Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GRC - Javier Ismodes PDF
GRC - Javier Ismodes PDF
Cumplimiento Regulatorio
DERECHOS RESERVADOS
AUTOR-EDITOR
Lima, Perú
ISBN: 9781088533758
Prohibida su reproducción total o parcia de esta obra, por cualquier medio, sin el permiso escrito del autor.
2
Índice
Introducción ............................................................................................................................... 5
Beneficios ........................................................................................................................138
Implementación................................................................................................................146
Conclusiones ..........................................................................................................................150
3
Referencias.............................................................................................................................153
Apéndice .................................................................................................................................158
Siglas ..................................................................................................................................159
4
Introducción
una adecuada gestión integral de riesgo, dentro del marco de las buenas prácticas de gobierno
corporativo, así como del cumplimiento con las regulaciones nacionales y globales.
Cuando comencé mi carrera profesional en 1985, muchos de los elementos que hoy se conocen
como parte del gobierno corporativo y la gestión de riesgo no estaban formalmente definidos.
Por ejemplo, el concepto de stakeholders era nuevo y estaba en proceso de difusión académica;
hoy es una de las palabras más usadas cuando se habla de gobierno corporativo. La empresa
Enron recién se estaba creando; hoy es la referencia de cómo no se debe manejar una
corporación. Robert Maxwell acababa de haber comprado el diario Daily Mirror en el Reino Unido;
hoy es uno de los casos emblemáticos de cómo un ejecutivo puede defraudar a los empleados
comenzaba a investigar las prácticas irregulares del banco BCCI; hoy se recuerda como uno de
la constructora Odebrecht iniciaba su expansión fuera de Brasil, que terminaría en el mayor caso
medios de comunicación masivos que había en esa época, los gobiernos corporativos tenían
menos visibilidad y eran menos sujetos a regulaciones y al escrutinio del gobierno y del público.
Esa aparente mayor libertad que tenían y de la que muchos lamentablemente abusaron, fue la
causa de que muchas estructuras corporativas fallaran por problemas en su diseño, control y
gobiernos, al ambiente y a la sociedad en general. Esos problemas fueron cada vez más
5
veces agrupados en el tiempo. A cada serie de escándalos corporativos, le siguió una respuesta
en forma de reformas regulatorias para tratar de evitar que se repitan. En muchas ocasiones, los
escándalos se produjeron por nuevas causas que no habían sido contempladas anteriormente.
Hay muchas explicaciones de por qué los gobiernos corporativos no han podido frenar totalmente
el ansia desmedida de ganar más dinero y poder, a todo costo, de algunos ejecutivos poco
honrados o capaces. Pero una de las mayores causas de esas “fallas corporativas” puede
resumirse en un antiguo dicho español: “en arca abierta, hasta el justo peca”. Y muchas veces el
arca no estaba abierta, pero algunos ejecutivos idearon la forma de abrirla. Otra causa menor es
Un gobierno corporativo con una gestión de riesgo bien implementada puede ayudar a poner
freno a que los problemas y escándalos se presenten. Por medio de la disciplina y el rigor que
ambos proveen a las organizaciones, se puede lograr que los gerentes que las manejan no
siempre pongan sus intereses por encima de los de los accionistas y que sean más conscientes
de incorporar a las partes interesadas, los stakeholders, en sus decisiones. La gestión de riesgo
es la disciplina que debe anticipar, detectar, supervisar y mitigar los riesgos y oportunidades que
puedan ser importantes para los objetivos de la empresa, rompiendo con los silos gracias a su
los reguladores externos y las disposiciones internas sean observadas con efectividad. En los
últimos años, la responsabilidad social surge como una necesidad de que las empresas
el valor compartido. Todas estas disciplinas forman una red, están muy relacionadas entre sí y
requieren una visión que las englobe y que les dé la visibilidad que requieren. Sin embargo,
muchas veces y en muchas empresas, estas disciplinas no funcionan bien, o funcionan como
silos, independientemente una de otra. Debido a ese problema surgió el concepto de GRC, siglas
6
que significan Gobierno Corporativo, Riesgo y Cumplimiento, y que, juntas, en vez de separadas,
Este libro ha sido escrito con el objetivo de explicar los conceptos relacionados con la gestión de
entendiendo la importancia de mirarlos conjuntamente. Sin entender la razón de ser del gobierno
En esta publicación se explica inicialmente cuales son los casos históricos de las empresas que
tuvieron problemas éticos, y las respuestas de los reguladores para evitar nuevos casos
consiste y para qué existe el gobierno corporativo, cual ha sido el desarrollo de las guías y
regulaciones que lo conforman, creadas debido a los excesos e inconductas presentadas en las
tema de cumplimiento con las regulaciones, para terminar con una revisión de la metodología
GRC como una herramienta que ayuda a minimizar los riesgos y las sorpresas desagradables
en las empresas.
funcionarios del gobierno, estudiantes y otros que deseen conocer más sobre el impacto de la
gestión de riesgo en la empresa y teniendo una visión global del gobierno corporativo.
7
Casos históricos y respuestas regulatorias
A continuación, se presentan algunos de los grandes casos históricos que dieron origen a la
Una de las grandes regulaciones modernas que propició el desarrollo de las corporaciones, las
la de los fondos privados de pensión en los Estados Unidos. En los años 60, gracias al
crecimiento económico de ese país, hubo una serie de fusiones y adquisiciones de empresas
portafolios de negocios. En esos años, las grandes empresas contaban con empleados que
congregaban muchas veces en sindicatos que lograban estabilidad laboral para sus miembros y
administradas por los empleadores, que prometían un monto fijo de pensión al momento de retiro.
Era una época en la que la inflación estaba muy controlada, las remuneraciones subían, y el
Los gobiernos corporativos de esa época se caracterizaban porque el poder estaba en manos
de los ejecutivos y no de los accionistas (Jackson, 2010). Los directorios eran conformados por
decisiones, sino que tenían un rol consultivo. No había un comité para revisar la compensación
8
El primer fondo de pensión privado lo había establecido American Express en 1875, y poco a
poco, las demás empresas fueron adoptando ese beneficio para sus trabajadores. Sin embargo,
no existía ninguna regulación para la administración de esos fondos. Hasta 1963 el sistema
funcionó sin muchos inconvenientes, pero ese año, la fábrica de autos Studebaker quebró,
dejando sin reservas suficientes al fondo de pensiones de sus trabajadores. El impacto fue muy
grande, por lo que en los siguientes años se discutió en el congreso de Estados Unidos la
regulación de los fondos privados de pensión. En 1974 finalmente se aprobó la ley ERISA1,
reglamentando los planes de pensiones con el objetivo de garantizar que, si las empresas se
declaraban insolventes, los trabajadores no perderían sus pensiones. Para ello se creó un fondo
Desde que se promulgó la ley ERISA, los fondos de pensión requirieron asignar las
e independientes.
de gestión de riesgo, que han causado un gran impacto no sólo en países y regiones, sino
también a nivel global. Debido a ello, existen regulaciones supranacionales que fomentan la
En la historia más reciente de la regulación financiera, el primer gran hito global se dio en el
negocio de moneda extranjera. Poco antes de terminada la segunda guerra mundial, se logró el
acuerdo de Bretton Woods, que regulaba entre otras cosas la relación entre las monedas de los
que sufrió una serie de problemas, terminando por colapsar a principios de la década del 70,
generando grandes pérdidas por posiciones en moneda extranjera en muchos bancos. Algunos
de los emblemáticos son el Herstatt Bank en Alemania y el banco Franklin National en Estados
Unidos.
Basado en la ciudad de Colonia, Alemania, el banco Herstatt fue liquidado en 1974 por los
reguladores alemanes después de sufrir enormes pérdidas debido a operaciones de alto riesgo
con moneda extranjera. Esta liquidación no hubiera trascendido, pero tuvo grandes
repercusiones debido a un hecho casi anecdótico. El mismo día en que fue intervenido por las
autoridades y clausurado, el banco ejecutó una serie de ventas de moneda extranjera con otros
bancos fuera de Alemania. Herstatt recibió por la tarde de ese día fondos provenientes de
Estados Unidos en marcos alemanes, pero debido a que fue liquidado al cierre del horario de
trabajo en Alemania, no le dio tiempo para pagar en dólares a los bancos en Estados Unidos que
tenían entre 6 y 9 horas de diferencia horaria, dejando grandes pérdidas a varias contrapartes
americanas.
Al riesgo de transacción en moneda extranjera en el que una parte hace una transferencia,
Herstatt”.
En octubre de 1974 el Franklin National Bank de New York fue declarado insolvente y envuelto
en una acusación de mal manejo, fraude y lavado de dinero. Sólo dos años antes, Michele
Sindona, un banquero con conexiones a la mafia italiana había tomado control del banco luego
Sindona usó el banco para operaciones de lavado de dinero de la mafia siciliana y logró, gracias
a sus aportes económicos, gran influencia en el partido republicano que en ese entonces lideraba
10
Richard Nixon. Poco antes de su liquidación el banco sufrió pérdidas por tomar posiciones
arriesgadas en moneda extranjera que dejaron perdidas. En Italia, Sindona fue investigado por
el liquidador Giorgio Ambrosoli, que fue asesinado, por compartir información que comprometía
a Sindona a las autoridades de Estados Unidos. Sindona fue sentenciado en Estados Unidos y
posteriormente trasladado a Italia, donde falleció por haber consumido cianuro en una cárcel
italiana.
implementaron medidas de control a nivel mundial para evitar que estos casos se presenten
nuevamente. Además, el capital de algunos bancos globales se estaba deteriorando por la alta
morosidad en los préstamos que habían otorgado durante el boom petrolero a los países de
América Latina.
Las perdidas por transacciones con moneda extranjera motivaron un acuerdo para emitir
sector asegurador.
El primer acuerdo de Basilea fue establecido por los gobernadores de los bancos centrales del
grupo de los 10 en 19752. En 1988 se publicó la primera versión de los estándares mínimos de
capital requeridos para los bancos y en 1992 fue promulgado como ley en los países miembros.
Sin embargo, los acuerdos de Basilea no son tratados que deban ser seguidos al pie de la letra
por los países firmantes. Cada país tiene la potestad de adecuar esas guías a su realidad.
2En realidad, eran 11 países y Luxemburgo como observador: Alemania, Bélgica, Canadá, Estados
Unidos, Francia, Italia, Japón, los Países Bajos, Reino Unido, Suecia y Suiza.
11
La primera versión se conoce como Basilea I, y se enfoca en el riesgo crediticio y en la
ponderación de riesgo para el capital dependiendo del tipo de riesgo. Propone que los bancos
tengan al menos un 8% de sus activos ponderados como capital. Para ponderarse, los activos
Ponderando los activos por esos porcentajes y multiplicado por 8%, se llega al capital mínimo
requerido para el portafolio del banco. Así, simplificando, un banco que hipotéticamente tenía
como único activo 10 millones de dólares en préstamos hipotecarios requeriría 400,000 dólares
conseguir negocios, era una práctica no regulada ni prohibida hasta fines de los años 70. Los
excesos que se cometieron dieron lugar a una ley muy estricta que posteriormente se propagó
United Brands Company, se suicidó arrojándose del piso 40 del edificio PanAm en Manhattan,
luego de romper la ventana con su maletín. Poco después se descubrió que Black había ofrecido
pagos por 2.5 millones de dólares al presidente de Honduras. Oswaldo López Arellano, con el
ilegal efectuar este tipo de pagos, sí era ilegal no reportar esos pagos a los accionistas. United
Brands había acumulado grandes deudas, por lo que necesitaba desesperadamente los ingresos
por la importación de bananas. El origen del soborno tuvo lugar en setiembre de 1974, cuando
el huracán Fifi destruyo una gran parte de los sembríos de bananas, y el gobierno de Honduras
tuvo que subir los impuestos a los exportadores, debido a que el huracán había devastado el
país. Black trato de evitar el pago de ese impuesto con un soborno, pero el FBI detecto que se
había hecho la transferencia ilegal, y cuando Black fue informado de que había sido descubierto,
En 1976, el senado de los Estados Unidos concluyó que entre los años 1950 y 1970, el fabricante
de aviones Lockheed había incurrido en una serie de sobornos a funcionarios de los gobiernos
de Alemania Occidental, Italia, Japón y Holanda. El monto estimado de pagos irregulares fue de
armas de Arabia Saudita, Adnan Khashoggi, pagándole una comisión de 2.5% del valor de las
ventas. Khashoggi recibió en comisiones, entre 1970 y 1975, aproximadamente 106 millones de
dólares.
Como consecuencia de estos y muchos otros ejemplos, Estados Unidos aprobó en 1977 la ley
conocida como FCPA (Foreign Corrupt Practices Act) con el objetivo de que los pagos a
ilegales y sujetos a prisión. La cobertura de esta ley es muy amplia, pues involucra a todas las
personas o empresas que tengan alguna relación con los Estados Unidos, no importando el
13
territorio en el que se realicen los pagos. No sólo el Departamento de Justicia está encargado de
que esta ley se cumpla, sino también la comisión de valores SEC, pues la ley contiene
corporaciones han sido multadas con grandes sumas de dinero. El cumplimiento con las
regulaciones del FCPA es muy importante para las empresas que tienen alguna relación
Para cumplir con el FCPA, las empresas deben establecer una serie de procedimientos que
incluyen tener una política interna escrita sobre corrupción de funcionarios, establecer
personal en prácticas anti corrupción, revisar periódicamente las políticas y procedimientos, tener
La OCDE ha implementado regulaciones similares al FCPA, de manera que esta ley se está
En 2008, la empresa alemana Siemens se declaró culpable en las cortes de Estados Unidos y
pagó una multa de 800 millones de dólares, por haber cometido, entre 2001 y 2007, más de
4,000 sobornos que sumaban 1,600 millones de dólares a nivel mundial por funcionarios a todo
nivel de la empresa. Esta es la mayor multa que jamás se ha pagado por infringir el FCPA. Entre
14
equipo médico en China, Rusia y Vietnam5. En este caso, la empresa está sujeta a la legislación
Estados Unidos.
En 1989, algunos países decidieron crear un grupo de acción contra el lavado de dinero al que
llamaron FATF. Después de los ataques terroristas de setiembre de 2001, el FATF se expandió
internacionalmente, con el apoyo del Fondo Monetario Internacional, e incluyó entre sus
de las empresas. Uno de ellos fue promovido por el financista Michael Milken, que desarrolló una
agresiva estrategia financiera emitiendo los llamados “bonos basura”. Estos bonos, que ofrecían
alto rendimiento con alto riesgo eran usados por el banco de inversión Drexel Burnham Lambert
y otros para efectuar compras de empresas con apalancamiento de activos6. El banco Drexel
había sido originalmente una empresa asociada a J.P. Morgan, pero Drexel se había escindido
por efectos de la ley Glass Seagall, que impedía tener en una misma empresa a un banco
comercial y otro de inversión. Drexel creció muy rápidamente y fue objeto de serias
investigaciones por los reguladores, encontrándose una serie de violaciones a las leyes, que
incluían insider trading7, fraude, corrupción y manipulación de los precios de las acciones. El
5 Ver casos United States v. Siemens Aktiengesellschaft, No. 08-367 (D.D.C. Dec. 12, 2008); United
States v. Siemens A.S. (Argentina), No. 08-368 (D.D.C. Dec. 12, 2008), etc.
6 LBO, o Leveraged Buy Out
7 Compra y venta de acciones como resultado de recibir información interna privilegiada.
15
fiscal de Nueva York encargado de dirigir la investigación fue Rudy Giuliani, posteriormente
electo alcalde de Nueva York. Milken fue sentenciado a 10 años de prisión, pero la pena fue
La ola de LBOs, originó un gran desbalance en las empresas. Muchas empresas acabaron en
falencia, pues no pudieron afrontar la enorme deuda generada por los bonos basura.
Adicionalmente, a fines de la década del 80, las cajas de ahorro y préstamo8 sufrieron una
debacle financiera, arrastrando la industria de los bonos basura con los que se financiaban.
motivaron a que las gerencias de las corporaciones tuvieron un gran cambio cultural,
pasando de tener un enfoque interno a tener un enfoque de maximización del valor de los
acciones. Otro fue el uso de mediciones del valor de la empresa desarrollados por las grandes
firmas de consultoría como el EVA9. Además, los accionistas institucionales acabaron ejerciendo
presión sobre los directorios para defender sus intereses, cosa que no sucedía anteriormente.
A partir de la década del 90, los inversionistas institucionales crecieron con el gran empuje de los
fondos mutuos mientras que los LBOs fueron evitados por la activa participación de los bloques
institucionales.
ocasionaron algunos casos de quiebra corporativa. Entre ellos, son muy conocidos los del
1994, y la coreana Daewoo a fines de los 90. Pero el caso más conocido es el del renombrado
Fundado en 1762, el banco Barings era hasta su desaparición, 233 años después, el banco más
antiguo de Gran Bretaña. Era un banco histórico y con muy buena reputación. Uno de sus hitos
había sido intermediar en la venta que efectuó el gobierno de Napoleón Bonaparte del estado de
Luisiana a los Estados Unidos. El banco se había expandido globalmente y tenía una importante
operación en Asia.
El jefe del área de derivados financieros en Singapur en 1995 era Nick Leeson, un audaz trader
que había logrado destacar por sus excelentes inversiones. Sin embargo, debido a su afán de
aumentar sus comisiones, realizó una serie de operaciones que terminaron en la disolución del
que en ese entonces era el segundo banco del Reino Unido. Leeson había encontrado una forma
de generar ganancias comprando futuros del índice Nikkei 225 en Japón y Singapur. Además de
ser jefe del grupo de derivados, Leeson supervisaba la contabilidad de las transacciones que él
mismo efectuaba, siendo juez y parte y rompiendo un principio básico de control interno llamado
debía hacerlo según el procedimiento establecido), con la esperanza de tener una ganancia
mayor, lo cual le generaba un mayor bono por resultados. Adicionalmente, no había supervisión
Leeson comenzó a ocultar pérdidas en sus transacciones sin que el banco se diera cuenta. La
situación empeoró cuando un colega suyo, por error, compró posiciones en vez de venderlas,
según la orden de la transacción, perdiendo 20,000 libras. Para compensar la falta generada,
decidió aumentar el riesgo, asumiendo una tendencia en los índices bursátiles. Lamentablemente
para él, la tendencia no se dio, por lo que la brecha fue creciendo como una bola de nieve, hasta
17
terminar en pérdidas por 200 millones de libras esterlinas. Para hacer las cosas más difíciles, un
fuerte terremoto en la ciudad de Kobe, en Japón, hizo caer fuertemente las bolsas asiáticas, lo
que motivó que Leeson no pudiera recuperarse. Las pérdidas totales por sus errores sumaron
Entre 1940 y 2007, la industria financiera creció como porcentaje de PBI de Estados Unidos
desde 2% hasta más del 6%. Este tremendo crecimiento fue acompañado de un sistema de
regulación que muchas veces duplicaba funciones o hasta se contradecía entre sí.
Modernización del Sistema Financiero. Una de las principales disposiciones de esta ley fue la de
terminar con la ley Glass–Steagall de 1933, que prohibía tener entidades bancarias, de seguros
y bancos de inversión bajo una misma organización. Gracias a esta ley, Citibank se unió a la
aseguradora Travelers Group, formando lo que se conoce hoy como Citicorp. Algunos
defensores de la ley Glass-Steagall notaron que parte de su valor era impedir que se formaran
grupos tan grandes que en caso de crisis tuvieran que ser rescatados por el gobierno, los
llamados too big to fail o TBTF. Los críticos a esta ley mostraban su preocupación por los riesgos
Poco después de proclamada esta ley, se dio una serie de casos de fallas corporativas que
Desde fines de la década del 90, la bolsa de valores de Nueva York tuvo una fuerte subida,
alimentada por el desarrollo prodigioso de las empresas de tecnología, gracias al crecimiento del
masivo del comercio electrónico. Las nuevas posibilidades tecnológicas ayudaron a tener una
18
época de bonanza económica, generándose un ambiente de entusiasmo que derivó en grandes
excesos corporativos. Estos excesos eran alimentados por los medios de comunicación
especializados en inversiones, que proclamaban una nueva era de crecimiento ilimitado gracias
a esos avances tecnológicos. Algunos de los escándalos corporativos más conocidos son los de
las empresas Worldcom, Enron, Tyco International en Estados Unidos y Parmalat en Italia.
