Convertir los riesgos en

resultados

La forma en que las compaas lder utilizan la

administracin de riesgos para impulsar un mejor
desempeo

Nuestra visin de riesgos

Resultados. Mejoras. Estrategias. Conocimientos.

Contenido
Introduccin: administrar los riesgos
para tener un mejor desempeo .................... 1

Qu distingue a las compaas que

tienen un alto desempeo? ........................... 5

Las inversiones significativas que han realizado las compaas

en temas de riesgo a menudo no abordan reas de riesgo
estratgicas. Por ello, es posible que los altos ejecutivos no
perciban la administracin de riesgos como un elemento
estratgico para la empresa.

Nuestro estudio encontr que aunque la mayora de las

organizaciones llevan a cabo las tareas bsicas de la
administracin de riesgos, las compaas con un alto desempeo
financiero hacen ms.

Una administracin madura de riesgos

impulsa los resultados financieros .................. 2
Nuestra investigacin seala que las compaas que cuentan con
prcticas ms maduras de administracin de riesgos tuvieron el
crecimiento ms alto en ingresos, EBITDA y EBITDA/EV.

Las reas donde las compaas

buscan impulsar los resultados ...................... 4
Las organizaciones obtienen resultados en materia de riesgos
de tres formas interrelacionadas: la administracin de riesgos,
reduccin de costos y creacin de valor.

Cmo las compaas lder convierten

los riesgos en resultados .............................. 6
Los hallazgos de nuestro estudio sealan que existen cinco
componentes crticos para transformar el riesgo e impulsar un
mejor desempeo del negocio.

Conclusin: asumir el riesgo para tener

un mejor desempeo del negocio ................. 13
Las compaas que logran convertir el riesgo en resultados
crearn una ventaja competitiva. Ahora es cuando los altos
ejecutivos debern evaluar las inversiones actuales en materia
de riesgos de la compaa y buscar cmo ir ms all del
cumplimiento hacia un valor de negocio estratgico.

Introduccin

Administrar los riesgos para

tener un mejor desempeo
Desde Enron y WorldCom hasta las crisis financieras ms recientes, los sucesos de
los ltimos diez aos han cambiado considerablemente cmo las organizaciones
perciben el riesgo. Las compaas de todo el mundo han invertido considerablemente
en personal, procesos y tecnologa para mitigar y controlar los riesgos de
negocios. Histricamente, estas inversiones en materia de riesgos se han enfocado
principalmente en los controles financieros y el cumplimiento reglamentario.
Sin embargo, estas inversiones a menudo no han abordado las reas de riesgo de
negocio ms estratgicas. Por lo tanto, es posible que los altos ejecutivos no perciban
la administracin de riesgos como un elemento estratgico para la empresa. Los altos
ejecutivos posiblemente no vislumbren los riesgos que podran afectar el desempeo
financiero, o incluso la viabilidad, de su organizacin.
Surge una pregunta estratgica: Las organizaciones con prcticas ms maduras de
administracin de riesgos tienen un desempeo financiero superior al de sus pares?
Nuestras investigaciones y experiencia sealan que s.

Nuestro punto de vista es que

las compaas con prcticas
ms maduras de administracin
de riesgo tienen un desempeo
financiero superior al de sus
pares.
Nuestra experiencia con
clientes, las investigaciones y
los resultados de los estudios
confirmaron esta idea.
Randall Miller
Lder Global de Asesora
en Riesgos
Ernst & Young

Una administracin de riesgos madura

impulsa los resultados financieros
Con base en nuestra amplia experiencia con nuestros clientes, hemos observado que
las compaas que cuentan con prcticas de administracin de riesgos ms maduras
tienen un desempeo financiero superior al de sus pares. Nuestra investigacin seala
que esto se traduce en una ventaja competitiva: observamos que las compaas
que cuentan con prcticas de administracin de riesgos ms maduras tuvieron el
crecimiento ms alto en ingresos, EBITDA y EBITDA/EV.
Tasas de crecimiento anual compuestas 2004-11* por nivel de madurez de riesgo

Superior (20%)
20.3%

Medio (60%)

16.8%

Inferior (20%)

10.6%
8.3%

9.5%
7.4%
4.1%
2.5%

Ingresos

EBITDA

2.1%

EBITDA/EV

*Al 18 de noviembre de 2011.

Seis preguntas para los altos ejecutivos

1. Qu engloba el concepto de administracin de riesgos? Es responsabilidad de unas cuantas
funciones o es responsabilidad de toda la empresa?
2. Su organizacin percibe el riesgo como una oportunidad o como una amenaza?
3. Su enfoque al riesgo se centra nicamente en el cumplimiento o aporta un valor estratgico que
mejora el desempeo?
4. Qu tanta confianza tiene en la capacidad de su organizacin de administrar los riesgos que son
realmente importantes?
5. Conoce cules son los riesgos que, al administrarse adecuadamente, aumentarn los resultados
y el valor de su organizacin?
6. Aprovecha al mximo su estrategia de administracin de riesgos?

