13/07/2014
Gestión
Integral de
Riesgos
CONTENIDO
Clase Tema
1 Introducción a la Gestión Integral de Riesgos
2 La Gestión Integral de Riesgos en la organización
3 Marco y proceso de ERM
4 Gestión de Riesgos
5 Planeación estratégica y ERM
6 Gestión de procesos y resultados basados en riesgos
7 Auditoria interna y control
8 Regulación y cumplimiento
9 Identificación y tratamiento de riesgos
10 Modelación de riesgos
11 Asignación de capital basado en riesgos
12 Ambiente y cultura de Gestión de Riesgos
1
� 13/07/2014
INTRODUCCIÓN A LA
GESTIÓN INTEGRAL DE RIESGOS (ERM)
OBJETIVOS
Después de terminar el contenido de este capítulo
1. INTRODUCCIÓN A LA usted estará en capacidad de:
Describir el concepto de Gestión Integral de
GESTIÓN INTEGRAL DE Riesgos.
RIESGOS (ERM) Explicar cómo las siguientes clasificaciones de
riesgos aplican y ayudan en la Gestión de
Riesgos:
Riesgo puro y riesgo especulativo.
Riesgo subjetivo y objetivo.
Gestión Integral de Riesgos
Riesgo diversificable y no diversificable.
Clasificación de los Riesgos
Elementos que motivan la ERM Cuadrantes del riesgo (al azar, operacional,
financiero y estratégico).
Proposición de Valor de la ERM
Explicar como varios elementos han
influenciado el desarrollo de la Gestión Integral
de Riesgos.
Describir el valor que puede dar a una
organización un programa de Gestión Integral
de Riesgos.
2
� 13/07/2014
1. GESTIÓN INTEGRAL DE RIESGOS
• Desde la quiebra de las grandes corporaciones, tales como Enron y Worldcom y la crisis
financiera de 2008, los reguladores financieros en todo el mundo adoptaron conceptos de
Gestión Integral de Riesgos que ahora son parte integral de varias regulaciones en todo el
mundo. A partir de ese momento, en los años noventa, aparece el concepto de Gestión
Integral de Riesgos.
• La Administración de Riesgos Tradicional se ha concentrado en los riesgos puros de la
organización, principalmente en los peligros, en cambio el concepto de Gestión Integral de
Riesgos ERM ha sido definido en los últimos años como una forma de manejar todos los
riesgos de la organización, incluidos los operacionales, financieros y estratégicos.
• En la práctica no hay una línea clara que divida la Administración de Riesgos y la Gestión
Integral de Riesgos y a veces se usan los mismos términos para referirse a las dos cosas.
1.1. DEFINICIONES DE GESTIÓN INTEGRAL
DE RIESGOS
Las similitudes de los conceptos de Administración de Riesgos y Gestión
Integral de Riesgos están demostradas en el significado que da la Organización
Internacional de Estandarización ISO del año 2009 para el concepto de
Administración de Riesgos en términos de Gestión Integral de Riesgos, donde
las define como: “actividades coordinadas para dirigir y controlar una
organización con referencia a los riesgos”.
La definición de ISO para riesgos como: “el efecto de las incertezas en los
objetivos” también refleja una aproximación entre los significados de la ERM y
la Administración de Riesgos.
3
� 13/07/2014
DEFINICIONES FUENTE
Una disciplina de negocios estratégica que soporta el logro de los Risk Management Society
objetivos de una organización, teniendo en cuenta todos los (RIMS)
riesgos y manejando el impacto combinado de estos riesgos como
un portafolio de riesgos interrelacionado.
La disciplina por la cual una organización en cualquier industria Casualty Actuarial Society (CAS)
gestiona, controla, explota, financia y monitorea los riesgos desde
todas las fuentes con el propósito de incrementar el valor para sus
públicos de interés en el corto y largo plazo.
La gestión de riesgos corporativos es un proceso efectuado por el Committee of Sponsoring
consejo de administración de una entidad, su dirección y restante Organizations of the Treadway
personal, aplicable a la definición de estrategias en toda la Commission (COSO)
empresa y diseñado para identificar eventos potenciales que
puedan afectar a la organización, gestionar sus riesgos dentro del
riesgo aceptado y proporcionar una seguridad razonable sobre el
logro de los objetivos.
1.2. PILARES TEÓRICOS DE LA ERM
No importa el origen de los riesgos, si son financieros, del azar, operacionales o
estratégicos, en cualquier caso no es lo mismo manejar los riesgos de forma
separada o junta.