Worldcom fue una empresa que creció muy rápidamente en la década del 90 con una estrategia
pasando la fusión a llamarse MCI Worldcom. Sólo dos años después, Ebbers volvió a hacer otro
gran anuncio, la adquisición de Sprint, otro gran competidor. Esta vez, el regulador
sector, estaban en ese momento bajando de precio. Esta baja motivó que los bancos que habían
extendido crédito a Ebbers requirieran la devolución de los fondos, para lo que Ebbers solicitó al
precio de la acción continuó bajando, hasta que en 2001 Ebbers tuvo que renunciar.
fraude corporativo, inflando el valor de los activos ilegalmente y reportando mayores ingresos
que los reales. El monto del fraude se estima en 11,000 millones de dólares. Ebbers fue juzgado
Al boom de los IPOs tecnológicos de finales del siglo XX, se sumaron otros sectores, entre ellos
uno adormecido como el de la energía, alimentado por algunos creativos pero deshonestos
ejecutivos de la corporación Enron. Enron puso en evidencia algunas fallas del gobierno
corporativo de entonces. Pese a que ya era común tener directores independientes conocedores
19
de la industria, comités de auditoría y auditores externos, los gerentes de Enron lograron diseñar
llamado mark to market. (Bufkins, 2008). Otra estrategia fraudulenta fue la de inflar los volúmenes
de ventas reportando valores totales de transacciones en las que ellos era solo intermediarios,
al modelo financiero por parte de periodistas, analistas y hasta empleados, la empresa se vio
Arthur Andersen, la auditora externa de Enron, fue acusada de facilitar el engaño contable,
culpada de obstrucción de justicia y su licencia fue cancelada. Así desapareció una de las cinco
liderazgo de su CEO Dennis Kozlowski, que ejecutó cientos de adquisiciones, llegando en algún
momento a tener ventas por 35,000 millones de dólares en 2002. Tantas adquisiciones fueron
difíciles de integrar, por lo que Tyco reportó ese mismo año 9,000 millones de dólares en
pérdidas. El precio de la acción bajó precipitadamente y justo por ese entonces se acusó a
ilegales. Kozlowski tenía entonces un estilo de vida exageradamente lujoso y sus extravagancias
eran difundidas por la prensa. Se sabía que vivía en un departamento en Nueva York por el que
la empresa había pagado 30 millones de dólares. Una fiesta que organizó para celebrar el
forma de bonos ilegales y casi 15 millones de obras de arte, gastos pagados por Tyco. Su pena
mínima fue de 8 años de prisión. Aunque inicialmente se declaró no culpable, después de años
en la cárcel, Kozlowski reconoció que había cometido fraude. Esos años de reflexión le hicieron
ver que, en el momento de cometer las faltas, había sido envuelto en lo que llamó la “burbuja del
CEO”, que le hacía verse más valioso de lo que en realidad era (Dolmetsch, 2013).
Como consecuencia de los escándalos financieros de Tyco, Worldcom, Enron, y otras empresas,
el Congreso de Estados Unidos preparó una serie de reformas que formaron la que se conocer
como la ley Sarbanes-Oxley10. Por medio de esta ley, el Congreso enfrentó una por una las fallas
financieros.
No había pasado mucho tiempo desde el escándalo de Enron, cuando los accionistas de la
empresa italiana Parmalat fueron informados de que faltaban 14 mil millones de dólares en las
mercados de otros países como Alemania y Estados Unidos. Parmalat había crecido desde ser
una pequeña procesadora de leche hasta ser una multinacional de alimentos, además de tener
Para financiar su rápida expansión internacional, Parmalat había incurrido en una gran deuda.
Como muchas de sus divisiones daban pérdida, diseñó un sistema contable fraudulento con el
uso de derivativos para esconder las pérdidas. En 2003, la empresa sorprendió a los mercados
con el anuncio de una emisión de bonos por 300 millones de euros. El CEO, Calisto Tanzi, se vio
forzado a despedir al CFO Fausto Tonna y reemplazarlo por Alberto Ferraris. Ferraris descubrió
rápidamente que pese a ser en CFO, no tenía acceso a todas las cuentas y sospechó que la
verdadera deuda de la empresa era al menos el doble de la mostrada por los estados financieros.
Poco tiempo después fue reemplazado por el contador principal de la firma, Luciano del Soldato.
La emisión de los bonos tuvo que ser suspendida porque el precio de las acciones había bajado
significativamente. Del Soldato renunció un mes después de ser nombrado CFO. Para agravar
más las cosas, el Bank of America mostró que una cuenta de la empresa en las Islas Caimán
había sido objeto de fraude. Calisto Tanzi fue separado del cargo de CEO y reemplazado por
Enrico Bondi. El primer ministro Silvio Berlusconi ordenó una investigación completa,
Los 130,000 accionistas de Parmalat, los deudores, los empleados y las ciudades donde
bancarrota. El club de fútbol Parma, por ejemplo, era financiado por Parmalat y entró en una
22
Caso: Freddie Mac (2003)
Freddie Mac es el nombre con el que se conoce a una de las empresas de financiamiento
hipotecario de los Estados Unidos. Si bien es una empresa privada, fue fundada por el Congreso
garantía implícita del gobierno le permite tomar deuda más barata que las otras empresas
financieras.
En 2003, Freddie Mac reconoció errores contables y de gobierno corporativo y aceptó pagar 125
millones de dólares de multa al gobierno federal. Una de sus faltas fue lo que se conoce como
“manejo de utilidades”, es decir la manipulación de las utilidades reportadas para mostrar una
estabilidad que no tenía y que ayudaba a que el precio de la acción subiera. En 2001, la empresa
había reportado 1 billón de dólares más de lo que realmente produjo y en otros períodos 6 billones
En 2006, Freddie Mac tuvo que pagar otra multa, esta vez de 3.8 millones de dólares por
empresa.
En 2004 se emitió una segunda versión de las normas regulatorias globales llamada Basilea II,
que introdujo el concepto de los “pilares” de la supervisión bancaria internacional. El primer pilar
Asimismo, se creó el concepto de capital ajustado al riesgo de cada banco (IRB11), siempre y
cuando cumplieran con ciertos requisitos. Solo los bancos muy grandes lograron desarrollar
enormes incentivos que los responsables de administrar los bancos tenían para lucrar.
Mientras el comité preparaba las guías para Basilea III, a fines de 2007 se inició una de las
gigantesco esquema de colusión entre muchos de los participantes del complejo sistema
Un caso representativo de esa colusión fue la dispersión global del financiamiento de préstamos
hipotecarios subprime originados en Estados Unidos, préstamos que eran hechos sin la
validación de los ingresos del deudor, pero los bancos no verificaban si los ingresos reportados
eran reales o si se trataba de un fraude. Los intermediarios entre los bancos y los clientes, los
agentes de hipotecas incitaban a sus clientes a reportar ingresos mayores a los verdaderos para
conseguir que los bancos les extendieran los créditos hipotecarios. La ganancia de los agentes
paralelo, los bancos de inversión exigían a los bancos un crecimiento sostenido de nuevas
hipotecas sin preocuparse del riesgo, para, a su vez, empaquetarlas y venderlas en el mercado
hipotecarias e instrumentos financieros exóticos que muy poca gente entendía. Estos
instrumentos eran comprados por inversionistas de todo el mundo, que creían que eran muy
seguros porque las agencias calificadoras les daban una calificación que no contemplaba los
verdaderos riesgos de morosidad en sus cálculos ni el impacto posible de las pérdidas. Así, un
24
Este ciclo de generación y venta de hipotecas se vio interrumpido con un efecto dominó y colapsó
cuando los valores de las propiedades comenzaron a bajar, los deudores a no pagar sus
Debido a que prácticamente todo el sistema financiero tenía algún tipo de conexión con estos
el sistema entró en pánico generalizado, alcanzando a muchos países, requiriendo una respuesta
La crisis financiera de 2008 ha sido una de las mayores en la historia, sólo comparable a
instrumentos financieros derivados que se vendían sin una adecuada gestión de riesgo.
El caso emblemático de la crisis financiera de 2008 fue Lehman Brothers. Debido a que era uno
de los cuatro bancos de inversión más grandes de Estados Unidos, su caída tuvo un inmenso
Los problemas de Lehman se agravaron debido a la estrategia de alto riesgo que implementó en
sus últimos años, enfocándose en el mercado secundario de hipotecas subprime con una deuda
Durante los años en que el comportamiento de las hipotecas subprime iban bien, las utilidades
de Lehman eran excelentes. Sin embargo, desde que las pérdidas comenzaron, la caída fue
rápida y dramática. Casi hasta el último momento de su existencia hubo la esperanza de que
otra empresa la rescatara, pero eso no se dio y no quedó otro camino que la quiebra.
La bancarrota de Lehman, que tenía 600 mil millones de dólares en activos, es considerada la
25
Caso: AIG (2008)
Desde su fundación en 1919 en Shanghái, China, AIG12 creció hasta convertirse en una de las
mayores aseguradoras de Estados Unidos y con operaciones globales y una oferta muy amplia
y compleja de productos.
Un hito previo a la crisis financiera se dio en 2005, cuando fue multada con la exorbitante suma
de 1,600 millones dólares por errores contables, siendo despedido su CEO. El nuevo CEO,
Martin J. Sullivan, lideró una etapa de muy alto crecimiento gracias a la emisión y venta de
derivados de hipotecas subprime. Estos derivados fueron desarrollados sin un adecuado soporte
de riesgo que cubriera pérdidas en caso de que la morosidad de las hipotecas subprime subiera.
Cuando se produjo la crisis hipotecaria de 2008, los poseedores de los derivados pidieron el pago
de estos, de acuerdo con las condiciones contractuales. Sin embargo, AIG no estaba preparada
financieramente para atender esos pagos, lo que generó un ambiente de pánico entre los
trató de promover un fondo para que los grandes bancos financien un rescate a AIG, estimado
en 75,000 millones de dólares. Los bancos no aceptaron la idea y el gobierno acabó financiando
el rescate, por un monto que al final resultó ser de 180,000 millones de dólares. Además, el
AIG creó y vendió derivados de hipotecas sin mitigación en caso de pérdidas, para aumentar su
problemas.
Como parte de la respuesta a la crisis financiera de 2008, el grupo de los 20 (G20) estableció en
estabilidad financiera global. El foro ha establecido una serie de recomendaciones para mejorar
El Consejo publica una lista de los bancos que considera “sistémicamente importantes”, es decir
los que por su tamaño pueden causar grandes daños al sistema financiero global en caso de
crisis financiera. A los mayores bancos, el Consejo requiere un mayor capital que permita su
solvencia. Por ejemplo, el banco HSBC requiere, dada su magnitud, un recargo en el capital de
La ley Sarbanes-Oxley introducían una serie de regulaciones cuyo objetivo era impedir que las
empresas cometieran las faltas revisadas nuevamente. Implementar la ley costó muchísimo
dinero y hasta creó la sensación de que era una gran traba para el desarrollo de los mercados
corporativo y el fin de los escándalos financieros. La “calma corporativa” duró pocos años, hasta
que se produjo la gran crisis financiera global. Cuando se produjo la crisis subprime entre 2007
y 2008, muchas empresas financieras globales estuvieron al borde del abismo, pese a que
habían implementado las estrictas regulaciones de SOX. Algunos analistas atribuyen esta crisis,
entre otras razones, a que la nueva ley requería, por ejemplo, directores completamente
independientes. Esa independencia sólo se pudo conseguir fuera del sector financiero, con
directores que no tenían suficiente experiencia como para detectar los problemas que se iban
gestando. Dada la abrupta implementación de la ley, no hubo suficiente tiempo para que los
nuevos directores pasaran adecuadamente por la curva de aprendizaje. Como respuesta a los
desórdenes en las empresas financieras, se aprobó una nueva ley, la ley Dodd-Frank en 201013,
de instrumentos derivados, aumentó las exigencias de las agencias calificadoras de riesgo, exigió
rapidez y eficacia. El gobierno tuvo que intervenir decididamente ya que el sistema no estaba
preparado para un nivel tan grave de crisis, en la que debido al efecto dominó del quiebre de
niveles alarmantes. Además, se encontraron una serie de fallas y vacíos que resultaban
Como respuesta al caos que originó la crisis financiera, el Congreso de los Estados Unidos emitió
una nueva ley, reformando el sistema financiero para hacerlo menos vulnerable a una crisis
similar. Esta nueva ley, conocida como la Dodd-Frank introdujo una serie de cambios, entre los
cuales se incluyen:
funciones.
14Estas agencias son: el Financial Stability Oversight Council (FSOC) y el Office of Financial Research
(OFR) en el Departamento de Tesoro.
28
La gran crisis de 2008 se produjo por el deseo de un gran grupo de participantes en el
sistema financiero de exagerar las utilidades reportadas para cobrar mayores comisiones,
La crisis financiera puso en evidencia la debilidad de las regulaciones de Basilea II, por lo que
se decidió emitir una nueva versión, Basilea III, con el objeto de elevar los requerimientos de
capital mínimo, de liquidez, y de considerar escenarios más pesimistas en los cálculos de las
depositan en épocas de crecimiento para ser usadas en épocas de crisis. Se introdujo también
Caso: MF Global
MF Global fue una empresa enfocada en la compra y venta de sofisticados productos financieros
basados en derivados, moneda extranjera y otros instrumentos. Sus clientes eran individuos e
instituciones que buscaban rendimientos superiores a los de los bancos. En 2007 consiguió hacer
una Oferta Pública de Acciones y entrar a la bolsa. Sólo un año después, durante la crisis
financiera global, MF Global reportó una transacción no autorizada que requirió una provisión de
141 millones de dólares. La empresa fue multada por el regulador de commodities con 10
millones de dólares.
En 2010, John Corzine, ex CEO de Goldman Sachs fue nombrado CEO. Poco tiempo después
se descubrió que MF Global había usado el dinero de cuentas de clientes para disimular falta de
capital por malas decisiones financieras. Se estima que en total se manipularon 875 millones de
Como resultado de un proceso judicial masivo contra los bancos involucrados, el gobierno de
Estados Unidos negoció, por medio del Departamento de Justicia, grandes sumas de dinero para
29
resolver estos procesos. Se estima que, en total, se llegó a acuerdos que suman 110,000
millones de dólares.
Uno de los más grandes bancos del mundo, el banco Barclays, ha sido objeto de un gran número
las tasas de interés Libor y Euribor, por la que fue sentenciada a una multa de 450 millones de
Anteriormente, Barclays tuvo acusaciones por lavado de dinero en África y en 2013 el banco fue
Otra investigación que afrontó en 2018 fue la de haber evitado ser rescatada por el gobierno
británico durante la gran crisis financiera de 2008 gracias a inversionistas de Qatar. Sin embargo,
En Brasil, grandes fallas de cumplimiento y serios actos de corrupción han afectado gravemente
a su economía, política y debido a su presencia en otros países, a los gobiernos de toda la región.
El mayor caso de corrupción fue descubierto gracias a una investigación policial en Brasilia, que
permitió dar a conocer un gran esquema de sobornos para desarrollar negocios de proyectos
lavado de activos y, siguiendo la ruta del dinero, llegó a los más altos niveles del gobierno
brasileño, implicando a empresas tan grandes como Petrobras, Odebrecht, Andrade Gutierrez y
OAS. Entre las gravísimas faltas cometidas, las empresas proveedoras de servicios de
construcción para la estatal petrolera Petrobras inflaban los precios artificialmente, actuando
15 En español, “lavado a presión”, en alusión a los establecimientos en los que se lavaba el dinero.
30
como un cartel, y pagaban como soborno entre 1 y 5% del valor de los contratos a los funcionarios
de Petrobras. Los funcionarios de Petrobras eran nominados por el gobierno de turno, que
recibían el dinero por medio de un perverso y sofisticado sistema que hacía uso de cuentas en
economía de Brasil y hasta su estabilidad política. Una restructuración total del gobierno
sido exportado a doce países de América Latina. Investigaciones posteriores han llegado a
Colombia, Ecuador, Guatemala, República Dominicana, Panamá, Perú y Venezuela entre otros.
Las investigaciones revelaron que Odebrecht operaba con un esquema de corrupción tan
sobornos. Se estima en más de 4,000 millones de dólares las transferencias efectuadas por
sobornos.
Otras grandes empresas brasileñas que también operaban con esquemas similares de
corrupción corporativa están siendo procesadas en los países en los que implementaron tan
censurables prácticas. Se estima que América Latina pierde anualmente por corrupción 140 mil
Volkswagen I y II
corrupción en el que algunos directivos de la empresa proveían una serie de sobornos a los
representantes de los trabajadores en el directorio para que apoyen sus decisiones. Los
sobornos eran pagados como viajes internacionales de lujo, en los que el director de recursos
31
humanos pagaba salidas nocturnas a los representantes de los trabajadores en el directorio.
También se encontraron otras faltas graves relacionadas con influencia indebida de la empresa
en el ámbito político alemán, específicamente con el estado de Baja Sajonia que posee el 18%
Cambiar la cultura corporativa de una gran empresa no es fácil. Pese al impacto de los incidentes
de 2005, sólo diez años después se produjo otro serio quiebre corporativo ligado a la falta de
empresa Volkswagen por programar los motores diésel de sus autos con el objeto de pasar las
acordó pagar una multa de 17,500 millones de dólares al gobierno de Estados Unidos.
Con más de 250,000 empleados, es difícil entender cómo el sistema de cumplimiento no pudo
alertar que algo malo estaba sucediendo. Después de todo, para hacer semejante
magnitud del incidente, no hay indicios de que el directorio haya estado al tanto del esquema.
Según los ejecutivos a cargo de supervisar el problema, existía una cultura de pasividad ante el
delito, de acallar cualquier voz de alerta, de decir siempre si a los superiores, cultura que no
desarrollo de los códigos de buen gobierno corporativo, en 2016 se denunció que el banco Wells
Fargo había abierto miles de cuentas fraudulentas para cumplir cuotas internas de número de
aperturas de cuentas con el objetivo de aumentar las ganancias por cobro de mantenimiento y
32
comisiones. Para lograr esos objetivos, los empleados usaron datos personales de clientes del
banco y les abrieron cuentas sin su autorización. El banco ha aceptado pagar una multa de 185
devuelto 2.6 millones de dólares a 115,000 clientes y ha suspendido las cuotas internas de
nuevas cuentas.
En mayo de 2018, Wells Fargo aceptó pagar 480 millones de dólares para terminar un juicio
De acuerdo con la ley Sarbanes Oxley, los ejecutivos del banco son responsables de certificar
que hay mecanismos adecuados de control y su firma en los reportes anuales puede ser prueba
de fraude. El Presidente de directorio, que también era CEO, se vio forzado a renunciar dada la
presión de los reguladores y accionistas; los roles de Presidente de directorio y CEO han sido
divididos para evitar conflictos de interés. Los juicios se han iniciado y está por verse el alcance
de la aplicación de la ley.
El análisis de los resultados de Basilea III motivó a emitir una versión más exigente, afinando
algunos detalles. Uno de ellos fue poner un límite al capital mínimo usando modelos internos de
33
El gobierno corporativo
Como se ve en los casos presentados anteriormente, la falta de buen gobierno corporativo causa
generalmente un desorden que limita o reduce la generación de valor en una empresa. Sin un
buen gobierno corporativo, los ejecutivos pueden engañar a los accionistas, reportar falsa
personales, contratar a sus amigos y familiares sin un criterio profesional y hasta usar los fondos
de las pensiones de los trabajadores para su consumo personal. Todas estas situaciones se dan
hasta escándalos a gran escala. Después de descubiertos, en muchos casos generan reacciones
de las autoridades con nuevas regulaciones o leyes, que buscan evitar que se repitan.
Uno de los principales estudios que sustentan el concepto de gobierno corporativo es el que
publicaron en 1932 el abogado Adolf Berle y el economista Gardiner Means (Means, 1932). En
él, proponen que, en la corporación moderna, existe una separación entre los propietarios de las
propiedad preponderante hasta el siglo XIX, en el que el dueño era el mismo que proveía el
producto o servicio de la empresa. Ese gran cambio se dio masivamente cuando se sentaron las
desarrollo de las bolsas de valores. Para controlar de alguna manera esa brecha entre
propietarios y ejecutivos, es necesario un buen gobierno corporativo que proteja los derechos de
las partes. Estudios recientes prueban además que los principios del buen gobierno corporativo
sirven muy bien a otro tipo de empresas como las familiares, las que no tienen fines de lucro, o
34
Aspectos generales
por tanto es a lo que los directorios dedican la mayor cantidad de tiempo. Según la definición del
reporte Cadbury16, refiriéndose al modelo anglosajón británico, se trata de poder dirigir y controlar
las empresas mediante guías que permitan elegir a los directores y auditores para tener una
estructura de gobierno adecuada (Governance, 1992). Cadbury además señala que los
Esta definición está enfocada en la empresa y su directorio como órgano de gobierno. Para
completarla, tenemos que incluir a los accionistas. En 1997, los profesores Shleifer y Vishny
corporativo, en el que explican que la idea del gobierno corporativo es que exista una respuesta
responsable a los accionistas, mediante un uso adecuado de los recursos disponibles (Shleifer,
1997). El gobierno corporativo se diseña para que los accionistas no queden desamparados
1. Una clara descripción de los derechos de los accionistas y otras partes interesadas.
Si bien a lo largo del tiempo el gobierno corporativo se ha ido desarrollando y mejorando, existe
En el mundo existe una variedad de modelos de gobierno corporativo. Por ejemplo, el modelo
angloamericano funciona en Estados Unidos, Reino Unido, Australia, Canadá y en otras regiones
del mundo. En este modelo, los accionistas eligen al directorio, que a su vez elige la plana
ejecutiva. Está diseñado para priorizar los intereses de los accionistas. Desde que se emitió el
reporte Cadbury, hay una fuerte tendencia a tener varios directores independientes de la
empresa.
El modelo alemán, usado no solo en Alemania sino también en Holanda, Francia y otros países,
tiene una estructura de doble directorio. Un directorio es de supervisión y otro de ejecución. Los
accionistas sólo pueden elegir hasta el 50% del directorio de supervisión; los empleados y los
En el modelo japonés, el poder está a cargo de los conglomerados llamados keiretsu, empresas
unidas informalmente por intereses económicos y sus bancos afiliados. Los directorios son
conformados en su mayoría por directores de esos mismos grupos, con mínima participación
externa. Corea del Sur tiene un modelo similar llamado chaebol, pero en el que la presencia
Todas las geografías y modelos han tenido situaciones de corrupción, fraude, y otras faltas
éticas. Si bien ningún modelo es perfecto, este libro se enfoca en el modelo occidental, anglo-
americano de gobierno corporativo, que tiene dos perspectivas: una en Estados Unidos, donde
está más enfocado en el seguimiento estricto a las regulaciones y otra, la del Reino Unido, que
36
da más libertad en las decisiones, y se caracteriza por la frase “cumplir o explicar”17 (Council,
The UK Corporate Governance Code, 2014), es decir que deja abierta la puerta a un diálogo
apropiada. Esta última filosofía también se aplica en otros países de la Comunidad Europea como
Holanda y Alemania.
legal. Si la empresa emite valores públicamente, está sujeta a mayor disciplina, mientras que
cuanto más privada y pequeña esta es, tiene menos requerimientos. Los siguientes modelos
Debido a su naturaleza pública y abierta a una gran diversidad de accionistas, las empresas que
cotizan en bolsa o emiten deuda en la misma, son las que tienen mayor presión por tener un
El reto para estas empresas es la diferencia conceptual entre la propiedad y el control de estas.