Resumen de hallazgos clave

Mediante una encuesta global y cuantitativa (basada en
576 entrevistas con compaas alrededor del mundo
y un anlisis de ms de 2,750 informes de analistas y
compaas), evaluamos el nivel de madurez de las prcticas
de administracin de riesgos y posteriormente determinamos
una relacin positiva entre la madurez de la administracin de
riesgos y el desempeo financiero.
Identificamos las prcticas lder de administracin de riesgos
que diferenciaron los diversos niveles de madurez y las
clasificamos en componentes de riesgo especficos.
Nuestros hallazgos sealan que:

Las compaas con un alto desempeo (desde una

perspectiva de madurez de riesgo) implementaron en
promedio el doble de iniciativas de riesgo clave que
aquellas compaas en el grupo con el desempeo ms
bajo.

Las compaas que forman parte del 20% en madurez de

riesgo generan un nivel de EBITDA tres veces mayor que
aquellas que se encuentran en el grupo de los 20% inferior.

El desempeo financiero est altamente correlacionado

con el nivel de integracin y coordinacin en todas las
funciones de riesgo, control y cumplimiento.

Utilizar la tecnologa de forma eficaz para apoyar la

administracin de riesgos es la debilidad u oportunidad
ms grande para la mayora de las organizaciones.

Las reas donde las compaas buscan

impulsar los resultados
Nuestra experiencia seala que las organizaciones obtienen resultados en materia de
riesgos de tres formas interrelacionadas. Algunas compaas se enfocan en mitigar
los riesgos generales de la empresa, mientras que otras se enfocan en la eficiencia,
disminuyendo el costo general de los controles. Sin embargo, otras buscan crear valor, a
menudo al combinar la mitigacin de riesgos y la reduccin de costos.

Mitigacin de riesgos
Mitigacin
de riesgos

Creacin
de valor

Reduccin
de costos

En el peor de los casos, los riesgos de una organizacin pueden extenderse a un paso mucho
ms acelerado que su habilidad para brindar cobertura. Las organizaciones deben tener la
capacidad para identificar y abordar las reas de riesgo clave, y la agilidad para cerrar las
brechas rpidamente al:

Identificar y entender los riesgos que importan

Invertir especficamente en los riesgos que son vitales para las iniciativas

Impulsar la responsabilidad y titularidad de los riesgos y evaluarlos eficazmente en todo
el negocio

Mostrar la eficacia de la administracin de riesgos a los inversionistas, analistas y
reguladores

Reduccin de costos
Mitigacin
de riesgos

Creacin
de valor

Reduccin
de costos

Para muchas organizaciones, reducir los costos en cada faceta de la organizacin sigue
siendo un punto crtico para poder sobrevivir en este entorno econmico voltil. Las
oportunidades para la reduccin de costos podran incluir lo siguiente:

Implementar un nuevo modelo operativo de riesgos para mejorar considerablemente la
estructura de costos

Disminuir el gasto en controles a travs del uso de controles automatizados

Simplificar o eliminar las actividades de riesgo que se duplican

Mejorar la eficiencia del proceso a travs de centros automatizados, actividades de
negocio y un monitoreo de controles continuo

Creacin de valor

Mitigacin
de riesgos

Creacin
de valor

Reduccin
de costos

Muchas organizaciones buscan cmo la administracin de riesgos y control podra mejorar

el desempeo del negocio. Las oportunidades podran incluir:

Obtener rendimientos superiores de las inversiones en materia de riesgo
Aceptar y asumir los riesgos adecuados para lograr una ventaja competitiva

Mejorar los controles en torno a los procesos clave

Utilizar anlisis de datos para optimizar la cartera de riesgos y mejorar la toma de
decisiones

Utilizar los ahorros en la administracin de riesgos para financiar iniciativas
corporativas estratgicas

Qu distingue a las compaas que

tienen un alto desempeo?
Nuestro estudio encontr que aunque la mayora de las organizaciones llevan a cabo las tareas bsicas de la administracin
de riesgos, las compaas con un alto desempeo hacen ms. Ciertas prcticas de riesgo estn constantemente presentes en
las compaas con el mayor desempeo (esto es, aquellas del 20% superior con base en la madurez de riesgo), las cuales no se
observaron en las del 20% inferior. Estas prcticas se pueden clasificar en las siguientes reas, como se muestra a continuacin.
Los hallazgos de nuestro estudio sealan que estos componentes son crticos para transformar el riesgo e impulsar un mejor
desempeo del negocio.

La agenda de riesgo: prcticas lder de los estudios de investigacin

Mejorar la estrategia de riesgo
Las organizaciones mantienen una comunicacin abierta y de dos vas sobre
el riesgo con los patrocinadores externos.
La comunicacin es transparente y oportuna. Le proporciona a las partes
interesadas informacin relevante sobre las decisiones y los valores de la
organizacin.
El Consejo de Administracin o Comit Administrativo tiene una funcin de
liderazgo al definir los objetivos de la administracin de riesgos.
Se adopt e implement un marco de riesgo comn en toda la
organizacin.

