APETITO Y TOLERANCIA AL RIESGO

Transcripción

1 APETITO Y TOLERANCIA AL RIESGO Cynthus Grupo Cynthus es una empresa fundada en 1997, dedicada a servicios profesionales, capacitación y soluciones basadas en tecnología. Sus principales áreas de competencia son: auditoría, riesgos, seguridad de información, continuidad, y gobierno de TI.

2 Introducción 1 Introducción El apetito al riesgo es un concepto que ha transitado de un parcial anonimato, a ser un término tal vez sobre utilizado en el ámbito de administración de riesgos. Sin embargo, esto no significa necesariamente que es comprendido a plenitud y menos aún, que pueda ser implementado de manera práctica como parte de los procesos de gestión de riesgo empresarial (ERM). Debido a que la administración no posee la universalidad de que gozan las disciplinas científicas, es mucho más complicado llegar a definiciones que sean aceptadas globalmente. Esto hace necesario llegar a consensos sobre su significado que permitan la aplicación del término de forma consistente a través de las comunidades del mundo de la administración. Es un hecho que ERM representa una práctica de valor para las organizaciones que deben lidiar con la incertidumbre y el efecto de ésta en el logro de sus objetivos (en realidad, todas). ERM ayuda a que las organizaciones se enfoquen en los riesgos más relevantes para la consecución de sus metas, tanto desde una perspectiva operativa como a un nivel estratégico. De esta manera, se hace claro que el riesgo está vinculado inevitablemente con los resultados futuros de las empresas. El apetito de riesgo y la tolerancia al riesgo, son componentes fundamentales de un programa de ERM efectivo. Existen numerosas definiciones de estos términos y a menudo se utilizan indistintamente, lo cual incrementa la confusión tanto interna como externamente en las organizaciones. Resulta entonces importante que todos los involucrados en la gestión de riesgos tengan un entendimiento claro de estos conceptos y aún más importante que eso, es la capacidad de implementarlos de forma práctica y efectiva en un proceso de gestión de riesgo empresarial. Definiciones Algunos de los estándares y marcos de referencia han definido tanto al apetito de riesgo como la tolerancia al riesgo de la siguiente forma: COSO COSO define al apetito de riesgo como la cantidad de riesgo, al nivel más amplio, que la entidad está dispuesta a aceptar en la búsqueda de la obtención de valor, refleja la filosofía de gestión de riesgos de la entidad, y a su vez, influye en la cultura y el estilo operativo de la misma. La tolerancia al riesgo son los niveles aceptables de variación con relación al logro de los objetivos. La Tolerancia al riesgo se puede medir y con frecuencia se mide mejor, utilizando las mismas unidades con que se mide a los objetivos relacionados. Al establecer la tolerancia al riesgo, la administración toma en consideración la importancia relativa de los objetivos relacionados y alinea las tolerancias al riesgo con el apetito de riesgo de la entidad.

3 Definiciones 2 Operar dentro de la tolerancia al riesgo proporciona una gestión de mayor seguridad de que la entidad se mantiene dentro de su apetito de riesgo, el cual, a su vez, proporciona un mayor grado de certidumbre de que la entidad logre sus objetivos. RIMS El apetito de riesgo es la cantidad total de exposición, que una organización desea aceptar buscando obtener los resultados deseados, sobre una base riesgo-rendimiento. Como tal, el apetito de riesgo está inevitablemente vinculado con la rentabilidad esperada. La tolerancia al riesgo es la cantidad de incertidumbre que una empresa está preparada para aceptar en total o de forma específica en una cierta unidad de negocio, una categoría de riesgo en particular o una iniciativa específica y expresada en términos cuantitativos que pueden ser monitoreados. La tolerancia al riesgo a menudo es comunicada en términos de resultados aceptables o inaceptables o como niveles de riesgo limitados. Las declaraciones sobre la tolerancia al riesgo definen niveles máximo y mínimo específicos, más allá de los cuales la organización no está dispuesta a perder. Exceder los niveles establecidos de tolerancia al riesgo, no sólo puede poner en peligro la estrategia y el logro de los objetivos, sino que puede poner también en riesgo la propia supervivencia de la empresa. Lo anterior puede ser debido a consecuencias en términos de costo, interrupción de la operación, reputacionales o legales, entre otros. ISO Guía 73:2009 El apetito de riesgo es el monto y tipo de riesgo que una organización está dispuesta a buscar o retener. La tolerancia al riesgo es la disposición de la empresa o de sus stakeholders para soportar el riesgo después de su tratamiento, con el propósito de lograr sus objetivos. Se debe tomar en cuenta que la tolerancia al riesgo puede ser influenciada por aspectos legales y de cumplimiento normativo.

