GRC - Javier Ismodes PDF

GRC: Gobierno Corporativo, Riesgo y
Cumplimiento Regulatorio
Javier Ísmodes Cascón

1
Gobierno Corporativo, Riesgo y Cumplimiento Regulatorio
DERECHOS RESERVADOS
© Javier Ísmodes Cascón, 2019
AUTOR-EDITOR
Javier Ísmodes Cascón
Lima, Perú
Primera edición digital, agosto de 2019
ISBN: 9781088533758
Libro digital disponible en: www.amazon.com
Prohibida su reproducción total o parcia de esta obra, por cualquier medio, sin el permiso escrito del autor.
2
Índice
Introducción ............................................................................................................................... 5
Casos históricos y respuestas regulatorias ................................................................................ 8
El gobierno corporativo .............................................................................................................34
Aspectos generales ...........................................................................................................35
Gobierno corporativo por tipo de organización ...................................................................37
Teorías del gobierno corporativo........................................................................................45
Evolución del gobierno corporativo ....................................................................................53
Sistemas legales y regulatorios de gobierno corporativo....................................................64
Las partes interesadas .......................................................................................................66
La gestión de riesgo ..................................................................................................................78
Clasificación de riesgos: genéricos y por tipo de actividad .................................................92
El proceso de gestión de riesgo .......................................................................................118
Cumplimiento y regulación ......................................................................................................126
Las herramientas GRC ...........................................................................................................137
Beneficios ........................................................................................................................138
Tecnología para la gestión de GRC .................................................................................139
Ejemplo: aplicación de riesgo operacional .......................................................................143
Niveles de adopción de GRC ...........................................................................................144
Implementación................................................................................................................146
GRC, herramienta contra el delito económico ..................................................................148
Conclusiones ..........................................................................................................................150
3
Referencias.............................................................................................................................153
Apéndice .................................................................................................................................158
Siglas ..................................................................................................................................159
Grandes regulaciones de gobierno corporativo ...................................................................161
Películas y libros sobre fallas de gobierno corporativo ........................................................164
4
Introducción
Con el auge de la globalización, los retos de las corporaciones, organizaciones, y
emprendimientos internacionales han aumentado significativamente, haciéndose imprescindible
una adecuada gestión integral de riesgo, dentro del marco de las buenas prácticas de gobierno
corporativo, así como del cumplimiento con las regulaciones nacionales y globales.
Cuando comencé mi carrera profesional en 1985, muchos de los elementos que hoy se conocen
como parte del gobierno corporativo y la gestión de riesgo no estaban formalmente definidos.
Por ejemplo, el concepto de stakeholders era nuevo y estaba en proceso de difusión académica;
hoy es una de las palabras más usadas cuando se habla de gobierno corporativo. La empresa
Enron recién se estaba creando; hoy es la referencia de cómo no se debe manejar una
corporación. Robert Maxwell acababa de haber comprado el diario Daily Mirror en el Reino Unido;
hoy es uno de los casos emblemáticos de cómo un ejecutivo puede defraudar a los empleados
de su empresa apropiándose de sus fondos de pensión. La aduana de Estados Unidos
comenzaba a investigar las prácticas irregulares del banco BCCI; hoy se recuerda como uno de
los mayores ejemplos de malversación de fondos en la industria financiera. En América Latina,
la constructora Odebrecht iniciaba su expansión fuera de Brasil, que terminaría en el mayor caso
de corrupción en la historia de la región.
Debido al poco acceso a la información, a la menor globalización y al limitado alcance de los
medios de comunicación masivos que había en esa época, los gobiernos corporativos tenían
menos visibilidad y eran menos sujetos a regulaciones y al escrutinio del gobierno y del público.
Esa aparente mayor libertad que tenían y de la que muchos lamentablemente abusaron, fue la
causa de que muchas estructuras corporativas fallaran por problemas en su diseño, control y
operación, causando grandes perjuicios a los accionistas, a los trabajadores, proveedores,
gobiernos, al ambiente y a la sociedad en general. Esos problemas fueron cada vez más
ampliamente difundidos por los medios de comunicación, y se continuaron presentado, muchas
5
veces agrupados en el tiempo. A cada serie de escándalos corporativos, le siguió una respuesta
en forma de reformas regulatorias para tratar de evitar que se repitan. En muchas ocasiones, los
escándalos se produjeron por nuevas causas que no habían sido contempladas anteriormente.
Hay muchas explicaciones de por qué los gobiernos corporativos no han podido frenar totalmente
el ansia desmedida de ganar más dinero y poder, a todo costo, de algunos ejecutivos poco
honrados o capaces. Pero una de las mayores causas de esas “fallas corporativas” puede
resumirse en un antiguo dicho español: “en arca abierta, hasta el justo peca”. Y muchas veces el
arca no estaba abierta, pero algunos ejecutivos idearon la forma de abrirla. Otra causa menor es
la incompetencia, para lo que el sistema de gobierno debe idealmente tener mecanismos de
control que permitan actuar a tiempo.
Un gobierno corporativo con una gestión de riesgo bien implementada puede ayudar a poner
freno a que los problemas y escándalos se presenten. Por medio de la disciplina y el rigor que
ambos proveen a las organizaciones, se puede lograr que los gerentes que las manejan no
siempre pongan sus intereses por encima de los de los accionistas y que sean más conscientes
de incorporar a las partes interesadas, los stakeholders, en sus decisiones. La gestión de riesgo
es la disciplina que debe anticipar, detectar, supervisar y mitigar los riesgos y oportunidades que
puedan ser importantes para los objetivos de la empresa, rompiendo con los silos gracias a su
metodología multifuncional de trabajo. Otra disciplina que se ha desarrollado mucho en la última
década, el cumplimiento, o compliance, se dedica a asegurar que las reglas y disposiciones de
los reguladores externos y las disposiciones internas sean observadas con efectividad. En los
últimos años, la responsabilidad social surge como una necesidad de que las empresas
consideren seriamente el impacto de sus actividades en la comunidad, creando lo que se llama
el valor compartido. Todas estas disciplinas forman una red, están muy relacionadas entre sí y
requieren una visión que las englobe y que les dé la visibilidad que requieren. Sin embargo,
muchas veces y en muchas empresas, estas disciplinas no funcionan bien, o funcionan como
silos, independientemente una de otra. Debido a ese problema surgió el concepto de GRC, siglas
6
que significan Gobierno Corporativo, Riesgo y Cumplimiento, y que, juntas, en vez de separadas,
potencian un efectivo manejo de la empresa.
Este libro ha sido escrito con el objetivo de explicar los conceptos relacionados con la gestión de
riesgo bajo el esquema GRC, mostrando ejemplos, reflexionando sobre su aplicación y
entendiendo la importancia de mirarlos conjuntamente. Sin entender la razón de ser del gobierno
corporativo, es difícil entender el contexto y el porqué de la gestión integral de riesgo.
En esta publicación se explica inicialmente cuales son los casos históricos de las empresas que
tuvieron problemas éticos, y las respuestas de los reguladores para evitar nuevos casos
similares, creando la estructura actual de gobierno corporativo. A continuación, se explica en qué
consiste y para qué existe el gobierno corporativo, cual ha sido el desarrollo de las guías y
regulaciones que lo conforman, creadas debido a los excesos e inconductas presentadas en las
organizaciones. Seguidamente se hace una descripción de la gestión integral de riesgo,
proponiendo una definición, clasificación, y metodología para su tratamiento. También se trata el
tema de cumplimiento con las regulaciones, para terminar con una revisión de la metodología
GRC como una herramienta que ayuda a minimizar los riesgos y las sorpresas desagradables
en las empresas.
He tratado de compartir mi experiencia profesional, dirigiéndola a directivos, profesionales,
funcionarios del gobierno, estudiantes y otros que deseen conocer más sobre el impacto de la
gestión de riesgo en la empresa y teniendo una visión global del gobierno corporativo.
7
Casos históricos y respuestas regulatorias
A continuación, se presentan algunos de los grandes casos históricos que dieron origen a la
regulación actual de gobierno corporativo.
Los fondos de pensiones y la ley ERISA (1960)
Una de las grandes regulaciones modernas que propició el desarrollo de las corporaciones, las
bolsas de valores, la globalización, la innovación tecnológica, y la economía de libre mercado es
la de los fondos privados de pensión en los Estados Unidos. En los años 60, gracias al
crecimiento económico de ese país, hubo una serie de fusiones y adquisiciones de empresas
que se volvieron grandes conglomerados, buscando mejorar su diversificación ampliando sus
portafolios de negocios. En esos años, las grandes empresas contaban con empleados que
permanecían en la misma corporación a lo largo de sus carreras, con buena compensación, a
cambio de una gran dedicación y lealtad a la empresa. Los trabajadores manuales se
congregaban muchas veces en sindicatos que lograban estabilidad laboral para sus miembros y
beneficios en servicios de salud y pensiones. Las pensiones de los trabajadores eran
administradas por los empleadores, que prometían un monto fijo de pensión al momento de retiro.
Era una época en la que la inflación estaba muy controlada, las remuneraciones subían, y el
desempleo era muy bajo.
Los gobiernos corporativos de esa época se caracterizaban porque el poder estaba en manos
de los ejecutivos y no de los accionistas (Jackson, 2010). Los directorios eran conformados por
ejecutivos de la misma empresa o amigos del CEO y normalmente no cuestionaban sus
decisiones, sino que tenían un rol consultivo. No había un comité para revisar la compensación
de los ejecutivos ni las auditorías.
8
El primer fondo de pensión privado lo había establecido American Express en 1875, y poco a
poco, las demás empresas fueron adoptando ese beneficio para sus trabajadores. Sin embargo,
no existía ninguna regulación para la administración de esos fondos. Hasta 1963 el sistema
funcionó sin muchos inconvenientes, pero ese año, la fábrica de autos Studebaker quebró,
dejando sin reservas suficientes al fondo de pensiones de sus trabajadores. El impacto fue muy
grande, por lo que en los siguientes años se discutió en el congreso de Estados Unidos la
regulación de los fondos privados de pensión. En 1974 finalmente se aprobó la ley ERISA1,
reglamentando los planes de pensiones con el objetivo de garantizar que, si las empresas se
declaraban insolventes, los trabajadores no perderían sus pensiones. Para ello se creó un fondo
de garantía llamado PBGC (Pension Benefit Guaranty Corporation).
Desde que se promulgó la ley ERISA, los fondos de pensión requirieron asignar las
reservas pensionarias a portafolios de inversión en activos financieros, que ayudaron a
dinamizar mucho la compra de bonos y acciones en las bolsas de valores, convirtiendo a
los fondos de pensión en los inversionistas más importantes en el mercado de valores, lo
cual motivó el cambio de la estructura de los directorios, volviéndolos más profesionales
e independientes.
El origen del Acuerdo de Basilea (1974 – 1975)
La industria de servicios financieros ha tenido muchos casos de fallas de gobierno corporativo y
de gestión de riesgo, que han causado un gran impacto no sólo en países y regiones, sino
también a nivel global. Debido a ello, existen regulaciones supranacionales que fomentan la
estandarización regulatoria internacional.
En la historia más reciente de la regulación financiera, el primer gran hito global se dio en el
negocio de moneda extranjera. Poco antes de terminada la segunda guerra mundial, se logró el
acuerdo de Bretton Woods, que regulaba entre otras cosas la relación entre las monedas de los
1 Employee Retirement Income Security Act.

9
países firmantes, el dólar, y el precio del oro. Este acuerdo no fue seguido al pie de la letra, sino
que sufrió una serie de problemas, terminando por colapsar a principios de la década del 70,
generando grandes pérdidas por posiciones en moneda extranjera en muchos bancos. Algunos
de los emblemáticos son el Herstatt Bank en Alemania y el banco Franklin National en Estados
Unidos.
Caso: Herstatt Bank (1974)
Basado en la ciudad de Colonia, Alemania, el banco Herstatt fue liquidado en 1974 por los
reguladores alemanes después de sufrir enormes pérdidas debido a operaciones de alto riesgo
con moneda extranjera. Esta liquidación no hubiera trascendido, pero tuvo grandes
repercusiones debido a un hecho casi anecdótico. El mismo día en que fue intervenido por las
autoridades y clausurado, el banco ejecutó una serie de ventas de moneda extranjera con otros
bancos fuera de Alemania. Herstatt recibió por la tarde de ese día fondos provenientes de
Estados Unidos en marcos alemanes, pero debido a que fue liquidado al cierre del horario de
trabajo en Alemania, no le dio tiempo para pagar en dólares a los bancos en Estados Unidos que
tenían entre 6 y 9 horas de diferencia horaria, dejando grandes pérdidas a varias contrapartes
americanas.
Al riesgo de transacción en moneda extranjera en el que una parte hace una transferencia,
pero la contraparte no devuelve el equivalente en moneda extranjera se denominó “riesgo
Herstatt”.
Caso: Franklin National Bank (1974)
En octubre de 1974 el Franklin National Bank de New York fue declarado insolvente y envuelto
en una acusación de mal manejo, fraude y lavado de dinero. Sólo dos años antes, Michele
Sindona, un banquero con conexiones a la mafia italiana había tomado control del banco luego
de comprar acciones del banco al presidente de la corporación Loews, Laurcence Tisch.
Sindona usó el banco para operaciones de lavado de dinero de la mafia siciliana y logró, gracias
a sus aportes económicos, gran influencia en el partido republicano que en ese entonces lideraba
10
Richard Nixon. Poco antes de su liquidación el banco sufrió pérdidas por tomar posiciones
arriesgadas en moneda extranjera que dejaron perdidas. En Italia, Sindona fue investigado por
el liquidador Giorgio Ambrosoli, que fue asesinado, por compartir información que comprometía
a Sindona a las autoridades de Estados Unidos. Sindona fue sentenciado en Estados Unidos y
posteriormente trasladado a Italia, donde falleció por haber consumido cianuro en una cárcel
italiana.
Debido al impacto de casos como el de Herstatt y Franklin National en el sistema financiero, se
implementaron medidas de control a nivel mundial para evitar que estos casos se presenten
nuevamente. Además, el capital de algunos bancos globales se estaba deteriorando por la alta
morosidad en los préstamos que habían otorgado durante el boom petrolero a los países de
América Latina.
Las perdidas por transacciones con moneda extranjera motivaron un acuerdo para emitir
regulaciones bancarias internaciones que proponen mínimos niveles de capital y máximos
niveles de riesgo para las instituciones de servicios financieros. Estas regulaciones se
llaman los Acuerdos de Basilea en el sector bancario y las Directivas de Solvencia en el
sector asegurador.
Regulación: Basilea I (1975)
El primer acuerdo de Basilea fue establecido por los gobernadores de los bancos centrales del
grupo de los 10 en 19752. En 1988 se publicó la primera versión de los estándares mínimos de
capital requeridos para los bancos y en 1992 fue promulgado como ley en los países miembros.
Sin embargo, los acuerdos de Basilea no son tratados que deban ser seguidos al pie de la letra
por los países firmantes. Cada país tiene la potestad de adecuar esas guías a su realidad.
2En realidad, eran 11 países y Luxemburgo como observador: Alemania, Bélgica, Canadá, Estados
Unidos, Francia, Italia, Japón, los Países Bajos, Reino Unido, Suecia y Suiza.
11
La primera versión se conoce como Basilea I, y se enfoca en el riesgo crediticio y en la
ponderación de riesgo para el capital dependiendo del tipo de riesgo. Propone que los bancos
tengan al menos un 8% de sus activos ponderados como capital. Para ponderarse, los activos
se clasifican según una tabla de riesgos por tipo de crédito
• 0% para el dinero en efectivo, es decir, no requiere capital adicional.
• 50% para el balance de préstamos hipotecarios, es decir el 50% del 8%.
• 100% para deuda corporativa, o el 8%.
Ponderando los activos por esos porcentajes y multiplicado por 8%, se llega al capital mínimo
requerido para el portafolio del banco. Así, simplificando, un banco que hipotéticamente tenía
como único activo 10 millones de dólares en préstamos hipotecarios requeriría 400,000 dólares
de capital mínimo.3 En 1991 se introdujeron regulaciones adicionales para el cálculo de
provisiones en base al estado de los activos (Supervision B. C., 2015).
Regulación: la ley FCPA (1975 – 1977)
La corrupción corporativa a funcionarios públicos extranjeros, es decir el pago de dinero para
conseguir negocios, era una práctica no regulada ni prohibida hasta fines de los años 70. Los
excesos que se cometieron dieron lugar a una ley muy estricta que posteriormente se propagó
por todo el mundo.
Caso: United Brands Company (1975) y el Bananagate
En 1975, el ejecutivo Eli M. Black4, presidente de la multinacional comercializadora de bananas
United Brands Company, se suicidó arrojándose del piso 40 del edificio PanAm en Manhattan,
luego de romper la ventana con su maletín. Poco después se descubrió que Black había ofrecido
pagos por 2.5 millones de dólares al presidente de Honduras. Oswaldo López Arellano, con el
objeto de reducir los impuestos a la exportación de bananas y a un funcionario del gobierno
3 Capital mínimo = 10,000,000 x 50% x 8% = 400,000

4 Black nació en Polonia y su nombre original era Elihu Blachowitz.
12
italiano para facilitar la importación de bananas. Si bien por ese entonces técnicamente no era
ilegal efectuar este tipo de pagos, sí era ilegal no reportar esos pagos a los accionistas. United
Brands había acumulado grandes deudas, por lo que necesitaba desesperadamente los ingresos
por la importación de bananas. El origen del soborno tuvo lugar en setiembre de 1974, cuando
el huracán Fifi destruyo una gran parte de los sembríos de bananas, y el gobierno de Honduras
tuvo que subir los impuestos a los exportadores, debido a que el huracán había devastado el
país. Black trato de evitar el pago de ese impuesto con un soborno, pero el FBI detecto que se
había hecho la transferencia ilegal, y cuando Black fue informado de que había sido descubierto,
prefirió suicidarse antes que enfrentar a la justicia.
A este escándalo corporativo se le llamó Bananagate, en alusión al de Watergate que había
terminado con el gobierno de Richard Nixon. La empresa cambió posteriormente a su nombre
actual, Chiquita Brands.
Caso: Lockheed (1976)
En 1976, el senado de los Estados Unidos concluyó que entre los años 1950 y 1970, el fabricante
de aviones Lockheed había incurrido en una serie de sobornos a funcionarios de los gobiernos
de Alemania Occidental, Italia, Japón y Holanda. El monto estimado de pagos irregulares fue de
22 millones de dólares. Además, se encontró que la empresa había contratado a un traficante de
armas de Arabia Saudita, Adnan Khashoggi, pagándole una comisión de 2.5% del valor de las
ventas. Khashoggi recibió en comisiones, entre 1970 y 1975, aproximadamente 106 millones de
dólares.
Como consecuencia de estos y muchos otros ejemplos, Estados Unidos aprobó en 1977 la ley
conocida como FCPA (Foreign Corrupt Practices Act) con el objetivo de que los pagos a
funcionarios de gobiernos extranjeros para influir en decisiones de compra fueran declarados
ilegales y sujetos a prisión. La cobertura de esta ley es muy amplia, pues involucra a todas las
personas o empresas que tengan alguna relación con los Estados Unidos, no importando el
13
territorio en el que se realicen los pagos. No sólo el Departamento de Justicia está encargado de
que esta ley se cumpla, sino también la comisión de valores SEC, pues la ley contiene
regulaciones para el adecuado control contable. Desde su puesta en marcha, muchas
corporaciones han sido multadas con grandes sumas de dinero. El cumplimiento con las
regulaciones del FCPA es muy importante para las empresas que tienen alguna relación
comercial con empresas de los Estados Unidos o su gobierno.
Para cumplir con el FCPA, las empresas deben establecer una serie de procedimientos que
incluyen tener una política interna escrita sobre corrupción de funcionarios, establecer
procedimientos y autorizaciones de gastos y pagos, efectuar análisis de riesgos, capacitar al
personal en prácticas anti corrupción, revisar periódicamente las políticas y procedimientos, tener
establecidas penalidades por faltas, y comprobar periódicamente la correcta aplicación de los
procedimientos internos (Chicago, 2012).
La OCDE ha implementado regulaciones similares al FCPA, de manera que esta ley se está
expandiendo a nivel mundial, aumentando los requerimientos de conducta ética y disuadiendo la
competencia basada en actos de corrupción.
Caso: Siemens (2008)
En 2008, la empresa alemana Siemens se declaró culpable en las cortes de Estados Unidos y
pagó una multa de 800 millones de dólares, por haber cometido, entre 2001 y 2007, más de
4,000 sobornos que sumaban 1,600 millones de dólares a nivel mundial por funcionarios a todo
nivel de la empresa. Esta es la mayor multa que jamás se ha pagado por infringir el FCPA. Entre
otros, los funcionarios de Siemens cometieron las faltas en proyectos infraestructura en
Argentina, de telecomunicaciones en Bangladesh y Nigeria, en instalaciones eléctricas en China,
en plantas nucleares en Israel, en diseño de sistemas de tránsito en Venezuela y en la venta de
14
equipo médico en China, Rusia y Vietnam5. En este caso, la empresa está sujeta a la legislación
de Estados Unidos por tener oficinas en ese país.
La ley FCPA prohíbe a funcionarios de empresas norteamericanas sobornar a funcionarios
extranjeros. Esta prohibición se extiende a empresas extranjeras con entidades legales en
Estados Unidos.
Regulación: FATF, Financial Action Task Force (1990)
En 1989, algunos países decidieron crear un grupo de acción contra el lavado de dinero al que
llamaron FATF. Después de los ataques terroristas de setiembre de 2001, el FATF se expandió
internacionalmente, con el apoyo del Fondo Monetario Internacional, e incluyó entre sus
objetivos evitar el financiamiento del terrorismo.
La crisis de los “bonos basura” (Junk Bonds)
Caso: Drexel Burnham Lambert (1990)
En la década del 80 hubo cambios dramáticos en las estructuras financieras y organizacionales
de las empresas. Uno de ellos fue promovido por el financista Michael Milken, que desarrolló una
agresiva estrategia financiera emitiendo los llamados “bonos basura”. Estos bonos, que ofrecían
alto rendimiento con alto riesgo eran usados por el banco de inversión Drexel Burnham Lambert
y otros para efectuar compras de empresas con apalancamiento de activos6. El banco Drexel
había sido originalmente una empresa asociada a J.P. Morgan, pero Drexel se había escindido
por efectos de la ley Glass Seagall, que impedía tener en una misma empresa a un banco
comercial y otro de inversión. Drexel creció muy rápidamente y fue objeto de serias
investigaciones por los reguladores, encontrándose una serie de violaciones a las leyes, que
incluían insider trading7, fraude, corrupción y manipulación de los precios de las acciones. El
5 Ver casos United States v. Siemens Aktiengesellschaft, No. 08-367 (D.D.C. Dec. 12, 2008); United
States v. Siemens A.S. (Argentina), No. 08-368 (D.D.C. Dec. 12, 2008), etc.
6 LBO, o Leveraged Buy Out
7 Compra y venta de acciones como resultado de recibir información interna privilegiada.
15
fiscal de Nueva York encargado de dirigir la investigación fue Rudy Giuliani, posteriormente
electo alcalde de Nueva York. Milken fue sentenciado a 10 años de prisión, pero la pena fue
posteriormente rebajada a dos años gracias a su cooperación con la justicia.
La ola de LBOs, originó un gran desbalance en las empresas. Muchas empresas acabaron en
falencia, pues no pudieron afrontar la enorme deuda generada por los bonos basura.
Adicionalmente, a fines de la década del 80, las cajas de ahorro y préstamo8 sufrieron una
debacle financiera, arrastrando la industria de los bonos basura con los que se financiaban.
La institucionalización de los inversionistas y los problemas generados por la ola de LBOs
motivaron a que las gerencias de las corporaciones tuvieron un gran cambio cultural,
pasando de tener un enfoque interno a tener un enfoque de maximización del valor de los
accionistas (Kaplan, 1997).
Consecuentemente, las disposiciones de gobierno corporativo tuvieron algunos cambios
significativos. Uno de ellos fue la compensación e incentivos basados en el precio de las
acciones. Otro fue el uso de mediciones del valor de la empresa desarrollados por las grandes
firmas de consultoría como el EVA9. Además, los accionistas institucionales acabaron ejerciendo
presión sobre los directorios para defender sus intereses, cosa que no sucedía anteriormente.
A partir de la década del 90, los inversionistas institucionales crecieron con el gran empuje de los
fondos mutuos mientras que los LBOs fueron evitados por la activa participación de los bloques
institucionales.
Colapsos financieros en la década del 90
El desarrollo de la globalización y la sofisticación de la industria financiera a inicios de los 90
ocasionaron algunos casos de quiebra corporativa. Entre ellos, son muy conocidos los del
conglomerado alemán Metallgesellschaft en 1993, los norteamericanos Kidder Peabody,
8 Savings and Loans

9 Economic Value Added
16
(adquirida por General Electric), Bankers Trust, y la ciudad de Orange County, California, en
1994, y la coreana Daewoo a fines de los 90. Pero el caso más conocido es el del renombrado
banco inglés Barings.
Caso: Banco Barings (1995)
Fundado en 1762, el banco Barings era hasta su desaparición, 233 años después, el banco más
antiguo de Gran Bretaña. Era un banco histórico y con muy buena reputación. Uno de sus hitos
había sido intermediar en la venta que efectuó el gobierno de Napoleón Bonaparte del estado de
Luisiana a los Estados Unidos. El banco se había expandido globalmente y tenía una importante
operación en Asia.
El jefe del área de derivados financieros en Singapur en 1995 era Nick Leeson, un audaz trader
que había logrado destacar por sus excelentes inversiones. Sin embargo, debido a su afán de
aumentar sus comisiones, realizó una serie de operaciones que terminaron en la disolución del
que en ese entonces era el segundo banco del Reino Unido. Leeson había encontrado una forma
de generar ganancias comprando futuros del índice Nikkei 225 en Japón y Singapur. Además de
ser jefe del grupo de derivados, Leeson supervisaba la contabilidad de las transacciones que él
mismo efectuaba, siendo juez y parte y rompiendo un principio básico de control interno llamado
“segregación de tareas”. La estrategia de Leeson era no cerrar posiciones inmediatamente (como
debía hacerlo según el procedimiento establecido), con la esperanza de tener una ganancia
mayor, lo cual le generaba un mayor bono por resultados. Adicionalmente, no había supervisión
directa a su grupo desde la casa matriz en Londres (Supervision B. o., 1995).
Leeson comenzó a ocultar pérdidas en sus transacciones sin que el banco se diera cuenta. La
situación empeoró cuando un colega suyo, por error, compró posiciones en vez de venderlas,
según la orden de la transacción, perdiendo 20,000 libras. Para compensar la falta generada,
decidió aumentar el riesgo, asumiendo una tendencia en los índices bursátiles. Lamentablemente
para él, la tendencia no se dio, por lo que la brecha fue creciendo como una bola de nieve, hasta
17
terminar en pérdidas por 200 millones de libras esterlinas. Para hacer las cosas más difíciles, un
fuerte terremoto en la ciudad de Kobe, en Japón, hizo caer fuertemente las bolsas asiáticas, lo
que motivó que Leeson no pudiera recuperarse. Las pérdidas totales por sus errores sumaron
más de 1,000 millones de libras esterlinas, llevando al banco a la insolvencia.
Regulación: la ley Gramm–Leach–Bliley (1999)
Entre 1940 y 2007, la industria financiera creció como porcentaje de PBI de Estados Unidos
desde 2% hasta más del 6%. Este tremendo crecimiento fue acompañado de un sistema de
regulación que muchas veces duplicaba funciones o hasta se contradecía entre sí.
En 1999 se promulgó la ley Gramm–Leach–Bliley en Estados Unidos, también llamada de
Modernización del Sistema Financiero. Una de las principales disposiciones de esta ley fue la de
terminar con la ley Glass–Steagall de 1933, que prohibía tener entidades bancarias, de seguros
y bancos de inversión bajo una misma organización. Gracias a esta ley, Citibank se unió a la
aseguradora Travelers Group, formando lo que se conoce hoy como Citicorp. Algunos
defensores de la ley Glass-Steagall notaron que parte de su valor era impedir que se formaran
grupos tan grandes que en caso de crisis tuvieran que ser rescatados por el gobierno, los
llamados too big to fail o TBTF. Los críticos a esta ley mostraban su preocupación por los riesgos
excesivos que algunas organizaciones podrían tomar si se consideraban candidatas a un rescate
por el gobierno en caso de crisis.
Poco después de proclamada esta ley, se dio una serie de casos de fallas corporativas que
tuvieron una gran repercusión.
Colapsos financieros en la década del 2000
Desde fines de la década del 90, la bolsa de valores de Nueva York tuvo una fuerte subida,
alimentada por el desarrollo prodigioso de las empresas de tecnología, gracias al crecimiento del
masivo del comercio electrónico. Las nuevas posibilidades tecnológicas ayudaron a tener una
18
época de bonanza económica, generándose un ambiente de entusiasmo que derivó en grandes
excesos corporativos. Estos excesos eran alimentados por los medios de comunicación
especializados en inversiones, que proclamaban una nueva era de crecimiento ilimitado gracias
a esos avances tecnológicos. Algunos de los escándalos corporativos más conocidos son los de
las empresas Worldcom, Enron, Tyco International en Estados Unidos y Parmalat en Italia.
Caso: Worldcom (2001)
Worldcom fue una empresa que creció muy rápidamente en la década del 90 con una estrategia
de fusiones y adquisiciones. Su CEO, Bernard Ebbers, ganó notoriedad al anunciar en 1997 la
adquisición de MCI, una de las mayores empresas de telecomunicaciones de Estados Unidos,
pasando la fusión a llamarse MCI Worldcom. Sólo dos años después, Ebbers volvió a hacer otro
gran anuncio, la adquisición de Sprint, otro gran competidor. Esta vez, el regulador
estadounidense no aprobó la transacción. La acción de Worldcom y en general las empresas del
sector, estaban en ese momento bajando de precio. Esta baja motivó que los bancos que habían
extendido crédito a Ebbers requirieran la devolución de los fondos, para lo que Ebbers solicitó al
directorio de Worldcom un préstamo de 400 millones de dólares. El directorio aceptó, pero el
precio de la acción continuó bajando, hasta que en 2001 Ebbers tuvo que renunciar.
Después de la renuncia de Ebbers se descubrió que la empresa había cometido un gigantesco
fraude corporativo, inflando el valor de los activos ilegalmente y reportando mayores ingresos
que los reales. El monto del fraude se estima en 11,000 millones de dólares. Ebbers fue juzgado
y sentenciado a 25 años de prisión. En 2002, la empresa se declaró en bancarrota.
Caso: Enron (2001)
Al boom de los IPOs tecnológicos de finales del siglo XX, se sumaron otros sectores, entre ellos
uno adormecido como el de la energía, alimentado por algunos creativos pero deshonestos
ejecutivos de la corporación Enron. Enron puso en evidencia algunas fallas del gobierno
corporativo de entonces. Pese a que ya era común tener directores independientes conocedores
19
de la industria, comités de auditoría y auditores externos, los gerentes de Enron lograron diseñar
una estrategia que basaba su contabilidad en valores esperados y no en valores actuales, el
llamado mark to market. (Bufkins, 2008). Otra estrategia fraudulenta fue la de inflar los volúmenes
de ventas reportando valores totales de transacciones en las que ellos era solo intermediarios,
en vez de reportar simplemente el valor de sus comisiones. Todo esto sobrevaloró
desmedidamente el valor de las acciones. En 2001, después de una serie de cuestionamientos
al modelo financiero por parte de periodistas, analistas y hasta empleados, la empresa se vio
sujeta a rebajas en su calificación crediticia y finalmente la SEC intervino la empresa. El precio
de la acción se derrumbó totalmente, originando grandes pérdidas para los inversionistas,
proveedores y empleados de la empresa. En 2006, los principales ejecutivos de la empresa
fueron sentenciados a penas de más de 20 años en prisión.
Arthur Andersen, la auditora externa de Enron, fue acusada de facilitar el engaño contable,
culpada de obstrucción de justicia y su licencia fue cancelada. Así desapareció una de las cinco
grandes empresas auditoras de Estados Unidos.
Caso: Tyco International (2002)
En la década de 1990, el conglomerado Tyco International creció impresionantemente gracias al
liderazgo de su CEO Dennis Kozlowski, que ejecutó cientos de adquisiciones, llegando en algún
momento a tener ventas por 35,000 millones de dólares en 2002. Tantas adquisiciones fueron
difíciles de integrar, por lo que Tyco reportó ese mismo año 9,000 millones de dólares en
pérdidas. El precio de la acción bajó precipitadamente y justo por ese entonces se acusó a
Kozlowski de haberse apropiado de millones en dólares de la empresa en forma de bonos
ilegales. Kozlowski tenía entonces un estilo de vida exageradamente lujoso y sus extravagancias
eran difundidas por la prensa. Se sabía que vivía en un departamento en Nueva York por el que
la empresa había pagado 30 millones de dólares. Una fiesta que organizó para celebrar el
cumpleaños de su esposa en la isla de Cerdeña le costó a Tyco al menos un millón de dólares y
fue reportada como la “orgía romana de Tyco”.

