GESTIÓN DE RIESGOS: Tratamiento contable. financieras 1. INTRODUCCIÓN

Transcripción

1 La gestión de en empresas no Luis de la Fuente y Gil de la Vega Economista. Auditor interno financieras FICHA RESUMEN Con carácter general la gestión de se asocia a la actividad desarrollada por las empresas financieras, sin embargo las empresas no financieras también se enfrentan a un conjunto de asociados a la actividad que desarrollan y que necesitan de una gestión activa de los mismos para que no afecten a la consecución de sus objetivos. Autor: Luis de la Fuente y Gil de la Vega Título: La gestión de en empresas no financieras Fuente: Partida Doble, núm. 150, páginas 54 a 60, diciembre 2003 Localización: PD Resumen: La mayoría de las empresas no financieras no han utilizado la gestión de por la ausencia de un conjunto de técnicas que permitan gestionar los propios de su actividad, fundamentalmente en lo que respecta a la identificación de los y a su cuantificación. En este artículo se describen los básicos a los que se exponen las empresas no financieras y se muestra cómo se debe organizar y cómo se debe ejercer la gestión de en una empresa no financiera. Descriptores ICALI: Gestión de. Organización empresarial. 1. INTRODUCCIÓN Desde que el banco de inversión JP Morgan publicara en 1994 su conocida metodología RiskMetrics para medir el riesgo de mercado de una cartera de títulos, las entidades financieras han avanzado notablemente en la gestión de los inherentes a su actividad. Tanto es así, que muchas entidades financieras hoy en día no se conciben a sí mismas como intermediarios financieros que tratan de captar pasivo barato y prestarlo caro, sino como gestores de, que buscan asumir que saben medir para obtener una rentabilidad más que suficiente para cubrirlos. Para estas entidades financieras, asumir no es malo en sí mismo. Ya no es un mal necesario, sino una oportunidad de negocio. El negocio está en gestionar los, entendiéndolos, controlándolos, transformándolos en otros que son capaces de asumir o transfiriéndolos. Creo que no me equivoco si digo que la mayoría de las empresas no financieras no han utilizado la gestión de para obtener los mismos beneficios que las entidades financieras. Y no creo que ello se deba al desconocimiento, por parte de los directivos de las empresas, de la existencia de una disciplina profesional al respecto. En mi opinión, el principal motivo es la ausen- 54 Nº 150 Diciembre de 2003

2 cia de un conjunto de técnicas que permitan gestionar los propios de las entidades no financieras. Claro que hay técnicas para la gestión de los financieros, pero el componente de riesgo financiero en las empresas no financieras es, con distintos grados, una parte menor de sus, y es más fácil gestionarlo a través de los bancos. Las empresas no financieras no se benefician, como sí lo hacen los bancos y las compañías de seguros, de la existencia de un estándar generalmente aceptado para la gestión de. Muchas empresas han establecido sus propias metodologías para medir sus, pero no hay un equivalente no financiero al VaR paramétrico de RiskMetrics. Probablemente los vagos indicios de los beneficios que traerá la gestión de no convencen a los empresarios del valor que puede suponer el esfuerzo de innovar en la gestión de no financieros, de reinventar la rueda. 2. A QUÉ RIESGOS SE ENFRENTAN LAS EMPRESAS? Permítame recordarle los a los que se enfrenta una empresa. No es mi intención realizar aquí una taxonomía definitiva de los porque sería imposible abarcar todo el espectro de los posibles entre todas las actividades de negocio. Me limitaré a establecer cuatro tipos básicos de riesgo, entre los cuales no incluyo el que se conoce como riesgo de negocio, es decir, el riesgo de que una acción o evento impida a la empresa lograr sus objetivos de negocio. No es que no se pueda decir que es un riesgo, sino que éste los engloba a todos y no es el tipo de riesgo sujeto al análisis de la función del gestor de, que debe trabajar con un mayor nivel de detalle. La clasificación que propongo es la siguiente: Riesgos financieros, que los definiré como los de que los flujos de caja de la empresa no se adecuen a sus obligaciones. Estos son los que están asociados a la naturaleza de las operaciones financieras y que son generalmente aquellos en los que se piensa en primer lugar al hablar de gestión de, como pueden ser el riesgo de crédito de los deudores o el riesgo de mercado de la cartera de inversiones financieras. Pero también deben incluirse otros que no vienen tan rápido a la memoria, como los derivados de las variaciones del precio de mercado de los productos y servicios que ofrece la empresa, de los tipos de cambio, del coste de la financiación, de los descalces en la liquidez y en los plazos de los activos y los pasivos... Todos ellos