4 Determinación de los niveles 3 Determinación de los niveles Quién los determina El apetito y la tolerancia al riesgo generalmente son determinados por el Consejo de Administración y/o la Dirección ejecutiva, aunque en el segundo caso, es normal que haya variantes debido a la especificidad con que se pueden aplicar los niveles de tolerancia en la empresa. La determinación del apetito de riesgo y la tolerancia, con frecuencia puede ser un acto de equilibrio de distintos intereses, debido a que los stakeholders de una misma organización puede tener distintos puntos de vista respecto a cuánto riesgo se debe tomar o retener. Es por la relevancia de estas decisiones para la organización, que deben ser tomadas por los niveles jerárquicos más altos de la empresa. Sin embargo y como veremos más adelante, existe un fenómeno de cascada mediante el cual se pueden definir niveles de tolerancia específicos a nivel de unidad de negocio, de proyecto, de proceso o de tipo de transacción entre otros y en estas definiciones pueden participar los dueños de dichos componentes. Un ejemplo de esta responsabilidad la encontramos en los términos de referencia del Consejo de Administración de HSBC Holdings PLC, el cual, textualmente dice: La función del Consejo es proporcionar liderazgo empresarial de la Compañía dentro de un marco de controles prudentes y eficaces que permita que los riesgos sean evaluados y gestionados. El Consejo es responsable colectivamente el éxito a largo plazo de la empresa y de la entrega de valor sostenible para los accionistas. Establece la estrategia y el apetito de riesgo de la Compañía y sus filiales (el "Grupo")... De forma consistente, en el reporte anual de Barclays del año 2010, se hace una mención específica de su apetito de riesgo, definiendo claramente su entendimiento y la responsabilidad asociada: El apetito de riesgo se define como el nivel de riesgo de que Barclays está dispuesto a sostener al tiempo que busca el cumplimiento de su estrategia empresarial, reconociendo un rango de resultados posibles derivados de la implementación de los planes de negocio. El Marco de referencia de Barclays combina una vista de arriba hacia abajo (Top- Down) de su capacidad para asumir riesgos con una vista de abajo hacia arriba (Buttom-Up) del perfil de riesgo 1 del negocio asociado con los planes de mediano plazo de cada área de negocio. El apetito es finalmente aprobado por el Consejo de Administración. 1 Perfil de riesgo: Descripción de cualquier conjunto de riesgos. Puede contener los riesgos de toda la organización, parte de la misma u otro alcance determinado. [ISO Guía 73:2009, definición ]

