ERM - COMO BASE DEL GOBIERNO COORPORATIVO

ERM como base del gobierno corporativoIncumbencias de Auditoría y ERM

Incumbencias de Auditoría y ERM

A continuación, entramos en un tópico nuevo: las incumbencias de Auditoría y de ERM. Algunos las tenemos bastante claras, pero suelen no estar claras en general en el mercado. Roles y responsabilidades: todos en la empresa tienen responsabilidad en ERM: el Comité Ejecutivo, la Gerencia de línea, los risk officers, los auditores, el compliance officer y el personal. Todos están involucrados, de modo tal que acá el plan de training y de involucramiento y de distribución de roles tiene que ser completo. A ERM no lo hace uno solo.

Veamos el Estándar 2110.A1 del IIA: “Auditoría Interna tiene que monitorear y evaluar —no hacer— la efectividad del gerenciamiento de riesgos en la organización”. Acá está la separación entre lo que tiene que hacer Auditoría y lo que tiene que hacer la línea como gerenciamiento de riesgo. Hay una opinión similar enunciada en el Código Combinado, que acaba de revisarse en 2003, y también en el Informe Turnbull de 1999. Las normas que nosotros acabamos de recibir de Boston en el Banco también hablan de esto y hay un párrafo subrayado que dice que es la línea la que tiene que hacer todo esto, respaldada por assurance o por ERM, pero no por Auditoría. Y lo tiene así porque está escrito en las nuevas regulaciones, con lo cual se vuelve a lo básico, a que Auditoría, después de la SarbOx, debe poner más énfasis en lo contable. Todos queremos hacer más pero no podemos ser auditores, advisories, hacer gestión de riesgo, ser compliance officers, tener toda una gama de cosas que nos desvía del objetivo contable que finalmente es el que tenemos que asegurar (los auditores)
En esta diapositiva hay un párrafo que está traducido literalmente. Resulta que la filial del Reino Unido del Instituto de Auditores Internos lleva mucho la directiva en esto y, a pesar de que es un capítulo que por supuesto depende de la central mundial, se maneja en forma bastante independiente y a mí me consta a través de muchos años de seguimiento que es líder en esto y emite una serie de documentos que se llaman position statements. La opinión formal del Instituto sobre ERM: Auditoría Interna debe permanecer independiente y debe verse así en todo momento del proceso de gerenciamiento, es decir, debe ser y debe verse así. Opina que la responsabilidad primaria del gerenciamiento es de la línea y que los auditores internos no deben gerenciar riesgos y su responsabilidad es evaluar el proceso como cualquier otro proceso. Así se expidió en 2002 —hace menos de un año— el Instituto.

Organigramas -Gran Corporación
En este esquema vemos cómo algunas corporaciones tienen embebido el tema de gerenciamiento del riesgo: acá está el directorio; el CEO; acá está el Comité de Riesgos con funciones que vamos a detallar en un momento; aquí se encuentra el risk officer, y acá están las líneas de negocios. Como ven, Auditoría tiene incumbencia de control y de evaluación en todo excepto en el Directorio. El resto está bajo el control de Auditoría, con lo cual los risk officers somos evaluados por ella. Éste es el esquema claro de compañías estadounidenses e inglesas.
Ahora bien, como ERM trae algunas resistencias y es muy nuevo, se han hecho montones de consultas y también el mismo Instituto, en su filial del Reino Unido, dentro del mismo position paper ofrece este otro esquema en forma transitoria hasta que se arranque con el esquema y el RO camine solo, digamos. Acá están el Directorio, el CEO y demás, y por otro lado está el Comité de Auditoría, con el número uno de Auditoría (CAE) que tiene Auditoría propiamente dicha y Risk Management. Son dos unidades separadas pero que reportan a un mismo director ejecutivo. Esto está aceptado como transición, pero exige alguien totalmente posicionado en la empresa, independiente, ético y con todas las cualidades habidas y por haber. Además, es transitorio hasta que esta parte pase a la línea. ¿Por qué está puesto así? Porque, como hablábamos al comienzo, toda esta parte de la empresa, de gobierno corporativo, no conoce qué es ERM, no leyó el informe, a veces ni siquiera leyó el COSO de 1992, por lo que ésta es una manera de que esto comience a ser aceptado. Así como el COSO llevó un tiempo en madurar, esto también va a llevar un tiempo de maduración, pero va a ser mucho más breve por lo que vamos a ver ahora.