Mejorar los controles y procesos

Las lneas de negocio han establecido indicadores de riesgo clave
(KRI, por sus siglas en ingls) que predicen y modelan la evaluacin de
riesgos.
La autoevaluacin y otras herramientas de reporte se estandarizan en todo
el negocio.
Los controles han sido optimizados para mejorar la eficacia, reducir los
costos y sustentar un aumento en el desempeo del negocio.
Se han establecido y actualizado las mtricas clave de riesgo y control para
abordar los impactos sobre el negocio.

Habilitar la administracin de riesgos

El seguimiento de hallazgos, monitoreo y reporte se realizan de manera
regular con software GRC.
Se identifican y evalan los riesgos de manera regular con software GRC.

Incorporar la administracin de riesgos

Existe un mtodo formal para definir los niveles de riesgo aceptables dentro
de la organizacin.
Se utilizan pruebas de estrs para validar las tolerancias al riesgo.
El liderazgo ha implementado un programa eficaz de administracin de
riesgos.
Los ciclos de planeacin e informacin de riesgos se coordinan para que
la informacin actual acerca de los temas de riesgo se incorpore en la
planeacin del negocio.

Optimizar las funciones de administracin de riesgos

El hecho de que se concluya la capacitacin sobre riesgos se
incorpora en el desempeo individual.
Las herramientas de monitoreo y reporte de riesgos se estandarizan en toda
la organizacin.
La tecnologa integrada permite que la organizacin administre el riesgo, y
elimina o evita la redundancia y falta de cobertura.
El sistema de reporta notifica a todas las partes interesadas que se ven
afectadas por un riesgo, y no solo a aquellas responsables de la funcin o en
el rea en donde se identific.

Comunicar la cobertura de riesgos

Las organizaciones informan sobre su administracin de riesgos y marco
de control en su informe anual.
Las organizaciones le proporcionan certeza a sus clientes y a otras partes
interesadas por medio de informes independientes (p. ej., SOCR).

Cmo las compaas lder convierten los

riesgos en resultados
Las compaas que logran convertir los riesgos en resultados crearn una ventaja competitiva a travs del uso eficiente de recursos
escasos, una mejor toma de decisiones y una menor exposicin a eventos negativos. Ahora es cuando los altos ejecutivos de
negocios debern comenzar a utilizar una lente de riesgos ms amplia en el negocio.

La agenda de riesgo
Expectativas del comit
de auditora y de la
administracin

Mejorar la
estrategia de
riesgo
Incorporar la
administracin
de riesgos

Utilizar una lente de riesgos

ms amplia en el negocio

Objetivos, estrategias e
iniciativas de negocio de la
compaa

Optimizar las
funciones de
administracin
de riesgos
Mejorar los
controles y
procesos

Lente de resultados
Fortalecer el gobierno y supervisin de riesgos
Definir la estrategia y supervisin de riesgos y asignar
responsabilidades en cuanto a la administracin de
riesgos a nivel ejecutivo y del Consejo de Administracin
Integrar la administracin de riesgos y del desempeo
Incorporar un enfoque empresarial a la evaluacin y
monitoreo de riesgos en la planeacin del negocio y la
administracin del desempeo
Coordinar mltiples funciones de riesgo
Mejorar el uso en las mltiples funciones de riesgo para
ampliar la cobertura, reducir el costo y mejorar el valor
para el negocio
Mejorar el desempeo a nivel del negocio
Permitir que la organizacin administre los riesgos clave
con procesos y controles optimizados a nivel del negocio

Habilitar la administracin de riesgos, comunicar la cobertura de riesgos

Funciones tradicionales de
la administracin de riesgos

Resultados esperados
Valor: invertir
especficamente en los
riesgos importantes para
impulsar el EBITDA; mejorar
los controles en torno a los
procesos clave del negocio.
Costo: disminuir 30%
del costo general de los
controles; utilizar los
controles automatizados
ms eficazmente.
Riesgo: alinear los
riesgos con la estrategia
corporativa; incorporar
una cultura de riesgos en
toda la empresa y disminuir
la duplicidad de estos
por medio de una mejor
coordinacin.

Auditora Interna, Cumplimiento, Administracin de Riesgos de TI, Seguridad

de la Informacin, Legal, Impuestos, Transacciones, Cumplimiento de SOX

Cuando se trata de desarrollar y ejecutar una estrategia de riesgo, es

importante que esta contemple el desempeo del negocio, y que no
solamente proteja al negocio.
Michael Herrinton
Lder de Asesora en Riesgos de las Amricas, Ernst & Young LLP

Mejorar la estrategia de riesgo

Una administracin de riesgos eficaz comienza desde arriba
con una claridad en torno a la estrategia y el gobierno de
riesgos. Es importante que haya una adecuada supervisin y
responsabilidad a nivel ejecutivo y del Consejo de Administracin.
A nivel administrativo, los ejecutivos deben asumir una funcin
crucial en la evaluacin y administracin de riesgos. Una mejor
estructura de gobierno, reportes y comunicaciones a nivel del
Consejo de Administracin resultan en una mejor visibilidad,
responsabilidad y transparencia. Adems, reportes eficaces
y una supervisin adecuada mejoran la toma de decisiones
estratgicas.
Mejorar la estrategia de riesgos permite que las organizaciones
anticipen los riesgos de forma ms eficaz. Sin embargo, an
con la estrategia de riesgos preventiva ms robusta, es posible
que ocurran sucesos imprevistos que afecten el desempeo.
Por lo tanto, aunque es importante identificar anticipadamente
aquellas estrategias que mitigan riesgos antes de que ocurra un
suceso, es igualmente importante crear estrategias reactivas que
le permitan a la organizacin responder rpidamente en caso de
que se presente un riesgo.

