Gre T5

Gestión de riesgos
empresariales
Tema 5: Comunicación y revisión

de riesgos
Sistema de Gobierno de la Gestión
Integral de Riesgos
16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 1

OBJETIVOS
¿Cómo organizamos la comunicación y consulta

de riesgos?
¿Cómo desarrollamos la monitorización y revisión

de riesgos?
¿Qué funciones tiene un CRO y su equipo?
¿Qué funciones en materia de riesgos se reparten

entre el Sistema de Gobierno de una empresa?
¿Cómo se gestionan los riesgos en las entidades

aseguradoras?

ÍNDICE
1. Sistemas de información: comunicación y consulta.

2. Sistemas de información: monitorización y revisión.
3. Funciones y responsabilidades de un
departamento de riesgos.
4. Sistema de gobierno y funciones de la dirección
general y de la auditoría interna.
5. Gestión Integral de Riesgos en sector Seguros:
Solvencia II.

Comunicación y consulta
Comunicación y consulta: establecer

mecanismos eficientes de comunicación y
consulta con todas las partes de la
organización para disponer de la mejor
información en cada una de las fases del
proceso de gerencia de riesgos.
El proceso de comunicación y consulta está presente en todo el

proceso de gestión de riesgos.
El propósito de la comunicación, en líneas generales, es asistir a las
partes interesadas a comprender el riesgo, las bases y las razones con
las que se toman decisiones y acciones específicas.
COSO, con su visión de “principios” y la ISO 31000, con una visión
“proceso”, nos dan las pautas y elementos clave que hay que tener en
cuenta a la hora de informar y comunicar sobre riesgos.

Visión ISO 31000:
Es necesario contar con un Plan de comunicación y consulta que

determine cómo apoyar al marco de referencia y a la implementación
del proceso de gestión de riesgos.
La comunicación busca promover la toma de conciencia y la
comprensión del riesgo, mientras que la consulta implica obtener
retroalimentación e información para apoyar la toma de decisiones.
La comunicación y consulta con las partes interesadas apropiadas,
externas e internas, se debería realizar en todas y cada una de las
etapas del proceso de la gestión del riesgo.
La comunicación y consulta deberían ser oportunas y asegurar que
se recopile, consolide, sintetice y comparta la información pertinente,
cuando sea apropiado, y que se proporcione retroalimentación para
llevar a cabo mejoras.

3 Principios de COSO:
“La organización utiliza los sistemas de información y tecnología de

la entidad como soporte a la gestión del riesgo empresarial”: gestión
de fuentes y datos internos y externos para identificar la información
relevante para la GR y su tratamiento.
“La organización utiliza canales de comunicación como soporte a la

gestión del riesgo empresarial”: elección de canales apropiados de
comunicación a las distintas partes interesadas internas y externas.
“La organización informa sobre el riesgo, la cultura y el desempeño

a múltiples niveles a través de toda la entidad”: cada parte interesada
informa sobre sus responsabilidades en la gestión de riesgos al resto.

Monitorización y revisión
Monitorización y revisión: establecer

mecanismos para la supervisión del nivel de
desempeño, requerido o esperado, en todas
las fases del proceso de la gerencia de
riesgos con el objetivo final de la mejora
continua del proceso. El proceso de gerencia
de riesgos tiene que ser monitorizado
constantemente y revisado regularmente.

Función de Gestión de Riesgos
Código Unificado de buen gobierno de las sociedades cotizadas:

Recomendación 46
“Que bajo la supervisión directa de la comisión de auditoría o, en su caso,
de una comisión especializada del consejo de administración, exista una
función interna de control y gestión de riesgos ejercida por una unidad o
departamento interno de la sociedad que tenga atribuidas expresamente las
siguientes funciones:
a) Asegurar el buen funcionamiento de los sistemas de control y gestión de
riesgos y, en particular, que se identifican, gestionan, y cuantifican
adecuadamente todos los riesgos importantes que afecten a la sociedad.
b) Participar activamente en la elaboración de la estrategia de riesgos y en
las decisiones importantes sobre su gestión.
c) Velar por que los sistemas de control y gestión de riesgos mitiguen los
riesgos adecuadamente en el marco de la política definida por el consejo
de administración.”