El Reporte COSO ERM 2004
Pasemos al Informe COSO 2004. Hasta el 15 de octubre estuvo en borrador, en exposure draft, para poder opinar. Se piensa poner en práctica a comienzos de 2004. Es similar al COSO de 1992, aunque no será obligatorio para todos, pero seguramente se seguirá el criterio inglés del Código Combinado en el sentido de que algo debería cumplirse pero, si no se cumple, hay que explicar por qué. O sea, el Código dice: “Las empresas deberían cumplir con esto. Si no lo cumplen, expliquen por qué”. De hecho, el COSO es “obligatorio” para los que coticen en la Bolsa de Londres, pues explicar “porqué no” no es aceptado en los mercados. Presten atención a este dato que es de KPMG, también del Reino Unido: el 80% de los administradores de capitales pagan más por acciones de empresas con demostración efectiva de manejo de riesgos en un promedio del 11% de plus. Uno de los expositores anteriormente también mencionó algo parecido, sólo que de McKinsey. Al oírlo, recordé esto que dice KPMG en un documento llamado “Asset Managers Pay More for Well Governed Companies”. En otras palabras, esto va a ser de aplicación mucho más acelerada que el Código y que el COSO de 1992 porque atrás hay muchas normas que lo están pidiendo.

Relación entre ERM y las regulaciones post-Enron
El COSO 2004 deberá aplicarse inmediatamente y será la base de sustentación de la Ley Sarbanes-Oxley. En casi todo lo que nos llega de nuestras casas matrices, vemos que dicen: “Te envío todo esto del proyecto SarbOx. Básalo en el COSO”. Lo evaluará la SEC cuando venga, sin dudas. También se exige para los que coticen en el London Stock Exchange. Será el apoyo del CEO y del CFO para certificar. Será materia prima de Auditoría Interna en las evaluaciones; Auditoría vendrá y preguntará: “¿Cómo está evaluando, documentando, etcétera, este riesgo?”. Servirá para asistir al Board en el cumplimiento del corporate governance. Y fíjense en el último bullet de la diapositiva: el Decreto 677/01 dice expresamente en el artículo 15-C que el Comité de Auditoría debe supervisar la aplicación de las políticas sobre la gestión de riesgos de la sociedad. Esto está literalmente tomado del 15-C, y puede que después del 28 de mayo y durante 2004 alguien tome conciencia de este artículo y quizás empiece a mirar hacia atrás para ver qué tiene que hacer en Argentina.

El Risk Champion
Llegamos a la definición del COSO, de ERM, de qué es el risk officer: es alguien que trabaja con otros gerentes para establecer y mantener un efectivo gerenciamiento de riesgos en sus áreas de responsabilidad. Tiene responsabilidad de monitoreo, asiste, releva información, es miembro del Comité de Riesgos, pero básicamente trabaja con la demás gente, porque dijimos que los involucrados en esto son todas las personas de la compañía, desde el primero al último, y es el nexo clave entre la línea —la línea es la que está en el día a día— y los evaluadores. Ya dijimos quiénes son los evaluadores: la SEC, el Banco Central, la OCC, el evaluador de riesgos, el evaluador de mercado. Esta persona, el risk officer, es el nexo clave. Fíjense que desde el punto de vista de Auditoría, ésta es la persona que tiene que garantizar el verde de los reportes. Si esta estructura no está, Auditoría va directamente a la línea en un esquema duro. Pero aquí tenemos una figura intermedia que tiene que ir de la mano con la línea y garantizar que los reportes salgan lo más verdes posible. Y es así porque, tarde o temprano, esto llega al accionista.
Las responsabilidades del risk officer son: 1) Establecer las políticas de ERM; tiene que haber política, tiene que haber roles, tiene que implementarse ERM. 2) Constituir la autoridad para RM. 3) Promocionar la competencia en ERM a través de toda la organización. 4) Integrar ERM con el resto del planeamiento de la empresa; la empresa tiene plan estratégico, tiene todo un plan que va desde los planes en palabras hasta los presupuestos en números y esto tiene que estar integrado; es decir, yo no puedo pretender ver un riesgo que no esté integrado con mi presupuesto de ganancias, de gastos y demás. 5) Establecer un lenguaje común de ERM, el cual incluye mediciones; estas mediciones tienen que ser claras y la línea tiene que saber cómo se los va a medir. 6) Tiene que desarrollar planes de acción para corregir lo que sea corregible. 7) Tiene que hacer reportes de riesgo. 8) Debe reportar al Comité de Riesgos. Uno de los mayores headhunters de esta especialidad está en el Reino Unido, que siempre es el líder en esto: Barclay Simpson, cuya dirección es www.barclaysimpson.co.uk. Yo he estado mirando el sitio y hay muchísimas búsquedas de Risk Managers.