20
Kozlowski fue enjuiciado, encarcelado y convicto por haber recibido 81 millones de dólares en
forma de bonos ilegales y casi 15 millones de obras de arte, gastos pagados por Tyco. Su pena
mínima fue de 8 años de prisión. Aunque inicialmente se declaró no culpable, después de años
en la cárcel, Kozlowski reconoció que había cometido fraude. Esos años de reflexión le hicieron
ver que, en el momento de cometer las faltas, había sido envuelto en lo que llamó la “burbuja del
CEO”, que le hacía verse más valioso de lo que en realidad era (Dolmetsch, 2013).
Regulación: la ley Sarbanes-Oxley (2002)
Como consecuencia de los escándalos financieros de Tyco, Worldcom, Enron, y otras empresas,
el Congreso de Estados Unidos preparó una serie de reformas que formaron la que se conocer
como la ley Sarbanes-Oxley10. Por medio de esta ley, el Congreso enfrentó una por una las fallas
corporativas destapadas en 2002. Entre ellas, se consideran:
1) La responsabilidad individual (personal) de la gerencia en la preparación de los estados
financieros.
2) La necesidad de la transparencia financiera, incluyendo reporte de transacciones fuera
de los libros contables.
3) La independencia de los roles del auditor externo.
4) Reportes de conflicto de interés de los analistas de bolsa.
5) Responsabilidad penal por la destrucción de documentos financieros.
6) Mayores penas para las faltas de “cuello blanco”.
La ley Sarbanes-Oxley introdujo mayores controles a los directivos de las
corporaciones, tratando de fomentar una mayor transparencia financiera, y
responsabilizándolos de errores y fraudes contables.
10 Más conocida por el acrónimo SOX

21
Caso: Parmalat (2003)
No había pasado mucho tiempo desde el escándalo de Enron, cuando los accionistas de la
empresa italiana Parmalat fueron informados de que faltaban 14 mil millones de dólares en las
cuentas de la empresa. Debido a la magnitud de la empresa, el escándalo Parmalat sacudió los
mercados de otros países como Alemania y Estados Unidos. Parmalat había crecido desde ser
una pequeña procesadora de leche hasta ser una multinacional de alimentos, además de tener
inversiones en turismo, televisión, fútbol y fórmula uno.
Para financiar su rápida expansión internacional, Parmalat había incurrido en una gran deuda.
Como muchas de sus divisiones daban pérdida, diseñó un sistema contable fraudulento con el
uso de derivativos para esconder las pérdidas. En 2003, la empresa sorprendió a los mercados
con el anuncio de una emisión de bonos por 300 millones de euros. El CEO, Calisto Tanzi, se vio
forzado a despedir al CFO Fausto Tonna y reemplazarlo por Alberto Ferraris. Ferraris descubrió
rápidamente que pese a ser en CFO, no tenía acceso a todas las cuentas y sospechó que la
verdadera deuda de la empresa era al menos el doble de la mostrada por los estados financieros.
Poco tiempo después fue reemplazado por el contador principal de la firma, Luciano del Soldato.
La emisión de los bonos tuvo que ser suspendida porque el precio de las acciones había bajado
significativamente. Del Soldato renunció un mes después de ser nombrado CFO. Para agravar
más las cosas, el Bank of America mostró que una cuenta de la empresa en las Islas Caimán
había sido objeto de fraude. Calisto Tanzi fue separado del cargo de CEO y reemplazado por
Enrico Bondi. El primer ministro Silvio Berlusconi ordenó una investigación completa,
descubriéndose un esquema de fraude y lavado de dinero internacional.
Los 130,000 accionistas de Parmalat, los deudores, los empleados y las ciudades donde
Parmalat operaba se vieron afectados de una u otra manera al declararse finalmente en
bancarrota. El club de fútbol Parma, por ejemplo, era financiado por Parmalat y entró en una
serie de problemas que acabaron con su disolución en 2015.
22
Caso: Freddie Mac (2003)
Freddie Mac es el nombre con el que se conoce a una de las empresas de financiamiento
hipotecario de los Estados Unidos. Si bien es una empresa privada, fue fundada por el Congreso
y tiene un objetivo público enfocado la promoción y desarrollo de la oferta hipotecaria. Una
garantía implícita del gobierno le permite tomar deuda más barata que las otras empresas
financieras.
En 2003, Freddie Mac reconoció errores contables y de gobierno corporativo y aceptó pagar 125
millones de dólares de multa al gobierno federal. Una de sus faltas fue lo que se conoce como
“manejo de utilidades”, es decir la manipulación de las utilidades reportadas para mostrar una
estabilidad que no tenía y que ayudaba a que el precio de la acción subiera. En 2001, la empresa
había reportado 1 billón de dólares más de lo que realmente produjo y en otros períodos 6 billones
menos utilidad que la real.
En 2006, Freddie Mac tuvo que pagar otra multa, esta vez de 3.8 millones de dólares por
contribuciones electorales ilegales. Desde la crisis de 2008, el gobierno asumió el control de la
empresa.
Regulación: Basilea II (2004)
En 2004 se emitió una segunda versión de las normas regulatorias globales llamada Basilea II,
que introdujo el concepto de los “pilares” de la supervisión bancaria internacional. El primer pilar
es el del capital mínimo, el segundo es la revisión de los supervisores y el tercero es el de la
transparencia para mejorar la disciplina del mercado.
Asimismo, se creó el concepto de capital ajustado al riesgo de cada banco (IRB11), siempre y
cuando cumplieran con ciertos requisitos. Solo los bancos muy grandes lograron desarrollar
estas metodologías que les permitían tener un menor nivel de capital.
11 Internal Risk Based

23
Lamentablemente, Basilea II no logró detener los excesos en la toma de riesgo dados los
enormes incentivos que los responsables de administrar los bancos tenían para lucrar.
La crisis financiera global (2008)
Mientras el comité preparaba las guías para Basilea III, a fines de 2007 se inició una de las
mayores crisis financieras globales de la historia. Se atribuye la causa principal de la crisis a un
gigantesco esquema de colusión entre muchos de los participantes del complejo sistema
hipotecario en varios países desarrollados.
Un caso representativo de esa colusión fue la dispersión global del financiamiento de préstamos
hipotecarios subprime originados en Estados Unidos, préstamos que eran hechos sin la
documentación necesaria para entregar los créditos hipotecarios. El préstamo requería
validación de los ingresos del deudor, pero los bancos no verificaban si los ingresos reportados
eran reales o si se trataba de un fraude. Los intermediarios entre los bancos y los clientes, los
agentes de hipotecas incitaban a sus clientes a reportar ingresos mayores a los verdaderos para
conseguir que los bancos les extendieran los créditos hipotecarios. La ganancia de los agentes
estaba en la comisión por venta y no en el comportamiento futuro de la deuda hipotecaria. En
paralelo, los bancos de inversión exigían a los bancos un crecimiento sostenido de nuevas
hipotecas sin preocuparse del riesgo, para, a su vez, empaquetarlas y venderlas en el mercado
secundario ganando una comisión. Otros desarrollaban derivados de las securitizaciones
hipotecarias e instrumentos financieros exóticos que muy poca gente entendía. Estos
instrumentos eran comprados por inversionistas de todo el mundo, que creían que eran muy
seguros porque las agencias calificadoras les daban una calificación que no contemplaba los
verdaderos riesgos de morosidad en sus cálculos ni el impacto posible de las pérdidas. Así, un
inversionista privado en Islandia compraba ingenuamente un instrumento derivado de hipotecas
subprime de Estados Unidos creyendo en la calificación AAA del instrumento.
24
Este ciclo de generación y venta de hipotecas se vio interrumpido con un efecto dominó y colapsó
cuando los valores de las propiedades comenzaron a bajar, los deudores a no pagar sus
hipotecas y las emisiones estructuradas (securitizaciones) a perder grandes sumas de dinero.
Debido a que prácticamente todo el sistema financiero tenía algún tipo de conexión con estos
instrumentos y a las quiebras o riesgos de quiebras que se presentaron en varias instituciones,
el sistema entró en pánico generalizado, alcanzando a muchos países, requiriendo una respuesta
contundente de los gobiernos.
La crisis financiera de 2008 ha sido una de las mayores en la historia, sólo comparable a
la de 1929 y tuvo su origen en el excesivo crédito hipotecario y en el crecimiento de
instrumentos financieros derivados que se vendían sin una adecuada gestión de riesgo.
Caso: Lehman Brothers (2008)
El caso emblemático de la crisis financiera de 2008 fue Lehman Brothers. Debido a que era uno
de los cuatro bancos de inversión más grandes de Estados Unidos, su caída tuvo un inmenso
impacto en la industria de servicios financieros.
Los problemas de Lehman se agravaron debido a la estrategia de alto riesgo que implementó en
sus últimos años, enfocándose en el mercado secundario de hipotecas subprime con una deuda
o apalancamiento financiero que llegó a 31 veces su deuda en relación con el capital.
Durante los años en que el comportamiento de las hipotecas subprime iban bien, las utilidades
de Lehman eran excelentes. Sin embargo, desde que las pérdidas comenzaron, la caída fue
rápida y dramática. Casi hasta el último momento de su existencia hubo la esperanza de que
otra empresa la rescatara, pero eso no se dio y no quedó otro camino que la quiebra.
La bancarrota de Lehman, que tenía 600 mil millones de dólares en activos, es considerada la
más grande en la historia de Estados Unidos.
25
Caso: AIG (2008)
Desde su fundación en 1919 en Shanghái, China, AIG12 creció hasta convertirse en una de las
mayores aseguradoras de Estados Unidos y con operaciones globales y una oferta muy amplia
y compleja de productos.
Un hito previo a la crisis financiera se dio en 2005, cuando fue multada con la exorbitante suma
de 1,600 millones dólares por errores contables, siendo despedido su CEO. El nuevo CEO,
Martin J. Sullivan, lideró una etapa de muy alto crecimiento gracias a la emisión y venta de
derivados de hipotecas subprime. Estos derivados fueron desarrollados sin un adecuado soporte
de riesgo que cubriera pérdidas en caso de que la morosidad de las hipotecas subprime subiera.
Cuando se produjo la crisis hipotecaria de 2008, los poseedores de los derivados pidieron el pago
de estos, de acuerdo con las condiciones contractuales. Sin embargo, AIG no estaba preparada
financieramente para atender esos pagos, lo que generó un ambiente de pánico entre los
acreedores y un efecto dominó en el sistema financiero global. El gobierno de Estados Unidos
trató de promover un fondo para que los grandes bancos financien un rescate a AIG, estimado
en 75,000 millones de dólares. Los bancos no aceptaron la idea y el gobierno acabó financiando
el rescate, por un monto que al final resultó ser de 180,000 millones de dólares. Además, el
gobierno tuvo que tomar el control de la empresa.
AIG creó y vendió derivados de hipotecas sin mitigación en caso de pérdidas, para aumentar su
rentabilidad, apostando irresponsablemente a que el mercado subprime no iba a tener
problemas.
Regulación: El Consejo de Estabilidad Financiera (2009)
Como parte de la respuesta a la crisis financiera de 2008, el grupo de los 20 (G20) estableció en
2009 el Consejo de Estabilidad Financiera como un foro y mecanismo para mantener la
estabilidad financiera global. El foro ha establecido una serie de recomendaciones para mejorar
12 Su nombre inicial fue American Asiatic Underwriters (AAU)

26
la capitalización de las instituciones financieras, mejorar su gestión de riesgos y mejorar la
regulación de los sistemas financieros a nivel global.
El Consejo publica una lista de los bancos que considera “sistémicamente importantes”, es decir
los que por su tamaño pueden causar grandes daños al sistema financiero global en caso de
crisis financiera. A los mayores bancos, el Consejo requiere un mayor capital que permita su
solvencia. Por ejemplo, el banco HSBC requiere, dada su magnitud, un recargo en el capital de
2.5%. Citigroup tiene un recargo del 2%.
Regulación: La ley Dodd Frank (2010)
La ley Sarbanes-Oxley introducían una serie de regulaciones cuyo objetivo era impedir que las
empresas cometieran las faltas revisadas nuevamente. Implementar la ley costó muchísimo
dinero y hasta creó la sensación de que era una gran traba para el desarrollo de los mercados
financieros en Estados Unidos. En contraparte, se esperaba un mejor control del gobierno
corporativo y el fin de los escándalos financieros. La “calma corporativa” duró pocos años, hasta
que se produjo la gran crisis financiera global. Cuando se produjo la crisis subprime entre 2007
y 2008, muchas empresas financieras globales estuvieron al borde del abismo, pese a que
habían implementado las estrictas regulaciones de SOX. Algunos analistas atribuyen esta crisis,
entre otras razones, a que la nueva ley requería, por ejemplo, directores completamente
independientes. Esa independencia sólo se pudo conseguir fuera del sector financiero, con
directores que no tenían suficiente experiencia como para detectar los problemas que se iban
gestando. Dada la abrupta implementación de la ley, no hubo suficiente tiempo para que los
nuevos directores pasaran adecuadamente por la curva de aprendizaje. Como respuesta a los
desórdenes en las empresas financieras, se aprobó una nueva ley, la ley Dodd-Frank en 201013,
que reorganizó el sistema de regulación financiera, aumentó la transparencia en la información
de instrumentos derivados, aumentó las exigencias de las agencias calificadoras de riesgo, exigió
mejores estándares contables y reordenó el proceso de quiebra. Cuando la crisis financiera
13 Dodd-Frank Wall Street Reform and Consumer Protection Act

27
estalló en 2008, los reguladores tuvieron serias dificultades para hacer frente a la situación con
rapidez y eficacia. El gobierno tuvo que intervenir decididamente ya que el sistema no estaba
preparado para un nivel tan grave de crisis, en la que debido al efecto dominó del quiebre de
financiamientos, los precios de las acciones se desmoronaban ininterrumpidamente hasta
niveles alarmantes. Además, se encontraron una serie de fallas y vacíos que resultaban
novedosos dada la tremenda sofisticación alcanzada por los instrumentos financieros
desarrollados gracias a la creatividad que el sistema legal de Estados Unidos permitía.
Como respuesta al caos que originó la crisis financiera, el Congreso de los Estados Unidos emitió
una nueva ley, reformando el sistema financiero para hacerlo menos vulnerable a una crisis
similar. Esta nueva ley, conocida como la Dodd-Frank introdujo una serie de cambios, entre los
cuales se incluyen:
1. Crear dos agencias gubernamentales para supervisar el llamado riesgo sistémico, es
decir, el riesgo que pueda afectar la estabilidad financiera del país14.
2. Ampliar y modificar el proceso de liquidación y bancarrota de las empresas financieras.
3. Transferir y reordenar el control de la regulación financiera, evitando duplicidad en las
funciones.
4. Regular los fondos de capital privado.
5. Reformar la regulación de las empresas de seguros.
6. Cambiar el cálculo de provisiones bancarias para limitar inversiones de alto riesgo.
7. Regular los derivados y productos financieros no tradicionales.
8. Encargar a la Reserva Federal un rol más activo en la supervisión de la gestión de riesgo
de las empresas de servicios financieros.
9. Mejorar la protección a los consumidores de productos financieros.
14Estas agencias son: el Financial Stability Oversight Council (FSOC) y el Office of Financial Research
(OFR) en el Departamento de Tesoro.
28
La gran crisis de 2008 se produjo por el deseo de un gran grupo de participantes en el
sistema financiero de exagerar las utilidades reportadas para cobrar mayores comisiones,
sin medir las consecuencias, ante la mirada de reguladores pasivos y conformistas.
Regulación: Basilea III (2010)
La crisis financiera puso en evidencia la debilidad de las regulaciones de Basilea II, por lo que
se decidió emitir una nueva versión, Basilea III, con el objeto de elevar los requerimientos de
capital mínimo, de liquidez, y de considerar escenarios más pesimistas en los cálculos de las
provisiones. Adicionalmente introdujo la necesidad de hacer reservas anticíclicas, que se
depositan en épocas de crecimiento para ser usadas en épocas de crisis. Se introdujo también
requerimientos más altos para los bancos más grandes.
Caso: MF Global
MF Global fue una empresa enfocada en la compra y venta de sofisticados productos financieros
basados en derivados, moneda extranjera y otros instrumentos. Sus clientes eran individuos e
instituciones que buscaban rendimientos superiores a los de los bancos. En 2007 consiguió hacer
una Oferta Pública de Acciones y entrar a la bolsa. Sólo un año después, durante la crisis
financiera global, MF Global reportó una transacción no autorizada que requirió una provisión de
141 millones de dólares. La empresa fue multada por el regulador de commodities con 10
millones de dólares.
En 2010, John Corzine, ex CEO de Goldman Sachs fue nombrado CEO. Poco tiempo después
se descubrió que MF Global había usado el dinero de cuentas de clientes para disimular falta de
capital por malas decisiones financieras. Se estima que en total se manipularon 875 millones de
dólares con ese fin. En octubre de 2011 la empresa se declaró en bancarrota.
Como resultado de un proceso judicial masivo contra los bancos involucrados, el gobierno de
Estados Unidos negoció, por medio del Departamento de Justicia, grandes sumas de dinero para
29
resolver estos procesos. Se estima que, en total, se llegó a acuerdos que suman 110,000
millones de dólares.
Caso: Banco Barclays (2013)
Uno de los más grandes bancos del mundo, el banco Barclays, ha sido objeto de un gran número
de acusaciones de falta de cumplimiento. Entre las más importantes está la de manipulación de
las tasas de interés Libor y Euribor, por la que fue sentenciada a una multa de 450 millones de
dólares. Como consecuencia de esa manipulación, se ha anunciado el cierre de la tasa Libor
para el año 2021.
Anteriormente, Barclays tuvo acusaciones por lavado de dinero en África y en 2013 el banco fue
sentenciado por manipular los precios de la electricidad en Estados Unidos.
Otra investigación que afrontó en 2018 fue la de haber evitado ser rescatada por el gobierno
británico durante la gran crisis financiera de 2008 gracias a inversionistas de Qatar. Sin embargo,
no se encontró que hubiera habido culpa por parte del banco.
Caso: Lava Jato15, Brasil (2014)
En Brasil, grandes fallas de cumplimiento y serios actos de corrupción han afectado gravemente
a su economía, política y debido a su presencia en otros países, a los gobiernos de toda la región.
El mayor caso de corrupción fue descubierto gracias a una investigación policial en Brasilia, que
permitió dar a conocer un gran esquema de sobornos para desarrollar negocios de proyectos
gubernamentales de construcción. La investigación se inició para identificar una operación de
lavado de activos y, siguiendo la ruta del dinero, llegó a los más altos niveles del gobierno
brasileño, implicando a empresas tan grandes como Petrobras, Odebrecht, Andrade Gutierrez y
OAS. Entre las gravísimas faltas cometidas, las empresas proveedoras de servicios de
construcción para la estatal petrolera Petrobras inflaban los precios artificialmente, actuando
15 En español, “lavado a presión”, en alusión a los establecimientos en los que se lavaba el dinero.
30
como un cartel, y pagaban como soborno entre 1 y 5% del valor de los contratos a los funcionarios
de Petrobras. Los funcionarios de Petrobras eran nominados por el gobierno de turno, que
recibían el dinero por medio de un perverso y sofisticado sistema que hacía uso de cuentas en
el extranjero. Este escándalo afectó gravemente los resultados de Petrobras, su reputación, la
economía de Brasil y hasta su estabilidad política. Una restructuración total del gobierno
corporativo de Petrobras ha puesto un enfoque substancial en la ética y el cumplimiento.
En junio de 2015, las autoridades brasileñas arrestaron al ejecutivo principal de la constructora
Odebrecht. El proceso de investigación permitió descubrir que el esquema de corrupción había
sido exportado a doce países de América Latina. Investigaciones posteriores han llegado a
impactar a presidentes, expresidentes y altos funcionarios de los gobiernos de Argentina,
Colombia, Ecuador, Guatemala, República Dominicana, Panamá, Perú y Venezuela entre otros.
Las investigaciones revelaron que Odebrecht operaba con un esquema de corrupción tan
organizado que hasta tenía un departamento interno llamado “departamento de operaciones
estructuradas”, que negociaba contratos de infraestructura con los gobernantes a cambio de
sobornos. Se estima en más de 4,000 millones de dólares las transferencias efectuadas por
sobornos.
Otras grandes empresas brasileñas que también operaban con esquemas similares de
corrupción corporativa están siendo procesadas en los países en los que implementaron tan
censurables prácticas. Se estima que América Latina pierde anualmente por corrupción 140 mil
millones de dólares, es decir, 3% de su Producto Bruto Interno.
Volkswagen I y II
Caso: Volkswagen (2005)
El primer gran escándalo de la firma Volkswagen se dio en 2005 al descubrirse un esquema de
corrupción en el que algunos directivos de la empresa proveían una serie de sobornos a los
representantes de los trabajadores en el directorio para que apoyen sus decisiones. Los
sobornos eran pagados como viajes internacionales de lujo, en los que el director de recursos
31
humanos pagaba salidas nocturnas a los representantes de los trabajadores en el directorio.
También se encontraron otras faltas graves relacionadas con influencia indebida de la empresa
en el ámbito político alemán, específicamente con el estado de Baja Sajonia que posee el 18%
de las acciones de la empresa. Asimismo, se descubrió un soborno a funcionarios estatales en
la India para construir una planta de manufactura en el estado de Andhra Pradesh.
Caso: Volkswagen (2015)
Cambiar la cultura corporativa de una gran empresa no es fácil. Pese al impacto de los incidentes
de 2005, sólo diez años después se produjo otro serio quiebre corporativo ligado a la falta de
ética en la empresa Volkswagen.
En setiembre de 2015, la agencia de protección del ambiente de Estados Unidos denunció a la
empresa Volkswagen por programar los motores diésel de sus autos con el objeto de pasar las
exigentes pruebas de emisiones de monóxido de carbono. En setiembre de 2016 Volkswagen
acordó pagar una multa de 17,500 millones de dólares al gobierno de Estados Unidos.
Con más de 250,000 empleados, es difícil entender cómo el sistema de cumplimiento no pudo
alertar que algo malo estaba sucediendo. Después de todo, para hacer semejante
desprogramación se requiere un número de personas en el esquema de colusión. Pese a la
magnitud del incidente, no hay indicios de que el directorio haya estado al tanto del esquema.
Según los ejecutivos a cargo de supervisar el problema, existía una cultura de pasividad ante el
delito, de acallar cualquier voz de alerta, de decir siempre si a los superiores, cultura que no
permitía que un fraude como este fuese comunicado apropiadamente.
Caso: Wells Fargo (2016)
Pese a todas las leyes y regulaciones implementadas después de la crisis financiera y al
desarrollo de los códigos de buen gobierno corporativo, en 2016 se denunció que el banco Wells
Fargo había abierto miles de cuentas fraudulentas para cumplir cuotas internas de número de
aperturas de cuentas con el objetivo de aumentar las ganancias por cobro de mantenimiento y
32
comisiones. Para lograr esos objetivos, los empleados usaron datos personales de clientes del
banco y les abrieron cuentas sin su autorización. El banco ha aceptado pagar una multa de 185
millones de dólares, ha despedido a más de 5,000 empleados involucrados en el fraude, ha
devuelto 2.6 millones de dólares a 115,000 clientes y ha suspendido las cuotas internas de
nuevas cuentas.
En mayo de 2018, Wells Fargo aceptó pagar 480 millones de dólares para terminar un juicio
grupal que le hicieron los inversionistas a raíz de este escándalo.
De acuerdo con la ley Sarbanes Oxley, los ejecutivos del banco son responsables de certificar
que hay mecanismos adecuados de control y su firma en los reportes anuales puede ser prueba
de fraude. El Presidente de directorio, que también era CEO, se vio forzado a renunciar dada la
presión de los reguladores y accionistas; los roles de Presidente de directorio y CEO han sido
divididos para evitar conflictos de interés. Los juicios se han iniciado y está por verse el alcance
de la aplicación de la ley.
Regulación: Basilea IV (2017)
El análisis de los resultados de Basilea III motivó a emitir una versión más exigente, afinando
algunos detalles. Uno de ellos fue poner un límite al capital mínimo usando modelos internos de
riesgo de los bancos, otro fue el de poner límites al apalancamiento financiero.
Se espera que la implementación de Basilea IV esté lista en 2022.
33
El gobierno corporativo
Como se ve en los casos presentados anteriormente, la falta de buen gobierno corporativo causa
generalmente un desorden que limita o reduce la generación de valor en una empresa. Sin un
buen gobierno corporativo, los ejecutivos pueden engañar a los accionistas, reportar falsa
contabilidad, aceptar sobornos de proveedores, enviar dinero de la empresa a sus cuentas
personales, contratar a sus amigos y familiares sin un criterio profesional y hasta usar los fondos
de las pensiones de los trabajadores para su consumo personal. Todas estas situaciones se dan
diariamente y los medios de comunicación continuamente reportan desde pequeños incidentes
hasta escándalos a gran escala. Después de descubiertos, en muchos casos generan reacciones
de las autoridades con nuevas regulaciones o leyes, que buscan evitar que se repitan.
Uno de los principales estudios que sustentan el concepto de gobierno corporativo es el que
publicaron en 1932 el abogado Adolf Berle y el economista Gardiner Means (Means, 1932). En
él, proponen que, en la corporación moderna, existe una separación entre los propietarios de las
corporaciones y los ejecutivos y empleados que la manejan, alterando el concepto tradicional de
propiedad preponderante hasta el siglo XIX, en el que el dueño era el mismo que proveía el
producto o servicio de la empresa. Ese gran cambio se dio masivamente cuando se sentaron las
bases legales de lo que constituye una corporación, y se dispersó el accionariado con el
desarrollo de las bolsas de valores. Para controlar de alguna manera esa brecha entre
propietarios y ejecutivos, es necesario un buen gobierno corporativo que proteja los derechos de
las partes. Estudios recientes prueban además que los principios del buen gobierno corporativo
sirven muy bien a otro tipo de empresas como las familiares, las que no tienen fines de lucro, o
las empresas del estado.
34
Aspectos generales
El gobierno corporativo es una responsabilidad primordial de los directorios de las empresas y
por tanto es a lo que los directorios dedican la mayor cantidad de tiempo. Según la definición del
reporte Cadbury16, refiriéndose al modelo anglosajón británico, se trata de poder dirigir y controlar
las empresas mediante guías que permitan elegir a los directores y auditores para tener una
estructura de gobierno adecuada (Governance, 1992). Cadbury además señala que los
directorios deben ser responsables por la estrategia, el liderazgo, la supervisión de la gerencia y
de reportar a los accionistas por sus acciones y resultados.
Esta definición está enfocada en la empresa y su directorio como órgano de gobierno. Para
completarla, tenemos que incluir a los accionistas. En 1997, los profesores Shleifer y Vishny
publicaron un artículo en el Journal of Finance haciendo un análisis de la situación del gobierno
corporativo, en el que explican que la idea del gobierno corporativo es que exista una respuesta
responsable a los accionistas, mediante un uso adecuado de los recursos disponibles (Shleifer,
1997). El gobierno corporativo se diseña para que los accionistas no queden desamparados
frente a las acciones de los ejecutivos contratados para manejar la empresa.
Los atributos que un buen gobierno corporativo debe tener son:
1. Una clara descripción de los derechos de los accionistas y otras partes interesadas.
2. Responsabilidades claramente identificadas y medibles de la gerencia y el directorio.
3. Transparencia y exactitud en los reportes y declaraciones.
4. Trato justo y equitativo en las transacciones.
Si bien a lo largo del tiempo el gobierno corporativo se ha ido desarrollando y mejorando, existe
siempre la necesidad de una mejora continua. Un ejemplo de esas mejoras es la actual
confluencia entre tres disciplinas: Gobierno Corporativo, Riesgo y Cumplimiento (GRC).
16 El reporte Cadbury es fundamental en la historia del Gobierno Corporativo en el Reino Unido.

35
El gobierno corporativo es el sistema por el que las empresas son dirigidas y controladas,
respondiendo responsablemente a los accionistas, por medio del directorio, que es el
principal responsable de su gestión.
Modelos de gobierno corporativo
En el mundo existe una variedad de modelos de gobierno corporativo. Por ejemplo, el modelo
angloamericano funciona en Estados Unidos, Reino Unido, Australia, Canadá y en otras regiones
del mundo. En este modelo, los accionistas eligen al directorio, que a su vez elige la plana
ejecutiva. Está diseñado para priorizar los intereses de los accionistas. Desde que se emitió el
reporte Cadbury, hay una fuerte tendencia a tener varios directores independientes de la
empresa.
El modelo alemán, usado no solo en Alemania sino también en Holanda, Francia y otros países,
tiene una estructura de doble directorio. Un directorio es de supervisión y otro de ejecución. Los
accionistas sólo pueden elegir hasta el 50% del directorio de supervisión; los empleados y los
sindicatos de trabajadores eligen el otro 50%.
En el modelo japonés, el poder está a cargo de los conglomerados llamados keiretsu, empresas
unidas informalmente por intereses económicos y sus bancos afiliados. Los directorios son
conformados en su mayoría por directores de esos mismos grupos, con mínima participación
externa. Corea del Sur tiene un modelo similar llamado chaebol, pero en el que la presencia
familiar en la gestión es mucho mayor.
Todas las geografías y modelos han tenido situaciones de corrupción, fraude, y otras faltas
éticas. Si bien ningún modelo es perfecto, este libro se enfoca en el modelo occidental, anglo-
americano de gobierno corporativo, que tiene dos perspectivas: una en Estados Unidos, donde
está más enfocado en el seguimiento estricto a las regulaciones y otra, la del Reino Unido, que
36
da más libertad en las decisiones, y se caracteriza por la frase “cumplir o explicar”17 (Council,
The UK Corporate Governance Code, 2014), es decir que deja abierta la puerta a un diálogo
razonable entre la empresa y los reguladores si el incumplimiento tiene una justificación
apropiada. Esta última filosofía también se aplica en otros países de la Comunidad Europea como
Holanda y Alemania.
Gobierno corporativo por tipo de organización
El esquema de gobierno corporativo de cada empresa depende generalmente de su condición
legal. Si la empresa emite valores públicamente, está sujeta a mayor disciplina, mientras que
cuanto más privada y pequeña esta es, tiene menos requerimientos. Los siguientes modelos
están entre los más conocidos:
Empresas que cotizan en la bolsa de valores
Debido a su naturaleza pública y abierta a una gran diversidad de accionistas, las empresas que
cotizan en bolsa o emiten deuda en la misma, son las que tienen mayor presión por tener un
sólido gobierno corporativo.
El reto para estas empresas es la diferencia conceptual entre la propiedad y el control de estas.
La propiedad da derecho tener acceso a los flujos provenientes de los ingresos de la empresa.
Control es tener el derecho a voto en las decisiones fundamentales de la empresa. Un problema
que se puede presentar en este sistema es que los directores, que tienen el control, no voten de
acuerdo con los intereses de los accionistas, que tienen la propiedad.
Antes de que una empresa comience a cotizar en bolsa hay muchos requisitos por los que tiene
que pasar para satisfacer las necesidades de los reguladores. Entre otros, el gobierno corporativo
establece los requerimientos para que exista un consejo directivo, con directores independientes,
comités de auditoría, riesgo, y compensación. Se exige además una descripción detallada de
17 Comply or explain
37
cómo el directorio evaluará el riesgo, establecerá el liderazgo, considerando su diversidad, y
proveerá información a los comités de directorio, estableciendo la frecuencia de las reuniones
(PwC, 2016).
El directorio debe, además:
• Seleccionar al CEO y asegurar que exista un plan de sucesión.
• Proveer retroalimentación a la plana ejecutiva en la estrategia de la empresa.
• Establecer un plan de comunicaciones con las partes interesadas y asegurar que el
proceso funcione bien.
• Reportar públicamente el proceso de selección de los directores e informar a los
accionistas quienes son y cuál es su experiencia y aporte.
• Definir claramente y por escrito las responsabilidades de los miembros del directorio.
• Publicar un reporte anual de los resultados.
• Asegurar que exista un proceso de control interno adecuado y que la relación con los
auditores externos sea objetiva y profesional.
• Desarrollar un código de conducta interno.
• Involucrarse en adquisiciones y/o fusiones.
Las organizaciones multilaterales como el Banco Mundial y la Organización para la Cooperación
y el Desarrollo Económico (OCDE) han emitido directrices y guías para el buen gobierno
corporativo. Cada país ha adoptado estas guías a su medio local por medio de sus comisiones
de valores, principales reguladores de las empresas que cotizan en bolsa. Estas comisiones
están agrupadas en la organización IOSCO, que desarrolla y emite principios, estándares
normativos y políticas que permiten a sus miembros evaluar sus regulaciones y adecuarlas según
recomendaciones internacionales. El objetivo de IOSCO es proteger a los inversionistas
mediante la promoción de estándares internacionales para las comisiones de valores. IOSCO ha
emitido entre otras, regulaciones dirigidas a mejorar las prácticas de auditoría independiente, de
38
transparencia en los reportes financieros, un código de conducta para las agencias calificadoras
y una serie de principios de buena regulación de valores.
El trabajo de preparación para cotizar por primera vez en bolsa es complejo y requiere mucha
experiencia y disciplina. Sin embargo, un adecuado entendimiento de por qué se requieren todos
estos procesos ayuda a que el ejercicio de adecuación sea más provechoso e interesante y no
simplemente a usarlo mecánicamente como una lista de obligaciones rutinarias que hay que
cumplir.
Las empresas que cotizan en la bolsa de valores están sujetas a las normas de buen
gobierno corporativo emitidas por las comisiones de valores de cada jurisdicción.
Empresas que no cotizan en la bolsa de valores
El concepto de gobierno corporativo puede ser interpretado como un lujo de las empresas
grandes, sin embargo, muchos de sus principios pueden y deben ser aplicados a todas las
empresas sin importar el tamaño.
Las empresas que no cotizan en bolsa ni emiten bonos públicos tienen la ventaja de no estar
sujetas a la supervisión de las comisiones de valores y por lo tanto sus requerimientos
regulatorios de gobierno corporativo son mínimos. Si bien eso permite una mayor libertad de
acción, puede ocasionar situaciones de indisciplina corporativa que terminen mal, como sucedió
con la empresa BHS.
Caso: British Home Stores (BHS)
En agosto de 2016, la gran cadena de tiendas BHS de Reino Unido cerró sus puertas, dejando
la pensión de sus trabajadores con un déficit de 300 millones de dólares. Su propietario, Dominic
Chappell, fue enjuiciado y hallado culpable de no revelar detalles financieros importantes de los
planes de pensión de los empleados de la empresa. Durante quince años, la empresa tuvo un
déficit cada vez mayor en el fondo de pensiones de los empleados, pero sus dueños no dejaron
39
de cobrar dividendos, pese a que el déficit aumentaba. Chappell y el anterior propietario de la
empresa, Phillip Green, son muy criticados por haber tomado decisiones pensando en su riqueza
personal y no en el bien de la empresa y sus miles de empleados. Debido a que estas fallas de
gobierno corporativo no se podrían dar con la misma libertad en una empresa supervisada y a
otros casos similares, el gobierno del Reino Unido publicó un reporte condenando las acciones
de Green y Chapell, acusándolos de volverse ricos a costa de la empresa. El mayor problema,
según el reporte, es que muchas de las acciones fueron legales, aunque éticamente muy
cuestionables. Más de 10,000 personas perdieron el empleo en BHS, y 20,000 vieron
comprometidas sus pensiones. Consecuentemente, el gobierno decidió que el código de
gobierno corporativo debería ser aplicado no sólo a empresas que cotizan en bolsa sino también
a las grandes empresas privadas, para evitar casos como el de BHS.
Tener un directorio es importante para el bien de la empresa, pero por otro lado puede ser una
amenaza para la gerencia, por la fiscalización de sus decisiones. Esa tensión es saludable para
evitar caer en posibles tentaciones.
Las empresas medianas y pequeñas tienen el mismo interés que las grandes, de que los
stakeholders (partes interesadas) sean tratados con justicia y, por lo tanto, pueden desarrollar,
sin el mismo nivel de complejidad que las empresas grandes, reglas y procesos similares de
gobierno corporativo. Un beneficio fundamental es que ese ejercicio las prepara muy bien para
atraer nuevos inversores, talento, y proveedores para el crecimiento futuro. La ética y la
responsabilidad social no son terreno solamente de las grandes corporaciones, todas las
empresas pueden elevar su nivel estableciendo políticas internas con los más altos estándares.
Uno de los primeros pasos antes de desarrollar procesos de gobierno corporativo es identificar y
entender los intereses de todas las partes interesadas en el negocio. Por más pequeña que sea
la empresa, no se debe descuidar ninguna parte que posteriormente pueda afectar a la empresa
por haberla ignorado. Por ejemplo, es común ver restaurantes que son cerrados y multados por
falta de higiene debido a que los administradores ignoran los intereses de varias partes
40
interesadas como las autoridades sanitarias, los clientes, o el efecto comunicador de las redes
sociales.
Otro paso importante es establecer una junta directiva modelando los principios aplicables de las
corporaciones. La junta directiva debe clarificar el rol de cada individuo, así como sus
responsabilidades. También debe establecer un plan estratégico a largo plazo, definir un plan de
sucesión y profesionalizar todos los aspectos relacionados al buen gobierno corporativo.
Las empresas familiares que crecen y se desarrollan, requieren de una institucionalización que
les permita gestionar los conflictos que surgen por la sucesión, o entre familiares cada vez menos
cercanos. Uno de los primeros pasos en ese sentido es el nombramiento de directores
independientes (Fabián, 2010). Otro es tener reuniones formales de directorio con un registro de
notas y decisiones.
El gobierno corporativo no debe ser visto solamente como un elemento de las grandes
empresas. Todas las empresas deben ocuparse de su gobierno corporativo y así, tal y
como está comprobado, mejorar su nivel estratégico, organizacional, y operacional.
Empresas del estado
La diferencia fundamental entre las empresas privadas y las del estado, es que el objetivo central
de las últimas no es necesariamente maximizar el valor de los accionistas, sino proveer servicios
y productos de acuerdo con los intereses y prioridades definidas por el estado. Si bien el objetivo
puede variar, muchos de los principios del buen gobierno corporativo, la metodología de la
gestión de riesgo y el cumplimiento con las normas son muy parecidas a las del sector privado.
Muchas empresas del estado están enfocadas en servicios básicos como los de infraestructura,
telecomunicaciones y energía. Estos servicios son fundamentales para el bienestar de la
población; una mala gestión puede ocasionar un grave impacto a poblaciones con pocos
recursos. El riesgo de mal manejo por presiones políticas es muy alto, especialmente cuando se
41
trata de empresas en las que la propiedad está compartida, o cuando el estado presta poco
interés.
La mayoría de los países con economías de libre mercado ya adaptó o está en proceso de
adaptación de las normas y prácticas internacionales de control interno, promoviendo la eficiencia
de la actividad empresarial de los estados y los códigos de buen gobierno corporativo. La OECD18
provee una guía muy completa de estándares internacionales para empresas del estado (OECD,
OECD Guidelines on Corporate Governance of State-Owned Enterprises, 2015). El objetivo es
que estas empresas operen con eficiencia, transparencia y responsabilidad.
Dentro de las empresas del estado se suele dar casos de participación no estatal o de procesos
en los que el estado vende parte o toda la empresa. Para ello existe un régimen de transferencia
de acciones que debe tener una ejecución totalmente transparente. Se debe cuidar el tratamiento
equitativo de los accionistas, que el directorio sea lo más independiente posible, que tenga un
sólido código de ética y que tenga mecanismos de comunicación a las partes interesadas.
Los retos de las empresas del estado van desde la obvia influencia política en su manejo,
la falta de claridad en quiénes son exactamente los propietarios, hasta el descontrol
cuando se trata de un estado débil o con poco interés.
Empresas sin fines de lucro
De forma similar a las empresas del estado, las empresas sin fines de lucro deben usar los
mismos principios de gobierno corporativo, siendo el directorio la pieza clave para su éxito, pues
debe ajustar estos principios al objetivo de la empresa. Ese objetivo o misión de la empresa es
la que debe guiar las decisiones, y debe representar bien el valor que buscan los accionistas.
Los directorios deben estar conformados por gente con muy altos estándares éticos, que puedan
aportar conocimiento y experiencia, no por quienes puedan aportar solamente algunos beneficios
como la recaudación de fondos adicionales o una buena imagen pública (Rosenthal, 2012).
18 Organización para la Cooperación y el Desarrollo Económicos