Tres conceptos teóricos explican cómo trabaja principalmente la ERM:
Interdependencia
Correlación
Teoría de portafolios
4
� 13/07/2014
La gestión tipo silo que es típica de la Administración de Riesgos Tradicional ignora
cualquier interdependencia y asume que un riesgo financiero no está relacionado
con un riesgo del azar.
Los eventos son estadísticamente independientes si la probabilidad de que un evento
ocurra no afecta la probabilidad de que el segundo evento ocurra, sin embargo, los
supuestos tradicionales de independencia no son siempre válidos.
Cuando esto es inválido el efecto resultante es un ineficiente tratamiento del portafolio
de riesgos de la organización.
La correlación incrementa el riesgo, mientras que los riesgos no correlacionados
pueden reducir el riesgo al punto de proveer un balance o cobertura.
El Tercer concepto que hace que la ERM funcione bien es la teoría de portafolios
que asume que los riesgos incluidos son tanto los riesgos individuales como sus
interacciones.
Dentro del contexto de ERM un portafolio es una combinación de riesgos.
1.3. RELACIONES ORGANIZACIONALES
• Bajo el modelo de Gestión de Riesgos Tradicional, hay un
administrador de riesgos y un departamento de administración de
riesgos que manejan riesgos del azar. Esta función tradicional provee
a la organización principalmente transferencias de riesgos como
seguros.
• Las grandes organizaciones casi siempre incluyen una función de
administrador de reclamaciones.
• Muchas organizaciones incluyen seguridad ocupacional y prevención
de pérdidas en el departamento de administración de riesgos.
5
� 13/07/2014
• En ERM la responsabilidad de la función de Gestión de
Riesgos es más amplia e incluye todos los riesgos de la
organización, no sólo los riesgos del azar.
• Adicionalmente, la organización entera en todos sus niveles
es responsable de la gestión de los riesgos, al mismo tiempo
que el programa de ERM articula todos los grupos de interés.
6
� 13/07/2014
• Como facilitador, el CRO engancha a los administradores de la organización en una
conversación continua estableciendo metas estratégicas de riesgos con relación a
las Debilidades, Oportunidades, Fortalezas y Amenazas (DOFA) de la organización.
• Los grupos de interés internos incluyen empleados, administradores, junta directiva y
accionistas y los grupos de interés externos incluyen clientes, reguladores y a la
comunidad.
• La responsabilidad del CRO incluye ayudar a la organización a crear una cultura de
riesgos en la cual los líderes de las divisiones, unidades y eventualmente todos los
empleados se vuelvan dueños de los riesgos.
• En una organización que ha adoptado totalmente un modelo de ERM, identificar y
gestionar los riesgos se vuelve parte de cada proceso y cada proyecto.
• Una gestión exitosa de los riesgos de los objetivos estratégicos de la empresa se
convierte en una medida de todas las evaluaciones.
7
� 13/07/2014
2. CLASIFICACIÓN DE RIESGOS
• Clasificar los diferentes tipos de riesgos puede ayudar a una organización a
entender y manejar sus riesgos, por esto las categorías deben estar
alineadas con los objetivos de la organización y las metas de gestión de
riesgos.
• La clasificación de riesgos puede ayudar a evaluar los riesgos porque
muchos riesgos en la misma clasificación pueden tener atributos similares y
también puede ayudar con la gestión de riesgos, porque muchos riesgos en
la misma clasificación se pueden manejar con técnicas similares.
• Finalmente la clasificación ayuda con la función administrativa de gestionar
los riesgos, ayudando a asegurar que los riesgos de la misma clasificación
sean pasados por alto.
Las siguientes clasificaciones de riesgo son algunas de las más usadas
comúnmente:
• Riesgo puro y especulativo
• Riesgo objetivo y subjetivo
• Riesgo diversificable y no diversificable
• Cuadrantes del riesgo (del azar, operacional, financiero y
estratégico)
Estas clasificaciones no son mutuamente excluyentes y pueden ser
aplicadas a cualquier tipo de riesgo.
8
� 13/07/2014
2.1. RIESGOS PUROS Y ESPECULATIVOS
• Un riesgo puro es una probabilidad de pérdida o no
pérdida, pero no una probabilidad de obtener una
ganancia financiera, por esto los riesgos puros siempre
son indeseables.
• En contraste, el riesgo especulativo involucra una
probabilidad de ganar y por esto puede ser deseable.
9
� 13/07/2014
RIESGOS ESPECULATIVOS
• Los seguros funcionan principalmente alrededor de los riesgos de pérdidas y
no de los riesgos de ganancia, es decir, trabajan con riesgos puros más que
con riesgos especulativos.
