Buscar
  • Liliana

Beneficio para el Directorio de asegurar un adecuado Gobierno Corporativo de riesgo y control

Actualizado: 2 de may de 2019


Contexto

La confianza en la empresa se basa en su reputación, esta se gana con mil actos, pero se pierde con tan sólo uno. En el actual entorno tan complejo y competitivo, la reputación y la confianza se transforman en un activo intangible muy valioso que deben ser atesorado cuidadosamente, pues se marchita rápido y muchas veces no vuelve jamás. De este tema saben muchas empresas, como Intel. Después de comunicar las fallas de seguridad que afectó al 90% de sus procesadores, se produjo una gran pérdida de confianza y credibilidad, que se reflejó en una caída del 4,35% en el valor de sus acciones.

Chile es el país con el menor nivel de confianza de la región, quedando en último lugar, tiene una calificación de 6,3/10 en seis sectores analizados (alimentación y bebidas, automoción, farmacéutico, servicios financieros, retail y telecomunicaciones), según el estudio “Consumer Trust” de Llorente & Cuenca del año 2018, situación que impacta directamente el desarrollo empresarial y del país. Dicho estudio señala diversas causas, todas ellas atribuibles a serias debilidades en la gestión de riesgos y control interno, tales como: debilidades en la seguridad de las operaciones, controles de calidad, cuestiones éticas como la información del etiquetado, letra chica, publicidad veraz, etc., y cumplimiento del marco legal, dentro de otras.

Lo más paradójico es el caso del sector financiero, que recibieron las evaluaciones más bajas en el nivel de confianza, pero es uno de los que cuenta con mayor nivel de madurez en la gestión de riesgo y control interno, según otros estudios de benchmark realizados por MARSH y RIMS.

Finalmente, analizando el estudio “Consumer Trust”, se concluye que son las debilidades en el gobierno de riesgo y control, que forma parte del Gobierno Corporativo, las que han permitido generar fallas en los procesos, errores humanos o los diferentes tipos de riesgo operativo y estratégicos que impactan en la reputación y confianza de los clientes, las que lamentablemente sólo se conocen cuando el daño ya está hecho.


Estándares y responsabilidad del gobierno de riesgo y control

El Comité de Supervisión Bancaria de Basilea, en sus orientaciones de Principios de Gobierno Corporativo para Bancos publicada el año 2015, señala que el Directorio es responsable de vigilar un marco sólido de gobierno del riesgo y control. Esto, incluye una cultura del riesgo sólida, un apetito por el riesgo bien desarrollado y articulado, responsabilidades bien definidas para la gestión de riesgos y funciones de control, basadas en lo establecido por el Modelo de las tres líneas de defensa -M3LdD- cuyos objetivos principales son aumentar la eficiencia de las áreas especializadas, y la efectividad de los sistemas de gestión del desempeño, riesgo, control y cumplimiento normativo.


El M3LdD establece claramente la responsabilidad de cada línea de defensa:

- 1º línea de defensa (negocio y soporte): son responsables de cumplir el desempeño esperado por los stakeholders, reducir la incertidumbre (ya que son los propietarios de los riesgos), tener un eficiente sistema de control interno y cumplir con la normativa vigente. Para cumplir con su responsabilidad requieren apoyo de áreas especializadas, que es la 2º línea de defensa.

- 2º línea de defensa (áreas especializadas): responsable de proponer a la Alta Administración estándares de gobierno, desempeño, riesgo, control y cumplimiento normativo, asegurar su implementación, evaluar su madurez como parte del proceso de mejora continua, ser contraparte técnica efectiva de la 1º línea y jerárquicamente independiente de esta.

- 3º línea de defensa (auditoría interna): responsable de garantizar al Directorio, dentro de otros temas, que el marco de gobierno corporativo general, incluido el marco de gobierno de riesgos y control, es eficaz y está alineado a las políticas y apetito de riesgo.


Para aumentar la eficacia del M3LdD, Basilea señala que el Directorio puede establecer los siguientes comités especializados de directores:

  • Comité de Auditoría: Debe contar con un presidente que sea independiente, y no presida el Directorio u otros comités, constar íntegramente de directores independientes (no ejecutivos), incluir miembros con experiencia en prácticas de auditoría, divulgación de información financiera y contabilidad.

  • Comité de Riesgos: Debe contar con un presidente que sea director independiente y no presida el Directorio u otros comités; incluir una mayoría de miembros independientes, incluir miembros con experiencia en temas y prácticas de gestión de riesgos. Es responsable de asesorar al Directorio sobre el apetito por el riesgo actual y futuro del banco, vigilar la aplicación por la alta dirección del modelo de gestión de riesgos, vigilar las estrategias de gestión de todos los riesgos y su alineamiento al apetito de riesgo, notificar el estado de la cultura de riesgo en el banco e interactuar con el Chief Risk Officer y vigilarlo.

  • Comité de Ética y Cumplimiento: Debe garantizar que el banco cuenta con los medios apropiados para promover una toma de decisiones adecuada, la debida consideración de los riesgos para la reputación del banco y el cumplimiento con las leyes, regulaciones y normas internas.

Por otro lado, las Normas Internacionales para el Ejercicio de la Profesión de la Auditoría Interna - IPPF- del año 2017 señalan que Auditoría Interna es responsable de evaluar y contribuir a la mejora del gobierno corporativo, gestión de riesgos y control. Para esto, el ejecutivo de auditoría debe evaluar el nivel de madurez de la 2º línea de defensa y su impacto en la organización, y en base a este resultado, elaborar el plan de anual de auditoría para asegurar una cobertura adecuada y minimizar la duplicación de esfuerzos con la 2º línea. Para realizar la evaluación de la 2º línea de defensa, el The Institute of Internal Auditors recomienda el uso de varias guía como “Selecting, using, and creating maturity models: a tool for assurance and consulting engagements” o “Marco de relaciones de la Auditoría Interna con otras funciones de aseguramiento”, entre otros.

Fracaso del “gobierno de riesgo y control”

Situación internacional

El Instituto de Estabilidad Financiera de Bank For International Settlements, en el documento ocasional No 11 del 2015, señala que, a pesar de la adopción entusiasta del M3LdD en las principales instituciones financieras del mundo, se han producido una serie de escándalos bancarios. Las fallas en los sistemas de gestión preventiva de riesgos y control interno han jugado un papel importante en las pérdidas financieras, llevando a bancos muy cerca de la quiebra.


Formando parte de las causas fundamentales de dichas fallas, se detectan incumplimiento en las recomendaciones del M3LdD y estándares relacionados a la gestión de riesgo (como COSO ERM 2017 – ISO 31000 2018) y control interno (COSO IC 2013), como las descritas a continuación:


1. Incentivos inadecuados para tomadores de riesgo en primera línea de defensa.

2. Debilidad en los proveedores de aseguramiento de la 2º línea de defensa por falta de:

  • Un comité de supervisión del riesgo a nivel de Directorio

  • Un líder que integre la 2º línea, Chief Risk Officer (CRO)

  • Independencia respecto de la 1º línea.

  • Jerarquía respecto de la 1º línea.

  • Conocimientos y experiencia.

  • Información en tiempo real y comprensión sobre los riesgos estratégicos y operacionales.

3. Debilidad de Auditoría Interna:

  • Evaluación inadecuada y subjetiva de riesgos;

  • Se centran en áreas de riesgo equivocada;

  • Se tardan en la validación y entrega de los resultados.



En el año 2017 la OCEG (Open Compliance Ethics Group) realizó un benchmarking entre 578 organizaciones a nivel mundial sobre el nivel de madurez en la implementación e integración eficiente de los estándares de gobierno de riesgo y control, y sistemas de gestión relacionados al desempeño, riesgo, control y cumplimiento normativo. Los resultaron señalan que el 72% de las empresas han avanzado en diferentes niveles (10% maduras, 25% han integrado parcialmente y 37% lo han hecho en alguna parte de la organización). Tal como se aprecia en la figura, no contar con un adecuado nivel de madurez en estos temas genera múltiples impactos. A mi juicio el peor de todos es la falta de visibilidad que el Directorio tiene respecto de la organización, ya que no sabe que no sabe, lo cual lo sitúa en una posición de mucha vulnerabilidad.

Realidad en Chile

La Superintendencia de Valores y Seguros publicó en Chile la Norma de Carácter General Nº 385 – NCG385- el año 2015, la que establece normas de difusión de información respecto de las prácticas de Gobierno Corporativo adoptados por las sociedades anónimas abiertas. Esta norma consiste en una autoevaluación en relación a la implementación de 99 prácticas de Gobierno Corporativo, que debe ser respondida por las sociedades anónimas abiertas cada año. De acuerdo al último resultado del año 2017, las 212 empresas que respondieron la encuesta, cumplen solamente con el 41% (9 de 22) de las prácticas relacionadas a la gestión y control de los riesgos. Lo peor de todo, es que entre el 2015 y 2017 solo han subido 1 punto por año, por lo que al realizar una simple proyección lineal, en 50 años más (año 2068) las sociedades anónimas abiertas en Chile recién alcanzarán el estándar exigido por el regulador. Según el estudio, los motivos expresados por las empresas por la no-adopción de las prácticas, en muchos casos son muy poco explicativas, repitiéndose respuestas tales como: “El Directorio no estima necesario tener la práctica de…”.


En el caso del sector financiero –que debiese ser es el más maduro en Chile respecto a buenas prácticas de Gobierno Corporativo– las memorias 2017 y 2018 de tres bancos en Chile, indican que tienen implementado el M3LdD con distintos niveles de madurez, por ejemplo, uno de ellos declara en detalle que cuenta con:

  • Un Comité Integral de Riesgo, integrado sólo por directores que verifican, entre otros, el cumplimiento de los objetivos estratégicos, en función de los riesgos asumidos y potenciales, identificando focos de alerta.

  • Un Chief Risk Officer (CRO), adicional a las unidades de riesgo existentes, que controla y monitorea integralmente todos los riesgos, informando al Directorio a través del Comité de Riesgos.

  • Una cultura de riesgos evaluada y gestionada.

  • Definición de Apetito de Riesgo el cual es utilizado para evaluar y definir el perfil de riesgos esperado.

La pregunta es ¿por qué las empresas no cuentan con un adecuado gobierno de riesgo y control, según los estándares internacionales y la NCG 385?. Algunos motivos que me han expresado las empresas son:

  • Los directores no dominan a cabalidad las prácticas de gobierno de riesgo y control.

  • Aumenta la burocracia y es un mayor costo, por lo que afecta la eficiencia y agilidad del negocio.

  • Es una responsabilidad de la Alta Administración, la cual está muy preocupada por el cumplimiento de sus metas, principalmente financieras.

  • No es bueno “amarrarse” a estándares internacionales.

  • Auditoria Interna no sabe explicar estos temas al Directorio.

Conclusión


Contar con un adecuado “gobierno de riesgo y control” genera para la organización eficiencia, mayor robustez y capacidad de resiliencia para enfrentar las diferentes amenazas, tal como se puede visualizar en la figura.


Para un director, producto del aumento en sus responsabilidades legales, contar con un adecuado gobierno de riesgo y control, se transforma en un seguro que le permite cumplir con su responsabilidad en forma efectiva, y también dormir tranquilo.


Finalmente recomiendo que el Directorio, como responsable de velar por un adecuado gobierno de riesgo y control, solicite a la unidad de Auditoría Interna una evaluación integral de su nivel de madurez. Con los resultados del diagnóstico, solicitar un plan de acción de corto, mediano y largo plazo, con metas claras y medibles, debiendo ser esta actividad liderada por la Gerencia General.

368 vistas
  • Grey Twitter Icon
  • Grey LinkedIn Icon
  • Grey Facebook Icon
REGÍSTRATE Y MANTENTE ACTUALIZADO!
  • LinkedIn Social Icon
  • insta