5 Determinación de los niveles 4 Consideraciones para su determinación El apetito y la tolerancia al riesgo se ven influidos por la naturaleza de la organización, por la industria en que opera, por marcos normativos y también por el estilo gerencial de la Dirección. Por ejemplo, las empresas cuya principal motivación es el incremento significativo de su valor, en general suelen tener mayor apetito por el riesgo y consecuentemente, están dispuestas a aceptar un mayor riesgo. De la misma forma, las compañías que se encuentran en sus primeras etapas de operación o en fases de lanzamiento o rápido crecimiento, tienen una alta propensión al riesgo y están, por lo general, dispuestas a aceptar una mayor volatilidad e incertidumbre. Por el contrario, las empresas cuya atención se centra en el crecimiento sostenido y ganancias estables, presentan un menor apetito por el riesgo y tienen mayor aversión a la toma de riesgos de alto impacto y/o con alta incertidumbre. Estas empresas tienen una fuerte influencia de los requisitos legales y reglamentarios. La mayoría de las definiciones distinguen al apetito y la tolerancia, en el sentido de que el primero es visto como una declaración o postulado que define la filosofía de la administración hacia la toma de riesgos y la tolerancia, como una métrica cuantitativa que busca consolidar las actividades y sus consecuencias en dicha métrica. Apetito de riesgo Una organización no debería definir el apetito de riesgo, sin considerar su capacidad de riesgo. La capacidad de riesgo es el grado de riesgo de una organización en realidad puede soportar. El Consejo y la Dirección de una empresa pueden tener un apetito de riesgo alto, pero no tienen suficiente capacidad para manejar la volatilidad o el impacto potencial de un riesgo. Por el contrario, aun cuando la capacidad de riesgo pueda ser alta, la empresa puede decidir adoptar un apetito de riesgo más bajo, basándose en la estrategia, los objetivos de gestión y las expectativas de los stakeholders. En este contexto, el nivel de financiamiento de una empresa o su capacidad para obtenerlo es un componente de su capacidad de riesgo y como tal también es un factor que puede afectar el apetito de riesgo, esto significa que a mayor fortaleza financiera, mayor apetito el riesgo y viceversa. La Actitud de riesgo es la perspectiva de la organización respecto al valor (ya sea cualitativo o cuantitativo) que se pueden obtener en contraste con la pérdida o pérdidas relacionadas. Finalmente, existe el concepto de riesgo meta, el cual representa el nivel deseado de riesgo que la organización cree que es óptima para cumplir con sus objetivos. Por ejemplo, pensemos en un jugador de póker que participa en un juego en donde el pozo tiene ya $100, acumulados. Otro de los jugadores sube la apuesta $10,000.00, lo cual significa que los que quieran seguir jugando deben apostar también $10,000.00, si

6 Determinación de los niveles 5 no lo hacen quedan fuera del juego y sin la posibilidad de ganar el pozo. Si presentamos este caso en términos de gestión de riesgos, tendrían lo siguiente: Los $100, representan el objetivo o el valor que puede obtener. Para tomar la decisión de igualar la apuesta o no hacerlo, nuestro jugador debe decidir si los $10, están dentro de su apetito de riesgo. Es decir, está dispuesto a perder esa cantidad con tal de tener la posibilidad de ganar 10 veces más? Al margen de los cálculos probabilísticos sobre la composición de cada juego, existen otros elementos que nuestro jugador debe tomar en consideración para tomar la decisión, tales como: o o o Qué tan relevante son $10, respecto a su patrimonio? (capacidad de riesgo) El jugador tiene una personalidad audaz o es conservador? (actitud de riesgo) Considera que $10, es el nivel óptimo de riesgo lograr su objetivo? (riesgo meta) La realidad en las empresas es más compleja, ya que puede existir una amplia gama de actitudes de riesgo entre los tomadores de decisión y los stakeholders internos y externos. Algunas organizaciones utilizan declaraciones del apetito de riesgo sobre la base de diversas categorías de riesgo. Otras organizaciones optan por declaraciones generales de riesgo, tales como: Tomar solo riesgos que la organización pueda gestionar con el fin de optimizar beneficios Balancear el riesgo y la recompensa contra el impacto y el costo de la gestión de riesgos para la organización Aceptar la pérdida potencial de x% de [EBIT / ingresos / donaciones] para una 50% de probabilidad de incrementar [EBIT / ingresos / donaciones] en un x%. Evitar los riesgos que afectan negativamente la marca Mientras que este tipo de declaraciones pueden servir de guía, no consideraran el impacto en la posición global de riesgo para la organización. Tampoco abordan la pregunta de si la organización está tomando suficientes riesgos. Las Declaraciones del apetito de riesgo no brindan los beneficios esperados si no son traducidas y comunicadas a las decisiones de gestión diaria. Los altos ejecutivos pueden desarrollar las declaraciones de apetito de riesgo, Estas pueden ser aprobados a nivel del Consejo y pueden incluso vincularse en cascada a gerentes operativos. Es indispensable que el Apetito de riesgo sea traducido de una simple definición a un mecanismo que facilite la toma de decisiones a todos los niveles de la empresa y provea mecanismos de medición que permitan monitorear de forma oportuna el comportamiento real de las operaciones de la empresa respecto a los niveles de riesgo esperados.