La propiedad da derecho tener acceso a los flujos provenientes de los ingresos de la empresa.
que se puede presentar en este sistema es que los directores, que tienen el control, no voten de
Antes de que una empresa comience a cotizar en bolsa hay muchos requisitos por los que tiene
que pasar para satisfacer las necesidades de los reguladores. Entre otros, el gobierno corporativo
establece los requerimientos para que exista un consejo directivo, con directores independientes,
17 Comply or explain
37
cómo el directorio evaluará el riesgo, establecerá el liderazgo, considerando su diversidad, y
(PwC, 2016).
• Definir claramente y por escrito las responsabilidades de los miembros del directorio.
• Asegurar que exista un proceso de control interno adecuado y que la relación con los
y el Desarrollo Económico (OCDE) han emitido directrices y guías para el buen gobierno
corporativo. Cada país ha adoptado estas guías a su medio local por medio de sus comisiones
de valores, principales reguladores de las empresas que cotizan en bolsa. Estas comisiones
normativos y políticas que permiten a sus miembros evaluar sus regulaciones y adecuarlas según
emitido entre otras, regulaciones dirigidas a mejorar las prácticas de auditoría independiente, de
38
transparencia en los reportes financieros, un código de conducta para las agencias calificadoras
El trabajo de preparación para cotizar por primera vez en bolsa es complejo y requiere mucha
experiencia y disciplina. Sin embargo, un adecuado entendimiento de por qué se requieren todos
estos procesos ayuda a que el ejercicio de adecuación sea más provechoso e interesante y no
simplemente a usarlo mecánicamente como una lista de obligaciones rutinarias que hay que
cumplir.
Las empresas que cotizan en la bolsa de valores están sujetas a las normas de buen
El concepto de gobierno corporativo puede ser interpretado como un lujo de las empresas
grandes, sin embargo, muchos de sus principios pueden y deben ser aplicados a todas las
Las empresas que no cotizan en bolsa ni emiten bonos públicos tienen la ventaja de no estar
regulatorios de gobierno corporativo son mínimos. Si bien eso permite una mayor libertad de
acción, puede ocasionar situaciones de indisciplina corporativa que terminen mal, como sucedió
En agosto de 2016, la gran cadena de tiendas BHS de Reino Unido cerró sus puertas, dejando
la pensión de sus trabajadores con un déficit de 300 millones de dólares. Su propietario, Dominic
Chappell, fue enjuiciado y hallado culpable de no revelar detalles financieros importantes de los
planes de pensión de los empleados de la empresa. Durante quince años, la empresa tuvo un
déficit cada vez mayor en el fondo de pensiones de los empleados, pero sus dueños no dejaron
39
de cobrar dividendos, pese a que el déficit aumentaba. Chappell y el anterior propietario de la
empresa, Phillip Green, son muy criticados por haber tomado decisiones pensando en su riqueza
personal y no en el bien de la empresa y sus miles de empleados. Debido a que estas fallas de
gobierno corporativo no se podrían dar con la misma libertad en una empresa supervisada y a
otros casos similares, el gobierno del Reino Unido publicó un reporte condenando las acciones
según el reporte, es que muchas de las acciones fueron legales, aunque éticamente muy
gobierno corporativo debería ser aplicado no sólo a empresas que cotizan en bolsa sino también
Tener un directorio es importante para el bien de la empresa, pero por otro lado puede ser una
amenaza para la gerencia, por la fiscalización de sus decisiones. Esa tensión es saludable para
Las empresas medianas y pequeñas tienen el mismo interés que las grandes, de que los
stakeholders (partes interesadas) sean tratados con justicia y, por lo tanto, pueden desarrollar,
sin el mismo nivel de complejidad que las empresas grandes, reglas y procesos similares de
gobierno corporativo. Un beneficio fundamental es que ese ejercicio las prepara muy bien para
responsabilidad social no son terreno solamente de las grandes corporaciones, todas las
empresas pueden elevar su nivel estableciendo políticas internas con los más altos estándares.
Uno de los primeros pasos antes de desarrollar procesos de gobierno corporativo es identificar y
entender los intereses de todas las partes interesadas en el negocio. Por más pequeña que sea
la empresa, no se debe descuidar ninguna parte que posteriormente pueda afectar a la empresa
por haberla ignorado. Por ejemplo, es común ver restaurantes que son cerrados y multados por
falta de higiene debido a que los administradores ignoran los intereses de varias partes
40
interesadas como las autoridades sanitarias, los clientes, o el efecto comunicador de las redes
sociales.
Otro paso importante es establecer una junta directiva modelando los principios aplicables de las
corporaciones. La junta directiva debe clarificar el rol de cada individuo, así como sus
responsabilidades. También debe establecer un plan estratégico a largo plazo, definir un plan de
Las empresas familiares que crecen y se desarrollan, requieren de una institucionalización que
les permita gestionar los conflictos que surgen por la sucesión, o entre familiares cada vez menos
independientes (Fabián, 2010). Otro es tener reuniones formales de directorio con un registro de
notas y decisiones.
El gobierno corporativo no debe ser visto solamente como un elemento de las grandes
empresas. Todas las empresas deben ocuparse de su gobierno corporativo y así, tal y
La diferencia fundamental entre las empresas privadas y las del estado, es que el objetivo central
de las últimas no es necesariamente maximizar el valor de los accionistas, sino proveer servicios
y productos de acuerdo con los intereses y prioridades definidas por el estado. Si bien el objetivo
puede variar, muchos de los principios del buen gobierno corporativo, la metodología de la
gestión de riesgo y el cumplimiento con las normas son muy parecidas a las del sector privado.
Muchas empresas del estado están enfocadas en servicios básicos como los de infraestructura,
población; una mala gestión puede ocasionar un grave impacto a poblaciones con pocos
recursos. El riesgo de mal manejo por presiones políticas es muy alto, especialmente cuando se
41
trata de empresas en las que la propiedad está compartida, o cuando el estado presta poco
interés.
La mayoría de los países con economías de libre mercado ya adaptó o está en proceso de
de la actividad empresarial de los estados y los códigos de buen gobierno corporativo. La OECD18
provee una guía muy completa de estándares internacionales para empresas del estado (OECD,
Dentro de las empresas del estado se suele dar casos de participación no estatal o de procesos
en los que el estado vende parte o toda la empresa. Para ello existe un régimen de transferencia
de acciones que debe tener una ejecución totalmente transparente. Se debe cuidar el tratamiento
equitativo de los accionistas, que el directorio sea lo más independiente posible, que tenga un
sólido código de ética y que tenga mecanismos de comunicación a las partes interesadas.
Los retos de las empresas del estado van desde la obvia influencia política en su manejo,
De forma similar a las empresas del estado, las empresas sin fines de lucro deben usar los
mismos principios de gobierno corporativo, siendo el directorio la pieza clave para su éxito, pues
debe ajustar estos principios al objetivo de la empresa. Ese objetivo o misión de la empresa es
la que debe guiar las decisiones, y debe representar bien el valor que buscan los accionistas.
Los directorios deben estar conformados por gente con muy altos estándares éticos, que puedan
aportar conocimiento y experiencia, no por quienes puedan aportar solamente algunos beneficios
como la recaudación de fondos adicionales o una buena imagen pública (Rosenthal, 2012).
fundador de la empresa de chocolates y dueña del 80% de las acciones de la corporación del
mismo nombre. La fundación controla una escuela muy importante y un gran parque de
diversiones, y se ha visto envuelta en denuncias de funcionarios del estado por los excesivos
beneficios, y por serios conflictos de interés de sus directores. En julio de 2016, después de
disposiciones como, por ejemplo, limitar la duración de los directores a 10 años, evaluarlos
periódicamente, elegir directores con adecuada experiencia, poner límites a sus bonos y
Las empresas sin fines de lucro tienen el gran reto de mantener un directorio independiente que
les permita cumplir con su misión y responder a las necesidades de los grupos de interés y no
Todo tipo de empresa puede beneficiarse de la aplicación de los principios del buen
Los principios del gobierno corporativo se pueden aplicar no solo a las empresas, sino también
a otro tipo de organizaciones, ya sean públicas o privadas que tengan una separación entre los
El WSBI20, Instituto de Bancos de Ahorro, publicó en 2011 un estudio efectuado por Analistas
Financieros Internacionales en el que muestra que las empresas con buen gobierno corporativo
aumentan su acceso a las fuentes de capital financiero (AFI, 2011). Además, propone que el
financiamiento que el marco legal, o visto de otra manera, una empresa con muy buen gobierno
corporativo en un entorno regulatorio débil tiene mejor posición de acceso financiero que una
La inversión en “mejora continua” del gobierno corporativo debe ser prioritaria para todas las
empresas, pues además de todas las ventajas que esta mejora puede conllevar, su situación
financiera suele ser más ventajosa al tener abiertas las puertas a más formas de financiamiento.
El Foro Global de Gobierno Corporativo publicó junto con el IFC en 2012 una investigación de
Claessens y Yurtoglu en la que confirmaron algunos de los beneficios del buen gobierno
corporativo como el mejor acceso al financiamiento, menor costo de capital, mejores resultados
y mejor tratamiento de las partes interesadas (Yurtoglu, 2012). El estudio comprobó además que
este efecto positivo no sólo beneficia a las firmas individualmente sino también a los sectores de
El buen gobierno corporativo es un arma eficaz para elevar el nivel de vida de la población
Dada su naturaleza, las buenas prácticas del gobierno corporativo se construyen en base a
múltiples iteraciones de prueba y error. A cada prueba le suele suceder un error, en forma de
crisis, que trata de ser corregido y evitado. De esta manera, se mejora el sistema, pero siempre
quiebres en los gobiernos corporativos, de manera que el proceso nunca termina. Por ejemplo,
las nuevas tecnologías pueden crear oportunidades de aprovechamiento por parte de algunos
Los estudiosos del gobierno corporativo han desarrollado a lo largo del tiempo un conjunto de
teorías relativas al gobierno corporativo. Estas teorías buscan explicar, entender y ayudar a
El problema del agente-principal se define como el reto de motivar al agente a actuar defendiendo
los intereses del principal, no los suyos propios. En el caso del gobierno corporativo, se trata de
cómo hacer para que los gerentes y directivos de la empresa actúen en beneficio de los
accionistas o dueños, sobreponiendo esos intereses a otros que puedan surgir del conflicto ético
que permiten el control de la organización y una optimización del costo de agencia (Tayan, 2011).
Shleifer y Vishny destacan que una de las razones por las que existe el gobierno corporativo es
• ¿Por qué tendrían que confiar los dueños en los gerentes de la empresa?
• ¿No sería muy grande la tentación de tomar decisiones que les convenga a ellos y no a
los dueños?
• ¿Cómo manejar la asimetría de información entre los gerentes y los accionistas, sin
Para evitar ese conflicto existen varios instrumentos. Uno de ellos es el legal, por medio de
contratos y compromisos escritos entre ambas partes. Sin embargo, cualquier contrato entre
ambos puede ser inservible si los que manejan la empresa no actúan con responsabilidad y ética.
• Los roles de CEO y presidente de directorio pueden ser ejercidos por dos
Según Krause, hay otros mecanismos de control de los gerentes como las fuerzas competitivas
del mercado, que fuerzan a mejorar su rendimiento, el interés en el desarrollo de sus carreras
profesionales a largo plazo y el valor de las acciones como resultado de su actividad por mejorar
asociados. Los códigos de comportamiento corporativo comunican esos valores y son una
poderosa herramienta de comunicación, que ayuda a prevenir problemas éticos y permiten dar
una imagen más positiva de la empresa a la comunidad. Normalmente los gerentes responden
de la mejor manera debido a su ética profesional, a sus valores y a la lucha por mantener o
mejorar su reputación. Sin embargo, la tentación de sacar ventaja debe ser siempre mitigada
Cuando los accionistas mayoritarios tienen un desacuerdo con los minoritarios, se produce el
conflicto principal-principal. Según los investigadores, este conflicto es más común en las
economías en desarrollo, en las que el marco institucional no es tan sólido, mientras que del
2012). El problema de la falta de marco institucional obliga a los accionistas mayoritarios a asumir
En 1970, el economista George Akerlof publicó una investigación sobre el mercado de autos
un vendedor de autos usados que sabe que el auto en venta tiene un defecto, pero se lo oculta
entonces los economistas usan esa expresión cuando una parte tiene más información que la
Para efectos de gobierno corporativo, puede existir asimetría entre dos partes: el agente y el
en la empresa:
47
• El empleador puede saber que el trabajo del empleado está en riesgo, pero no se lo dirá
En todos estos ejemplos hay un fuerte componente ético que pone a los participantes en el dilema
revelar algo que saben no es mentir. Sin embargo, muchas veces las llamadas éticas a revelar
La asimetría en la información genera necesariamente gastos adicionales como, por ejemplo, los
como las cartas de crédito o las fianzas, y de pérdida residual generada por haber tomado
La teoría de stewardship
En oposición a la teoría del agente-principal que propone la separación de los roles de CEO y
presidente de la empresa, la teoría de stewardship sugiere que una sola persona debería tener
ambos roles. Esta teoría fue desarrollada por los investigadores Lex Donaldson y James H Davis
entre 1991 y 1993. Donaldson y Davis probaron que la separación de los roles de CEO y
presidente no mejoraban los resultados de la empresa, poniendo en duda la teoría del agente-
principal y según los autores (Davis, 1991). Según ellos, para los gerentes y ejecutivos es mejor
proveer el mejor nivel de servicios y resultados, porque ese camino les ofrece más beneficios,
que defraudar a los accionistas tratando de conseguir ganancias personales de una forma poco
escrupulosa. Los gerentes y ejecutivos de las empresas buscan los mejores resultados para los
accionistas porque sus intereses están alineados. Además, son personas motivadas a hacer bien
su trabajo, que tienen una gran satisfacción por realizarlo bien, que ejercen la autoridad
48
responsablemente y de esa manera son reconocidos por sus colegas y por sus superiores. Si
bien esa teoría se aplica a muchas empresas y personas, puede ser muy inocente asumirla,
como lo prueban los innumerables casos de fraude y corrupción que se presentan en todo el
mundo.
provee a la empresa gracias a las conexiones profesionales de sus directores. Los directores
aportan una gran fuente de información, habilidades y conexiones con proveedores, el gobierno,
grupos sociales y otras partes interesadas. Uno de los retos del directorio es poder combinar la
experiencia de los directores en el sector de la empresa con sus redes personales que pueden
ayudar de alguna manera a conseguir nuevos negocios o a mejorar las relaciones con
Es muy difícil traducir la palabra stakeholders al español. La traducción más común es “partes
interesadas”. El origen de la palabra viene del mundo de las apuestas, en el que un tercero (el
El concepto amplía la estrecha visión de que para la empresa sólo cuentan los accionistas,
de partes interesadas que de otra manera se podrían ignorar. Hay partes interesadas internas y
externas. Las partes interesadas internas son los accionistas, los directores, los ejecutivos,
49
empleados y trabajadores. En cuanto a las partes interesadas externas, no sólo se debe pensar
en los clientes y proveedores, sino que es necesario tener una visión más amplia de los alcances
de la empresa. Por ejemplo, el concepto de responsabilidad social hace considerar como una
Las partes interesadas pueden ser afectadas positiva o negativamente por las acciones de la
empresa, sin que esta perciba el impacto, a no ser que haga una adecuada introspección y
análisis de la situación. Para identificar y entender los efectos de sus acciones, se sugiere que
la empresa junte un equipo multifuncional que pueda proveer una visión completa del riesgo en
las partes interesadas y definir las acciones que la empresa deba tomar para minimizar efectos
negativos23.
Hay distintos métodos de mapeo de las partes interesadas, pero el más común es el de la matriz
“poder negociador versus nivel del interés”. Una parte interesada con gran poder negociador y
alto nivel de interés debe ser vista como el mayor riesgo. Para ello es necesario desarrollar un
plan de respuesta.
El análisis de partes interesadas debe ser actualizado periódicamente y los planes de acción
Nepotismo y amiguismo
El nepotismo es definido como la “desmedida preferencia que algunos dan a sus parientes para
las concesiones o empleos públicos” (RAE, 2014). Se entiende que cuando un funcionario
público favorece la contratación de un pariente o amigo sobre alguien mejor calificado, hay un
conflicto ético.
nombrar a personas menos calificadas a puestos que deberían ser ocupados por personas más
capaces o calificadas. Es más común en empresas pequeñas con poco desarrollo de gobierno
corporativo.
Si bien en las empresas estatales el nepotismo está prohibido por la ley en muchos países, fuera
Incluso algunas empresas creen que eso favorece el mejor entendimiento entre las familias y el
En Estados Unidos, el nepotismo está prohibido cuando se considera que incurre en un acto de
corrupción.
Entre 2004 y 2013, el banco J.P. Morgan contrató un total de 222 hijos de funcionarios de
la República Popular China con el fin de conseguir ventaja en negocios con el gobierno
algo de valor a funcionarios estatales con el fin de ganar algo. En ese período el banco
gano un total de doce ofertas públicas de acciones que sumaron 1,000 millones de
dólares. Después de un proceso de investigación del FBI, JP Morgan acordó pagar una
Otro caso es el del banco BNY Mellon, que aceptó pagar una multa de 15 millones de dólares
por haber contratado a los familiares de los ejecutivos de un fondo de inversión del medio oriente.
Para un buen gobierno corporativo, hay dos consideraciones para tener en cuenta respecto al
nepotismo:
24 Ver sección 3.1.2 titulada “Corrupción y la Ley FCPA”. Siglas de Foreign Corrupt Practices Act.
51
• El nepotismo puede dar lugar a la desmoralización del personal. Sobre todo, si se percibe
• Se debe tener en cuenta si existe un riesgo legal. Por ejemplo, ha habido casos en los
La recomendación para minimizar el riesgo de nepotismo es tener una clara política de recursos
de amigos y familiares provee menos balance en servir los intereses de los accionistas”. (IFC,
2012).
Las teorías del gobierno corporativo, de las cuales el “agente – principal” es la más
A continuación, se presenta la evolución del gobierno corporativo en los últimos 50 años, que
52
Evolución del gobierno corporativo
valores y situación política, social y cultural del país (Choo, 2005). Pese a que estos factores no
Por otro lado, hay una serie de variables que también afectan la forma de gobierno corporativo
en cada región, como la eficiencia de los mercados de capital, la protección que provee el sistema
(Larcker, 2015).
evolucionan hacia un mundo más integrado, pues impone nuevos estándares que son, en
muchos casos, opuestos al modus operandi antiguo. Conceptos como el financiamiento por
mercados de capital, la demanda de los accionistas por retorno de su inversión, los derechos de
accionista y el desafío del control corporativo son algunos ejemplos de situaciones que exigen
un cambio de paradigma. Sin bien no es posible tener un sistema global de gobierno corporativo,
Las disposiciones internacionales de gobierno corporativo son, en general, sólo una guía
con buenas prácticas y sugerencias, pero difíciles de exigir a las empresas. Sin embargo,
las disposiciones nacionales deben ser observadas cuidadosamente por las empresas
53
debido a que es uno de los sectores económicos que ha tenido mayor desarrollo en las áreas de
riesgo y cumplimiento.
Estados Unidos tiene, desde hace unas décadas, un gobierno corporativo orientado a los
accionistas. Dado el tamaño de las bolsas de valores en Estados Unidos, gran parte de la
regulación del gobierno corporativo proviene de los reguladores de las bolsas de valores líderes
de ese país, como por ejemplo NYSE, NASDAQ y AMEX. Además, hay legislación específica
Las corporaciones listadas en las bolsas de valores de Estados Unidos son, por lo general, de
accionariado muy disperso. Además. se estima que más del 70% del accionariado es institucional
(Aguilar, 2013). Debido a esa dispersión y a restricciones legales que impiden que los grupos
accionistas se unan para tomar acción en decisiones de la empresa, es difícil que los accionistas
Los directorios cuentan, en general, con muchos directores independientes y hacen uso de los
los ejecutivos está muchas veces correlacionada directamente con el retorno de la inversión de
los accionistas.
Según se ve en el recuento histórico, la historia del gobierno corporativo de Estados Unidos tiene
ejemplos de grandes escándalos, en los que fraudes financieros dieron lugar a pérdidas muy
significativas y a la reacción de las autoridades que diseñaron nuevas regulaciones para impedir
que esas fallas se repitan. COSO es la respuesta de las grandes firmas auditoras a la necesidad
54
COSO y la gestión integral de riesgo
En 1985, cinco grandes asociaciones de Contadores de Estados Unidos se asociaron para crear
una guía que mejorara el control interno de las organizaciones. James C. Treadway, presidente
del banco de inversión Paine Webber, fue encargado de presidir la comisión, conocida por su
apellido. Después de analizar los sistemas de reportes financieros entre 1985 y 1987, se
Reportes Financieros. Además, se creó el comité COSO, que sentó las bases para un mejor
control interno en las corporaciones. COSO reconoce que el control interno es un proceso
afectado por lo que hace la gente. Como proceso, no es el fin sino la forma de llegar al fin, que
hubo algunos escándalos corporativos cuya experiencia fue incorporada en el reporte final,
publicado en 2004. Dado el enfoque de la ley Sarbanes Oxley en control interno, el reporte de
mayormente en el modelo de Estados Unidos. Esta versión inicial fue posteriormente actualizada
auditoras con el fin de lograr una eficiente detección, control y mitigación de riesgos
empresariales.