son que pueden aprovecharse de las técnicas de gestión que se han desarrollado en el entorno financiero. Riesgos operativos, que son aquellos que se derivan de defectos o errores en los procesos internos y sistemas utilizados para llevar a cabo sus operaciones habituales. Constantemente se enfrentan las empresas a posibilidades de error en las transacciones o en los procedimientos seguidos por los empleados, programas erróneos y caídas de los sistemas, ausencias de personal, retrasos en la entrega y la recepción de mercancías, fraude interno y externo... Riesgos catastróficos, definidos como la posibilidad de pérdida asociada a eventos externos que se caracterizan por su baja frecuencia de ocurrencia y su alto impacto, como pueden ser acontecimientos políticos, accidentes o fenómenos climatológicos. Riesgos de cumplimiento, que son los derivados de incumplir la legisla- L a mayoría de las empresas no financieras no han utilizado la gestión de para obtener los mismos beneficios que las entidades financieras Nº 150 Diciembre de

3 S e establecen cuatro tipos básicos de riesgo: financieros, operativos, catastróficos y de cumplimiento ción local o internacional, las buenas prácticas propias de la actividad desarrollada o las normas de conducta que puedan afectar a la reputación de la empresa. Como se habrá dado cuenta, esta es una clasificación subjetiva. Las categorías definidas y la clasificación de un riesgo en una u otra categoría dependerán totalmente de la actividad desarrollada. Por ejemplo, para las empresas agrícolas y turísticas, el clima es un factor determinante de la actividad, por lo que las variaciones climáticas podrían clasificarse como un riesgo operativo en lugar de un riesgo catastrófico. (1) [Para ampliar información sobre este tema y sobre otros argumentos académicos en defensa de la cobertura de los puede referirse a los artículos de Carlton (1999) y Tappatá (2000)]. 3. LAS VENTAJAS DE LA GESTIÓN DE RIESGOS La gestión de estos puede reportar a las empresas beneficios en varios niveles: Es evidente que si fuéramos capaces de gestionar todos los posibles dentro de las categorías que hemos definido, deberíamos lograr una reducción de costes inesperados y obtener como primer rendimiento una mayor estabilidad de los resultados de la empresa. Ese intento de reducción de la incertidumbre es el origen de la gestión profesional de los. La gestión de debe servir también para evaluar con precisión las exposiciones a los distintos y, por tanto, para determinar las necesidades exactas de aseguramiento, evitando tanto el infraseguro como los excesos de cobertura. Además de ahorrar costes, la gestión de puede aportar también una ventaja competitiva, desde el momento que permite reaccionar con mayor rapidez que la competencia a cambios en el entorno. La adopción de una actitud de aversión al riesgo en la actividad empresarial generalmente supone asumir un alto riesgo de ser eliminado del mercado. Una actitud aparentemente prudente puede suponer la pérdida de control sobre nuestro entorno y dar la oportunidad a nuestros competidores de adelantarnos. Además de la reducción de la volatilidad de los resultados de la compañía, la reducción de costes inesperados debe redundar en flujos de caja futuros con un valor actual mayor, por lo que la gestión de estaría aportando valor para el accionista. Por esa razón las entidades financieras de todo el mundo, incentivadas por las nuevas exigencias de capital que aún están cocinándose en el Comité de Supervisión Bancaria de Basilea, ya están preparando mejores técnicas de medición de los con la esperanza de poder reducir las necesidades de capital. En este apartado, cabe hacer mención del conocido artículo de Modigliani y Miller de 1958, según el cual las decisiones de cobertura de los financieros no afectarían al valor de los activos de la empresa. Sin embargo, Mayers y Smith demostraron que la relajación de los supuestos de ausencia de impuestos, ausencia de costes de quiebra e información simétrica en los mercados de capitales, permitiría que la cobertura de los aporte valor a la empresa (1). Por último, pero no por ello menos importante, la gestión de los, especialmente de los que hemos denominado operativos y de cumplimiento, servirá para mejorar el control interno y, por tanto, como medida para potenciar el buen gobierno corporativo. En este sentido, me gustaría llamar la atención sobre el Código Combinado y el informe Turnbull. El Código Combinado de la Bolsa de Londres, que nació de la integración de las conclusiones del Comité de Gobierno Corporativo y de los informes Cadbury y Greenbury, trata de recoger los mejores principios de buen gobierno corporativo. Este Código recomienda al Consejo de Administración de la sociedad que revise, al menos una vez al año los sistemas de control interno, incluyendo la gestión de. A su vez, el informe Turnbull fue elaborado en 1999 por el Instituto de Contadores Titulados de Inglaterra y Gales para desarrollar los aspectos 56 Nº 150 Diciembre de 2003