7 Determinación de los niveles 6 Tolerancia La tolerancia al riesgo se puede medir utilizando un rango de variación tolerable / Intolerable con relación al resultado de un objetivo específico, por lo que resulta práctico medirlo usando las mismas unidades con que se mide dicho objetivo. Un concepto que puede ayudar a nuestro entendimiento es el de riesgo meta, esto representa el nivel deseado de riesgo que la organización cree que es óptimo para cumplir con sus objetivos. El monitoreo de las desviaciones de los valores reales con respecto a los resultados esperados es importante para la empresa y deben dar lugar a actividades de análisis, incluyendo el escalamiento a la alta dirección. Al igual que el apetito, la tolerancia al riesgo está generalmente orientada al logro de los objetivos de la empresa y al cumplimiento de las expectativas de sus stakeholders, los cuales pueden ser de protección de valor (niveles de tolerancia generalmente más bajos) o la creación de valor (niveles generalmente más altos de tolerancia). La tolerancia también depende altamente de lo bien capitalizado o la capacidad de obtención de financiamiento de la organización. Algunos de los ejemplos de COSO son los siguientes: Una empresa tiene como meta el 98% de entregas a tiempo, con una variación aceptable en el rango de 97% -100% del tiempo La meta de aprobación en el programa de entrenamiento es del 90%, con rendimiento aceptable de al menos 75%; La meta del tiempo de respuesta a todas las quejas de los clientes es de 24 horas como máximo, pero acepta que hasta el 25% de las quejas puede recibir una respuesta entre 24 y 36 horas. Operar dentro de las tolerancias al riesgo, proporciona a la Administración una mayor certidumbre de que la entidad se mantiene dentro de su apetito de riesgo, el cual, a su vez, proporciona un mayor grado de certeza de que la entidad logre sus objetivos de negocio Exploremos un ejemplo tomando como base el primero de los proporcionados por COSO. La siguiente gráfica muestra el comportamiento de los tiempos de entrega durante los últimos 12 meses. En ella se puede observar que en la mayoría de los meses, los tiempos de entrega cumplen con la meta (98%); el mes 8 no se cumple la meta, pero está dentro del nivel de tolerancia (97%), pero en el mes 9 se está en el rango intolerable (menos del 97%)

8 Determinación de los niveles 7 Si la empresa cuenta con métricas y un sistema de medición adecuado, identificará esta desviación y se alertará a la Administración de forma oportuna. Sin embargo, esta notificación será solo eso, ya que los efectos adversos en el negocio se habrán presentado (devoluciones o pérdida de ventas, penalizaciones, afectación de imagen, insatisfacción de los clientes, etc.). Dependiendo de la relevancia del evento, la empresa podría tener consecuencias severas. Recordemos que este evento significa que está fuera de la zona de aceptación de la empresa y que no resulta tolerable.

9 El apetito y la gestión de riesgo, un punto de encuentro. 8 El apetito y la gestión de riesgo, un punto de encuentro. De acuerdo con el ISO 31000, el primero de los principios de la gestión de riesgos, es la creación y protección del valor 2. Este principio difícilmente podría ser alcanzado si las empresas limitan sus sistemas de medición y monitoreo a la identificación de variaciones de resultados respecto al logro de sus objetivos. Si recordamos, la definición de Tolerancia al riesgo de RIMS, a diferencia de la de COSO, nos dice que: La tolerancia al riesgo es la cantidad de incertidumbre que una empresa está preparada para aceptar en total o de forma específica en una cierta unidad de negocio, una categoría de riesgo en particular.. Esto representa un punto de encuentro entre las declaraciones gerenciales de Apetito y Tolerancia al riesgo y la Gestión de Riesgo como proceso empresarial. Al ampliar el alcance de la medición, a los riesgos en sí mismos, la empresa puede estar en posibilidad de identificar, analizar y evaluar los eventos que potencialmente podrían afectar a la empresa y de la misma forma, conocer los controles que existen y que deben mantener la probabilidad de ocurrencia y la severidad de las consecuencias dentro de un límite tolerable. Si recurrimos de nuevo al ejemplo de COSO, en donde la empresa busca cumplir con los tiempos de entrega en un 98% de las veces, su proceso de gestión de riesgo debería identificar los eventos que podrían impedir que esto se logre, tales faltantes de artículos en existencia; problemas logísticos; fallas en la tecnología, errores humanos y/o problemas con la información. Todos los eventos anteriores podrían, por sí mismos o en combinación, provocar demoras en las entregas a clientes, pero si la empresa cuenta con un efectivo sistema de control, la probabilidad y severidad de los mismos serían suficientemente bajas como para mantener el 98% de las entregas a tiempo. La siguiente figura simboliza esta idea. Si le empresa mide e identifica desviaciones en su sistema de control (A) tendrá oportunidad de aplicar medidas de tratamiento antes de tener consecuencias para el negocio. La medición de los resultados (B) permite que la empresa conozca el nivel de cumplimiento de sus metas y objetivos de negocio. 2 ISO 31000, 3.a: La gestión de riesgos crea y protege el valor. La gestión del riesgo contribuye al logro demostrable de los objetivos y a la mejora de rendimiento, por ejemplo, la salud del personal y su protección, la seguridad, el cumplimiento legal y regulatorio, la aceptación pública, la protección del medio ambiente, la calidad del producto, la gestión de proyectos, la eficiencia de las operaciones, la gobernanza y la reputación.

10 Conclusiones. 9 Otra forma de ver esto sería pensar que los primeros son indicadores críticos de desempeño también conocidos como KPI y los segundos, indicadores críticos de resultados, conocidos como KGI. Si recordamos la declaración de Apetito de riesgo de Barclays que presentamos inicialmente, veremos que este punto de encuentro esta descrito con claridad en dicha declaración:..el Marco de referencia de Barclays combina una vista de arriba hacia abajo (Top- Down) de su capacidad para asumir riesgos con una vista de abajo hacia arriba (Buttom-Up) del perfil de riesgo del negocio asociado con los planes de mediano plazo de cada área de negocio. Conclusiones. 1. El Consejo de Administración y/o la Alta dirección deben participar en la determinación del apetito y la tolerancia al riesgo y esta responsabilidad debe estar claramente aceptada. 2. La determinación el apetito de riesgo debe tomar en consideración las expectativas y actitud hacia el riesgo de los stakeholders de la empresa; su Marco normativo y su solidez financiera. 3. La simple definición del apetito de riesgo no logrará que la empresa gestione adecuadamente sus riesgos. Tanto el apetito cómo la tolerancia al riesgo, deben pasar de ser una declaración estratégica de la Dirección a un conjunto de mecanismos que faciliten la toma de decisiones a todos los niveles de la empresa. 4. Las empresas deben contar con sistemas de medición que permitan monitorear de forma oportuna no solo el desempeño de sus operaciones, sino el desempeño de su sistema de control interno. 5. La anterior requiere que las empresas cuenten con un perfil de riesgo completo (relación de sus riesgos) y que estos riesgos estén debidamente clasificados y

11 Bibliografía. 10 Bibliografía. relacionados con otros elementos de su arquitectura de negocio, tales como objetivos, procesos, estructuras de organización, etc. The Risk Perspective, Exploring Risk Appetite and Risk Tolerance. RIMS Executive Report. Morgan O Rourke Editor. Enterprise Risk Management Integrated Framework, COSO, AS/NZS ISO 31000:2009, Risk management - Principles and guidelines, 2009 BOARD OF DIRECTORS - TERMS OF REFERENCE HSBC HOLDINGS PLC Barclays PLC Annual Report 2010