Código de Mejores Prácticas - CCE€¦ · una de las sesiones del año, un informe sobre la situación que guarda cada uno de los riesgos identificados. La administración de riesgos

consejo coordinador empresarial

Código de Mejores Prácticas

Corporativas

Anexo

Administración de Riesgos

CÓDIGO DE MEJORES PRÁCTICAS CORPORATIVAS

ANEXO ADMINISTRACIÓN DE RIESGOS

COMITÉ DE MEJORES PRÁCTICAS DE GOBIERNO

CORPORATIVO

SUBCOMITÉ ACADÉMICO

MÉXICO, 2014


CONCANACO

SERVYTUR MEXICO

MEXICO

Consejo Nacional Agropecuario

AMIB

ASOCIACIÓN DE

BANCOS DE MÉXICO

C O M C E

Derechos reservados por el CONSEJO COORDINADOR EMPRESARIAL, A.C. 2006

Número de Reserva en Derechos de Autor: 03-2006-092213131700-01

2ª Edición actualizada

Abril, 2014

ÍNDICE

Capítulo I. Introducción 7

Capítulo II.

Administración de riesgos

8

Capítulo III.

Políticas de Revelación de Riesgos

11

Capítulo IV.

Planes para recuperación de desastres y restablecimiento del negocio

16

Capítulo V. Conclusión 19

Capítulo VI. Referencias 21

I N S T I T U T O T E C N O L Ó G I C O A U T Ó N O M O D E M É X I C O

Fundado en 1946

Para el ITAM es una distinción que el Consejo Coordinador Empresarial lo haya invitado a participar en la elaboración de uno de los Anexos que acompañarán a la segunda edición del Código de Mejores Prácticas Corporativas. Me es grato presentar el Anexo de la Función de Administración de Riesgos, cuyo enfoque se centró en la definición, objetivos, procedimientos, políticas de revelación y mejores prácticas de gestión y revelación de los mismos. Este documento pretende orientar al lector del Código de una manera breve, sencilla y accesible, en su búsqueda de la eficiente aplicación de las prácticas recomendadas por el Consejo Coordinador Empresarial, siendo una guía que los apoye en el entendimiento y control de sus riesgos.

Deseo expresar nuestro reconocimiento a los maestros que trabajaron de manera conjunta y desinteresada en la elaboración de este escrito: Sylvia Meljem Enríquez de Rivera, Gerardo Martínez Ham, Yaneli Cruz Alvarado, Ana Díaz Bonnet y Emilia del Carmen Díaz Solís. Sin duda, la labor del ITAM como institución académica, a partir de la publicación del Código, será fomentar entre todos sus egresados y estudiantes la existencia del documento, su entendimiento y la aplicación del mismo. México requiere de guías encaminadas a mejorar la práctica administrativa de las empresas y este documento representa un primer esfuerzo para lograrlo. Atentamente, Dr. Arturo Fernández Pérez Rector RÍO HONDO No. 1, COL. PROGRESO TIZAPAN C.P. 01080, MÉXICO, D.F. TEL.: 5628 4000

Anexo del Código de Mejores Prácticas Corporativas 7

ANEXO FUNCIÓN DE ADMINISTRACIÓN DE RIESGOS

CAPÍTULO I INTRODUCCIÓN

La razón de ser de este Anexo es para definir conceptos y ser una guía para las organizaciones en la implementación de las recomendaciones establecidas en el Capítulo VII del Código de Mejores Prácticas Corporativas (CMPC) referentes al tema de administración de riesgos. Estas recomendaciones se resaltan en recuadros para facilitar al lector su identificación y conocimiento. En materia de administración de riesgos el Consejo debe asegurarse que la administración está evaluando adecuadamente los riesgos existentes, vigilando en todo momento que exista un proceso formal y eficiente para identificarlos, manejarlos y monitorearlos adecuadamente. La capacidad de los consejeros en cuanto a entender el perfil de riesgos de la industria en que opera la empresa, ayuda a que el Consejo cumpla eficientemente con su responsabilidad de vigilancia, siendo la Dirección General la que promueve la implantación del proceso para identificar los riesgos más relevantes, evaluar su nivel de cobertura y exposición, definir los planes y establecer los controles necesarios para monitorearlos. Al respecto es muy importante que la Dirección General y el Consejo de Administración compartan una misma visión y lenguaje común en cuanto a los riesgos del negocio, de manera que se facilite la comunicación entre ambos y no se sobrestimen ni subestimen riesgos que sean relevantes.

8 Consejo Coordinador Empresarial

CAPÍTULO II ADMINISTRACIÓN DE RIESGOS

Práctica 50

Se recomienda que se auxilie al Consejo de Administración en la evaluación de los mecanismos para la identificación, análisis, administración y control de los riesgos a los que esté sujeta la sociedad, así como de los criterios para su revelación, que le presente a su aprobación la Dirección General.

Práctica 51

Se recomienda que el Director General presente al Consejo de Administración, en cada una de las sesiones del año, un informe sobre la situación que guarda cada uno de los riesgos identificados.

La administración de riesgos corporativos se refiere principalmente a: 1. La evaluación de los procesos de riesgo de la organización y sus controles. 2. La identificación y cuantificación de los riesgos.

Los cuatro objetivos de la administración empresarial de riesgos, según el marco de COSO II (Committee of Sponsoring Organizations) son los siguientes: 1. Estratégico: Apoyo a los objetivos estratégicos de la organización. 2. Operativo: Logro de los objetivos de rendimiento y adopción de medidas para protegerse

contra la pérdida a través de la eficiencia operativa. 3. Informativo: Proporción de datos financieros y operativos confiables y realizar reportes

internos y externos. 4. Cumplimiento: Cumplimiento de las leyes y reglamentos en todos los niveles (local,

estatal, nacional, y en otros países donde opera la organización). El objetivo de la Administración de Riesgos es crear un conjunto de procedimientos que identifiquen, midan y en su caso controlen los efectos adversos de los riesgos a los que está expuesta una organización, con el fin de evitarlos, reducirlos, retenerlos y/o transferirlos. Normalmente el riesgo tiene una connotación negativa; sin embargo, algunos riesgos pueden llevar a tener beneficios económicos. Es por esto que en el mundo corporativo, la aceptación de riesgos es necesaria para obtener una ventaja competitiva y generar un beneficio. Las organizaciones buscan generar ganancias atreviéndose a buscar oportunidades mediante el aprovechamiento de la oportunidad del riesgo.


La gestión de riesgos corporativos incluye las siguientes capacidades: • Alinear el riesgo aceptado y niveles de tolerancia con la estrategia. • Mejorar las decisiones de respuesta a los riesgos. • Reducir las sorpresas y pérdidas operativas. • Identificar y gestionar la diversidad de riesgos para toda la organización. • Aprovechar las oportunidades. • Mejorar la dotación de capital.

Estas capacidades, inherentes en la gestión de riesgos corporativos, ayudan a la Dirección a alcanzar los objetivos de rendimiento y rentabilidad de la organización y prevenir la pérdida de recursos. La gestión de riesgos corporativos permite asegurar una información eficaz y el cumplimiento de leyes y normas, además de ayudar a evitar daños a la reputación de la organización y sus consecuencias derivadas. En suma, la gestión de riesgos corporativos ayuda a una organización a llegar al destino deseado. En este aspecto el Consejo de Administración es el responsable de supervisar el estado de la gestión de riesgos corporativos de la organización, asegurándose de que es informado de los riesgos más significativos, de las acciones que la Dirección está realizando y de la manera en la que ésta asegura una gestión eficaz de los mismos. El proceso para la administración de los riesgos se lleva a cabo en las siguientes fases (ver diagrama 1):

A. Alcance y estrategia

Se adquiere una visión de alto nivel de los fundamentos de la administración del riesgo basados en la estrategia de la organización ¿Cuánto y qué tipo de riesgo es razonable tomar para la organización? ¿Qué infraestructura y recursos deben considerarse para evitar pérdidas inaceptables?

B. Análisis

Se explora cuales cambios debieran cubrirse en función del alcance y la estrategia. ¿Se entienden todos los riesgos? ¿Son aspectos administrados correctamente? Muchas organizaciones analizan cuidadosamente ciertas áreas como el riesgo de crédito.

C. Implementación

Se contempla desde la selección, entrenamiento y desarrollo del personal la utilización, de diversas maneras, de los nuevos instrumentos financieros, incluyendo la elaboración de documentos de acuerdo a las políticas y procedimientos correspondientes.


D. Monitoreo

Incluye la evaluación de indicadores de riesgo, la comparación con las mejores prácticas de otras organizaciones y los controles internos. La administración de riesgos va más allá de lo establecido en los controles internos en tres formas significativas. En primer lugar, en el momento de formular la estrategia de la organización,

requiere que el Consejo de Administración considere los riesgos. En segundo lugar, exhorta a que el Consejo de Administración determine qué nivel

de riesgo se está dispuesto a aceptar. Por último, pide que las decisiones de administración de riesgos se hagan de

manera consistente con la política de riesgo establecida.

Diagrama 1 Proceso de Administración de los Riesgos

Monitoreo

• Medir costos y exposición• Establecer controles de auditoría• Comparar con las mejores prácticas• Evaluar indicadores claves de riesgo• Contribuir para el valor del accionistamejora/protección

D

Alcance y Estrategia

• ¿ Cuál es la estrategia de laempresa?

• ¿Qué riesgos tomar?• ¿Qué riesgos no tomar?• Recursos requeridos• Infraestructura• Obligaciones corporativas

(legales y civiles)

A

Implementación

• Documentar con políticas,procedimientos y prácticas

• Conducir el cambio entrenamiento/comportamiento• Cubrir y financiar el riesgo

C

• Análisis

• Identificar el enfoque al riesgo • Identificar Indicadores Clave de Riesgo

• Evaluar escenarios/impacto de negocio• Determinar la probabilidad de pérdida• Evaluar la adecuación de las contramedidas• Identificar oportunidades de mejora• Definir intervención/prioridades de administración

B


CAPÍTULO III POLÍTICAS DE REVELACIÓN DE RIESGOS

Las mejores prácticas establecen que es recomendable separar la política de riesgos de la política de inversión y financiamiento, enfocando la revelación a las acciones de mitigar, controlar y comunicar los riesgos. La Política de Inversión y Financiamiento (PIF) debe contener un apartado de procedimientos de revelación de los riesgos en los que está incurriendo la organización, siempre en concordancia con un adecuado control interno. Este proceso deberá tener un diseño tal, que permita proveer un aseguramiento razonable en relación con el carácter fidedigno de la revelación de los riesgos. Las transacciones con productos derivados que busquen coberturas deberán tener una estricta vigilancia y seguimiento con el establecimiento de la misma PIF, teniendo como mínimo la medición constante del Valor en Riesgo (VaR)1. Las mejores prácticas establecen que como mínimo se cuente con un sistema que permita el manejo de los riesgos con el siguiente esquema (ver diagrama 2):

Diagrama 2 Sistema de Administración de Riesgos

1 El Valor en Riesgo (VaR) mide la máxima pérdida esperada de un portafolio dado para un periodo de tiempo definido y un nivel de confianza específico.

Alta Dirección

Reporte

Administración

Políticas• Medición de VaR• Proveedor de información

de precios y tasas demercados

• Desarrollo de Modelos• Sistemas• Estructura de límtes de

tolerancia al riesgo• Nuevos productos

• I for ació• Pérdidas y ga a cias (MTM)

• Valor e riesgo• Cu pli ie to de lí ites

Mesa de operación

Conciliación de posiciones de la

operación día a día

Contabilidad


La medición e identificación del riesgo operativo debe formar parte de la cultura y los procesos de la Sociedad como responsabilidad de las distintas unidades.

Se recomienda que el órgano encargado de la función de riesgos realice lo siguiente:

I. Proponer para aprobación del Consejo de Administración:

a. Los objetivos, lineamientos y políticas para la Administración Integral de Riesgos,

así como las eventuales modificaciones que se realicen a los mismos. b. Los límites globales de exposición al riesgo y, en su caso, los límites específicos

de exposición al riesgo, considerando el riesgo consolidado, desglosados por unidad de negocio o factor de riesgo, causa u origen de estos.

c. Los mecanismos para la implementación de acciones correctivas. d. Los casos o circunstancias especiales en los cuales se puedan exceder tanto los

límites globales como los específicos de exposición al riesgo.

II. Aprobar:

a. Los límites específicos de exposición al riesgo, cuando tuviere facultades delegadas del Consejo de Administración para esto, así como los niveles de tolerancia al riesgo.

b. La metodología y procedimientos para identificar, medir, vigilar, limitar, controlar, informar y revelar los distintos tipos de riesgo a que se encuentra expuesta la organización, así como sus eventuales modificaciones.

c. Los modelos, parámetros y escenarios que habrán de utilizarse para llevar a cabo la valuación, medición y el control de los riesgos, mismos que deberán ser acordes con la tecnología de la organización.

d. Las metodologías para la identificación, valuación, medición y control de los riesgos de las nuevas operaciones, productos y servicios que la organización pretenda ofrecer al mercado.

e. Las acciones correctivas propuestas. f. Los manuales para la Administración Integral de Riesgos, de acuerdo con los

objetivos, lineamientos y políticas establecidos por el Consejo de Administración.

III. Informar al Consejo de Administración periódicamente sobre la exposición al riesgo asumida por la organización y los efectos negativos que se podrían producir en el funcionamiento de la misma, así como sobre la inobservancia de los límites de exposición al riesgo y niveles de tolerancia al riesgo establecido.

IV. Informar al Consejo de Administración sobre las acciones correctivas implementadas.

V. Asegurar, en todo momento, el conocimiento por parte de todo el personal involucrado en la toma de riesgos, de los límites de exposición al riesgo, así como los


niveles de tolerancia al riesgo.

Las métricas reconocidas y mayormente utilizadas para medir el riesgo son las siguientes:

Riesgos de Mercado:

• Valor en Riesgo (VaR). • Medidas de Sensibilidad. • Stress Test.

Riesgos de Crédito:

• Pérdida Esperada. • Pérdida No Esperada (Credit VaR). • Severidad de la Pérdida (Loss Given Default). • Exposición en Default (EAD).

Riesgos de Liquidez:

• Brecha de liquidez y repreciación. • Valor Económico. • Sensibilidad de Margen.

Riesgos Operativos:

• Probabilidad de perder juicios. • Indicadores de Riesgos Clave. • Escenarios Simulados. • Planes de Contingencia. • Riesgo de la Reputación. • Self-Assesments.

Riesgos Tecnológicos:

• Controles en la Seguridad de la Información. • Estadísticas de Disponibilidad de los Sistemas.

En la actualidad las redes sociales y la tecnología móvil han creado un enorme reto para las organizaciones en materia de cuidado de la información y sus riesgos inherentes, tales como revelación de información confidencial y publicación de contenido ilegal.

Algunos empleados pueden crear cuentas a nombre de la empresa, publicar contenido inapropiado o responder de manera inapropiada a los clientes dañando la imagen y reputación de la organización.

Al respecto la organización debe de contar con estrategias coordinadas que mitiguen estos riesgos tales como:


Definir claramente los roles y responsabilidades de los empleados en relación al uso de

redes sociales. Desarrollar una política del uso de redes sociales Proteger la información Monitorear a los empleados en el uso de las redes sociales Monitorear el uso del nombre de la empresa y sus logos Responder a los ataques cibernéticos de manera afectiva. Como ha quedado claro el objetivo de la administración de riesgos es reducirlos a un nivel aceptado por la organización, pudiéndose referir a numerosos tipos de amenazas causadas por el medio ambiente, la tecnología, los seres humanos, las organizaciones y la política.

Las estrategias incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular.

Algunas veces, el manejo de riesgos se centra en la contención de los mismos por causas físicas o legales, como es el caso de los desastres naturales, incendios, accidentes, muerte o demandas.

Retención y financiamiento del riesgo La decisión de una organización de mantener riesgos identificados se basa en un análisis económico de los beneficios esperados frente a los costos esperados asociados a un riesgo en particular. La suma de todos los riesgos que la organización ha elegido mantener se denomina riesgo retenido. Si este riesgo llega a realizarse, repercutirá negativamente en los ingresos de la organización, por esto se debe decidir si un riesgo retenido debe ser financiado o no financiado. Un riesgo retenido no financiado es un riesgo para el cual las pérdidas potenciales no están financiadas hasta que se produzcan. Por el contrario, un riesgo retenido financiado es un riesgo para el que se establece una cantidad apropiada por adelantado para absorber la pérdida potencial ya sea en efectivo o de una fuente identificada para obtener los fondos.

La decisión de una organización de retener riesgos la obliga a elegir la forma de administrar un riesgo identificado. Esta decisión es también de estructura de capital, teniendo las siguientes opciones:

1. Neutralizar el riesgo, o 2. Transferir el riesgo.

Neutralizar el riesgo La neutralización de riesgos es una política de administración del riesgo por la que una organización decide mitigar el resultado de una pérdida esperada de un riesgo


identificado sin transferir el riesgo a un tercero. Esto puede implicar la reducción de la probabilidad de los riesgos identificados que se producen, o reducir la severidad de la pérdida en caso de que el riesgo identificado se realice.

Transferir el riesgo Para ciertos riesgos identificables, la organización puede decidir transferir el riesgo de los accionistas a un tercero. Esto se puede hacer ya sea mediante la celebración de un contrato con una organización dispuesta a asumir el riesgo o mediante la incorporación de ese riesgo en una operación financiera estructurada en la cual se transfiere a inversionistas (en bonos) dispuestos a aceptar ese riesgo. El financiamiento estructurado consiste en la creación de instrumentos no tradicionales con un perfil de riesgo/rendimiento dirigido a determinados tipos de inversionistas. El financiamiento estructurado incluye la bursatilización de activos, notas estructuradas y el arrendamiento. Los instrumentos para la transferencia de riesgos incluyen:

a. Seguro tradicional b. Derivados c. Financiamiento estructurado Las transacciones con productos derivados que se utilicen para fines de negociación deberán ser revisadas siempre por el Consejo de Administración y la recomendación general es que este tipo de instrumentos sean poco utilizados por la organización. De ser aceptados, se deberá contar con un monitoreo y supervisión constante, con el fin de evitar pérdidas no esperadas. Las organizaciones deberán contar con un mecanismo de pesos y contrapesos para el control de estas inversiones, en caso de que sean estrictamente indispensables.


CAPÍTULO IV PLANES PARA RECUPERACIÓN DE DESASTRES Y

RESTABLECIMIENTO DEL NEGOCIO

Adicionalmente a los riesgos inherentes ya señalados, la empresa debe de contar con un plan de continuidad del negocio (BCP por sus siglas en inglés), el cual es un concepto que abarca tanto el plan de recuperación de desastres como el de restablecimiento del negocio.

La recuperación de desastres es la capacidad para responder a una interrupción de los servicios mediante la implementación de un plan para restablecer las funciones críticas de la organización, este plan es la respuesta prevista por la organización ante aquellas situaciones de riesgo que la pueden afectar de forma crítica. Un plan de continuidad del negocio permite garantizar que las operaciones críticas sigan estando disponibles para que los productos y servicios se sigan entregando a los clientes.

Un Plan de Continuidad de Negocio incluye:

Los planes, medidas y disposiciones para garantizar la prestación continúa de los servicios y productos esenciales, lo que le permite a la organización recuperar sus instalaciones, datos y activos.

La identificación de los recursos necesarios para apoyar la continuidad del negocio, incluyendo el personal, la información, los equipos, las asignaciones financieras, asesoría legal y protección de los activos.

Tener un BCP mejora la imagen de una organización con los empleados, accionistas y clientes, demostrando una actitud proactiva. Los beneficios adicionales incluyen la mejora de la eficiencia general de la organización y la identificación de la relación de los bienes y recursos humanos y financieros para los servicios críticos.

Cada organización está en riesgo de desastres potenciales que incluyen:

Los desastres naturales como, inundaciones, huracanes, terremotos e incendios Accidentes Sabotaje Interrupciones de energía Falla de comunicaciones, transporte, seguridad y servicios Los desastres ambientales como la contaminación y derrames de materiales peligrosos Los ataques cibernéticos y la actividad de los piratas cibernéticos


Crear y mantener un BCP ayuda a asegurar que una organización tiene los recursos y la información necesaria para hacer frente a estas emergencias.

El BCP puede ser aplicado tanto a organizaciones grandes, medianas, pequeñas e incluso micro empresas, como a todo proceso, su aplicación involucra determinados pasos obligatorios para garantizar la funcionalidad del mismo, estas fases son:

1. Análisis y evaluación de riesgos 2. Selección de estrategias 3. Desarrollo del plan 4. Pruebas y mantenimiento del plan.

Lo primero que debe realizarse es un análisis del impacto al negocio (BIA por sus siglas en inglés), este es básicamente un informe que muestra el costo ocasionado por la interrupción de los procesos de negocio, una vez obtenido este informe, la organización tiene la capacidad de clasificar los procesos de negocio en función de su criticidad, estableciendo la prioridad de recuperación, o bien su orden secuencial.

En el BIA se identifican los componentes clave requeridos para continuar con las operaciones de la organización luego de un incidente, dentro de estos componentes se encuentran:

• Personal requerido • Áreas de trabajo • Registros vitales - Respaldos de información • Dependencia de otras áreas y de terceras partes • Criticidad de los recursos de información • Participación del personal de seguridad informática y los usuarios finales • Análisis de todos los tipos de recursos de información Adicionalmente deben analizarse la criticidad de los recursos de información relacionados con los procesos críticos del negocio, el período de recuperación crítico antes de incurrir en pérdidas significativas y el sistema de clasificación de riesgos.

Una estrategia de recuperación es una combinación de medidas preventivas, detectivas y correctivas para:

• Eliminar la amenaza completamente • Minimizar la probabilidad de que ocurra • Minimizar su efecto

Las interrupciones más prolongadas y más costosas, en particular los desastres que afectan a las instalaciones, por lo general requieren de una recuperación externa (offsite).

Las cédulas para analizar el impacto deben ser llenadas por personal administrativo y de la planta con un muy buen conocimiento de la organización, una vez llenadas las cédulas, los


resultados se tabulan para obtener el impacto operativo y financiero resultado de la pérdida de funciones y procesos individuales y las circunstancias específicas de cuando una pérdida de la función o proceso resultaría en los impactos de negocios identificados. Las funciones y procesos con el mayor potencial de impacto se convierten en las prioridades de recuperación.

Dado que pocas organizaciones pueden darse el lujo de pagar el costo total de una recuperación; tener seguro garantiza que la recuperación se financia total o parcialmente. Al considerar las opciones de seguro, es importante utilizar el BIA para ayudar a decidir tanto lo que hay que asegurar, como el correspondiente nivel de cobertura.

La respuesta apropiada a una crisis de la organización requiere la existencia de equipos para dirigir y apoyar las operaciones de recuperación y respuesta, los miembros del equipo deben ser de personal capacitado, con experiencia y conocimiento de sus responsabilidades.

Se recomienda que las organizaciones revisen sus BCP:

• Sobre una base regular (anualmente o cada dos años) • Cuando se producen cambios en el entorno de las amenazas • Cuando se producen cambios sustanciales en la organización • Después de un simulacro para incorporar los resultados. Cuando los servicios y productos esenciales no pueden ser entregados, las consecuencias pueden ser graves. Todas las organizaciones que están en riesgo y se enfrentan a un desastre potencial deben de estar preparadas para afrontarlos. Un Plan de Continuidad de Negocios es una herramienta que le permite a las organizaciones, no sólo moderar sus riesgos sino también ofrecer continuamente sus productos y servicios a pesar de la interrupción.


CAPÍTULO V CONCLUSION

En los últimos años, los grandes escándalos financieros han originado una mayor regulación orientada al logro de un adecuado Gobierno Corporativo que proteja los intereses de todos los involucrados en la vida de las empresas, siendo uno de los principales aspectos a tomar en cuenta el de los riesgos. El riesgo es una parte inherente a toda actividad empresarial y por lo tanto, resulta necesario administrarlo, es decir aprender a vivir con él. Las empresas tienen que invertir en la función de administración de riesgos debiendo mitigarlos a través de un sistema de control interno; cubrirlos utilizando derivados o contratando seguros y establecer planes de continuidad de operaciones y manejo de crisis de manera tal que la relación costo/beneficio sea la adecuada para ellas. De acuerdo a una encuesta realizada por Accenture en 2011 existen grandes desafíos en materia de gestión de riesgos principalmente debido a los siguientes factores: • Los tipos de riesgos a los que están expuestos las compañías, así como su gravedad,

van en aumento. Las compañías están cada vez más preocupadas por el espectro de riesgos que pueden afectarlas -desde la cadena de suministro a las operaciones, pasando por la reputación-. Además, el fraude financiero y los delitos también están en aumento.

• A pesar de las grandes inversiones realizadas para mejorar las capacidades de riesgo,

se mantienen las exposiciones críticas, especialmente debido a la incapacidad de las compañías para mejorar suficientemente sus capacidades de medición de riesgos. La gestión de riesgos debe apoyar un crecimiento positivo del negocio y no solo emplearse como protección ante eventos negativos, por lo que las compañías necesitan una forma mejor de evaluar su capacidad de asumir riesgos.

• Los silos organizacionales y los sistemas de información desfasados impiden a muchas

empresas compartir adecuadamente información que podría mitigar los riesgos con más efectividad. Si se quiere superar el reto de la integración, se necesitan mejores estructuras organizacionales, así como sistemas que las sustenten.

• Las brechas de rendimiento existentes entre las expectativas de las compañías sobre la

gestión de riesgos y lo que realmente se consigue también se convierten en un obstáculo. Los directivos desean que la gestión de riesgos se convierta en un impulsor de una rentabilidad sostenible en el futuro y son conscientes de la importancia de infundir una cultura del riesgo a través de toda la organización, pero pocas son las que realmente


lo consiguen. • La presión por los costos se mantiene inmutable, lo que requiere una gestión efectiva

tanto en términos de costos de las operaciones como de decisiones de inversión, aunque están apareciendo otras cuestiones igual de preocupantes. Cada vez se hace más necesario alinear la gestión de riesgos con la estrategia general de la empresa, responder a las demandas de la regulación y mejorar las capacidades de modelización y análisis con las que cuenta la empresa.

Debido a lo anterior resulta de suma importancia revisar las prácticas recomendadas en este anexo e implementarlas lo más pronto posible.

Referencias CNBV Comisión Nacional Bancaria y de Valores. Disposiciones de carácter general aplicables a las instituciones de crédito. Haro de Lara, A. (2005). Medición y control de riesgos financieros. Limusa, México, D.F. Nadal, J. (2011). La gestión de riesgos como fuente de ventaja competitiva sostenible. Harvard Deusto Business Review. Stephen A. Ross, Randolph W. Westerfield y Jeffrey F. Jaffe. (2009). Finanzas Corporativas. Traducido por Jaime Gómez Mont Araiza y Pilar Carril Villarreal McGraw-Hill Van Horne J. y Wachowicz John M. (2002). Fundamentos de administración financiera. Traducido por Gustavo Pelcastre Ortega. México: Pearson Educación.

COMITÉ DE MEJORES PRÁCTICAS DE GOBIERNO CORPORATIVO

Presidente: Roberto Danel Díaz

Control de Gestión de Negocios S.C.


Presidente:

Sylvia Meljem Enríquez de Rivera Centro de Vinculación e Investigación Contable

Instituto Tecnológico Autónomo de México Ex Presidentes

Luis Eugenio de Gárate Pérez Nicolás Humberto Cuellar Romo

Miembros:

Nicolás Humberto Cuellar Romo Vicerrectoría

Escuela Bancaria y Comercial

Norma Cano Olea Escuela Superior de Comercio y Administración

Unidad Santo Tomás Instituto Politécnico Nacional

María Estela Casas Hernández

Escuela Superior de Comercio y Administración Unidad Tepepan

Instituto Politécnico Nacional

Carlos Serrano Salazar EGADE Business School

Instituto Tecnológico y de Estudios Superiores de Mty.

Jorge Fabre Mendoza Escuela de Negocios

Universidad Anáhuac México Sur

Carlos Eduardo Basurto Meza División de Negocios

Universidad de Monterrey

Jorge Smeke Zwaiman Departamento de Estudios Empresariales

Universidad Iberoamericana

Ignacio José Martín Cacho de la Riva Facultad de Negocios Universidad La Salle

Juan Alberto Adam Siade

Facultad de Contaduría y Administración Universidad Nacional Autónoma de México

Pedro Salicrup Rio de la Loza

Escuela de Ciencias Económicas y Empresariales Universidad Panamericana

Secretariado:

Emilia del Carmen Díaz Solís

Centro de Vinculación e Investigación Contable Instituto Tecnológico Autónomo de México

Participantes:

José Lino Rodríguez Sánchez Asociación Nacional de Facultades y Escuelas de

Contaduría y Administración ANFECA

Ricardo González Escobar

Campus Reforma Escuela Bancaria y Comercial

Carlos Alfredo Carpy Morales

Escuela Superior de Contaduría y Administración, Unidad Santo Tomás

Instituto Politécnico Nacional

Jaime Sanchis Cuevas Escuela Superior de Comercio y Administración

Unidad Tepepan Instituto Politécnico Nacional

María Caridad Mendoza Barrón

Departamento de Estudios Empresariales Universidad Iberoamericana

Benjamín Díaz Villanueva

Facultad de Negocios Universidad La Salle

María de Lourdes Domínguez Morán

Facultad de Contaduría y Administración Universidad Nacional Autónoma de México

Eulalio González Anta

Escuela de Ciencias Económicas y Empresariales Universidad Panamericana

Colaboraron en la presente edición:

Sylvia Meljem Enríquez de Rivera Centro de Vinculación e Investigación Contable Instituto

Tecnológico Autónomo de México

Héctor Macías Noriega Moisés Gutiérrez Velasco

Lizbeth Baños Pineda PwC México

Gobierno Corporativo

COMITÉ DE MEJORES PRÁCTICAS DE GOBIERNO CORPORATIVO


CIUDAD

con apoyo de:



www.cce.org.mx / [email protected]

http://www.cce.org.mx/

mailto:[email protected]

Documents

Código de Mejores Prácticas - CCE€¦ · una de las sesiones del año, un informe sobre la situación que guarda cada uno de los riesgos identificados. La administración de riesgos