4 La gestión de en empresas no financieras de control interno relativos al Código Combinado. El informe Turnbull recomienda expresamente adoptar el enfoque del control de para evaluar el sistema de control interno de la empresa. 4. LOS INCONVENIENTES DE LA GESTIÓN DE RIESGOS Sin embargo, la implantación de un sistema de gestión de también tiene inconvenientes. Por un lado, cuando una empresa no financiera se decide a implantar una cultura de gestión de lo más probable es que se encuentre con que los propios de su actividad sean difíciles de cuantificar y de cubrir. Dado que la mayor parte de los asumidos son de naturaleza no financiera, es posible que no exista una metodología para su medición, y que no haya productos o mecanismos conocidos para su cobertura. Es posible que la propia organización ajuste su comportamiento en función del conocimiento del nivel de riesgo existente. Es lo que se conoce como la propiedad homeostática del riesgo. La homeostasis se refiere a un proceso autocontrolado que arroja un resultado estable a lo largo del tiempo. Un ejemplo típico es el del sistema de climatización que refrigera o calienta para mantener la temperatura alrededor de cierto nivel. Gerald Wilde (1994) defendió esta hipótesis para defender la persistencia de la tasa de accidentes de tráfico. Pues bien, es posible que la cuantificación del nivel de riesgo de las empresas y el establecimiento de límites al mismo lleven a sus empleados a asumir todo el riesgo posible hasta alcanzar los límites establecidos, cuando posiblemente se hubieran mantenido en un nivel más bajo de riesgo si no supieran exactamente cuál era éste. Esto no debería ser un problema si la organización está convencida de su capacidad para asumir el límite de riesgo establecido y los empleados obtienen la rentabilidad adecuada por él. Es frecuente también, que el controlador de tenga tendencia a establecer límites o controles para solucionar una debilidad, pero sin tener en cuenta el efecto que eso puede tener sobre la eficiencia del trabajo de la unidad de negocio. El controlador con experiencia sabe que las soluciones a una debilidad de control deben tener el mínimo impacto posible sobre la productividad o incluso ayudar a mejorarla, ya que una medida que reduce la productividad de la unidad tiene pocas posibilidades de llegar a ponerse en práctica o de funcionar durante un largo período de tiempo. Esto no siempre es fácil y exige hacer un ejercicio constante de aplicación del sentido común y de sistematización en el análisis de alternativas. 5. ORGANIZACIÓN DE LA GESTIÓN DE RIESGOS DENTRO DE LA EMPRESA La tarea de la gestión de ya viene siendo desempeñada en todas las empresas de una manera más o menos consciente por el director general o el director financiero. Sin embargo, la profesionalización de dicha gestión requiere hacer explícita la necesidad mediante la formalización de una función especializada. En principio es menos importante sobre quién recaiga esa función. Dependerá de la complejidad de la actividad desarrollada y del tamaño de la empresa. En un primer estadio posiblemente sea conveniente hacerla recaer sobre un comité, que permita transmitir a toda la organización la importancia del control de. E l intento de reducción de la incertidumbre es el origen de la gestión profesional de los Nº 150 Diciembre de

5 El concepto de Enterprise Risk Management (ERM) viene a representar un paso más allá de la centralización de la función de En poco tiempo su aplicación práctica requerirá sin duda la designación de un responsable. En muchos casos es fácil pensar en la dirección financiera para asignar esta responsabilidad y, de hecho, así ocurre en la práctica en muchas empresas que ya lo han hecho. Sin embargo, para ser eficaz, la función de debe ser independiente del resto de la organización. En muchas ocasiones, la gestión de los entrará en conflicto con los objetivos de otras áreas de la organización, por lo que debe ser la dirección general quien tome las decisiones sobre la base de una información profesional e independiente del resto de áreas. Una vez que la empresa se decida a gestionar eficientemente sus, debe tomar una decisión acerca del modo en que se estructurará la función. Es decir, si lo hará de manera centralizada o descentralizada. La descentralización, esto es, la delegación de la responsabilidad de la gestión de los en cada una de las unidades de negocio puede ayudar a crear una conciencia de prevención de en la organización, pero a largo plazo la centralización aportará una visión global de los distintos y sus interdependencias, amén