• Sin embargo, la distinción entre estos dos tipos de clasificaciones de riesgos
no es siempre precisa, ya que muchos riesgos pueden tener aspectos tanto
puros como especulativos a la misma vez.
• Distinguir entre riesgos puros y especulativos es importante porque estos
riesgos deben ser manejados de manera diferente.
10
� 13/07/2014
2.2. RIESGOS SUBJETIVOS Y OBJETIVOS
• Cuando los individuos o las organizaciones tienen que tomar una decisión que
involucre riesgo, usualmente se basan en la evaluación hecha por ellos mismos.
• Esta evaluación se puede basar en opiniones, las cuales son subjetivas o en
hechos, que son objetivos.
• Debido a que las decisiones están basadas en opiniones más que en hechos, los
riesgos subjetivos pueden ser un poco diferentes a los riesgos que realmente están
presentes. En efecto, un riesgo subjetivo puede existir aún cuando el riesgo objetivo
no exista.
• Entre más cercana sea la interpretación subjetiva del riesgo, que haga el individuo
u organización al riesgo objetivo, más efectivo será el plan de gestión de riesgos.
2.3. RIESGOS DIVERSIFICABLES Y NO
DIVERSIFICABLES
• El riesgo diversificable no está altamente correlacionado y puede ser manejado a
través de diversificación o dilución del riesgo. Es un riesgo que afecta sólo algunos
individuos, negocios o pequeños grupos.
• Los riesgos no diversificables afectan a grandes segmentos de la sociedad al mismo
tiempo y están correlacionados, es decir, sus ganancias o pérdidas tienden a ocurrir
simultáneamente en lugar de aleatoriamente.
• El riesgo sistémico es el que potencialmente causa una mayor disrupción en el
funcionamiento de un mercado entero o de un sistema financiero y generalmente es
no diversificable.
11
� 13/07/2014
2.4. CUADRANTES DEL RIESGO (DE AZAR,
OPERACIONAL, FINANCIERO Y ESTRATÉGICO)
Aunque no existe un consenso acerca de como una organización debe categorizar sus
riesgos, una aproximación es dividirla en cuatro cuadrantes de riesgo:
• Los riesgos de azar surgen de las pérdidas generadas en la propiedad, la
responsabilidad civil y el personal, y generalmente son sujetos a ser asegurados.
• El riesgo operacional esta fuera de la categoría de los riesgos de azar y surge del
recurso humano o de la falla en un proceso, sistema o control, incluidos aquellos que
involucran IT.
• Los riesgos financieros surgen de las fuerzas del mercado sobre activos financieros o
pasivos e incluye riesgos de mercado, crédito y liquidez.
• El riesgo estratégico surge de las tendencias en la economía y la sociedad, incluyendo
cambios en lo económico, político o demográfico y ambientes competitivos.
Los riesgos operacionales y de azar son clasificados como riesgos puros, y lo riesgos
financieros y estratégicos son clasificados como riesgos especulativos.
12
� 13/07/2014
El foco de los cuadrantes de riesgo es diferente de la clasificaciones discutidas
previamente.
Mientras que la clasificación de riesgos se enfoca en algunos aspectos del riesgo
mismo, los cuadrantes de riesgo se enfocan en el origen del riesgo y como se
manejan tradicionalmente.
Las organizaciones definen los tipos de riesgos de manera diferente. Por ejemplo,
algunas organizaciones consideran los riesgos legales como riesgos operacionales y
las instituciones financieras generalmente usan las categorías de mercado, crédito y
riesgo operacional.
Cada organización debe seleccionar las categorías que se alineen con sus objetivos y
procesos.
3. MOTIVADORES DE LA ERM
Existen drives internos y externos que influencian la decisión de la organización para
establecer un programa de ERM.
Los motivadores internos incluyen el deseo por una aproximación comprensiva a la gestión de
riesgos que afectan una organización, así como también el reconocimiento del valor que
agrega la ERM a la planeación estratégica.
Los motivadores externos incluyen legislación, requerimientos regulatorios, estándares de
gestión de riesgos, calificadoras de riesgo, inversionistas, responsabilidad social y eventos
catastróficos.
Un programa de ERM debe comprender ambos tipos de motivadores.
Algunos programas de ERM se enfocan en el cumplimiento solo con requerimientos externos o
internos, pero estos programas no son exitosos.
13
� 13/07/2014
3.1. MOTIVADORES INTERNOS
La ERM empieza a llamar la atención de la alta gerencia, al mismo tiempo que algunos de estos
líderes empiezan a entender que no hay límite para los riesgos negativos como si lo hay en la
administración de riesgos tradicional y que la ERM puede ser usada para explotar riesgos que se
conviertan en nuevas oportunidades.