Naturaleza de la función
Es una función de soporte al negocio y a las operaciones de una
compañía, y una herramienta para la toma de decisiones operativas
y estratégicas de la Alta Dirección y del Consejo de Administración.
Misión de la función
Contribuir a la continuidad y viabilidad de la compañía,
incrementando la probabilidad de consecución o de mejora de los
objetivos establecidos, mediante el establecimiento y supervisión de
políticas y procesos adecuados de identificación y gestión de
riesgos y oportunidades.

Algunas consideraciones sobre su naturaleza
La función de riesgos debe disponer de suficiente independencia y

empoderamiento como para poder implantar las políticas y procesos
de gestión de riesgos, evaluar su eficacia y cumplimiento e informar
sobre ello al máximo nivel (incluso para emitir recomendaciones
enfrentadas a la visión del CEO).
Pero por otra parte debe estar involucrada en el negocio y constituir

una herramienta adecuada para la toma de decisiones. Debe ser
percibida como una función útil para la estrategia y las operaciones.
Lograr ambas cosas es complejo y requiere una política que
establezca claramente roles, responsabilidades y atribuciones, pero
es crítico sobre todo el posicionamiento de la función de riesgos en
el organigrama y las habilidades personales y profesionales del
Director de Riesgos.

Algunas consideraciones sobre su misión
Filosofía: “Ante cualquier decisión de negocio, lo fácil es decir NO;

hay que analizar bajo qué condiciones y circunstancias poder decir
SÍ”.
Y es muy importante que cuando se diga NO, se haga no en base a
un criterio “propio” del Director de Riesgos, sino en base a una
tolerancia y un apetito de riesgo definidos y aprobados al más alto
nivel (Consejo de Administración).
Su verdadero valor añadido debe centrarse en el tratamiento de los
riesgos de negocio (asumidos para incrementar beneficio) y los
riesgos externos (no evitables) más que en los riesgos puros o
evitables (riesgos internos que no generan beneficio).

Valor añadido de la función
Que en todos los procesos operativos y tomas de decisiones

relevantes de la compañía se identifican, evalúan y gestionan
adecuadamente los riesgos.
Que el nivel de riesgo que asume la organización esté dentro de los
límites establecidos por el Consejo de Administración.
Que la información relevante al respecto fluye y esté disponible por
los niveles organizativos adecuados para la oportuna toma de
decisiones y comunicación a los diferentes stakeholders.

Funciones y responsabilidades
Proponer y actualizar las políticas corporativas en materia de

riesgos, de acuerdo a los niveles de tolerancia al riesgo marcados
por el Consejo de Administración.
Proponer y establecer los procesos, mecanismos, controles, criterios
de evaluación y herramientas encaminados a que los riesgos sean
oportunamente identificados, evaluados y controlados de forma
homogénea dentro de la organización, y velar por la neutralidad y
efectividad de los mismos.
Informar a la Comisión de Auditoría y Cumplimiento del avance de
las iniciativas en materia de riesgos y control interno, y del estado de
los principales riesgos de la organización.

Funciones y responsabilidades
Proporcionar la formación, las herramientas y el soporte adecuados

a las áreas.
Validar la idoneidad de los controles establecidos por las áreas de
cumplimiento (por ejemplo el Sistema de Información Financiera, el
Modelo de Prevención de Delitos Penales, etc.)
Elaboración del Mapa de Riesgos Corporativo.
Participar como experto en decisiones relevantes y estratégicas
(comités de inversión, etc.).
Soportar a la Alta Dirección en el establecimiento y seguimiento de
Key Risk Indicators (indicadores de riesgo) para cada uno de los
objetivos de la compañía.