de una profesionalización de la actividad. En una encuesta realizada por Aon y CFO.com en 2002 entre grandes empresas no financieras norteamericanas se pone de manifiesto que la mayoría de las empresas que aún no han implantado una gestión de y pretenden hacerlo, esperan empezar incorporando metodologías de medición de en procesos internos ya existentes. Sin embargo, aquellas que ya desarrollan una gestión de lo hacen mediante centralizaciones parciales, por ejemplo con profesionales en la gestión de algunos tipos de riesgo (de crédito, de mercado, incendios, legal...). Lo mismo se deduce de una investigación similar realizado entre empresas argentinas en 1999 (Tappatá, 1999), lo que es especialmente revelador al situarse en momentos de gran incertidumbre para las empresas locales. Parece por tanto, que el camino natural de este proceso es el que va hacia una mayor centralización de la función, llegando posiblemente a lo que de un tiempo a esta parte ha venido denominándose gestión integrada de los, más conocida por sus siglas en inglés ERM (Enterprise Risk Management). El concepto de ERM viene a representar un paso más allá de la centralización de la función de. Lo que pretende es integrar la gestión especializada de los distintos en una sola visión que abarque todas las interdependencias, es decir, las correlaciones, de los distintos. En realidad, el objetivo último de la gestión integrada es llegar a resumir el riesgo total de la compañía en un sólo número y construir a partir de él una única estrategia de cobertura. Para ello, grandes compañías de seguros han desarrollado programas de análisis de y pólizas personalizadas. El valor añadido de este análisis generalmente descansará más en la identificación de los que en la reducción del coste del seguro, ya que esta reducción será directamente proporcional a la diversidad de los no correlacionados que se asumen. 6. EL EJERCICIO DE LA FUNCIÓN DE GESTIÓN DE RIESGOS El ciclo de la gestión de está compuesto de cuatro etapas: identificación, cuantificación, control y mitigación Identificación de La identificación de los es el primer paso para su gestión y, sin lugar a dudas, el más importante. Si no se identifican todos los relevantes que puedan afectar a la actividad podemos estar cometiendo un error grave en la gestión. Sin embargo, si se identifican todos los posibles, aunque no sean fácilmente cuantificables, ya habremos avanzado muchísimo en su control. Para identificar dichos debe realizarse un análisis cuidadoso de al menos dos aspectos básicos: los procesos internos, por un lado, y la cuenta de resultados, por otro. El análisis de los procesos y de toda la información de 58 Nº 150 Diciembre de 2003

6 La gestión de en empresas no financieras gestión que pueda obtenerse de ellos, debe servir para detectar todas aquellas deficiencias o posibilidades de error que es necesario resolver. Por su parte, el análisis del origen de cada unos de los epígrafes de la cuenta de pérdidas y ganancias debe permitirnos entender los que se están asumiendo para su consecución. En ambos casos la auditoría tanto interna como externa será un instrumento de valor incalculable para la identificación de los relevantes. La auditoría y por supuesto el gestor de los sirven para realizar un análisis permanente de los posibles en que se incurre. Dado que la organización es algo vivo, no basta con hacer una revisión puntual de los posibles, sino que debe analizarse constantemente la actividad de la empresa para aprehender los nuevos que surgen Cuantificación de Una vez identificado cada uno de los, es necesario tratar de cuantificarlo. La cuantificación de un riesgo está determinada por un vector de dos componentes: el impacto del evento de pérdida y la probabilidad de ocurrencia del evento en un período determinado. Toda medición de riesgo debe hacer referencia al importe probable de pérdida en un período dado. Eso es lo que ejemplifica perfectamente la técnica del valor en riesgo o value-at-risk (VaR), que ofrece como medición del riesgo de mercado la pérdida máxima esperada de una cartera de títulos en un período dado (generalmente un número de días entre 1 y 10) con un grado de confianza determinado (normalmente entre el 90 y el 99 por ciento). La probabilidad de ocurrencia siempre estará basada en estimaciones de la distribución de probabilidad del evento de pérdida. Estas estimaciones generalmente están basadas en modelos matemáticos, como el VaR paramétrico de RiskMetrics, en comportamientos observados históricamente o en simulaciones aleatorias bajo unas condiciones dadas, como es el caso de la técnica de Montecarlo. En el caso de los no financieros es más frecuente utilizar la evidencia histórica para deducir la probabilidad de ocurrencia de los eventos de pérdida, aunque se han intentado metodologías