Dicho lo anterior, la implementación de ERM requiere un gran cambio en la cultura corporativa
soportada por la alta gerencia y la junta directiva.
El más grande Valor de la ERM cuando se usa para tomar decisiones con un propósito doble, es:
• Proteger los activos de la organización
• Promover el crecimiento futuro
3.2. MOTIVADORES EXTERNOS
Inicialmente la atención que prestaban las organizaciones en la ERM eran en su mayoría por
fuerzas o eventos externos.
Aunque los factores externos no deben ser el único motivador o necesariamente el más
importante para la implementación de un ERM, son inevitablemente significativos.
Los mayores motivadores externos para ERM son:
• Legislación
• Requerimientos regulatorios
• Estándares de Gestión de Riesgos
• Calificadoras de riesgo
• Inversionistas
• Responsabilidad social
• Eventos catastróficos
14
� 13/07/2014
EJEMPLOS DE LEYES Y REGULACIONES
RESULTANTES DE LA CRISIS FINANCIERA DE
2008:
Dodd-Frank Act
SEC Rule 33-9089
Uk Corporate Governance Code: 2012 update
European Systemic Risk Board
New York Stock Exchange
Tokyo Stock Exchange
Credit Rating Agencies
ESTÁNDARES DE GESTIÓN DE RIESGOS:
ISO 31000:2009
COSO ERM
BS 31100
FERMA 2002
OCEG Red Book
Basel II
Solvency II
15
� 13/07/2014
4. PROPOSICIÓN DE VALOR DE ERM
Es muy importante para un gestor profesional de riesgos entender el valor de la Gestión
Integral de Riesgos (ERM), ya que para ganar el apoyo y el compromiso de los ejecutivos de la
alta gerencia, los gestores de riesgo deben ser capaces de comunicar como la ERM agrega
valor a sus organizaciones.
Aunque la crisis financiera del 2008 ha incrementado la conciencia acerca de la Gestión
Integral de Riesgos, muchas organizaciones no tienen un programa de ERM, y otras apenas
están en programas iniciales.
Los gestores de riesgo deben tomar el liderazgo para abogar por la ERM en sus
organizaciones y desarrollar sus programas de ERM hasta la madurez; además los
administradores de riesgo deben prepararse para responder preguntas a la alta gerencia
cuando están presentando la ERM.
DESARROLLANDO UN CASO DE NEGOCIOS
PARA UNA ERM
• Una serie de preguntas prácticas y sin respuesta pueden guiar el
desarrollo de un caso de negocio para una ERM. Las preguntas
típicas son:
• ¿Por qué la organización necesita un ERM?
• ¿Qué recursos deben estar dedicados a la ERM?
• ¿Cómo será implementado el programa de ERM?
• ¿Cómo es el medio de éxito del programa de ERM?
• ¿Quién estará a cargo del programa de ERM?
• ¿Qué cosas pueden desviar el programa de ERM?
16
� 13/07/2014
Un programa de ERM maduro incrementa el éxito en la organización,
mediante la gestión, no sólo de los riesgos de pérdida, si no también los de
estrategia y oportunidad.
La ERM pueden entregar principalmente estos valores:
Mejorar el proceso de decisión estratégica
Anticipar riesgos y minimizar amenazas
Mejorar el desempeño de la organización
Cumplir con los requerimientos legales y regulatorios
4.1. MEJORAR EL PROCESO DE DECISIÓN
ESTRATÉGICA
La ERM mejora el proceso de decisión estratégico de la organización facilitando que se atiendan las
posibles amenazas y se optimicen las oportunidades.
El propósito de la planeación estratégica es determinar los objetivos de la organización y cómo los
recursos pueden ser empleados de la mejor manera para lograrlos.
Toda decisión estratégica involucra riesgos y es altamente importante que las organizaciones los
entiendan. Integrando la ERM a la planeación estratégica se puede tener una perspectiva amplia en lo
positivo y negativo y en las tasas de retorno en decisiones importantes.
Una de las funciones más importantes de la ERM en la planeación estratégica es alinear el apetito de
riesgo de la organización, con los riesgos inherentes a una decisión o una dirección importante. Esta
alineación requiere que la organización de sus primeros pasos en el tema de apetito de riesgos y
entienda los riesgos que está tomando.
Muchas organizaciones ahora tienen una declaración de apetito de riesgo, pero una ERM requiere más
que una declaración, ya que para hacer efectivo un apetito de riesgo, este deberá definirse cuantitativa
y cualitativamente para cada estrato, para que impacte la organización a todos los niveles.
17
� 13/07/2014
4.2. ANTICIPAR RIESGOS Y MINIMIZAR
AMENAZAS
El propósito de la Gestión de Riesgos es proteger a la organización de los riesgos que generan pérdidas.
Los esfuerzos tradicionales para lograr esto han incluido que los riesgos sean evitados, mitigados y
transferidos, sin embargo, en una compleja economía global los esfuerzos tradicionales han tenido éxitos
muy limitados en identificar y manejar los riesgos. En respuesta a estos nuevos retos las organizaciones
se han volcado de manera importante hacia la ERM, ya que esto les permite explorar sistemáticamente
nuevas oportunidades a la vez que manejan las amenazas.
Cuando la ERM está integrada dentro de toda la organización los riesgos pueden ser reconocidos de
manera más rápida y se pueden desarrollar mejores respuestas que con una aproximación tradicional por
silos.
Los mayores beneficios del ERM en anticipar y responder a los riesgos, son:
Anticipar y reconocer los riesgos emergentes
Identificar y manejar riesgos transversales a la organización
Minimizar amenazas que afecten el logro de los objetivos de la organización
Potencializar decisiones basadas en riesgos
4.2.1. ANTICIPAR Y RECONOCER LOS RIESGOS
EMERGENTES
La Administración de Riesgos tradicional se enfoca en elementos pasados para determinar
cómo prevenir y financiar pérdidas y aunque la ERM conserva este foco también brinda una
perspectiva a los riesgos emergentes.
Un programa de Gestión de Riesgos sólido debe considerar riesgos que no existen y no se
reconocen actualmente, pero pueden surgir debido a cambios en el medio ambiente.
Para este tipo de riesgos la identificación y el monitoreo normal de riesgos no funcionan,
porque la frecuencia y el impacto son completamente desconocidas y la experiencia ha
mostrado que cuando estos riesgos se materializan tienen un impacto significativo y no pueden
ser excluidos.
Una organización debe ajustar su radar para escanear la organización y el medio ambiente
externo en busca de riesgos emergentes internos y externos.
18
� 13/07/2014
4.2.2. IDENTIFICAR Y MANEJAR RIESGOS
TRANSVERSALES A LA ORGANIZACIÓN
De manera adicional al reconocimiento y manejo de riesgos
emergentes, la ERM puede ayudar a identificar y manejar riesgos que
afectan múltiples y algunas veces diversas áreas dentro de la
organización.
Un radar de riesgos de la organización también puede detectar
indicadores de riesgo de un área que afecta una o muchas áreas
adicionales.
4.2.3. MINIMIZAR AMENAZAS QUE AFECTEN EL
LOGRO DE LOS OBJETIVOS DE LA ORGANIZACIÓN
Aunque la Administración de Riesgos no puede eliminar los riesgos de pérdida, la ERM provee
un bono significativo en minimizar amenazas a la organización en busca de lograr sus
objetivos.
Los comités de riesgo multidisciplinarios pueden ayudar a identificar y atacar pro activamente
riesgos existentes y emergentes en toda la organización.
El proceso de ERM puede ayudar a alinear el manejo de los riesgos de los objetivos con los
objetivos estratégicos. En algunos casos cuando los riesgos son identificados de manera
correcta, un comité de riesgos puede necesitar asesorar a la alta dirección a ajustar tanto el
apetito de riesgo como la estrategia de crecimiento, para lograr una alineación entre ellos.
La ERM ayuda a la organización a lograr una aproximación adecuada a los riesgos,
minimizando las amenazas y permitiendo que la organización tome ventaja de las
oportunidades estratégicas.
19
� 13/07/2014
4.2.4. POTENCIALIZAR DECISIONES BASADAS
EN RIESGOS
Un programa de Administración de Riesgos tradicional se basa en la
transferencia de riesgos, principalmente a través de seguros, sin
embargo, hay riesgos que no pueden ser asegurados.
Los seguros representan la mayoría de los costos de riesgo para
muchas organizaciones, pero un programa de ERM ayuda a la
organización a proveer una respuesta más efectiva y a la vez a reducir
sus costos de riesgo.
4.3. MEJORAR EL DESEMPEÑO DE LA
ORGANIZACIÓN
Además de mejorar la identificación y la gestión de los riesgos, la
ERM puede ayudar a mejorar el desempeño del negocio, de la
siguiente forma:
• Mejorar la calificación crediticia
• Reducir la volatilidad en las ganancias
• Aprovechar oportunidades
• Mejor la resiliencia y la sostenibilidad del negocio
• Mejorar el gobierno de los riesgos
• Mejorar la asignación de capital
20