Londres para controlar a las empresas listadas. Este documento es el resultado de muchos años
de iteraciones basadas en una serie de reportes creados a raíz de fallas corporativas, en algunos
casos de gran impacto en las partes interesadas y en los medios de comunicación. Uno de los
principales documentos en los que se basan las recomendaciones inglesas es el llamado Reporte
Cadbury.
A fines de la década del 80, en el Reino Unido se sucedieron una serie de escándalos
Desde 1975 hasta 1990, el ejecutivo de origen chipriota Asil Nadir logró crecer y diversificar una
pequeña empresa de exportación de frutas, adquiriendo inicialmente una empresa textil inglesa
llamada Polly Peck y a continuación, la empresa electrónica turca Vestel, la empresa de frutas
Del Monte y la electrónica japonesa Sansui Electric. El holding controlador de esas empresas fue
Polly Peck. En 1989, Polly Peck fue elegida dentro del índice de acciones FTSE 100, es decir
dentro de las 100 mayores empresas en la bolsa de Londres. En 1990, una investigación
financiera reveló que Nadir había transferido ilegalmente grandes sumas desde Polly Peck hacia
sus cuentas personales en Turquía, Chipre, Suiza y Jersey. La empresa fue intervenida pues no
tenía capital suficiente para pagar sus obligaciones. Nadir fue detenido en Londres, pero escapó
a Francia en 1993 y luego a Chipre, gracias a que, increíblemente, los policías que lo custodiaban
56
se fueron a descansar porque no les pagaban sobretiempo. En 2010 regresó a Londres, donde
fue sentenciado a 10 años de prisión por delitos de fraude por 29 millones de libras esterlinas.
Sin embargo, la Oficina de Fraudes26 estima que el monto comprometido fue de casi 400 millones
de libras esterlinas. Debido a su nacionalidad turca, en 2016 fue transferido a una prisión de ese
país, de donde fue liberado tras pasar una sola noche encarcelado.
En 1971, el banquero y filántropo de origen paquistaní Agha Hasan Abedi fundó el banco BCCI27,
basado en Luxemburgo con sedes en Londres y Karachi. El banco creció rápidamente hasta
volverse uno de los más importantes bancos globales. Sin embargo, tanto éxito en un mercado
competitivo despertó las sospechas en algunos de sus grandes socios como el Bank of America.
En 1986, una operación encubierta de la Aduana de Estados Unidos reveló que el BCCI ofrecía
sus servicios a traficantes de drogas y que era usado para lavado de dinero. El banco reconoció
ser culpable de esos delitos y se le cancelo la licencia para operar en el estado de Florida.
Posteriormente, en 1991, a pedido del Bank of England, los auditores externos encontraron
fraude masivo y manipulación en los estados financieros del BCCI. También se descubrió que el
banco financiaba activamente a grupos terroristas. Al poco tiempo, las autoridades de varios
países intervinieron y cerraron todas las oficinas del banco, afectando a un millón de clientes.
Los autores Beaty y Gwynne han llamado a este escándalo financiero “el robo de los 20 billones”
(Gwynne, 2004) debido a las enormes pérdidas que genero su cierre y desaparición. Abedi
A fines de 1991, durante un viaje de paseo en las Islas Canarias, falleció misteriosamente el
magnate editor Ian Robert Maxwell28. Maxwell había surgido de la pobreza hasta convertirse en
26 SFO
27 Banco de Crédito y Comercio Internacional
28 Maxwell había nacido en Checoslovaquia y su nombre original era Ján Ludvík Hyman Binyamin Hoch
57
dueño del grupo editor del diario Daily Mirror en Inglaterra. Además, había adquirido la
Checoslovaquia y era miembro del parlamento inglés, representando a los conservadores. Poco
después de su fallecimiento, se descubrió que Maxwell había usado los fondos de las pensiones
de sus trabajadores para capitalizar el grupo Mirror, debido a su grave riesgo de bancarrota
(Hoch, 2013). El gobierno inglés tuvo que intervenir y con la ayuda de los bancos de inversión
Unido. Hubo desde envío ilegal de dinero a cuentas de los directivos, uso fraudulento de
Estos escándalos corporativos y otros menos notorios motivaron a que la Bolsa de Valores de
Londres creara un comité liderado por Sir Adrian Cadbury para evaluar los problemas que se
titulaba Reporte del Comité en los Aspectos Financieros del Gobierno Corporativo. El reporte fue
sujeto a una serie de cambios y negociaciones mientras se elaboraba, pero sobre todo en el tema
Comité, explicó que la razón fundamental por la que se estableció en Comité fue para analizar el
problema de las “fallas corporativas” derivadas de malos manejos contables (Cambrige, 2015).
58
Para tener una visión más independiente de la situación, las autoridades eligieron a Cadbury
porque él no era contador de profesión, pero tenía amplio conocimiento del tema ya que era
directores independientes.
independientes.
Cadbury sugirió además que los directores se autoevaluaran, pues una autocrítica podría ayudar
A este reporte se le otorgó el nivel de regulación estatutaria a ser observado por todas las
empresas registradas en la bolsa de valores de Londres. Las empresas fueron sujetas a seguir
interno hecho con honestidad es superior a la fuerza de control externa, sujeta a los juegos
contables.
La ola de privatizaciones impulsada por el gobierno de Margaret Thatcher en Reino Unido en los
años 80 y 90 dio lugar a que los nuevos gerentes de las empresas privatizadas cometieran
59
Caso: British Gas (1995)
En 1995, la recientemente privatizada British Gas fue objeto de presión por parte de los
accionistas individuales que cuestionaban al CEO, Cedric Brown, debido a que se había
subido el sueldo de 270,000 a 475,000 libras esterlinas. British Gas era vista aún como
un monopolio y los accionistas no entendían por qué el líder de un monopolio tenía que
ganar un salario tan alto. Además, por ese entonces se había anunciado el despido de
2,000 trabajadores de la empresa. Brown fue criticado por la prensa y objeto de escarnio
Debido a ese y otros casos, la asociación de industriales CBI29, uno de los lobbies más
importantes del Reino Unido, comisionó un reporte que estuvo dirigido por Sir Richard Greenbury.
La recomendación principal del reporte fue la de crear un comité encargado de revisar y aprobar
las remuneraciones de los directores ejecutivos y comunicar estos montos y beneficios a los
accionistas. Este comité debe estar conformado únicamente por directores independientes.
plazo. El reporte recomienda tener mucho tacto en el manejo de los montos, nunca excediéndose
ni permitiendo beneficios ilimitados ni saliéndose de lo que debe ser razonable en el sector (David
Martin, 2006).
El reporte Greenbury recomendaba una revisión del Gobierno corporativo en Reino Unido cada
3 años. En 1998, el comité que realizó la primera revisión estuvo a cargo de Sir Ronald Hampel,
presidente de Royal Chemical Industries. El reporte Hampel recomendó consolidar los dos
previos reportes, el Cadbury y el Greenbury, en un solo código combinado. Además, hizo notar
que el código de gobierno corporativo no debía ser visto simplemente como una serie de tareas
a cumplir mecánicamente, sino que debían entenderse sus principios, entender muy bien el
esta manera, que es imposible reglamentar todos los aspectos de una empresa, porque el
ingenio humano combinado con la falta de ética siempre puede encontrar vacíos en cualquier
El reporte Hampel resultó en lo que se llamó el “Código Combinado”, que consolidaba los
reportes Cadbury, Greenbury y las conclusiones de Hampel y fue publicado por el London
Stock Exchange.
adiciones:
2003. El Financial Reporting Council publicó el Código Combinado con las adiciones de
Turnbull y otras más relacionadas con las fallas aprendidas en Enron como el rol de los
2009. Se publica el código de gobierno corporativo del Reino Unido. Esta versión ha sido
2019. Entra en vigor el código de gobierno corporativo para grandes empresas no listadas
en la bolsa.
61
El código de gobierno corporativo del Reino Unido
En 2014 se emitió el código de gobierno corporativo del Reino Unido. Como se explica
listas de tareas para cumplir y chequear, sino fomentar la buena práctica de la reflexión y
entendimiento que ayude a la transparencia con los principios de la ética profesional. Como parte
de esa filosofía se aclara que en el Reino Unido se aplica el principio de “cumplir o explicar”, es
decir que no cumplir con el código puede tener una explicación y si esta es razonable, puede ser
aceptada por los reguladores. Esta concepción es muy distinta a la de Estados Unidos, donde
El código comienza definiendo el concepto de gobierno corporativo, tomado del reporte Cadbury.
A continuación, resalta el trabajo continuo de mejora a lo largo de más de veinte años hasta la
versión de 2014. Seguidamente propone el problema del “pensamiento grupal” cuando los
directorios son muy homogéneos, sugiriéndose diversidad en los directorios. Además, resalta
que es muy importante que los estándares de ética profesional sean difundidos desde el
directorio. Por último, pide que las empresas sean transparentes en la divulgación de información
Debido a la flexibilidad que el Código confiere a las empresas a seguir sus pautas o explicar por
qué no se siguen, se espera que sea el mercado y no la ley la que decida qué tan bien es su
aplicación. Sin embargo, una investigación de la consultora Grant Thornton revela que en 2016
el 38% de las empresas listadas en la bolsa del Reino Unido no cumplen completamente con el
Código (Thornton, 2016). Si bien la consultora menciona que hay una mejora en los resultados,
hace notar que muchas empresas tratan de cumplir con lo mínimo necesario. El riesgo, dice el
reporte, es que esa falta de cumplimiento lleve a una intervención no deseada del gobierno.
62
El código de gobierno corporativo del Reino Unido tiene la filosofía llamada “cumplir o
explicar”, que permite a las empresas no seguir al pie de la letra las guías, sin hay una
Reino Unido. Este documento es el resultado de más de dos años de revisión y consultas
dirigidas por el gobierno de Theresa May. Para ello, un Comité de la cámara de los comunes
realizó desde 2016 una profunda investigación para entender la situación, respondiendo a
entender si los intereses de los accionistas están debidamente representados en las empresas,
si las obligaciones de los directores están correctamente descritas en las leyes, si hay suficiente
transparencia en las empresas y qué más debería hacer el gobierno para mejorar el gobierno
corporativo, entre otros temas. La preocupación en el pago a los directivos estuvo enfocada en
entender mejor si es necesario que éste dependa de los resultados a largo plazo, además de
analizar que ha motivado el alto crecimiento de la compensación ejecutiva en los últimos años y
si es justificable. Por último, el comité buscaba entender si es mejor tener directorios con
Reino Unido
En el Reino Unido, debido a los excesos de las empresas privadas, el gobierno emitió en 2018
una nueva regulación de gobierno corporativo, que es aplicable desde 2019 para empresas con
más de 2,000 trabajadores o ventas de más de 200 millones de libras esterlinas 30. Estas
30 http://www.legislation.gov.uk/ukdsi/2018/9780111170298/contents
63
empresas, que anteriormente no estaban sujetas a ese tipo de regulación, han encontrado
dificultades para adoptarlas. Según el estudio legal Baker McKenzie, el 72% de empresas no
Se pueden distinguir tres tipos de leyes que determinan la estructura legal del gobierno
1.Leyes corporativas
3. Leyes de trabajo
Las leyes corporativas ayudan a definir las relaciones entre los accionistas, el directorio, la
gerencia y los trabajadores. Estas leyes varían dependiendo si el país tiene el sistema legal de
derecho romano o anglosajón. El último ofrece mayores ventajas para los accionistas y es más
Las leyes de regulación del mercado financiero establecen el marco para que las empresas
puedan afrontar sus necesidades de financiamiento ya sea en forma de capital, deuda u otros
Finalmente, las leyes del trabajo determinan las reglas por las cuales se puede contratar y
despedir al personal y qué poder tiene el personal en las decisiones de la empresa. Hay modelos
en los extremos, desde los Estados Unidos donde el personal no tiene mucho poder en las
31 https://www.bakermckenzie.com/en/newsroom/2019/03/corporate-governance-survey
64
La supervisión del gobierno corporativo depende del país, pero muy comúnmente el regulador
empresas listadas.
En Estados Unidos, las empresas listadas son reguladas por el Securities and Exchange
Commission (SEC), están sujetas a la ley Sarbanes-Oxley (SOX) y cumplen con las guías de la
Council (FRC) y siguen las reglas del Financial Conduct Authority (FCA).
A nivel global, la OCDE, que tiene como uno de sus objetivos promover el buen gobierno
actualizada cada cierto tiempo y provee guías para los reguladores y las empresas que ayudan
En su versión del 2015, el documento señala que el Gobierno corporativo no es el fin en sí, sino
el medio para crear confianza en los mercados y ética en los negocios, que son esenciales para
conseguir capital de largo plazo (OECD, G20/OECD Principles of Corporate Governance, 2015).
Los principios de la OCDE han sido adoptados por el Consejo de Estabilidad Financiera del grupo
de los 20, por el Banco Mundial y por el Comité de Basilea para regulación financiera.
Mientras que Estados Unidos tiene un gobierno corporativo orientado especialmente a los
tienen una visión más flexible respecto al cumplimiento, o se enfocan en otras partes
65
Las partes interesadas
Habiendo presentado algunos de los casos más importantes que dieron origen al actual sistema
de gobierno corporativo, pasaremos a revisar las llamadas “partes interesadas” en las empresas.
Como vimos previamente en la teoría de los stakeholders, hay partes interesadas internas y
empresa, descuidar una de ellas puede traer consecuencias negativas a la organización. Las
responsabilidades, roles y composición de cada parte interesada han ido ajustándose conforme
Las partes interesadas internas en las que el código de gobierno se enfoca, son el directorio y
los accionistas.
El directorio
El directorio es un grupo de personas elegidas por los accionistas para dirigir la empresa y son
responsables colectivamente de su éxito a largo plazo. Los directores están sujetos a una
reelección periódica. La orientación del directorio es estratégica y de largo plazo, por lo que sus
en todos los aspectos. Los directores no ejecutivos deben proveer crítica constructiva y ayudar
El rol del Directorio, según definición del reporte King de Sudáfrica (Africa, 2009) es:
66
• Definir los valores con los que la empresa operará día a día.
sucesión.
de la gerencia.
c. Revisar, aprobar y supervisar las estrategias del negocio, la situación financiera y las
d. Identificar y analizar los grandes riesgos que tiene la empresa y revisar las opciones
para su mitigación.
la ética, las relaciones con los clientes, proveedores y otras partes interesadas en la
negocio de la empresa. Ninguna persona debe tener poder ilimitado de decisión (Council, The
67
UK Corporate Governance Code, 2014). Los principios de sentido común emitidos en 2016 por
las mayores empresas que cotizan en el NYSE señalan que la mayoría del directorio debe ser
d. Tipos de directorios
En el sistema de una banda o unitario, el directorio delega el manejo del día a día al CEO, al
equipo ejecutivo, o al comité ejecutivo. Esta estructura es la más común en los países
anglosajones.
En el sistema de dos bandas, el directorio divide los roles de supervisión y ejecución en dos
representantes de los accionistas, los empleados y el equipo ejecutivo. Esta estructura es más
Debido al poder que los directores ejercen, están sujetos a una serie de deberes fiduciarios, es
a rendir cuentas y a asegurarse de que se defienden los intereses de los accionistas. Los
directores deben tener lealtad a la empresa y sus principios y valores, cuidado en que las
decisiones que se tomen no sean en beneficio propio sino de la empresa y sus accionistas y trato
68
Dedicación
Todos los directores deben ser capaces de dedicar suficiente tiempo a la empresa para cumplir
Desarrollo personal
Comunicación
El directorio debe ocuparse de mantener informados a los accionistas los asuntos de gobierno
corporativo que sean relevantes. Se puede designar a los portavoces necesarios para ese
trabajo. La comunicación con los medios requiere aprobación del directorio de acuerdo con las
circunstancias.
Información y soporte
El directorio debe recibir información de calidad y a tiempo para cumplir sus actividades.
que está dispuesto a aceptar para conseguir los objetivos estratégicos. El directorio debe
69
Selección, evaluación y compensación de los directores
Selección de directores
Debe haber un proceso formal, riguroso y transparente para nombrar nuevos directores. Se
recomienda una combinación de directores internos y externos. Los directores internos proveen
experiencia de la industria; los externos traen otra perspectiva que puede ayudar a identificar
nuevas oportunidades y riesgos. Los directores deben ser decisivos, independientes en sus
de negocios, estar orientados a defender los derechos de los accionistas y tener pasión por la
El directorio debe tener una evaluación anual de su propio desempeño, de los comités y de cada
miembro del directorio. Todos los directores deben ser reelectos en intervalos regulares, siempre
La compensación debe ser diseñada para promover el éxito a largo plazo de la empresa. Los
objetivos por rendimiento deben ser transparentes, retadores y rigurosamente aplicados. Debe
para fijar los paquetes de compensación para los directores. Ningún director debe estar
Juicios recientes a las empresas Facebook y Citrix por pagos excesivos a los directores no
beneficios de estos (Lee, 2016). En el Reino Unido, un comité del Parlamento está también
avaluando los excesos cometidos por algunas empresas en los beneficios de los directores.
70
Directores independientes
Actualmente existe consenso entre los reguladores en que es necesario tener directores
independientes en todas las empresas. Hay muchas razones para ello, como por ejemplo tener
una perspectiva distinta y fresca, sin prejuicios, proveer ideas y experiencia de otras industrias,
o proveer continuidad a largo plazo, sin estar sujeto a los vaivenes de los gestores internos.
f. Comités de directorio.
El comité de auditoría.
menos uno debe tener experiencia en gestión financiera. Es responsable por supervisar los
controles internos, aprobar los estados financieros y otros documentos importantes. También
sirve para seleccionar, compensar, supervisar y establecer la comunicación con los auditores
externos y revisar asuntos importantes de cumplimiento. El comité debe asegurar que los
auditores externos estén de acuerdo con los estimados los supuestos que los contadores
internos y la gerencia hayan propuesto. Para ello, debe haber un diálogo técnico entre ambas
partes que facilite el intercambio de ideas y permita resolver dudas o inquietudes de los auditores
externos. En empresas que cuenten con auditoría interna, el comité debe supervisar y validar las
El comité de nominaciones
directores cuando esto sea necesario y además está encargado de hacer recomendaciones para
la correcta composición del directorio buscando que tenga un balance entre directores
Otra función de este comité es preparar y conseguir consenso en la descripción del puesto de
presidente de directorio.
71
El comité de compensación.
ejecutivos de mayor rango. Debe establecer una política de compensación que esté escrita y
ejecutivos para evitar conflictos de interés. La compensación debe ser estructurada de manera
que se motive a lograr los objetivos a largo plazo. Por lo tanto, se debe ofrecer un paquete salarial
y de beneficios que atraiga a los candidatos ideales para el puesto, con alicientes a que se logre
El plan de sucesión
Debido a que uno de los objetivos de toda empresa es su éxito a largo plazo, tener un plan de
sucesión es fundamental para dar confianza a los accionistas y al mercado de que, si algún
director o ejecutivo le sucede algo imprevisto, la empresa está preparada para continuar con sus
envergadura, está prohibido que funcionarios de alto nivel viajen juntos en el mismo avión, pues
Reuniones de directorio.
Los elementos mínimos que los directorios deben tener incluyen la preparación de las reuniones,
mecánica de las reuniones, agenda y participantes, notas de la reunión, calendario del directorio,
El directorio en pleno debe discutir ya acordar la agenda de trabajo. La agenda debe incluir como
mínimo:
72
4. Estrategia de uso de capital, posibles adquisiciones y fusiones.
Los accionistas
En la evolución de los gobiernos corporativos de las empresas, los accionistas han ido teniendo
una relación más compleja con la empresa. Inicialmente, los accionistas podían ser muy pocos
y tenían contacto directo con las operaciones de la empresa. En una corporación moderna que
lista en la bolsa de valores, los accionistas son muchos y pueden ser instituciones o individuos.
En la bolsa de valores de Nueva York, el 70% de las transacciones son efectuadas por
tienen mucho más poder de influencia que los individuos. Hay incluso casos en los que
instituciones como fondos de inversión o de pensión adquieren una posición significativa que les
permite llegar a tener participación en el directorio. Los derechos de los accionistas incluyen el
de voto cuando hay decisiones importantes como la elección de directores, recibir información
financiera y estratégica con cierta periodicidad y de recibir dividendos cuando así se decida. Uno
de los más brillantes ejemplos de comunicación con los accionistas es la reunión anual del
Otras partes interesadas internas son la gerencia, los empleados, los trabajadores y los
sindicatos.