similares a la de valor en riesgo, como puede ser la de flujos de caja en riesgo (cash flow at risk). Tampoco debe descartarse la posibilidad de usar modelos estadísticos para determinados eventos, como podría ser la distribución de probabilidad de realizar una transacción errónea entre un número elevado de transacciones manuales repetitivas. Por supuesto, sea cual sea el modelo considerado, debe revisarse constantemente para verificar su adecuado funcionamiento en la realidad y reajustarlo, tanto desde el punto de vista de la frecuencia observada y del impacto de los eventos. Esto es lo que se conoce con back testing Control de Desde el momento que tenemos identificados y cuantificados los de nuestra actividad podemos empezar a controlarlos. La medición continuada del nivel de riesgo proporcionará por sí misma un reflejo de su evolución y del sentido hacia el que se mueve la empresa con sus decisiones. Además de eso, será necesario establecer límites u objetivos en función de la capacidad de la empresa para asumir esos. El apetito por el riesgo de la empresa o su objetivo de solvencia serán los que determinen la capacidad de riesgo que está dispuesta a asumir en términos de capital o de resultados. S erá necesario establecer límites u objetivos en función de la capacidad de la empresa para asumir esos Nº 150 Diciembre de

7 P ara algunos de los operacionales lo más frecuente es utilizar seguros 6.4. Control de El seguimiento de los en combinación con los límites establecidos debe resultar en una opinión acerca de la concentración o la asunción excesiva de no deseados y de la necesidad de mitigarlos o eliminarlos. Existen diversas técnicas de cobertura. Generalmente unas se adaptan mejor que otras a los distintos tipos de riesgo. En general, los instrumentos financieros derivados son los más utilizados para la cobertura de los de mercado, como el riesgo de cambio, el riesgo de tipo de interés y el riesgo de variaciones en los precios de las mercancías (Tappatá, 1999). El riesgo de crédito, en cambio, sólo recientemente ha empezando a cubrirse con derivados. Por su parte, para algunos de los operacionales lo más frecuente es utilizar seguros. Aún así, es muy probable que sea difícil o costoso eliminar los no deseados en un plazo razonable, por lo que el gestor de debe trabajar preferentemente en su prevención. Además de establecer sublímites de alerta que inicien planes de acción antes de que un riesgo llegue a alcanzar los límites establecidos, el gestor puede tratar de transmitir una cultura de autocontrol por parte de las unidades que asumen el riesgo. Para ello puede ser una buena herramienta utilizar cuestionarios de autoevaluación que permitan a las unidades conocer por sí mismas cuáles son los puntos débiles en su control de los. 7. CONCLUSIÓN Hemos visto que las empresas no financieras pueden beneficiarse de la gestión de para reducir los costes inesperados, determinar sus necesidades exactas de aseguramiento, obtener una ventaja competitiva y mejorar el control interno, potenciando el buen gobierno corporativo. Es previsible que las empresas vayan incorporando progresivamente la gestión de a su organización para llegar a una gestión centralizada e integral. Sin embargo, la gestión de los en empresas no financieras está lastrado por la ausencia de un conjunto de técnicas que permitan gestionar los propios de su actividad. Cada empresa debe desarrollar sus propias metodologías con la limitación de los recursos disponibles para ello. Por eso sería deseable que aquellas empresas que hayan desarrollado sus propias técnicas las den a conocer para obtener la crítica que les permita ir mejorándolas y a la vez para ir construyendo una metodología generalmente aceptada en cada sector de actividad. A la vez, las empresas deberán estar atentas a los desarrollos que vayan surgiendo como consecuencia de las exigencias de Basilea II a las entidades bancarias en cuanto a la adopción de Modelos Avanzados de Medición del riesgo operacional, porque con toda seguridad redundarán en métodos totalmente aplicables a las empresas no financieras. Bibliografía Aon & CFO Research Services (2002). Strategic Risk Management: New Disciplines, New Opportunities. CFO Publishing Corporation. Carlton, T. (1999). Risk and Capital Management in Non-Financial Companies. Australian Prudential Regulation Authority, Risk and Capital Management Conference Papers. Tappatá y otros (2000). El uso de instrumentos derivados en empresas no financieras: el caso de Argentina. Centro de Investigación en Finanzas, Universidad Torcuato di Tella. The Institute of Chartered Accountants in England and Wales (1999). Internal Control, Guidance for Directors on the Combined Code (Turnbull Report). Wilde, G. (1994). Target Risk. PDE Publications. 60 Nº 150 Diciembre de 2003