Modelando, midiendo y cubriendo el riesgo
Seguimos con el COSO ERM: debemos modelar, medir y cubrir el riesgo. Primero hay que mirar el entorno interno de la compañía: cuál es la filosofía del gerenciamiento, si se le da importancia o no, qué cultura de riesgos tiene, qué dice el Comité Ejecutivo, qué integridad y qué valores éticos hay, qué compromiso existe con la competencia, cuál es la filosofía de la Gerencia y el estilo operativo —hay un estilo operativo en cada país, en cada empresa—, qué apetito de riesgos tiene, cuál es la estructura organizacional, cómo es la asignación de autoridad y responsabilidad, cuáles son las políticas y prácticas de recursos humanos. De manera que primero hay que ver todo el entorno interno antes de establecer la política.
Luego está el establecimiento de objetivos. Primero, los objetivos estratégicos, los riesgos relacionados con la estrategia. Los objetivos relacionados, es decir, no hay ningún riesgo ni intención de control que estén aislados en la compañía; todo es una sinergia de cosas y una cadena. No hay que perder esta relación porque, si lo hacemos, corremos el riesgo de que nos digan: “Este objetivo está priorizado por encima del otro”. Por eso tenemos que seleccionar qué ver a través del apetito y la tolerancia de riesgos: evitar, reducir, transferir, asumir.
Tenemos que identificar los eventos. Cuáles son los eventos. Cuáles son los factores que influyen sobre la estrategia: los económicos, los naturales, los políticos. Acá debemos tener mucha información. No podemos estar dentro de una oficina y hacer esto en un laboratorio; hace falta comunicación con todo el mundo. Cuáles son las metodologías y técnicas. Cómo es la interdependencia de los eventos, sobre lo que hablábamos recién. Cuáles son las categorías de eventos; priorización. Cuáles son los riesgos y las oportunidades.
Esta diapositiva se refiere a la evaluación de riesgos. Quizá la palabra self-assessment les suene de auditoría, pero aquí no se está hablado desde el punto de vista de auditoría y de las matrices. Se trata del riesgo más profundo y no de revisarlo una o dos veces al año o cuatrimestralmente, sino la evaluación de riesgo continua. Los riesgos inherentes y residuales. La probabilidad de que ocurran o no, la apariencia —pueden estar disfrazados o no— y otra vez el tema de la visibilidad, que es el riesgo oculto.
En cuanto a la respuesta al riesgo, hay que identificarlas, evaluar las diferentes respuestas posibles, seleccionar las respuestas y visión de portafolio. Seguramente hay muchas respuestas de riesgo y hay que consensuarlas, verlas, aceptarlas y, después, monitorearlas de acuerdo con lo que se haya consensuado en la respuesta. Yo no puedo ponerle a mi matriz cualquier cosa porque después el director de la línea pregunta porqué.
Actividades de control: integración con la respuesta, de acuerdo con lo que hayamos definido; tipos de actividades de control y temas que son ya sabidos.
Seguidamente, tenemos la etapa de información o comunicación. Mucha información, porque es relevante para el proceso de la toma de decisiones y es brindar un mensaje. Y la comunicación, que es para confirmar objetivos, orientar esfuerzos y generar sinergias, y es para cambiar un comportamiento. Es decir, si yo les comunico algo, es porque pretendo y espero que actúen de la forma comunicada. Y, otra vez, la estrategia y la integración.
Monitoreo: evaluaciones separadas; evaluaciones dinámicas; quién evalúa, y este último bullet que es el más importante: ERM es un proceso de evaluación en sí mismo, es decir, todo el proceso, que es continuo y que tiene los pasos que nombramos y que se amplían cada día.