Las partes interesadas externas más importantes son los clientes, que pueden ser directos como
73
indirectos como en la fabricación de productos de consumo. Sin embargo, muchos otros
interesados deben ser tomados en cuenta, como los acreedores, los proveedores, la comunidad,
los reguladores, el auditor externo, los analistas (de acciones, bonos, etc.), los medios de
Los proveedores
Los proveedores son socios estratégicos muy importantes para las empresas. Debido a que
muchas actividades se subcontratan, pueden dar origen a riesgos no previstos como los que se
revisan más adelante en la sección de riesgo operacional. Por ejemplo, algunos proveedores han
causado serio daño de reputación a empresas que no estaban al tanto de sus malas prácticas
Los acreedores
Algunos de los principales acreedores de las empresas son las instituciones financieras que
proveen dinero en forma de deuda y los proveedores que facilitan las ventas con plazos de pago
que van por lo general de 30 hasta 120 días. Un mal manejo de los acreedores puede
los acreedores acaban dirigiendo la empresa para cobrarse la deuda, hasta su recuperación o
La comunidad
Al ser parte de una o varias comunidades, las empresas tienen que tener en cuenta los intereses
afectando negativamente a los vecinos. Muchas veces, las comunidades esperan que las
empresas contribuyan a sus causas de bien social, para lo que algunas empresas, sobre todo
las de extracción de minerales, tienen asignados funcionarios que las representan con la
comunidad.
74
La crisis de redes sociales y el riesgo a la reputación
El crecimiento de las redes sociales gracias a los teléfonos móviles y al acceso global y masivo
a las redes ha creado riesgos que requieren de nuevas formas de respuesta, planteando nuevos
La crisis de redes sociales puede darse en una empresa o sector por malos comentarios
• A principios de 2015, una pizzería tuvo que cerrar temporalmente sus operaciones en
los representantes del restaurante no fue del todo satisfactoria para el cliente, por lo
que colocó fotos y quejas en las redes sociales. Los medios de comunicación tomaron
La noticia llegó a la sede de la empresa en Estados Unidos. Mientras tanto, los dueños
Más de un año después, la franquicia reabrió sus puertas con una campaña para
pizzería tiene visible la cocina para que sus clientes puedan ver cómo se preparan los
muy importantes.
• En julio de 2016, una estudiante fue acusada injustamente de robar en una joyería de
Carolina del Sur. Ese hecho fue denunciado en las redes sociales, creando una ola
75
bien, pidiendo disculpas públicas por el hecho, pero después cometieron el error de
no aceptar una falta de su parte y más bien, criticaron a las redes sociales, borrando
Este es un ejemplo de transformación del entorno, en el que un nuevo elemento tecnológico toma
desprevenidos a algunos empresarios que no habían considerado el fuerte impacto de las partes
Parte esencial del gobierno corporativo es entender los intereses y necesidades de las
partes interesadas respecto a la actividad de la organización. Hay que tener en cuenta las
Los llamados “delitos de cuello blanco”33 han sido la razón principal del modelo actual de gobierno
mitigación posible es contar con directores y ejecutivos con altos valores éticos, conocimiento
del sector, uso de la disciplina de gobierno, y tener abiertos canales de comunicación para que
Gracias a la globalización, las buenas prácticas del gobierno corporativo se extienden cada vez
más, haciéndose más estrictas según se avanza. Para comprobarlo, la organización GECN
realizó un estudio detallado de las tendencias globales (GECN, 2018). El reporte muestra una
32 https://oursocialtimes.com/6-examples-of-social-media-crises-what-can-we-learn
33 Del inglés, White Collar Crimes.
76
mundo. Ese movimiento ha sido producto del interés de los inversionistas en salvaguardar su
77
La gestión de riesgo
riesgos desde que nacemos hasta que morimos y desde muy pequeños aprendemos a mitigarlos,
momento a una gran variedad de riesgos. Tal vez debido a la experiencia personal que todos
tenemos en temas de riesgo, las empresas tomaron siempre su gestión como algo casi intuitivo.
La contabilidad se comenzó a desarrollar en la edad media; las finanzas a fines del siglo XIX, la
posición de Chief Financial Officer existe desde 1960; el marketing se practica desde mediados
del siglo XX, y para ello existe el Chief Marketing Officer, así como el Chief Operations Officer,
pero recién en 1993 una empresa nombró por primera vez un Chief Risk Officer, responsable por
la gestión integral del riesgo de una empresa. Esa primera empresa fue GE Capital y el primer
Así como las personas, existen empresas más o menos propensas al riesgo, pero lo importante
estructura de gobierno corporativo debe facilitar ese proceso y para ello hay múltiples
El riesgo
La palabra “riesgo” tiene raíz árabe en la palabra rizq (( )رزقBencheikh, 2004) que significa “lo
que depara la providencia”, o albur, un elemento desconocido que se presenta con posibilidades
buenas o malas. Tiene una asociación con las palabras raíz y risco, en el sentido de ser un
obstáculo para la navegación. Del árabe pasó al griego y de ahí al latín, con la palabra risicum
34 http://jameslam.com/about.asp
78
Ese es el sentido del que ha derivado de la palabra riesgo, que es vista actualmente no solo en
su connotación negativa de daño posible, sino también como algo potencialmente positivo si uno
analiza los posibles escenarios futuros, permitiendo identificar oportunidades. Ese concepto
positivo ha sido adaptado por los actuales estándares internacionales de gestión de riesgo.
Universidad de Cambrige han logrado identificar una hormona que es emitida por la glándula
suprarrenal como la causante de la percepción del riesgo (Kandasamy et al, 2014). Esta hormona
exposición al riesgo. El estudio revela que, durante la crisis financiera de 2008, los traders de las
casas de bolsa estuvieron sujetos a un alto nivel de stress, subiendo su nivel de cortisol, lo que
les motivó a vender los activos financieros de manera precipitada, agravando la crisis aún más
la organización.
Una manera de evaluar la gestión de riesgo es midiendo cuánto se logra reducir el posible daño
gracias al trabajo de control y mitigación. Dos conceptos que ayudan a entender esa medición
son el riesgo inherente y el riesgo residual. El riesgo inherente es el riesgo intrínseco de una
Por ejemplo, un riesgo inherente en las compañías de aviación es que los aviones tengan un
accidente aéreo. El accidente puede ser originado por múltiples causas como un problema en
las computadoras del avión, mal tiempo, choque con otro avión, errores de la torre de control,
etc. Muchos de esos riesgos (inherentes) se pueden mitigar con buenos procesos de seguridad
79
aeronáutica como excelente mantenimiento, experiencia y entrenamiento de los pilotos,
dispositivos GPS y otros. Esos controles permiten minimizar el riesgo para dejarlo en un nivel
que la empresa, los pasajeros, los reguladores y los gobiernos consideren aceptable.
Sin embargo, siempre quedará algo de riesgo, pese a todo el trabajo de mitigación que se pueda
hacer. Ese riesgo remanente es el llamado riesgo residual y es el que la empresa acepta
consciente o inconscientemente.
El riesgo residual entonces es el que no se puede planificar o evitar, el que permanece después
de haber implementado una gestión de riesgo. Un riesgo residual del ejemplo anterior sería que
en algún momento funcionen mal todos los sistemas del avión, incluso los de back-up o que,
pese a que el reporte del tiempo sea favorable al momento de despegar, se presente una
tormenta intempestiva en alguna parte de la ruta. Evitar totalmente el riesgo residual es casi
imposible, y de poderse hacer costaría tanto que haría inviable la empresa. Dado que la
En el sector financiero, los bancos mitigan el riesgo inherente de morosidad en los créditos
evaluando diligentemente a quién y cómo son otorgados, pero siempre les queda el riesgo
residual de que un deudor decida arbitrariamente no pagar un crédito tomado. Cuando se hace
un trabajo deficiente de gestión del riesgo inherente como sucedió en la crisis financiera global
Algunos definen el peligro como la condición que puede causar un problema, y el riesgo como la
piso resbaloso es el peligro y el riesgo es bajo porque normalmente la gente no se cae en el piso
resbaloso. En ese caso, peligro es la causa que ocasiona un evento (caerse en el piso) que tiene
una consecuencia (accidentarse). La consecuencia, caerse, puede tener un costo muy alto, pero
tan alto.
80
Otros hablan de riesgo e incertidumbre para diferenciar entre riesgos cuantitativos y cualitativos.
Riesgo inherente es el que existe naturalmente por las actividades de la empresa. Riesgo
residual es que queda después de implementar los controles, que requieren una inversión
actividades que la organización realiza para entender y reducir los efectos de esa incertidumbre.
posibilidad de la organización de cumplir sus objetivos, y hacerlo de una manera que pueda ser
replicable.
analizar, mitigar y controlar los riesgos para el logro de los objetivos. Sin embargo, esa es una
los riesgos inherentes hasta dejarlos en un nivel de riesgos residuales que sean
aceptables a la organización”.
Ciencia o arte
81
La gestión de riesgo tiene mucho de ciencia y tradicionalmente se asocia a la gente que trabaja
en gestión de riesgo con un perfil muy cuantitativo. Se sabe que exige conocimiento del cálculo
matemáticas y financieras. Pero la gestión de riesgo también es un arte, porque elementos como
estética y hasta oratoria. Muchas veces se prioriza la parte científica en la gestión de riesgos,
pero sin la parte artística el mensaje pierde mucha fuerza y se puede volver ininteligible para
muchas personas.
Todo el trabajo cuantitativo de riesgo puede perder su impacto sin el arte de la comunicación y
persuasión. La gestión inteligente requiere que los gestores de riesgo presten mucha atención a
los riesgos y puedan desarrollar mapas de influencia entre los factores desencadenantes de
riesgo, medidas de mitigación apropiadas para el nivel de riesgo, comunicación de los riesgos y
un control preciso de los mismos. Ese es un trabajo que no puede ser rutinario o burocrático,
porque exige un gran esfuerzo mental y comunicacional. Exige de los gerentes y analistas de
riesgo un cierto nivel (saludable) de paranoia, de pensar qué puede salir mal, trazar escenarios
Para una adecuada gestión de riesgo se requiere de la ciencia y el arte, uno sin el otro es
poco efectivo.
En la gestión del riesgo debemos incluir en el análisis todo tipo de riesgos relevantes, sin importar
si sus probabilidades de ocurrencia son medibles o no. Para identificar los riesgos, ISO 31010
propone muchas técnicas, entre las cuales las más usadas son la tormenta de ideas, las
entrevistas a profundidad, las listas de riesgos, la técnica swift que se basa en preguntar “qué
pasaría si”, el análisis de escenarios, los árboles de error, los diagramas de riesgo, la observación
82
Los riesgos cuantitativos son los que tienen un costo económico estimable y en los que se pueda
calcular fácilmente el costo o la probabilidad. Hay otro tipo de riesgos que se pueden medir
parcialmente. Para priorizar riesgos, todos deben compararse, usando técnicas de estimación de
Entre los riesgos cualitativos, uno de los que tiene gran relevancia, pero que es difícil medir, es
el riesgo de la mala reputación, derivada de campañas negativas en redes sociales. Como hemos
visto anteriormente, hay casos de empresas que han tenido que cerrar sus puertas por haber
Algunos riesgos se pueden cuantificar fácilmente, pero otros no. Ambos deben tomarse
estimadas.
La voz de alerta
Los gerentes de riesgo con mucha experiencia saben que siempre que hay una pérdida derivada
por la deficiente gestión de riesgos, alguien en la organización supo anteriormente que el riesgo
se podía producir, pero su voz no llegó a hacerse notar. En muchos casos, la persona que sabía
del riesgo no tuvo un mecanismo interno de comunicación que le permitiera alzar la voz de alerta.
En muchos casos, el mensaje se perdió en el camino o fue negado por los niveles superiores.
visibilidad y transparencia.
Surgido antes del concepto de GRC, Enterprise Risk Management busca resolver la necesidad
de las empresas de organizar y responder a todos los riesgos posibles de una manera integral,
83
sin importar de qué área funcional o factor externo provienen. Por ejemplo, en un grupo
ayudó a incluir entre los riesgos emergentes los avances en la ingeniería genética, un riesgo no
financiero que puede alterar la necesidad de seguros de los clientes ya sea por los avances en
su curación o por la mayor información genética que motive una selección adversa35.
Los estándares internacionales de riesgo más conocidos son COSO e ISO 31000. El comité
COSO, como se explica anteriormente, es una iniciativa de las empresas privadas de Estados
ERM que las empresas pueden usar para el buen manejo de riesgos. Bajo este modelo, el
objetivo es poder determinar, mitigar y comunicar los riesgos potenciales y reales de la empresa.
Uno de los problemas de la adaptación de ERM es que requiere criterio y decisión de los usuarios
El reporte COSO explica los siguientes beneficios del ERM (COSO, 2013):
• Identificar y gestionar los múltiples riesgos que se pueden presentar en todos los aspectos
de la empresa
• Posicionar a la empresa para aprovechar oportunidades que de otra manera pueden ser
desconocidas
35 Selección adversa en seguros es la contratación de seguros por clientes con información privilegiada.
84
1. Ambiente de Control
interno.
3. Actividades de control.
4. Información y comunicación.
en la organización.
85
Estos cinco componentes son a su vez analizados teniendo en cuenta tres categorías de
Otro estándar de riesgo es el ISO 31000, publicado en 2009. ISO 31000 contiene los principios
y guías para la Gestión de Riesgo y define el riesgo no de la manera tradicional enfocada en las
posibles pérdidas, sino como el efecto de la incertidumbre en los objetivos de la empresa, lo cual
puede ser positivo o negativo. Además, propone las siguientes opciones para decidir qué hacer
6. Compartir el riesgo.
ISO 31010 es otro estándar y contiene una descripción detallada de técnicas de evaluación del
se ha podido evitar que ocurran crisis derivadas de su mala gestión, como sucedió en la crisis
Una razón fundamental por la que es imposible evitar algunos riesgos es que el factor humano
con elementos como la falta de ética profesional o el deseo incontrolado de ganancia económica,
pueden alterar cualquier intento de control interno. La herramienta más sofisticada de mitigación
de riesgo puede fallar cuando no hay un respeto total a los principios éticos y morales.
86
Los estándares internacionales de riesgo más difundidos son COSO e ISO 31000. Una
corporativo ayuda a lograr de los objetivos de las organizaciones, las empresas, y por
87
Gestión de riesgo y gobierno corporativo
publicó un reporte sobre la Gestión de Riesgo de sus países miembros (OECD, Risk
Management and Corporate Governance, 2014). El espíritu del reporte es compartir las mejores
Una conclusión es que las empresas frecuentemente subestiman el costo de los problemas que
ocasiona una mala gestión de riesgo. Por lo tanto, un adecuado gobierno corporativo debe
El reporte muestra que los estándares de gestión de riesgo corporativo en las empresas están
financieros. No existe una buena identificación de riesgos ex ante (leading indicators), los
indicadores que alertan de riesgos potenciales antes de que se presenten. El reporte recomienda
Otra de las áreas que el reporte resalta es la poca atención que los directorios dan a los eventos
inversionistas, las partes interesadas y el medio ambiente. Además, se sugiere una revisión del
recomendaciones del estudio de la OECD. Es un reto que debe ser tomado muy en serio por los
La OCDE recomienda atender con mayor detalle los riesgos estratégicos, operacionales,
88
Las líneas de defensa
tiempo surgió el concepto de las líneas de defensa. Se basa en que en las organizaciones
modernas hay una serie de roles que cumplen funciones de control interno, y necesitan ser
La idea de las líneas de defensa es entender que las organizaciones necesitan enfrentar los
riesgos con tres niveles de protección. El primer nivel es la gerencia operativa, que tiene a su
cargo la gestión de los riesgos de manera directa. El segundo nivel incluye a la función de
de riesgos. Esta actividad la hace juntamente con las áreas de cumplimiento y control interno.
El gerente de riesgo
suele decir que todos deben ser gerentes de riesgo. Sin embargo, en palabras de gente
experimentada en el tema, “cuando todos son gerentes de riesgo, nadie lo es”. Por ello, muchas
de las grandes empresas, sobre todo financieras, tienen una persona con reporte directo al
responsable de comunicar los riesgos más importantes al directorio para evitar sorpresas.
89
El gerente de riesgo, además, debe considerar los siguientes aspectos en su gestión:
• Cálculo de la exposición a pérdidas económicas, para lo que existe una gran variedad de
herramientas cuantitativas
sus clientes
Para comunicar los riesgos, muchas empresas, sobre todo financieras, tienen además un comité
de gestión de riesgo, en el que se discuten los riesgos y se evalúan los planes de mitigación.
Una de las cualidades que el gerente de riesgo debe tener es la de tener es amplitud de visión.
Por ejemplo, considerar no son sólo riesgos tácticos sino también estratégicos o sistémicos,
involucrando a toda la gerencia. Si bien existen gerentes de riesgo desde la década de los 70,
se cree que James Lang creó la posición de CRO en 1993, en la empresa GE Capital, la división
financiera de General Electric. GE Capital tenía varias divisiones que abarcaban diversos
servicios financieros. Debido a que su estrategia era el crecimiento por medio de adquisiciones,
las empresas que se incorporaban al grupo debían estandarizar su gestión y sus procesos, para
lo que riesgo era una herramienta fundamental. Además, las divisiones intercambiaban mejores
James Lang y su sucesor, Jim Colica continuamente recomendaban a los gerentes de riesgo
tener los ojos muy abiertos a nuevos riesgos no mapeados, no tradicionales, o poco comunes,
que tuvieran alto impacto. A esos riesgos posteriormente el autor Nassim Taleb los llamó “cisnes
negros”, en alusión a lo raro que es encontrar ese color en un cisne (Taleb, 2010).
La consultora de riesgo Sword ha hecho un análisis de los talentos actuales de los gerentes de
riesgo, evaluando empresas a nivel global y llegó a la conclusión que, si bien el 60% cumplen
90
con las habilidades tradicionales lógico-analíticas, el 40% son más bien líderes y
“evangelizadores” con mayores habilidades de comunicación (Norris, 2017). Estos últimos ven
riesgo como una función puente en su carrera hacia otra posición de mayor importancia como
CEO o CFO.
Warren Buffett, el célebre inversionista a cargo de la empresa Berkshire Hathaway dice que, en
“Cuando se tiene una empresa tan grande como Berkshire Hathaway, con obligaciones
a tantas partes interesadas, yo tengo que ser el Chief Risk Officer, porque soy el que
tiene la mejor visión de toda la operación, y entiendo de riesgos, y así debí ser para toda
gran empresa de servicios financieros. Cada CEO debía considerar que su obligación
número uno es ser el CRO. Tiene muchas otras obligaciones, pero cada mañana se
levanta y se pregunta: ¿esta organización está preparada para recibir cualquier golpe? Y
debe estar preparado para recibir el golpe (en caso de que se presente)”.
Líderes o no, lo cierto es que la gestión de riesgo requiere que sus actores coordinen y fomenten
temas, pero si tener un conocimiento general mínimo para poder interactuar con todas las partes
de la organización, tener mucho sentido común, y saber en qué momento imponer un nivel de
disciplina y rigor. En los casos en que detecten riesgos altos, es necesario que sepan cómo
La línea de reporte recomendada del gerente de riesgo es al directorio, pues de otra manera
puede ser sujeto a manipulación por parte de los cuadros ejecutivos. Alternativamente se puede
Existen muchas clasificaciones por tipos de riesgos. Hay clasificaciones genéricas como la ya
mencionada de riesgos inherentes y residuales y clasificaciones por actividad como por ejemplo
Riesgos genéricos
Riesgos sistémicos
Un riesgo sistémico afecta a todos los participantes en un ámbito definido. Ejemplos de riesgos
Un terremoto o un huracán pueden afectar a toda una región geográfica. Una caída significativa
global, el riesgo sistémico se trata de prevenir con la llamada política anticíclica, con acumulación
de activos a usar en caso de crisis, y diseñando políticas que impidan el contagio entre
instituciones.
que un cliente muy importante cancele un contrato, pudiendo ocasionar la falta de liquidez de la
empresa.
Hay seguros diseñados específicamente para cubrir daños por riesgo sistémico, como los
92
Riesgos cuantitativos y cualitativos
La medición del riesgo sería mucho más exacta si todos los riesgos fueran cuantificables. Sin
embargo, hay muchos riesgos que presentan una gran dificultad para medirse. Por ejemplo, el
riesgo de mala reputación es difícil de medir pues depende de la reacción psicológica de la gente
mala reputación puede ir desde el extremo menos grave de ser un hecho sin trascendencia hasta
responsables de esta.
empresa de controlarlos o no. Los riesgos internos, que son los generados dentro de la empresa
Los riesgos externos son los que se originan fuera de la organización. Pueden provenir de la
ciudad en la que la empresa está establecida, del país, de la región, de fenómenos naturales, de
Por lo general, los riesgos externos son más difíciles de controlar que los internos. En algunos
casos, se pueden compartir con empresas aseguradoras a cambio de una prima. En este campo,
los riesgos de vida y daños son los riesgos típicamente asegurables por las empresas de seguros
Un criterio básico que las empresas multinacionales emplean antes de invertir en un país es
evaluar el riesgo que representa operar ahí. Un país amenazado por el terrorismo, con débil
protección legal, o con problemas políticos representa un riesgo mayor y por lo tanto requiere
93
ofrecer un retorno mayor a los inversionistas por el riesgo adicional. Otros elementos de riesgo
considerados son:
• Nivel de desempleo
• Infraestructura
Hay mediciones del riesgo del país que permiten comparar distintas opciones y ver el
Otra forma de medir el riesgo del país es usando el índice EMBI, Emerging Market Bond Index,
que publica el banco JP Morgan, y consiste en estimar la diferencia entre los bonos del tesoro
en dólares, del país anfitrión y de los de Estados Unidos. Cuanto mayor es esa diferencia, mayor
Para los inversionistas en un país extranjero, existen seguros que cubren temas como riesgo
político del país, entendido como la amenaza de expropiación, riesgo personal de secuestro,
riesgo de problemas en infraestructura, y muchos otros riesgos externos relacionados con el país
anfitrión.
Riesgo de concentración
37 https://www.euromoney.com/research-and-awards/surveys-and-awards/country-risk-survey
94
muchos aspectos. Por ejemplo, si una empresa depende de un solo cliente o proveedor; si hay
concentración en las herramientas de control. Un ejemplo puede ser que un banco identifique la
una región, poniendo límites máximos. De exceder una región el límite establecido, ese hecho
Entre los riesgos por actividad, hay riesgos relacionados con la estrategia del negocio, riesgos
Riesgo estratégico
El Riesgo estratégico es el que se presenta por efecto de las decisiones (o indecisiones) del
empresa. La gestión del riesgo estratégico ayuda a decidir qué debe hacer la empresa, mientras
que la gestión del riesgo operacional o financiero ayudan a decidir cómo hacerlas.
Según Jim Lam, el primer Chief Risk Officer que existió en una corporación, el mal manejo del
riesgo estratégico es responsable del 60% de las pérdidas en capitalización de mercado de las
empresas (Lam, 2014). En muchos casos, las empresas sufren las pérdidas porque no logran
anticipar las necesidades del mercado a tiempo. Un reciente estudio de Deloitte muestra que el
51% de los ejecutivos globales reconocen que el riesgo estratégico es el más retador de todos,
es una prioridad y ha alcanzado una importancia mayor a los tipos tradicionales de riesgo como
95
Los riesgos estratégicos deben estar integrados con el planeamiento estratégico y la dirección
general de la empresa y deben ser parte esencial del gobierno corporativo. El crecimiento global
de la innovación tecnológica presenta uno de los mayores retos estratégicos a los directorios,
presentando retos como la gestión de las redes sociales, la movilidad tecnológica y el análisis de
los grandes datos con inteligencia artificial38. La velocidad de cambio de cómo se presentan estos
Uno de los casos recientes más notorios de riesgo estratégico ha sido el crecimiento de Amazon,
cambiando la industrial retail en Estados Unidos. Walmart, que inicialmente tuvo una respuesta
competitivas para poder continuar teniendo éxito. Otras empresas, como Sears, Radio Shack, y
La responsabilidad social no siempre fue un tema prioritario para las empresas. Incluso grandes
responsabilidad social sea una actividad a la que todas las empresas deben prestar atención.
En la década del 60, un grupo de accionistas liderados por el activista Ralph Nader exigió a
General Motors una serie de mejoras a sus productos y servicios que hubieran demandado una
artículo señalando que la responsabilidad social de una empresa privada es aumentar las
utilidades (Friedman, 1970). Ya anteriormente Friedman había escrito sobre el tema en su obra
Capitalismo y Libertad.
Para Friedman, los gerentes de las empresas son libres de usar su dinero y su tiempo libre en
actividades de responsabilidad social. Sin embargo, no deben hacer uso de los recursos de la
empresa para ese fin, porque la empresa no debe dedicarse a la responsabilidad social sino a
empresa no puede tener responsabilidades, sólo los individuos las tienen. Además, el interés de
los accionistas es generalmente maximizar las utilidades. Como los gerentes son empleados de
los accionistas, deben hacer lo que estos últimos les demandan. Friedman afirma que si los
a los accionistas.
Este tema fue debatido por mucho tiempo, pero en la década de los 90 la responsabilidad social
se volvió una disciplina de gran importancia gracias a la presión de, entre otros, la Comunidad
Europea y las Naciones Unidas. En 1991 el profesor Archie Carroll publicó un artículo que
En el camino, las empresas demostraron que, al tomar en cuenta la responsabilidad social, había
beneficios directos para los accionistas como por ejemplo la mejor imagen corporativa, mejor
reclutamiento y retención de talento profesional, mejor clima laboral y mejores relaciones con la
97
El enfoque de Carroll – niveles de responsabilidad social
En 1991, el profesor Archie Carroll publicó un reporte39 que es considerado fundamental para
En este reporte, Carroll propone la pirámide de responsabilidades con cuatro niveles. En la base,
filantrópica. Según Carroll, estos cuatro niveles siempre han existido, pero es en los últimos
La parte económica se refiere a que el negocio debe tener como uno de sus objetivos lograr
utilidades. En el nivel legal, se debe respetar cabalmente lo que la sociedad ha definido como
bueno y malo en la ley. En cuanto al aspecto ético, se trata de actuar con justicia, haciendo lo
La idea de la pirámide no supone que primero el enfoque sea económico y después los demás,
sino que los cuatro niveles deben ser constantemente atendidos con gran interés. Para resumir
responsabilidad social corporativa debe “reportar utilidades financieras, cumplir con la ley, ser
desarrollado previamente por R. Edward Freeman en 1983 (Freeman, 1983). Carroll propone
usar el análisis de los stakeholders como una forma de hacer más concreto el término “social” de
proveyendo la base intelectual para una práctica cada vez más difundida.
En los últimos 50 años, los movimientos de accionistas por causas religiosas, sociales,
ambientales, o de otro tipo han tenido un impacto muy significativo en el gobierno y estrategia
corporativos. Los accionistas han influido en estos aspectos por medio de dos vías: el activismo
2010).
Revisando la historia del activismo en votaciones, hay algunos hitos que merecen mención:
en la guerra de Vietnam, a cargo de la empresa Dow Chemical. Para este logro, se tuvo
que apelar al poder judicial, pues inicialmente el regulador bursátil no admitió inicialmente
responsabilidad social. Aunque la moción no fue aprobada, generó una gran controversia
corporaciones es el ICCR40, una organización que agrupa a más de 200 grupos religiosos
otros aspectos de responsabilidad social. En la década del 80, el ICCR lideró una gran
• En los años 90, la empresa de artículos deportivos Nike fue objeto de serias críticas
en muy malas condiciones, siete días a la semana, 16 horas por día y los salarios eran
protestaron ante este esquema y Nike tuvo que modificar sus prácticas de contratación.
• Mas recientemente, uno de los grupos de accionistas más activos son los fondos de
cobertura (hedge funds) como el Pershing Square Capital de Bill Ackman, que sostiene
en corto la acción, pese a que los jueces ya revisaron el caso y no están de acuerdo.
La preocupación por el medio ambiente y por los derechos humanos creó una categoría de
inversión llamada Socialmente Responsable que filtra las inversiones en base no sólo a la
responsabilidad social.
Así como el acrónimo GRC condensa una visión unificada de riesgo, cumplimiento y gobierno
gobierno corporativo como indicadores de la sostenibilidad y del impacto ético para invertir en
una empresa. ESG es una forma de asegurar que las empresas a invertir tienen sólidos principios
éticos. Los inversionistas preocupados por estos tres temas normalmente los miran en conjunto;
energía nuclear y la sostenibilidad a largo plazo. La responsabilidad social abarca los derechos
humanos, la diversidad e inclusión, la protección del consumidor y los derechos de los animales.
como hemos visto puede ser compartida o no entre el Presidente del Directorio y el CEO, las
Uno de los mayores casos de falta de sostenibilidad y cuidado por el ambiente es el siguiente:
profundas en el golfo de México dio lugar al mayor derrame de petróleo en Estados Unidos, con
Transocean, la operadora era British Petroleum (BP). Debido a faltas graves de seguridad
reveladas después del incendio, BP encontrada culpable junto con Transocean de negligencia
injustificable y obligada a pagar varios billones de dólares por la falta. En este caso, un afán
excesivo de reducir los costos de operación para aumentar la rentabilidad de la empresa originó
Un caso de destrucción del valor de la empresa por mal trato a sus trabajadores es de la empresa
Sports Direct en Reino Unido. Después de muchas protestas y acciones legales por quejas de
los trabajadores, en agosto de 2016 la empresa reconoció sus errores y fue obligada a pagar sus
deudas a los trabajadores más una multa de un millón de libras esterlinas. En investigaciones de
las prácticas laborales de la empresa se habían encontrado fábricas que tenían condiciones
101
similares a las del siglo XIX. Debido a los excesos en el mal trato a sus trabajadores, la reputación
Cuando no se respetan las partes interesadas y se maltrata alguna de ellas, todos acaban
perdiendo, la empresa por las acusaciones y los perjudicados por el mal servicio o producto. Un
reporte de Hermes Investment (Hermes, 2016) , empresa líder en desarrollo sostenible, prueba
que las empresas con mejores sistemas de ESG tienen mejores resultados que las que
descuidan ese tema. Separando los tres componentes, el mayor impacto en los resultados se da
Sin embargo, el estudio de Hermes también revela que cuando las condiciones económicas son
más difíciles, los inversionistas no ponen tanto énfasis en la responsabilidad social y el ambiente.
Otra medición realizada por el profesor Alex Edmans revela que las empresas listadas entre las
mejores compañías para trabajar en Estados Unidos rindieron en promedio 2.1% más que el
Algunos grupos inversionistas ponen como condición no invertir en industrias que consideran
poco sostenibles como el tabaco o el petróleo. Además, los reguladores tienden a reforzar la
empresas que generan polución sin preocuparse por el daño a largo plazo.
Por el lado de las ventas, estudios académicos han demostrado que los consumidores prefieren
comprar a empresas socialmente responsables. Por ejemplo, en Bogotá se comprobó que los
fabricantes de cierto tipo de calzado que tenían “compromiso con el medio ambiente, buen trato
a los trabajadores, apoyo a programas de lucha contra la pobreza, calidad en los productos e
102
innovación tecnológica” mejoraban su probabilidad de venta y los consumidores estaban
Uno de los emprendimientos más exitosos del siglo XXI, la empresa Uber, fue denunciada por
una trabajadora debido a las prácticas comunes de acoso sexual. La denuncia fue investigada
por un equipo a cargo del fiscal general de los Estados Unidos, Erik Holder, y determinó que la
cultura de la empresa denigraba a las mujeres, promovía el acoso y otras malas prácticas con
sus trabajadores.
renunciar y la empresa tuvo que adaptar una serie de recomendaciones del fiscal general, que
reporte requiere a Uber implementar entrenamiento en protección ante el acoso sexual, mejor
control de las quejas de los empleados y muchas otras medidas de control que son totalmente
comunes en empresas más maduras. También sugiere un cambio en los valores de la empresa
Ejemplo: El Sistema B
El Sistema B o B Corps es un movimiento global nacido en Estados Unidos, que busca crear una
alianza de empresas con valores, ética, comprometidas con el cuidado del ambiente y que son
socialmente responsables42. Para ser parte del movimiento, las empresas tienen que pasar una
certificación cada dos años, en las que se las evalúa su nivel de compromiso con los valores
42 https://sistemab.org/movimiento-global/
103
servicios, y experiencias, con las demás empresas de la red. Cuentan con el apoyo del Banco
104
Riesgo operacional
Todas las empresas están sujetas al Riesgo Operacional. Se define como la pérdida debido a
fallos en los procesos, personas o sistemas de la empresa. Un manejo efectivo del riesgo
Dada su amplitud, cubre aspectos tan diversos como el desarrollo de nuevos productos y la
Riesgo de fraude
El fraude es llamado “el más grande rival que uno no conoce”, y con el desarrollo de la
transformación digital se ha expandido rápidamente hasta alcanzar el mayor nivel histórico (PwC,
Global Economic Crime Survey 2018, 2018). Las áreas de más impacto son: el crimen
Según PwC, 49% de las empresas han sido víctimas de fraude en los últimos 24 meses (el año
anterior era 36%). Las empresas ya no confían en las autoridades para poner freno a este tipo
de delito. Hoy, es un mandato para todas las empresas prevenir, identificar, controlar y resolver
El costo del delito económico es muy alto. El 64% de las empresas reportan pérdidas de hasta 1
millón de dólares por cada caso, y el 16% entre uno y 50 millones de dólares. La mitad de los
105
La región con mayor fraude es África, seguida de Norte América y de Sud América. Pese al
crecimiento del fraude, solo la mitad de las organizaciones han desarrollado una seria evaluación
interna del riesgo. Además, hay un buen número de empresas que no reportan el delito porque
no saben que éste se está dando en sus empresas. Es decir, sus controles no han sido aún
capaces de detectarlo.
las organizaciones reporta fraude proveniente de los consumidores, y el 52% que el fraude se
inició dentro de la empresa. Es decir, las empresas tienen que cuidarse no solo del frente externo
El fraude también se puede dar cuando una organización engaña al público y a sus inversionistas,
Estados Unidos. Prometía revolucionar los análisis mediante una nueva tecnología que
reemplazada la extracción de sangre tradicional por un proceso en el que con una gota de sangre
se conseguían los mismos resultados. Por un tiempo, Holmes se volvió una celebridad, y los
medios alabaron su creatividad e innovación, siendo comparada con los fundadores de Apple y
Los inversionistas vieron una gran oportunidad en Theranos, por lo que apostaron a que la
empresa iba a tener un gran crecimiento, subiendo el valor de la empresa hasta 9,000 millones
de dólares en 2014. En 2015, los reguladores aprobaron su análisis para detectar el herpes, pero
el diario Wall Street Journal cuestionó el control de calidad de la prueba, pues encontró
inconsistencias en los resultados de los análisis sanguíneos que Theranos ofrecía. Entre 2016 y
Debido al crecimiento de la globalización, las cadenas de suministro son cada vez más
interdependientes. Por ejemplo, en 2011 hubo una gran disrupción en el sector tecnológico,
materiales y procesos. No solo los desastres naturales pueden tener un impacto sino también
de corrupción, la de falta de energía, o en algunos casos mucha energía como le sucedió a una
planta de Phillips.
Albuquerque, Nuevo México, sufrió un incendio debido a un rayo que impactó la planta de
suministro eléctrico. Como consecuencia del incendio, la planta no pudo continuar produciendo
pues había sido contaminada por el humo del fuego. Los clientes de la planta eran los fabricantes
de teléfonos celulares, que tuvieron que operar en modo de crisis, pues los componentes eran
indispensables para sus procesos de ensamble. El costo fue enorme no sólo para Phillips sino
también para sus dos clientes principales, Nokia y Ericsson. Phillips estimó un tiempo corto para
que la planta iba a demorar más de lo prometido en recuperarse. Buscaron que Phillips los
atendiera desde otras plantas y hasta rediseñaron los teléfonos para usar otros componentes.
Por otro lado, Ericsson confió en la promesa de que la interrupción no iba a demorar mucho
tiempo; sin embargo, la planta demoró en volver a funcionar mucho más de lo esperado. El no
tener un plan de contingencia obligó a Ericsson a dejar de producir teléfonos celulares, perdiendo
107
400 millones de dólares y dejando el mercado libre a su competidor, Nokia, cuya participación de
mercado subió rápidamente. La gran enseñanza para Ericsson y para todas las empresas fue la
de desarrollar a partir de entonces una cadena de suministro flexible, meticulosa y con alto nivel
de control de riesgo.
Debido a la globalización, nunca fue tan evidente la necesidad que tienen actualmente las
que las puedan afectar. El proceso de riesgo incluye entre otros, la identificación de proveedores
de ser necesario, tener más de un proveedor, diseñar alternativas de producción y estar bien
informados de tendencias que pueden afectar el futuro suministro. Un componente adicional que
las empresas tienen que considerar es el aspecto regulatorio. Para ayudar al manejo de todos
estos temas, hay una buena oferta de soluciones tecnológicas diseñadas para la gestión integral
de riesgo.
El riesgo legal puede o no ser considerado dentro de los riesgos operacionales, dependiendo de
qué tan intenso es ese aspecto en relación con la organización. La parte de cumplimiento con
las obligaciones está descrita en el capítulo 3, Cumplimiento. Hay otro aspecto, que es el de la
actividad judicial derivado de conflictos con clientes, proveedores y otras partes interesadas.
Un riesgo que merece gran atención por su crecimiento exponencial es el del riesgo
tecnológico.
Riesgo tecnológico
108
Seguridad de la información
La información que poseen las empresas es en muchos casos más valiosa que los activos físicos.
el país y por tanto está sujeta a graves sanciones por parte del gobierno. Para evitar problemas
de seguridad las empresas han creado un puesto encargado de supervisar todo el proceso de
El buen gobierno corporativo también puede ayudar a prevenir este tipo de problemas. Por
ejemplo, un requerimiento cada vez más común de los directorios es que los gerentes puedan
probar que tienen controles adecuados de seguridad informática. En el casi continuo proceso de
rediseño de la arquitectura y funcionalidad tecnológica, hay una gran oportunidad para fortalecer
El crimen cibernético ha pasado de ser la cuarta a la segunda amenaza más agresiva, después
del robo de activos. Hace dos años, el 24% de las empresas habían sido afectadas, mientras
que hoy este porcentaje ha subido a 32% (PwC, Global Economic Crime Survey 2018, 2018).
Pese a haber subido tanto, sólo el 37% de las empresas tiene un plan de respuesta a un incidente
Uno de los grandes problemas en el control del riesgo cibernético es la poca oferta de
(Studies, 2016) e revela que el 82% de los responsables de TI en empresas alrededor del mundo
reportan insuficientes recursos de ciberseguridad y el 71% piensa que esa falta de recursos
109
Confiabilidad y protección de datos
provista en los mismo tenga controles adecuados que refleje cifras auténticas.
Otro aspecto importante es el de las leyes de protección de datos personales, que requieren
obtener el consentimiento de los clientes para hacer uso de sus datos. Además, obligan a las
del impacto que la regulación puede tener en su empresa. Sam Visner de Global Cybersecurity
y Dave Martin de EMC ofrecen las siguientes pautas para que los directorios se informen de este
para fortalecer la seguridad informática. Una llamada de alerta es cuando la respuesta viene
únicamente del Chief Information Officer (CIO) y el resto de la gerencia no está involucrado y
- Otras preguntas que los directorios tienen que hacer son: ¿Quién tiene responsabilidad
¿Hay una adecuada segregación entre estas dos responsabilidades para asegurar su mejor
implementación? ¿Cuáles son las credenciales de las personas a cargo estas tareas? ¿Qué
las recomendaciones? ¿Y si las recomendaciones no se han implementado, por qué no? ¿Cuál
110
- Los directorios deben entender cuál es el valor de los datos en relación con el valor total
de la empresa. Esto permitiría saber qué sucedería si se pierde parte o toda la información de la
Se recomienda que las empresas no reguladas también tomen seriamente este tema pues pese
a no tener el peso de las multas y sanciones, también pueden estar sujetas a pérdidas
significativas.
buenas prácticas en TI que se conocen por sus siglas COBIT44. El esquema COBIT ayuda a las
organizaciones a que la tecnología de la información sea liderada en base a procesos que tengan
conexión directa con los objetivos y en base a mediciones estratégicas que permitan un
1) Planeamiento y organización.
2) Adquisición e implementación.
3) Entrega y soporte.
4) Supervisión y evaluación.
integra un buen número de estándares para procesos específicos como COSO para controles
internos, ITIL para alinearse con las necesidades de la empresa, BiSL enfocada en la demanda,
el estándar ISO 27000 para TI, el entrenamiento en mejoras de procesos CMMI, TOGAF para la
Hemos mencionado que el riesgo operacional también abarca a las personas. Una práctica
Las políticas, regulaciones, entrenamiento, control y todas las actividades de riesgo, a fin de
cuentas, son actividades humanas. Los escándalos financieros son siempre creados por seres
humanos, que por muy diversas razones crean una situación de quiebre en el sistema de
gobierno a la que llamamos falla corporativa. Pero en muchos casos, hay personas que cometen
las faltas sin saber la magnitud o gravedad de esta, por desinformación, por descuido o desidia.
Las empresas han respondido a estas situaciones con controles de las actividades de los
empleados y trabajadores. Desde hace mucho tiempo las empresas tenían herramientas como
supervisión visual. Con el advenimiento de las redes de computadoras, las empresas han
Network Analysis (SNA), que permite graficar en mapas actividades de comunicación virtual en
redes, identificar patrones de comportamiento para entender quién se comunica con quién.
Controls Monitoring (CCM), que ayuda a entender no sólo quién se comunica con quién, sino
también cuándo, dónde y para qué se comunican. Son técnicas inicialmente desarrolladas por
las empresas Google y Facebook, después adaptadas para prevenir ataques terroristas, que se
han ampliado al ámbito corporativo para evitar pérdidas significativas por colusión en áreas de
alto impacto. De esta manera, las corporaciones tienen la habilidad de crear un perfil de
Riesgo financiero
aseguradoras, cajas y cooperativas. Sin embargo, todas las demás industrias también enfrentan
112
diariamente riesgos financieros, como el no pago de las cuentas por cobrar, las devaluaciones,
Además de la falta de pago de una deuda crediticia, los bancos tienen que cuidar la diferencia
entre las tasas activa y pasiva, las diferencias por tipo de cambio, el balance entre los activos y
los pasivos, y otros riesgos financieros. En el sector asegurador, un riesgo financiero muy
importante es el de las pérdidas debido a un mayor costo de los siniestros respecto al esperado,
Riesgo de mercado
que la empresa se desenvuelve. Este riesgo sistémico puede devenir como consecuencia de
recesiones, conflictos, desastres naturales o ataques terroristas. Entre los riesgos de mercado
más analizados están el del cambio en las tasas de interés, el del cambio en los valores
bursátiles, en los tipos de cambio, la inflación, los precios de los commodities, y otras variables
macroeconómicas.
El cambio en las tasas de interés puede tener un impacto en los precios del financiamiento y de
las valoraciones de las empresas y sus proyectos. Una subida en las tasas de descuento rebaja
Los tipos de cambio dependen de muchas variables, algunas objetivas como las tasas de interés
y otras subjetivas, como la especulación y los rumores. Dada la dificultad en predecir los
instrumentos derivados como un seguro que cubra parcial o totalmente la posible pérdida.
El VaR
Una medición del riesgo de mercado es el Value at Risk (VaR), un instrumento documentado por
JP Morgan en 1994, que responde a la pregunta: ¿A qué pérdida está expuesta la empresa en
un tiempo y con una probabilidad determinadas? Por ejemplo, una empresa puede tener un VaR
113
de 1 millón con 90% de nivel de confianza en los siguientes 10 días, lo que significa que hay un
10% de probabilidad de perder más de un millón en uno de los siguientes 10 días. Dicho de otra
forma, hay un 90% de probabilidad de no perder más de un millón en los siguientes 10 días.
Los componentes del cálculo del VaR son: el monto de la inversión, la volatilidad del activo, el
tiempo de estimación, y el nivel de confianza. Cuanto mayores son esos factores, mayor es el
VaR.
El cálculo del VaR se puede hacer de muchas maneras, pero hay tres formas muy comunes de
hacerlo:
El stress test es un mecanismo muy usado después de la crisis financiera de 2008 para simular
situaciones con los peores escenarios posibles, y ver si el activo resiste condiciones económicas
Por otro lado, el back test es una prueba que se hace después de un período de tiempo de uso
del modelo, comparando los cálculos iniciales con los resultados reales y evaluando si hay
114
Riesgo de crédito
de la palabra latina creditum, participio de credere, o creer. Creer que la deuda se va a pagar,
El riesgo de crédito se puede presentar parcial o totalmente. Cuando se incumple el pago parcial
de una deuda, se incurre en morosidad (en inglés, delinquency). Cuando la deuda se da por
Para minimizar el riesgo crediticio, el futuro acreedor debe investigar el deseo y la capacidad de
pago del futuro deudor. Una forma de efectuar ese análisis es mediante el análisis de las
llamadas 5 Cs: carácter moral, capacidad de pago, colateral, capital, y condiciones. El carácter
moral se refiere a la intención del deudor de cumplir con sus obligaciones, lo cual se suele
indicio del comportamiento futuro. La capacidad de pago depende de los ingresos y egresos del
deudor, de manera que quede lo suficiente para pagar las obligaciones crediticias. El colateral
es una garantía que el deudor deja para asegurar el pago; por ejemplo, en un préstamo
medida en activos que lo respalden, como por ejemplo terrenos, propiedades o inversiones.
En síntesis, la evaluación de riesgo crediticio busca responder a dos preguntas clave sobre el
posible deudor:
2. ¿Puede pagar la deuda? Es decir, ¿tiene ingresos suficientes que le permitan hacer los
pagos programados? ¿No se quedará sin liquidez durante el período del crédito?
115
Las respuestas a estas dos simples preguntas son las que determinan si se da el crédito o no.
Uno de los retos de esas dos preguntas es que las respuestas no son estáticas. Se hacen al
momento de aplicar a la deuda, y se deben continuar haciendo hasta el fin de esta45. Las
respuestas pueden ir cambiando, sobre todo en la deuda de largo plazo. Así, una deuda que al
inicio se puede y quiere pagar, según cambien las circunstancias puede dejar de ser pagada.
Rating y scoring
Con el crecimiento de las ciudades y los mercados, no es posible ni viable conocer la historia
personal de todos los aplicantes al crédito. Para automatizar y estandarizar ese proceso
a ese análisis determinan la calificación. Por ejemplo, la agencia de calificación Standard &
Poors califica a la empresa Microsoft con la calificación AAA, el máximo grado posible. De
hecho, sólo la empresa Johnson & Johnson tiene esa misma calificación, todas las demás
tienen una calificación menor. Para tener esa calificación, Microsoft y Johnson & Johnson
requieren una situación financiera óptima que asegure que puedan afrontar los pagos de sus
deudas. Gracias a esa excelente calificación, estas dos empresas pueden emitir deuda a una
crediticia, el nivel de crédito asumido, el uso de las líneas de crédito, los distintos tipos de
crédito asumido, y otros factores. Cuando el puntaje es muy alto, se acepta otorgar el crédito,
pero según se baja el puntaje, se llega a un punto en el que no se puede dar el crédito,
45La palabra “finanzas” proviene de la raíz “fin”, es decir, que se espera que la deuda tenga un fin, pero
un fin en el que se pague lo debido.
116
El rating es usado para calificar la deuda de los países y empresas, mientras que el score
El mecanismo más usado por las empresas para decidir dar crédito combina el análisis de los
estados financieros del deudor con el reporte de las agencias de informes crediticios y la memoria
histórica de los analistas de crédito. Los estados financieros de las empresas son revisados
usando las ratios de liquidez, rentabilidad, solvencia, deuda, y de rotación, entre otros. Para
préstamos personales se usan ratios como el del pago de la cuota crediticia en relación con los
ingresos personales o familiares. Toda esa información se combina para tomar la decisión de
crédito.
Este análisis se ha ido sofisticando poco a poco, al punto de que ya existen soluciones que
incorporan inteligencia artificial en el análisis de riesgo crediticio. Una de las razones por las que
es necesaria la inteligencia artificial es la dificultad en analizar muchas cuentas por cobrar; otra
razón es que un mismo deudor puede tener un comportamiento diferente dependiendo del
acreedor, y ese comportamiento puede ser detectado con inteligencia artificial de una manera
más eficiente que mediante el análisis manual. Las soluciones de inteligencia artificial comparan
información de las agencias de calificación de riesgo con las cuentas por cobrar de las empresas,
Actualmente el mundo está una crisis de deuda. La deuda global suma más de 200 billones de
dólares, mientras que el PBI global anual es de aproximadamente 80 billones. Es decir, la deuda
mundial es más de dos veces el PBI global. ¿Se podrá pagar alguna vez?
Riesgo de crédito es la amenaza de que la deuda no sea pagada según los términos
117
Riesgo de iliquidez
El riesgo de iliquidez es la amenaza de no tener fondos suficientes para poder afrontar los pagos
en empresas medianas y pequeñas, sujetas a los vaivenes de clientes que tratan de financiarse
con sus cuentas por pagar. Las empresas grandes suelen tener mayores recursos para evitarlo,
pero también pueden sufrirlo, sobre todo cuando tienen un alto nivel de deuda. En los últimos
años hemos visto cómo la industria retail en Estados Unidos ha sufrido por falta de liquidez ante
Para gestionar el riesgo de iliquidez, las empresas hacen proyecciones de flujos de caja,
negocian los términos de crédito con los proveedores, tratan de acelerar el pago de sus clientes,
cuidan la rotación de inventarios, hacen uso de instrumentos como el factoring, y tienen líneas
comprar o vender los activos con la rapidez necesaria para evitar pérdidas. Un activo que demora
en venderse es menos líquido que otro que se puede vender rápidamente. La demora puede
deberse a muchos factores, como la liquidez general del mercado, las cargas burocráticas que
toman mucho tiempo, o a que es un activo cuyo proceso de venta es lento debido al monto de la
transacción.
El proceso de gestión de riesgo busca proveer una guía con mejores prácticas que pueda ser
aplicada a cualquier organización46. Según ISO 31000, debemos considerar las siguientes
actividades:
46En la sección 5.1.2 “Definición de gestión de riesgo” se menciona que una forma común de definir la
gestión de riesgo es enumerando los pasos más comunes del proceso de riesgo, es decir, la
identificación, análisis, mitigación y control de riesgos. En la sección 5.1.3 “ERM (Enterprise Risk
Management)” se mencionan algunos estándares internacionales como COSO e ISO 310000.
118
Establecer el contexto
Riesgo debe ser un componente esencial de la estrategia, aportando una visión amplia del
entorno y sus tendencias, así como una visión completa de los aspectos internos críticos de la
organización. Antes de proceder a identificar los riesgos, hay que entender cuáles son los
estrategia, y su organización, entre otros aspectos. Los análisis estratégicos son muy importantes
para establecer el contexto, y el análisis FODA es un suministro esencial para el siguiente paso,
la identificación de riesgos.
Una vez conocido el objetivo de la organización, es necesario identificar todos los posibles
riesgos que puedan impedir que se cumpla el objetivo. Para poder hacer una buena identificación
reducido de participantes. Un experimentado gerente de riesgos solía decir que en los casos en
los que se presentaron problemas, siempre alguien en la organización sabía que eso podía
Además del análisis FODA y otras herramientas estratégicas, una forma muy común de
preparados, pueda contribuir con ideas de riesgos que ayuden a responder a preguntas como:
sesiones de lluvia de ideas en la que los grupos multifuncionales tienen libertad para aportar sus
virtuales.
En el proceso de generación de ideas, ninguna idea es mala. Se debe tomar nota de todas las
ideas, y compilarlas en una lista que después será priorizada. Es necesario que un facilitador
Registrar cada riesgo en una hojita Post-it en la pared es recomendado para que el equipo pueda
visualizar todos los riesgos. Los facilitadores experimentados crean un ambiente de apertura a
las ideas, normalmente consiguen despertar un gran interés entre los participantes, dada la gran
Dependiendo del tamaño de la empresa, se pueden necesitar una o muchas reuniones, pero
normalmente las ideas fluyen hasta agotarse. Un buen facilitador debe saber cuándo dar el
ejercicio por concluido. Como resultado de la identificación de riesgos se debe tener una lista con
120
todas las ideas, sin filtrar. La lista puede ser muy grande, pero para que sea accionable, el
Cuando se genera una lista de riesgos, encontramos una combinación de causas, efectos, y
consecuencias que se pueden representar gráficamente. Además, hay riesgos que pertenecen
Consecuencia. De esa manera se crean interrelaciones que vienen a formar la red de riesgos de
Por ejemplo, en la lluvia de ideas se pueden haber identificado los siguientes riesgos:
Esos tres riesgos, que normalmente están asociados al riesgo financiero, se deben identificar
Ese mismo método se debe aplicar a todos los riesgos, categorizándolos y agrupándolos. Una
vez terminado ese proceso, se tienen identificados los niveles de riesgo con los cuales se puede
La priorización se puede hacer en cualquier nivel, pero para que sea más accionable, es mejor
hacerla al nivel de la causa. Algunas causas son medibles, otras no. Para priorizar es necesario
comparar todas con un mismo criterio. Un criterio muy común es el de la pérdida esperada. Para
121
En algunos casos, la probabilidad de presentarse el riesgo se puede estimar cuantitativamente.
Por ejemplo, los actuarios pueden calcular la probabilidad de fallecer dependiendo de factores
que puede hacerse reuniendo a un grupo de conocedores del tema y pedirles su opinión. Para
facilitar la discusión, se suelen poner unos cinco rangos de probabilidades, definiendo qué
Probabilidad
Ha sucedido (Probable) 4
Consecuencia
Catastrófica 5
Mayor 4
Moderada 3
Menor 2
Insignificante 1
122
Así, un riesgo muy frecuente que tiene consecuencias catastróficas tendría un puntaje de 5
multiplicado por 5, o sea de 25. En el otro extremo, un riesgo muy poco probable con muy pajo
Una vez determinados los puntajes correspondientes, se puede hacer una lista ordenada de
mayor a menor puntaje. Visualmente se puede mostrar en el llamado “matriz de riesgos”, “mapa
Matriz de Riesgos
Impacto
1 2 3 4 5
Antes de mitigar los riesgos, se tiene una matriz con riegos inherentes. Después de aplicar los
controles correspondientes, se debe crear otra matriz con riesgos residuales, en los que se
siguiente paso.
Comenzando con los riesgos con mayor puntaje y teniendo las cadenas causa, efecto y
consecuencia, se debe identificar cuáles son las posibles respuestas a esos riesgos. En este
mitigado.
• Aceptado, que consiste en auto asegurarse, es decir, asumir el posible costo de que se
123
tolera el riesgo y tiene los fondos necesarios para pagar las consecuencias. Un ejemplo
producto hasta una línea de negocios porque el riesgo supera los niveles permitidos por
la empresa, y no hay una alternativa que tenga suficiente beneficio dado el costo
esperado. Por ejemplo, un banco puede rechazar otorgar crédito al sector construcción
mediante controles. La inversión en los controles debe ser en este caso menor al
beneficio esperado. Por ejemplo, en la gestión de cuentas por cobrar una mitigación es
EL último paso en el proceso de gestión de riesgos es el control. Para ello se usan los reportes
gráficos con el mapa de calor, la lista de riesgos, sus mediciones y planes de mitigación y los
Parte esencial del control es la revisión del estado de las métricas y los planes acción. Cada plan
debe tener un responsable y las acciones deben tener una fecha de ejecución. Los planes
a. Pendientes
b. En proceso
c. Implementados
planes se ejecutan y que, si hay barreras para la acción, estas son resueltas. Por ello es
necesario que Gestión de Riesgos tenga acceso directo e inmediato a la gerencia general y al
directorio.
Las métricas deben tener definidos límites máximos, mínimos o ambos dentro de los cuales están
en la zona normal, pero si exceden esos límites, se debe generar una alerta.
Hay actividades que deben requerir límites de autorización para aprobarlas. Por ejemplo, la
concesión de créditos por parte de una empresa industrial puede tener un límite máximo para el
analista de créditos, otro límite mayor para el jefe de créditos, y uno más alto aún para el gerente
de finanzas. El control de riesgo debe poder monitorear que esos límites no son excedidos.
En el proceso de gestión de riesgo se debe encontrar un balance entre hacer muy poco y
hacer demasiado. Ambos extremos son perjudiciales; el primero porque no logra rebajar
125
Cumplimiento y regulación
En las siglas GRC, la C corresponde a la palabra compliance, que se refiere al cumplimiento con
las regulaciones externas e internas. Los departamentos de compliance en las empresas tienen
como por ejemplo FCPA (1977), ley de prohibición de sobornos a funcionarios estatales en el
extranjero, o FATCA (2010), que exige a las entidades financieras extranjeras a reportar cuentas
la OCDE, ya no son solo las grandes empresas norteamericanas las que requieren el
cumplimiento, sino que poco a poco las leyes abarcan a muchos más países y empresas.
empresas. Hasta antes de que entraran en vigor las leyes de cumplimiento, el derecho se basaba
en un principio jurídico alemán que dice que las empresas no pueden delinquir, sino sus
directivos. Sin embargo, en el derecho anglosajón, las empresas si son consideradas como
Por presión de la OCDE, varios países de América Latina vienen aprobando leyes de
responsabilidad penal de las personas jurídicas. Frente a estas nuevas leyes, se ofrece una
mitigación que puede rebajar a eliminar las penas, tener un sistema de prevención o compliance.
El compliance puede tener una parte obligatoria y otra voluntaria. La parte obligatoria es la que
afecta a las empresas que están sujetas a leyes de Lavado de Activos (llamadas “sujetos
obligados”), como, por ejemplo, las empresas de servicios financieros. La parte voluntaria se
126
desarrolla para mitigar penas por delitos como el cohecho o la colusión. Esta última contiene
Sin embargo, la auto regulación no siempre actúa como freno a la ambición desmedida.
Empresas tan grandes como Volkswagen, Gap, Samsung, o BHP Billiton han tenido serias
acusaciones por faltas éticas y de cumplimiento en los últimos años, pese a existir toda una
Debido a la creciente presión regulatoria de diversos órganos del gobierno y del sector privado,
se puede decir que nunca las empresas habían requerido tantos esfuerzos de cumplimiento y se
Históricamente, los servicios financieros han sido de los más exigidos por las regulaciones de
cumplimiento, junto con los de salud, alimentos, minería, y transporte. Entre las regulaciones más
importantes a las que están sujetas los servicios financieros, debemos resaltar:
En adición a las regulaciones de compliance, los servicios financieros también deben cumplir con
las normas emitidas por las superintendencias locales, incluyendo las adaptadas del llamado
Comité de Basilea, la organización que agrupa a los bancos centrales de casi todos los países
del mundo.
49 Anti-Money Laundering
50 Financial Action Task Force
51 Know Your Customer
127
Normas internacionales de cumplimiento
Tiene por objetivo identificar el carácter ético de los futuros clientes antes de hacer negocio.
puede incurrir en faltas que requieran tomar una decisión o informar a las autoridades.
evasión de impuestos. Las instituciones financieras están obligadas por sus reguladores a
investigar el origen de los fondos e identificar y tomar acción cuando estos sean sospechosos.
Uno de los métodos más comunes de lavado de dinero es el de crear nuevos negocios, en
128
• Tráfico de Influencias, cohecho, y colusión.
Las nuevas disposiciones de estos delitos incluyen no sólo al sector público sino también al
• Otras regulaciones son a ley USA PATRIOT de 2001 y la Ley Sarbanes Oxley
(SOX).
El oficial de cumplimiento
Como respuesta a las innumerables fallas corporativas por problemas éticos, desde la década
del 80 surgió el rol del Chief Compliance Officer (Deloitte, The Chief Compliance Officer, 2015),
Financiamiento del Terrorismo en los sujetos obligados. En las otras empresas, el rol dedicado
estratégico.
En Estados Unidos y otros países, el Chief Compliance Officer busca concentrar el cumplimiento
con las regulaciones externas e internas en una sola persona, evitando que sea una función
secundaria de otros funcionarios. El buen trabajo del oficial de cumplimiento previene problemas
éticos, legales y de reputación entre otros. Inicialmente, ese rol fue visto como el encargado de
forma pasiva. Con el paso del tiempo, esta posición ha cobrado mucho mayor dinamismo y ha
sido enriquecida, de manera que actualmente es vista como la que moldea el comportamiento
ético en la empresa y traza los lineamientos a seguir para asegurar una completa adhesión a las
129
normas. Su actitud debe ser proactiva y dinámica para que el personal de la empresa sienta suyo
Si bien este puesto surgió en las industrias financieras y de salud, donde en muchos casos es
obligatoria, con el paso del tiempo y la complejidad de las regulaciones se ha extendido a muchas
otras industrias.
Además, debe ser visto dentro y fuera de la empresa como un modelo de integridad y ética. En
síntesis, debe ser un reconocido líder en la empresa (Deloitte, The Chief Compliance Officer,
2015).
Según el reporte ya mencionado de Ernst & Young (E&Y, 2016), en el sector asegurador de
Estados Unidos, el 35% de los oficiales de cumplimiento reportan al departamento legal, el 15%
a riesgo y el 20% al CEO; el 30% restante a otras áreas como al directorio o al comité de auditoría.
contratar 3,000 especialistas en cumplimiento y riesgo a nivel global. Pese a tanto crecimiento,
los oficiales de cumplimiento muchas veces sienten que su rol es visto como de menor
importancia por los directivos de las empresas, que a su vez piensan que el cumplimiento es una
130
Sin embargo, hay una tendencia a que el oficial de cumplimiento aumente su participación en la
dirección de la empresa y a que los equipos de cumplimiento también tengan mayor participación
en las actividades de la empresa. Así, será cada vez más común verlos en los equipos de
idea es evitar que la empresa descubra muy tarde que el producto, servicio o mercado no cumple
con las cada vez más estrictas condiciones impuestas por los reguladores y por las políticas
internas.
El cumplimiento en las organizaciones requiere que el personal esté informado y al tanto de las
regulaciones y que ejecute las debidas acciones para que las regulaciones sean cumplidas
cabalmente. De esta manera se espera evitar penalidades, multas, riesgos y acusaciones por
Según los expertos de Thomson Reuters, la cultura organizacional de las empresas está poco a
compromiso de los trabajadores y contribuye a reducir los riesgos (Reuters, 2016). Además,
señalan que el 71% de las empresas piensa destinar un presupuesto mayor para los programas
de cumplimiento. Se espera también que continúe la tendencia a que los empleados reporten
El oficial de cumplimiento debe asegurar que se cuente con los siguientes elementos:
131
El ombudsperson
En un buen gobierno corporativo, es necesario tener una persona que actúe independientemente
preocupaciones que no son fácilmente comunicables. Algunos ejemplos son denuncias internas
por malversación de fondos, acoso sexual o soborno. Las empresas más grandes cuentan para
La palabra ombudsperson viene del sueco ombuds que significa “representante”. El concepto fue
originalmente del imperio chino, en el que un representante secreto del emperador viajaba a las
provincias para recoger el sentimiento de los pobladores respecto a sus gobernantes. En Suecia
este cargo fue instituido por el parlamento a inicios del siglo XIX. Empresarialmente, fue a inicios
de la década del 60 que se desarrolló en Estados Unidos y Canadá. En español se tradujo este
canal más adecuado. Gran parte de su impacto es en la resolución del problema. Para ello puede
Una forma de canalizar denuncias de posible fraude o corrupción interna es la que permite a los
empleados comunicar esas inquietudes al ombudsperson, que a su vez debe ocuparse de que
Estados Unidos, ofrece un premio que alcanza entre 10 y 30% de la multa impuesta, a quien
alguien que cumple además otras funciones en la empresa, sino que tiene que ser totalmente
independiente de la organización ejecutiva para evitar conflictos de interés. De esta manera, una
de una manera adecuada, preocupaciones y problemas que de otra manera pueden generar un
denuncias que sea anónimo y que garantice que el denunciante no sea perjudicado. Para ello
El mapa de riesgos
todos los riesgos, priorizados por probabilidad de ocurrencia e impacto económico. Los riesgos
con mayor probabilidad e impacto deben ser priorizados y tratados. La identificación de los
Los riesgos mayores deben ser tratados, y las acciones de mitigación deben ser comunicadas,
junto con las recomendaciones y sugerencias al personal. Se debe crear un sólido plan de
comunicación que exprese de manera directa y fácil de entender las disposiciones requeridas.
El apoyo y soporte de la alta dirección son imprescindibles para que la cultura de cumplimiento
Muchas empresas tienen códigos internos de conducta. Estos permiten que el personal esté al
tanto de los valores éticos de la empresa, de las normas de integridad y de los estándares de
negocio. Estos códigos deben ser en muchas empresas certificados anualmente y en otras, los
133
ejecutivos deben confirmar que su comportamiento cumple con el código. El no cumplir puede
cómo presentar denuncias o dudas, prácticas de ética como la no corrupción, los conflictos de
raciales o de género. También los códigos han incorporado políticas respecto al uso del equipo
electrónico.