Función de Gestión de Riesgos: ¿dónde situarla?
Consejo de
Administración
Comisión de
nombramientos y Comisión de
retribuciones Auditoría
CEO
Funciones de Auditoría
Control Riesgos
Interna
RRHH Finanzas Legal Operaciones Estrategia
Área Técnica
Área
comercial

Función de Consejo de Administración
Máximo órgano de gobierno. Responsable de la información.

Es el medio que tienen los accionistas para representar sus intereses,
y controlar su patrimonio en la empresa.
Responsable último de los resultados de la empresa.
Dirigir la compañía; nombrar al CEO y estructura; delegar los poderes
de la gestión en estos; monitorizar la evolución; tomar acciones.
Vigilancia de la actuación de los dirigentes.
Supervisar el reparto del dinero (dividendos, retribuciones,
inversiones…).
Supervivencia y Continuidad Empresarial.
En materia de riesgos:
Art 529 LSC: se incluye entre las facultades indelegables del Consejo la
aprobación de una política de control y gestión de riesgos. Se incluye
recomendación de contar con una función interna de control y gestión de
riesgos que reporte a una comisión especializada del Consejo.

Función de Comisión de Auditoría
Se regula en Art 529 LSC la obligatoriedad de la existencia de esta

comisión en sociedades cotizadas, su composición, presidencia y
funciones mínimas.
Entre las funciones que se le asignan a la comisión, se incluyen:
Supervisión del proceso de elaboración y la integridad de la
información financiera y no financiera.
Supervisar los sistemas de control y gestión de los riesgos
financieros y no financieros.
Supervisa las funciones ejercidas por el departamento de
Riesgos.
Aprobar la Política de Gestión de Riesgos de la Compañía.
Velar porque el Sistema de Gestión de Riesgos identifique y
mitigue adecuadamente los riesgos dentro del marco de la
política aprobada.
Suele ser uno de los principales nexos entre Consejo-Función de
Riesgos.

Función de la Alta Dirección
La Alta Dirección debe centrarse en la Acción como elemento de

avance. Dirigir es Acción.
Tener conocimiento detallado del negocio, visión global de la
compañía y entender el concepto del proyecto de la empresa y que
sea asumido por todos.
Gestión y supervisión de la compañía, organización, finanzas,
nombramientos, retribuciones, desarrollo de la empresa.
Llevar a la práctica los mandatos del Consejo. Saber gestionar al
Consejo, y conjugar los intereses de los grupos de interés.
Formular la política y estrategia y trasladarla a sus equipos.
Velar por la Cultura. Aprobar operaciones, e inversiones.
Analizar-Diagnosticar-Elegir y Realizar.
Dirigir personas.

Función de la Alta Dirección
La Alta Dirección puede ser el mayor creador o destructor de valor

para la Gestión de Riesgos.
Exigir que los

Tomar decisiones Riesgos y
Oportunidades
= Asumir Riesgos sean parámetros
para la toma de
decisiones
Objetivo:
Sobrevivir
Liderar la Promover Compromiso
implantación Compromiso
un Sistema Hablar de los
con una
del Sistema de Gestión Riesgos
Cultura de
de Gestión de Riesgos Riesgos Incorporar en
de Riesgos la medición
del
desempeño

Función de la Auditoría Interna
Elaboración de planes de auditoría, basados en análisis de riesgos,

incluyendo la supervisión de las actividades y procesos más significativos
que pudieran afectar al Sistema de Gobierno y sus componentes:
Sistema de gestión de riesgos y sistema de control interno.
Comprobar la adecuación y eficacia del Sistema de Control interno y de
otros elementos del Sistema de Gobierno, así como el funcionamiento
del Sistema de Gestión de riesgos y de las funciones de control.
Dar aseguramiento independiente a través de un enfoque sistemático y
proponer mejoras sobre los procesos de gobierno, gestión, y control de
los riesgos para cumplir con los objetivos.
Reportar al Órgano de Administración las constataciones y
recomendaciones detectadas en su revisión, quien deberá determinar las
acciones que deben adoptarse, garantizando que se lleven a cabo.
Disponer de un procedimiento de seguimiento de las recomendaciones
emitidas y aprobadas, verificando que se implantan convenientemente.