Mediciones
Pasemos a analizar algunas herramientas de evaluación. El VAR (Value at Risk): en realidad esto está puesto para activos, tasas, retornos, pero puede ser para cualquier tipo de cosa financiera. No necesariamente para un banco. Puede ser la parte financiera de cualquier empresa que mueve valores. Es la peor pérdida esperada en un intervalo de tiempo bajo condiciones de mercado normales. Es decir, es el valor —$100— afectado por el riesgo: quizás el valor sea $98 si el riesgo es poco, quizá sea $50 si está muy expuesto al riesgo. Pero debemos saber que nuestros activos pueden reducirse en su valor con respecto al riesgo.
El RAC o capital ajustado por riesgo: también acá vamos a ver muchos conceptos de Basilea, Basilea es un Comité para Bancos que dicta normas de gerenciamiento de riesgo, entre otras, fundamentalmente riesgo de crédito y riesgo operacional, y donde básicamente tenemos que mostrar capitales de acuerdo con exigencias de exposición al riesgo.
Los stress tests: es llevar a valores extremos algunas medidas para ver qué riesgo máximo puedo tener. Puede que llevándolo al extremo no tenga nada que hacer porque el valor extremo es pequeño.
Sensibilidad: es decir, ¿varió algo? ¿Varía lo demás? ¿O se queda estable?
Pérdidas en diversos casos supuestos y reales. Lo que hay que hacer aquí es cargar una base de pérdidas y de las causas de las pérdidas. Yo puedo presuponer cosas y ver qué pérdida tendría “en caso de”. Esto también se pide mucho para Bancos: las pérdidas y el porqué.
Medidas de concentración: si el riesgo está concentrado, está disperso, dónde está.
Medidas de correlación: aquí se ponen en juego fórmulas matemáticas, que tal vez no son tan importantes como el sentido común.
Revisiones de procesos y walkthrough, que es “caminar a través de”. Acá hay que revisar un proceso desde que nace hasta que muere y ver dónde están los riesgos.
Más mediciones: Las famosas matrices de riesgo que ya conocemos. Los perfiles de riesgo o scorecards, es decir, tratar de hacer cuantitativo algo que en el origen fue cualitativo y dibujar un planito de cosas para que nada quede aislado. Los famosos indicadores clave de performance, de riesgo, u otros.
Los límites; por ejemplo, le doy al cliente hasta tal límite de dinero, pongo mis sistemas hasta tal pago por caja, pongo en el ATM hasta $1000 por día, no considero lavado de dinero hasta tal monto; es decir, todo tipo de límites. Todos los Sistemas de Información Gerencial (MIS), que son una herramienta para RM si están bien hechos, lógicamente. Las bases de pérdidas centrales sobre las que ya hablé. Los informes de eventos de riesgo; acá nosotros tenemos este tipo de informes y en realidad hay que declarar cuando ocurre un evento de riesgo, ya sea que termine en pérdida o no, para ver cuál es la debilidad y qué hacemos en consecuencia, y eso es bueno.
Las bases de open issues o de problemas abiertos: seguramente va a haber que tener esto disponible para las exigencias de la SarbOx, más allá del disclosure o no y de que sea interno o no, o que sea para la Alta Gerencia, pero debemos tener una base donde queden claros todos los problemas de la empresa; podemos tenerlos en Auditoría o en ERM, es lo mismo, pero los problemas tienen que estar ahí; no puede haber cosas ocultas porque el espíritu de todas estas nuevas leyes es justamente la transparencia. Un proceso de assurance continuo; esto se ve periódicamente, cuando cada tanto viene Auditoría, salvo que Auditoría tenga un monitoreo continuo a través de CSA, de indicadores y de otras cosas. Planes de acción correctivos que consten. Los estándares de calidad también nos sirven; todo esto es input que, si se consigue, me ayuda a gestionar el riesgo en la empresa.
Hacia dónde va el riesgo: sube, baja, qué me indican el mercado, la empresa, el proceso de fabricación; para eso hago un reporte de tendencia. ¿La calidad de esto es cada vez mejor? Entonces puedo monitorearlo de otra forma. La frecuencia, la severidad, las probabilidades. Cotejar los riesgos con el mercado (“mark to market”) o cotejarlos con un modelo (“mark to model”); tengo dos formas de hacerlo, que pueden ser mixtas: tengo un modelo y quiero que mi riesgo se ajuste al modelo y lo que esté fuera del modelo es el desvío; otra forma es contra el mercado: consigo datos del mercado, puede que no sea lo óptimo pero el mercado lo tolera y bueno, estoy en el mercado. Un sistema detector de operaciones inusuales; nosotros, estamos implementando uno para el fraude con cheques; se trata de sistemas que detectan —en función de una inteligencia que el mismo sistema hace— cuáles son operaciones inusuales; i.e.: si tenemos una persona que es empleado y recibe su remuneración en el día 30 de cada mes; si la persona mueve dinero todos los días intermedios del mes y por una cifra mucho más grande, eso es inusual y tenemos que ver por qué. La calidad de datos: tiene que haber un quality assurance de sistemas; lo que sale de sistemas tiene que estar revisado, no puede salir así no más. Los gaps de control interno: planeamos esto pero hicimos otra cosa; Medidas de motivación de RRHH y grado de pertenencia a la empresa, Qué tanto motiva la empresa a su gente? Temas financieros: las famosas coberturas con otras monedas, derivados y swaps, pero esto ya es muy financiero. Los seguros y las garantías. El sentido común, que no debe olvidarse porque es lo más importante.