Lo que estn haciendo bien las

compaas que tienen un alto
desempeo

Los resultados de nuestras investigaciones y estudios

demuestran que las compaas con alto desempeo cuentan con
las siguientes prcticas de administracin de riesgos:

Mantienen una comunicacin abierta y de dos vas sobre el

riesgo con patrocinadores externos.
La comunicacin es transparente y oportuna. Le proporciona a
las partes interesadas informacin relevante sobre las decisiones
y los valores de la organizacin.
El consejo o comit de administracin asume una funcin
importante al definir los objetivos de la administracin de riesgos.
Se adopt e implement un marco de riesgo comn en toda la
organizacin.

Caso prctico
Una compaa de Global 50 utiliza un fuerte gobierno de riesgos para
fortalecer la comunicacin con las partes interesadas.

Una empresa global de las 50 ms grandes de productos de consumo buscaba aumentar la transparencia y comunicacin con
sus patrocinadores internos y externos. Para hacer esto, comenz con establecer un Comit de Riesgos a nivel del Consejo
de Administracin. Aunque el consejo mismo funge como un comit de riesgo, no se haba asignado a una persona especfica
del consejo para atender este tema. Posteriormente se estableci un Comit de Riesgos a nivel ejecutivo y contrataron a un
Director General de Riesgos (o CRO, por sus siglas en ingls). Tambin se identificaron a los campeones de riesgo a nivel del
negocio.
Para establecer una mejor comunicacin externa, la compaa cre una estructura de gobierno y aument su agenda de riesgos general al:
Alinear el riesgo con la estrategia. Esto puede ocurrir en diferentes niveles. El nivel ms bsico consiste en asignarle supuestos adicionales en
torno al plan estratgico general, el cual normalmente abarcar de tres a cinco aos. La organizacin hizo una lista de estos supuestos adicionales, y
posteriormente formul las tres preguntas bsicas para crear un perfil de riesgo e identificar los riesgos estratgicos: 1) qu debe salir bien para lograr
nuestra estrategia?, 2) qu podra salir mal? y 3) cmo lo sabramos?
Incorporar principios de riesgo en el ciclo de planeacin de la unidad de negocio. La organizacin hizo las mismas tres preguntas a las unidades de
negocio al momento de preparar sus pronsticos de 12 meses para identificar los riesgos operativos.

Crear la estructura de gobierno de riesgos tambin incluy determinar el apetito de riesgo de la organizacin, definir el universo
de riesgo, determinar la forma como el negocio medira el riesgo y establecer una tecnologa que ayudara a administrar el
riesgo.
Hacerse las tres preguntas tanto a nivel estratgico como operativo le permiti a la organizacin documentar 80% de los
riesgos que afectan el desempeo. Adicionalmente, establecer una estructura de gobierno de riesgos, identificar funciones,
responsabilidades, crear un mandato y alcance para cada comit de riesgo que permiti la comunicacin con los patrocinadores
internos.
Al identificar los riesgos estratgicos y operativos que afectaban el desempeo de la organizacin, y al establecer un enfoque
coordinado en cuanto al riesgo en toda la empresa, la compaa pudo comunicar su estrategia de riesgo de manera segura y
abierta, fortaleciendo las relaciones y fomentando una mayor confianza en el mercado.

Incorporar la administracin de riesgos

El riesgo es inherente a los negocios, pero las organizaciones
que incorporan prcticas de administracin de riesgos en la
planeacin de negocios y en la administracin del desempeo
tienen una mayor probabilidad de alcanzar objetivos estratgicos
y operativos. Las compaas con un alto desempeo entienden
que el riesgo debe formar parte del ADN de una organizacin.
Hace varios aos, muchas organizaciones se enfocaban en
mitigar los riesgos, controlar los costos, mantener el negocio
fuera de problemas y proteger la marca. Hoy en da, ms
y ms organizaciones se enfocan en crear estrategias de
administracin de riesgos que habiliten al negocio. Por primera
vez, vemos claramente cmo las organizaciones identifican los
vnculos entre las estrategias de negocio, tecnologa y riesgo,
esto es, cmo se acoplan entre s.

Lo que estn haciendo bien las

compaas que tienen un alto
desempeo
Nuestras investigaciones y los resultados de nuestros estudios
demuestran que las compaas con un alto desempeo
cuentan con las siguientes prcticas de administracin de
riesgos:
Existe un mtodo formal para definir los umbrales de riesgo
aceptables dentro de la organizacin.
Se utilizan pruebas de estrs para validar las tolerancias al
riesgo.
La administracin ha implementado un programa eficaz de
administracin de riesgos.
Los ciclos de planeacin y reporte de riesgos son
coordinados para que la informacin actual acerca de los
temas de riesgo se incorpore en la planeacin del negocio.

Caso prctico
El valor de una buena administracin de riesgos

No entendemos el valor de nuestras iniciativas de riesgo, fue la queja del equipo ejecutivo de una compaa. Nos cuestan
mucho dinero, la implementacin es tan lenta que afecta nuestra agilidad y hay cierta confusin a nivel del Consejo de
Administracin en cuanto a los informes que reciben. Simplemente no entendemos lo que todos hacen y qu tan bien lo llevan a
cabo. Por qu? Porque no se integr el riesgo en el negocio, no se identificaron claramente las funciones y responsabilidades
y no haba una coordinacin entre las funciones de riesgo. Debido a esto, el equipo ejecutivo no tena visibilidad en cuanto a la
salud de la organizacin desde una perspectiva de riesgos.
Para resolver esta situacin, el cliente se dedic a integrar la administracin de riesgos en el negocio al:
Crear un rbol de valor. La organizacin ya haba identificado de 10 a 15 riesgos principales. Tambin haba identificado los cinco principales indicadores
de desempeo. Sin embargo, no entenda la relacin entre ambos. El rbol de valor ayud a la organizacin a vincular los cinco principales indicadores de
desempeo con los riesgos principales.
Vincular el riesgo con el ciclo de planeacin estratgica. La organizacin ya haba identificado sus riesgos principales, pero era necesario que tomara el
siguiente paso y que vinculara dichos riesgos con su ciclo de planeacin estratgica.
Incluir los principios de riesgo en el ciclo de planeacin del negocio. Al vincular el riesgo con el ciclo de planeacin del negocio, la organizacin pudo
priorizar y vincular los riesgos clave a sus operaciones.
Revisar la agenda de capital. La organizacin haba invertido mucho tiempo en reducir los gastos operativos, pero no haba abordado el tema de los
gastos de capital. El objetivo era lograr eficiencias del 15% al 20%. La organizacin revis cmo asignaba el capital.
Incorporar los principios de riesgo en las fusiones y adquisiciones. La organizacin creca a travs de fusiones y adquisiciones y la expansin hacia
mercados emergentes. Para maximizar el valor estratgico de dichas iniciativas, el CRO integr los principios de riesgo en las actividades de fusiones y
adquisiciones y del mercado emergente.

La organizacin tambin tuvo que cambiar el enfoque del Director Jurdico en cuanto al riesgo. Este crea que el riesgo era algo
que no deba documentarse, ya que una vez que se pona por escrito, se convertira en un pasivo. Al crear un vnculo directo
entre el riesgo y los formularios 10-K, la organizacin pudo obtener la aceptacin que tanto necesitaba del Director Jurdico.

Optimizar las funciones de la

administracin de riesgos
A medida que una organizacin cambia y crece, sus actividades
de riesgo, control y cumplimiento se vuelven a menudo
fragmentadas, separadas, independientes y desalineadas. Esto
tiene un impacto tanto en la supervisin de gobierno como en
la empresa misma. Suelen existir mltiples comunicaciones
dirigidas a la administracin y el consejo que se duplican y
causan confusin. La falta de coordinacin entre las funciones
puede aumentar los costos y la fatiga para el negocio.

Lo que estn haciendo bien las

compaas que tienen un alto
desempeo

Al seguir los pasos que se encuentran a continuacin, una

organizacin puede reducir su carga de riesgos (duplicidad y
redundancia), disminuir sus costos totales, ampliar su cobertura
e impulsar la eficiencia:

Nuestras investigaciones y los resultados de nuestros

estudios demuestran que las compaas con un alto
desempeo cuentan con las siguientes prcticas de
administracin de riesgos:

Alinear el mandato y alcance. Al alinear las funciones de

supervisin y control a los riesgos ms importantes para
el negocio puede optimizar el valor de las funciones de
administracin de riesgos de la organizacin.

La capacitacin de riesgo se incluye como un parmetro en

las evaluaciones de desempeo.

Coordinar la infraestructura y el personal. Una evaluacin

continua de los niveles y brechas en las aptitudes, una
congruencia en las funciones y responsabilidades y una inversin
en el desarrollo de habilidades promueve la eficiencia.
Utilizar mtodos y prcticas congruentes. Aplicar un enfoque
disciplinado para la administracin de riesgos en toda la
organizacin permitir que las funciones de riesgo hablen el
mismo idioma al momento de presentar reportes al Consejo de
Administracin.

Las herramientas de reporte y monitoreo de riesgos se

estandarizan en toda la organizacin.
La tecnologa integrada permite que la organizacin
administre el riesgo. Adems, elimina o evita la redundancia
y falta de cobertura.
Los casos en que se traslapan y duplican actividades de
riesgo fueron identificados y se estn abordando.

Implementar informacin y tecnologa comunes. Compartir

herramientas de informacin y tecnologa resulta crtico para
alinear los riesgos de negocio clave y crear visibilidad en
cuanto a las actividades de administracin de riesgos en toda la
organizacin.

Muchos ejecutivos no tienen idea de cul ser el rendimiento sobre sus

inversiones en materia de riesgos. Si dicen que sus rendimientos son neutrales,
yo les digo que no creo que eso baste.
Jonathan Blackmore
Socio de Asesora en Riesgos
Europa, Medio Oriente, India y frica
Ernst & Young

Caso prctico
Una compaa farmacutica lder crea un plan de accin para tener
iniciativas de riesgo autofinanciadas.

Cansados del estado en que se encontraba el entorno de riesgos de su organizacin, los altos ejecutivos de una compaa
farmacutica reunieron a los lderes de cada funcin de riesgo: Auditora Interna, SOX, Legal y Reglamentario, Cumplimiento y
ERM. Los ejecutivos posteriormente enumeraron una serie de temas relacionados con la administracin de riesgos general:
Confusin en torno a la cobertura de riesgos a nivel del Consejo de Administracin.
Carga sobre las unidades de negocio.
Falta de coordinacin y comunicacin al contar con ms de 13 evaluaciones de riesgo independientes.
Creacin de siete programas de riesgo diferentes.
Programa de actividades de riesgo que no se alinean con el ritmo del negocio.
Brechas al abordar los riesgos clave.
Traslapos en las funciones y responsabilidades dentro de las funciones de riesgo.
Posteriormente se les dio tres das a sus lderes de riesgo para determinar como equipo su estado actual, establecer un
estado futuro y crear un plan de accin con un rendimiento sobre las inversiones que autofinanciara todas las iniciativas de
riesgo futuras. Este reto iba acompaado de un ultimtum: si no presentaban una solucin viable al equipo ejecutivo, seran
reemplazados por lderes de riesgo que s pudieran hacerlo. De manera individual, el equipo ejecutivo seal que cada lder de
riesgo recibira una buena calificacin por sus esfuerzos actuales. Sin embargo, como cada uno invirti mucho tiempo formando
su propia visin en lugar de una visin integral, como grupo, los lderes de riesgo recibieron una calificacin reprobatoria. La
organizacin haba llevado a cabo la reingeniera de sus procesos de finanzas, la cadena de suministro y de las operaciones de la
planta. Era momento de realizar la reingeniera de la administracin de riesgos.
Como saban que no podan encargarse de todo al mismo tiempo, el equipo de riesgos arm un plan de negocios que ofreca soluciones fciles a asuntos
sencillos y que generaba xitos rpidos. En especfico, se enfocaron en seis acciones:
1. Crear un solo programa de planeacin que estuviera alineado con el ciclo de negocio.
2. Revisar el mandato, alcance y procesos para cada funcin e identificar las brechas y traslapos que deban atenderse.
3. Coordinar las evaluaciones de riesgo para que cumplieran con las necesidades de la mayora de las funciones de riesgo y redujeran la cantidad de
evaluaciones de 13 a 2.
4. Adoptar un marco, una nomenclatura y un universo de riesgo comunes.
5. Crear estrategias de mitigacin de riesgos.
6. Utilizar herramientas de tecnologa comunes para recopilar informacin en un repositorio nico al que todas las funciones de riesgo pudieran
tener acceso.

Adems de estas seis acciones, el equipo de riesgos tambin se enfoc en crear una visin nica, mejorando la comunicacin y
coordinacin.
Como resultado de sus esfuerzos, pudieron crear una visin nica de los riesgos enfocada en aquellos ms importantes, ejerci
menos presin sobre el negocio, cre una mayor agilidad y capacidad de respuesta a los temas relacionados con riesgos.
Adems se autofinanciaba.

10

Mejorar los controles y procesos

Aunque las organizaciones entienden el valor de crear controles
y procesos enfocados en los riesgos, muchas organizaciones
siguen luchando por crear entornos de control ptimos que
equilibran el costo con el riesgo.
Las organizaciones pueden mejorar el desempeo y disminuir
el gasto en controles al optimizar los controles en torno a los
procesos de negocio clave, utilizar controles automatizados en
lugar de manuales y monitorear constantemente los controles
crticos e indicadores de desempeo clave.

Lo que estn haciendo bien las

compaas que tienen un alto
desempeo
Nuestras investigaciones y los resultados de nuestros
estudios demuestran que las compaas con un alto
desempeo cuentan con las siguientes prcticas de
administracin de riesgos:
Las lneas de negocio han establecido indicadores de riesgo
clave (KRI, por sus siglas en ingls) que predicen y modelan
la evaluacin de riesgos.
La autoevaluacin y otras herramientas reporte se
estandarizan en todo el negocio.
Los controles han sido optimizados para mejorar la eficacia,
reducir los costos y sustentar un aumento en el desempeo
del negocio.
Se han establecido mtricas clave de riesgo a nivel del
negocio.

Caso prctico
Una compaa de Global 200 de productos de consumo optimiza sus
controles y costos.

Una compaa de Global 200 de productos de consumo determin que el costo de sus controles era demasiado alto. El entorno
tan controlado de la compaa afectaba la capacidad del rea de Finanzas para responder con eficacia a los cambios en el
panorama competitivo. La compaa buscaba reducir el costo de los controles para impulsar una reduccin del 50% en el gasto
de 100 millones de euros que inverta en sus controles.
Para lograr su objetivo, implement tres grandes ideas:
1. Establecer un Centro de Controles de Excelencia (CCOE, por sus siglas en ingls) global que diseara y autorizara un conjunto comn de controles.
2. Adoptar los controles creados por el CCOE al utilizar los controles de prevencin estndares de SAP.
3. Utilizar controles integrados en SAP para proporcionar certeza.

El CCOE global permiti que la compaa automatizara ms del 90% de sus controles preventivos y que eliminara controles
duplicados o ineficaces. Al utilizar SAP, la compaa minimiz el uso de controles de deteccin manuales; de esta manera
impuls un entorno de controles ms eficiente, eficaz y sin papeles. Finalmente, al utilizar los controles integrados en SAP, as
como herramientas y tableros de anlisis, la administracin pudo tener una certeza transparente y en tiempo real de que el
entorno de control funcionaba eficazmente.

Consolidar mltiples conjuntos de controles y requisitos de cumplimiento en

un marco nico habilitado por la tecnologa de GRC elimina la duplicidad en los
controles y simplifica el cumplimiento; en ocasiones reduce los esfuerzos a la
mitad.
Bernie Wedge
Lder de Riesgos y Aseguramiento de TI de las Amricas Ernst & Young LLP
11

Habilitar la administracin de riesgos,

comunicar la cobertura de riesgos
Pasar de estar reacios al riesgo a encontrarse preparados podra
requerir un cambio considerable. Las organizaciones querrn
que un campen ejecutivo est al frente de esta iniciativa, y
tambin requerirn apoyo de la alta direccin y ejecutivos
que dirijan con el ejemplo. Finalmente, la administracin de
riesgos busca cambiar la cultura del negocio. Busca modificar
la lente a travs de la cual los lderes ven su proceso de toma
de decisiones. Para ayudar a cambiar la perspectiva dentro de
una organizacin, los ejecutivos debern hacerse las siguientes
preguntas:

En dnde estamos como negocio?

Cul es nuestro apetito para el cambio?

Qu tipo de organizacin somos?

Las respuestas a estas preguntas son la base sobre la cual se

pueden tomar las decisiones en cuanto a la administracin de
riesgos.
Como parte de cualquier iniciativa de administracin del cambio,
las organizaciones tambin debern comunicarse abierta y
frecuentemente con todas las partes interesadas. Para tener
mayor certeza, las organizaciones deben proporcionar la
verificacin de un tercero independiente a las partes interesadas.
Las organizaciones tambin deben utilizar su tecnologa para
obtener el mximo beneficio. Esto no significa que las iniciativas
de riesgo deben ser guiadas por la tecnologa. Ms bien, la

tecnologa debe ser un habilitador del cambio. Las herramientas

actuales de GRC tienen la capacidad de facilitar una agenda de
riesgos entera. Esto puede incluir minimizar las redundancias,
mejorar la cobertura de riesgos y automatizar los controles.
Sin embargo, las organizaciones deben asegurar que cualquier
estrategia de TI enfocada en riesgos est alineada con las
estrategias de riesgo y negocio ms amplias.

Lo que estn haciendo bien las

compaas que tienen un alto
desempeo
Nuestras investigaciones y los resultados de nuestros
estudios demuestran que las compaas con un alto
desempeo cuentan con las siguientes prcticas de
administracin de riesgos:
Seguimiento de hallazgos, monitoreo y reportes se realizan
utilizando software GRC.
Los tableros de riesgo son automatizados e incluyen
indicadores de gobierno, riesgo y cumplimiento.
Se lleva a cabo la identificacin y evaluacin de riesgos de
manera regular con software GRC.

Ahora, ms que nunca, las organizaciones deben contar con un enfoque de

administracin integral y coordinado de gobierno, riesgo y cumplimiento. La
tecnologa puede adoptar una funcin importante para habilitar el cambio
y encontrar el equilibrio adecuado entre riesgo, costo y valor en toda la
empresa.
Paul van Kessel
Lder Global de Riesgos y Aseguramiento de TI
Ernst & Young

12

Conclusin

Adoptar el riesgo para tener un mejor

desempeo del negocio.
Los hallazgos de nuestras investigaciones y los resultados de nuestro estudio sustentan la experiencia de Ernst & Young con nuestros
clientes de que se requiere un enfoque multifactico para convertir los riesgos en resultados:

Mejorar la estrategia de riesgo. Una administracin de riesgos eficaz comienza desde arriba con una estrategia y gobierno
eficaces. Es importante que haya una supervisin y responsabilidad adecuadas a nivel ejecutivo y del Consejo de Administracin.
La necesidad de asumir la responsabilidad de los riesgos en toda la organizacin es de igual importancia. A nivel de la
administracin, los ejecutivos deben asumir una funcin crucial al evaluar y administrar los riesgos.