Normas ISO
2014, una guía para establecer, desarrollar, implementar, evaluar, mantener y mejorar un
Cada sector industrial tiene sus propios requerimientos de cumplimiento, pero algunos temas
categorizarlas y priorizarlas para su debida implementación. La librería debe incluir los procesos,
regulaciones. Además, los empleados deben recibir periódicamente cursos de los temas que los
134
afecten directamente. Por ejemplo, un curso de leyes de anticorrupción puede ser obligatorio
Los reguladores requieren una lista completa de problemas identificados, con acciones de
tener esta información en una plataforma centralizada, que permita un manejo eficiente.
Cada vez más regulaciones requieren que exista clara y adecuada documentación de las
• La autoevaluación
Es necesario realizar una autoevaluación de los procesos y de los conocimientos del personal
Una simple guía de sentido común que las empresas usan las grandes corporaciones, es hacer
reflexionar al personal sobre si sus acciones pudieran dar lugar a una noticia negativa sobre la
empresa, que aparezca en la primera página de un diario de negocios como el Wall Street
Journal. Cuando los profesionales internalizan este riesgo y ven que las consecuencias pueden
ser muy graves, tienden a cuidar más sus acciones y a involucrar más a los departamentos
135
Niveles de madurez en cumplimiento
Las organizaciones que tienen programas de cumplimiento pueden ser categorizadas en cuatro
niveles según el desarrollo de su control interno (KPMG, The Compliance Journey: Making
Compliance, 2005):
b. Implementado. En este caso hay un claro programa de la empresa, bien enfocado y con
estrategia. En este nivel, todas las personas de la organización creen firmemente y siguen
disciplinadamente los procesos de control, no sólo buscando cumplir con ellos sino también
agregando valor.
Una evaluación del nivel de madurez ayuda a decidir con mayor precisión las herramientas
Riesgo y cumplimiento
Un estudio de la firma Ernst & Young muestra que hay un creciente enfoque del área de
cumplimiento un enfoque más estratégico, dado que el uso de herramientas de riesgo requiere
136
Las herramientas GRC
integración a nivel estratégico del gobierno corporativo, la gestión integral del riesgo empresarial,
Estas tres actividades han sido tradicionalmente ejecutadas por separado, con ejecutivos
designados especialmente para liderar cada una de esas tres actividades independientemente.
El problema de esa separación es que, dado que tienen mucho en común, se producen
redundancias e ineficiencias, que además de duplicar gastos, limitan la comunicación entre los
participantes y pueden generar confusión y errores. La falta de integración tecnológica entre las
tres es una complicación adicional, que dificulta los procesos e intercambio de información para
su seguimiento. GRC no propone que las tres actividades sean lideradas por una sola persona,
2. La integración de la gestión de riesgo con todas las áreas funcionales, así como la
3. Los grandes avances tecnológicos que por un lado ofrecen grandes oportunidades de
137
5. Los problemas que se presentan cuando un mismo riesgo es visto desde puntos de vista
diferentes por cada función, creando confusión o falta de visibilidad en la alta gerencia.
empresarial.
La firma KPMG propone en su definición de GRC que es una disciplina estratégica, un proceso
continuo que debe ser parte de la cultura organizacional, que funciona muy bien cuando hay un
espíritu de colaboración entre las áreas funcionales y cuya implementación puede ayudar a las
organizaciones a evitar sorpresas (KPMG, Corporate Governance, Risk and Compliance, 2008).
Una organización que ha contribuido a la difusión de este término es la OCEG, que lo relaciona
con el concepto de “Rendimiento con Principios” (Principled Performance), que propone el “logro
2016). Para la OCEG, GRC es una cultura y una capacidad que permite a las organizaciones
lograr ese rendimiento con principios. Para ello se debe entender y priorizar los intereses de las
partes interesadas, tener buena comunicación con las mismas, gestionar el riesgo deseable y el
indeseable, actuar con integridad y asegurar que el sistema esté logrando los objetivos.
Beneficios
1. Minimizar el riesgo a la empresa, al proveer mayor visibilidad y contexto a las áreas más
importantes de negocio. Estos riesgos anteriormente eran manejados por cada área funcional
separadamente. Así, por ejemplo, un riesgo operativo gestionado únicamente por operaciones
no era siempre visto por el área legal, así tuviera serias implicaciones legales por
desconocimiento del área operativa. Cuando legal se enteraba del problema ya era muy tarde
para evitarlo.
138
2. Aumentar la eficiencia y reducir costos, gracias a la eliminación de redundancias y a la
información adecuada a las personas indicadas en el momento preciso para la correcta toma de
decisiones. Estos reportes no sólo sirven internamente, sino que algunos de ellos también
pueden ser usados para comunicarse con reguladores u otras partes interesadas.
Con el aumento de la complejidad de los riesgos que amenazan a las empresas, de la cantidad
hacer uso de la tecnología para facilitar su gestión. En muchos casos, los departamentos internos
diseñan sus propias tablas y macros en hojas de cálculo que se envían por correo electrónico.
Los problemas de las tablas, macros y hojas de cálculo o similares es que pueden no tener:
• Control de versión.
• Control de acceso.
• Control de cambios.
• Registro auditable.
• Alertas automáticas.
De manera similar al desarrollo de los sistemas ERP para gestión contable, administrativa y
financiera de las empresas, surgieron algunos módulos de gestión de riesgos. Muchas de esas
son soluciones parciales o limitadas, que no siempre cumplen con los requerimientos necesarios
139
para una buena gestión de gobierno corporativo. Por ello, desde hace no mucho tiempo, existen
las plataformas integradas de GRC, diseñadas con una arquitectura específica para este fin.
Como las empresas requieren de una estructura flexible para los programas de gobierno
corporativo, las plataformas GRC pueden responder a esa necesidad, facilitando una amplia y
rápida comunicación en la empresa e integrando todos los asuntos relevantes que defiendan los
intereses de los accionistas. Sin embargo, para que estas soluciones sean efectivas, las
empresas requieren haber implementado los procesos integrales de GRC, pues la tecnología no
Las plataformas integradas GRC pueden ayudar al mapeo de todos los factores de gobierno,
alertando en tiempo real los riesgos emergentes y las actividades incompletas y ayudando a que
la alta dirección de la empresa esté mejor informada y pueda tomar decisiones a tiempo y basada
en datos concretos. También proveen cálculos y reportes de pérdidas debido a los riesgos. Visto
como un sistema, antes del enfoque GRC, había una falta de conexión entre las actividades que
GRC puede ser analizada para el diseño de nuevos o mejores procesos y productos.
Entre otros, los problemas que una plataforma integrada de GRC resuelven son los siguientes:
sistemas.
2. Necesidad de “reinventar la rueda”, es decir diseñar una arquitectura que ya fue bien
140
4. No aprovechar la actualización constante de los sistemas especializados, que reciben
Si bien las empresas que cotizan en bolsa son las que tienen una necesidad más urgente de la
plataforma GRC, está probado que las empresas que tienen un sólido gobierno corporativo
responden mejor a situaciones de estrés como la crisis financiera del 2008. Las empresas que
aspiran a cotizar en bolsa o que planean fusiones o adquisiciones también se benefician de una
Las organizaciones están en un proceso en el que se expande el uso de GRC a otras áreas que
siguientes aplicaciones:
a. Gobierno Corporativo
c. Riesgo Operativo
d. Auditoría
e. Cumplimiento
f. Ética en Cumplimiento
h. Calidad
j. Sostenibilidad
l. Riesgo Cibernético
m. Gestión de Contratos
n. Procesos de Seguridad
141
o. Manejo de Redes Sociales
p. Privacidad de Datos
Las plataformas tecnológicas de GRC incluyen todos esos aspectos a través de aplicativos que
permiten una gestión integral. Los que tienen una arquitectura más sofisticada tienen en su base
al riesgo individual que puede ser visto desde diferentes perspectivas según el área
correspondiente. Por ejemplo, un riesgo que según el área de cumplimiento tenga un alto nivel
de riesgo puede ser visto desde el punto de vista de auditoría como de bajo riesgo.
Registro de datos
El registro de datos necesarios para una adecuada gestión de riesgos debe incluir al menos los
siguientes campos:
• Responsable de la mitigación.
• Descripción del plan de mitigación. El plan puede estar enlazado a otra base de datos
• Impacto. Una medición del impacto (por ejemplo, monetario) que el riesgo puede tener
en la organización. Puede ser registrado en una escala del 1 al 5, donde 1 es bajo impacto
y 5 es alto impacto.
142
Con el puntaje de riesgo se puede construir un mapa de calor, que representa los riesgos
1. Evaluación de riesgos
Como se ha visto en la sección 2.5, esta etapa comienza generalmente con una lluvia de ideas
a cargo de un equipo multifuncional de trabajo que combine conocimientos del área operacional
con otras disciplinas tales como finanzas, recursos humanos, tecnología y logística. El módulo
de riesgo operacional permite registrar todas las ideas para su posterior análisis.
2. Cálculo de pérdidas
hacer según las regulaciones locales, que normalmente exigen una base de datos de pérdidas
El sistema GRC permite registrar la probabilidad e impacto de cada riesgo, de manera que sea
En este paso se deben definir los límites de pérdida, consolidar datos de fuentes de información
Una vez priorizados los riesgos, se debe diseñar un plan de mitigación y control. Las mediciones
143
• KPI. Son las siglas de Key Performance Indicators, son los indicadores que la empresa
• KRI. Key Risk Indicators, son usados para definir, medir y evaluar la tolerancia al perfil de
riesgo definido.
• KCI. Key Control Indicators, mide si los controles internos son efectivos y si la empresa
4. Análisis de escenarios
Ayudan a definir y planificar escenarios de riesgo, analizar tendencias, identificar escenarios base
escenarios.
Para ello, usan distribuciones de frecuencia y severidad, simulaciones de Monte Carlo, análisis
datos de riesgo con los procesos relacionados de cumplimiento, auditoría y procesos de gobierno
corporativo.
Debido a que la integración que permiten las plataformas de GRC es relativamente novedosa,
muchas empresas aún no han comenzado el proceso de adopción de este tipo de solución. En
144
el camino a su implementación, las empresas pasan por tres niveles hasta llegar a la gestión
integral, de una manera parecida a la implementación del cumplimiento. Estos niveles son:
Nivel I – Fragmentado
145
Implementación
de prioridades estratégicas como por ejemplo gestión de las políticas de la empresa, gestión de
Para una implementación exitosa, es necesario subrayar que no se trata solamente de una
herramienta tecnológica, sino que involucra además a personas y procesos. Por tanto, es
permitiendo los ajustes necesarios. Es recomendable que cada equipo de implementación cuente
con un promotor del equipo directivo, un gerente de proyecto personal de TI, expertos en temas
prioridades de este con la disciplina de manejo de proyectos y calidad. Al definir las etapas y
Fases de implementación
1. Estrategia
necesidades de las partes interesadas de acuerdo con los riesgos, las prioridades y las
va a llegar en esta fase con el modelo de GRC a implementar. Hay múltiples opciones del modelo
de GRC a implementar. Para ello es fundamental hacer un análisis que compare el estado actual
con el deseado, identificando los vacíos a llenar. Finalmente, definir el modelo de GRC con la
En la fase de diseño es ventajoso usar librerías preparadas por los proveedores de la solución
tecnológica, así como modelos de organización. Las aplicaciones desarrolladas por estas
plataformas proveen además ayuda para el análisis de los procesos y soluciones tecnológicas
para integrar la infraestructura de la empresa al sistema de GRC con una arquitectura adecuada.
3. Implementación
de las partes interesadas, definir el modelo multigeneracional que muestre el camino a seguir en
el futuro, preparar la comunicación del proyecto y el plan de mejora continua. Las plataformas
147
GRC, herramienta contra el delito económico
empresas deja las puertas abiertas al llamado delito económico, el ataque ilícito a las empresas
se pierde la visión integral y se relegan riesgos críticos debido a otras prioridades del directorio
y de la gerencia ejecutiva. Así, por ejemplo, cuando se contrata con proveedores, los riesgos que
esa relación puede tener son muy amplios. Hay desde riesgo reputacional, pasando por
corrupción, riesgo cibernético, privacidad de datos, hasta lavado de dinero. Si se limita el análisis
de esos riesgos a un área que puede ser proveedores, sin suficiente visibilidad y transparencia
a las demás funciones, es más fácil que un proveedor cometa un delito contra la empresa.
Crimen cibernético
Para enfrentar el gran riesgo de la seguridad cibernética, las aplicaciones de GRC usan la
tecnología para sistematizar ese conocimiento escaso, centralizando los datos de seguridad,
integrando las políticas y los estándares, analizando y priorizando los riesgos e incidentes y
que permiten identificar defectos en la seguridad, resolverlos y asegurar que la empresa no esté
Toda esta infraestructura permite a los profesionales de TI dedicar menos tiempo a actividades
manuales y más tiempo a construir un programa integral de seguridad y gestión de riesgo que
Ética y cumplimiento
Debido a que el delito económico es perpetrado por personas que de alguna manera
contravienen un límite ético, las personas son la prioridad en este tema. Y tal vez debido a eso,
148
espíritu de la empresa. El estudio de PwC muestra que hay una brecha entre los valores y la
cultura que los ejecutivos de las empresas desean inculcar y lo que el personal realmente percibe
y cree.
Los aplicativos GRC de cumplimiento y ética ayudan a identificar áreas de riesgo, proveen
documentación y seguimiento.
Las operaciones de lavado de dinero son tan grandes que se estima su valor entre 2 y 5% del
producto bruto interno del mundo. Sin embargo, solo el 1% de ese tipo de operaciones son
detectadas. El 70% de las empresas cree que el mayor factor para este tipo de crimen es que el
sistema deja abiertas oportunidades a los criminales. Las empresas reportan falta de personal
Por un lado, las amenazas son constantes y cada vez más sofisticadas. Por otro lado, los
reguladores imponen cada vez un número mayor de reglas de cumplimiento. A eso se suma que
las empresas tienen una gran dificultad de conseguir personal especializado en temas muy
necesarios como Lavado de Dinero y Financiamiento del Terrorismo. Frente a estos retos, las
especial para difundir la cultura necesaria para detectar las operaciones de lavado de dinero.
149
Conclusiones
responsabilidad social, y el cumplimiento regulatorio son esenciales para lograr los objetivos
de las organizaciones en el siglo XXI. Las siglas GRC resumen esa confluencia, en la que se
evita una mentalidad de silos o compartimientos impida a las organizaciones ver los riesgos
comunicación.
2. Las bases para un buen gobierno corporativo se han ido afinando por medio de iteraciones
en las guías y principios emitidos como resultado de grandes fallas corporativas como los
conocidos casos del banco BCCI, de Polly Peck y de Enron entre otros. Las grandes
instituciones multilaterales, con el apoyo de los reguladores de cada país han logrado difundir
grandes retos es el de equilibrar los más altos estándares de gobierno corporativo sin afectar
3. La historia revela que las fallas corporativas se dan normalmente por faltas éticas o por
errores de gestión. En muchas ocasiones, las faltas éticas, que son una abrumadora mayoría,
logran vencer al sistema, encontrando formas de acción delictiva, y muchas veces se dan en
ciclos que terminan con grandes problemas económicos. Los reguladores tratan de que estas
faltas no se repitan, tratando de mejorar o innovar las regulaciones, pero surgen nuevas e
inesperadas formas de delito. Mirando el futuro, estas pueden venir por temas aun incipientes
4. Estudios recientes muestran que la percepción del riesgo no sólo es un fenómeno cognitivo,
sino también biológico, relacionado con la hormona llamada cortisol. El aumento de cortisol
genera aversión al riesgo y su falta motiva riesgos inadecuados. La gestión de riesgo debe
ser balanceada, con una visión muy amplia, estratégica, y multidisciplinaria. Se define la
150
diligentemente los riesgos de la organización, priorizando y controlando inteligentemente los
riesgos inherentes hasta dejarlos en un nivel de riesgos residuales que sea aceptable a la
organización.
COSO e ISO, adaptándose a los nuevos riesgos tecnológicos que se presentan y usando la
tecnología para estar un paso adelante. Sin embargo, hay indicios de que para detener a los
actuales.
6. La tecnología presenta un riesgo mayor al mundo empresarial. Por un lado, representa una
negocios. Por otro lado, requiere gestionar el riesgo de crimen cibernético dentro y fuera de
la empresa, así como una buena estrategia de acción frente al reto de la llamada
transformación digital.
sobre todo en la industria financiera, para tratar de impedir, entre otros, el avance del lavado
las empresas tienen dificultad para contratar personal especializado. Una fuerte cultura
tener éxito.
las empresas a largo plazo. Un buen entendimiento de las partes interesadas y ejecutar un
social corporativa.
9. Al englobar todos estos conceptos bajo una sola estrategia, GRC, esta sirve para que la
empresa, y por lo tanto a sus partes interesadas, incluyendo la sociedad y el medio ambiente.
151
GRC requiere un cambio cultural en el que se comparte más que en el esquema tradicional,
es la de las plataformas tecnológicas de GRC, que permiten, entre otras cosas, la gestión
información externa relevante, tener una visión conjunta de los riesgos manteniendo las
152
Referencias
Abadir, S. (2016). Leveraging GRC to support, enhance federal cyber expertise. Washington,
AFI. (2011). Corporate Finance and Access to Capital Markets. London: WSBI.
Akerlof, G. (1970). The Market for 'Lemons': Quality Uncertainty and the Market Mechanism.
Bufkins, D. &. (2008). Red Flags in Enron's Reporting of Revenues & Key Financial Measures.
Chicago, T. U. (2012). Complying with the Foreign Corrupt Practices Act. Chicago: Global Anti-
Reporting Council.
153
David Martin, D. M. (2006). Corporate Governance: Practical Guidance on Accountability
Davis, D. &. (1991). Stewardship Theory or Agency Theory. Australian Journal of Management.
Dolmetsch, C. (6 de Diciembre de 2013). Tyco’s Kozlowski Told Boad He’s Responsible for
Crimes. Bloomberg.
E&Y. (2016). A time of evolution for compliance laying foundations for future success. E&Y.
Edmans, A. (2008). Does the stock market fully value intangibles? Employee satisfaction and
Friedman, M. (1970). The Social Responsibility of Business is to Increase its Profits. New York
Times.
GECN. (2018). Global Trends in Corporate Governance. New York: Farient Advisors.
http://www.governanceprinciples.org/.
Gwynne, J. B. (2004). The Outlaw Bank: A Wild Ride Into the Secret Heart of BCCI. Maryland:
Beard Books.
Publications.
Inc., T. E. (2016). Corporate Governance Guidelines. The Estée Lauder Companies Inc.
Hans-Böckler-Stiftung.
Jensen, M. C., & Meckling, W. H. (1976). Theory of the Firm: Managerial Behavior, Agency
Kandasamy et al, N. (2014). Cortisol shifts financial risk preferences. Cambridge: University of
Cambridge.
Kaplan, S. N. (1997). The Evolution of U.S. Corporate Governance. Journal of Private Equity, 8.
155
Krause, M. (2000). La teoría del agente y el principal en la estructura de la empresa. Buenos
Aires: ESEADE.
Lam, J. (2014). Enterprise Risk Management: From Incentives to Controls. Hoboken, NJ: Wiley.
Means, A. B. (1932). The Modern Corporation and Private Property. New York: Transaction
Publishers.
Mooney, A. (2016). Investment lessons to learn from the VW scandal. London: Financial Times.
OECD.
Lima: CENTRUM.
156
RAE, R. A. (2014). Diccionario. Madrid: RAE.
Reuters, T. (2016). Top 5 Compliance Trends Around the Globe in 2016. Thomson Reuters.
Rosenthal, L. (2012). Nonprofit Corporate Governance: The Board’s Role. Boston: Harvard.
Security, R. (2014). Good Governance: The Cyber Risk Antidote? London: Youtube.
Solomon, J. (2010). Corporate Governance and Accountability. John Wiley & Sons.
Supervision, B. C. (2015). A brief history of the Basel Committee. Basel: Bank for International
Settlements.
Supervision, B. o. (1995). Report into the collapse of Barings Bank. London: Board of Banking
Supervision.
Taleb, N. (2010). The Black Swan: Second Edition: The Impact of the Highly Improbable.
Tayan, D. L. (2011). A Closer Look at Organizational Choices and Their Consequences. New
www.ifac.org.
Commons.
157
Apéndice
158
Siglas
AFI Analistas Financieros Internacionales
BP British Petroleum
159
ITIL Information Technology Infrastructure Library
TI Tecnología de la Información
160
Grandes regulaciones de gobierno corporativo
de Pensión.
mundo.
(BCCI)
Mayoría de directores independientes.
Polly Peck
Transferencia de fondos de la Al menos 3 directores no ejecutivos en los
decisión
161
Transacciones no autorizadas, Barings Bank 1995
no reportadas, fraude y
(Reino Unido) Reporte del Directorio de Supervisión
manipulación contable.
Bancaria bajo la dirección de Lord Bruce of
de controles contables.
riesgo.
Telecomunicaciones
Destruir documentación contable es un
interno
(Italia)
162
(Estados Unidos)
163
Películas y libros sobre fallas de gobierno corporativo
Corporativo
Petróleo – British
Petroleum (2010)
sub-prime (Lehman
Financiera de 2008
confidencial
Empresas Punto-com
Company
164
Rogue Trader El Estafador Barings Bank 1999
Proxy Company
Gate
165