42
Uno de los casos más conocidos de conflicto en este tipo de organizaciones es el que se da en
el estado de Pensilvania, entre el gobierno estatal y la fundación Hershey, de la familia del
fundador de la empresa de chocolates y dueña del 80% de las acciones de la corporación del
mismo nombre. La fundación controla una escuela muy importante y un gran parque de
diversiones, y se ha visto envuelta en denuncias de funcionarios del estado por los excesivos
beneficios, y por serios conflictos de interés de sus directores. En julio de 2016, después de
muchas negociaciones, se anunció un acuerdo en el que se introducían una serie de
disposiciones como, por ejemplo, limitar la duración de los directores a 10 años, evaluarlos
periódicamente, elegir directores con adecuada experiencia, poner límites a sus bonos y
entender más claramente los conflictos de interés de los directores.
Las empresas sin fines de lucro tienen el gran reto de mantener un directorio independiente que
les permita cumplir con su misión y responder a las necesidades de los grupos de interés y no
simplemente las de sus directores.
Todo tipo de empresa puede beneficiarse de la aplicación de los principios del buen
gobierno corporativo, sin importar si es de accionariado difundido, privada, mediana,
pequeña, estatal o sin fines de lucro.
Beneficios del buen gobierno corporativo
Los principios del gobierno corporativo se pueden aplicar no solo a las empresas, sino también
a otro tipo de organizaciones, ya sean públicas o privadas que tengan una separación entre los
propietarios y los administradores.
Según el IFC19 en un reporte realizado a empresas latinoamericanas, las mayores motivaciones
de un buen gobierno corporativo son (IFC I. F., 2009):
1. Mayor acceso al capital y menor costo de capital.
19 International Finance Corporation, una organización del Banco Mundial

43
2. Mejor respuesta a presiones externas como por ejemplo la regulación.
3. Manejo de intereses divergentes de los accionistas
4. Resolución de conflictos en empresas familiares
5. Asegurar la sostenibilidad a largo plazo de la empresa
6. Mejorar resultados operativos
El WSBI20, Instituto de Bancos de Ahorro, publicó en 2011 un estudio efectuado por Analistas
Financieros Internacionales en el que muestra que las empresas con buen gobierno corporativo
aumentan su acceso a las fuentes de capital financiero (AFI, 2011). Además, propone que el
gobierno corporativo de la empresa es más importante para alcanzar las fuentes de
financiamiento que el marco legal, o visto de otra manera, una empresa con muy buen gobierno
corporativo en un entorno regulatorio débil tiene mejor posición de acceso financiero que una
empresa con débil gobierno corporativo bajo un sólido marco regulatorio.
La inversión en “mejora continua” del gobierno corporativo debe ser prioritaria para todas las
empresas, pues además de todas las ventajas que esta mejora puede conllevar, su situación
financiera suele ser más ventajosa al tener abiertas las puertas a más formas de financiamiento.
El Foro Global de Gobierno Corporativo publicó junto con el IFC en 2012 una investigación de
Claessens y Yurtoglu en la que confirmaron algunos de los beneficios del buen gobierno
corporativo como el mejor acceso al financiamiento, menor costo de capital, mejores resultados
y mejor tratamiento de las partes interesadas (Yurtoglu, 2012). El estudio comprobó además que
este efecto positivo no sólo beneficia a las firmas individualmente sino también a los sectores de
la industria en los que operan y a los países en los que se implementan.
El buen gobierno corporativo es un arma eficaz para elevar el nivel de vida de la población
mediante la disciplina y el uso de mejores prácticas en la gestión de las empresas.
20 World Savings Banks Institute

44
Limitaciones del gobierno corporativo
Dada su naturaleza, las buenas prácticas del gobierno corporativo se construyen en base a
múltiples iteraciones de prueba y error. A cada prueba le suele suceder un error, en forma de
crisis, que trata de ser corregido y evitado. De esta manera, se mejora el sistema, pero siempre
en una interminable iteración en la que se presentan nuevas situaciones que demandan
correcciones y ajustes. Los cambios constantes en el ambiente de negocios facilitan nuevos
quiebres en los gobiernos corporativos, de manera que el proceso nunca termina. Por ejemplo,
las nuevas tecnologías pueden crear oportunidades de aprovechamiento por parte de algunos
gestores de empresas para ocultar operaciones ilícitas o poco éticas.
Teorías del gobierno corporativo
Los estudiosos del gobierno corporativo han desarrollado a lo largo del tiempo un conjunto de
teorías relativas al gobierno corporativo. Estas teorías buscan explicar, entender y ayudar a
resolver una serie de dilemas, controversias y conflictos que se presentan en la implementación
del gobierno corporativo
La teoría o problema del “agente-principal”21
En una empresa, los accionistas (llamados “principal”) contratan a la dirección ejecutiva o
gerencia (llamada “agente”) para el manejo de la empresa.
El problema del agente-principal se define como el reto de motivar al agente a actuar defendiendo
los intereses del principal, no los suyos propios. En el caso del gobierno corporativo, se trata de
cómo hacer para que los gerentes y directivos de la empresa actúen en beneficio de los
accionistas o dueños, sobreponiendo esos intereses a otros que puedan surgir del conflicto ético
entre el deber y el deseo.
21 También llamada “teoría de agencia”

45
Larckner y Tallan sugieren que el gobierno corporativo es un sistema de pesos y contrapesos22
que permiten el control de la organización y una optimización del costo de agencia (Tayan, 2011).
Shleifer y Vishny destacan que una de las razones por las que existe el gobierno corporativo es
el problema del agente-principal, planteándose preguntas fundamentales, como, por ejemplo:
• ¿Por qué tendrían que confiar los dueños en los gerentes de la empresa?
• ¿No sería muy grande la tentación de tomar decisiones que les convenga a ellos y no a
los dueños?
• ¿Cómo manejar la asimetría de información entre los gerentes y los accionistas, sin
perjuicio para estos últimos? (Shleifer, 1997).
Para evitar ese conflicto existen varios instrumentos. Uno de ellos es el legal, por medio de
contratos y compromisos escritos entre ambas partes. Sin embargo, cualquier contrato entre
ambos puede ser inservible si los que manejan la empresa no actúan con responsabilidad y ética.
Otros instrumentos son:
• Los comités independientes de auditoría y las auditorías externas, que también
permiten limitar los malos manejos;
• Los roles de CEO y presidente de directorio pueden ser ejercidos por dos
personas y no una para evitar conflictos de interés
• La compensación y los incentivos económicos deben ser estructurados de
manera que permitan tener intereses alineados entre dueños y gerentes.
Según Krause, hay otros mecanismos de control de los gerentes como las fuerzas competitivas
del mercado, que fuerzan a mejorar su rendimiento, el interés en el desarrollo de sus carreras
profesionales a largo plazo y el valor de las acciones como resultado de su actividad por mejorar
la empresa (Krause, 2000).
22 Checks and balances

46
Muchas empresas refuerzan constantemente los valores y la ética profesional entre sus
asociados. Los códigos de comportamiento corporativo comunican esos valores y son una
poderosa herramienta de comunicación, que ayuda a prevenir problemas éticos y permiten dar
una imagen más positiva de la empresa a la comunidad. Normalmente los gerentes responden
de la mejor manera debido a su ética profesional, a sus valores y a la lucha por mantener o
mejorar su reputación. Sin embargo, la tentación de sacar ventaja debe ser siempre mitigada
gracias al gobierno corporativo.
El conflicto principal – principal
Cuando los accionistas mayoritarios tienen un desacuerdo con los minoritarios, se produce el
conflicto principal-principal. Según los investigadores, este conflicto es más común en las
economías en desarrollo, en las que el marco institucional no es tan sólido, mientras que del
agente-principal, que hemos visto previamente, se da más en economías desarrolladas, (Peng,
2012). El problema de la falta de marco institucional obliga a los accionistas mayoritarios a asumir
el control directo de la empresa, debido a la desconfianza en transferir el control a la gerencia.
La teoría de la “asimetría en la información”
En 1970, el economista George Akerlof publicó una investigación sobre el mercado de autos
usados en Estados Unidos (Akerlof, 1970). En la investigación se analiza el comportamiento de
un vendedor de autos usados que sabe que el auto en venta tiene un defecto, pero se lo oculta
al comprador. A esa diferencia de conocimiento la llamó “asimetría en la información” y desde
entonces los economistas usan esa expresión cuando una parte tiene más información que la
otra y no la revela, tratando de beneficiarse gracias a ese conocimiento adicional.
Para efectos de gobierno corporativo, puede existir asimetría entre dos partes: el agente y el
principal, el empleador y el empleado, el cliente y el proveedor. Algunos ejemplos de asimetrías
en la empresa:
47
• El empleador puede saber que el trabajo del empleado está en riesgo, pero no se lo dirá
hasta el último momento posible para evitar un mal desempeño.
• El gerente puede saber que se va a trabajar a otra empresa de la competencia, pero no
se lo comunicará al directorio hasta que sea necesario, para evitar problemas.
• La empresa puede saber que un producto o servicio no estará disponible según lo
esperado, pero no se lo dice al cliente.
En todos estos ejemplos hay un fuerte componente ético que pone a los participantes en el dilema
de revelar o no el conocimiento asimétrico. Algunos se tratan de tranquilizar pensando que no
revelar algo que saben no es mentir. Sin embargo, muchas veces las llamadas éticas a revelar
la información son ignoradas conscientemente.
La asimetría en la información genera necesariamente gastos adicionales como, por ejemplo, los
legales, por la necesidad de protegerse contractualmente; de supervisión y control, de garantías
como las cartas de crédito o las fianzas, y de pérdida residual generada por haber tomado
decisiones con la desconfianza generada (Jensen & Meckling, 1976).
La teoría de stewardship
En oposición a la teoría del agente-principal que propone la separación de los roles de CEO y
presidente de la empresa, la teoría de stewardship sugiere que una sola persona debería tener
ambos roles. Esta teoría fue desarrollada por los investigadores Lex Donaldson y James H Davis
entre 1991 y 1993. Donaldson y Davis probaron que la separación de los roles de CEO y
presidente no mejoraban los resultados de la empresa, poniendo en duda la teoría del agente-
principal y según los autores (Davis, 1991). Según ellos, para los gerentes y ejecutivos es mejor
proveer el mejor nivel de servicios y resultados, porque ese camino les ofrece más beneficios,
que defraudar a los accionistas tratando de conseguir ganancias personales de una forma poco
escrupulosa. Los gerentes y ejecutivos de las empresas buscan los mejores resultados para los
accionistas porque sus intereses están alineados. Además, son personas motivadas a hacer bien
su trabajo, que tienen una gran satisfacción por realizarlo bien, que ejercen la autoridad
48
responsablemente y de esa manera son reconocidos por sus colegas y por sus superiores. Si
bien esa teoría se aplica a muchas empresas y personas, puede ser muy inocente asumirla,
como lo prueban los innumerables casos de fraude y corrupción que se presentan en todo el
mundo.
La teoría de la dependencia de recursos
La teoría de dependencia de recursos resalta los beneficios que el directorio de la empresa
provee a la empresa gracias a las conexiones profesionales de sus directores. Los directores
aportan una gran fuente de información, habilidades y conexiones con proveedores, el gobierno,
grupos sociales y otras partes interesadas. Uno de los retos del directorio es poder combinar la
experiencia de los directores en el sector de la empresa con sus redes personales que pueden
ayudar de alguna manera a conseguir nuevos negocios o a mejorar las relaciones con
reguladores o grupos de interés.
La teoría de los stakeholders (partes interesadas)
Es muy difícil traducir la palabra stakeholders al español. La traducción más común es “partes
interesadas”. El origen de la palabra viene del mundo de las apuestas, en el que un tercero (el
holder) retenía el dinero ganado (stake) hasta que se determinaba el ganador.
En el mundo de la empresa, el concepto de stakeholder fue desarrollado por el profesor R.
Edward Freeman, en su libro Strategic Management: A Stakeholder Approach (Freeman, 1983).
El concepto amplía la estrecha visión de que para la empresa sólo cuentan los accionistas,
extendiendo su definición a otras partes interesadas como el gobierno, la comunidad, los
empleados, los clientes y muchos otros grupos.
Cuando se habla de stakeholders se amplía la visión de la empresa y se reconoce la importancia
de partes interesadas que de otra manera se podrían ignorar. Hay partes interesadas internas y
externas. Las partes interesadas internas son los accionistas, los directores, los ejecutivos,
49
empleados y trabajadores. En cuanto a las partes interesadas externas, no sólo se debe pensar
en los clientes y proveedores, sino que es necesario tener una visión más amplia de los alcances
de la empresa. Por ejemplo, el concepto de responsabilidad social hace considerar como una
parte interesada importantes a la comunidad. El no tenerla en cuenta puede generar enormes
pérdidas y la cancelación de importantes proyectos.
Las partes interesadas pueden ser afectadas positiva o negativamente por las acciones de la
empresa, sin que esta perciba el impacto, a no ser que haga una adecuada introspección y
análisis de la situación. Para identificar y entender los efectos de sus acciones, se sugiere que
la empresa junte un equipo multifuncional que pueda proveer una visión completa del riesgo en
las partes interesadas y definir las acciones que la empresa deba tomar para minimizar efectos
negativos23.
Hay distintos métodos de mapeo de las partes interesadas, pero el más común es el de la matriz
“poder negociador versus nivel del interés”. Una parte interesada con gran poder negociador y
alto nivel de interés debe ser vista como el mayor riesgo. Para ello es necesario desarrollar un
plan de respuesta.
El análisis de partes interesadas debe ser actualizado periódicamente y los planes de acción
revisados como parte esencial de un buen gobierno corporativo.
Nepotismo y amiguismo
El nepotismo es definido como la “desmedida preferencia que algunos dan a sus parientes para
las concesiones o empleos públicos” (RAE, 2014). Se entiende que cuando un funcionario
público favorece la contratación de un pariente o amigo sobre alguien mejor calificado, hay un
conflicto ético.
23 El proceso de gestión de riesgo está detallado en la sección 2.5.

50
Extendiendo un poco el concepto, también se puede aplicar a amigos, a empresas privadas y
hasta a parientes de personas de interés comercial. El problema principal del nepotismo es el
nombrar a personas menos calificadas a puestos que deberían ser ocupados por personas más
capaces o calificadas. Es más común en empresas pequeñas con poco desarrollo de gobierno
corporativo.
Si bien en las empresas estatales el nepotismo está prohibido por la ley en muchos países, fuera
del estado no hay grandes inconvenientes en contratar parientes de ejecutivos o funcionarios.
Incluso algunas empresas creen que eso favorece el mejor entendimiento entre las familias y el
compromiso de los empleados.
En Estados Unidos, el nepotismo está prohibido cuando se considera que incurre en un acto de
corrupción.
Caso: J.P. Morgan (2013)
Entre 2004 y 2013, el banco J.P. Morgan contrató un total de 222 hijos de funcionarios de
la República Popular China con el fin de conseguir ventaja en negocios con el gobierno
chino. La ley anticorrupción FCPA24 prohíbe a las empresas estadounidenses entregar
algo de valor a funcionarios estatales con el fin de ganar algo. En ese período el banco
gano un total de doce ofertas públicas de acciones que sumaron 1,000 millones de
dólares. Después de un proceso de investigación del FBI, JP Morgan acordó pagar una
multa de 264 millones de dólares al gobierno americano.
Otro caso es el del banco BNY Mellon, que aceptó pagar una multa de 15 millones de dólares
por haber contratado a los familiares de los ejecutivos de un fondo de inversión del medio oriente.
Para un buen gobierno corporativo, hay dos consideraciones para tener en cuenta respecto al
nepotismo:
24 Ver sección 3.1.2 titulada “Corrupción y la Ley FCPA”. Siglas de Foreign Corrupt Practices Act.
51
• El nepotismo puede dar lugar a la desmoralización del personal. Sobre todo, si se percibe
que hay un ambiente injusto o poco ético.
• Se debe tener en cuenta si existe un riesgo legal. Por ejemplo, ha habido casos en los
que una relación sentimental entre personas de la empresa se ha convertido en una
denuncia por ambiente hostil en el trabajo.
La recomendación para minimizar el riesgo de nepotismo es tener una clara política de recursos
humanos que incluya la definición de nepotismo y las reglas en la contratación, educación,
promoción y terminación de familiares y amigos.
Respecto a cómo se debe conformar un directorio, el Banco Mundial ha emitido varias
comunicaciones y recomendaciones contra el nepotismo en las empresas. “Un directorio lleno
de amigos y familiares provee menos balance en servir los intereses de los accionistas”. (IFC,
2012).
Las teorías del gobierno corporativo, de las cuales el “agente – principal” es la más
conocida, intentan explicar posibles fallas en el sistema de gobierno de las
organizaciones, para prevenir problemas y fomentar un ambiente positivo y alineado con
los intereses de las partes interesadas.
A continuación, se presenta la evolución del gobierno corporativo en los últimos 50 años, que
ayudará a entender las regulaciones actuales.
52
Evolución del gobierno corporativo
Los sistemas y leyes de gobierno corporativo en el mundo varían dependiendo de la trayectoria,
valores y situación política, social y cultural del país (Choo, 2005). Pese a que estos factores no
son estrictamente económicos, su combinación ha afectado el resultado económico de cada
nación, teniendo en algunos casos más éxito que en otros.
Por otro lado, hay una serie de variables que también afectan la forma de gobierno corporativo
en cada región, como la eficiencia de los mercados de capital, la protección que provee el sistema
legal, la exactitud de los estándares contables y el grado de cumplimiento de las regulaciones
(Larcker, 2015).
La globalización representa un desafío de gobierno corporativo para las economías que
evolucionan hacia un mundo más integrado, pues impone nuevos estándares que son, en
muchos casos, opuestos al modus operandi antiguo. Conceptos como el financiamiento por
mercados de capital, la demanda de los accionistas por retorno de su inversión, los derechos de
accionista y el desafío del control corporativo son algunos ejemplos de situaciones que exigen
un cambio de paradigma. Sin bien no es posible tener un sistema global de gobierno corporativo,
hay una tendencia a tener cada vez más elementos en común.
Las disposiciones internacionales de gobierno corporativo son, en general, sólo una guía
con buenas prácticas y sugerencias, pero difíciles de exigir a las empresas. Sin embargo,
las disposiciones nacionales deben ser observadas cuidadosamente por las empresas
expuestas a esas regulaciones.
A continuación, se revisa la evolución del gobierno corporativo en Estados Unidos y en el Reino
Unido. En el capítulo 3, también se presenta la evolución del sector de servicios financieros,
53
debido a que es uno de los sectores económicos que ha tenido mayor desarrollo en las áreas de
riesgo y cumplimiento.
Gobierno corporativo en Estados Unidos
Estados Unidos tiene, desde hace unas décadas, un gobierno corporativo orientado a los
accionistas. Dado el tamaño de las bolsas de valores en Estados Unidos, gran parte de la
regulación del gobierno corporativo proviene de los reguladores de las bolsas de valores líderes
de ese país, como por ejemplo NYSE, NASDAQ y AMEX. Además, hay legislación específica
como las leyes Sarbanes-Oxley y Dodd-Frank.
Las corporaciones listadas en las bolsas de valores de Estados Unidos son, por lo general, de
accionariado muy disperso. Además. se estima que más del 70% del accionariado es institucional
(Aguilar, 2013). Debido a esa dispersión y a restricciones legales que impiden que los grupos
accionistas se unan para tomar acción en decisiones de la empresa, es difícil que los accionistas
se unan para liderar propuestas o hacer cambios en la dirección de la empresa.
Los directorios cuentan, en general, con muchos directores independientes y hacen uso de los
distintos comités de directorio para mejorar sus decisiones. Adicionalmente, la compensación de
los ejecutivos está muchas veces correlacionada directamente con el retorno de la inversión de
los accionistas.
Según se ve en el recuento histórico, la historia del gobierno corporativo de Estados Unidos tiene
ejemplos de grandes escándalos, en los que fraudes financieros dieron lugar a pérdidas muy
significativas y a la reacción de las autoridades que diseñaron nuevas regulaciones para impedir
que esas fallas se repitan. COSO es la respuesta de las grandes firmas auditoras a la necesidad
de gestionar adecuadamente los riesgos de las empresas.
54
COSO y la gestión integral de riesgo
En 1985, cinco grandes asociaciones de Contadores de Estados Unidos se asociaron para crear
una guía que mejorara el control interno de las organizaciones. James C. Treadway, presidente
del banco de inversión Paine Webber, fue encargado de presidir la comisión, conocida por su
apellido. Después de analizar los sistemas de reportes financieros entre 1985 y 1987, se
publicaron las recomendaciones en un reporte de la Comisión Nacional de Fraude en los
Reportes Financieros. Además, se creó el comité COSO, que sentó las bases para un mejor
control interno en las corporaciones. COSO reconoce que el control interno es un proceso
afectado por lo que hace la gente. Como proceso, no es el fin sino la forma de llegar al fin, que
es tener reportes financieros precisos de acuerdo con las leyes y regulaciones.
En 2001, COSO contrató a la firma de asesoría contable PricewaterhouseCoopers para
desarrollar un marco integral para la gestión de riesgo25. Mientras se desarrollaba el estudio,
hubo algunos escándalos corporativos cuya experiencia fue incorporada en el reporte final,
publicado en 2004. Dado el enfoque de la ley Sarbanes Oxley en control interno, el reporte de
COSO es un complemento ideal pues refuerza la visión amplia de riesgo integral.
La última versión de la guía COSO es de 2017, y fue desarrollada después de un proceso de
revisión y actualización. En el capítulo 2, dedicado a la gestión de riesgo, se explica con más
detalle las guías de COSO.
Paralelamente y tomando en cuenta los problemas generados por las experiencias
internacionales, la OECD emitió en 1999, los Principios de Gobierno Corporativo, basados
mayormente en el modelo de Estados Unidos. Esta versión inicial fue posteriormente actualizada
en 2005 y 2015 (OECD, G20/OECD Principles of Corporate Governance, 2015).
25 Enterprise Risk Management

55
COSO es una herramienta de gestión de riesgo desarrollada por las grandes empresas
auditoras con el fin de lograr una eficiente detección, control y mitigación de riesgos
empresariales.
Gobierno corporativo en Reino Unido
El Código de Gobierno corporativo del Reino Unido es el instrumento fundamental de la bolsa de
Londres para controlar a las empresas listadas. Este documento es el resultado de muchos años
de iteraciones basadas en una serie de reportes creados a raíz de fallas corporativas, en algunos
casos de gran impacto en las partes interesadas y en los medios de comunicación. Uno de los
principales documentos en los que se basan las recomendaciones inglesas es el llamado Reporte
Cadbury.
Antecedentes del reporte Cadbury
A fines de la década del 80, en el Reino Unido se sucedieron una serie de escándalos
corporativos que llamaron la atención del gobierno y los reguladores.
Caso: Polly Peck (1990)
Desde 1975 hasta 1990, el ejecutivo de origen chipriota Asil Nadir logró crecer y diversificar una
pequeña empresa de exportación de frutas, adquiriendo inicialmente una empresa textil inglesa
llamada Polly Peck y a continuación, la empresa electrónica turca Vestel, la empresa de frutas
Del Monte y la electrónica japonesa Sansui Electric. El holding controlador de esas empresas fue
Polly Peck. En 1989, Polly Peck fue elegida dentro del índice de acciones FTSE 100, es decir
dentro de las 100 mayores empresas en la bolsa de Londres. En 1990, una investigación
financiera reveló que Nadir había transferido ilegalmente grandes sumas desde Polly Peck hacia
sus cuentas personales en Turquía, Chipre, Suiza y Jersey. La empresa fue intervenida pues no
tenía capital suficiente para pagar sus obligaciones. Nadir fue detenido en Londres, pero escapó
a Francia en 1993 y luego a Chipre, gracias a que, increíblemente, los policías que lo custodiaban
56
se fueron a descansar porque no les pagaban sobretiempo. En 2010 regresó a Londres, donde
fue sentenciado a 10 años de prisión por delitos de fraude por 29 millones de libras esterlinas.
Sin embargo, la Oficina de Fraudes26 estima que el monto comprometido fue de casi 400 millones
de libras esterlinas. Debido a su nacionalidad turca, en 2016 fue transferido a una prisión de ese
país, de donde fue liberado tras pasar una sola noche encarcelado.
Caso: El banco BCCI (1986)
En 1971, el banquero y filántropo de origen paquistaní Agha Hasan Abedi fundó el banco BCCI27,
basado en Luxemburgo con sedes en Londres y Karachi. El banco creció rápidamente hasta
volverse uno de los más importantes bancos globales. Sin embargo, tanto éxito en un mercado
competitivo despertó las sospechas en algunos de sus grandes socios como el Bank of America.
En 1986, una operación encubierta de la Aduana de Estados Unidos reveló que el BCCI ofrecía
sus servicios a traficantes de drogas y que era usado para lavado de dinero. El banco reconoció
ser culpable de esos delitos y se le cancelo la licencia para operar en el estado de Florida.
Posteriormente, en 1991, a pedido del Bank of England, los auditores externos encontraron
fraude masivo y manipulación en los estados financieros del BCCI. También se descubrió que el
banco financiaba activamente a grupos terroristas. Al poco tiempo, las autoridades de varios
países intervinieron y cerraron todas las oficinas del banco, afectando a un millón de clientes.
Los autores Beaty y Gwynne han llamado a este escándalo financiero “el robo de los 20 billones”
(Gwynne, 2004) debido a las enormes pérdidas que genero su cierre y desaparición. Abedi
falleció en Pakistán de un ataque al corazón en 1995.
Caso: El grupo Mirror (1991)
A fines de 1991, durante un viaje de paseo en las Islas Canarias, falleció misteriosamente el
magnate editor Ian Robert Maxwell28. Maxwell había surgido de la pobreza hasta convertirse en
26 SFO
27 Banco de Crédito y Comercio Internacional
28 Maxwell había nacido en Checoslovaquia y su nombre original era Ján Ludvík Hyman Binyamin Hoch
57
dueño del grupo editor del diario Daily Mirror en Inglaterra. Además, había adquirido la
nacionalidad inglesa, gracias a su ayuda al ejército inglés durante la ocupación nazi de
Checoslovaquia y era miembro del parlamento inglés, representando a los conservadores. Poco
después de su fallecimiento, se descubrió que Maxwell había usado los fondos de las pensiones
de sus trabajadores para capitalizar el grupo Mirror, debido a su grave riesgo de bancarrota
(Hoch, 2013). El gobierno inglés tuvo que intervenir y con la ayuda de los bancos de inversión
Shearson-Lehman y Goldman-Sachs recapitalizar parcialmente la empresa. Los trabajadores
vieron reducidas sus pensiones al 50% de lo esperado.
A fines de la década del 80 se produjeron varios escándalos corporativos en el Reino
Unido. Hubo desde envío ilegal de dinero a cuentas de los directivos, uso fraudulento de
los fondos de pensión, hasta financiamiento del terrorismo, y tráfico de armas.
Estos escándalos corporativos y otros menos notorios motivaron a que la Bolsa de Valores de
Londres creara un comité liderado por Sir Adrian Cadbury para evaluar los problemas que se
presentaban por defectos en el gobierno corporativo de las empresas.
El reporte Cadbury (1992)
En diciembre de 1992 se emitió el Reporte Cadbury (Governance, 1992) que en realidad se
titulaba Reporte del Comité en los Aspectos Financieros del Gobierno Corporativo. El reporte fue
sujeto a una serie de cambios y negociaciones mientras se elaboraba, pero sobre todo en el tema
de la representación de los accionistas en el directorio.
En una entrevista concedida a la Universidad de Cambridge, Adrian Cadbury, presidente del
Comité, explicó que la razón fundamental por la que se estableció en Comité fue para analizar el
problema de las “fallas corporativas” derivadas de malos manejos contables (Cambrige, 2015).
58
Para tener una visión más independiente de la situación, las autoridades eligieron a Cadbury
porque él no era contador de profesión, pero tenía amplio conocimiento del tema ya que era
presidente del directorio de la industria de alimentos Cadbury-Schweppes.
Las recomendaciones más importantes del reporte fueron:
1. Una clara separación e independencia entre el presidente de directorio y el CEO.
2. Que la mayoría del directorio esté compuesta por directores independientes.
3. Que el comité de compensación de los directores esté compuesto en su mayoría por
directores independientes.
4. Establecer el comité de auditoría en el directorio, con al menos tres directores
independientes.
Cadbury sugirió además que los directores se autoevaluaran, pues una autocrítica podría ayudar
mucho a mejorar su rendimiento.
A este reporte se le otorgó el nivel de regulación estatutaria a ser observado por todas las
empresas registradas en la bolsa de valores de Londres. Las empresas fueron sujetas a seguir
las recomendaciones y a explicar en detalle si había una discrepancia en su implementación.
Para Cadbury, la autorregulación y la transparencia contable y financiera deben ser más
efectivas que la regulación impuesta por un organismo supervisor, porque un esfuerzo
interno hecho con honestidad es superior a la fuerza de control externa, sujeta a los juegos
contables.
El reporte Greenbury (1995)
La ola de privatizaciones impulsada por el gobierno de Margaret Thatcher en Reino Unido en los
años 80 y 90 dio lugar a que los nuevos gerentes de las empresas privatizadas cometieran
excesos en compensación y beneficios, dando lugar a una nueva investigación y reporte.
59
Caso: British Gas (1995)
En 1995, la recientemente privatizada British Gas fue objeto de presión por parte de los
accionistas individuales que cuestionaban al CEO, Cedric Brown, debido a que se había
subido el sueldo de 270,000 a 475,000 libras esterlinas. British Gas era vista aún como
un monopolio y los accionistas no entendían por qué el líder de un monopolio tenía que
ganar un salario tan alto. Además, por ese entonces se había anunciado el despido de
2,000 trabajadores de la empresa. Brown fue criticado por la prensa y objeto de escarnio
público (Solomon, 2010).
Debido a ese y otros casos, la asociación de industriales CBI29, uno de los lobbies más
importantes del Reino Unido, comisionó un reporte que estuvo dirigido por Sir Richard Greenbury.
La recomendación principal del reporte fue la de crear un comité encargado de revisar y aprobar
las remuneraciones de los directores ejecutivos y comunicar estos montos y beneficios a los
accionistas. Este comité debe estar conformado únicamente por directores independientes.
Además, la compensación debe ser diseñada pensando en el rendimiento de la empresa a largo
plazo. El reporte recomienda tener mucho tacto en el manejo de los montos, nunca excediéndose
ni permitiendo beneficios ilimitados ni saliéndose de lo que debe ser razonable en el sector (David
Martin, 2006).
El reporte Hampel (1998)
El reporte Greenbury recomendaba una revisión del Gobierno corporativo en Reino Unido cada
3 años. En 1998, el comité que realizó la primera revisión estuvo a cargo de Sir Ronald Hampel,
presidente de Royal Chemical Industries. El reporte Hampel recomendó consolidar los dos
previos reportes, el Cadbury y el Greenbury, en un solo código combinado. Además, hizo notar
que el código de gobierno corporativo no debía ser visto simplemente como una serie de tareas
a cumplir mecánicamente, sino que debían entenderse sus principios, entender muy bien el
29 Confederation of British Industries

60
espíritu del código y aplicar esos principios en la práctica (Solomon, 2010). Hampel reconocía de
esta manera, que es imposible reglamentar todos los aspectos de una empresa, porque el
ingenio humano combinado con la falta de ética siempre puede encontrar vacíos en cualquier
regulación, especialmente tratándose de algo tan complejo como el gobierno cooperativo.
El reporte Hampel resultó en lo que se llamó el “Código Combinado”, que consolidaba los
reportes Cadbury, Greenbury y las conclusiones de Hampel y fue publicado por el London
Stock Exchange.
Después de 1998 se ha revisado el Código Combinado periódicamente, con las siguientes
adiciones:
1999. Reporte Turnbull: provee recomendaciones a los directores en procedimientos de
control interno para la gestión de riesgo.
2003. El Financial Reporting Council publicó el Código Combinado con las adiciones de
Turnbull y otras más relacionadas con las fallas aprendidas en Enron como el rol de los
directores independientes, diversidad en los directorios y el rol del comité de auditoría.
2009. Se publica el código de gobierno corporativo del Reino Unido. Esta versión ha sido
y será revisada continuamente.
2014. Se actualiza el código de gobierno corporativo.
2018. El consejo de reportes financieros (CRC) publicó el nuevo código de gobierno
corporativo, que dispone 18 principios obligatorios y 41 provisiones (Council, The UK
Corporate Governance Code, 2018).
2019. Entra en vigor el código de gobierno corporativo para grandes empresas no listadas
en la bolsa.
61
El código de gobierno corporativo del Reino Unido
En 2014 se emitió el código de gobierno corporativo del Reino Unido. Como se explica
anteriormente, la intención del código, en el espíritu británico, no es someter a las empresas a
listas de tareas para cumplir y chequear, sino fomentar la buena práctica de la reflexión y
entendimiento que ayude a la transparencia con los principios de la ética profesional. Como parte
de esa filosofía se aclara que en el Reino Unido se aplica el principio de “cumplir o explicar”, es
decir que no cumplir con el código puede tener una explicación y si esta es razonable, puede ser
aceptada por los reguladores. Esta concepción es muy distinta a la de Estados Unidos, donde
se exige el cumplimiento estricto de las normas.
El código comienza definiendo el concepto de gobierno corporativo, tomado del reporte Cadbury.
A continuación, resalta el trabajo continuo de mejora a lo largo de más de veinte años hasta la
versión de 2014. Seguidamente propone el problema del “pensamiento grupal” cuando los
directorios son muy homogéneos, sugiriéndose diversidad en los directorios. Además, resalta
que es muy importante que los estándares de ética profesional sean difundidos desde el
directorio. Por último, pide que las empresas sean transparentes en la divulgación de información
que permita entender su viabilidad a largo plazo.
Debido a la flexibilidad que el Código confiere a las empresas a seguir sus pautas o explicar por
qué no se siguen, se espera que sea el mercado y no la ley la que decida qué tan bien es su
aplicación. Sin embargo, una investigación de la consultora Grant Thornton revela que en 2016
el 38% de las empresas listadas en la bolsa del Reino Unido no cumplen completamente con el
Código (Thornton, 2016). Si bien la consultora menciona que hay una mejora en los resultados,
hace notar que muchas empresas tratan de cumplir con lo mínimo necesario. El riesgo, dice el
reporte, es que esa falta de cumplimiento lleve a una intervención no deseada del gobierno.
62
El código de gobierno corporativo del Reino Unido tiene la filosofía llamada “cumplir o
explicar”, que permite a las empresas no seguir al pie de la letra las guías, sin hay una
razón para hacerlo.
Reforma del gobierno corporativo
El 1 de enero de 2019 entró en vigor un nuevo código revisado de gobierno corporativo en el
Reino Unido. Este documento es el resultado de más de dos años de revisión y consultas
dirigidas por el gobierno de Theresa May. Para ello, un Comité de la cámara de los comunes
realizó desde 2016 una profunda investigación para entender la situación, respondiendo a
preguntas sobre el comportamiento de los directores, la compensación de los ejecutivos y la
composición de los directorios (www.parliament.uk, 2016). En cuanto a los directorios, buscaba
entender si los intereses de los accionistas están debidamente representados en las empresas,
si las obligaciones de los directores están correctamente descritas en las leyes, si hay suficiente
transparencia en las empresas y qué más debería hacer el gobierno para mejorar el gobierno
corporativo, entre otros temas. La preocupación en el pago a los directivos estuvo enfocada en
entender mejor si es necesario que éste dependa de los resultados a largo plazo, además de
analizar que ha motivado el alto crecimiento de la compensación ejecutiva en los últimos años y
si es justificable. Por último, el comité buscaba entender si es mejor tener directorios con
diversidad de género y si es necesario tener representación de los trabajadores, como en
Alemania y otros países de Europa Continental.
Reino Unido
En el Reino Unido, debido a los excesos de las empresas privadas, el gobierno emitió en 2018
una nueva regulación de gobierno corporativo, que es aplicable desde 2019 para empresas con
más de 2,000 trabajadores o ventas de más de 200 millones de libras esterlinas 30. Estas
30 http://www.legislation.gov.uk/ukdsi/2018/9780111170298/contents
63
empresas, que anteriormente no estaban sujetas a ese tipo de regulación, han encontrado
dificultades para adoptarlas. Según el estudio legal Baker McKenzie, el 72% de empresas no
están preparadas para afrontar esas nuevas guías31.
Sistemas legales y regulatorios de gobierno corporativo
Se pueden distinguir tres tipos de leyes que determinan la estructura legal del gobierno
corporativo (Choo, 2005):
1.Leyes corporativas
2. Leyes de regulación del mercado financiero
3. Leyes de trabajo
Las leyes corporativas ayudan a definir las relaciones entre los accionistas, el directorio, la
gerencia y los trabajadores. Estas leyes varían dependiendo si el país tiene el sistema legal de
derecho romano o anglosajón. El último ofrece mayores ventajas para los accionistas y es más
flexible a cambios en el entorno (Abínzano, 2012).
Las leyes de regulación del mercado financiero establecen el marco para que las empresas
puedan afrontar sus necesidades de financiamiento ya sea en forma de capital, deuda u otros
mecanismos. En estos casos, se promueve la transparencia de la información, para que los
financistas puedan tomar decisiones con conocimiento.
Finalmente, las leyes del trabajo determinan las reglas por las cuales se puede contratar y
despedir al personal y qué poder tiene el personal en las decisiones de la empresa. Hay modelos
en los extremos, desde los Estados Unidos donde el personal no tiene mucho poder en las
decisiones, hasta el poder sindical de tener representación en el directorio como en Alemania.
31 https://www.bakermckenzie.com/en/newsroom/2019/03/corporate-governance-survey
64
La supervisión del gobierno corporativo depende del país, pero muy comúnmente el regulador
de empresas que listan en bolsa es el responsable de supervisar el gobierno corporativo de las
empresas listadas.
En Estados Unidos, las empresas listadas son reguladas por el Securities and Exchange
Commission (SEC), están sujetas a la ley Sarbanes-Oxley (SOX) y cumplen con las guías de la
bolsa de valores a la que pertenezcan. En el Reino Unido responden al Financial Reporting
Council (FRC) y siguen las reglas del Financial Conduct Authority (FCA).
A nivel global, la OCDE, que tiene como uno de sus objetivos promover el buen gobierno
corporativo, publica periódicamente los “Principios de Gobierno Corporativo”, que es revisada y
actualizada cada cierto tiempo y provee guías para los reguladores y las empresas que ayudan
a mejorar la estructura legal, regulatoria e institucional, enfocándose en empresas que cotizan
en bolsa (Tophoff, 2014).
En su versión del 2015, el documento señala que el Gobierno corporativo no es el fin en sí, sino
el medio para crear confianza en los mercados y ética en los negocios, que son esenciales para
conseguir capital de largo plazo (OECD, G20/OECD Principles of Corporate Governance, 2015).
Los principios de la OCDE han sido adoptados por el Consejo de Estabilidad Financiera del grupo
de los 20, por el Banco Mundial y por el Comité de Basilea para regulación financiera.
Mientras que Estados Unidos tiene un gobierno corporativo orientado especialmente a los
accionistas y basado en leyes con requerimientos estrictos de cumplimiento, otros países
tienen una visión más flexible respecto al cumplimiento, o se enfocan en otras partes
interesadas como los trabajadores y la sociedad.
65
Las partes interesadas
Habiendo presentado algunos de los casos más importantes que dieron origen al actual sistema
de gobierno corporativo, pasaremos a revisar las llamadas “partes interesadas” en las empresas.
Como vimos previamente en la teoría de los stakeholders, hay partes interesadas internas y
externas en las organizaciones. Un cuidadoso análisis de estas es fundamental para cualquier
empresa, descuidar una de ellas puede traer consecuencias negativas a la organización. Las
responsabilidades, roles y composición de cada parte interesada han ido ajustándose conforme
evolucionan la composición de estas, sus regulaciones y las prácticas comerciales.
Las partes interesadas internas
Las partes interesadas internas en las que el código de gobierno se enfoca, son el directorio y
los accionistas.
El directorio
El directorio es un grupo de personas elegidas por los accionistas para dirigir la empresa y son
responsables colectivamente de su éxito a largo plazo. Los directores están sujetos a una
reelección periódica. La orientación del directorio es estratégica y de largo plazo, por lo que sus
resultados se tienen que medir en el tiempo.
El presidente de directorio es responsable por liderar el directorio y por asegurar su efectividad
en todos los aspectos. Los directores no ejecutivos deben proveer crítica constructiva y ayudar
a desarrollar propuestas en la estrategia de la empresa.
a. Rol del directorio
El rol del Directorio, según definición del reporte King de Sudáfrica (Africa, 2009) es:
• Definir el propósito de la empresa.
66
• Definir los valores con los que la empresa operará día a día.
• Identificar las partes interesadas relevantes a la empresa.
• Desarrollar una estrategia combinando esos factores.
• Asegurar la implementación de esa estrategia.
b. Las funciones del directorio son:
a. Seleccionar, evaluar y definir la compensación del ejecutivo principal de la empresa
(llamado CEO, Director General, Consejero Delegado, etc.) y supervisar su plan de
sucesión.
b. Proveer consejo y supervisión a la selección, evaluación, desarrollo y compensación
de la gerencia.
c. Revisar, aprobar y supervisar las estrategias del negocio, la situación financiera y las
actividades corporativas relevantes.
d. Identificar y analizar los grandes riesgos que tiene la empresa y revisar las opciones
para su mitigación.
e. Controlar que existan procesos que aseguren la integridad de la empresa,
considerando especialmente los reportes financieros, en el cumplimiento de la ley y
la ética, las relaciones con los clientes, proveedores y otras partes interesadas en la
empresa (Inc., 2016) .
c. Composición del directorio
Se requiere que el directorio y los comités tengan un adecuado balance de habilidades,
experiencia, independencia y conocimiento de la empresa que les permita desempeñar sus
actividades y responsabilidades efectivamente. Debe haber una clara división de
responsabilidades entre presidir el directorio y las responsabilidades ejecutivas de dirigir el
negocio de la empresa. Ninguna persona debe tener poder ilimitado de decisión (Council, The
67
UK Corporate Governance Code, 2014). Los principios de sentido común emitidos en 2016 por
las mayores empresas que cotizan en el NYSE señalan que la mayoría del directorio debe ser
integrado por personas independientes (Governanceprinciples.org, 2016).
d. Tipos de directorios
El sistema de una banda
En el sistema de una banda o unitario, el directorio delega el manejo del día a día al CEO, al
equipo ejecutivo, o al comité ejecutivo. Esta estructura es la más común en los países
anglosajones.
El Sistema de dos bandas
En el sistema de dos bandas, el directorio divide los roles de supervisión y ejecución en dos
equipos diferentes. El equipo de supervisión es más experimentado y administra al equipo
ejecutivo, que se encarga de las actividades diarias. En el grupo de supervisión hay
representantes de los accionistas, los empleados y el equipo ejecutivo. Esta estructura es más
común en China, Alemania, Francia y otros países de Europa.
e. Deberes del directorio
El deber fiduciario de lealtad, cuidado y trato justo
Debido al poder que los directores ejercen, están sujetos a una serie de deberes fiduciarios, es
decir a la defensa del patrimonio de la empresa, a asegurar el cumplimiento de las obligaciones,
a rendir cuentas y a asegurarse de que se defienden los intereses de los accionistas. Los
directores deben tener lealtad a la empresa y sus principios y valores, cuidado en que las
decisiones que se tomen no sean en beneficio propio sino de la empresa y sus accionistas y trato
justo, que no desequilibre esas decisiones en beneficio propio.
68
Dedicación
Todos los directores deben ser capaces de dedicar suficiente tiempo a la empresa para cumplir
sus responsabilidades efectivamente.
Desarrollo personal
Todos los directores deben recibir un entrenamiento al ser nombrados al directorio y
continuamente actualizar sus habilidades y conocimientos.
Comunicación
El directorio debe ocuparse de mantener informados a los accionistas los asuntos de gobierno
corporativo que sean relevantes. Se puede designar a los portavoces necesarios para ese
trabajo. La comunicación con los medios requiere aprobación del directorio de acuerdo con las
circunstancias.
Información y soporte
El directorio debe recibir información de calidad y a tiempo para cumplir sus actividades.
Reportes financieros y del negocio
El directorio debe presentar una evaluación razonable, balanceada y entendible de la posición
de la empresa y sus perspectivas.
Gestión de riesgo y control interno
El directorio es responsable de determinar la naturaleza y el alcance de los riesgos principales
que está dispuesto a aceptar para conseguir los objetivos estratégicos. El directorio debe
mantener una gestión de riesgo y sistemas de control interno sólidos.
69
Selección, evaluación y compensación de los directores
Selección de directores
Debe haber un proceso formal, riguroso y transparente para nombrar nuevos directores. Se
recomienda una combinación de directores internos y externos. Los directores internos proveen
experiencia de la industria; los externos traen otra perspectiva que puede ayudar a identificar
nuevas oportunidades y riesgos. Los directores deben ser decisivos, independientes en sus
opiniones, constructivos y buenos colaboradores. Además, deben tener buenos conocimientos
de negocios, estar orientados a defender los derechos de los accionistas y tener pasión por la
empresa (Governanceprinciples.org, 2016).
Evaluación del directorio
El directorio debe tener una evaluación anual de su propio desempeño, de los comités y de cada
miembro del directorio. Todos los directores deben ser reelectos en intervalos regulares, siempre
y cuando hayan tenido un desempeño satisfactorio.
Compensación del directorio
La compensación debe ser diseñada para promover el éxito a largo plazo de la empresa. Los
objetivos por rendimiento deben ser transparentes, retadores y rigurosamente aplicados. Debe
haber un procedimiento formal y transparente para desarrollar una política de compensación y
para fijar los paquetes de compensación para los directores. Ningún director debe estar
involucrado en decidir su propia remuneración.
Juicios recientes a las empresas Facebook y Citrix por pagos excesivos a los directores no
ejecutivos han planteado límites y mayor escrutinio en el diseño e implementación de los
beneficios de estos (Lee, 2016). En el Reino Unido, un comité del Parlamento está también
avaluando los excesos cometidos por algunas empresas en los beneficios de los directores.
70
Directores independientes
Actualmente existe consenso entre los reguladores en que es necesario tener directores
independientes en todas las empresas. Hay muchas razones para ello, como por ejemplo tener
una perspectiva distinta y fresca, sin prejuicios, proveer ideas y experiencia de otras industrias,
o proveer continuidad a largo plazo, sin estar sujeto a los vaivenes de los gestores internos.
f. Comités de directorio.
El comité de auditoría.
El comité de auditoría debe estar compuesto de 3 directores independientes, de los cuales al
menos uno debe tener experiencia en gestión financiera. Es responsable por supervisar los
controles internos, aprobar los estados financieros y otros documentos importantes. También
sirve para seleccionar, compensar, supervisar y establecer la comunicación con los auditores
externos y revisar asuntos importantes de cumplimiento. El comité debe asegurar que los
auditores externos estén de acuerdo con los estimados los supuestos que los contadores
internos y la gerencia hayan propuesto. Para ello, debe haber un diálogo técnico entre ambas
partes que facilite el intercambio de ideas y permita resolver dudas o inquietudes de los auditores
externos. En empresas que cuenten con auditoría interna, el comité debe supervisar y validar las
actividades correspondientes. En situaciones especiales, el comité de auditoría puede hacer
algunas investigaciones específicas.
El comité de nominaciones
El comité de nominaciones es el encargado de identificar y nominar a los posibles candidatos a
directores cuando esto sea necesario y además está encargado de hacer recomendaciones para
la correcta composición del directorio buscando que tenga un balance entre directores
independientes y ejecutivos, así como un adecuado nivel de experiencia y conocimiento.
Otra función de este comité es preparar y conseguir consenso en la descripción del puesto de
presidente de directorio.
71
El comité de compensación.
El comité de compensación decide las remuneraciones de los directores ejecutivos y de algunos
ejecutivos de mayor rango. Debe establecer una política de compensación que esté escrita y
cuyo objetivo sea atraer y retener al talento que la empresa requiera.
Se recomienda que el comité de compensación esté conformado solamente por directores no
ejecutivos para evitar conflictos de interés. La compensación debe ser estructurada de manera
que se motive a lograr los objetivos a largo plazo. Por lo tanto, se debe ofrecer un paquete salarial
y de beneficios que atraiga a los candidatos ideales para el puesto, con alicientes a que se logre
un alto rendimiento a mediano y largo plazo.
El plan de sucesión
Debido a que uno de los objetivos de toda empresa es su éxito a largo plazo, tener un plan de
sucesión es fundamental para dar confianza a los accionistas y al mercado de que, si algún
director o ejecutivo le sucede algo imprevisto, la empresa está preparada para continuar con sus
operaciones integrando a los reemplazos que sean necesarios. En empresas de gran
envergadura, está prohibido que funcionarios de alto nivel viajen juntos en el mismo avión, pues
si hay un accidente, la pérdida puede ser doble o múltiple.
Reuniones de directorio.
Los elementos mínimos que los directorios deben tener incluyen la preparación de las reuniones,
mecánica de las reuniones, agenda y participantes, notas de la reunión, calendario del directorio,
relaciones con los accionistas y comunicaciones con los mismos.
El directorio en pleno debe discutir ya acordar la agenda de trabajo. La agenda debe incluir como
mínimo:
1. Una sólida revisión del futuro de la empresa.
2. El rendimiento del CEO y el plan de sucesión.
3. La creación de valor agregado a largo plazo.
72
4. Estrategia de uso de capital, posibles adquisiciones y fusiones.
5. Revisión del plan integral de gestión de riesgos.
6. Los estándares de rendimiento y el refuerzo de la cultura y los valores de la empresa.
7. Propuestas y preocupaciones de los accionistas.
8. La política de compensación de los ejecutivos.
Los accionistas
En la evolución de los gobiernos corporativos de las empresas, los accionistas han ido teniendo
una relación más compleja con la empresa. Inicialmente, los accionistas podían ser muy pocos
y tenían contacto directo con las operaciones de la empresa. En una corporación moderna que
lista en la bolsa de valores, los accionistas son muchos y pueden ser instituciones o individuos.
En la bolsa de valores de Nueva York, el 70% de las transacciones son efectuadas por
inversionistas institucionales. Al poder comprar grandes bloques de acciones, las instituciones
tienen mucho más poder de influencia que los individuos. Hay incluso casos en los que
instituciones como fondos de inversión o de pensión adquieren una posición significativa que les
permite llegar a tener participación en el directorio. Los derechos de los accionistas incluyen el
de voto cuando hay decisiones importantes como la elección de directores, recibir información
financiera y estratégica con cierta periodicidad y de recibir dividendos cuando así se decida. Uno
de los más brillantes ejemplos de comunicación con los accionistas es la reunión anual del
conglomerado Berkshire Hathaway, en la que su presidente, Warren Buffet y su vicepresidente,
Charlie Munger, presentan su estrategia y dan oportunidades a los accionistas individuales a
hacerles preguntas, en un formato televisivo que es transmitido en vivo a todo el mundo.
Otras partes interesadas internas son la gerencia, los empleados, los trabajadores y los
sindicatos.
Las partes interesadas externas
Las partes interesadas externas más importantes son los clientes, que pueden ser directos como
en el sector retail, combinación de directos e indirectos como en el sector manufacturero o
73
indirectos como en la fabricación de productos de consumo. Sin embargo, muchos otros
interesados deben ser tomados en cuenta, como los acreedores, los proveedores, la comunidad,
los reguladores, el auditor externo, los analistas (de acciones, bonos, etc.), los medios de
comunicación y las redes sociales entre otros.
Los proveedores
Los proveedores son socios estratégicos muy importantes para las empresas. Debido a que
muchas actividades se subcontratan, pueden dar origen a riesgos no previstos como los que se
revisan más adelante en la sección de riesgo operacional. Por ejemplo, algunos proveedores han
causado serio daño de reputación a empresas que no estaban al tanto de sus malas prácticas
laborales como se señala en el capítulo de responsabilidad social corporativa.
Los acreedores
Algunos de los principales acreedores de las empresas son las instituciones financieras que
proveen dinero en forma de deuda y los proveedores que facilitan las ventas con plazos de pago
que van por lo general de 30 hasta 120 días. Un mal manejo de los acreedores puede
desestabilizar a la empresa y hasta forzarla a su liquidación. En muchos casos de liquidación,
los acreedores acaban dirigiendo la empresa para cobrarse la deuda, hasta su recuperación o
liquidación. Otros acreedores para tomar en cuenta son los proveedores.
La comunidad
Al ser parte de una o varias comunidades, las empresas tienen que tener en cuenta los intereses
y prioridades de estas, operando ética y responsablemente, cuidando el medio ambiente y no
afectando negativamente a los vecinos. Muchas veces, las comunidades esperan que las
empresas contribuyan a sus causas de bien social, para lo que algunas empresas, sobre todo
las de extracción de minerales, tienen asignados funcionarios que las representan con la
comunidad.
74
La crisis de redes sociales y el riesgo a la reputación
El crecimiento de las redes sociales gracias a los teléfonos móviles y al acceso global y masivo
a las redes ha creado riesgos que requieren de nuevas formas de respuesta, planteando nuevos
problemas y exigiendo una rápida y eficaz capacidad de respuesta.
La crisis de redes sociales puede darse en una empresa o sector por malos comentarios
aparecidos en redes sociales a raíz de un mal servicio o de un producto defectuoso.
• A principios de 2015, una pizzería tuvo que cerrar temporalmente sus operaciones en
Lima debido a un incidente publicado en redes sociales. Un cliente encontró un
insecto en una pizza que había ordenado y reclamó al restaurante. La respuesta de
los representantes del restaurante no fue del todo satisfactoria para el cliente, por lo
que colocó fotos y quejas en las redes sociales. Los medios de comunicación tomaron
nota y lo publicaron, difundiendo rápidamente el hecho. Los usuarios protestaron en
las redes, enviando mensajes virales y haciendo crecer exponencialmente su difusión.
La noticia llegó a la sede de la empresa en Estados Unidos. Mientras tanto, los dueños
locales de la franquicia no supieron responder adecuadamente al denunciante. Uno
de sus desafortunados comentarios fue que ellos “son pizzeros, no comunicadores
sociales”. El manejo deficiente de esta crisis terminó en la suspensión de la franquicia.
Más de un año después, la franquicia reabrió sus puertas con una campaña para
convencer a los clientes de la limpieza de sus instalaciones. En su nuevo formato, la
pizzería tiene visible la cocina para que sus clientes puedan ver cómo se preparan los
alimentos (Economica, 2016). Tras un problema de esta magnitud, la transparencia
en la información, el reconocimiento del error y el anuncio de medidas correctivas son
muy importantes.
• En julio de 2016, una estudiante fue acusada injustamente de robar en una joyería de
Carolina del Sur. Ese hecho fue denunciado en las redes sociales, creando una ola
de apoyo en contra de la tienda. Los dueños de la tienda reaccionaron inicialmente
75
bien, pidiendo disculpas públicas por el hecho, pero después cometieron el error de
no aceptar una falta de su parte y más bien, criticaron a las redes sociales, borrando
su página web y cerrando sus redes sociales32.
• En octubre de 2016, British Airways posteo inadvertidamente un anuncio de su
competidor Virgin Atlantic que incluso tenía un enlace a su sitio web.
Este es un ejemplo de transformación del entorno, en el que un nuevo elemento tecnológico toma
desprevenidos a algunos empresarios que no habían considerado el fuerte impacto de las partes
interesadas en sus decisiones.
Parte esencial del gobierno corporativo es entender los intereses y necesidades de las
partes interesadas respecto a la actividad de la organización. Hay que tener en cuenta las
partes interesadas internas y externas, haciendo un esfuerzo por entenderlas y
respondiendo de manera oportuna.
Los llamados “delitos de cuello blanco”33 han sido la razón principal del modelo actual de gobierno
corporativo. Cuando se combinan una desmedida ambición, la falta de valores y el ingenio
humano, cualquier legislación o regulación de gobierno corporativo puede fallar. La mayor
mitigación posible es contar con directores y ejecutivos con altos valores éticos, conocimiento
del sector, uso de la disciplina de gobierno, y tener abiertos canales de comunicación para que
las partes interesadas puedan expresar sus preocupaciones al respecto.
Gracias a la globalización, las buenas prácticas del gobierno corporativo se extienden cada vez
más, haciéndose más estrictas según se avanza. Para comprobarlo, la organización GECN
realizó un estudio detallado de las tendencias globales (GECN, 2018). El reporte muestra una
tendencia inexorable a la expansión de las mejores prácticas de gobierno corporativo en todo el
32 https://oursocialtimes.com/6-examples-of-social-media-crises-what-can-we-learn
33 Del inglés, White Collar Crimes.
76
mundo. Ese movimiento ha sido producto del interés de los inversionistas en salvaguardar su
capital y de la fluidez en que el capital atraviesa fronteras y nuevos mercados.
77
La gestión de riesgo
La gestión de riesgo, consciente o inconsciente, es parte esencial de la vida. Estamos sujetos a
riesgos desde que nacemos hasta que morimos y desde muy pequeños aprendemos a mitigarlos,
evitarlos, compartirlos, o aceptarlos. De la misma manera, las empresas se enfrentan en todo
momento a una gran variedad de riesgos. Tal vez debido a la experiencia personal que todos
tenemos en temas de riesgo, las empresas tomaron siempre su gestión como algo casi intuitivo.
La contabilidad se comenzó a desarrollar en la edad media; las finanzas a fines del siglo XIX, la
posición de Chief Financial Officer existe desde 1960; el marketing se practica desde mediados
del siglo XX, y para ello existe el Chief Marketing Officer, así como el Chief Operations Officer,
pero recién en 1993 una empresa nombró por primera vez un Chief Risk Officer, responsable por
la gestión integral del riesgo de una empresa. Esa primera empresa fue GE Capital y el primer
Chief Risk Officer fue James Lam34.
Así como las personas, existen empresas más o menos propensas al riesgo, pero lo importante
es aceptar conscientemente un nivel de riesgo, comunicar las decisiones a los accionistas y
tomar acción para mitigarlo y controlarlo, es decir, saber gestionarlo adecuadamente. La
estructura de gobierno corporativo debe facilitar ese proceso y para ello hay múltiples
herramientas y estándares disponibles.
El riesgo
La palabra “riesgo” tiene raíz árabe en la palabra rizq (‫( )رزق‬Bencheikh, 2004) que significa “lo
que depara la providencia”, o albur, un elemento desconocido que se presenta con posibilidades
buenas o malas. Tiene una asociación con las palabras raíz y risco, en el sentido de ser un
obstáculo para la navegación. Del árabe pasó al griego y de ahí al latín, con la palabra risicum
que significa aventurarse a un camino peligroso.
34 http://jameslam.com/about.asp
78
Ese es el sentido del que ha derivado de la palabra riesgo, que es vista actualmente no solo en
su connotación negativa de daño posible, sino también como algo potencialmente positivo si uno
analiza los posibles escenarios futuros, permitiendo identificar oportunidades. Ese concepto
positivo ha sido adaptado por los actuales estándares internacionales de gestión de riesgo.
¿Por qué se presenta la sensación de riesgo en los seres humanos? Investigadores de la
Universidad de Cambrige han logrado identificar una hormona que es emitida por la glándula
suprarrenal como la causante de la percepción del riesgo (Kandasamy et al, 2014). Esta hormona
se llama cortisol, y su flujo aumenta cuando nos vemos enfrentados a situaciones de
incertidumbre, novedad, o falta de control. Al aumentar, respondemos tratando de reducir la
exposición al riesgo. El estudio revela que, durante la crisis financiera de 2008, los traders de las
casas de bolsa estuvieron sujetos a un alto nivel de stress, subiendo su nivel de cortisol, lo que
les motivó a vender los activos financieros de manera precipitada, agravando la crisis aún más
por el pánico generado.
El riesgo es entendido corporativamente como la exposición a no lograr los objetivos de
la organización.
El riesgo inherente y el riesgo residual
Una manera de evaluar la gestión de riesgo es midiendo cuánto se logra reducir el posible daño
gracias al trabajo de control y mitigación. Dos conceptos que ayudan a entender esa medición
son el riesgo inherente y el riesgo residual. El riesgo inherente es el riesgo intrínseco de una
actividad o empresa, es decir el riesgo existente por la naturaleza de la actividad de la empresa,
que se puede mitigar mediante un trabajo de gestión de riesgo.
Por ejemplo, un riesgo inherente en las compañías de aviación es que los aviones tengan un
accidente aéreo. El accidente puede ser originado por múltiples causas como un problema en
las computadoras del avión, mal tiempo, choque con otro avión, errores de la torre de control,
etc. Muchos de esos riesgos (inherentes) se pueden mitigar con buenos procesos de seguridad
79
aeronáutica como excelente mantenimiento, experiencia y entrenamiento de los pilotos,
dispositivos GPS y otros. Esos controles permiten minimizar el riesgo para dejarlo en un nivel
que la empresa, los pasajeros, los reguladores y los gobiernos consideren aceptable.
Sin embargo, siempre quedará algo de riesgo, pese a todo el trabajo de mitigación que se pueda
hacer. Ese riesgo remanente es el llamado riesgo residual y es el que la empresa acepta
consciente o inconscientemente.
El riesgo residual entonces es el que no se puede planificar o evitar, el que permanece después
de haber implementado una gestión de riesgo. Un riesgo residual del ejemplo anterior sería que
en algún momento funcionen mal todos los sistemas del avión, incluso los de back-up o que,
pese a que el reporte del tiempo sea favorable al momento de despegar, se presente una
tormenta intempestiva en alguna parte de la ruta. Evitar totalmente el riesgo residual es casi
imposible, y de poderse hacer costaría tanto que haría inviable la empresa. Dado que la
probabilidad de que se presente es tan baja, se acepta como parte de la realidad.
En el sector financiero, los bancos mitigan el riesgo inherente de morosidad en los créditos
evaluando diligentemente a quién y cómo son otorgados, pero siempre les queda el riesgo
residual de que un deudor decida arbitrariamente no pagar un crédito tomado. Cuando se hace
un trabajo deficiente de gestión del riesgo inherente como sucedió en la crisis financiera global
de 2008, el riesgo residual aumenta y con ello la probabilidad de pérdidas.
Algunos definen el peligro como la condición que puede causar un problema, y el riesgo como la
combinación de la probabilidad por la consecuencia de no mitigar el peligro. Así, por ejemplo, el
piso resbaloso es el peligro y el riesgo es bajo porque normalmente la gente no se cae en el piso
resbaloso. En ese caso, peligro es la causa que ocasiona un evento (caerse en el piso) que tiene
una consecuencia (accidentarse). La consecuencia, caerse, puede tener un costo muy alto, pero
si la probabilidad es muy baja, al multiplicar costo por probabilidad, el impacto esperado no es
tan alto.
80
Otros hablan de riesgo e incertidumbre para diferenciar entre riesgos cuantitativos y cualitativos.
En los primeros, se puede calcular matemáticamente la probabilidad de ocurrencia, pero en los
segundos no, teniendo que recurrir a un estimado subjetivo de posibilidades.
Riesgo inherente es el que existe naturalmente por las actividades de la empresa. Riesgo
residual es que queda después de implementar los controles, que requieren una inversión
de tiempo, energía, o dinero.
Definición de gestión de riesgo
Según ISO 31000, dedicado a la gestión de riesgos, riesgo es el efecto de la incertidumbre en la
habilidad de una organización de lograr sus objetivos. La gestión de riesgo es el conjunto de
actividades que la organización realiza para entender y reducir los efectos de esa incertidumbre.
Y una gestión efectiva de riesgo es ejecutar eficientemente estas actividades, mejorando la
posibilidad de la organización de cumplir sus objetivos, y hacerlo de una manera que pueda ser
replicable.
Cuando se define la gestión de riesgo, normalmente se dice que es el proceso de identificar,
analizar, mitigar y controlar los riesgos para el logro de los objetivos. Sin embargo, esa es una
descripción del proceso de gestión de riesgo, no una definición de su esencia.
Una definición menos procesal y más orientada a su esencia es:
“La gestión de riesgo es la ciencia y el arte de identificar, medir, y minimizar consciente y
diligentemente los riesgos de la organización, priorizando y controlando inteligentemente
los riesgos inherentes hasta dejarlos en un nivel de riesgos residuales que sean
aceptables a la organización”.
Ciencia o arte
81
La gestión de riesgo tiene mucho de ciencia y tradicionalmente se asocia a la gente que trabaja
en gestión de riesgo con un perfil muy cuantitativo. Se sabe que exige conocimiento del cálculo
de probabilidades, cálculo de impacto económico, estadísticas y muchas otras herramientas
matemáticas y financieras. Pero la gestión de riesgo también es un arte, porque elementos como
la comunicación de los riesgos a las partes interesadas requieren habilidades de imaginación,
estética y hasta oratoria. Muchas veces se prioriza la parte científica en la gestión de riesgos,
pero sin la parte artística el mensaje pierde mucha fuerza y se puede volver ininteligible para
muchas personas.
Todo el trabajo cuantitativo de riesgo puede perder su impacto sin el arte de la comunicación y
persuasión. La gestión inteligente requiere que los gestores de riesgo presten mucha atención a
los riesgos y puedan desarrollar mapas de influencia entre los factores desencadenantes de
riesgo, medidas de mitigación apropiadas para el nivel de riesgo, comunicación de los riesgos y
un control preciso de los mismos. Ese es un trabajo que no puede ser rutinario o burocrático,
porque exige un gran esfuerzo mental y comunicacional. Exige de los gerentes y analistas de
riesgo un cierto nivel (saludable) de paranoia, de pensar qué puede salir mal, trazar escenarios
y predecir qué evento inesperado puede alterar el resultado esperado.
Para una adecuada gestión de riesgo se requiere de la ciencia y el arte, uno sin el otro es
poco efectivo.
Riesgos cuantitativos y cualitativos
En la gestión del riesgo debemos incluir en el análisis todo tipo de riesgos relevantes, sin importar
si sus probabilidades de ocurrencia son medibles o no. Para identificar los riesgos, ISO 31010
propone muchas técnicas, entre las cuales las más usadas son la tormenta de ideas, las
entrevistas a profundidad, las listas de riesgos, la técnica swift que se basa en preguntar “qué
pasaría si”, el análisis de escenarios, los árboles de error, los diagramas de riesgo, la observación
directa, el análisis de incidentes o las encuestas (ISO, 2009).
82
Los riesgos cuantitativos son los que tienen un costo económico estimable y en los que se pueda
calcular la probabilidad de ocurrencia. En los riesgos cualitativos, por el contrario, no se puede
calcular fácilmente el costo o la probabilidad. Hay otro tipo de riesgos que se pueden medir
parcialmente. Para priorizar riesgos, todos deben compararse, usando técnicas de estimación de
probabilidades e impacto, incluso con los menos fáciles de medir.
Entre los riesgos cualitativos, uno de los que tiene gran relevancia, pero que es difícil medir, es
el riesgo de la mala reputación, derivada de campañas negativas en redes sociales. Como hemos
visto anteriormente, hay casos de empresas que han tenido que cerrar sus puertas por haber
manejado mal la respuesta en redes sociales a inconvenientes o quejas de clientes.
Algunos riesgos se pueden cuantificar fácilmente, pero otros no. Ambos deben tomarse
en cuenta, encontrando formas de relacionar los no cuantitativos con mediciones
estimadas.
La voz de alerta
Los gerentes de riesgo con mucha experiencia saben que siempre que hay una pérdida derivada
por la deficiente gestión de riesgos, alguien en la organización supo anteriormente que el riesgo
se podía producir, pero su voz no llegó a hacerse notar. En muchos casos, la persona que sabía
del riesgo no tuvo un mecanismo interno de comunicación que le permitiera alzar la voz de alerta.
En muchos casos, el mensaje se perdió en el camino o fue negado por los niveles superiores.
La gestión de riesgo debe facilitar mecanismos de comunicación que fomenten la
visibilidad y transparencia.
ERM (Enterprise Risk Management)
Surgido antes del concepto de GRC, Enterprise Risk Management busca resolver la necesidad
de las empresas de organizar y responder a todos los riesgos posibles de una manera integral,
83
sin importar de qué área funcional o factor externo provienen. Por ejemplo, en un grupo
asegurador, el enfoque tradicional estaba en el riesgo financiero, pero la aplicación de ERM
ayudó a incluir entre los riesgos emergentes los avances en la ingeniería genética, un riesgo no
financiero que puede alterar la necesidad de seguros de los clientes ya sea por los avances en
su curación o por la mayor información genética que motive una selección adversa35.
Los estándares internacionales de riesgo más conocidos son COSO e ISO 31000. El comité
COSO, como se explica anteriormente, es una iniciativa de las empresas privadas de Estados
Unidos en colaboración con las asociaciones de auditoría, y desarrolló en 2001 un modelo de
ERM que las empresas pueden usar para el buen manejo de riesgos. Bajo este modelo, el
objetivo es poder determinar, mitigar y comunicar los riesgos potenciales y reales de la empresa.
La metodología contempla aspectos estratégicos, operacionales, de reporte y de cumplimiento.
Uno de los problemas de la adaptación de ERM es que requiere criterio y decisión de los usuarios
de este, lo cual puede hacer el proceso menos objetivo.
El reporte COSO explica los siguientes beneficios del ERM (COSO, 2013):
• Alinear el apetito de riesgo y la estrategia
• Mejorar la respuesta al riesgo, decidiendo si se evita, reduce, comparte o acepta
• Reducir sorpresas y pérdidas operacionales
• Identificar y gestionar los múltiples riesgos que se pueden presentar en todos los aspectos
de la empresa
• Posicionar a la empresa para aprovechar oportunidades que de otra manera pueden ser
desconocidas
• Mejorar la asignación de capital
Para lograr esos beneficios, COSO proponen cinco componentes:
35 Selección adversa en seguros es la contratación de seguros por clientes con información privilegiada.
84
1. Ambiente de Control
• La organización demuestra un compromiso con los valores éticos.
• El directorio muestra independencia de la gerencia e influye en el desarrollo y
mejora de los controles internos.
• La gerencia ha establecido una estructura organizacional de riesgo con claros
roles y responsabilidades. Se define la filosofía y nivel aceptable de riesgo.
• La organización demuestra un compromiso para atraer y retener a personal
competente y alineado con los objetivos.
• Los individuos asumen sus responsabilidades de control interno.
2. Identificación de riesgos internos y externos.
• Los objetivos de la empresa están claramente identificados para poder alinearlos
a los riesgos, sean positivos o negativos.
• Se identifican los riesgos y se analizan para entender su gestión.
• Se considera el fraude entre los riesgos para lograr los objetivos.
• Se identifican y analizan los cambios que pudieran afectar el sistema de control
interno.
3. Actividades de control.
• Se seleccionan y analizan las actividades de control apropiadas.
• Las actividades de control se formalizan con políticas y procedimientos.
4. Información y comunicación.
• Se obtiene, genera y usa la información necesaria para el control.
• Se comunican internamente los objetivos y responsabilidades de control interno.
• Se comunica externamente con partes interesadas según sea necesario.
5. Observación para detectar anomalías (monitoreo).
• Se selecciona y desarrolla la evaluación necesaria de los controles internos.
• Se evalúa y comunica cualquier deficiencia de control interno a los niveles apropiados
en la organización.
85
Estos cinco componentes son a su vez analizados teniendo en cuenta tres categorías de
objetivos de la empresa: operacionales, de reporte y de cumplimiento.
Otro estándar de riesgo es el ISO 31000, publicado en 2009. ISO 31000 contiene los principios
y guías para la Gestión de Riesgo y define el riesgo no de la manera tradicional enfocada en las
posibles pérdidas, sino como el efecto de la incertidumbre en los objetivos de la empresa, lo cual
puede ser positivo o negativo. Además, propone las siguientes opciones para decidir qué hacer
con el riesgo (ISO, 2009):
1. Evitarlo totalmente, decidiendo no continuar con la actividad.
2. Aceptar o aumentar el riesgo para lograr éxito en una oportunidad.
3. Remover el origen del riesgo.
4. Cambiar la probabilidad de riesgo.
5. Cambiar las consecuencias del riesgo.
6. Compartir el riesgo.
7. Retener el riesgo en una decisión informada.
ISO 31010 es otro estándar y contiene una descripción detallada de técnicas de evaluación del
riesgo. Se complementa con la guía ISO 73, un diccionario de términos de riesgo.
Pese a todo trabajo en la implementación de sistemas de riesgo en muchas empresas, aún no
se ha podido evitar que ocurran crisis derivadas de su mala gestión, como sucedió en la crisis
financiera global de 2008.
Una razón fundamental por la que es imposible evitar algunos riesgos es que el factor humano
con elementos como la falta de ética profesional o el deseo incontrolado de ganancia económica,
pueden alterar cualquier intento de control interno. La herramienta más sofisticada de mitigación
de riesgo puede fallar cuando no hay un respeto total a los principios éticos y morales.
86
Los estándares internacionales de riesgo más difundidos son COSO e ISO 31000. Una
adecuada estrategia e implementación de la gestión de riesgo bajo el marco del gobierno
corporativo ayuda a lograr de los objetivos de las organizaciones, las empresas, y por
tanto de los países en los que se aplica.
87
Gestión de riesgo y gobierno corporativo
La OCDE considera la gestión de riesgo un elemento esencial de desarrollo económico. En 2014
publicó un reporte sobre la Gestión de Riesgo de sus países miembros (OECD, Risk
Management and Corporate Governance, 2014). El espíritu del reporte es compartir las mejores
prácticas para una mejora continua del gobierno corporativo.
Una conclusión es que las empresas frecuentemente subestiman el costo de los problemas que
ocasiona una mala gestión de riesgo. Por lo tanto, un adecuado gobierno corporativo debe
asegurar que los riesgos sean entendidos, manejados y comunicados apropiadamente.
El reporte muestra que los estándares de gestión de riesgo corporativo en las empresas están
enfocados actualmente en funciones de control y auditoría internos y sobre todo en riesgos
financieros. No existe una buena identificación de riesgos ex ante (leading indicators), los
indicadores que alertan de riesgos potenciales antes de que se presenten. El reporte recomienda
atender los riesgos no financieros como los estratégicos y operacionales.
Otra de las áreas que el reporte resalta es la poca atención que los directorios dan a los eventos
catastróficos de poca probabilidad. Se recomienda entender el impacto de estos eventos en los
inversionistas, las partes interesadas y el medio ambiente. Además, se sugiere una revisión del
análisis de la probabilidad de que se den esos eventos catastróficos.
Ir varios pasos atrás en la identificación de riesgos, ampliar la perspectiva de los riesgos
potenciales y revisar las probabilidades de eventos catastróficos son otras de las
recomendaciones del estudio de la OECD. Es un reto que debe ser tomado muy en serio por los
directorios para un mejor gobierno corporativo.
La OCDE recomienda atender con mayor detalle los riesgos estratégicos, operacionales,
y los de aparente poca probabilidad, ampliando la perspectiva de análisis de riesgo.
88
Las líneas de defensa
En alusión a los equipos de deportes competitivos, o a las organizaciones militares, hace un
tiempo surgió el concepto de las líneas de defensa. Se basa en que en las organizaciones
modernas hay una serie de roles que cumplen funciones de control interno, y necesitan ser
integradas en un modelo que las organice adecuadamente.
La idea de las líneas de defensa es entender que las organizaciones necesitan enfrentar los
riesgos con tres niveles de protección. El primer nivel es la gerencia operativa, que tiene a su
cargo la gestión de los riesgos de manera directa. El segundo nivel incluye a la función de
riesgos como responsable de la identificación, coordinación e implementación de los procesos
de riesgos. Esta actividad la hace juntamente con las áreas de cumplimiento y control interno.
El tercer nivel es la auditoría interna, caracterizada por un alto grado de profesionalismo,
independencia y objetividad, y apoyada por la auditoría externa y reguladores del sector.
Las líneas de defensa, compuestas por la gestión interna, la gestión de riesgos, y la
auditoría, aportan una integración de esfuerzos de gestión de riesgos, indispensable
para cualquier organización.
El gerente de riesgo
En muchas organizaciones, cuando no existe una persona a cargo de la gestión de riesgo, se
suele decir que todos deben ser gerentes de riesgo. Sin embargo, en palabras de gente
experimentada en el tema, “cuando todos son gerentes de riesgo, nadie lo es”. Por ello, muchas
de las grandes empresas, sobre todo financieras, tienen una persona con reporte directo al
directorio o al CEO, claramente identificada como responsable de la gestión de riesgo, una
posición llamada Chief Risk Officer.
Su responsabilidad es proveer de una estructura y proceso a la organización para prevenir,
identificar, priorizar, mitigar y hacer seguimiento a los riesgos de la organización. Además, es
responsable de comunicar los riesgos más importantes al directorio para evitar sorpresas.
89
El gerente de riesgo, además, debe considerar los siguientes aspectos en su gestión:
• Cálculo de la exposición a pérdidas económicas, para lo que existe una gran variedad de
herramientas cuantitativas
• Consenso en la alta dirección sobre el apetito de riesgo de la organización
• Identificar y comunicar la capacidad de los recursos de la organización para atender a
sus clientes
• Identificar y comunicar si la organización cuenta con el talento humano necesario
Para comunicar los riesgos, muchas empresas, sobre todo financieras, tienen además un comité
de gestión de riesgo, en el que se discuten los riesgos y se evalúan los planes de mitigación.
Una de las cualidades que el gerente de riesgo debe tener es la de tener es amplitud de visión.
Por ejemplo, considerar no son sólo riesgos tácticos sino también estratégicos o sistémicos,
involucrando a toda la gerencia. Si bien existen gerentes de riesgo desde la década de los 70,
se cree que James Lang creó la posición de CRO en 1993, en la empresa GE Capital, la división
financiera de General Electric. GE Capital tenía varias divisiones que abarcaban diversos
servicios financieros. Debido a que su estrategia era el crecimiento por medio de adquisiciones,
las empresas que se incorporaban al grupo debían estandarizar su gestión y sus procesos, para
lo que riesgo era una herramienta fundamental. Además, las divisiones intercambiaban mejores
prácticas y recomendaciones para evitar problemas. El CRO, a diferencia de los gerentes de
riesgo, reporta directamente al CEO o al directorio.
James Lang y su sucesor, Jim Colica continuamente recomendaban a los gerentes de riesgo
tener los ojos muy abiertos a nuevos riesgos no mapeados, no tradicionales, o poco comunes,
que tuvieran alto impacto. A esos riesgos posteriormente el autor Nassim Taleb los llamó “cisnes
negros”, en alusión a lo raro que es encontrar ese color en un cisne (Taleb, 2010).
La consultora de riesgo Sword ha hecho un análisis de los talentos actuales de los gerentes de
riesgo, evaluando empresas a nivel global y llegó a la conclusión que, si bien el 60% cumplen
90
con las habilidades tradicionales lógico-analíticas, el 40% son más bien líderes y
“evangelizadores” con mayores habilidades de comunicación (Norris, 2017). Estos últimos ven
riesgo como una función puente en su carrera hacia otra posición de mayor importancia como
CEO o CFO.
Warren Buffett, el célebre inversionista a cargo de la empresa Berkshire Hathaway dice que, en
su empresa, él además de CEO, es CRO36.
“Cuando se tiene una empresa tan grande como Berkshire Hathaway, con obligaciones
a tantas partes interesadas, yo tengo que ser el Chief Risk Officer, porque soy el que
tiene la mejor visión de toda la operación, y entiendo de riesgos, y así debí ser para toda
gran empresa de servicios financieros. Cada CEO debía considerar que su obligación
número uno es ser el CRO. Tiene muchas otras obligaciones, pero cada mañana se
levanta y se pregunta: ¿esta organización está preparada para recibir cualquier golpe? Y
debe estar preparado para recibir el golpe (en caso de que se presente)”.
Líderes o no, lo cierto es que la gestión de riesgo requiere que sus actores coordinen y fomenten
en la organización las prácticas recomendadas. No necesariamente deben ser expertos en los
temas, pero si tener un conocimiento general mínimo para poder interactuar con todas las partes
de la organización, tener mucho sentido común, y saber en qué momento imponer un nivel de
disciplina y rigor. En los casos en que detecten riesgos altos, es necesario que sepan cómo
comunicarlos a la alta dirección para que se tomen las medidas correctivas.
La línea de reporte recomendada del gerente de riesgo es al directorio, pues de otra manera
puede ser sujeto a manipulación por parte de los cuadros ejecutivos. Alternativamente se puede
establecer la línea al CEO o al Gerente General.
36Fox Business (2010). Warren Buffett on Risk Management. Disponible en:

youtube.com/watch?v=oxnX7VnEDcY
91
El liderazgo en gestión de riesgo es relativamente nuevo en las organizaciones, pero debe
combinar actividades de dirección, estrategia, comunicación, y control.
Clasificación de riesgos: genéricos y por tipo de actividad
Existen muchas clasificaciones por tipos de riesgos. Hay clasificaciones genéricas como la ya
mencionada de riesgos inherentes y residuales y clasificaciones por actividad como por ejemplo
los riesgos financieros.
Riesgos genéricos
Entre las clasificaciones genéricas de riesgos, las más usadas son:
Riesgos sistémicos
Un riesgo sistémico afecta a todos los participantes en un ámbito definido. Ejemplos de riesgos
sistémicos son el riesgo de recesión, el de la interrupción de la cadena de suministro a nivel
global después de un desastre natural, el riesgo geopolítico o el de terrorismo.
Un terremoto o un huracán pueden afectar a toda una región geográfica. Una caída significativa
en exportaciones puede generar un efecto sistémico en las empresas. En la industria financiera
global, el riesgo sistémico se trata de prevenir con la llamada política anticíclica, con acumulación
de activos a usar en caso de crisis, y diseñando políticas que impidan el contagio entre
instituciones.
El riesgo no sistémico sólo afecta a uno o a un pequeño número de participantes. Un ejemplo es
que un cliente muy importante cancele un contrato, pudiendo ocasionar la falta de liquidez de la
empresa.
Hay seguros diseñados específicamente para cubrir daños por riesgo sistémico, como los
seguros que cubren catástrofes, o los seguros de desempleo.
92
Riesgos cuantitativos y cualitativos
La medición del riesgo sería mucho más exacta si todos los riesgos fueran cuantificables. Sin
embargo, hay muchos riesgos que presentan una gran dificultad para medirse. Por ejemplo, el
riesgo de mala reputación es difícil de medir pues depende de la reacción psicológica de la gente
y de la gravedad del hecho que originó la mala reputación. El rango de la consecuencia de la
mala reputación puede ir desde el extremo menos grave de ser un hecho sin trascendencia hasta
el extremo más grave de obligar al cierre de la empresa y hasta el encarcelamiento de los
responsables de esta.
Riesgos internos y externos a la empresa
La necesidad de entender si los riesgos son internos o externos deriva de la capacidad de la
empresa de controlarlos o no. Los riesgos internos, que son los generados dentro de la empresa
por decisiones, problemas, o errores, permiten generalmente un mayor nivel de control y
supervisión. Normalmente se mitigan con buenas mediciones, procesos, controles, sistemas y
con el personal adecuado y bien entrenado.
Los riesgos externos son los que se originan fuera de la organización. Pueden provenir de la
ciudad en la que la empresa está establecida, del país, de la región, de fenómenos naturales, de
los gobiernos, de otras partes interesadas, o de muchas otras fuentes.
Por lo general, los riesgos externos son más difíciles de controlar que los internos. En algunos
casos, se pueden compartir con empresas aseguradoras a cambio de una prima. En este campo,
los riesgos de vida y daños son los riesgos típicamente asegurables por las empresas de seguros
y reaseguros. Además de asegurar la vida de los ejecutivos principales, se suelen asegurar
muchos tipos de daños como incendios, terremotos, inundaciones y otros eventos.
Riesgo del país
Un criterio básico que las empresas multinacionales emplean antes de invertir en un país es
evaluar el riesgo que representa operar ahí. Un país amenazado por el terrorismo, con débil
protección legal, o con problemas políticos representa un riesgo mayor y por lo tanto requiere
93
ofrecer un retorno mayor a los inversionistas por el riesgo adicional. Otros elementos de riesgo
considerados son:
• Acceso a la banca y el financiamiento internacional
• Nivel de deuda privada y pública, en relación con el PBI anual
• Calificación crediticia del país
• Estabilidad macroeconómica y del sistema bancario
• Nivel de desempleo
• Infraestructura
Hay mediciones del riesgo del país que permiten comparar distintas opciones y ver el
comportamiento histórico. Por ejemplo, la revista Euromoney publica trimestralmente una
calificación de riesgo país basada en encuestas a expertos 37.
Otra forma de medir el riesgo del país es usando el índice EMBI, Emerging Market Bond Index,
que publica el banco JP Morgan, y consiste en estimar la diferencia entre los bonos del tesoro
en dólares, del país anfitrión y de los de Estados Unidos. Cuanto mayor es esa diferencia, mayor
riesgo percibido hay por el mercado.
Las instituciones multilaterales como el Banco Mundial y el Fondo Monetario Internacional
también publican sus análisis de riesgo de todos los países miembros.
Para los inversionistas en un país extranjero, existen seguros que cubren temas como riesgo
político del país, entendido como la amenaza de expropiación, riesgo personal de secuestro,
riesgo de problemas en infraestructura, y muchos otros riesgos externos relacionados con el país
anfitrión.
Riesgo de concentración
La teoría de portafolio demuestra que la diversificación, bien estructurada, puede ayudar a
minimizar el riesgo. Lo opuesto a la diversificación es la concentración, que puede darse en
37 https://www.euromoney.com/research-and-awards/surveys-and-awards/country-risk-survey
94
muchos aspectos. Por ejemplo, si una empresa depende de un solo cliente o proveedor; si hay
un enfoque en una sola región geográfica; si solo ofrece un producto.
Es recomendable analizar el riesgo de concentración de la organización e incluir mediciones de
concentración en las herramientas de control. Un ejemplo puede ser que un banco identifique la
concentración geográfica como un riesgo, y tenga mediciones de porcentaje de actividad en
una región, poniendo límites máximos. De exceder una región el límite establecido, ese hecho
debe ser revisado por el comité de riesgos, o el directorio.
Riesgos por tipo de actividad
Entre los riesgos por actividad, hay riesgos relacionados con la estrategia del negocio, riesgos
operativos, incluyendo tecnológicos y legales y riesgos financieros entre otros.
Riesgo estratégico
El Riesgo estratégico es el que se presenta por efecto de las decisiones (o indecisiones) del
directorio y de la gerencia general en los caminos elegidos para el desarrollo de la empresa,
incluyendo decisiones de mercados por atender, productos, calidad de servicios, formas de
financiamiento, estructuras organizativas, y otros temas de gran impacto e importancia para la
empresa. La gestión del riesgo estratégico ayuda a decidir qué debe hacer la empresa, mientras
que la gestión del riesgo operacional o financiero ayudan a decidir cómo hacerlas.
Según Jim Lam, el primer Chief Risk Officer que existió en una corporación, el mal manejo del
riesgo estratégico es responsable del 60% de las pérdidas en capitalización de mercado de las
empresas (Lam, 2014). En muchos casos, las empresas sufren las pérdidas porque no logran
anticipar las necesidades del mercado a tiempo. Un reciente estudio de Deloitte muestra que el
51% de los ejecutivos globales reconocen que el riesgo estratégico es el más retador de todos,
es una prioridad y ha alcanzado una importancia mayor a los tipos tradicionales de riesgo como
los financieros, operacionales, y legales (Deloitte, 2018).
95
Los riesgos estratégicos deben estar integrados con el planeamiento estratégico y la dirección
general de la empresa y deben ser parte esencial del gobierno corporativo. El crecimiento global
de la innovación tecnológica presenta uno de los mayores retos estratégicos a los directorios,
presentando retos como la gestión de las redes sociales, la movilidad tecnológica y el análisis de
los grandes datos con inteligencia artificial38. La velocidad de cambio de cómo se presentan estos
riesgos es cada vez mayor.
Uno de los casos recientes más notorios de riesgo estratégico ha sido el crecimiento de Amazon,
cambiando la industrial retail en Estados Unidos. Walmart, que inicialmente tuvo una respuesta
tímida frente a la amenaza del comercio electrónico, acabó desarrollando alternativas
competitivas para poder continuar teniendo éxito. Otras empresas, como Sears, Radio Shack, y
Toys”R”Us no lograron adaptarse y terminaron en bancarrota. Walmart es un ejemplo de gestión
efectiva de riesgo estratégico.
La responsabilidad social corporativa
La responsabilidad social no siempre fue un tema prioritario para las empresas. Incluso grandes
académicos, economistas, y algún premio Nobel se opusieron a que las corporaciones le
dedicaran atención al principio. Sin embargo, factores como la globalización, el movimiento
ecologista, el cambio ambiental, y el activismo de los accionistas han contribuido a que la
responsabilidad social sea una actividad a la que todas las empresas deben prestar atención.
Milton Friedman y la responsabilidad social corporativa
En la década del 60, un grupo de accionistas liderados por el activista Ralph Nader exigió a
General Motors una serie de mejoras a sus productos y servicios que hubieran demandado una
inversión tan grande que la empresa hubiera quedado insolvente.
38 Resultado del uso de ´big data analytics

96
Como respuesta a esas y otras exigencias, en 1970 el economista Milton Friedman publicó un
artículo señalando que la responsabilidad social de una empresa privada es aumentar las
utilidades (Friedman, 1970). Ya anteriormente Friedman había escrito sobre el tema en su obra
Capitalismo y Libertad.
Para Friedman, los gerentes de las empresas son libres de usar su dinero y su tiempo libre en
actividades de responsabilidad social. Sin embargo, no deben hacer uso de los recursos de la
empresa para ese fin, porque la empresa no debe dedicarse a la responsabilidad social sino a
maximizar las utilidades dentro del marco de la ley y de la ética.
La diferencia para Friedman es que la responsabilidad social es personal, no corporativa. Una
empresa no puede tener responsabilidades, sólo los individuos las tienen. Además, el interés de
los accionistas es generalmente maximizar las utilidades. Como los gerentes son empleados de
los accionistas, deben hacer lo que estos últimos les demandan. Friedman afirma que si los
gerentes asignan recursos de la empresa a responsabilidad social estarían cometiendo un robo
a los accionistas.
Este tema fue debatido por mucho tiempo, pero en la década de los 90 la responsabilidad social
se volvió una disciplina de gran importancia gracias a la presión de, entre otros, la Comunidad
Europea y las Naciones Unidas. En 1991 el profesor Archie Carroll publicó un artículo que
describe la pirámide de responsabilidad social de la empresa con cuatro niveles: económico,
legal, ético y filantrópico (Carroll, 1991).
En el camino, las empresas demostraron que, al tomar en cuenta la responsabilidad social, había
beneficios directos para los accionistas como por ejemplo la mejor imagen corporativa, mejor
reclutamiento y retención de talento profesional, mejor clima laboral y mejores relaciones con la
comunidad entre otros.
97
El enfoque de Carroll – niveles de responsabilidad social
En 1991, el profesor Archie Carroll publicó un reporte39 que es considerado fundamental para
entender el alcance de la responsabilidad social corporativa, o CSR en inglés (Carroll, 1991).
En este reporte, Carroll propone la pirámide de responsabilidades con cuatro niveles. En la base,
el rendimiento económico, a continuación, la base legal, después la ética y, por último, la
filantrópica. Según Carroll, estos cuatro niveles siempre han existido, pero es en los últimos
tiempos que la parte ética y filantrópica han despertado interés.
La parte económica se refiere a que el negocio debe tener como uno de sus objetivos lograr
utilidades. En el nivel legal, se debe respetar cabalmente lo que la sociedad ha definido como
bueno y malo en la ley. En cuanto al aspecto ético, se trata de actuar con justicia, haciendo lo
correcto, evitando hacer daño. Por último, la filantropía es la contribución a la comunidad y la
mejora en la calidad de vida.
La idea de la pirámide no supone que primero el enfoque sea económico y después los demás,
sino que los cuatro niveles deben ser constantemente atendidos con gran interés. Para resumir
su propuesta, Carroll señala que, en forma pragmática y gerencial, la empresa con
responsabilidad social corporativa debe “reportar utilidades financieras, cumplir con la ley, ser
ética y buena ciudadana corporativa”.
El concepto de responsabilidad social se alinea muy bien con el concepto de stakeholder
desarrollado previamente por R. Edward Freeman en 1983 (Freeman, 1983). Carroll propone
usar el análisis de los stakeholders como una forma de hacer más concreto el término “social” de
CSR, poniendo nombre y apellido a las partes interesadas.
Carroll validó y difundió académicamente el concepto de responsabilidad social corporativa,
proveyendo la base intelectual para una práctica cada vez más difundida.
39 The pyramid of corporate social responsibility

98
Activismo de los Accionistas
En los últimos 50 años, los movimientos de accionistas por causas religiosas, sociales,
ambientales, o de otro tipo han tenido un impacto muy significativo en el gobierno y estrategia
corporativos. Los accionistas han influido en estos aspectos por medio de dos vías: el activismo
en las votaciones de accionistas y la inversión en empresas socialmente responsables (Glac,
2010).
Revisando la historia del activismo en votaciones, hay algunos hitos que merecen mención:
• En 1966, el activista comunitario Saúl Alinsky convenció a 39,000 accionistas de la
empresa Kodak para votar por la contratación de minorías en la empresa.
• En 1968, un grupo de médicos activistas lograron detener la producción de napalm, usado
en la guerra de Vietnam, a cargo de la empresa Dow Chemical. Para este logro, se tuvo
que apelar al poder judicial, pues inicialmente el regulador bursátil no admitió inicialmente
el proceso de votación de apoderados, también llamado proxy.
• En 1970, Ralph Nader lideró un grupo de abogados que propuso mejorar la
responsabilidad social de General Motors incluyendo en su directorio representantes de
los consumidores, de los empleados, de los distribuidores y creando un comité de
responsabilidad social. Aunque la moción no fue aprobada, generó una gran controversia
y aumentó el conocimiento de este tema en el público.
• Una de las más importantes organizaciones dedicadas a promover el activismo en las
corporaciones es el ICCR40, una organización que agrupa a más de 200 grupos religiosos
y que se enfoca en problemas como el calentamiento global, los derechos humanos y
otros aspectos de responsabilidad social. En la década del 80, el ICCR lideró una gran
campaña activista para dejar de invertir en Sudáfrica, en protesta por el apartheid.
40 Interfaith Center on Corporate Responsibility

99
Actualmente tiene como prioridades la compensación ejecutiva, las contribuciones a
partidos políticos, el calentamiento global y el control de armas.
• En los años 90, la empresa de artículos deportivos Nike fue objeto de serias críticas
porque algunos de sus proveedores en países como Camboya y Pakistán empleaban
menores de edad para el trabajo de manufactura de pelotas. Estos menores trabajaban
en muy malas condiciones, siete días a la semana, 16 horas por día y los salarios eran
extremadamente bajos. Los medios de comunicación y activistas de derechos humanos
protestaron ante este esquema y Nike tuvo que modificar sus prácticas de contratación.
• Mas recientemente, uno de los grupos de accionistas más activos son los fondos de
cobertura (hedge funds) como el Pershing Square Capital de Bill Ackman, que sostiene
que la empresa Herbalife es un esquema piramidal. Su activismo lo ha expresado jugando
en corto la acción, pese a que los jueces ya revisaron el caso y no están de acuerdo.
La Inversión Socialmente Responsable
La preocupación por el medio ambiente y por los derechos humanos creó una categoría de
inversión llamada Socialmente Responsable que filtra las inversiones en base no sólo a la
rentabilidad sino también en el comportamiento de las empresas con respecto a la
responsabilidad social.
Así como el acrónimo GRC condensa una visión unificada de riesgo, cumplimiento y gobierno
corporativo, las siglas ESG41 combinan el impacto ambiental, la responsabilidad social y el
gobierno corporativo como indicadores de la sostenibilidad y del impacto ético para invertir en
una empresa. ESG es una forma de asegurar que las empresas a invertir tienen sólidos principios
éticos. Los inversionistas preocupados por estos tres temas normalmente los miran en conjunto;
41 Environmental, social and governance.

100
una falla en uno de los tres indicadores suele alertarlos de que los otros dos también pueden
estar mal (Mooney, 2016).
En la categoría del ambiente, la preocupación se centra en el cambio climático, el uso de la
energía nuclear y la sostenibilidad a largo plazo. La responsabilidad social abarca los derechos
humanos, la diversidad e inclusión, la protección del consumidor y los derechos de los animales.
Finalmente, en cuanto al gobierno corporativo la preocupación está en la estructura directriz que
como hemos visto puede ser compartida o no entre el Presidente del Directorio y el CEO, las
relaciones con los empleados y la compensación de los directores y ejecutivos.
Uno de los mayores casos de falta de sostenibilidad y cuidado por el ambiente es el siguiente:
Caso: El derrame de petróleo en Deepwater Horizon (2010)
En abril de 2010, el incendio y posterior hundimiento de una plataforma petrolera de aguas
profundas en el golfo de México dio lugar al mayor derrame de petróleo en Estados Unidos, con
un estimado de casi 5 millones de barriles. Si bien la propietaria de la plataforma era la empresa
Transocean, la operadora era British Petroleum (BP). Debido a faltas graves de seguridad
reveladas después del incendio, BP encontrada culpable junto con Transocean de negligencia
injustificable y obligada a pagar varios billones de dólares por la falta. En este caso, un afán
excesivo de reducir los costos de operación para aumentar la rentabilidad de la empresa originó
este desastre ecológico.
Un ejemplo de malas relaciones con los empleados es el de la empresa de venta de artículos
deportivos Sports Direct.
Caso: Sports Direct y el maltrato a los trabajadores (2016)
Un caso de destrucción del valor de la empresa por mal trato a sus trabajadores es de la empresa
Sports Direct en Reino Unido. Después de muchas protestas y acciones legales por quejas de
los trabajadores, en agosto de 2016 la empresa reconoció sus errores y fue obligada a pagar sus
deudas a los trabajadores más una multa de un millón de libras esterlinas. En investigaciones de
las prácticas laborales de la empresa se habían encontrado fábricas que tenían condiciones
101
similares a las del siglo XIX. Debido a los excesos en el mal trato a sus trabajadores, la reputación
de la empresa ha afectado el precio de la acción, cayendo un 70% entre 2014 y 2016.
Cuando no se respetan las partes interesadas y se maltrata alguna de ellas, todos acaban
perdiendo, la empresa por las acusaciones y los perjudicados por el mal servicio o producto. Un
reporte de Hermes Investment (Hermes, 2016) , empresa líder en desarrollo sostenible, prueba
que las empresas con mejores sistemas de ESG tienen mejores resultados que las que
descuidan ese tema. Separando los tres componentes, el mayor impacto en los resultados se da
gracias al mejor gobierno corporativo. El ambiente y la responsabilidad social también ayudan a
las empresas, pero el efecto no es tan notorio.
Sin embargo, el estudio de Hermes también revela que cuando las condiciones económicas son
más difíciles, los inversionistas no ponen tanto énfasis en la responsabilidad social y el ambiente.
Otra medición realizada por el profesor Alex Edmans revela que las empresas listadas entre las
mejores compañías para trabajar en Estados Unidos rindieron en promedio 2.1% más que el
promedio de todas las industrias (Edmans, 2008).
En cuanto a los inversionistas, la tendencia es a darle mayor importancia a la sostenibilidad.
Algunos grupos inversionistas ponen como condición no invertir en industrias que consideran
poco sostenibles como el tabaco o el petróleo. Además, los reguladores tienden a reforzar la
necesidad de proteger el ambiente para reducir el riesgo de desastres naturales derivados de
empresas que generan polución sin preocuparse por el daño a largo plazo.
Por el lado de las ventas, estudios académicos han demostrado que los consumidores prefieren
comprar a empresas socialmente responsables. Por ejemplo, en Bogotá se comprobó que los
fabricantes de cierto tipo de calzado que tenían “compromiso con el medio ambiente, buen trato
a los trabajadores, apoyo a programas de lucha contra la pobreza, calidad en los productos e
102
innovación tecnológica” mejoraban su probabilidad de venta y los consumidores estaban
dispuestos a pagar más por el mismo producto. (Percy Marquina, 2012)
Caso: Uber (2017)
Uno de los emprendimientos más exitosos del siglo XXI, la empresa Uber, fue denunciada por
una trabajadora debido a las prácticas comunes de acoso sexual. La denuncia fue investigada
por un equipo a cargo del fiscal general de los Estados Unidos, Erik Holder, y determinó que la
cultura de la empresa denigraba a las mujeres, promovía el acoso y otras malas prácticas con
sus trabajadores.
Debido a esa denuncia e investigación, el fundador y CEO de la empresa se vio obligado a
renunciar y la empresa tuvo que adaptar una serie de recomendaciones del fiscal general, que
incluyen reformular o eliminar prácticas corporativas negativas. Entre otras recomendaciones, el
reporte requiere a Uber implementar entrenamiento en protección ante el acoso sexual, mejor
control de las quejas de los empleados y muchas otras medidas de control que son totalmente
comunes en empresas más maduras. También sugiere un cambio en los valores de la empresa
y promover el comportamiento colaborativo.
Ejemplo: El Sistema B
El Sistema B o B Corps es un movimiento global nacido en Estados Unidos, que busca crear una
alianza de empresas con valores, ética, comprometidas con el cuidado del ambiente y que son
socialmente responsables42. Para ser parte del movimiento, las empresas tienen que pasar una
certificación cada dos años, en las que se las evalúa su nivel de compromiso con los valores
estipulados. Al ser miembros de la alianza, pueden tener el beneficio de intercambiar bienes,
42 https://sistemab.org/movimiento-global/
103
servicios, y experiencias, con las demás empresas de la red. Cuentan con el apoyo del Banco
de Desarrollo de América Latina.
104
Riesgo operacional
Todas las empresas están sujetas al Riesgo Operacional. Se define como la pérdida debido a
fallos en los procesos, personas o sistemas de la empresa. Un manejo efectivo del riesgo
operacional es un elemento fundamental de la gestión de riesgo.
Dada su amplitud, cubre aspectos tan diversos como el desarrollo de nuevos productos y la
gestión de los productos existentes, el manejo de proveedores, la cadena de suministro, riesgos
legales y regulatorios, de fraude, tecnológicos, humanos, de reputación, de la continuidad del
negocio y muchos otros.
En servicios financieros el riesgo operacional alcanza muchas áreas de la empresa como
cumplimiento, crédito, tecnología de la información, inversiones, procesamiento, liquidez,
impuestos, recursos humanos y, sobre todo, el fraude.
Riesgo de fraude
El fraude es llamado “el más grande rival que uno no conoce”, y con el desarrollo de la
transformación digital se ha expandido rápidamente hasta alcanzar el mayor nivel histórico (PwC,
Global Economic Crime Survey 2018, 2018). Las áreas de más impacto son: el crimen
cibernético, ética y cumplimiento, lavado de dinero y financiamiento del terrorismo.
Según PwC, 49% de las empresas han sido víctimas de fraude en los últimos 24 meses (el año
anterior era 36%). Las empresas ya no confían en las autoridades para poner freno a este tipo
de delito. Hoy, es un mandato para todas las empresas prevenir, identificar, controlar y resolver
este tipo de delitos económicos.
El costo del delito económico es muy alto. El 64% de las empresas reportan pérdidas de hasta 1
millón de dólares por cada caso, y el 16% entre uno y 50 millones de dólares. La mitad de los
delitos proviene de dentro de la empresa.
105
La región con mayor fraude es África, seguida de Norte América y de Sud América. Pese al
crecimiento del fraude, solo la mitad de las organizaciones han desarrollado una seria evaluación
interna del riesgo. Además, hay un buen número de empresas que no reportan el delito porque
no saben que éste se está dando en sus empresas. Es decir, sus controles no han sido aún
capaces de detectarlo.
El fraude más común en las organizaciones es el de apropiación indebida de activos. El 29% de
las organizaciones reporta fraude proveniente de los consumidores, y el 52% que el fraude se
inició dentro de la empresa. Es decir, las empresas tienen que cuidarse no solo del frente externo
sino también del interno.
El fraude también se puede dar cuando una organización engaña al público y a sus inversionistas,
como sucedió con la empresa Theranos.
Caso: Theranos (2018)
En julio de 2010, la empresa Theranos, de Elizabeth Holmes, reportó haber conseguido 45
millones de dólares de capital para su supuesta innovadora empresa de análisis de sangre en
Estados Unidos. Prometía revolucionar los análisis mediante una nueva tecnología que
reemplazada la extracción de sangre tradicional por un proceso en el que con una gota de sangre
se conseguían los mismos resultados. Por un tiempo, Holmes se volvió una celebridad, y los
medios alabaron su creatividad e innovación, siendo comparada con los fundadores de Apple y
Facebook pues ella también se retiró de la universidad antes de terminarla.
Los inversionistas vieron una gran oportunidad en Theranos, por lo que apostaron a que la
empresa iba a tener un gran crecimiento, subiendo el valor de la empresa hasta 9,000 millones
de dólares en 2014. En 2015, los reguladores aprobaron su análisis para detectar el herpes, pero
el diario Wall Street Journal cuestionó el control de calidad de la prueba, pues encontró
inconsistencias en los resultados de los análisis sanguíneos que Theranos ofrecía. Entre 2016 y
2018, las autoridades encontraron serias irregularidades y acabaron cerrando la empresa y
acusando de fraude a la Señora Holmes.

106
En este caso de fraude interno, muchas empresas e individuos, partes interesadas de Theranos,
fueron seriamente perjudicados.
En el sector industrial, uno de los grandes riesgos operacionales es el de la cadena de suministro.
Riesgo en la cadena de suministro
Debido al crecimiento de la globalización, las cadenas de suministro son cada vez más
interdependientes. Por ejemplo, en 2011 hubo una gran disrupción en el sector tecnológico,
debido a un tsunami que afectó al Japón, interrumpiendo el flujo de muchos componentes,
materiales y procesos. No solo los desastres naturales pueden tener un impacto sino también
otros factores como la inestabilidad política, cambios bruscos en la macroeconomía, problemas
de corrupción, la de falta de energía, o en algunos casos mucha energía como le sucedió a una
planta de Phillips.
Caso: Ericsson (2000)
En marzo del 2000, una planta de componentes de la empresa Phillips en la ciudad de
Albuquerque, Nuevo México, sufrió un incendio debido a un rayo que impactó la planta de
suministro eléctrico. Como consecuencia del incendio, la planta no pudo continuar produciendo
pues había sido contaminada por el humo del fuego. Los clientes de la planta eran los fabricantes
de teléfonos celulares, que tuvieron que operar en modo de crisis, pues los componentes eran
indispensables para sus procesos de ensamble. El costo fue enorme no sólo para Phillips sino
también para sus dos clientes principales, Nokia y Ericsson. Phillips estimó un tiempo corto para
restablecer su operación, pero Nokia asumió, en su espíritu de gestión de riesgo operacional,
que la planta iba a demorar más de lo prometido en recuperarse. Buscaron que Phillips los
atendiera desde otras plantas y hasta rediseñaron los teléfonos para usar otros componentes.
Por otro lado, Ericsson confió en la promesa de que la interrupción no iba a demorar mucho
tiempo; sin embargo, la planta demoró en volver a funcionar mucho más de lo esperado. El no
tener un plan de contingencia obligó a Ericsson a dejar de producir teléfonos celulares, perdiendo
107
400 millones de dólares y dejando el mercado libre a su competidor, Nokia, cuya participación de
mercado subió rápidamente. La gran enseñanza para Ericsson y para todas las empresas fue la
de desarrollar a partir de entonces una cadena de suministro flexible, meticulosa y con alto nivel
de control de riesgo.
Debido a la globalización, nunca fue tan evidente la necesidad que tienen actualmente las
cadenas de suministro de ser cuidadosamente analizadas y controladas para minimizar eventos
que las puedan afectar. El proceso de riesgo incluye entre otros, la identificación de proveedores
ubicados en regiones de alto riesgo, la búsqueda de alternativas de menor riesgo o redundantes
de ser necesario, tener más de un proveedor, diseñar alternativas de producción y estar bien
informados de tendencias que pueden afectar el futuro suministro. Un componente adicional que
las empresas tienen que considerar es el aspecto regulatorio. Para ayudar al manejo de todos
estos temas, hay una buena oferta de soluciones tecnológicas diseñadas para la gestión integral
de riesgo.
El riesgo legal puede o no ser considerado dentro de los riesgos operacionales, dependiendo de
qué tan intenso es ese aspecto en relación con la organización. La parte de cumplimiento con
las obligaciones está descrita en el capítulo 3, Cumplimiento. Hay otro aspecto, que es el de la
actividad judicial derivado de conflictos con clientes, proveedores y otras partes interesadas.
Un riesgo que merece gran atención por su crecimiento exponencial es el del riesgo
tecnológico.
Riesgo tecnológico
Gradualmente, la tecnología se ha tornado indispensable y hasta omnipresente en las empresas.
La tecnología de la información ya no es en muchos casos un área de soporte, sino que es parte
esencial del negocio. Si bien nos ha ayudado a aumentar la productividad considerablemente,
también nos ha expuesto a nuevos riesgos que es necesario entender y mitigar.
108
Seguridad de la información
La información que poseen las empresas es en muchos casos más valiosa que los activos físicos.
En algunos países, la pérdida de información es considerada de importancia vital la empresa y
el país y por tanto está sujeta a graves sanciones por parte del gobierno. Para evitar problemas
de seguridad las empresas han creado un puesto encargado de supervisar todo el proceso de
seguridad en la información, llamado el Chief Security Officer (CSO).
El buen gobierno corporativo también puede ayudar a prevenir este tipo de problemas. Por
ejemplo, un requerimiento cada vez más común de los directorios es que los gerentes puedan
probar que tienen controles adecuados de seguridad informática. En el casi continuo proceso de
rediseño de la arquitectura y funcionalidad tecnológica, hay una gran oportunidad para fortalecer
la seguridad informática y que esta se vuelva una ventaja competitiva.
El crimen cibernético ha pasado de ser la cuarta a la segunda amenaza más agresiva, después
del robo de activos. Hace dos años, el 24% de las empresas habían sido afectadas, mientras
que hoy este porcentaje ha subido a 32% (PwC, Global Economic Crime Survey 2018, 2018).
Pese a haber subido tanto, sólo el 37% de las empresas tiene un plan de respuesta a un incidente
cibernético. La mayor preocupación de las empresas respecto a este tema es el riesgo
reputacional, seguido del legal y del financiero.
Uno de los grandes problemas en el control del riesgo cibernético es la poca oferta de
profesionales con experiencia. Un reporte del Centro de Estudios Estratégicos Internacionales
(Studies, 2016) e revela que el 82% de los responsables de TI en empresas alrededor del mundo
reportan insuficientes recursos de ciberseguridad y el 71% piensa que esa falta de recursos
afecta directamente a su empresa.
109
Confiabilidad y protección de datos
Además de preocuparse por la seguridad informática, los directorios de empresas reguladas
están sujetos a asegurarse de la confiabilidad de los estados financieros y de que la información
provista en los mismo tenga controles adecuados que refleje cifras auténticas.
Otro aspecto importante es el de las leyes de protección de datos personales, que requieren
obtener el consentimiento de los clientes para hacer uso de sus datos. Además, obligan a las
empresas a desarrollar políticas de gestión de la privacidad de los clientes.
Obligaciones del directorio en riesgos informáticos
Es obligación de los miembros de directorio informarse de los riesgos informáticos potenciales y
del impacto que la regulación puede tener en su empresa. Sam Visner de Global Cybersecurity
y Dave Martin de EMC ofrecen las siguientes pautas para que los directorios se informen de este
tema (Security, 2014):
- Los directorios deben preguntar a la gerencia qué estrategia e implementación existen
para fortalecer la seguridad informática. Una llamada de alerta es cuando la respuesta viene
únicamente del Chief Information Officer (CIO) y el resto de la gerencia no está involucrado y
familiarizado con el tema.
- Otras preguntas que los directorios tienen que hacer son: ¿Quién tiene responsabilidad
en la organización por la política interna y por la implementación de la seguridad informática?
¿Hay una adecuada segregación entre estas dos responsabilidades para asegurar su mejor
implementación? ¿Cuáles son las credenciales de las personas a cargo estas tareas? ¿Qué
recursos hay asignados a la implementación de las recomendaciones? ¿Cuál es el estatus de
las recomendaciones? ¿Y si las recomendaciones no se han implementado, por qué no? ¿Cuál
es el plan del proyecto de implementación?
110
- Los directorios deben entender cuál es el valor de los datos en relación con el valor total
de la empresa. Esto permitiría saber qué sucedería si se pierde parte o toda la información de la
empresa y cuál sería el impacto para la misma.
Se recomienda que las empresas no reguladas también tomen seriamente este tema pues pese
a no tener el peso de las multas y sanciones, también pueden estar sujetas a pérdidas
significativas.
Herramientas de control y mitigación de riesgo en tecnología
La Asociación de Gobierno en Tecnologías de Información ISACA43 ha desarrollado una serie de
buenas prácticas en TI que se conocen por sus siglas COBIT44. El esquema COBIT ayuda a las
organizaciones a que la tecnología de la información sea liderada en base a procesos que tengan
conexión directa con los objetivos y en base a mediciones estratégicas que permitan un
adecuado control. COBIT divide el proceso de planeación y administración de TI en cuatro fases:
1) Planeamiento y organización.
2) Adquisición e implementación.
3) Entrega y soporte.
4) Supervisión y evaluación.
Además, propone la implementación de 34 procesos relacionados a esas cuatro fases. COBIT
integra un buen número de estándares para procesos específicos como COSO para controles
internos, ITIL para alinearse con las necesidades de la empresa, BiSL enfocada en la demanda,
el estándar ISO 27000 para TI, el entrenamiento en mejoras de procesos CMMI, TOGAF para la
arquitectura empresarial y PMBOK para manejo de proyectos.
Hemos mencionado que el riesgo operacional también abarca a las personas. Una práctica
controversial es el conocer las actividades del personal en el uso de la tecnología en la empresa.
43 Information Systems Audit and Control Association

44 Control Objectives for Information and Related Technologies
111
El Control tecnológico del riesgo humano
Las políticas, regulaciones, entrenamiento, control y todas las actividades de riesgo, a fin de
cuentas, son actividades humanas. Los escándalos financieros son siempre creados por seres
humanos, que por muy diversas razones crean una situación de quiebre en el sistema de
gobierno a la que llamamos falla corporativa. Pero en muchos casos, hay personas que cometen
las faltas sin saber la magnitud o gravedad de esta, por desinformación, por descuido o desidia.
Las empresas han respondido a estas situaciones con controles de las actividades de los
empleados y trabajadores. Desde hace mucho tiempo las empresas tenían herramientas como
la tarjeta de control de tiempo de entrada, los formatos de gastos de representación o la simple
supervisión visual. Con el advenimiento de las redes de computadoras, las empresas han
desarrollado sistemas de monitoreo y de inspección de correos electrónicos, de acceso a datos
sensibles y de uso de internet. Aumentando su sofisticación, las grandes empresas han
implementado herramientas de análisis de comportamiento de los empleados como el Social
Network Analysis (SNA), que permite graficar en mapas actividades de comunicación virtual en
redes, identificar patrones de comportamiento para entender quién se comunica con quién.
Conforme avanza la tecnología, a esa herramienta se ha sumado otra llamada Continuous
Controls Monitoring (CCM), que ayuda a entender no sólo quién se comunica con quién, sino
también cuándo, dónde y para qué se comunican. Son técnicas inicialmente desarrolladas por
las empresas Google y Facebook, después adaptadas para prevenir ataques terroristas, que se
han ampliado al ámbito corporativo para evitar pérdidas significativas por colusión en áreas de
alto impacto. De esta manera, las corporaciones tienen la habilidad de crear un perfil de
comportamiento de personas que están en funciones de alto riesgo.
Riesgo financiero
El riesgo financiero es el principal riesgo al que tradicionalmente enfrentan los bancos,
aseguradoras, cajas y cooperativas. Sin embargo, todas las demás industrias también enfrentan
112
diariamente riesgos financieros, como el no pago de las cuentas por cobrar, las devaluaciones,
o cambios en las tasas de interés.
Además de la falta de pago de una deuda crediticia, los bancos tienen que cuidar la diferencia
entre las tasas activa y pasiva, las diferencias por tipo de cambio, el balance entre los activos y
los pasivos, y otros riesgos financieros. En el sector asegurador, un riesgo financiero muy
importante es el de las pérdidas debido a un mayor costo de los siniestros respecto al esperado,
o el retorno de las inversiones. La gestión de derivados y otros instrumentos sofisticados son
también elementos críticos de la gestión de riesgo financiero.
Riesgo de mercado
El riesgo de mercado es el riesgo sistémico que afecta a todo el mercado financiero en el
que la empresa se desenvuelve. Este riesgo sistémico puede devenir como consecuencia de
recesiones, conflictos, desastres naturales o ataques terroristas. Entre los riesgos de mercado
más analizados están el del cambio en las tasas de interés, el del cambio en los valores
bursátiles, en los tipos de cambio, la inflación, los precios de los commodities, y otras variables
macroeconómicas.
El cambio en las tasas de interés puede tener un impacto en los precios del financiamiento y de
las valoraciones de las empresas y sus proyectos. Una subida en las tasas de descuento rebaja
el valor actual de los flujos proyectados y viceversa.
Los tipos de cambio dependen de muchas variables, algunas objetivas como las tasas de interés
y otras subjetivas, como la especulación y los rumores. Dada la dificultad en predecir los
movimientos de los tipos de cambio, es recomendable analizar el uso de opciones y otros
instrumentos derivados como un seguro que cubra parcial o totalmente la posible pérdida.
El VaR
Una medición del riesgo de mercado es el Value at Risk (VaR), un instrumento documentado por
JP Morgan en 1994, que responde a la pregunta: ¿A qué pérdida está expuesta la empresa en
un tiempo y con una probabilidad determinadas? Por ejemplo, una empresa puede tener un VaR
113
de 1 millón con 90% de nivel de confianza en los siguientes 10 días, lo que significa que hay un
10% de probabilidad de perder más de un millón en uno de los siguientes 10 días. Dicho de otra
forma, hay un 90% de probabilidad de no perder más de un millón en los siguientes 10 días.
Los componentes del cálculo del VaR son: el monto de la inversión, la volatilidad del activo, el
tiempo de estimación, y el nivel de confianza. Cuanto mayores son esos factores, mayor es el
VaR.
El cálculo del VaR se puede hacer de muchas maneras, pero hay tres formas muy comunes de
hacerlo:
1. Calcular el VaR en base a datos históricos, recopilados en un período significativo de
tiempo. Usar percentiles para identificar los montos posibles de pérdida.
2. Usar aproximaciones de los datos a curvas normalizadas, aplicando fórmulas
predefinidas para encontrar el VaR.
3. Hacer simulaciones del futuro, asumiendo escenarios y corriendo muchas veces el
modelo, mediante simulaciones como la de Monte Carlo.
El stress test es un mecanismo muy usado después de la crisis financiera de 2008 para simular
situaciones con los peores escenarios posibles, y ver si el activo resiste condiciones económicas
extremadamente negativas. Es similar al cálculo de las estructuras de un edificio asumiendo un
terremoto de gran magnitud.
Por otro lado, el back test es una prueba que se hace después de un período de tiempo de uso
del modelo, comparando los cálculos iniciales con los resultados reales y evaluando si hay
diferencias, buscando entender la razón de estas, para ajustar el modelo y mejorarlo.
El VaR mide riesgo potencial en un activo financiero en base a su volatilidad, y es usada
frecuentemente por reguladores e instituciones financieras para estimar pérdidas
potenciales en situaciones negativas extremas.
114
Riesgo de crédito
El crédito es el motor de crecimiento de las economías mundiales. Etimológicamente proviene
de la palabra latina creditum, participio de credere, o creer. Creer que la deuda se va a pagar,
esa es la base del financiamiento, la creencia en la contraparte. Sin embargo, la deuda no
siempre se paga, y ese es el riesgo de contraparte.
El riesgo de crédito se puede presentar parcial o totalmente. Cuando se incumple el pago parcial
de una deuda, se incurre en morosidad (en inglés, delinquency). Cuando la deuda se da por
perdida, se llama incumplimiento (en inglés, default).
Para minimizar el riesgo crediticio, el futuro acreedor debe investigar el deseo y la capacidad de
pago del futuro deudor. Una forma de efectuar ese análisis es mediante el análisis de las
llamadas 5 Cs: carácter moral, capacidad de pago, colateral, capital, y condiciones. El carácter
moral se refiere a la intención del deudor de cumplir con sus obligaciones, lo cual se suele
correlacionar con la historia crediticia, asumiendo que el comportamiento pasado es un buen
indicio del comportamiento futuro. La capacidad de pago depende de los ingresos y egresos del
deudor, de manera que quede lo suficiente para pagar las obligaciones crediticias. El colateral
es una garantía que el deudor deja para asegurar el pago; por ejemplo, en un préstamo
hipotecario, el bien inmueble es el colateral. Capital es la solvencia económica del deudor,
medida en activos que lo respalden, como por ejemplo terrenos, propiedades o inversiones.
Condiciones se refiere a las condiciones económicas en las que se entregará el préstamo, y a
que las condiciones legales del préstamo estén bien estructuradas.
En síntesis, la evaluación de riesgo crediticio busca responder a dos preguntas clave sobre el
posible deudor:
1. ¿Quiere pagar la deuda? ¿O está tratando de conseguir el préstamo sin intención de
pagarlo? ¿Es un deudor fiable?
2. ¿Puede pagar la deuda? Es decir, ¿tiene ingresos suficientes que le permitan hacer los
pagos programados? ¿No se quedará sin liquidez durante el período del crédito?
115
Las respuestas a estas dos simples preguntas son las que determinan si se da el crédito o no.
Uno de los retos de esas dos preguntas es que las respuestas no son estáticas. Se hacen al
momento de aplicar a la deuda, y se deben continuar haciendo hasta el fin de esta45. Las
respuestas pueden ir cambiando, sobre todo en la deuda de largo plazo. Así, una deuda que al
inicio se puede y quiere pagar, según cambien las circunstancias puede dejar de ser pagada.
Rating y scoring
Con el crecimiento de las ciudades y los mercados, no es posible ni viable conocer la historia
personal de todos los aplicantes al crédito. Para automatizar y estandarizar ese proceso
surgieron los conceptos de rating y scoring.
El rating es una calificación o nota que se le da a un deudor. Las agencias de calificación de
crédito evalúan detalladamente la situación económica y financiera de las empresas, y en base
a ese análisis determinan la calificación. Por ejemplo, la agencia de calificación Standard &
Poors califica a la empresa Microsoft con la calificación AAA, el máximo grado posible. De
hecho, sólo la empresa Johnson & Johnson tiene esa misma calificación, todas las demás
tienen una calificación menor. Para tener esa calificación, Microsoft y Johnson & Johnson
requieren una situación financiera óptima que asegure que puedan afrontar los pagos de sus
deudas. Gracias a esa excelente calificación, estas dos empresas pueden emitir deuda a una
tasa de interés muy baja, porque no hay mayor riesgo de incumplimiento.
El score es un puntaje que se le da al deudor después de considerar aspectos como la historia
crediticia, el nivel de crédito asumido, el uso de las líneas de crédito, los distintos tipos de
crédito asumido, y otros factores. Cuando el puntaje es muy alto, se acepta otorgar el crédito,
pero según se baja el puntaje, se llega a un punto en el que no se puede dar el crédito,
dependiendo de las políticas internas del acreedor.
45La palabra “finanzas” proviene de la raíz “fin”, es decir, que se espera que la deuda tenga un fin, pero
un fin en el que se pague lo debido.
116
El rating es usado para calificar la deuda de los países y empresas, mientras que el score
puede ser usado para evaluar el crédito de empresas y personas.
Uso de la inteligencia artificial en el análisis crediticio
El mecanismo más usado por las empresas para decidir dar crédito combina el análisis de los
estados financieros del deudor con el reporte de las agencias de informes crediticios y la memoria
histórica de los analistas de crédito. Los estados financieros de las empresas son revisados
usando las ratios de liquidez, rentabilidad, solvencia, deuda, y de rotación, entre otros. Para
préstamos personales se usan ratios como el del pago de la cuota crediticia en relación con los
ingresos personales o familiares. Toda esa información se combina para tomar la decisión de
crédito.
Este análisis se ha ido sofisticando poco a poco, al punto de que ya existen soluciones que
incorporan inteligencia artificial en el análisis de riesgo crediticio. Una de las razones por las que
es necesaria la inteligencia artificial es la dificultad en analizar muchas cuentas por cobrar; otra
razón es que un mismo deudor puede tener un comportamiento diferente dependiendo del
acreedor, y ese comportamiento puede ser detectado con inteligencia artificial de una manera
más eficiente que mediante el análisis manual. Las soluciones de inteligencia artificial comparan
información de las agencias de calificación de riesgo con las cuentas por cobrar de las empresas,
analizando comportamientos de pago, comparando con la historia de pagos del deudor, y
alertando cuando existen posibles incumplimientos.
Actualmente el mundo está una crisis de deuda. La deuda global suma más de 200 billones de
dólares, mientras que el PBI global anual es de aproximadamente 80 billones. Es decir, la deuda
mundial es más de dos veces el PBI global. ¿Se podrá pagar alguna vez?
Riesgo de crédito es la amenaza de que la deuda no sea pagada según los términos
acordados. Para otorgar el préstamo se busca entender si el deudor tiene la intención y
los flujos para poder hacer los pagos correspondientes.
117
Riesgo de iliquidez
El riesgo de iliquidez es la amenaza de no tener fondos suficientes para poder afrontar los pagos
estipulados en un crédito y otras necesidades de las organizaciones. Es un riesgo muy común
en empresas medianas y pequeñas, sujetas a los vaivenes de clientes que tratan de financiarse
con sus cuentas por pagar. Las empresas grandes suelen tener mayores recursos para evitarlo,
pero también pueden sufrirlo, sobre todo cuando tienen un alto nivel de deuda. En los últimos
años hemos visto cómo la industria retail en Estados Unidos ha sufrido por falta de liquidez ante
los avances del comercio electrónico.
Para gestionar el riesgo de iliquidez, las empresas hacen proyecciones de flujos de caja,
negocian los términos de crédito con los proveedores, tratan de acelerar el pago de sus clientes,
cuidan la rotación de inventarios, hacen uso de instrumentos como el factoring, y tienen líneas
de crédito con los bancos.
En gestión de portafolios, el riesgo de iliquidez es el que se presenta cuando no se pueden
comprar o vender los activos con la rapidez necesaria para evitar pérdidas. Un activo que demora
en venderse es menos líquido que otro que se puede vender rápidamente. La demora puede
deberse a muchos factores, como la liquidez general del mercado, las cargas burocráticas que
toman mucho tiempo, o a que es un activo cuyo proceso de venta es lento debido al monto de la
transacción.
El proceso de gestión de riesgo
El proceso de gestión de riesgo busca proveer una guía con mejores prácticas que pueda ser
aplicada a cualquier organización46. Según ISO 31000, debemos considerar las siguientes
actividades:
46En la sección 5.1.2 “Definición de gestión de riesgo” se menciona que una forma común de definir la
gestión de riesgo es enumerando los pasos más comunes del proceso de riesgo, es decir, la
identificación, análisis, mitigación y control de riesgos. En la sección 5.1.3 “ERM (Enterprise Risk
Management)” se mencionan algunos estándares internacionales como COSO e ISO 310000.
118
Establecer el contexto
Riesgo debe ser un componente esencial de la estrategia, aportando una visión amplia del
entorno y sus tendencias, así como una visión completa de los aspectos internos críticos de la
organización. Antes de proceder a identificar los riesgos, hay que entender cuáles son los
objetivos de la organización, cuál es su situación competitiva, sus partes interesadas47, su
estrategia, y su organización, entre otros aspectos. Los análisis estratégicos son muy importantes
para establecer el contexto, y el análisis FODA es un suministro esencial para el siguiente paso,
la identificación de riesgos.
Identificación de los riesgos
Una vez conocido el objetivo de la organización, es necesario identificar todos los posibles
riesgos que puedan impedir que se cumpla el objetivo. Para poder hacer una buena identificación
de riesgos es necesario contar con el aporte de toda la organización, no solo de un grupo
reducido de participantes. Un experimentado gerente de riesgos solía decir que en los casos en
los que se presentaron problemas, siempre alguien en la organización sabía que eso podía
suceder, pero no tuvo el mecanismo de comunicación de ese riesgo.
Además del análisis FODA y otras herramientas estratégicas, una forma muy común de
identificar riesgos es mediante la interacción de equipos multifuncionales, que debidamente
preparados, pueda contribuir con ideas de riesgos que ayuden a responder a preguntas como:
• ¿Qué puede poner en riesgo que se cumpla el objetivo de la organización?
• ¿Cómo se puede presentar una situación adversa?
• ¿Qué puede desencadenar una amenaza?
• ¿Qué falta preparar para que la organización cumpla sus objetivos?
• Si esta organización va a fallar, ¿cuál sería una de las causas?
47 Ver secciones 2.5 y 4 sobre las partes interesadas.

119
Es necesario educar a los participantes antes de que participen en la discusión, para que
entiendan el propósito y la metodología de la gestión de riesgos. Normalmente se desarrollan
sesiones de lluvia de ideas en la que los grupos multifuncionales tienen libertad para aportar sus
ideas. Otra forma de generación de ideas es mediante encuestas o usando herramientas
virtuales.
En el proceso de generación de ideas, ninguna idea es mala. Se debe tomar nota de todas las
ideas, y compilarlas en una lista que después será priorizada. Es necesario que un facilitador
promueva la discusión y ayude a que el ambiente sea propicio.
Algunos errores comunes que se pueden presentar en la identificación de riesgos son:
a. Asumir que riesgo es sólo un tema financiero u operacional.
b. Enfocarse en los datos históricos y no proyectar el futuro con escenarios.
c. Tratar de delimitar la cobertura de la gestión de riesgo.
d. Eliminar muy pronto riesgos de baja probabilidad y alto impacto.
e. Eliminar o no tomar en cuenta riesgos no medibles.
f. Minimizar riesgos no tradicionales.
Los riesgos, como se menciona anteriormente, pueden presentarse de muchas formas y en
muchos momentos, se necesita tener la mente abierta.
Registrar cada riesgo en una hojita Post-it en la pared es recomendado para que el equipo pueda
visualizar todos los riesgos. Los facilitadores experimentados crean un ambiente de apertura a
las ideas, normalmente consiguen despertar un gran interés entre los participantes, dada la gran
variedad de ideas que se presentan.
Dependiendo del tamaño de la empresa, se pueden necesitar una o muchas reuniones, pero
normalmente las ideas fluyen hasta agotarse. Un buen facilitador debe saber cuándo dar el
ejercicio por concluido. Como resultado de la identificación de riesgos se debe tener una lista con
120
todas las ideas, sin filtrar. La lista puede ser muy grande, pero para que sea accionable, el
siguiente paso es ordenarla y priorizarla.
Análisis y evaluación de los riesgos
Cuando se genera una lista de riesgos, encontramos una combinación de causas, efectos, y
consecuencias que se pueden representar gráficamente. Además, hay riesgos que pertenecen
a las categorías típicas como operacionales, financieros, etc.
Cuando se trabaja con Post-its lo mejor es organizaros según el modelo Causa-Efecto-
Consecuencia. De esa manera se crean interrelaciones que vienen a formar la red de riesgos de
la organización. A cada riesgo, se le debe poner la etiqueta correspondiente.
Por ejemplo, en la lluvia de ideas se pueden haber identificado los siguientes riesgos:
• Deficiente proceso de otorgamiento de crédito a los clientes (CAUSA)
• Aumento de cuentas por cobrar (EFECTO)
• Baja rentabilidad (CONSECUENCIA)
Esos tres riesgos, que normalmente están asociados al riesgo financiero, se deben identificar
como una sola rama con la causa, el efecto, y la consecuencia.
Ese mismo método se debe aplicar a todos los riesgos, categorizándolos y agrupándolos. Una
vez terminado ese proceso, se tienen identificados los niveles de riesgo con los cuales se puede
hacer la priorización. Es recomendable hacer un diagrama que muestre visualmente la
interacción entre los riesgos.
La priorización se puede hacer en cualquier nivel, pero para que sea más accionable, es mejor
hacerla al nivel de la causa. Algunas causas son medibles, otras no. Para priorizar es necesario
comparar todas con un mismo criterio. Un criterio muy común es el de la pérdida esperada. Para
ello se usa la fórmula:
Pérdida Esperada ($) = Probabilidad (%) x Impacto ($)
121
En algunos casos, la probabilidad de presentarse el riesgo se puede estimar cuantitativamente.
Por ejemplo, los actuarios pueden calcular la probabilidad de fallecer dependiendo de factores
demográficos. En la mayoría de los casos, la probabilidad se tiene que estimar subjetivamente,
que puede hacerse reuniendo a un grupo de conocedores del tema y pedirles su opinión. Para
facilitar la discusión, se suelen poner unos cinco rangos de probabilidades, definiendo qué
significa cada rango. Por ejemplo:
Probabilidad
Sucede comunmente (Muy Probable) 5
Ha sucedido (Probable) 4
Podria suceder (Posible) 3
Poco probable que suceda 2
Rara vez podría suceder 1
De manera similar, el grupo evalúa el posible impacto determinando la consecuencia de que se
presente el riesgo usando la siguiente tabla:
Consecuencia
Catastrófica 5
Mayor 4
Moderada 3
Menor 2
Insignificante 1
122
Así, un riesgo muy frecuente que tiene consecuencias catastróficas tendría un puntaje de 5
multiplicado por 5, o sea de 25. En el otro extremo, un riesgo muy poco probable con muy pajo
impacto tendía 1 de puntaje.
Una vez determinados los puntajes correspondientes, se puede hacer una lista ordenada de
mayor a menor puntaje. Visualmente se puede mostrar en el llamado “matriz de riesgos”, “mapa
de riesgos” o “mapa de calor”.
Matriz de Riesgos
Impacto
1 2 3 4 5
Probabilidad 5 Alto Alto Extremo Extremo Extremo
4 Moderado Alto Alto Extremo Extremo
3 Bajo Moderado Alto Extremo Extremo
2 Bajo Bajo Moderado Alto Extremo
1 Bajo Bajo Moderado Moderado Alto
Antes de mitigar los riesgos, se tiene una matriz con riegos inherentes. Después de aplicar los
controles correspondientes, se debe crear otra matriz con riesgos residuales, en los que se
muestra una reducción de probabilidades y/o impactos.
La organización debe determinar el orden de trabajo de los riesgos identificados, que es el
siguiente paso.
Mitigación de los riesgos
Comenzando con los riesgos con mayor puntaje y teniendo las cadenas causa, efecto y
consecuencia, se debe identificar cuáles son las posibles respuestas a esos riesgos. En este
punto la organización tiene que decidir si el riesgo es aceptado, rechazado, compartido, o
mitigado.
• Aceptado, que consiste en auto asegurarse, es decir, asumir el posible costo de que se
presente el riesgo, no tomando ninguna acción al respecto. En este caso, la organización
123
tolera el riesgo y tiene los fondos necesarios para pagar las consecuencias. Un ejemplo
de esta situación es aceptar el riesgo de incobrables al otorgar el crédito a los clientes.
• Rechazado, que tiene diversos grados de aplicación, desde rechazar un proceso, un
producto hasta una línea de negocios porque el riesgo supera los niveles permitidos por
la empresa, y no hay una alternativa que tenga suficiente beneficio dado el costo
esperado. Por ejemplo, un banco puede rechazar otorgar crédito al sector construcción
porque las constructoras están inmersas en un problema común.
• Compartido, típicamente contratando un seguro o proveedor, trasladando parte del riesgo
a un tercero. Por ejemplo, el seguro de crédito corporativo, en el que la aseguradora es
responsable del pago si un cliente no paga su deuda.
• Mitigado, es en el que la organización dispone acciones para reducir el riesgo inherente
mediante controles. La inversión en los controles debe ser en este caso menor al
beneficio esperado. Por ejemplo, en la gestión de cuentas por cobrar una mitigación es
usar tecnología para la toma de mejores decisiones en el otorgamiento de crédito48.
Control de los riesgos
EL último paso en el proceso de gestión de riesgos es el control. Para ello se usan los reportes
gráficos con el mapa de calor, la lista de riesgos, sus mediciones y planes de mitigación y los
KRI, Key Risk Indicators.
Parte esencial del control es la revisión del estado de las métricas y los planes acción. Cada plan
debe tener un responsable y las acciones deben tener una fecha de ejecución. Los planes
pueden ser calificados según su nivel de ejecución en:
a. Pendientes
b. En proceso
c. Implementados
48 Ver en Riesgo de Crédito, el uso de la inteligencia artificial

124
El rol del grupo de Gestión de Riesgos es coordinar, facilitar, monitorear, y asegurar que los
planes se ejecutan y que, si hay barreras para la acción, estas son resueltas. Por ello es
necesario que Gestión de Riesgos tenga acceso directo e inmediato a la gerencia general y al
directorio.
Las métricas deben tener definidos límites máximos, mínimos o ambos dentro de los cuales están
en la zona normal, pero si exceden esos límites, se debe generar una alerta.
Hay actividades que deben requerir límites de autorización para aprobarlas. Por ejemplo, la
concesión de créditos por parte de una empresa industrial puede tener un límite máximo para el
analista de créditos, otro límite mayor para el jefe de créditos, y uno más alto aún para el gerente
de finanzas. El control de riesgo debe poder monitorear que esos límites no son excedidos.
En el proceso de gestión de riesgo se debe encontrar un balance entre hacer muy poco y
hacer demasiado. Ambos extremos son perjudiciales; el primero porque no logra rebajar
el riesgo inherente de manera suficiente, y el segundo porque exige un costo demasiado
alto a la organización, desmotivando a los participantes. Encontrar el punto medio es un
arte, pero lograrlo es un requisito indispensable para tener resultados exitosos.
125
Cumplimiento y regulación
En las siglas GRC, la C corresponde a la palabra compliance, que se refiere al cumplimiento con
las regulaciones externas e internas. Los departamentos de compliance en las empresas tienen
su origen en la necesidad de asegurar el cumplimiento de algunas leyes de Estados Unidos,
como por ejemplo FCPA (1977), ley de prohibición de sobornos a funcionarios estatales en el
extranjero, o FATCA (2010), que exige a las entidades financieras extranjeras a reportar cuentas
de ciudadanos y residentes en ese país. Estas leyes requirieron un esfuerzo adicional de
identificación y mitigación de riesgo en las empresas.
Conforme las regulaciones se han expandido globalmente, principalmente por requerimiento de
la OCDE, ya no son solo las grandes empresas norteamericanas las que requieren el
cumplimiento, sino que poco a poco las leyes abarcan a muchos más países y empresas.
Uno de los grandes cambios en América Latina es el concepto de responsabilidad de las
empresas. Hasta antes de que entraran en vigor las leyes de cumplimiento, el derecho se basaba
en un principio jurídico alemán que dice que las empresas no pueden delinquir, sino sus
directivos. Sin embargo, en el derecho anglosajón, las empresas si son consideradas como
criminales, pudiendo recibir condenas monetarias y hasta de disolución.
Por presión de la OCDE, varios países de América Latina vienen aprobando leyes de
responsabilidad penal de las personas jurídicas. Frente a estas nuevas leyes, se ofrece una
mitigación que puede rebajar a eliminar las penas, tener un sistema de prevención o compliance.
El compliance puede tener una parte obligatoria y otra voluntaria. La parte obligatoria es la que
afecta a las empresas que están sujetas a leyes de Lavado de Activos (llamadas “sujetos
obligados”), como, por ejemplo, las empresas de servicios financieros. La parte voluntaria se
126
desarrolla para mitigar penas por delitos como el cohecho o la colusión. Esta última contiene
elementos de auto regulación y códigos internos.
Sin embargo, la auto regulación no siempre actúa como freno a la ambición desmedida.
Empresas tan grandes como Volkswagen, Gap, Samsung, o BHP Billiton han tenido serias
acusaciones por faltas éticas y de cumplimiento en los últimos años, pese a existir toda una
infraestructura dedicada a evitar esos problemas.
Debido a la creciente presión regulatoria de diversos órganos del gobierno y del sector privado,
se puede decir que nunca las empresas habían requerido tantos esfuerzos de cumplimiento y se
espera que estos continúen aumentando en el futuro.
Históricamente, los servicios financieros han sido de los más exigidos por las regulaciones de
cumplimiento, junto con los de salud, alimentos, minería, y transporte. Entre las regulaciones más
importantes a las que están sujetas los servicios financieros, debemos resaltar:
1. La Ley de Prácticas Corruptas en el Extranjero (FCPA)
2. Anti Lavado de Dinero y Financiamiento del Terrorismo (AML49, FATF50)
3. Conocer al Cliente (KYC51)
En adición a las regulaciones de compliance, los servicios financieros también deben cumplir con
las normas emitidas por las superintendencias locales, incluyendo las adaptadas del llamado
Comité de Basilea, la organización que agrupa a los bancos centrales de casi todos los países
del mundo.
49 Anti-Money Laundering
50 Financial Action Task Force
51 Know Your Customer
127
Normas internacionales de cumplimiento
• Know Your Customer (KYC)
Tiene por objetivo identificar el carácter ético de los futuros clientes antes de hacer negocio.
Busca investigar el origen de los fondos, su historia de transacciones e intercambios
comerciales, y su cercanía con elementos de dudosa procedencia como el narcotráfico, la
corrupción, o el terrorismo. El proceso es continuo, porque en cualquier momento un cliente
puede incurrir en faltas que requieran tomar una decisión o informar a las autoridades.
En los últimos años, se ha ampliado el requerimiento de cumplimiento con el Enhanced Due
Diligence (EDD) y el Politically Exposed Person (PEP).
• Anti Lavado de Dinero y Financiamiento del Terrorismo (AML, FATF)
Busca identificar actividades criminales mediante la detección oportuna de transacciones
económicas ilegales como el narcotráfico, la corrupción, el tráfico de bienes y servicios, o la
evasión de impuestos. Las instituciones financieras están obligadas por sus reguladores a
investigar el origen de los fondos e identificar y tomar acción cuando estos sean sospechosos.
Uno de los métodos más comunes de lavado de dinero es el de crear nuevos negocios, en
apariencia formales, para introducir dinero de origen ilegal en el sistema formal.
128
• Tráfico de Influencias, cohecho, y colusión.
Las nuevas disposiciones de estos delitos incluyen no sólo al sector público sino también al
privado. En el caso del tráfico de influencias el delito es el intercambio de un bien por la
promesa de interceder en el ámbito judicial. El cohecho es el soborno a un funcionario
público nacional o extranjero, según se vio en la ley de Prácticas Corruptas en el Extranjero
(FCPA), y la colusión es el ponerse de acuerdo para defraudar al estado.
• Otras regulaciones son a ley USA PATRIOT de 2001 y la Ley Sarbanes Oxley
(SOX).
Elementos del programa de cumplimiento
El oficial de cumplimiento
Como respuesta a las innumerables fallas corporativas por problemas éticos, desde la década
del 80 surgió el rol del Chief Compliance Officer (Deloitte, The Chief Compliance Officer, 2015),
conocido en los países de habla hispana como oficial de cumplimiento.
En América Latina, el oficial de cumplimiento está enfocado en evitar el Lavado de Activos y el
Financiamiento del Terrorismo en los sujetos obligados. En las otras empresas, el rol dedicado
al cumplimiento es el llamado “encargado de prevención”, un rol más operativo y menos
estratégico.
En Estados Unidos y otros países, el Chief Compliance Officer busca concentrar el cumplimiento
con las regulaciones externas e internas en una sola persona, evitando que sea una función
secundaria de otros funcionarios. El buen trabajo del oficial de cumplimiento previene problemas
éticos, legales y de reputación entre otros. Inicialmente, ese rol fue visto como el encargado de
compilar las obligaciones regulatorias y responder adecuadamente a esos requerimientos de una
forma pasiva. Con el paso del tiempo, esta posición ha cobrado mucho mayor dinamismo y ha
sido enriquecida, de manera que actualmente es vista como la que moldea el comportamiento
ético en la empresa y traza los lineamientos a seguir para asegurar una completa adhesión a las
129
normas. Su actitud debe ser proactiva y dinámica para que el personal de la empresa sienta suyo
el compromiso de cumplir éticamente con lo exigido por las regulaciones.
Si bien este puesto surgió en las industrias financieras y de salud, donde en muchos casos es
obligatoria, con el paso del tiempo y la complejidad de las regulaciones se ha extendido a muchas
otras industrias.
Para un trabajo efectivo, el oficial de cumplimiento debe tener:
1. Entendimiento del negocio y buen conocimiento regulatorio.
2. Muy buenas habilidades de comunicación, ejercerla dentro y fuera de la empresa.
3. Buena aptitud para entender y gestionar riesgos corrientes y emergentes.
4. Experiencia operacional y adecuado nivel jerárquico.
5. Autoridad sobre los recursos de cumplimiento de las unidades de negocio.
6. Acceso al directorio y reportarle con determinada frecuencia.
7. Capacidad de influir en la cultura de la organización.
Además, debe ser visto dentro y fuera de la empresa como un modelo de integridad y ética. En
síntesis, debe ser un reconocido líder en la empresa (Deloitte, The Chief Compliance Officer,
2015).
Según el reporte ya mencionado de Ernst & Young (E&Y, 2016), en el sector asegurador de
Estados Unidos, el 35% de los oficiales de cumplimiento reportan al departamento legal, el 15%
a riesgo y el 20% al CEO; el 30% restante a otras áreas como al directorio o al comité de auditoría.
Globalmente, el número de oficiales de cumplimiento en el mercado laboral ha aumentado en
forma significativa. Como muestra, dos bancos tenían recientemente el requerimiento de
contratar 3,000 especialistas en cumplimiento y riesgo a nivel global. Pese a tanto crecimiento,
los oficiales de cumplimiento muchas veces sienten que su rol es visto como de menor
importancia por los directivos de las empresas, que a su vez piensan que el cumplimiento es una
imposición externa a la que se tienen que resignar.
130
Sin embargo, hay una tendencia a que el oficial de cumplimiento aumente su participación en la
dirección de la empresa y a que los equipos de cumplimiento también tengan mayor participación
en las actividades de la empresa. Así, será cada vez más común verlos en los equipos de
desarrollo de productos, servicios y en las actividades de expansión en nuevos mercados. La
idea es evitar que la empresa descubra muy tarde que el producto, servicio o mercado no cumple
con las cada vez más estrictas condiciones impuestas por los reguladores y por las políticas
internas.
El cumplimiento en las organizaciones requiere que el personal esté informado y al tanto de las
regulaciones y que ejecute las debidas acciones para que las regulaciones sean cumplidas
cabalmente. De esta manera se espera evitar penalidades, multas, riesgos y acusaciones por
falta de cumplimiento. Los programas de entrenamiento al personal y el archivo sistematizado de
la historia de entrenamiento de cada persona es un requerimiento de los reguladores.
Debido a la necesidad de transparencia en cumplimiento a las regulaciones, las organizaciones
adoptan cada vez más un modelo consolidado y consistente de control de cumplimiento.
Según los expertos de Thomson Reuters, la cultura organizacional de las empresas está poco a
poco incorporando el cumplimiento porque ayuda a mejorar la productividad, la rentabilidad, el
compromiso de los trabajadores y contribuye a reducir los riesgos (Reuters, 2016). Además,
señalan que el 71% de las empresas piensa destinar un presupuesto mayor para los programas
de cumplimiento. Se espera también que continúe la tendencia a que los empleados reporten
anónimamente o no actividades sospechosas dentro de las empresas.
El oficial de cumplimiento debe asegurar que se cuente con los siguientes elementos:
131
El ombudsperson
En un buen gobierno corporativo, es necesario tener una persona que actúe independientemente
para asistir a los empleados, clientes u otros stakeholders en la resolución de conflictos o
preocupaciones que no son fácilmente comunicables. Algunos ejemplos son denuncias internas
por malversación de fondos, acoso sexual o soborno. Las empresas más grandes cuentan para
ello con el rol de ombudsperson.
La palabra ombudsperson viene del sueco ombuds que significa “representante”. El concepto fue
originalmente del imperio chino, en el que un representante secreto del emperador viajaba a las
provincias para recoger el sentimiento de los pobladores respecto a sus gobernantes. En Suecia
este cargo fue instituido por el parlamento a inicios del siglo XIX. Empresarialmente, fue a inicios
de la década del 60 que se desarrolló en Estados Unidos y Canadá. En español se tradujo este
término como “defensor del pueblo”.
El ombudsperson corporativo, en contraposición al político, es también llamado en algunos
países "mediador" y se ocupa de recibir y entender los problemas y cuestionamientos de los
empleados, clientes, proveedores y otros interesados y de comunicarlos adecuadamente a la
organización para su resolución.
Es muy importante que la comunicación de estos cuestionamientos tenga absoluta
confidencialidad. Además, no debe juzgar los cuestionamientos ni filtrarlos, sino encaminarlos al
canal más adecuado. Gran parte de su impacto es en la resolución del problema. Para ello puede
usar las técnicas de mediación de la Resolución Alternativa de Conflictos”.
Una forma de canalizar denuncias de posible fraude o corrupción interna es la que permite a los
empleados comunicar esas inquietudes al ombudsperson, que a su vez debe ocuparse de que
sea comunicada, investigada y resuelta. Alternativamente, la SEC, el regulador de valores de
Estados Unidos, ofrece un premio que alcanza entre 10 y 30% de la multa impuesta, a quien
denuncie un caso de fraude o corrupción en una empresa regulada.

132
Como se puede suponer, no es posible que el cargo de ombudsperson sea desempeñado por
alguien que cumple además otras funciones en la empresa, sino que tiene que ser totalmente
independiente de la organización ejecutiva para evitar conflictos de interés. De esta manera, una
persona independiente y con conocimiento de la empresa, puede canalizar para su resolución y
de una manera adecuada, preocupaciones y problemas que de otra manera pueden generar un
problema mayor en la empresa.
En empresas medianas y pequeñas pueden desarrollar en lugar del ombudsperson un canal de
denuncias que sea anónimo y que garantice que el denunciante no sea perjudicado. Para ello
existen soluciones tecnológicas muy eficientes y seguras.
El mapa de riesgos
El encargado de prevención debe desarrollar un mapa de riesgos en el que estén incluidos
todos los riesgos, priorizados por probabilidad de ocurrencia e impacto económico. Los riesgos
con mayor probabilidad e impacto deben ser priorizados y tratados. La identificación de los
riesgos requiere la participación de un equipo multidisciplinario que pueda ayudar a hacer un
barrido de todos los riesgos potenciales.
Plan de comunicación y códigos de conducta internos
Los riesgos mayores deben ser tratados, y las acciones de mitigación deben ser comunicadas,
junto con las recomendaciones y sugerencias al personal. Se debe crear un sólido plan de
comunicación que exprese de manera directa y fácil de entender las disposiciones requeridas.
El apoyo y soporte de la alta dirección son imprescindibles para que la cultura de cumplimiento
sea adoptada y seguida por todos. Predicar con el ejemplo es imprescindible.
Muchas empresas tienen códigos internos de conducta. Estos permiten que el personal esté al
tanto de los valores éticos de la empresa, de las normas de integridad y de los estándares de
negocio. Estos códigos deben ser en muchas empresas certificados anualmente y en otras, los
133
ejecutivos deben confirmar que su comportamiento cumple con el código. El no cumplir puede
ocasionar desde la despedida hasta una denuncia civil o penal.
En los códigos se establecen responsabilidades de los gerentes y supervisores, instrucciones de
cómo presentar denuncias o dudas, prácticas de ética como la no corrupción, los conflictos de
interés, la política de regalos, de viajes, el comportamiento con funcionarios de gobierno, con
competidores, con contactos internacionales y de confidencialidad entre otros.
En algunos países se hace referencia a la no discriminación por motivos religiosos, étnicos,
raciales o de género. También los códigos han incorporado políticas respecto al uso del equipo
electrónico.
Normas ISO
Para el proceso de administración de cumplimiento hay estándares como el ISO 19600 de
2014, una guía para establecer, desarrollar, implementar, evaluar, mantener y mejorar un
sistema de cumplimiento efectivo y responsable sistema de cumplimiento y el sistema de
gestión antisoborno ISO 37001 de 2016
Cada sector industrial tiene sus propios requerimientos de cumplimiento, pero algunos temas
comunes son los siguientes:
• Base de datos y librerías de regulaciones
Es necesario recibir y almacenar la información de las regulaciones actuales y esperadas,
categorizarlas y priorizarlas para su debida implementación. La librería debe incluir los procesos,
riesgos, controles y procedimientos necesarios.
• Entrenamiento y capacitación a los empleados
Los equipos legales y de cumplimiento deben estar continuamente informados de las
regulaciones. Además, los empleados deben recibir periódicamente cursos de los temas que los
134
afecten directamente. Por ejemplo, un curso de leyes de anticorrupción puede ser obligatorio
para todos los representantes comerciales.
• Seguimiento y resolución de problemas
Los reguladores requieren una lista completa de problemas identificados, con acciones de
resolución, fechas, excepciones, respuesta a los problemas y tendencias. Es muy recomendable
tener esta información en una plataforma centralizada, que permita un manejo eficiente.
• Manejo de certificaciones, evaluaciones y tablas
Cada vez más regulaciones requieren que exista clara y adecuada documentación de las
certificaciones y evaluaciones a seguir.
• La autoevaluación
Es necesario realizar una autoevaluación de los procesos y de los conocimientos del personal
en el cumplimiento de las regulaciones. Además, se requiere llevar un control de las
autoevaluaciones y revisar su cumplimiento.
La prueba: “La primera página del Wall Street Journal”
Una simple guía de sentido común que las empresas usan las grandes corporaciones, es hacer
reflexionar al personal sobre si sus acciones pudieran dar lugar a una noticia negativa sobre la
empresa, que aparezca en la primera página de un diario de negocios como el Wall Street
Journal. Cuando los profesionales internalizan este riesgo y ven que las consecuencias pueden
ser muy graves, tienden a cuidar más sus acciones y a involucrar más a los departamentos
legales y de cumplimiento en situaciones difíciles.
135
Niveles de madurez en cumplimiento
Las organizaciones que tienen programas de cumplimiento pueden ser categorizadas en cuatro
niveles según el desarrollo de su control interno (KPMG, The Compliance Journey: Making
Compliance, 2005):
a. Fragmentado. Cuando el trabajo de cumplimiento es orientado a proyectos solamente.
Los esfuerzos son poco consistentes y desconectados. Este es el caso de muchas
organizaciones que ven el cumplimiento simplemente como una obligación.
b. Implementado. En este caso hay un claro programa de la empresa, bien enfocado y con
personal dedicado que coordina y comunica.
c. Integrado. Cuando, además de estar implementado, hay una clara orientación de
cumplimiento en todos los procesos y las líneas de negocio comparten la responsabilidad.
d. Optimizado. Cuando cumplimiento es parte de la cultura de la empresa e integrada a su
estrategia. En este nivel, todas las personas de la organización creen firmemente y siguen
disciplinadamente los procesos de control, no sólo buscando cumplir con ellos sino también
agregando valor.
Una evaluación del nivel de madurez ayuda a decidir con mayor precisión las herramientas
óptimas para la gestión de cumplimiento.
Riesgo y cumplimiento
Un estudio de la firma Ernst & Young muestra que hay un creciente enfoque del área de
cumplimiento en el uso de las herramientas de riesgo. Esto permite a los oficiales de
cumplimiento un enfoque más estratégico, dado que el uso de herramientas de riesgo requiere
mirar hacia el futuro (E&Y, 2016).
136
Las herramientas GRC
Como se menciona anteriormente, una tendencia en el manejo interno de las empresas es la
integración a nivel estratégico del gobierno corporativo, la gestión integral del riesgo empresarial,
el control interno y el cumplimiento regulatorio. El acrónimo usado para esta combinación de
disciplinas es GRC, derivado del inglés Governance, Risk and Compliance.
Estas tres actividades han sido tradicionalmente ejecutadas por separado, con ejecutivos
designados especialmente para liderar cada una de esas tres actividades independientemente.
El problema de esa separación es que, dado que tienen mucho en común, se producen
redundancias e ineficiencias, que además de duplicar gastos, limitan la comunicación entre los
participantes y pueden generar confusión y errores. La falta de integración tecnológica entre las
tres es una complicación adicional, que dificulta los procesos e intercambio de información para
su seguimiento. GRC no propone que las tres actividades sean lideradas por una sola persona,
sino que compartan un mismo vocabulario, métodos, procesos y si es posible, tecnología.
Las tendencias actuales que han acelerado la necesidad de GRC son:
1. El continuo aumento de regulaciones que requieren una estricta disciplina de
cumplimiento. La necesidad de reducción de los costos de cumplimiento sin sacrificar los
objetivos y la necesidad de mejorar la productividad.
2. La integración de la gestión de riesgo con todas las áreas funcionales, así como la
convergencia de los métodos cuantitativos y cualitativos de riesgo
3. Los grandes avances tecnológicos que por un lado ofrecen grandes oportunidades de
mejora de la productividad y por otro, nuevos riesgos cibernéticos.
4. El crecimiento exponencial de los datos disponibles para la gestión de la empresa, el
análisis del entorno y la información histórica.
137
5. Los problemas que se presentan cuando un mismo riesgo es visto desde puntos de vista
diferentes por cada función, creando confusión o falta de visibilidad en la alta gerencia.
6. Los escándalos corporativos y el riesgo de perder la buena reputación y conducta
empresarial.
La firma KPMG propone en su definición de GRC que es una disciplina estratégica, un proceso
continuo que debe ser parte de la cultura organizacional, que funciona muy bien cuando hay un
espíritu de colaboración entre las áreas funcionales y cuya implementación puede ayudar a las
organizaciones a evitar sorpresas (KPMG, Corporate Governance, Risk and Compliance, 2008).
Una organización que ha contribuido a la difusión de este término es la OCEG, que lo relaciona
con el concepto de “Rendimiento con Principios” (Principled Performance), que propone el “logro
confiable de los objetivos considerando la incertidumbre y actuando con integridad” (Mitchell,
2016). Para la OCEG, GRC es una cultura y una capacidad que permite a las organizaciones
lograr ese rendimiento con principios. Para ello se debe entender y priorizar los intereses de las
partes interesadas, tener buena comunicación con las mismas, gestionar el riesgo deseable y el
indeseable, actuar con integridad y asegurar que el sistema esté logrando los objetivos.
Beneficios
Los beneficios de un programa integrado de GRC son:
1. Minimizar el riesgo a la empresa, al proveer mayor visibilidad y contexto a las áreas más
importantes de negocio. Estos riesgos anteriormente eran manejados por cada área funcional
separadamente. Así, por ejemplo, un riesgo operativo gestionado únicamente por operaciones
no era siempre visto por el área legal, así tuviera serias implicaciones legales por
desconocimiento del área operativa. Cuando legal se enteraba del problema ya era muy tarde
para evitarlo.
138
2. Aumentar la eficiencia y reducir costos, gracias a la eliminación de redundancias y a la
simplificación de procesos. También la eficiencia mejora al tener un estándar en la identificación
y control del riesgo.
3. Optimizar los reportes en la empresa, gracias a la plataforma que permite reportar la
información adecuada a las personas indicadas en el momento preciso para la correcta toma de
decisiones. Estos reportes no sólo sirven internamente, sino que algunos de ellos también
pueden ser usados para comunicarse con reguladores u otras partes interesadas.
Tecnología para la gestión de GRC
Con el aumento de la complejidad de los riesgos que amenazan a las empresas, de la cantidad
de información a analizar y de las nuevas y complejas regulaciones, muchas empresas deciden
hacer uso de la tecnología para facilitar su gestión. En muchos casos, los departamentos internos
de TI diseñan soluciones específicas para su empresa. En otros, los departamentos de riesgo
diseñan sus propias tablas y macros en hojas de cálculo que se envían por correo electrónico.
Los problemas de las tablas, macros y hojas de cálculo o similares es que pueden no tener:
• Control de versión.
• Control de acceso.
• Control de cambios.
• Registro auditable.
• Seguimiento automático de tareas.
• Alertas automáticas.
De manera similar al desarrollo de los sistemas ERP para gestión contable, administrativa y
financiera de las empresas, surgieron algunos módulos de gestión de riesgos. Muchas de esas
son soluciones parciales o limitadas, que no siempre cumplen con los requerimientos necesarios
139
para una buena gestión de gobierno corporativo. Por ello, desde hace no mucho tiempo, existen
las plataformas integradas de GRC, diseñadas con una arquitectura específica para este fin.
Como las empresas requieren de una estructura flexible para los programas de gobierno
corporativo, las plataformas GRC pueden responder a esa necesidad, facilitando una amplia y
rápida comunicación en la empresa e integrando todos los asuntos relevantes que defiendan los
intereses de los accionistas. Sin embargo, para que estas soluciones sean efectivas, las
empresas requieren haber implementado los procesos integrales de GRC, pues la tecnología no
resuelva la falta de procesos, sino que solo facilita su uso.
Las plataformas integradas GRC pueden ayudar al mapeo de todos los factores de gobierno,
riesgo y cumplimiento asegurando controles adecuados, detectando problemas emergentes,
alertando en tiempo real los riesgos emergentes y las actividades incompletas y ayudando a que
la alta dirección de la empresa esté mejor informada y pueda tomar decisiones a tiempo y basada
en datos concretos. También proveen cálculos y reportes de pérdidas debido a los riesgos. Visto
como un sistema, antes del enfoque GRC, había una falta de conexión entre las actividades que
impedía la rapidez en el acceso a la información de los problemas emergentes de las
organizaciones. Los silos organizacionales generaban problemas con el manejo tecnológico, el
acceso y manejo de las bases de datos y la disponibilidad de la información en un ambiente cada
vez más regulado y global. Adicionalmente, la información almacenada de las actividades de
GRC puede ser analizada para el diseño de nuevos o mejores procesos y productos.
Entre otros, los problemas que una plataforma integrada de GRC resuelven son los siguientes:
1. Dependencia de ciertas personas, de su intuición y experiencia, en vez de procesos y
sistemas.
2. Necesidad de “reinventar la rueda”, es decir diseñar una arquitectura que ya fue bien
pensada y recrear la plataforma sin el conocimiento especializado; costos de error y redundancia.
3. Dificultad en mantener un histórico de la gestión de riesgos.
140
4. No aprovechar la actualización constante de los sistemas especializados, que reciben
información de los cambios y avances y los agregan permanentemente al sistema.
5. Calidad y consistencia en los datos.
Si bien las empresas que cotizan en bolsa son las que tienen una necesidad más urgente de la
plataforma GRC, está probado que las empresas que tienen un sólido gobierno corporativo
responden mejor a situaciones de estrés como la crisis financiera del 2008. Las empresas que
aspiran a cotizar en bolsa o que planean fusiones o adquisiciones también se benefician de una
implementación de GRC. En general, el buen gobierno corporativo contribuye con el desarrollo,
permite un mayor acceso al capital y promueve la inversión y el empleo.
Las organizaciones están en un proceso en el que se expande el uso de GRC a otras áreas que
impactan significativamente a la empresa. Las soluciones tecnológicas deben incluir las
siguientes aplicaciones:
a. Gobierno Corporativo
b. Gestión Integral de Riesgo
c. Riesgo Operativo
d. Auditoría
e. Cumplimiento
f. Ética en Cumplimiento
g. Gestión Corporativa de Proveedores
h. Calidad
i. Salud y Seguridad del Ambiente
j. Sostenibilidad
k. Riesgo y Cumplimiento de Tecnología de la Información
l. Riesgo Cibernético
m. Gestión de Contratos
n. Procesos de Seguridad
141
o. Manejo de Redes Sociales
p. Privacidad de Datos
q. Gestión de Cambio Regulatorio
Las plataformas tecnológicas de GRC incluyen todos esos aspectos a través de aplicativos que
permiten una gestión integral. Los que tienen una arquitectura más sofisticada tienen en su base
al riesgo individual que puede ser visto desde diferentes perspectivas según el área
correspondiente. Por ejemplo, un riesgo que según el área de cumplimiento tenga un alto nivel
de riesgo puede ser visto desde el punto de vista de auditoría como de bajo riesgo.
Registro de datos
El registro de datos necesarios para una adecuada gestión de riesgos debe incluir al menos los
siguientes campos:
• Resumen del riesgo identificado.
• Detalles adicionales explicando el riesgo.
• Un numero o código que identifique el riesgo.
• Responsable de la mitigación.
• Datos de contacto del responsable.
• Fecha de registro y fechas de modificaciones.
• Descripción del plan de mitigación. El plan puede estar enlazado a otra base de datos
con los detalles de las medidas correctivas.
• Impacto. Una medición del impacto (por ejemplo, monetario) que el riesgo puede tener
en la organización. Puede ser registrado en una escala del 1 al 5, donde 1 es bajo impacto
y 5 es alto impacto.
• Probabilidad. Medición de que tan probable es que se presente el riesgo identificado.
También se puede usar una escala de 1 a 5.
• Puntaje de riesgo. Es la multiplicación del impacto por la probabilidad.
142
Con el puntaje de riesgo se puede construir un mapa de calor, que representa los riesgos
en dos dimensiones, un eje de impacto y otro de probabilidad.
Ejemplo: aplicación de riesgo operacional
El aplicativo de riesgo operacional incluye módulos para el planeamiento, la identificación
y clasificación de riesgos, la evaluación de riesgos inherentes y residuales, la ejecución y diseño
de controles, la evaluación de controles y la gestión integrada de riesgos. Tiene por lo general
los siguientes pasos:
1. Evaluación de riesgos
Como se ha visto en la sección 2.5, esta etapa comienza generalmente con una lluvia de ideas
a cargo de un equipo multifuncional de trabajo que combine conocimientos del área operacional
con otras disciplinas tales como finanzas, recursos humanos, tecnología y logística. El módulo
de riesgo operacional permite registrar todas las ideas para su posterior análisis.
2. Cálculo de pérdidas
El grupo debe después priorizar los riesgos considerando la probabilidad e impacto de
ocurrencia. En el sector bancario, la captura y categorización de los eventos de riesgos se debe
hacer según las regulaciones locales, que normalmente exigen una base de datos de pérdidas
por riesgo operacional.
El sistema GRC permite registrar la probabilidad e impacto de cada riesgo, de manera que sea
posible calcular la pérdida esperada.
En este paso se deben definir los límites de pérdida, consolidar datos de fuentes de información
externas y hacer análisis de escenarios de pérdidas potenciales.
3. Identificación y control de mediciones críticas (KPI, KRI y KCI)
Una vez priorizados los riesgos, se debe diseñar un plan de mitigación y control. Las mediciones
críticas se definen así:
143
• KPI. Son las siglas de Key Performance Indicators, son los indicadores que la empresa
utiliza para medir y controlar el progreso hacia los objetivos propuestos.
• KRI. Key Risk Indicators, son usados para definir, medir y evaluar la tolerancia al perfil de
riesgo definido.
• KCI. Key Control Indicators, mide si los controles internos son efectivos y si la empresa
tiene el control sobre los mismos
Las aplicaciones GRC facilitan la identificación de medidas críticas de riesgo, su documentación,
reporte, seguimiento y frecuencia de control. Ayudan a definir múltiples niveles de tolerancia y
acciones a seguir, así como análisis de correlaciones entre las mediciones.
4. Análisis de escenarios
Ayudan a definir y planificar escenarios de riesgo, analizar tendencias, identificar escenarios base
y partes interesadas, conducir seminarios, capturar información y usar técnicas de análisis de
escenarios.
5. Cálculo de capital y análisis de riesgo
Facilitan el uso de múltiples formas de calcular el capital y de analizar riesgos operacionales.
Para ello, usan distribuciones de frecuencia y severidad, simulaciones de Monte Carlo, análisis
predictivo, análisis de escenarios y de modelos de riesgo. También ayudan a correlacionar los
datos de riesgo con los procesos relacionados de cumplimiento, auditoría y procesos de gobierno
corporativo.
Niveles de adopción de GRC
Debido a que la integración que permiten las plataformas de GRC es relativamente novedosa,
muchas empresas aún no han comenzado el proceso de adopción de este tipo de solución. En
144
el camino a su implementación, las empresas pasan por tres niveles hasta llegar a la gestión
integral, de una manera parecida a la implementación del cumplimiento. Estos niveles son:
Nivel I – Fragmentado
En esta etapa aún no se han implementado herramientas de GRC.
- La identificación y gestión de riesgos es realizada independientemente por varias áreas
de la empresa y sólo son integradas al nivel del gerente general o CEO.
- El análisis de riesgo es mayormente cualitativo.
- La gestión de cumplimiento es poco fluida, manual y difícil de manejar.
Nivel II – Parcialmente integrado
Cuando se usan sólo algunas herramientas de GRC.
- Al introducir herramientas de GRC, el análisis de riesgo pasa a ser integrado en la
organización, con mayor visibilidad y con prioridades.
- El gobierno corporativo es más activo que proactivo.
Nivel III – Optimizado
Cuando se aplica un sistema integral de GRC.
- Se aplica la inteligencia de riesgo, orientada a la detección temprana y/o predicción de
riesgos, anticipándose estratégicamente.
- GRC usado en todas las áreas de la empresa.
- Excelencia en cumplimiento gracias a las herramientas de GRC.
- Procesos integrados y bien organizados.
145
Implementación
La implementación de un programa de GRC es un proceso que consolida los esfuerzos alrededor
de prioridades estratégicas como por ejemplo gestión de las políticas de la empresa, gestión de
riesgo y privacidad. Además, al desarrollarse, permite involucrar a partes o procesos interesadas
que anteriormente no habían sido identificados como proveedores, clientes u otros.
Para una implementación exitosa, es necesario subrayar que no se trata solamente de una
herramienta tecnológica, sino que involucra además a personas y procesos. Por tanto, es
importante dividir el proceso en fases, de manera que su implementación sea gradual,
permitiendo los ajustes necesarios. Es recomendable que cada equipo de implementación cuente
con un promotor del equipo directivo, un gerente de proyecto personal de TI, expertos en temas
específicos y usuarios finales. Al iniciar el proyecto, se debe establecer la misión, alcances y
prioridades de este con la disciplina de manejo de proyectos y calidad. Al definir las etapas y
objetivos, será más visible el progreso del equipo y el valor agregado.
Fases de implementación
Un modelo integral de implementación de GRC requiere las siguientes fases:
1. Estrategia
En la estrategia de implementación es necesario definir inicialmente la visión, los objetivos y las
necesidades de las partes interesadas de acuerdo con los riesgos, las prioridades y las
necesidades regulatorias de la empresa. A continuación, entender a qué nivel de desarrollo se
va a llegar en esta fase con el modelo de GRC a implementar. Hay múltiples opciones del modelo
de GRC a implementar. Para ello es fundamental hacer un análisis que compare el estado actual
con el deseado, identificando los vacíos a llenar. Finalmente, definir el modelo de GRC con la
participación de las partes interesadas y una definición clara de responsabilidades en gestión de
riesgo para que sea un modelo proactivo y eficiente.

146
2. Diseño
En la fase de diseño es ventajoso usar librerías preparadas por los proveedores de la solución
tecnológica, así como modelos de organización. Las aplicaciones desarrolladas por estas
plataformas proveen además ayuda para el análisis de los procesos y soluciones tecnológicas
para integrar la infraestructura de la empresa al sistema de GRC con una arquitectura adecuada.
3. Implementación
La fase de implementación incluye constituir el equipo que la ejecutará, incorporar representación
de las partes interesadas, definir el modelo multigeneracional que muestre el camino a seguir en
el futuro, preparar la comunicación del proyecto y el plan de mejora continua. Las plataformas
tecnológicas proveen librerías con modelos y herramientas de implementación de acuerdo con
las necesidades de las empresas.
147
GRC, herramienta contra el delito económico
La falta de una visión y gestión integradas de GRC y la mentalidad departamental de algunas
empresas deja las puertas abiertas al llamado delito económico, el ataque ilícito a las empresas
en forma de fraude, blanqueo de dinero, o evasión tributaria. Esta vulnerabilidad puede
presentarse porque al haber liderazgos muy independientes de gobierno, riesgo y cumplimiento,
se pierde la visión integral y se relegan riesgos críticos debido a otras prioridades del directorio
y de la gerencia ejecutiva. Así, por ejemplo, cuando se contrata con proveedores, los riesgos que
esa relación puede tener son muy amplios. Hay desde riesgo reputacional, pasando por
corrupción, riesgo cibernético, privacidad de datos, hasta lavado de dinero. Si se limita el análisis
de esos riesgos a un área que puede ser proveedores, sin suficiente visibilidad y transparencia
a las demás funciones, es más fácil que un proveedor cometa un delito contra la empresa.
Crimen cibernético
Para enfrentar el gran riesgo de la seguridad cibernética, las aplicaciones de GRC usan la
tecnología para sistematizar ese conocimiento escaso, centralizando los datos de seguridad,
integrando las políticas y los estándares, analizando y priorizando los riesgos e incidentes y
automatizando los procesos de seguridad. Además, cuentan con módulos de auditorías de TI
que permiten identificar defectos en la seguridad, resolverlos y asegurar que la empresa no esté
expuesta a esos riesgos (Abadir, 2016).
Toda esta infraestructura permite a los profesionales de TI dedicar menos tiempo a actividades
manuales y más tiempo a construir un programa integral de seguridad y gestión de riesgo que
provea visibilidad y valor a la organización.
Ética y cumplimiento
Debido a que el delito económico es perpetrado por personas que de alguna manera
contravienen un límite ético, las personas son la prioridad en este tema. Y tal vez debido a eso,
la mayor preocupación es cómo la falta de ética y cumplimiento puede afectar la moral y el
148
espíritu de la empresa. El estudio de PwC muestra que hay una brecha entre los valores y la
cultura que los ejecutivos de las empresas desean inculcar y lo que el personal realmente percibe
y cree.
Los aplicativos GRC de cumplimiento y ética ayudan a identificar áreas de riesgo, proveen
visibilidad a la gerencia y por medio de reportes automatizados permiten su resolución,
documentación y seguimiento.
Lavado de dinero y financiamiento del terrorismo
Las operaciones de lavado de dinero son tan grandes que se estima su valor entre 2 y 5% del
producto bruto interno del mundo. Sin embargo, solo el 1% de ese tipo de operaciones son
detectadas. El 70% de las empresas cree que el mayor factor para este tipo de crimen es que el
sistema deja abiertas oportunidades a los criminales. Las empresas reportan falta de personal
adecuadamente entrenado en el mercado laboral.
Por un lado, las amenazas son constantes y cada vez más sofisticadas. Por otro lado, los
reguladores imponen cada vez un número mayor de reglas de cumplimiento. A eso se suma que
las empresas tienen una gran dificultad de conseguir personal especializado en temas muy
necesarios como Lavado de Dinero y Financiamiento del Terrorismo. Frente a estos retos, las
opciones tecnológicas GRC provee controles internos, evaluación de riesgos y entrenamiento
especial para difundir la cultura necesaria para detectar las operaciones de lavado de dinero.
149
Conclusiones
1. La confluencia entre el buen gobierno corporativo, la gestión integral de riesgo con
responsabilidad social, y el cumplimiento regulatorio son esenciales para lograr los objetivos
de las organizaciones en el siglo XXI. Las siglas GRC resumen esa confluencia, en la que se
evita una mentalidad de silos o compartimientos impida a las organizaciones ver los riesgos
desde distintas perspectivas, evitando duplicidades y redundancias, y facilitando la
comunicación.
2. Las bases para un buen gobierno corporativo se han ido afinando por medio de iteraciones
en las guías y principios emitidos como resultado de grandes fallas corporativas como los
conocidos casos del banco BCCI, de Polly Peck y de Enron entre otros. Las grandes
instituciones multilaterales, con el apoyo de los reguladores de cada país han logrado difundir
esos principios y se experimenta una mayor sofisticación en su cumplimiento. Uno de los
grandes retos es el de equilibrar los más altos estándares de gobierno corporativo sin afectar
la innovación y la creatividad, fuentes fundamentales de valor agregado.
3. La historia revela que las fallas corporativas se dan normalmente por faltas éticas o por
errores de gestión. En muchas ocasiones, las faltas éticas, que son una abrumadora mayoría,
logran vencer al sistema, encontrando formas de acción delictiva, y muchas veces se dan en
ciclos que terminan con grandes problemas económicos. Los reguladores tratan de que estas
faltas no se repitan, tratando de mejorar o innovar las regulaciones, pero surgen nuevas e
inesperadas formas de delito. Mirando el futuro, estas pueden venir por temas aun incipientes
o poco entendidos como en tecnologías de punta.
4. Estudios recientes muestran que la percepción del riesgo no sólo es un fenómeno cognitivo,
sino también biológico, relacionado con la hormona llamada cortisol. El aumento de cortisol
genera aversión al riesgo y su falta motiva riesgos inadecuados. La gestión de riesgo debe
ser balanceada, con una visión muy amplia, estratégica, y multidisciplinaria. Se define la
gestión de riesgo como la ciencia y el arte de identificar, medir, y minimizar consciente y
150
diligentemente los riesgos de la organización, priorizando y controlando inteligentemente los
riesgos inherentes hasta dejarlos en un nivel de riesgos residuales que sea aceptable a la
organización.
5. La gestión integral de riesgo también ha evolucionado, con la adopción de estándares como
COSO e ISO, adaptándose a los nuevos riesgos tecnológicos que se presentan y usando la
tecnología para estar un paso adelante. Sin embargo, hay indicios de que para detener a los
futuros criminales económicos se requiere de un impulso y previsión mucho mayores a los
actuales.
6. La tecnología presenta un riesgo mayor al mundo empresarial. Por un lado, representa una
de las mayores oportunidades de mejora en la productividad y en el desarrollo de nuevos
negocios. Por otro lado, requiere gestionar el riesgo de crimen cibernético dentro y fuera de
la empresa, así como una buena estrategia de acción frente al reto de la llamada
transformación digital.
7. Desconocida hasta no hace mucho, la función de cumplimiento ha crecido muy rápidamente,
sobre todo en la industria financiera, para tratar de impedir, entre otros, el avance del lavado
de dinero, la corrupción y el financiamiento del terrorismo. Debido a este rápido crecimiento,
las empresas tienen dificultad para contratar personal especializado. Una fuerte cultura
corporativa de cumplimiento en la que todos estén comprometidos, trabajando junto a los
especialistas, la inversión en expertos y en herramientas, son indispensables para poder
tener éxito.
8. Existe el consenso de que la responsabilidad social es un elemento crítico para el éxito de
las empresas a largo plazo. Un buen entendimiento de las partes interesadas y ejecutar un
plan diligente de gestión pueden ayudar mucho a manejar exitosamente la responsabilidad
social corporativa.
9. Al englobar todos estos conceptos bajo una sola estrategia, GRC, esta sirve para que la
irresponsabilidad, derivada de la falta de ética y la mediocridad, no acaben afectando a la
empresa, y por lo tanto a sus partes interesadas, incluyendo la sociedad y el medio ambiente.
151
GRC requiere un cambio cultural en el que se comparte más que en el esquema tradicional,
rompiendo barreras entre grupos internos de la empresa y promoviendo una actitud de
colaboración y anticipación a los riesgos.
10. Una de las oportunidades de mejorar la transparencia y visibilidad, además de productividad
es la de las plataformas tecnológicas de GRC, que permiten, entre otras cosas, la gestión
integral de riesgos en un solo repositorio, el almacenamiento histórico de riesgos y
modificaciones a su control, el reporte automatizado del estado de riesgo, el acceso a
información externa relevante, tener una visión conjunta de los riesgos manteniendo las
distintas perspectivas, la capacidad de facilitar el proceso de riesgo de una manera
estandarizada y evitar la mentalidad de silo de algunas organizaciones.
152
Referencias
Abadir, S. (2016). Leveraging GRC to support, enhance federal cyber expertise. Washington,
DC: Federal Times.
Abínzano, I. (2012). Finanzas Empresariales. Madrid: Ediutorial Paraninfo.
AFI. (2011). Corporate Finance and Access to Capital Markets. London: WSBI.
Africa, T. I. (2009). King Report on Governance for South Africa. Johannesburg.
Aguilar, C. L. (2013). Institutional Investors: Power and Responsibility. Georgia: SEC.
Akerlof, G. (1970). The Market for 'Lemons': Quality Uncertainty and the Market Mechanism.
Quarterly Journal of Economics.
Bencheikh, O. (2004). Le français risque el l'arabe rizq. Paris: Selefa France.
Bufkins, D. &. (2008). Red Flags in Enron's Reporting of Revenues & Key Financial Measures.
Cambrige, U. o. (2015). The Cadbury Report. Cambridge: University of Cambridge.
Carroll, D. A. (1991). The Pyramid of Corporate Social Responsibility.
Chicago, T. U. (2012). Complying with the Foreign Corrupt Practices Act. Chicago: Global Anti-
Corruption Task Force.
Choo, N. F. (2005). Law and Corporate Governance. Berkeley: Univeristy of California.
COSO. (2013). COSO Internal Control — Integrated Framework Principles. COSO.
Council, F. R. (2014). The UK Corporate Governance Code. London: FRC.
Council, F. R. (2018). The UK Corporate Governance Code. London, England: Financial
Reporting Council.
153
David Martin, D. M. (2006). Corporate Governance: Practical Guidance on Accountability
Requirements. London: Thorogood Publishing.
Davis, D. &. (1991). Stewardship Theory or Agency Theory. Australian Journal of Management.
Deloitte. (2013). Exploring Strategic Risk. Deloitte.
Deloitte. (2015). The Chief Compliance Officer. Deloitte.
Deloitte. (2018). Global Risk Management Study, 11th edition. Deloitte.
Department for Business, E. &. (2016). Corporate Governance Reform. London.
Dolmetsch, C. (6 de Diciembre de 2013). Tyco’s Kozlowski Told Boad He’s Responsible for
Crimes. Bloomberg.
E&Y. (2016). A time of evolution for compliance laying foundations for future success. E&Y.
Economica, S. (05 de 09 de 2016). Cómo Domino's busca recuperar la confianza de los
peruanos . Semana Economica.
Edmans, A. (2008). Does the stock market fully value intangibles? Employee satisfaction and
equity prices. Journal of Financial Economics.
Fabián, P. T. (2010). Gobernabilidad de las empresas familiares peruanas y principios de buen
gobierno corporativo. Lima: ESAN.
Freeman, R. E. (1983). Stockholders and Stakeholders: A New Perspective on Corporate
Governance. California Management Review, 88.
Friedman, M. (1970). The Social Responsibility of Business is to Increase its Profits. New York
Times.
GECN. (2018). Global Trends in Corporate Governance. New York: Farient Advisors.
Glac, K. (2010). The Influence of Shareholders on Corporate Social Responsibility. Minneapolis:
Center for Ethical Business Cultures.

154
Governance, T. C. (1992). Report of the Committee on the Financial Aspects of Corporate
Governance. London: Gee and Co. Ltd.
Governanceprinciples.org. (2016). Commonsese Corporate Government Principles.
http://www.governanceprinciples.org/.
Gwynne, J. B. (2004). The Outlaw Bank: A Wild Ride Into the Secret Heart of BCCI. Maryland:
Beard Books.
Hermes. (2016). ESG Investing. London: Hermes.
Hoch, J. L. (2013). Encyclopedia of White-Collar and Corporate Crime. London: SAGE
Publications.
IFC. (2012). Who's Running The Company? Washington: IFC.
IFC, I. F. (2009). Practical Guide to Corporate Governance. Washington, DC: IFC.
Inc., T. E. (2016). Corporate Governance Guidelines. The Estée Lauder Companies Inc.
ISO. (2009). ISO IEC 31010:2009. ISO.
Jackson, G. (2010). Understanding Corporate Governance in the United States. Düsseldorf:
Hans-Böckler-Stiftung.
Jensen, M. C., & Meckling, W. H. (1976). Theory of the Firm: Managerial Behavior, Agency
Costs and Ownership Structure. Journal of Financial Economics.
Kandasamy et al, N. (2014). Cortisol shifts financial risk preferences. Cambridge: University of
Cambridge.
Kaplan, S. N. (1997). The Evolution of U.S. Corporate Governance. Journal of Private Equity, 8.
KPMG. (2005). The Compliance Journey: Making Compliance. KPMG.
KPMG. (2008). Corporate Governance, Risk and Compliance. Canada: KPMG.
155
Krause, M. (2000). La teoría del agente y el principal en la estructura de la empresa. Buenos
Aires: ESEADE.
Lam, J. (2014). Enterprise Risk Management: From Incentives to Controls. Hoboken, NJ: Wiley.
Larcker, D. F. (2015). International Corporate Governance. Stanford: University of Stanford.
Lee, S. H. (2016). EXCESSIVE DIRECTOR PAY SETTLEMENTS RESULTING IN
CORPORATE GOVERNANCE REFORMS. Bloomberg.
Means, A. B. (1932). The Modern Corporation and Private Property. New York: Transaction
Publishers.
Mitchell, S. (2016). Principled Performance and GRC. OCEG.
Mooney, A. (2016). Investment lessons to learn from the VW scandal. London: Financial Times.
Norris, P. R. (2017). What makes a great Risk Manager. Berks: Sword.
OECD. (2014). Risk Management and Corporate Governance. OECD.
OECD. (2015). G20/OECD Principles of Corporate Governance. Paris: OECD.
OECD. (2015). OECD Guidelines on Corporate Governance of State-Owned Enterprises.
OECD.
Peng, S. S. (2012). Informal institutions, shareholder coalitions, and principal–principal conflicts.
Asia Pacific Journal of Management.
Percy Marquina, E. R. (2012). Impacto de la Responsabilidad Social Empresarial en el
Comportamiento de Compra y Disposicion a Pagar entre Consumidores Bogotanos.
Lima: CENTRUM.
PwC. (2016). Going public? PwC.
PwC. (2018). Global Economic Crime Survey 2018. London: PwC.
156
RAE, R. A. (2014). Diccionario. Madrid: RAE.
Reuters, T. (2016). Top 5 Compliance Trends Around the Globe in 2016. Thomson Reuters.
Rosenthal, L. (2012). Nonprofit Corporate Governance: The Board’s Role. Boston: Harvard.
Security, R. (2014). Good Governance: The Cyber Risk Antidote? London: Youtube.
Shleifer, V. y. (1997). A Survey of Corporate Governance. The Journal of Finance.
Solomon, J. (2010). Corporate Governance and Accountability. John Wiley & Sons.
Studies, C. f. (2016). Hacking the Skills Shortage.
Supervision, B. C. (2015). A brief history of the Basel Committee. Basel: Bank for International
Settlements.
Supervision, B. o. (1995). Report into the collapse of Barings Bank. London: Board of Banking
Supervision.
Taleb, N. (2010). The Black Swan: Second Edition: The Impact of the Highly Improbable.
Tayan, D. L. (2011). A Closer Look at Organizational Choices and Their Consequences. New
Jersey: Pearson Education, Inc.
Thornton, G. (2016). The future of governance: one small step ...
Tophoff, V. (2014). Revision of the OECD Corporate Governance Principles. Amsterdam:
www.ifac.org.
www.parliament.uk. (2016). Corporate Governance inquiry launched. London: House of
Commons.
Yurtoglu, C. a. (2012). Corporate Governance and Development - An Update. Focus, VIII.
157
Apéndice
158
Siglas
AFI Analistas Financieros Internacionales
AIG American International Group
BCCI Bank of Credit and Commerce International
AML Anti-Money Laundering
BHS British Home Stores
BiSL Business Information Services Library
BP British Petroleum
CCM Continuous Control Monitoring
CCO Chief Compliance Officer
CEO Chief Executive Officer
CFO Chief Financial Officer
CMMI Capability Maturity Model Integration
COBIT Control Objectives for Information and Related Technologies
COSO Committee of Sponsoring Organizations
CRO Chief Risk Officer
CSO Chief Strategy Officer
ERM Enterprise Risk Management
ESG Environmental, social and governance
GRC Governance, Risk and Compliance
FATCA Foreign Account Tax Compliance Act
FCPA Foreign Corrupt Practices Act
GECN Global Governance and Executive Compensation Network
ICCR Interfaith Center on Corporate Responsibility
IFC International Finance Corporation
IOSCO International Organization of Securities Commissions
ISACA Information Systems Audit and Control Association
ISO International Standards Organization
159
ITIL Information Technology Infrastructure Library
KYC Know Your Customer
OCDE Organization for Economic Cooperation and Development
OCEG Open Compliance & Ethics Group
PBGC Pension Benefit Guaranty Corporation
PMBOK Project Management Body of Knowledge
PwC Price Waterhouse Coopers
RIMS Risk Management Society
SNA Social network Analysis
SOX Sarbanes Oxley
TI Tecnología de la Información
TOGAF The Open Group Architecture Framework
160
Grandes regulaciones de gobierno corporativo
Falla Corporativa Empresa(s) Fecha y Regulación
Al quebrar la empresa, se Studebaker, Fabricante de 1974
descubrió que no había una Autos

Ley ERISA (Pensiones)
reserva suficiente para pagar las
(Estados Unidos)
pensiones de los trabajadores. Regula la reserva necesaria para los fondos
de Pensión.
Soborno a funcionarios de United Brands Company, 1977
gobierno. Trading de Bananas

FCPA (Foreign Corrupt Practices Act)
Contratación de traficantes de Lockheed, Fabricante de

Prohíbe pagos a funcionarios extranjeros por
armas. Aviones de Guerra
parte de ciudadanos o empresas
(Estados Unidos) relacionados con Estados Unidos en el
mundo.
Uso indebido de fondos de Maxwell Communications 1992
pensión de los empleados.

Bank of Credit and Cadbury Report (Financial Aspects of
Lavado de Dinero y otros. Commerce International Corporate Governance)
(BCCI)
Mayoría de directores independientes.
Polly Peck
Transferencia de fondos de la Al menos 3 directores no ejecutivos en los
empresa a cuentas personales. (Reino Unido) comités de Auditoría y Compensación
Ningún solo individuo tiene poder de
decisión
161
Transacciones no autorizadas, Barings Bank 1995
no reportadas, fraude y
(Reino Unido) Reporte del Directorio de Supervisión
manipulación contable.
Bancaria bajo la dirección de Lord Bruce of
Falta de segregación de tareas y Donington
de controles contables.
Fallas graves en gestión de
riesgo.
Fraude y manipulación contable. Enron, Trading de Energía 2008-2010
Bonos y compras de arte no Sarbanes–Oxley Act
autorizados, pagos fraudulentos

Tyco, Conglomerado CEO y CFO responsables de los estados
a proveedores.
financieros; obligación de reportar cambios
Fraude contable, préstamos y significativos; responsabilidad penal por
garantías riesgosas al CEO. WorldCom, fraude en los mismos
Telecomunicaciones
Destruir documentación contable es un
(Estados Unidos) crimen
Parmalat La gerencia es responsable del control
interno
(Italia)
Muy elevado endeudamiento y Lehman Brothers, Banco de 2010
sobre exposición a préstamos y Inversión

Dodd–Frank Wall Street Reform and
derivados hipotecarios sub-
AIG, Conglomerado Consumer Protection Act
prime.
asegurador global.
162
(Estados Unidos)
163
Películas y libros sobre fallas de gobierno corporativo
Titulo Original Título en español Escandalo Año de estreno
Corporativo
Deepwater Horizon Deepwater Horizon Mayor Vertido de 2016
Petróleo – British
Petroleum (2010)
The Big Short La Gran Apuesta La Caída del Mercado 2015
sub-prime (Lehman
Brothers, AIG, etc.)
Too Big to Fail Demasiado Grande para La Gran Crisis 2011
Caer Financiera de 2008
Margin Call El Precio de la Codicia Inspirada en Lehman 2011
Brothers y la Gran Crisis
Financiera de 2008
Inside Job Dinero Sucio o Trabajo Crisis Financiera Global 2010
confidencial
Enron: The Smartest Enron, los tipos que Enron 2005
Guys in the Room estafaron a América
The Corporation La Corporación Varios 2003
Startup.com Startup.com La Burbuja de las 2001
Empresas Punto-com
Erin Brockovich Erin Brockovich Pacific Gas and Electric 2000
Company
164
Rogue Trader El Estafador Barings Bank 1999
The Hudsucker The Hudsucker Proxy United Brands 1994
Proxy Company
Barbarians at the Barbarians at the Gate RJR Nabisco 1993
Gate
Roger and me Roger y yo General Motors 1989
Wall Street Wall Street Drexel 1987
The Solid Gold Un Cadillac de Oro Contra los Directorios 1956
Cadillac Macizo Corruptos
165

GRC - Javier Ismodes PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

GRC - Javier Ismodes PDF

Cargado por

Copyright:

Formatos disponibles

GRC: Gobierno Corporativo, Riesgo y

Javier Ísmodes Cascón

© Javier Ísmodes Cascón, 2019

Javier Ísmodes Cascón

Primera edición digital, agosto de 2019

Libro digital disponible en: www.amazon.com

Casos históricos y respuestas regulatorias ................................................................................ 8

El gobierno corporativo .............................................................................................................34

Aspectos generales ...........................................................................................................35

Gobierno corporativo por tipo de organización ...................................................................37

Teorías del gobierno corporativo........................................................................................45

Evolución del gobierno corporativo ....................................................................................53

Sistemas legales y regulatorios de gobierno corporativo....................................................64

Las partes interesadas .......................................................................................................66

La gestión de riesgo ..................................................................................................................78

Clasificación de riesgos: genéricos y por tipo de actividad .................................................92

El proceso de gestión de riesgo .......................................................................................118

Cumplimiento y regulación ......................................................................................................126

Las herramientas GRC ...........................................................................................................137

Tecnología para la gestión de GRC .................................................................................139

Ejemplo: aplicación de riesgo operacional .......................................................................143

Niveles de adopción de GRC ...........................................................................................144

GRC, herramienta contra el delito económico ..................................................................148

Grandes regulaciones de gobierno corporativo ...................................................................161

Películas y libros sobre fallas de gobierno corporativo ........................................................164

Con el auge de la globalización, los retos de las corporaciones, organizaciones, y

emprendimientos internacionales han aumentado significativamente, haciéndose imprescindible

de su empresa apropiándose de sus fondos de pensión. La aduana de Estados Unidos

los mayores ejemplos de malversación de fondos en la industria financiera. En América Latina,

de corrupción en la historia de la región.

Debido al poco acceso a la información, a la menor globalización y al limitado alcance de los

operación, causando grandes perjuicios a los accionistas, a los trabajadores, proveedores,

ampliamente difundidos por los medios de comunicación, y se continuaron presentado, muchas

la incompetencia, para lo que el sistema de gobierno debe idealmente tener mecanismos de

control que permitan actuar a tiempo.

metodología multifuncional de trabajo. Otra disciplina que se ha desarrollado mucho en la última

década, el cumplimiento, o compliance, se dedica a asegurar que las reglas y disposiciones de

consideren seriamente el impacto de sus actividades en la comunidad, creando lo que se llama

potencian un efectivo manejo de la empresa.

riesgo bajo el esquema GRC, mostrando ejemplos, reflexionando sobre su aplicación y

corporativo, es difícil entender el contexto y el porqué de la gestión integral de riesgo.

similares, creando la estructura actual de gobierno corporativo. A continuación, se explica en qué

organizaciones. Seguidamente se hace una descripción de la gestión integral de riesgo,

proponiendo una definición, clasificación, y metodología para su tratamiento. También se trata el

He tratado de compartir mi experiencia profesional, dirigiéndola a directivos, profesionales,

regulación actual de gobierno corporativo.

Los fondos de pensiones y la ley ERISA (1960)

bolsas de valores, la globalización, la innovación tecnológica, y la economía de libre mercado es

que se volvieron grandes conglomerados, buscando mejorar su diversificación ampliando sus

permanecían en la misma corporación a lo largo de sus carreras, con buena compensación, a

cambio de una gran dedicación y lealtad a la empresa. Los trabajadores manuales se

beneficios en servicios de salud y pensiones. Las pensiones de los trabajadores eran

desempleo era muy bajo.

ejecutivos de la misma empresa o amigos del CEO y normalmente no cuestionaban sus

de los ejecutivos ni las auditorías.

de garantía llamado PBGC (Pension Benefit Guaranty Corporation).

reservas pensionarias a portafolios de inversión en activos financieros, que ayudaron a

dinamizar mucho la compra de bonos y acciones en las bolsas de valores, convirtiendo a

los fondos de pensión en los inversionistas más importantes en el mercado de valores, lo

cual motivó el cambio de la estructura de los directorios, volviéndolos más profesionales

El origen del Acuerdo de Basilea (1974 – 1975)

La industria de servicios financieros ha tenido muchos casos de fallas de gobierno corporativo y

estandarización regulatoria internacional.