Incorporar la administracin de riesgos. El riesgo es inherente en cada negocio, pero las organizaciones que integran prcticas
de administracin de riesgos en la planeacin de negocios y en la administracin del desempeo tienen una mayor probabilidad
de alcanzar objetivos estratgicos y operativos. Llevar a cabo una evaluacin de riesgos en la empresa permite priorizar e
identificar las reas de oportunidad.

Optimizar las funciones de administracin de riesgos. Al alinear y coordinar las actividades de riesgo en todas las funciones de
riesgo y cumplimiento, las organizaciones pueden disminuir su carga de riesgos (duplicidad y redundancia), disminuir sus costos
totales, ampliar la cobertura e impulsar la eficiencia.

Mejorar los controles y procesos. Las organizaciones pueden mejorar el desempeo y disminuir el gasto en controles al
optimizarlos en torno a los procesos de negocio clave, utilizar controles automatizados en lugar de manuales y monitorear
constantemente los controles crticos e indicadores de desempeo clave.

Habilitar la administracin de riesgos, comunicar la cobertura de riesgos. Para que su organizacin pueda pasar de estar reacia
al riesgo a estar preparada, se requerir un campen ejecutivo que est al frente de esta iniciativa, as como el apoyo de la alta
direccin y ejecutivos que dirijan con su ejemplo. Deber comunicarse abierta y frecuentemente con todas las partes interesadas,
proporcionar certeza de terceros y utilizar la tecnologa para obtener el mximo beneficio.

Crear una ventaja competitiva

Tanto nuestras investigaciones como nuestra profunda experiencia en asesorar a compaas alrededor del mundo sealan que las
compaas que logran convertir los riesgos en resultados crearn una ventaja competitiva. Ahora es cuando los altos ejecutivos
de negocios debern evaluar las inversiones en materia de riesgo existentes y considerar cmo ir ms all del cumplimiento para
abordar las cuestiones en torno al valor de negocio estratgico. El enfoque resumido en este estudio puede servir como un mapa
invaluable.

El riesgo se est convirtiendo en la cuarta dimensin de los negocios. La

gente fue la primera. Los procesos se convirtieron en la segunda durante el
auge de la era de la manufactura. La evolucin de la tecnologa represent
la tercera. El hecho de integrar el riesgo como la cuarta dimensin de los
negocios tiene el potencial de transformar considerablemente la forma en
que las organizaciones vinculan el riesgo con los resultados.

13

Ernst & Young

Aseguramiento | Asesora de Negocios | Fiscal | Transacciones
Acerca de Ernst & Young
Ernst & Young es lder global en aseguramiento, asesora, servicios
fiscales y transaccionales. A nivel mundial, nuestros 152,000
profesionales estn unidos por los mismos valores y un compromiso
slido con la calidad. Marcamos la diferencia al ayudar a nuestra gente,
clientes y comunidades a lograr su potencial.
Acerca de los Servicios en Asesora de Negocios de Ernst & Young
La relacin entre la mejora en el desempeo y los riesgos es un reto cada
vez ms complejo y primordial para los negocios, ya que su desempeo
est directamente relacionado con el reconocimiento y manejo eficaz del
riesgo. Ya sea que su enfoque sea en la transformacin del negocio o en
mantener los logros, contar con los asesores adecuados puede marcar
la diferencia. Nuestros 18,000 profesionales en asesora forman una de
las redes globales ms extensas de cualquier organizacin profesional, la
cual integra a equipos multidisciplinarios y experimentados que trabajan
con nuestros clientes para brindarles una experiencia poderosa y de
gran calidad. Utilizamos metodologas comprobadas e integrales para
ayudarles a alcanzar sus prioridades estratgicas y a efectuar mejoras
que sean sostenibles durante un mayor plazo. Entendemos que para
alcanzar su potencial como organizacin requiere de servicios que
respondan a sus necesidades especficas; por lo tanto, le ofrecemos una
amplia experiencia en el sector y profundo conocimiento sobre el tema
para aplicarlos de manera proactiva y objetiva. Nos comprometemos
a medir las ganancias e identificar en dnde la estrategia est
proporcionando el valor que su negocio necesita. As es como Ernst &
Young marca la diferencia.

www.ey.com/mx
2012 EYGM Limited.
Todos los derechos reservados.
Clave: CLR001
Esta publicacin contiene informacin en forma de resumen y, por lo tanto, su
uso es solo para orientacin en general. No debe considerarse que sustituya un
ejercicio de investigacin detallada o una opinin profesional. Ni EYGM Limited, ni
ningn otro miembro de la organizacin global de Ernst & Young asume cualquier
responsabilidad por prdidas ocasionadas a cualquier persona que acte o deje
de actuar como resultado de cualquier material en esta publicacin. Para cualquier
asunto en particular, deber consultar al asesor, que corresponda.

Contacto
Alejandro Alba
Socio en Asesora de Negocios
alejandro.albam@mx.ey.com
Tel. (55) 5283 8699