ERM en sector Seguros: Solvencia II
Solvencia II es una Directiva europea (2009/138/CE, de 25 de

noviembre, sobre el seguro de vida, el acceso a la actividad
aseguradora y reaseguradora y su ejercicio) que ha cambiado las
normas europeas del sector asegurador con el objetivo de reforzar
esta industria para que sea plenamente solvente, y así proporcionar
mejores productos aseguradores para los ciudadanos.
El objetivo principal es mejorar el control y medición de los
riesgos a los que están expuestas las aseguradoras.
La Directiva Solvencia II se ha incorporado al marco legislativo
español en la LOSSEAR y el ROSSEAR. Está en vigor desde 1 de
enero de 2016.

¿Qué motiva Solvencia II?
El sector asegurador se ve influenciado por la globalización, los

cambios reguladores, la competitividad, etc., que provocan una
mayor preocupación en los mercados. En este sentido, en el sector
bancario se han dado pasos paralelos (Basilea II, III, …).
El marco regulador europeo no es homogéneo. La existencia de un
mercado único de seguros requiere el mismo nivel de protección
para todos los asegurados.
Los requerimientos de solvencia anteriores utilizaban metodologías
de los años 70 basadas en el volumen de negocio de la entidad, sin
tener en cuenta el perfil de riesgo de cada entidad.

Catálogo de riesgos
El objetivo principal es mejorar el control y la medición de los riesgos a

los que están expuestos las entidades aseguradoras:
Riesgos actuariales (suscripción): de insuficiencia de primas y
provisiones, catastrófico, de selección adversa.
Riesgos de mercado: de tanto de interés, de tipo de cambio, de
precio, de volatilidad.
Riesgos de crédito: de la cartera de inversiones, de las
reaseguradoras.
Riesgos operacionales: de fraude, de infidelidad, legal,
tecnológico, político, de recursos humanos, estratégico, etc.
Riesgo de liquidez: derivado de la inadecuada gestión del timing
vinculado al ALM.

¿Cómo se estructura Solvencia II?
Para lograr sus objetivos, se trabaja en 3 niveles o pilares:
Pilar I: Exigencia de recursos propios

Armonización provisiones técnicas.
SCR, MCR: modelo estándar vs. modelos internos.
Pilar II: Sistema de gobierno
Criterios para la gestión de riesgos: control interno.
Procesos de supervisión.
Pilar III: Requerimientos de disciplina de mercado
Requerimientos de información al mercado/supervisor para
garantizar una mayor transparencia del sector.

Marcos de referencia o estándares internacionales de ERM
COSO + ISO SOLVENCIA II (Pilar II)
SOLVENCIA II
Definición ART. 44 Directiva : “Las entidades tendrán obligación de
instaurar un sistema de gestión de riesgos eficaz que incluya las
estrategias, los procesos y los procedimientos de información
necesarios para identificar, medir, controlar, gestionar y notificar, de
forma continua, tanto a nivel individual como a nivel agregado, los
riesgos a que se exponen o podrían exponerse y sus
interdependencias.”

Pilar II: Sistema de Gobierno
Las entidades tienen que disponer de un sistema eficaz de

gobierno que garantice la gestión sana y prudente de la actividad y
que sea proporcionado a su naturaleza y volumen, y a la
complejidad de sus operaciones.
El sistema de gobierno comprenderá políticas escritas de gobierno
corporativo que incluirán: una estructura organizativa transparente y
apropiada, una adecuada separación de funciones y unos
mecanismos eficaces para garantizar la transmisión de la
información.
El responsable último del sistema de gobierno será el órgano de
administración de las entidades aseguradoras.
La DGFSP verificará el sistema de gobierno de las entidades
aseguradoras y podrá exigir medidas para mejorar y consolidar su
sistema de gobierno.

