos inmobiliarios espectacularmente grandes, costos de litigios increíblemente altos, grandes pérdidas originadas en “derivatives” (derivados), fraude masivo de negocio y pérdidas significativas en la participación en el mercado por no abandonar aquellas estrategias que ya no funcionan. Sus efectos en el negocio pueden ser tan catastróficos como los de una catástrofe no controlable; sin embargo, las actividades de negocio que contribuyen a estas pérdidas se encuentran bajo el control de la compañía. La exposición a pérdidas por catástrofes tienen un significado diferente para cada industria y negocio, dependiendo del lugar donde se encuentre la mayor exposición. Por ejemplo: • Para restaurantes de comidas rápidas, la principal exposición se encuentra en la prevención de los daños originados en los procesos de preparación y servicio de comida, porque éste es el lugar donde se encuentran los costos principales de riesgo. • Para una compañía eléctrica que opera una instalación de energía nuclear, el cumplimiento con todas las normas de procedimientos de operación de la planta y regulaciones de seguridad es de vital importancia. • Para un fabricante de automóviles, los pasivos por reclamos de productos relacionados con la explosión de los tanques de combustible, transmisiones inconstantes, y la imposibilidad de proteger a los ocupantes en choques son sus preocupaciones clave. • Para compañías que comercializan "derivatives" (derivados financieros) para obtener ganancias o para cubrir los riesgos financieros, tienen miedo que lo ocurrido en los casos de “Orange County" o "Barings" generen desconfianza a menos que dichos riesgos sean expulsados de la organización con políticas y controles efectivos. • Para las empresas de servicios profesionales, la exposición a reclamos y litigios muy significativos bajo las regulaciones son su mayor preocupación. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO • Para las firmas de cuidado de la salud, los reclamos por mala praxis de productos farmacéuticos y servicios profesionales son su principal preocupación. • Para las aerolíneas, el mantenimiento de los aviones y la capacidad del piloto son prioridades significativas debido a la preocupación por la seguridad de los pasajeros y a la alta publicidad que se le otorga a los registros de seguridad de la industria. • Para las químicas, la prevención de incendios y riesgos ambientales mantiene a la gerencia muy atenta. El fallo en cualquiera de estas áreas puede amenazar la propia existencia del negocio. El riesgo de la ocurrencia de pérdidas por catástrofes se superpone con otros riesgos de negocio que se relacionan más específicamente con potenciales hechos adversos, por ejemplo, fallos en los productos/servicios, riesgos ambientales, de la salud y seguridad, y provenientes de derivatives. Riesgos del Entorno Soberano/Político Es el riesgo de que consecuencias adversas para la compañía provengan de acciones políticas de un país en el cual la compañía ha hecho inversiones significativas, dependa del volumen significativo de negocio de ese país o haya celebrado algún acuerdo en el cual la contraparte esta sujeta a las leyes del mencionado país. Por ejemplo, posibilidad de nacionalización, expropiación de activos sin compensación, bloqueo de cambio u otras restricciones pueden resultar en pérdidas significativas para Ia compañía. El riesgo del entorno soberano es el reflejo de la situación financiera del país en la comunidad mundial y, en alguna medida, depende de la estabilidad política del país y su desempeño histórico en el cumplimiento de las obligaciones financieras internacionales. Cuanto mayor sea la probabilidad de que un gobierno imponga controles de cambio, haciendo imposible para la contraparte o una empresa subsidiaria cumplir con sus compromisos, mayor será el riesgo del entorno soberano. Por ejemplo: • El gobierno puede prohibir a un emisor realizar pagos de interés y capital sobre sus deudas. • El gobierno puede prohibir a la contraparte de un contrato de derivatives (por ejemplo, un swap) cumplir con sus obligaciones de swap. Riesgo del Entorno Legal ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Es el riesgo de que las transacciones de una compañía, acuerdos contractuales y estrategias y actividades específicas no sean exigibles de acuerdo a la legislación vigente. Los cambios en las leyes y los reclamos de litigios y evaluaciones pueden también resultar en un aumento de las presiones competitivas y afectar significativamente la posibilidad de la compañía de conducir su negocio eficientemente. Por ejemplo, los litigios no controlados y las demandas por daños y perjuicios pueden originar gran incertidumbre en la toma de decisiones y crean inaceptables pasivos potenciales para los negocios. Riesgo de Regulaciones Los cambios en las regulaciones y en las acciones de los entes reguladores nacionales o locales pueden resultar en un aumento de las presiones competitivas y afectar significativamente la posibilidad de la compañía de conducir su negocio eficientemente. Por ejemplo, los entes reguladores pueden cambiar significativamente las reglas del mercado) y empujar a industrias completas a un ambiente competitivo completamente diferente (por ejemplo, desregulación). Riesgos de Industria El riesgo de industria es el riesgo de que la industria pierda su atracción debido a cambios en: • Los factores clave para el éxito competitivo dentro de la industria, incluyendo importantes oportunidades y amenazas. • La capacidad de los competidores potenciales y existentes. • Las fuerzas de la compañía y las debilidades respecto a los competidores actuales y futuros. Existen también otros riesgos que pueden clasificarse como "riesgo de industria" porque afectan a las diferentes industrias de formas diversas: • Riesgo Demográfico - Es el riesgo de que las tendencias demográficas afecten a la base de los clientes y fuerza de trabajo de la industria. • Riesgo Social/Cultural - La forma en que la gente vive, trabaja y se comporta como consumidores puede afectar a los productos y servicios de la industria. Por ejemplo, más mujeres en los ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO trabajos, preocupaciones acerca del abuso de drogas, aumento de la tasa de crimen, mayor conciencia acerca de la salud, etc. • Riesgo Ecológico - Las preocupaciones sobre la lluvia ácida, el calentamiento de la tierra, el reciclaje, la administración de los desperdicios y la conservación de la energía pueden llevar a cambios sustanciales en la forma en que los negocios operan dentro de una industria. • Riesgo de Catástrofe Natural - Mal tiempo, inundaciones, terremotos y otras catástrofes naturales afectan a la mayoría de las industrias, algunas en forma más directa que a otras. Por ejemplo, el estado del tiempo afecta a la demanda en el mercado del gas y la electricidad. El tiempo duro que aparece fuera de estación también afecta adversamente a la industria de los cítricos. Riesgo de los Mercados Financieros El riesgo de los mercados financieros se define como la exposición a cambios en la capacidad de ingresos o valor económico de la firma como resultado de cambios en las variables del mercado financiero (por ej., tipos de cambio) que afectan el ingreso, los gastos o los valores del balance general. Estas variables incluyen: (1) El precio de mercado de los instrumentos financieros (por ej., inversiones en acciones, instrumentos de deuda en moneda extranjera o commodities) (2) Las tasas de mercado que influencian los ingresos y gastos (por ej., tasas de interés) o (3) Un índice (por ej., un índice del mercado de valores) que puede afectar tanto el precio de un instrumento financiero o el valor de una transacción comercial como por ejemplo ventas de exportación. La exposición al mercado financiero puede resultar en pérdidas significativas si dicha exposición no se encuentra cubierta o está cubierta erróneamente. El riesgo de los mercados financieros puede incurrirse de diversas formas: • Riesgo de Elasticidad - Es la exposición a cambios en los resultados como consecuencia de las fluctuaciones de los factores del mercado (por ej., cambios en las tasas de interés, fluctuaciones en las monedas, etc.) que afectan el ingreso/costo de los activos y pasivos no cubiertos (incluyendo la ejecución de los contratos y la exposición a otras contingencias). • Riesgo de Fijación de Precios - Es la exposición a cambios en los ingresos o el patrimonio como resultado de cambios en el nivel de precios, incluyendo: ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO − Variaciones adversas en las ventas o gastos debido al impacto de los factores del mercado financiero en los precios (por ej., el impacto de las fluctuaciones de la moneda en las ventas de exportación); − Cambios adversos en la posición competitiva debido a cambios en los indicadores del mercado (por ej., una estructura de costos no competitiva debido al endeudamiento a una alta tasa de interés fija en un contexto de baja tasa de interés); − Cambios adversos en los valores de los activos o pasivos como resultado de fluctuaciones del mercado financiero (por ej., revaluación de subsidiarias del exterior); • Riesgo Crediticio - Es la exposición a pérdidas actuales o costo de oportunidad como resultado del deterioro de la capacidad de la contraparte para cumplir con sus obligaciones. El riesgo crediticio incluye: − El incumplimiento (o la falta de pago) de una entidad económica o legal con la que la sociedad comercializa; − La pérdida o costo de oportunidad como resultado de la falta de pago de las obligaciones en forma oportuna por parte de la contraparte o del cliente; y − Un cambio en la prima de riesgo sobre acciones emitidas por una entidad debido a un cambio en la percepción del mercado de la validez del crédito de dicha entidad. • Riesgo de Liquidez - Es la exposición a pérdidas originadas en la incapacidad de realizar los activos (por ej., una inversión en acciones, cuentas a cobrar o inventarios) en un equivalente de efectivo, o de recoger fondos no asegurados en forma oportuna y efectiva. Puede surgir debido a: − Mercado con problemas de liquidez o poco operado (por ej., una emisión de acciones de poca envergadura). − Falta de información sobre el precio y/o participación en el mercado (por ej., cambios inesperados en las condiciones del mercado debido a la quiebra de una institución financiera importante); y/o − Disminución en la posibilidad de la organización de mantener y llevar un activo en dirección a la realización de la inversión, desprenderse de un activo, salir de una posición de inversión o ejecutar una compensación de riesgos bajo condiciones desfavorables del mercado. • Riesgo Sistémico - Es la exposición a pérdidas como resultado de una caída importante del mercado que afecta adversamente a todos los participantes en ese mercado (por ej., la incapacidad de repatriar fondos mantenidos en un país extranjero debido a la quiebra de los mercados financieros y/o del sistema bancario). ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO • Riesgo Legislativo/Regulatorio - Es la exposición a acciones de los legisladores y entes reguladores que afectan el valor de mercado de los instrumentos financieros (por ej., cambios en el tratamiento impositivo o contable de los instrumentos financieros). • Riesgo de Complejidad - Es la exposición a pérdidas que resulten de participar en transacciones complejas, cuya estructura y fijación de precios no se entienden completamente. Las exposiciones a los mercados financieros son un riesgo importante que le preocupa a la gerencia de compañías con carteras de inversiones, como por ejemplo compañías de seguro, instituciones financieras, compañías de inversión y empresas financieras con grandes carteras de inversiones. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO PROCESS RISK El "Process risk" es el riesgo de que los procesos de negocio: • No estén claramente definidos, • No estén completamente alineados con las estrategias de negocio, • No se desarrollen efectiva y eficientemente para satisfacer las necesidades del cliente, • No agreguen valor a los accionistas, o • Expongan a los activos financieros, físicos e intelectuales a niveles inaceptables de pérdidas, a riesgos, o a malversaciones o mal uso. Los "Process risks" incluyen: • Operations Risk -- El riesgo de que las operaciones no sean efectivas ni eficientes en la satisfacción al cliente ni en el logro de los objetivos de calidad, costos y tiempos de la compañía. • Financial Risk -- El riesgo de que los riesgos de flujos de fondos y los riesgos financieros no sean administrados eficientemente para: − Brindar una adecuada liquidez a fin de cumplir con las obligaciones de la firma, − Administrar los riesgos de la moneda, la tasa de interés u otro riesgo financiero de forma que sea consistente con los objetivos de negocio de la firma, y − Realizar movimientos de fondos de efectivo hacia donde más se necesitan en forma rápida y sin perder valor. • Empowerment Risk - El riesgo de que los gerentes y empleados: − No sean liderados adecuadamente, − No sepan qué hacer (o como hacerlo) cuando necesitan hacerlo, − Excedan los limites de autoridad definidos, − No tengan los recursos, entrenamiento y herramientas necesarias para tomar decisiones efectivas, o − • Sean incentivados a realizar las tareas incorrectas. Information Processing/Technology Risk - Es el riesgo de que la tecnología de información utilizada en el negocio no apoye efectiva y eficientemente ]as necesidades actuales y futuras del negocio, no estén funcionando tal cual se esperaba, estén comprometiendo la integridad y confiabilidad de los datos e información, estén exponiendo a los activos importantes a ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO potenciales pérdidas o a una mala utilización, o amenacen la posibilidad de la compañía de mantener la operación de los procesos críticos de negocio. • Integrity Risk - Es el riesgo de que el fraude de la gerencia, fraude de los empleados, y los actos ilícitos y no autorizados, lleven a una pérdida de la reputación en el mercado o inclusive a pérdidas financieras. Las interdependencias entre los procesos dentro de un negocio y con los clientes y proveedores son un factor de contribución al process risk. Los outputs deficientes de uno de los procesos de negocio son inputs deficientes para otros. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO OPERATIONS RISK PROCESS RISK OPERATIONS RISK Satisfacción del Cliente Recursos Humanos Desarrollo de Producto Eficiencia Capacidad Brechas de desempeño Tiempo de Ciclo Cumplimientos regulatorios Cumplimiento Interrupción del negocio Salud y Seguridad Marca Desgaste de la marca Riesgo de Satisfacción del Cliente Es el riesgo de que los procesos de la compañía no satisfagan o excedan consistentemente las expectativas del cliente debido a una falta de concentración en el mismo. Las consecuencias de la insatisfacción de los clientes son graves - pérdidas permanentes de repetidos negocios, disminución de los ingresos y pérdida de participación en el mercado. Sin una constante dirección hacia la satisfacción del cliente y la mejora continua, la compañía no entenderá ni aceptará las características del producto o elementos del servicio necesarios para mantener la competitividad y no logrará mejorar sus productos y procesos. Si una compañía no se centra en las causas de insatisfacción de los clientes, es imposible el crecimiento a largo plazo y la supervivencia dudosa. Riesgo de Recursos Humanos Es el riesgo de que el personal responsable de administrar y controlar a una organización o a los procesos de negocio no posean el conocimiento, las habilidades y experiencia necesarios para asegurar que los objetivos críticos de negocio sean alcanzados y que los riesgos de negocio sean reducidos a un nivel aceptable. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Riesgo de Desarrollo de Producto Es el riesgo de que el proceso de desarrollo de producto cree productos que: • Los clientes no quieran o no necesiten, • Sus precios estén a un nivel que los clientes no deseen pagar, o • Cubran una necesidad pero lleguen tarde al mercado que ha sido alcanzado por otro competidor. • La utilización del Just-in-Time (JIT) reduce los inventarios y el riesgo de liquidez, por ej., el monto de efectivo inmovilizado en la obtención, almacenaje, manipulación y financiación de las materias primas, productos en proceso y productos terminados en cualquier etapa. Reduciendo el tiempo del ciclo de pedido, recepción manipulación, conversión y despacho del inventario, se reduce el riesgo de liquidez. • Contrariamente al pensamiento convencional, los competidores basados en el tiempo creen que hay una relación entre la reducción del número de etapas en un proceso para llegar al mismo o mejores resultados con calidad total debido a que se reduce el número de cosas que pueden fallar. EI resultado es la eliminación de las etapas innecesarias o repetidas, precisión innecesaria, excesiva manipulación de materiales, demoras innecesarias y la automatización del resto de la operación. La reducción del tiempo incurrido en el desarrollo de un proceso o una actividad puede crear un ambiente muy competitivo para compañías que han elegido no concentrarse en el tiempo. Riesgo de Cumplimiento Es el riesgo de que como resultado de una falla en el diseño o en la operación o debido a error humano, descuido o indiferencia, los procesos de la compañía no cumplan con los requisitos del cliente desde el primer momento, o no cumplan con los procedimientos y políticas establecidos. EI riesgo de cumplimiento, algunas veces llamado el riesgo de no conformidad, resulta en una calidad inferior, mayores costos, pérdidas de ingresos y demoras innecesarias. EI riesgo de no conformidad también da lugar al riesgo de producto/servicio defectuoso porque si no ha sido detectado y corregido antes de que el producto o el servicio fueran entregados al consumidor, termina en un producto/prestación defectuoso. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO La productividad del proceso de desarrollo de producto es significativamente menos innovadora que la de los competidores que pueden lograr una mayor productividad a través de una mayor concentración en el cliente, concentrando los recursos orientados y en ciclos más rápidos. Riesgo de Eficiencia Es el riesgo de que el proceso no sea eficiente en la satisfacción de los requerimientos válidos del cliente resultando en costos competitivos más elevados, por ej., existen brechas significativas al comparar el costo de proceso de actividades con los costos incurridos por los mejores de la industria. Riesgo de Capacidad El riesgo de capacidad tiene varias dimensiones: • La capacidad productiva efectiva de la planta no está completamente utilizada, distribuyendo los costos fijos en menores unidades, creando así costos unitarios más elevados y una menor contribución marginal unitaria. • La capacidad productiva efectiva de la planta no es adecuada para cubrir las necesidades y demandas del cliente, resultando en pérdida de negocio. Riesgo de Brechas de Desempeño Es el riesgo de que un proceso de negocio no se desarrolle a nivel mundial debido a que las prácticas diseñadas en el proceso son inferiores. Cuando se comparan con los competidores o con los mejores de su clase, hay una brecha de desempeño desfavorable debido a la menor calidad, costos más elevados, o ciclos más largos. Cuando los clientes descubren las alternativas otorgadas por los competidores, dejan de comprar los productos de la compañía. Riesgo de Tiempo de Ciclo Es el riesgo de que el tiempo transcurrido entre el comienzo y la terminación de un proceso de negocio (o actividad dentro de un proceso) sea demasiado largo debido a etapas repetitivas, innecesarias e irrelevantes. El tiempo de ciclo puede medirse para todas las operaciones por ejemplo: orden de recepción, producción, despacho, diseño de producto, etc. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO EI riesgo de tiempo de ciclo tiene diversas formas. Por ejemplo: • Si los competidores utilizan el tiempo como un arma estratégica pueden ser una gran amenaza si alteran significativamente la estructura de costo de la cadena de valor para el usuario final. EI tiempo total del ciclo reduce la necesidad de inmovilizar fondos, liberando los fondos para aumentar otras oportunidades. Por ejemplo: − Reduciendo el tiempo del ciclo del diseño y desarrollo de producto a la mitad o más, se duplicará Ia productividad de las inversiones en investigación y desarrollo y abrir nuevas puertas para oportunidades en el mercado. − Una compañía que pasa a utilizar máquinas y facilidades más grandes para lograr una mejor economía en los costos puede no estar en condiciones de competir con competidores basados en el tiempo que han reducido sus ciclos de producción utilizando máquinas más pequeñas y tamaños de órdenes más pequeños y que son optimizados para cumplir con las demandas del mercado más que para lograr la utilización total de la capacidad. El riesgo de cumplimiento puede derivar en un incumplimiento de las leyes y regulaciones a nivel internacional, del país, del estado o locales aplicables a los procesos de negocio. También puede aumentar la exposición al riesgo de integridad (ver “Riesgo de Integridad") u ocurrir como resultado del riesgo de empowerment (ver "Empowerrnent Risk”). Riesgo de Cumplimientos de normas regulatorias El riesgo por incumplimiento de las normas regulatorias surge de la falta de cumplimiento de las leyes o normas que se aplican en el ámbito internacional, nacional o estatal a las entidades depositarias y a sus procesos de negocios. El riesgo también surge en situaciones en las cuales las leyes o normas que regulan ciertos productos o actividades de los bancos o de los clientes de los bancos sean ambiguas o no probadas. El riesgo por incumplimiento de normas regulatorias expone a la entidad depositaria a sanciones y multas que pueden causar que la misma pierda reputación, que se reduzca el valor de sus franquicias o que se vean limitadas sus oportunidades de negocios o potencial de expansión. Riesgo de Interrupción del Negocio La capacidad de la compañía para continuar con sus operaciones y procesos críticos puede depender altamente de la disponibilidad de ciertas materias primas, tecnologías de información, ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO mano de obra calificada y otros recursos. Si las materias primas, la gente con la experiencia y habilidades necesarias y otros recursos críticos no están disponibles, o si los sistemas críticos no funcionan, se dificultará la continuidad de las operaciones de la compañía. La interrupción del negocio puede originarse en accidentes, factores climáticos, huelgas de trabajo y sabotajes. resultando en clientes insatisfechos y pérdida de ventas, utilidades y posición competitiva. La interrupción del negocio originada, en la pérdida de los sistemas de información críticos se describe como "Riesgo de Disponibilidad" bajo "Information Processing/Technology Risk". Riesgo de Defectos en el Producto/Servicio Las operaciones de la compañía crean el riesgo de que los clientes reciban productos defectuosos o servicios incompletos. Estos defectos generalmente se manifiestan a través de quejas del cliente, reclamos por garantía, reparaciones, devoluciones, otros reclamos, reemplazos, descuentos especiales (originados en defectos del producto/servicio), reclamos por responsabilidad de producto y litigios. Estos hechos pueden afectar significativamente la reputación de la compañía, sus ventas futuras y su participación en el mercado. Riesgos de Salud y Seguridad Los riesgos de salud y seguridad de los trabajadores son importantes si no se controlan porque exponen a la compañía a potenciales indemnizaciones significativas a los empleados. La normativa sobre indemnizaciones a empleados, que varían de un país a otro, pueden provocar pérdidas financieras importantes si las operaciones de la compañía no cumplen estrictamente con las leyes. Los costos asociados con accidentes y enfermedades industriales han aumentado dramáticamente desde 1970 y han tenido un gran impacto en los empleados, sus familias y amigos, y otros compañeros de trabajo. La publicidad negativa de los costos humanos visibles y otros costos asociados con problemas de salud y seguridad también disminuyen la reputación del empleador (patrón). Las firmas y sus gerentes pueden llegar a ser criminalmente culpables por la falta de seguridad en el ambiente de trabajo de sus empleados. Riesgo de Marca/Desgaste de la Marca ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO EI riesgo de que una marca pierda su valor a través del tiempo en el negocio para crear y mantener la demanda de sus productos y servicios. Una marca es una palabra, símbolo o emblema - o cualquier combinación entre ellos - que identifica a un producto o servicio y lo distingue de otros productos o servicios de la competencia. Las marcas incluyen: • Nombres de marcas que identifican los productos (por ej., Kodak); • Marcas de servicio que identifican servicios (por ej. American Express); y • Marcas de certificación que identifican bienes o servicios que cumplen con ciertas calificaciones (por ej., la marca "Pure Wool" utilizada en USA). Las marcas estimulan a los productores y a los prestadores de servicio a producir o desarrollar nuevos y mejores productos. Son propiedades valorables cuando ayudan a los consumidores a elegir y a identificar rápidamente los mejores bienes y servicios. Cuando ya no sirven para este propósito pierden su valor. El desgaste del valor de la marca puede ocurrir a causa de: • Baja calidad del producto. • Servicio inferior, • Utilización genérica, por ej., si una marca en particular se utiliza masivamente como un término genérico, pueden perderse todos los derechos de uso de ese término como marca. La utilización genérica de una marca culmina con la pérdida de su asociación distintiva con los productos de una compañía y se convierte en sinónimo de todos los productos de su clase. EI éxito de una marca en particular puede estimular su mala utilización que, en consecuencia, puede desgastar lentamente su status como marca. La última consecuencia es la pérdida de la marca. Por ejemplo, muchas palabras descriptivas y familiares actuales fueron alguna vez marcas válidas aspirina. corn flakcs, escalator, etc. Las mismas fueron declaradas de uso genérico por las cortes/juzgados. La ironía es que, mientras que desde un punto de vista de marketing, cada compañía quiere que su marca sea el nombre que el consumidor piense cuando quiere algo, legalmente puede ser un desastre. La mala utilización repetitiva de una marca en un medio, en publicidad o por el público en el tiempo desgastará los derechos de la compañía sobre la marca. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO FINANCIAL RISK El “Process Risk” en un contexto financiero surge cuando las políticas y los procedimientos no controlan adecuadamente la exposición a los mercados financieros. El “Process Risk” puede causar pérdidas directas o costos de oportunidad debido, a que las operaciones financieras no sustentan los objetivos de negocio en forma efectiva.' Los riesgos financieros que deben ser administrados se clasifican en tres grandes categorías: • El Riesgo de Fijación de Precio incluye: − Riesgo de nivel de mercado o "spot price" (riesgo de tasa de interés, riesgo de patrimonio, riesgo de moneda y riesgo de commodity), y − Riesgo de instrumento financiero, (por ej., riesgo de la curva del beneficio, spread risk, riesgo de sensibilidad, riesgo de opción). • El Riesgo de liquidez se define como la imposibilidad de cumplir con las obligaciones de negocio en forma oportuna y a un costo razonable. Incluye el riesgo de cash flow, (imposibilidad de cumplir con las obligaciones) y el riesgo de mercado (imposibilidad de vender) • El Riesgo de Crédito incluye el riesgo de incumplimiento, riesgo, de cancelación, riesgo de concentración (emisor, industria, región, instrumento, etc.) y riesgo de garantía (o de mercado). PROCESS RISK FINANCIAL RISK PRECIO Tasa de Interés Moneda Patrimonio Mercancías Instrumentos Financieros LIQUIDEZ Cash Flow Costo de Oportunidad Concentración Cancelación Garantía ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO RIESGO DE PRECIO El riesgo de precio es la exposición de las utilidades (beneficios) o el patrimonio neto a cambios en los factores del mercado (por ej., tasas de interés, tipos de cambio) que afectan el ingreso, los gastos o los saldos del balance general. El riesgo de fijación de precio es normalmente administrado por la función de Tesorería, aunque esto puede variar de firma en firma. Por ejemplo, una compañía de seguros puede tener un departamento especializado en inversiones para administrar el riesgo de precio de los activos, mientras que una empresa productora de alimentos puede manejar el riesgo de fijación de precio de las commodities como parte de sus operaciones de compra. La exposición al riesgo de fijación de precio se evalúa normalmente en términos de: • Volatilidad - Es la medición de la probabilidad y magnitud de las fluctuaciones en los precios o valores de un periodo de tiempo a otro. Las medidas de volatilidad son herramientas para evaluar el impacto de los riesgos de mercado en el desempeño del negocio, (por ej., la sensibilidad del gasto por intereses a cambios en LIBOR). • Duración - Es el vencimiento promedio de una serie de flujos de fondos (capital y todos los pagos de intereses), y un estimado de la sensibilidad de estos flujos de fondos a cambios en los precios del mercado. Para entidades no financieras, la duración es típicamente utilizada como una herramienta para evaluar el riesgo asociado con la vida económica de los activos (ingresos) y pasivos (gastos). Por ejemplo, la duración puede ser utilizada para estimar el potencial impacto en el patrimonio de financiar los activos de largo plazo con deudas a corto o medio plazo. En general, el riesgo financiero aumenta con la duración, es decir, cuanto más lejos esté el pago de un bono, más volátil es su valor. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO La administración del riesgo de precio debe ser sensible a: • Riesgo de Derivados - Es el riesgo que un instrumento derivado no logre los objetivos de negocio de la gerencia. Por otro lado. un instrumento derivado que intente cubrir el riesgo, puede estar estructurado en forma inapropiada y crear una exposición especulativa. Alternativamente, en el ambiente actual, hay un alto riesgo de que los derivados no sean utilizados cuando su utilización mejoraría el rendimiento y/o protegería los flujos de fondos. • Riesgo de Modelo - Es la exposición a pérdidas como consecuencia de una medición errónea del riesgo de precio, particularmente para exposiciones comerciales o financieras que requieran modelos de simulación complejos, o para las que no hay precios de referencia disponibles. Los modelos financieros son solamente tan confiables como lo son las premisas que los sostienen. El riesgo de precio incluye el Riesgo de Nivel de Mercado y el Riesgo de Instrumento Financiero. El riesgo de Nivel de Mercado incluye al Riesgo de Tasa de Interés, Riesgo de Patrimonio, Riesgo de Moneda y Riesgo de Commodity. Riesgo de Tasa de Interés El riesgo de tasa de interés incluye: • EI riesgo asociado a que los ingresos se desvíen de los valores esperados debido a un cambio en las tasas de interés, provocando: − beneficios de inversión menores a los esperados, o − costos de endeudamiento o producción mayores a los esperados El riesgo de tasa de interés puede provocar la reducción de ingresos en valores absolutos, o un deterioro de la posición competitiva de la firma en su industria. • El riesgo de valoración asociado con el mantenimiento de instrumentos financieros de rentabilidad fija (por ej., inversión en activos o deuda) cuando los tipos de rendimiento del mercado cambian. Hay diferentes formas de riesgo de tasa de interés (por ej. riesgo base riesgo de la curva de rendimiento, spread risk. etc.) que se discuten bajo el epígrafe "Riesgo de Instrumentos Financieros". ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Los cambios en las tasas de interés pueden afectar negativamente al flujo de fondos de un negocio altamente endeudado. Riesgo de Moneda El riesgo de moneda es la exposición a fluctuaciones en los tipos de cambio, y puede surgir como consecuencia de: • Actividades de negocio u operaciones en mercados extranjeros • Inversiones en acciones que fueron emitidas por empresas extranjeras, o • Inversiones en acciones denominadas en moneda extranjera. La exposición al riesgo de moneda significa que la compañía está en una posición de experimentar un beneficio, económico o contable si el tipo de cambio se mueve en una dirección, o sufrir una pérdida económica o contable si el tipo de cambio se mueve en otra dirección. Los riesgos de moneda extranjera generalmente se clasifican en riesgos económicos, transaccionales o de traslación: • Riesgo Económico - Es la exposición a la moneda asociada con futuros flujos de fondos, incluyendo: • Riesgo Estratégico o Competitivo - La posición en la que el perfil de moneda de la firma la coloca en una porción competitiva favorable o desfavorable en el caso de cambios significativos en los tipos de cambio. La exposición estratégica puede exceder sustancialmente el volumen de transacciones conocidas, y puede relacionarse con monedas en las que la firma no tiene una exposición directa de sus flujos de fondos. Para evaluar el riesgo estratégico es necesario examinar un amplio rango, de prácticas competitivas. Incluyendo el número de compradores y vendedores en la industria, la moneda funcional de los competidores de la industria, la sensibilidad de los precios a los cambios en los costos de los inputs la demanda del mercado. Ejemplos de exposición estratégica incluyen: ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO − Una compañía de U.K. que exporta sus productos a México puede experimentar una disminución en sus ventas o ganancias si el peso se debilita; − Una compañía productora nacional en USA que tiene un principal competidor que importa desde Japón está expuesta a una subida en la relación yen/dólar (aún cuando la compañía no tenga flujos de fondos en dicha moneda); − Un productor de USA que vende solamente en el mercado local, pero que utiliza materias primas importadas de Alemania, puede ver su rentabilidad adversamente afectada por un fortalecimiento del marco; y − Una subsidiaria de una compañía americana domiciliada en la India puede ver su posición competitiva afectada si los cambios en el tipo de cambio llevan a una inflación local aumentando los costos laborales. La administración de los riesgos estratégicos, en una porción significativa, recae en los gerentes operativos que determinen la moneda de facturación y fijación de precios, y en quienes negocien las cláusulas de variación de la moneda en los contratos con los clientes. − Riesgo Monetario Neto - La exposición a resultados positivos o negativos sobre los activos o pasivos monetarios de operaciones con el exterior que son denominadas en una moneda distinta de la moneda funcional de la operación (por ejemplo deuda en dólares mantenida por una Subsidiaria francesa). La exposición monetaria neta puede tener consecuencias impositivas en el país extranjero, como así también consecuencias en el flujo de fondos si los activos o pasivos son convertidos a la moneda local. • Riesgo Transaccional - Es la exposición de flujos de fondos específicos a las variaciones en los tipos de cambio. Cuanto más grande sea la exposición, mayor será el riesgo de variaciones desfavorables en la moneda. El riesgo transaccional incluye: − Riesgo de Compromisos de la Firma (incluyendo dividendos) - Es la exposición que existe entre la fecha de un compromiso contractual en moneda extranjera y su fecha de cancelación. Por ejemplo, un compromiso contractual puede requerir el pago de una transacción en una moneda extranjera a una fecha futura, determinada o indeterminada. La exposición transaccional son los efectos de las variaciones de la moneda en los compromisos pendientes de la firma. Este riesgo también incluye las transferencias anticipadas de fondos más allá del futuro previsible (generalmente dentro de los próximos 12-18 meses) de una subsidiaria, sucursal o unidad operativa operando en un país extranjero, que crea exposición a la moneda tanto para la compañía remitente como para la compañía matriz. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO − Riesgo de Presupuesto - Es la exposición a pérdidas como resultado de las variaciones de los tipos de cambio distintos a las premisas asumidas en el plan de negocio de la corporación, − Riesgo de Cash Flow - Exposición a cambios en el cash flow como consecuencia de impuestos extranjeros sobre los ingresos en moneda extranjera que no está reflejada en las ganancias de la firma local o en la moneda de informe. • Riesgo de Traslación - Es la exposición a efectos adversos en los estados financieros como resultado de fluctuaciones en la moneda. El método de traslación de los estados financieros en moneda extranjera a la moneda de informe puede afectar significativamente el margen neto, la posición neta de activos y pasivos, y el patrimonio. Riesgo de Patrimonio EI riesgo de patrimonio es la exposición a fluctuaciones en el flujo de ingresos y/o en el valor del patrimonio en una sociedad. El riesgo de patrimonio puede surgir corno consecuencia de: • Inversiones en acciones de una compañía pública (que cotiza en bolsa), incluyendo participaciones en una cartera de acciones. • Inversiones en entidades privadas • Mantenimiento de inversiones en deuda convertible en acciones • Ofertas de ventas de acciones de una compañía; y • Programas de adquisición de compañías que están relacionadas con los precios de las acciones. Riesgo de Commodity Debido a que los commodities son, en un punto límite, un sustituto del dinero, el riesgo de precio de commodity generalmente es considerado como un riesgo de mercado financiero (por ej., una institución financiera o una compañía de inversión que elige invertir en futuros de oro u opciones para implementar una estrategia diversificada que le permita administrar el riesgo de inversión). Desde el punto de vista de una firma productora, es más adecuado considerarlo como un riesgo operacional. Desde este punto de vista, el riesgo de commodity es una exposición a las variaciones en los precios de los materiales o productos basados en commodities (por ej., oro, energía, cobre, café). El riesgo de commodity puede provocar: ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO • Reducción de las ganancias en términos absolutos (por ej., precios de venta que no cubren los costos de producción); • Ganancias por debajo de lo presupuestado o proyectado debido a precios de venta por debajo de lo esperado o costos de inputs por encima de lo esperado; • Pérdida de valor en los inventarios; • Deterioro de la posición competitiva de la firma en la industria (sector); y • Un desgaste en el valor de los activos fijos cuyo valor se basa en el valor actual de los ingresos futuros de un activo (por ej., una reducción de los precios del gas reducirá el precio de mercado de las instalaciones de producción de gas). Ejemplos de riesgos de commodity incluyen: • La exposición que se crea cuando el gerente de logística de embarque acuerda una cláusula de ajuste basada en el precio del combustible o fija su precio. Estas decisiones generalmente se basan en una visión general de los riesgos de energía y otros commodities de la organización, como así también de las fuentes de abastecimiento de los competidores. Si la toma de decisiones se fragmenta, el riesgo de commodity aumenta. • Variaciones en los costos del cobre o del aluminio pueden alterar significativamente el costo de producción de los productos de consumo (por ej., equipos de automóviles, pantallas y puertas). Los productores que dependen de materias primas basadas en commodities pueden protegerse a través de la acumulación de stock de metales que son críticos para sus operaciones, entrando en contratos de compra a precio fijo con los proveedores, o a través de compras de futuros y opciones. Mientras que es probable que el productor incurra, en ambos casos, en los costos de almacenaje y de interés, la decisión adecuada depende de la tolerancia de la firma a la volatilidad del precio, como también a la voluntad de perderse los beneficios de variaciones favorables en los precios. • Un productor de petróleo crudo quiere fijar el precio que recibe por los productos de petróleo para los próximos cinco años y su producción mensual promedio, es de 8.000 barriles. AI mismo tiempo, una refinería de petróleo y productora de productos químicos quiere fijar el precio que paga por el petróleo por los próximos cinco años, basado en un requerimiento mensual de 12.000 barriles. Para obtener los resultados deseados, cada uno deberá contratar un swap con un swap dealer, que esté deseando mantener en el mercado un riesgo diferencial de 4.000 barriles. En este caso, tanto el productor de crudo como la refinería continúan normalmente sus transacciones mensuales en los mercados de efectivo. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Riesgo de Instrumentos Financieros El riesgo del mercado financiero puede variar dependiendo del segmento particular del mercado actual el inversor de un instrumento financiero está expuesto, o en la forma en la que la exposición se estructura. Estos riesgos incluyen: • Riesgo de Exposición Anticipada - Es la exposición financiera asociada con los hechos futuros que son altamente probables pero no contractuales por ejemplo: − El impacto de las variaciones en los tipos de cambio sobre los flujos de fondos que son altamente ciertos pero para los cuales no existen compromisos contractuales establecidos (por ejemplo, exportaciones presupuestadas o utilidad/beneficio de una unidad de negocio operando en un país extranjero). Los productores o consumidores de productos basados en commodities (por ejemplo: petróleo o cobre donde los volúmenes de producción son conocidos con bastante anticipación) o productos para los cuales las estadísticas de ventas están claramente establecidas (por ejemplo: cosméticos) son las exposiciones típicas, y − • Las tasas de interés asociadas a préstamos o inversiones futuras. Riesgo de Curva del Beneficio/Forma del Beneficio - La curva del beneficio describe la relación entre los beneficios y los plazos de vencimiento de los instrumentos financieros. EI riesgo de la curva de beneficios y riesgo de forma del beneficio es el riesgo de que la pendiente de la curva se desvíe significativamente de ]as expectativas que la firma planificó en su momento en sus estrategias financieras. Ejemplos del riesgo de la curva de beneficio incluye: − Un aumento pronunciado en el costo de las operaciones de cobertura con forward de divisas (forward currency hedges) debido a aumentos en la tasa de interés de un año, − La imposibilidad de recuperar costos de financiación más elevados de lo esperado en la fijación de los precios de los productos si los ciclos de producción y de fijación de precios difieren de los ciclos de flujo de fondos (por ej., el ciclo normal de producciones de un mes con precios de ventas ajustados mensualmente, mientras que el inventario es financiado con pagarés a seis meses). • Riesgo de Base o Spread Risk - Es la exposición a cambios en el diferencial precio/beneficio entre dos mercados o instrumentos financieros (por ej., un cambio en la prima de riesgo de un bono corporativo relativo, a bonos del tesoro de mismo vencimiento o entre dos índices de interés variable). ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO En un ambiente corporativo, el riesgo de base generalmente, se refiere al riesgo financiero residual que queda después de realizar una cobertura financiera. Por ejemplo, en el caso de tasas de interés swap, la base es el diferencial entre dos índices de tasa variable. El riesgo de base es el riesgo de que la fluctuación entre los dos índices sea menor que si hubiera sido perfectamente semejante. Así, una compañía puede convertir una deuda de tasa variable a tasa fija; el riesgo de base existe si el swap paga el LIBOR, mientras que la estrategia de financiación de la compañía se basa en una tasa U.S. CP. • Riesgo de Opción (también conocido como Riesgo Contingente o "At-Bid Risk") - Es la exposición a cambios discontinuos en los flujos de fondos o ingresos como resultado de contratos de opción, los cuales pueden estar incluidos en otros instrumentos financieros, o adquiridos independientemente. El riesgo de opción puede asociarse con: − Los ofrecimientos de entregar o comprar bienes comerciales o prestar servicios. La exposición existe entre el tiempo que la cotización del ofrecimiento se realiza hasta el tiempo que la misma es aceptada/rechazada. Cuanto más largo sea el plazo de cotización para solicitar un servicio en moneda extranjera o colocar las órdenes de compra pendientes, mayor será el riesgo de variaciones desfavorables en los precios. − Los contratos de compra o venta de instrumentos financieros o monedas bajo condiciones especificas. Los riesgos de opciones financieras incluyen: (1) Delta - La sensibilidad del precio de una opción al cambio en el precio o beneficio sobre el activo financiero en el cual se basa. (2) Gamma - La tasa de cambio en el precio de la opción dado un cambio en delta. (3) Vega - EI cambio en el precio de una opción dado un cambio en la volatilidad del precio del activo en el cual se basa. (4) Theta - EI cambio en el precio de una opción dado un cambio en el tiempo de vencimiento. • Time Lag Risk - Es la exposición a cambios en el precio desde el momento en que se toma la decisión de invertir/pedir/comprar/vender y en el que se ejecuta la transacción. • Riesgo de Reinversión/Refinanciación - Es la exposición a cambios en el nivel general de las tasas de interés como resultado de descoordinación en el tiempo en que los activos y pasivos son financiados, es decir, los cambios en el nivel general de precios y beneficios entre el ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO momento de la inversión inicial hasta la fecha en la que los flujos de fondos de las inversiones vencen para ser reinvertidas. Si la tasa de interés o los beneficios por dividendos caen, la rentabilidad a largo plazo de la reinversión también caerá. Surgirá una pérdida cuando se pierden oportunidades porque el capital está comprometido en inversiones de rendimiento fijo bajo, o cuando los inversores no pueden cubrir los rendimientos esperadas de los bonos. Por ejemplo: − Una firma que refleja sus costos de financiación en el precio de los productos tendrá un riesgo de refinanciación si el ciclo de financiación difiere de su ciclo de producción. − Asumamos que años atrás un inversor realizó una inversión a largo plazo en bonos con un beneficio del 7%. Actualmente, las tasas de interés están cerca del 9%. El inversor tiene dos alternativas: vender los bonos a un valor descontado y reconocer la pérdida, o mantener el bono y perder las oportunidades de mayores retornos en el mercado actual. En ambos casos, el inversor incurre en una pérdida. − Cuando al vencimiento de un bono las tasas son más bajas que en el pasado, es poco probable que la compañía pueda encontrar una inversión segura comparable con las características de rendimiento del bono que vence. − Cuando una compañía recibe pagos de intereses periódicos, no puede reinvertirlos a una tasa comparable. Esta, por lo tanto, pierde los beneficios considerados asociados con la inversión. • Riesgo de Renegociación Financiera - El riesgo de renegociación financiera describe la exposición, en un determinado momento, a un cambio adverso en el beneficio/precios disponibles en un mercado. EI riesgo de renegociación generalmente aparece cuando un deudor o un inversor deben repactar el precio de un flujo de fondos significativo en una sola fecha o en un plazo muy corto. Una estrategia de cobertura en la cual todos los swaps se actualizan el mismo día de cada trimestre, deja a la firma vulnerable ante los cambios en las tasas debido a noticias financieras o del mercado, o ante la "avaricia" del dealer. EI riesgo de renegociación financiera aumenta significativamente si la posición de actualización de precio tiene un efecto material en el ingreso o gasto. Las compañías que implementan estrategias de cobertura encerrándose en posiciones masivas que se renegocian en plazos ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO predecibles, pueden estar expuestas a que los traders aprendan sus estrategias y utilicen ese conocimiento para ganar a costa de las mismas. • Riesgo de Derivative - El riesgo de que un instrumento derivative no logre los objetivos de negocio, de la gerencia debido a: − Se espera que sea una cobertura, pero no está estructurado adecuadamente y genera una posición especulativa. − No se utiliza cuando su uso hubiera mejorado los beneficios y/o los flujos de fondos proyectados. Esta situación surge cuando una exposición a la moneda, tasa de interés, commodity o patrimonio debe cubrirse pero se deja expuesta, generando pérdidas significativas para la compañía. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO RIESGO DE LIQUIDEZ El riesgo de liquidez es estar expuesto a pérdidas como resultado de la incapacidad de cumplir con las obligaciones de cash-flow en forma oportuna y en términos de coste-efectividad. Hay tres tipos de riesgo de liquidez - Riesgo de Cash-Flow, Riesgo de Coste Oportunidad y Riesgo de Concentración: El riesgo de liquidez a menudo surge como resultado de una cartera de inversiones con un cashflow y/o grado de madurez que difiere del cash-flow señalado por los requerimientos operativos de la compañía y otras obligaciones. Las necesidades operativas, cumplimiento con las deudas, inversiones en capital y otros movimientos de liquidez pueden motivar liquidaciones anticipadas de activos, que pueden llevar a reducir los rendimientos y/o a beneficios o pérdidas no planeadas. Riesgo de Cash-Flow Pérdidas reales que se producen como resultado de la incapacidad de financiar las obligaciones operacionales y financieras de negocio. Por ejemplo: • Un banco no será capaz de cumplir sus necesidades de fondos netos. • Cambios en los tipos de interés y condiciones económicas pueden afectar negativamente a un negocio que esté altamente endeudado, incrementando el riesgo de liquidez. Riesgo de Costo de Oportunidad La utilización de los fondos de forma que lleve a pérdida de valor económico, incluyen: • Pérdidas de valor en el tiempo por retrasos en la facturación, procesamiento de los pedidos, cobros, procesamiento de reclamaciones, inversiones, etc. Las consecuencias de estos retrasos podrían ser que algunas filiales fueran prestatarias mientras otras están invirtiendo. • Costos de transacción debidos a una gestión inapropiada o ineficiente de cash-flow (es decir la necesidad de tomar prestada financiación a elevado costo o a vender valores con pérdidas por un error al no haber hecho coincidir el vencimiento, de las inversiones a corto plazo con las fechas de las obligaciones operacionales o financieras). ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO • Otras causas de pérdida de valor, incluyen la indiferencia ante estrategias que mejoran el rendimiento y ante la administración ineficiente de la curva de rendimiento. El riesgo al que se exponen las ganancias cuando los fondos se invierten de forma que no generan suficientes rendimientos para cubrir costos, beneficios y riesgos. Las pérdidas en la inversión se producen por la falta de obtención de un adecuado rendimiento para un determinado nivel de riesgo. La pérdida de valor se produce cuando el dinero desaparece del sistema financiero. Riesgo de Concentración Es la exposición a pérdidas como resultado de la incapacidad de liquidar posiciones abiertas en un mercado "estrecho". Ejemplo de ello son: • Utilización de productos financieros en los que la empresa tiene una capacidad dominante (es decir, una excesiva participación en posiciones abiertas en un contrato de commodity en un mes determinado), por lo que estas posiciones abiertas no se pueden liquidar sin cambiar de mercado. • Utilización de productos financieros donde hay condiciones de mercado poco corrientes (ej. cotizaciones amplias que crean incertidumbre al compararlas con el valor verdadero). • Utilización de productos financieros "en propiedad" que solo pueden cerrarse mediante la compensación de los contratos con el vendedor, es decir, puede ser difícil encontrar una contraparte que esté dispuesta a llegar a un acuerdo, oportunamente, en una determinada transacción; y • La confianza excesiva en un pequeño número de fuentes de financiación que pueden dejar a la empresa vulnerable ante una fijación de precios agresiva o inhábil para obtener fondos cuando lo necesite. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO RIESGO DE CREDITO El riesgo de crédito describe la exposición a una pérdida real o el costo de oportunidad como consecuencia del incumplimiento (u otro fallo de realización) por una entidad (el deudor) económica o legal con la que la compañía realiza negocios. Para la mayoría de las empresas, no financieras, la administración del riesgo de crédito se dirige normalmente por las necesidades de control sobre la base de clientes. Este riesgo es parte de la función de suministrar bienes y servicios antes de recibir el pago y/o permitir, por cuestiones de política de la empresa, retrasos en el pago de bienes y servicios. La gestión del crédito de la compañía y política de cobro deberían equilibrar apropiadamente el diferencial entre (a) maximizar el volumen de ventas y (b) minimizar las pérdidas de cuentas incobrables. Si este proceso de evaluar el riesgo de crédito no funciona eficientemente, puede limitar el crecimiento del negocio o crear riesgos de crédito inaceptables, incluyendo costos excesivos de descuentos y gastos de cobro. El riesgo de crédito incluye el Riesgo de Incumplimiento, el Riesgo de Cancelación, Riesgo de Concentración (distribuidor, industria, región, instrumento, etc.) y Riesgo de Garantía (o de mercado). Riesgo de Incumplimiento Es el riesgo, de que la contraparte en una transacción financiera no sea capaz de cumplir con sus obligaciones, ej: • Riesgo de Entrega -- una entidad que ha recibido un suministro de bienes y servicios incumple en el pago y/o va a la quiebra. • Riesgo del Emisor - una entidad que ha emitido obligaciones de deuda basándose en un exceso de operaciones o en una cartera de fondo de pensiones incurre en falta de pago al vencimiento de la deuda y/o va a la quiebra. • Riesgo de Contraparte o de Mercado - Una contraparte en un contrato de trading (es decir, swaps o contratos forward de commodity) es incapaz de cumplir sus obligaciones respecto a un contrato en el cual existe un valor positivo para la parte que cumple. Por ejemplo, la contraparte está de acuerdo en hacer pagos periódicos a un dealer de acuerdo, con un contrato swap. El contrato especifica las monedas a intercambiar (que pueden ser o no ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO las mismas), el tipo de interés aplicable para cada uno (que puede ser fijo o variable), amortización de pagos a realizar, y otras provisiones definiendo las relaciones entre las partes. Los dealers de swaps están obligados independientemente con todas las otras contrapartes, es decir, a pesar de que un dealer pueda ser considerado como un intermediario entre usuarios finales, sus obligaciones con cada usuario (contraparte) final es independiente de sus obligaciones con los otros. La mayoría de las compañías industriales utilizan los derivados para cubrir algunos riesgos de negocio que no quieren asumir (como riesgo de incremento del tipo de interés o la caída del valor de una moneda). El riesgo se pasa al dealer, quien lo puede volver a cubrir con un contrato distinto con otro dealer, un usuario final, o un especulador que quiera el riesgo. Estas otras partes son normalmente bancos pequeños y prósperos, otras compañías industriales, aseguradores y otras empresas de servicios financieros, fondos de pensiones o municipalidades. Si la contraparte en un contrato falla en la realización de sus obligaciones como estaban definidas en el contrato, el dealer debe buscar un swap de reposición en términos idénticos a los del swap incumplido. Si el dealer no es capaz de encontrar una reposición, se incurre en una pérdida financiera por incumplimiento. Debido al tamaño de la mayoría de los dealers (ej., los bancos comerciales grandes y las empresas de valores importantes), la mayoría de los usuarios finales consideran el riesgo de incumplimiento del dealer insignificante. Sin embargo, una crisis en un dealer importante podría desatar una alteración en el mercado que podría afectar negativamente a todos los participantes en el mercado. Ver el "Riesgo Sistemático" bajo el "Riesgo del Mercado Financiero". Riesgo de Concentración La exposición a pérdidas excesivas como resultado de un énfasis inadecuado en el volumen de ventas o ingresos en un solo cliente, industria, u otro segmento económico. Riesgo de Cancelación En un contexto financiero, el riesgo de cancelación (pago) también llamado "riesgo de entrega" surge cuando la contraparte financiera realiza sus pagos a cada una de las otras partes en diferentes momentos o en distintas localizaciones. La primera parte que realiza el pago está expuesta a que la ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO última parte que paga incumpla debido a retrasos, fallos en el sistema. En esencia, una parte cumple con sus obligaciones contractuales, pero no ha recibido todavía valor de su contraparte. EI riesgo de cancelación se produce normalmente a corto plazo (menos de 24 horas). Por ejemplo, los mercados de capital japoneses cierran el día antes de que abran los mercados de USA, produciendo así un riesgo de entrega para la contraparte de USA en operaciones de swap a la hora del intercambio del capital nominal. El riesgo de cancelación pasa a ser riesgo, de incumplimiento si la otra parte incumple durante el ciclo establecido. En un contexto no financiero, el riesgo de cancelación describe el riesgo de costos no esperados y/o inconvenientes administrativos asociados con el incumplimiento, en el lugar y tiempo correctos. Riesgo de Garantía Este es el riesgo de que el valor de un bien dado en garantía para un préstamo, documentos a cobrar o compromisos de actuación se pierda parcial o totalmente. Por ejemplo: • Los descensos importantes de los valores en propiedad y de la actividad económica en áreas donde una institución depositaria ha concentrado su cartera de préstamos pueden suponer riesgos importantes. • La garantía provista por una cuenta o documento a cobrar disminuye su valor o se pierde por su uso no autorizado. • La garantía basada en terceras partes disminuye o pierde su valor porque esa tercera parte se va del negocio. • La garantía provista por una contraparte sobre la cantidad neta por la cual un swap con otra parte está “out-of-the-money". ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO PROCESS RISK EMPOWERMENT RISK Liderazgo Autoridad/Limites Outsourcing Incentivos de Desempeño Disposición al cambio Comunicaciones Riesgo de Liderazgo El riesgo de que las personas responsables de los procesos importantes de negocio no realicen las cosas correctas eficazmente. Consecuencias de la falta de liderazgo son: • Falta de atención al cliente, que se deriva de procesos de negocio que no responden a los cambios rápidos en los requerimientos del cliente y no satisfacen las necesidades del cliente eficazmente. • Dejar de apreciar las necesidades y contribuciones de algunos accionistas de la organización. • No tener un sentido claro de dirección o visión ("posibilidades futuras") que motiven a la gente clave a unirse y a asumir riesgos para: − Aprender y mantenerse al ritmo de los cambios, − Desarrollar nuevas habilidades y competencias, − Adquirir nuevos conocimientos, − Buscar y encontrar oportunidades de nuevos mercados y productos, ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO − Agregar a los productos y servicios existentes un valor nuevo y diferente, y − Mejora continua de los procesos de negocio. • Falta de credibilidad en la gerencia y de confianza en la organización. • Los empleados no se sienten considerados, falta de inspiración y entusiasmo, no se sienten autorizados para actuar, no saben realmente que se espera de ellos, están dispuestos a aceptar el "negocio como algo normal" y tienen miedo de ser objeto de represalias o castigos si detectan un asunto difícil o problemático. • Las personas dentro de la organización no son capaces de formar equipos de trabajo multifuncionales. • La organización no es suficientemente innovadora como para alcanzar a la competencia. • Los empleados están faltos de habilidades, entrenamiento, recursos y confianza para tomar decisiones cuando no están definidas claramente las opciones y existen consecuencias importantes si (1) no hacen nada, (2) toman una decisión ineficaz, (3) no son capaces de explicar la racionalidad en sus decisiones. El liderazgo es fundamental para gestionar con éxito el riesgo de negocio, gestionar el cambio, rediseñar los procesos de negocio y mejorar continuamente el proceso de negocio. Riesgo de Autoridad/Límites El riesgo de que las personas hagan cosas que se supone no deberían hacer o bien que fallen en cosas que deberían hacer. Por ejemplo: • Ni la alta gerencia, ni el Comité de Dirección (1) aprueban una transacción o decisión; (2) especifican el proceso y criterio para la aprobación de las transacciones o decisiones; (3) explicarán o podrán explicar públicamente las razones que hay detrás de una decisión crítica. • En la definición de las responsabilidades y autoridad de los empleados clave, la gerencia no clarifica los términos o fronteras de aquellas responsabilidades y autoridad, es decir, lo que pueden hacer o lo que no deberían hacer. Las fronteras y limites claros, definidos de acuerdo con la estrategia del riesgo de negocio de la gerencia o política prudente de negocio, son importantes porque fijan una dirección, restringen o evitan actividades de negocio no controlables, fijan el limite del riesgo a asumir no aceptado y las pérdidas en áreas con alto riesgo, clarifican el criterio de autorización de la gerencia y definen los parámetros de la conducta corporativa. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO • Con respecto a las áreas en las que se asumen riesgos importantes o unos pocos especialistas se encargan de activos importantes (ej. derivados), la gerencia no entiende quién está haciendo qué, con qué frecuencia y por que, la extensión y magnitud de los riesgos que el experto asume a favor de la compañía. • A la gerencia y empleados se les da responsabilidades que son inconsistentes con los objetivos de la compañía y con las prácticas de administración estratégica y prudente del riesgo de negocio. • La gerencia v empleados no creen en su poder para actuar, así que no actúan en situaciones claramente necesarias. En estas circunstancias el miedo y la falta de confianza se pueden .extender en la organización. El Riesgo Limite aparece cuando la gerencia y empleados exceden la frontera, de su autoridad o atribuciones. Cometen actuaciones no autorizadas, ilegales o no éticas o asumen riesgos de negocio no autorizados e inaceptables. Riesgo de Outsourcing Hay dos elementos de riesgo de outsourcing. Primero está el riesgo de que los que proveen un servicio desde fuera (es decir, Administradores de Terceras Partes (Third Party Administrators TPAs)) no trabajan dentro de sus límites definidos de autoridad y no actúan de una manera consistente con los valores, estrategias y objetivos de la compañía. Segundo, está el riesgo de que los procesos estratégicos de negocio llevados afuera (outsourced) conlleven la creación de competencia para la compañía que decide realizar el outsourcing. Por ejemplo: • TPAs pueden fijar o negociar reclamaciones, proveer de servicios de información tecnológica u otros servicios fuera de los límites fijados por la compañía. Puede haber un riesgo de que la autoridad de los TPAs se lleve a cabo pero no se documente o que los límites de autoridad del que provee el servicio no han sido, desde un principio, definidos correctamente. • La motivación o actividades de un TPA pueden no ser consistentes con los objetivos estratégicos de la compañía. El énfasis o la falta de énfasis en productos particulares, servicios o cualidades de la compañía de outsourcing puede limitar la efectividad de los TPA o minimizar el éxito de la compañía que decide realizar el outsourcing. • Si la compañía que decide realizar el outsourcing contrata a los TPA sin fijarse en el último eslabón de la cadena de valor del cliente, el riesgo de los TPA compitiendo por el negocio de la compañía se incrementa significativamente. Por ejemplo, un TPA provee de servicios de ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO reclamaciones a un agente de seguros sobre el negocio de indemnizaciones a los trabajadores. Por el suministro de este servicio crítico, el TPA podría convencer al cliente final de autoasegurarse y utilizar al TPA directamente para servir como mediador de las reclamaciones, con lo cual se elimina la función del agente de seguros. • El TPA y su staff no están sujetos a la misma conducta y estándares de comportamiento como lo están los empleados de la compañía de outsourcing. Los empleados del TPA no entienden o no están comprometidos con los mismos valores, misiones o estrategias que la compañía que decide realizar el outsourcing. Riesgo de Incentivos al Desempeño La gerencia y empleados son controlados por indicadores de actuación que generan incentivos para actuar de una forma que sea inconsistente con los objetivos, estrategias, estándares de ética de negocio de la compañía y prácticas prudentes de negocio. La gerencia y empleados no creen en los indicadores de actuación utilizados por la compañía porque no son realistas, comprensibles, determinados objetivamente o justificables. El sistema de incentivos en la organización no está integrado en el sistema de medición de la actuación. Como resultado, los empleados están (o perciben que están) recompensados de una forma que es inconsistente con los objetivos, estrategias, visión y valores de la organización. Riesgo de Disposición al Cambio Las personas de la organización no son capaces de poner en marcha las mejoras en los procesos y en el producto/servicio con suficiente rapidez para mantener el ritmo de los cambios en el mercado. Riesgo de Comunicaciones Las comunicaciones verticales (de arriba abajo y de abajo arriba) u horizontales (a través de funciones) entre la organización son inefectivas y derivan en mensajes que son inconsistentes con la responsabilidad autorizada o medidas establecidas. Como resultado, la gerencia y empleados: • Están confundidos sobre cuál es la misión, valores, objetivos y estrategias de la compañía. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO • No comunican hacia arriba lo que la alta gerencia necesita saber para estar en contacto con lo que realmente ocurre en el negocio. • No reciben orientación ni consejo de la alta gerencia por lo que se sienten faltos de apoyo y solitarios. • No tienen o no utilizan los programas de respuestas al empleado, tales como Teléfono de contacto, Línea de ayuda o Línea de Consejo, para obtener consejo y guía de un encargado responsable de la compañía antes de actuar. • No trabajan conjuntamente a través de distintas funciones para mejorar continuamente los procesos y satisfacer las necesidades del cliente. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO INFORMATION PROCESSING/TECHNOLOGY RISK PROCESS RISK INFORMATION PROCESSING/ TECHNOLOGY RISK Importancia Integridad Acceso Disponibilidad Infraestructura Riesgo de Importancia El riesgo de importancia es el riesgo de que la información no sea aplicable para los propósitos que ha sido recogida, mantenida y distribuida. Este riesgo está relacionado con la utilidad y oportunidad de la información que se crea o resume por un sistema informático. El riesgo de importancia va unido directamente con "el Riesgo de Información para la Toma de Decisiones" que es el riesgo asociado a no obtener "los datos/información correctos de la persona/proceso/sistema correcto en el tiempo correcto para poder tomar la decisión/medida adecuada". Este riesgo surge frecuentemente por un fallo en la comprensión en su totalidad de las necesidades de información y por una falta de atención en la oportunidad de los problemas. Riesgo de Integridad ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Este riesgo engloba todos los riesgos asociados con la autorización, integridad y exactitud de las transacciones según se ingresan en los sistemas informáticos desplegados por la organización y son procesados, resumidos e informados en esos sistemas. Estos riesgos son aplicables a todos y cada uno de los aspectos de un sistema informático utilizado como soporte a un proceso de negocio y están presentes en muchos lugares y distintos tiempos en los sistemas informáticos, sin embargo, se manifiestan principalmente en los siguientes componentes de un sistema informático: • Usuario de “Interface"- los riesgos de esta área generalmente se refieren a si existen restricciones adecuadas sobre los individuos que en una organización están autorizados a realizar funciones de negocio/sistemas basados en la necesidad de su trabajo y en la necesidad de lograr una segregación de funciones razonable. Otros riesgos en esta área están relacionados con la adecuación de controles preventivos y/o de detección que aseguren que solamente los datos válidos son introducidos en un sistema y que los datos estén completos. • Procesamiento- los riesgos en esta área generalmente se relacionan con la existencia o no de controles preventivos o de detección adecuados de requilibrio y reconciliación para asegurar que el proceso de datos se han completado y realizado a tiempo. Estos riesgos también abarcan a riesgos asociados con la exactitud e integridad de los informes (estén o no impresos) utilizados para resumir resultados y/o tomar decisiones de negocio. • Error de Procesamiento- los riesgos en esta área generalmente se relacionan a la existencia o no de adecuados procesos y otros sistemas que aseguren que todas las excepciones de entrada y procesamiento de datos que se capturen, sean corregidos adecuadamente y reprocesados exacta y adecuadamente. • "Interface" -los riesgos en esta área generalmente se relacionan con la existencia o no de controles adecuados, preventivos o de detección que aseguren que los datos que han sido procesados y/o resumidos sean transmitidos adecuadamente y completamente y procesados por otro sistema informático que se alimente de estos datos/información. • Gestión del Cambio- los riesgos de esta área pueden ser considerados generalmente como parte del Riesgo de Infraestructura, pero tienen un impacto significativo en los sistemas informáticos. Estos riesgos están relacionados con procesos inadecuados de gestión del cambio incluyendo tanto la involucración y entrenamiento del usuario como el proceso por el que los cambios de cualquier aspecto del sistema informático son comunicados e implementados. • Datos- los riesgos de esta área pueden ser considerados generalmente como parte de los Riesgos de Infraestructura pero tienen un impacto significativo en los sistemas informáticos. Estos riesgos están asociados a los controles de gestión de datos inadecuados que incluyen tanto la seguridad/integridad de los datos procesados como la gestión efectiva de las bases y estructuras de datos. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO La integridad se puede perder por errores en la programación (ej. información adecuada es procesada por programas incorrectos), errores de procesamiento (ej. las transacciones son procesadas incorrectamente más de una vez contra el mismo archivo maestro), o errores de gestión/proceso (ej. poca gestión del proceso de mantenimiento de los sistemas). Riesgo de Acceso EI riesgo de acceso incluye el riesgo de que el acceso a información (datos o programas) se haya concedido o rechazado inapropiadamente. información confidencial. Personas no autorizadas pueden tener acceso a Personal autorizado puede tener el acceso rechazado. EI riesgo de acceso es extensivo, es decir, afecta a información de cualquier tipo (ej. leer, copiar, etc.). El riesgo de acceso se centra en los riesgos asociados con accesos inapropiados a sistemas, datos o información. Engloba los riesgos de segregación de funciones inapropiadas, riesgos asociados con la integridad de los datos y bases de datos y riesgos asociados con la información confidencial, etc. EI riesgo de acceso puede ocurrir en cada uno o todos de los siguientes cinco niveles: • Redes - el mecanismo utilizado para conectar a usuarios con un entorno de procesamiento. EI riesgo de acceso en este área está generado por el riesgo de acceso inapropiado a la red en sí misma. • Entorno de Procesamiento. - el ordenador central donde se almacenan y procesan los sistemas y los datos relacionados. El riesgo de acceso en este área se genera por el riesgo de acceso inapropiado al entorno de procesamiento y a los programas y datos que están almacenados en ese entorno. • Sistema Informático - los programas que son utilizados por los usuarios para procesar la información que es importante para su proceso de negocio. EI riesgo de acceso en esta área está relacionado con una inadecuada segregación de funciones que podría ocurrir si el acceso al sistema estaba concedido a personas con necesidades no muy claramente definidas de negocio. Por ejemplo, pocas personas en una organización deberían requerir de acceso al sistema de autorización de transferencias. • Acceso Funcional (dentro de una aplicación) • Acceso al Nivel de Campo (dentro de una aplicación) Riesgo de Disponibilidad ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO EI riesgo de que la información no esté disponible cuando se necesite. Incluyen riesgos como pérdida de comunicación (ej., cables cortados, sistemas telefónicos en reparación, pérdida de satélite), pérdida de capacidad de procesamiento básicos (ej. eléctricas) y dificultades operacionales (ej. incendios, inundaciones, paradas roturas de la disketera, errores de operación). Las interrupciones de negocio pueden también surgir por desastres naturales, vandalismo, sabotaje y accidentes. EI riesgo de disponibilidad se centra en tres niveles diferentes de riesgo: • Riesgos que se pueden evitar mediante un seguimiento del desempeño y mediante sistemas activos de cobertura de los problemas antes de que ocurra. • Riesgos asociados con la interrupción de los sistemas a corto plazo donde las técnicas de renovación/recuperación se pueden utilizar para minimizar el alcance de la interrupción. • Riesgos asociados con desastres que causen roturas en el procesamiento de la información a largo plazo y que se centren en controles como backups y planes de contingencia. La capacidad de la compañía para continuar con sus operaciones y procesos críticos puede depender en gran medida de la disponibilidad de determinados sistemas de información. Si los sistemas críticos o importantes se vinieran abajo por un período no aceptable, la compañía podría experimentar dificultades en continuar con sus operaciones. Sistemas de información críticos e importantes que no están disponibles para determinadas operaciones pueden provocar pérdidas de ingresos, cash-flow y beneficios; pérdidas de ventajas competitivas; insatisfacción al cliente y pérdida de cuota de mercado; incremento de costes; pérdida de la moral de los empleados e incluso multas y sanciones. Riesgo de Infraestructura EI riesgo de que una organización no tenga una infraestructura efectiva de información tecnológica (ej. hardware, redes, software, personas y procesos) para apoyar efectivamente las necesidades actuales y futuras del negocio de una forma eficiente, efectiva en términos de costes y bien controlada. Estos riesgos están relacionados con una serie de procesos Información Tecnológica (IT) utilizados para definir, desarrollar, mantenerse y operar en un entorno de procesamiento de la información (ej., hardware informático, redes, etc.) y los sistemas de aplicación asociados (ej., atención al cliente, cuentas a pagar, etc.). Estos riesgos están considerados generalmente dentro del contexto del siguiente núcleo de los procesos I/T: ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO • Planificación de la Organización - el riesgo de que: − los planes de que la información tecnológica no esté integrada en los planes de negocio actuales y futuros provocando una toma de decisiones y una planificación inadecuadas, − el personal IT esté organizado inadecuadamente para satisfacer las necesidades de negocio y − • el personal IT esté entrenado inadecuadamente en la tecnología actual y futura. Definición y despliegue del sistema informático - el riesgo de que: − Los esfuerzos en definir las necesidades del usuario para nuevas soluciones de los sistemas provocan inefectivos e incompletos diseños y definiciones − Los diseños conceptuales no son adecuados provocando un conocimiento incompleto en las decisiones de "construir versus comprar” − Los esfuerzos en el desarrollo no están planificados o dirigidos provocando un esfuerzo desperdiciado, desbordamiento de costes importantes o posibles abandonos − los sistemas de compras o desarrollo no tienen los controles internos apropiados para satisfacer las necesidades de los usuarios del negocio − los esfuerzos en desarrollo no siguen un enfoque consistente para confirmar la satisfacción del usuario y la utilidad del sistema provocando soluciones al sistema que no funcionan o que no satisfacen las necesidades del negocio − Los cambios no probados o incluso inapropiados se realizan en el entomo de producción el cual lleva a una pérdida de la integridad y/o control del sistema, y − La implementación de esfuerzos no considera adecuadamente el entrenamiento del usuario y otros esfuerzos de cambios en la gerencia provocando una implementación ineficiente. • Seguridad Lógica y administración segura - EI riesgo de que un acceso inapropiado a los sistemas críticos, datos o transacciones (bien por personal de la compañía o de fuera) provoque la pérdida de integridad o bien de exposición/presentación de datos/información y/o mala utilización de información confidencial. • Operaciones con computadoras y redes - EI riesgo de que los ordenadores y/o redes no sean gestionadas eficientemente deriva en actuaciones o problemas de capacidad para los usuarios del negocio. EI riesgo de que los procesos críticos ejecutados por personal de computadoras y/o de redes operacionales, no se realicen de acuerdo con los procedimientos y los marcos de tiempo descriptos, provocando un procesamiento de la información incompleto o inexacto. • Gestión de los datos y bases de datos - El- riesgo de que los datos o bases de datos carezcan de la integridad necesaria para apoyar las decisiones de negocio o que los usuarios finales no ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO entiendan suficientemente los datos que apoyan sus necesidades de confección de informes o de toma de decisiones. • Recuperación de los negocios/datos centrales - El riesgo de que los sistemas, procesos y datos/información no puedan ser restablecidos en un tiempo adecuado después de una interrupción para apoyar las necesidades operacionales del negocio. La falta de efectividad y buen control de los procesos de negocio en cada una de estas áreas son generalmente la raíz principal de los riesgos de acceso, relevancia y disponibilidad (ver otros riesgos de procesamiento de la información/tecnológicos) y riesgos de integridad de los sistemas informáticos. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO INTEGRITY RISK PROCESS RISK INTEGRITY RISK Fraude de la Gerencia Fraude de los Empleados Actuaciones Ilegales Uso no Autorizado Reputación Riesgo de Fraude de la Gerencia La gerencia emite estados financieros engañosos que pretenden embaucar a los inversores públicos y a los auditores externos, o se involucran en favores, pagos de influencia y otros subterfugios para el beneficio de la compañía. Riesgo de Fraude de los Empleados Empleados, clientes o proveedores individualmente o en conjunto perpetran un fraude contra la compañía, provocando pérdidas, o usos no autorizados de activos físicos, financieros o de información. Existe también una potencial exposición a problemas legales, a publicidad negativa (situaciones vergonzosas) y a un impacto adverso en las operaciones (pérdida de la confianza de los clientes, proveedores o entidades financieras). ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Riesgo de Actuaciones Ilegales Gerentes y empleados individualmente o en conjunto, cometen actos ilegales poniendo a sus directores y ejecutivos en situaciones de riesgo como consecuencia de sus acciones. ej. encarcelamiento, multas, sanciones, suspensión del negocio (en un país, con una entidad concreta, con una clase específica de clientes o para un grupo específico de productos), pérdida de beneficios, pérdida de clientes y daños a la reputación. Riesgo de Uso no Autorizado • Los activos físicos y financieros de la compañía se utilizan por los empleados u otros, para propósitos no autorizados o no éticos. • La información y derechos de propiedad sobre los activos intangibles de la compañía (ej., diseños, procesos, listas de clientes, información y conocimiento, fórmulas y otros secretos del negocio) están amenazados por el espionaje industrial, provocando pérdidas de ventajas competitivas. Riesgo de Reputación EI riesgo de que la compañía pueda perder clientes, empleados clave o su habilidad para competir debido a percepciones de que no: • Trata bien a consumidores, proveedores y propietarios (accionistas), o • Sabe cómo manejar su negocio La pérdida de clientes significa la pérdida de futuros flujos de ingresos. La pérdida de los empleados significa la pérdida del talento, características y experiencia necesaria para llevar el negocio. La pérdida de proveedores significa la pérdida de las principales fuentes de materias primas y "commodities" necesarias para sustentar las operaciones. conduce en última instancia, a salir del negocio. La falta de habilidad para competir ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO INFORMATION FOR DECISION MAKING RISK El Information Decision Making Risk es el riesgo de que la información utilizada para soportar decisiones estratégicas, operacionales y financieras no sea relevante ni confiable. Gran parte de la toma de decisiones implican incidir sobre las medidas de desempeño con relación a los resultados de la industria, los procesos de negocio y el análisis financiero. Si las medidas no han sido alineadas con las estrategias de negocio o no son realistas, comprensibles o realizables, no centrarán a la gente en las cosas correctas y la motivarán a tomar decisiones que son inconsistentes con la estrategia. Si las medidas u otra información de negocio usada en la toma de decisiones no son confiables o relevantes, serán ignoradas o llevarán al comportamiento equivocado. OPERATIONAL DECISION MAKING RISK INFORMATION FOR DECISION-MAKING RISK OPERATIONAL Fijación de Precios Establecer Compromisos Medición del desempeño Alineación Informes Obligatorios Riesgo de Fijación de Precios Existen diversas modalidades de riesgo de fijación de precio: • El precio de la Compañía es superior a lo que los clientes están deseando pagar porque la estrategia de precios de la Compañía no está basada ni en estudios de mercado ni en otra información sobre los clientes obtenida sistemáticamente. • La fijación de los precios de la compañía para determinados productos, no cubre sus costos de producción y distribución debido a una inadecuada información sobre los mismos. • La compañía trata con clientes extranjeros, mantiene listas de precios o firma contratos a largo plazo y se expone a riesgos de moneda porque los gerentes de ventas no entienden estos riesgos cuando fijan los precios. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Riesgo de Establecer Compromisos La Compañía no tiene información que efectivamente le permita hacer un seguimiento de los acuerdos contractuales vigentes en un momento determinado del tiempo, para que las implicaciones financieras fruto de decisiones de entrar en nuevos acuerdos puedan ser consideradas apropiadamente por los que toman las decisiones. Los compromisos encuadrados en acuerdos contractuales incluyen acuerdos de compartir el riesgo de moneda, y compra de energía, metales y otras commodities. Si los riesgos asociados con estos compromisos no son entendidos ni administrados de forma conjunta, los que deciden, tomarán decisiones operativas parciales que pueden no ser las mejores para los intereses de la organización como conjunto. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Swaps, opciones, futuros y otros derivados también crean riesgos por establecimiento de compromisos. Riesgo de Medición del Desempeño Las Medidas no Financieras no proveen de información relevante para la toma de decisiones operacionales porque no son: • Informativas (es decir, no le dicen al tomador de decisiones, qué es lo que realmente está ocurriendo y cómo están actuando los procesos), • Confiables, • Comprensibles, • Creíbles (es decir, no son realistas), • Ejecutables (es decir, no son controlables; no hay nada que un tomador de decisiones pueda hacer para influir en el comportamiento de las medidas) o • Generadoras de cambio (es decir, no estimulan un proceso continuo de mejora) Riesgo de Alineación Los objetivos y las medidas de desempeño de los procesos de negocio de la compañía, no están alineados con los objetivos y estrategias generales del negocio. Los objetivos y medidas no centran a las personas en las cosas correctas y conducen a actividades no coordinadas y conflictivas. Riesgo de Informes Obligatorios Los informes sobre información operativa requerida por entidades oficiales están incompletos, son inexactos o se presentan fuera de plazo, exponiendo a la compañía a multas, penalizaciones y sanciones. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO FINANCIAL DECISION-MAKING RISK INFORMATION FOR DECISION-MAKING RISK FINANCIAL Presupuesto y Planificación Información Contable Evaluación de los Informes Financieros Impuestos Fondos de Pensiones Análisis de Inversiones Informes Obligatorios Riesgo de Presupuesto y Planificación Los Presupuestos y planes de negocio no son: • Realistas, • Basados en aseveraciones apropiadas, • Basados o centrados en los generadores de coste y en medidas de desempeño, • Aceptados por los gerentes clave, o • Utiles o utilizados como herramienta de seguimiento. Riesgo de Información Contable La información contable financiera se utiliza para administrar los procesos de negocio y no está integrada adecuadamente con la información no financiera que se centra en la satisfacción del cliente, mediciones de calidad, reducción del tiempo del ciclo e incremento de la eficiencia. El resultado de esto, es un apaño miope, la manipulación a corto plazo de los outputs de los procesos de negocio para alcanzar los objetivos financieros, en lugar de cumplir con las expectativas de los clientes controlando y mejorando los procesos. Riesgo de Evaluación de los Informes Financieros Los informes financieros emitidos, para los existentes y posibles inversores (inversionistas) y prestamistas, incluyen errores materiales u omiten hechos materiales, convirtiéndolos en engañosos. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO El riesgo de evaluación de los estados financieros normalmente surge de la falta de obtención de información de negocio relevante desde fuentes externas e internas y de evaluar si los ajustes a o las exposiciones/presentaciones en los estados financieros se requieren para presentar adecuadamente la posición financiera, resultados de las operaciones y las fuentes y orígenes de los fondos. Riesgo de Impuestos El Riesgo de Impuestos tiene dos elementos clave: • Cumplimiento con la legislación impositiva, pagos y cumplimiento de los requisitos formales. • Las transacciones significativas de la compañía tienen consecuencias impositivas adversas que podrían haber sido evitadas si se hubiesen estructurado de forma distinta. Riesgo de Fondo de Pensiones Los Fondos de Pensiones no son actuarialmente exactos, es decir, son insuficientes para satisfacer los beneficios de las obligaciones definidas por el plan. Las consecuencias del riesgo de fondos de pensiones incluyen un riesgo de reputación, pérdida de moral, laborales, litigios y requerimientos de necesidades de fondos adicionales por la Compañía. Riesgo de Análisis de Inversiones La gerencia no tiene información financiera suficiente para tomar decisiones de inversiones fundamentales a corto y largo plazo y enlazar los riesgos aceptados con el capital expuesto al riesgo. Riesgo de Informes Obligatorios Los informes de información financiera requeridos por agencias de regulatorias son incompletos, inexactos, o se informen fuera de tiempo, exponiendo a la compañía a multas, penalizaciones y sanciones. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO STRATEGIC DECISION-MAKING RISK INFORMATION FOR DECISION-MAKING RISK STRATEGIC Análisis del Entorno Cartera de Negocio Valoración Medición del Desempeño Estructura de la organización Asignación de los Recursos Planificación Ciclo de Vida Riesgo de Análisis del Entorno El riesgo de análisis del entorno surge cuando: • La compañía no tiene un proceso efectivo de obtención de información relevante sobre el entorno externo. • Suposiciones asumidas clave sobre el entorno son inconsistentes con la realidad o no se ha desarrollado un seguimiento sobre ellas por parte de la compañía. La falta de seguimiento y de contacto con un entorno que cambia continuamente generará unas estrategias de negocio obsoletas. Riesgo de Cartera de Negocio Para compañías diversificadas que tengan múltiples productos y/o unidades de negocio, existe un significado añadido para la información estratégica en el riesgo de toma de decisiones. EI riesgo de la cartera de negocio es el riesgo de que la firma no maximice el desarrollo del negocio por medio de una priorización efectiva de sus productos y o equilibrio de sus negocios en un contexto estratégico. ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Este riesgo requiere evaluar ambos, los negocios propios (ej. para decidir si invertir/crecer, mantener/recoger los frutos, o deshacer/liquidar) y negocios en perspectiva (ej., adquisiciones, "joint venture" o alineaciones estratégicas). Riesgo de Valoración La gerencia y los que toman decisiones clave son incapaces de medir con confianza el valor de un negocio específico o cualquiera de sus segmentos importantes en un contexto estratégico. Este riesgo afecta la evaluación de ambos negocios propios (ej. decidir si invertir/crecer, mantener/recoger los frutos, o deshacer/liquidar) y perspectivos (adquisiciones, joint venture, o alineaciones estratégicas). ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO Riesgo de Medición del Desempeño Las medidas generales del desempeño organizacional no están: • Suficientemente equilibradas, ej. se enfocan principalmente en resultados financieros a corto plazo. • Consistentes con, y no dan soporte, a las estrategias de negocio. Riesgo de Estructura de la Organización La estructura organizacional de la compañía no da soporte a los cambios ni a las estrategias de negocio de la compañía. La cultura y los valores de una organización, su infraestructura y cómo define la responsabilidad, autoridades y límites tienen un efecto significativo en su capacidad para administrar y alcanzar sus objetivos. Estos riesgos son estratégicos porque afectan a los siguientes aspectos de la organización: • Asignación, despliegue y desarrollo de recursos, • Eficiencia en los impuestos, • Reingeniería en el proceso de negocio y esfuerzos de mejora del proceso de negocio, • Administración de flujos financieros, • Identificación, aprovisionamiento, medición y control de los riesgos de negocio, y • Medidas y seguimiento del desempeño. Riesgo de Asignación de los recursos EI proceso de asignación de recursos de la compañía no establece ni mantiene ventaja competitiva o maximiza los rendimientos de los accionistas. Riesgo de Planificación Las estrategias de negocio de la compañía no están: ADMINISTRACION INTEGRAL DE RIESGOS DE NEGOCIO • Generadas con información creativa e intuitiva, es decir, son principalmente un proceso formal inefectivo con información redundante, extrapolación de resultados pasados, "cocina/maquillaje" contable e informes muy extensos. • Basadas en suposiciones actuales relacionadas con el entorno externo, generando estrategias que no están actualizadas y están mal enfocadas. Premisas irreales relacionadas con la industria y con la posición relativa respecto al mercado de la propia compañía pueden llevan a errores estratégicos. Por ejemplo: − Sobre estimar a la industria puede dirigir a sobre dimensionar la capacidad. − Sobre estimar las capacidades claves de la compañía puede provocar una costosa batalla para ganar cuota de mercado contra competidores superiores. • Programadas efectivamente en forma de planes escritos, esquemas temporales, presupuestos etc. • Comunicadas de forma consistente y a través de la organización. • Sensibles a los cambios ambientales y al aprendizaje organizacional. Riesgo de Ciclo de Vida Un enfoque de la organización para administrar el movimiento de sus líneas de productos y evolución de su industria a lo largo del ciclo de vida (es decir: comienzo, crecimiento, madurez y declive) tiene un efecto importante en el éxito o en el fallo final de sus estrategias de negocio. Por ejemplo, la gerencia puede adoptar: • Ya sea un enfoque interno o externo para administrar los costos del ciclo de vida del producto. • Un diferente enfoque y estilo operativo a medida que la estructura de la industria evoluciona desde un punto del ciclo hasta otro (ej., de la etapa de crecimiento a la de madurez). • Un enfoque diferente para dirigir y administrar cuando las operaciones se expanden significativamente y así evitar la existencia de procesos y sistemas tensos hasta el punto en que los controles fallan.