Basilea II
Aquí tenemos una diapositiva sobre Basilea II que, como les contaba, es para Bancos. Sin embargo, fíjense que el segundo bullet —“asegurar que la estructura de gerenciamiento de riesgos esté sujeta a auditoría interna operacionalmente independiente”— coincide con lo que dice el Instituto en cuanto a las incumbencias entre ERM y Auditoría. También hay que revisar la estrategia, aprobar la estructura, desarrollar las políticas, los procesos y los procedimientos; identificar el grado de exposición a las pérdidas. Basilea II, asimismo, propone cargos de capital de acuerdo con países, exposiciones al riesgo y demás.
Básicamente, en virtud de Basilea II se monitorean el riesgo de crédito y el riesgo operativo; lo que ocurre es que el operativo ya incluye a otros tantos. Esto ya es muy específico pero hay que medir probabilidad de incumplimiento, pérdida en caso de incumplimiento, exposición al riesgo, vencimiento... Con lo cual hay indicadores; por ejemplo, si alguien no me paga ni siquiera la primera cuota del crédito, eso ya constituye un indicador de fraude. Acá hay ratios y, finalmente, esto deriva en provisiones y en esquemas contables.
Los métodos son: Para riesgo de créditos (métodos standard, de IRB Básico e IRB avanzado), y para riesgo operativo (método de indicador básico, método standard, y métodos de medición avanzada –AMA-).


Sin politica de riesgos, y sin ERM…
Veamos qué sucede sin política de riesgos y sin ERM. Si no tenemos nada al respecto, entonces no es posible hacer una auditoría basada en riesgos objetivamente. Es decir, tengo mis matrices, me muevo a través de la empresa, pero no sé si tengo todo el soporte y la forma de consenso que mencioné antes como para decir: “Voy a medir el riesgo que realmente la empresa quiere”. No es posible hacer una auditoría completa; es decir, yo hago lo que creo que mi plan me dice que es completo pero tal vez me olvido de cosas que no están medidas ni evaluadas. No hay cobertura de riesgos independiente día a día; es decir, Auditoría lo hace periódicamente y no en el día a día, porque el día a día lo hace la línea. No es posible maximizar el retorno de control self-assessment o la cobertura de assurance porque no sé adónde dirigir mis cuestionarios, no sé a quién pedirle documentación, no sé a quién preguntarle el sí/no. Pueden no detectarse necesidades de reingeniería. Puede haber riesgos no visibles, ya que se actúa por inercia. Se incrementa el riesgo de malas sorpresas. También se incrementa la dependencia de los “gerentes estrella” sobre los que ya hablamos: “No, el gerente conoce esto mejor que nadie”, pero ocupan en el fraude de cuello blanco las primeras estadísticas. Y, obviamente, sin ERM se dificulta notablemente el gerenciamiento de fraude (FRM).


El Comité de Riesgos.
El Comité de Riesgos estaba puesto en el organigrama que les mostré y es justamente un comité similar al de Auditoría pero que aprueba los productos, aprueba los procesos, aprueba los sistemas, aprueba los riesgos; por ejemplo, si sale algo nuevo en la empresa, el Comité tiene que aprobarlo o tiene que validar lo que existe. Provee liderazgo para las prácticas de gerenciamiento. Aprueba las políticas de riesgo. Promociona la comunicación. Evalúa la efectividad y asiste a toda esta gente: directores, Auditoría, compliance... ¿Por qué asiste a todo esto? Porque es necesario que la empresa tenga claro que ERM, como dijimos, parte de la Alta Dirección, es parte del corporate governance. Por lo tanto, tiene que haber un Comité de Riesgos. En el Banco lo tenemos; todos los bancos estadounidenses lo tienen y funciona al máximo nivel. Y puede haber subcomités: ALCO, que es Assets and Liabilities Committee para negocios de tesorería, de créditos, operacional, etc.

El desafío de persuadir al Comité Ejecutivo de implementar ERM
¿Cómo hacemos para persuadirlo de que implemente esto? Todos sabemos que se viene la obligatoriedad. Pero podemos decirle que servirá para evitar ser la futura Enron, para permanecer en el tiempo, para competir, para atraer inversiones; ya vieron el comentario del Instituto en el Reino Unido: aquel que cotice recibe mejor paga por sus acciones. Para reducir riesgos, para dar respuesta a la SarbOx, para cotizar en el mercado de valores, para resistir la exposición pública de los medios y para seguir los estándares pioneros. Razones hay, el problema es que hay que convencer al Comité con esta lista de motivos, que podrían ser más.

Como embeber ERM en la Organización
Ahora, también hay que embeber ERM en la organización. Por eso esto tuvo una evolución, desde el risk management que no tenía la “E” adelante, hasta ahora que el COSO se la agregó y lo especificó. No debe ser una función standalone; esto es un recordatorio. Acá trabaja toda la empresa. El risk officer debe ser el facilitador, es decir, quien está en medio de ERM. Es necesario que haya training. El proceso puede requerir dos años o más, de acuerdo con el tamaño y los recursos. Cuanto antes se comience, mejor porque, lógicamente, los dos años se cuentan desde el momento en que se empieza. Resulta importante definir basics: un idioma, una moneda, una política, una metodología; no podemos hablar de cincuenta cosas a la vez. Y también se requiere un avance gradual, como mostraba una de las diapositivas.

Estructura: Gasto o Inversión?
Ahora bien, ¿cuánto cuesta cotizar en las bolsas y estructurar ERM? No es gratis. El costo está de acuerdo con el tamaño de la empresa, con el riesgo, con la distribución. Piensen que la norma está hecha en los Estados Unidos con una filosofía de gasto que no es la nuestra y que, después, se copió en nuestro país, donde existe una gran resistencia a implementarlo, sobre todo por los gastos. Es, en realidad, una inversión. ¿Por qué? Habría que preguntárselo a quienes quizás hubiesen podido prevenir quiebras, no sólo con ERM sino con todo el esquema del gobierno corporativo. Pero hablamos de prevenir riesgos e imaginémonos el que se nos ocurra: las pérdidas, los fraudes, las incobrabilidades. Para una empresa que tiene toda una visión de futuro, ERM obviamente es una inversión.
Ése es el resumen. Nos estamos anticipando, puesto que faltan algunos meses para que esto se publique, pero ya hay muchísimas empresas que lo usan. Justamente el COSO surge en cierta medida de la experiencia de los que ya lo usan y por eso está puesto para comentarios en Internet, para que los que ya lo usan puedan opinar acerca de qué les parece bien y qué no. Pero, sin duda, va a ser el soporte para todas estas regulaciones y le cubrirá las espaldas a Auditoría en cuanto a obtener más verdes en sus calificaciones.
Eso es todo lo que tengo para decirles. El material es extenso y tuve que comprimirlo mucho. La idea es que cada uno pueda desmenuzar cada línea y buscar un poco más, porque hay mucho para hablar sobre cada tema.