Pilar II: Sistema de Gobierno
El sistema de gobierno debe disponer de:

un sistema integral de gestión de riesgos,
un sistema de control interno,
y un sistema de auditoría interna.
El sistema de gobierno comprenderá las siguientes funciones:

Gestión de riesgos.
Cumplimiento.
Función actuarial.
Auditoría interna.

Sistema de Gobierno: modelo tres líneas de defensa
Consejo de Administración / Comité Auditoría
Alta Dirección
Fernando Espinosa Navarro
Regulador – DGSFP
Auditoría Externa
1a. Línea de Defensa 2a. Línea de Defensa 3a. Línea de Defensa
Funciones Operacionales Funciones de Control Función de Supervisión
Técnico Gestión de Riesgos

Comercial
Siniestros
Cumplimiento Auditoría Interna
IT, RRHH
Inversiones
Marketing Función Actuarial

Segunda línea: Gestión de riesgos
Comprende las estrategias, los procesos y los procedimientos de

información necesarios para identificar, medir, vigilar, gestionar y
notificar de forma continua los riesgos a los cuales estén o puedan
estar expuestas las entidades aseguradoras.
Este sistema será eficaz y estará debidamente integrado en la
estructura organizativa y en el proceso de toma de decisiones de la
entidad. A tal efecto, se establecerá una función de gestión de
riesgos que facilite su aplicación.
Como parte de este sistema, las entidades realizarán una
evaluación prospectiva interna de riesgos y solvencia (ORSA) con
carácter periódico que formará parte integrante de la estrategia de
negocio y se tendrá en cuenta de forma continua en las decisiones
estratégicas. Las entidades comunicarán a la DGSFP los resultados
de cada evaluación interna de riesgos y solvencia.

Segunda línea: Cumplimiento
Las entidades aseguradoras tendrán que establecer, documentar y

mantener en todo momento un sistema de control interno apropiado
a su organización.
Este sistema constará, al menos, de procedimientos administrativos
y contables, de una estructura adecuada, de mecanismos de
información a todos los niveles de la entidad y de una función de
verificación del cumplimiento.
La función de verificación del cumplimiento comprenderá el
asesoramiento al órgano de administración sobre el cumplimiento
de las disposiciones legales, reglamentarias y administrativas que
afecten a la entidad, así como sobre el cumplimiento de su
normativa interna.

Segunda línea: Función actuarial
Coordinar el cálculo de las provisiones técnicas:

o Comprobar la adecuación de las metodologías y modelos utilizados, así como
de las hipótesis empleadas en el cálculo de las provisiones técnicas.
o Evaluar la suficiencia y la calidad de los datos utilizados en el cálculo de las
provisiones técnicas.
o Informar al órgano de administración sobre la fiabilidad y adecuación del
cálculo de las provisiones técnicas.
o Supervisar el cálculo de las provisiones cuando para no disponer de datos
suficientes y/o de calidad adecuada se utilicen aproximaciones.
Pronunciarse sobre la política general de suscripción.
Pronunciarse sobre la adecuación de los acuerdos de reaseguro.
Contribuir a la aplicación del sistema de gestión de riesgos, en
particular, en cuanto a la modelización del riesgo en que se basa el
cálculo de los requerimientos de capital, y la evaluación interna de
riesgos y solvencia.

Tercera línea: Auditoría interna
También se tiene que contar con una función eficaz de auditoría

interna, que incluirá la comprobación retrospectiva de la
adecuación y eficacia del sistema de control interno y otros
elementos del sistema de gobierno.
La función de auditoría interna deberá ser objetiva e
independiente de las funciones operativas. Las conclusiones y
recomendaciones derivadas de la auditoría interna se notificarán al
órgano de administración, que determinará qué acciones habrán de
adoptarse con respecto a cada una de ellas y garantizará que
dichas acciones se lleven a cabo.

Solvencia II + ERM II + ERM

Informes sobre la situación financiera y de solvencia:
VidaCaixa:
https://www.vidacaixa.es/informacion-corporativa/informe-de-situacion-financiera-y-de-solvencia
Mapfre:
https://www.mapfre.com/corporativo-es/accionistas-inversores/informacion-financiera/solvencia/
Zurich:
https://www.zurich.es/conocenos
Allianz:
https://www.allianz.es/descubre-allianz/allianz-seguros
Catalana Occidente:
https://www.seguroscatalanaoccidente.com/esp/informacion-corporativa

REFERENCIAS BÁSICAS
Para una lectura sobre sistema de gobierno y ERM:

Fundamentals of Risk Management Understanding, evaluating and
implementing effective risk management: Temas 21-22, 26-27.
https://cercabib.ub.edu/permalink/34CSUC_UB/13d0big/alma991012947118506708
Para profundizar en el marco ISO, el resumen de la ISO 31000:

https://www.iso.org/obp/ui/#iso:std:iso:31000:ed-2:v1:es
Para conocer el Código de Buen Gobierno de las Sociedades Cotizadas:

https://www.cnmv.es/DocPortal/Publicaciones/CodigoGov/CBG_2020.pdf
Para profundizar en Solvencia II:

https://www.unespa.es/main-files/uploads/2017/07/Solvencia-II.-De-un-vistazo.-FINAL.pdf

Gre T5

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gre T5

Cargado por

Copyright:

Formatos disponibles

Gestión de riesgos

Tema 5: Comunicación y revisión

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 1

¿Cómo organizamos la comunicación y consulta

¿Cómo desarrollamos la monitorización y revisión

¿Qué funciones tiene un CRO y su equipo?

¿Qué funciones en materia de riesgos se reparten

¿Cómo se gestionan los riesgos en las entidades

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 2

1. Sistemas de información: comunicación y consulta.

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 3

Comunicación y consulta: establecer

El proceso de comunicación y consulta está presente en todo el

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 4

Visión ISO 31000:

Es necesario contar con un Plan de comunicación y consulta que

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 5

“La organización utiliza los sistemas de información y tecnología de

“La organización utiliza canales de comunicación como soporte a la

“La organización informa sobre el riesgo, la cultura y el desempeño

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 6

Monitorización y revisión: establecer

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 7

Código Unificado de buen gobierno de las sociedades cotizadas:

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 8

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 9

Algunas consideraciones sobre su naturaleza

La función de riesgos debe disponer de suficiente independencia y

Pero por otra parte debe estar involucrada en el negocio y constituir

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 10

Algunas consideraciones sobre su misión

Filosofía: “Ante cualquier decisión de negocio, lo fácil es decir NO;

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 11

Valor añadido de la función

Que en todos los procesos operativos y tomas de decisiones

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 12

Proponer y actualizar las políticas corporativas en materia de

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 13

Proporcionar la formación, las herramientas y el soporte adecuados

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 14

RRHH Finanzas Legal Operaciones Estrategia

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 15

Máximo órgano de gobierno. Responsable de la información.

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 16

Se regula en Art 529 LSC la obligatoriedad de la existencia de esta

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 17

La Alta Dirección debe centrarse en la Acción como elemento de

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 18

La Alta Dirección puede ser el mayor creador o destructor de valor

Exigir que los

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 19

Elaboración de planes de auditoría, basados en análisis de riesgos,

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 20

Solvencia II es una Directiva europea (2009/138/CE, de 25 de

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 21

¿Qué motiva Solvencia II?

El sector asegurador se ve influenciado por la globalización, los

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 22

El objetivo principal es mejorar el control y la medición de los riesgos a

16/10/2023 Gestión de Riesgos Empresariales: Lluís Bermúdez 23

¿Cómo se estructura Solvencia II?

Para lograr sus objetivos, se trabaja en 3 niveles o pilares: