EL APETITO DE RIESGO

APETITO DE RIESGO

Bajo el esquema de COSO-ERM-2016 el segundo componente de los cinco que conforman su estructura se denomina “Riesgo, estrategia y configuración de objetivos” y trata sobre la integración de la gestión de riesgo en la definición de los objetivos estratégicos y organizacionales, lo que supone que el cuerpo directivo incorpore en la definición de estos el apetito de riesgo.

Es así como dentro de este componente, el octavo principio de COSO-ERM establece definir el apetito de riesgo, una vez reconocido el contexto de entorno de riesgo de la empresa. Definirlo, implica que se articula el apetito de riesgo con los objetivos y metas organizacionales y es aplicado dentro de la gestión de riesgo.

¿Qué es el apetito de riesgo?

Como concepto es inherente y nace desde la concepción de la empresa, esté explícito o implícito. La primera expresión del apetito por el riesgo es la misión y la visión de la organización. Dentro del marco de COSO se define como:

“la cantidad de riesgo que una organización está dispuesta a aceptar para alcanzar sus objetivos estratégicos y organizacionales”

Es la manera en que la empresa comunica en forma clara y general a los interesados su actitud hacia cada tipo de riesgo que la institución enfrenta, por lo tanto, constituirá la guía para la organización en la determinación de la cantidad de riesgo que está dispuesta a aceptar.

Este concepto, aunque no se encuentra específico en la Norma ISO3100:2018, queda como uno de los subproductos que se desarrolla durante la fase de “Establecimiento del contexto”

Ejemplos de apetito de riesgo

Instituciones financieras: el gap de duración entre activos y pasivos no podrá exceder de 2 años.

Casas de Bolsa: establecimiento para traders de valor en riesgo diario (VaR) de las carteras que manejen a un nivel de confianza al 95% establecido (esta probabilidad es una definición cuantitativa de apetito de riesgo).

Organización Mundial de Propiedad Intelectual: La OMPI describe a continuación el apetito de riesgo de la Organización, en términos generales:

“Los riesgos con incidencia leve se aceptan cuando se estima que la probabilidad de que ese riesgo se materialice es moderada, baja o mínima;

Los riesgos con incidencia notable se aceptan cuando se estima que la probabilidad de que ese riesgo se materialice es baja o mínima; y los riesgos con incidencia grave se aceptan únicamente cuando se estima que la probabilidad de que ese riesgo se materialice es mínima".

En estos pocos ejemplos podemos observar que las organizaciones pueden definir su apetito de riesgo en términos cuantitativos o cualitativos. Para algunas organizaciones definir el apetito de riesgo en términos cualitativos, bajo, medio, moderado, etc. es un paso suficiente en una primera etapa, sin embargo, en la medida que evolucione el desarrollo de la gestión de ERM   la definición de apetito de riesgo podrá ser más precisa.

Cualquiera sea el enfoque para describir el apetito de riesgo, debe reflejar la relación con el alcance de los objetivos estratégicos, la creación de valor e identidad con la cultura de la organización, de manera que puedan dimensionar hasta donde adoptar los riesgos y asignación de recursos y hasta donde evitarlos.

Importancia de la definición del apetito de riesgo

El objetivo es proporcionar un conjunto integrado de principios y medidas que guíen a la organización en la determinación de la cantidad y los tipos de riesgos que desea asumir.

El apetito de riesgo de una organización variará con su estrategia, como también con las condiciones evolutivas de su sector, mercados y cultura organizacional. No hay que soslayar que las regulaciones externas también imponen o condicionarán la dimensión de apetito de riesgo que adopte la organización.

Hay una variedad de enfoques disponibles para determinar el apetito por el riesgo, lo que incluye examinar las expectativas de los interesados, identificar el equilibrio entre las expectativas y los riesgos claves identificados (naturaleza y extensión del riesgo), establecer la extensión aceptable y efectuar la declaración que describa los riesgos aceptables, inaceptables y las líneas de defensa.

Depende de la gerencia comunicar el apetito de riesgo acordado en varios niveles de detalle en toda la entidad. Con la aprobación de la junta, la gerencia también revisa y refuerza el apetito de riesgo a lo largo del tiempo, a la luz de consideraciones nuevas y emergentes. Además, aunque el apetito por el riesgo es extremadamente importante en la consideración de la estrategia y cuando se establecen objetivos de negocios y metas de desempeño, una vez que la entidad considera el riesgo en ejecución, el enfoque cambia a la gestión de riesgos dentro de una variación aceptable.

El apetito de riesgo no debe superar el nivel de tolerancia al riesgo de la empresa. Abordaremos el concepto de tolerancia al riesgo en el próximo post.

Referencias:

Declaración apetito de riesgo Organización Mundial de la Propiedad Intelectual http://www.wipo.int/meetings/es/doc_details.jsp?doc_id=278443

COSO Enterprise Risk Management. Aligning Risk with strategy and performance. June 2016 edition

¿Cómo establecer un margo de apetito de riesgo? Instituto Mexicano de Ejecutivo de Finanzas (IMEF) s/f

Imagen: Instituto Nacional de Cyberseguridad. www.incibe.es

VaR Extremo- Picos sobre el umbral (POT)

Situación

La unidad de gestión de riesgos de una institución financiera analiza las premisas para el cálculo de un escenario de estrés, bajo la perspectiva que se presente una gran pérdida monetaria, digamos u. Se piensa que esta pérdida solo se experimenta en ocasiones muy raras; p.ej. una vez cada 5-10 años.

La preocupación del gerente de riesgos se asocia a cualquier ocasión cuando la variable aleatoria de pérdida L, exceda a u. Como resultado, el nuevo foco de atención está en modelar la distribución condicional de Y = L-u dado que la pérdida excede a u.

Basado en el post anterior de la “Importancia de las colas” se fundamenta un marco teórico para el análisis de las pérdidas extremas, la situación expuesta ilustra como utilizando la teoría de valores extremos, se puede resolver en la práctica este tipo de problemas. En este caso la aproximación a utilizar se asocia a la metodología de Peaks over Thereshold (POT) o Picos sobre el Umbral.

Bases para la aproximación de Picos sobre el Umbral (POT)

Para este enfoque es necesario conocer el siguiente resultado teórico (2):

Sean {X1, … , Xn} variables aleatorias i.i.d., sea u  el umbral fijado y  {Xi1, … , Xip} donde i1, … , ip ∈ {1,…,n} y son todos aquellos valores mayores que el umbral u.

La distribución de los excedentes yij = Xij – u , j ∈ {1,…,p} converge a la siguiente distribución, conocida como Distribución de Pareto Generalizada:

GPD(y;σ,ƹ)= 1- (1+ƹ(ƴ/σ))^-1/ƹ

Donde:

σ= σ + ƹ(u-µ)> 0

El parámetro µ corresponde con la localización (como la media lo es en la distribución normal), el parámetro σ con la escala (como la desviación estándar lo es a una distribución normal) y ƹ con la forma o índice de cola (indica el tamaño de la cola de la distribución) y corresponde a la Distribución Generalizada de Valores Extremos que adquiere la muestra.

Cuando el índice de cola arroja un valor cero la distribución corresponde a una Gumbel, si es menor que cero a una distribución de Weibull y cuando es mayor a cero a una distribución de Frechet.

Escoger el umbral

Si aplicamos esta metodología para el cálculo de un VaR estresado o extremo, su valor dependerá del valor del umbral u. Una de las consideraciones claves a tomar en cuenta cuando seleccionamos el umbral es que debería ser lo suficientemente alto, para que la aproximación presentada en las expresiones arriba, sean razonablemente precisas. El resultado mejora a medida que crece u, sin embargo, lamentablemente puede crecer tanto que la estimación estadística se vuelve inútil. De manera que tan alto como sea el umbral, podemos tener resultados de baja significancia estadística, como si el umbral es bajo, el valor se deteriora en una distribución generalizada de Pareto.

Generalmente se ha utilizado el Valor en Riesgo como umbral, ya que identifica el límite del cuantil donde comienzan aquellos valores por encima del VaR, sin embargo esto no debería ser una regla ya que el valor puede no estar relacionado con las experiencias históricas o probables a futuro que se quieran analizar.

Cómo aplicarlo en la práctica para riesgo de mercado

1.- Tomar la serie de rendimientos en un período previamente seleccionado

2.- Calcular como base el Valor en Riesgo en el horizonte de tiempo y nivel de confianza escogido, utilizando preferiblemente las metodologías históricas o de simulación de Monte Carlo.

3.- Tomando como umbral el resultado del Valor en riesgo del punto anterior, extraer todos los valores que exceden dicho umbral.

4.- Con los valores extremos, se estiman los parámetros de la Distribución de Pareto Generalizada usando estimadores de máximaverosimilitud. Graficar la distribución generalizada de Pareto con los parámetros calculados.

5.- Obtener el VaR extremo mediante el valor de corte dentro de la distribución de los valores extremos graficada al nivel de significancia seleccionado.

Cómo aplicarlo en la práctica para riesgo de mercado con el software Crystal Ball

1.- Tomar la serie de rendimientos en un período seleccionado (base diaria preferiblemente) o calcular las ganancias y pérdidas del activo o portafolio expuesto. Realizar el ajuste de distribución de los datos para determinar los parámetros estadísticos.

2.- Calcular el VaR por simulación de Monte Carlo. Tomar tanto como variable de entrada y pronóstico el promedio de la variable de ganancias y pérdidas (utilizando los parámetros de la distribución obtenidos en el punto anterior).

3.- Ordenar los rendimientos o ganancias y pérdidas diarias de menor a mayor y por diferencia con el VaR calculado en el punto 2, determinar los valores por encima de este.

4.- Al grupo de datos que exceden el VaR,  utilizar la herramienta “Ajuste de distribución de datos” y validar a que distribución generalizada de valores extremos se ajustan  (Weibull, Frechet, Gumbell, Pareto, etc.), en caso que no se ajuste a algunas de las distribuciones, la metodología no puede ser aplicada.

5.- Correr con los datos de valores extremos la simulación de Monte Carlo. El promedio de los valores de ganancias y pérdidas que exceden el umbral se define tanto como variable de entrada o supuesto (utilizando los parámetros obtenidos en el paso anterior), como de variable pronóstico.

6.- Con la distribución de frecuencia obtenida de la simulación, calcular el VaR extremo al nivel de confianza seleccionado.

Referencias:

1) Video Youtube 0398 Método de máxima verosimilitud. Curso estadística inferencial. Universidad Autónoma de México. 

2)Quantdare.  https://quantdare.com/teoria-valores-extremos-2

LA IMPORTANCIA DE LAS COLAS

Si alguna conclusión podemos extraer, de los cambios más profundos que en los últimos 20 años introduce Basilea en cuanto a materia de riesgo de mercado, es como las crisis financieras sucedidas, verifican la presencia de eventos extremos, cuya probabilidad de ocurrir son relativamente bajos, pero de muy alto impacto. De allí que las revisiones emitidas por la institución, en especial para los modelos internos, hayan hecho énfasis en analizar los valores extremos de las distribuciones de las series de precios o rendimientos de los activos financieros (transición de VaR al Expected Shortfall, el VaR estresado, escenarios de stress etc.) de manera que toman un importante papel para su análisis.

En el área de riesgo, el análisis de los eventos extremos se describe a través de la Teoría de Valores Extremos (EVT en sus siglas en inglés) cuyo enfoque se centra en el estudio de las colas de la distribución (valores más altos o bajos de la distribución de los valores de la variable en estudio).

En riesgo financiero es poco común encontrar un factor de riesgo cuya distribución de pérdidas se describa como una normal; por lo general, en riesgo de mercado, las distribuciones de pérdidas tienen alta curtosis, lo que indica que hay más probabilidad en las colas de estas distribuciones que en una normal.

Distribución de las colas pesadas

Distribuciones con altas curtosis se denominan distribución de colas pesadas. El capital de una entidad financiera puede verse significativamente afectado si no se caracteriza bien la distribución de estas colas pesadas.

Una distribución de cola pesada se distingue de la cola de una normal, en que en la primera decae mucho más lentamente, lo que significa que las probabilidades de encontrar valores extremos más grandes que en la normal son mucho mayores.

Fuente: Artículo: Estimadores del índice de cola y valor en riesgo(2010)

Métodos para el estudio de las colas

Mediante la teoría de valores extremos se hace el estudio de las colas.

Existen dos aproximaciones en esta teoría, el método de Máximo por Bloques, que considera el máximo valor que toma una variable aleatoria en periodos sucesivos de tiempo. Dichas observaciones son consideradas como valores extremos de la serie para cada uno de los periodos seleccionados.

El segundo tipo de metodología es conocido como Picos Sobre el Umbral (POT por sus siglas en inglés- Peaks Over Thresholds), los cuales se basan en las observaciones de una muestra que exceden un límite o umbral previamente definido. A diferencia de la aproximación anterior, la serie original no es dividida en bloques, sino que se define un umbral a lo largo de su historia, y aquellas observaciones que lo exceden se consideran valores extremos. El modelo POT tiene como ventaja que, gracias al uso más eficiente de la información, tiene mayor aplicación práctica.

En próximo post, revisaremos esta última metodología para su aplicación en modelos internos de riesgo de mercado.

Referencias

Mora Valencia, Andrés. Estimadores del índice de cola y el valor en riesgo.Colegio de Estudios Superiores de Administración - CESA, Bogotá - Colombia.2010

Modelos de Backtesting para Expected Shortfall(ES)

A continuación, un resumen obtenido de dos trabajos relacionados con el tema y cuyos autores y títulos de trabajo se detallan abajo en las referencias.

Basilea propuso una transición desde el VaR con un nivel de significancia del 1% hacia el ES con un nivel de significancia del 2.5% como medida para la cuantificación del riesgo de mercado, sin embargo, no se planteó una definición formal de su backtesting (1).

Los modelos de backtesting para Expected Shortfall guardan diferencias con relación a las utilizadas para el Valor en Riesgo (VaR). En el post anterior se señaló que una de las principales diferencias es que el ES carecía de una propiedad matemática llamada elicatibilidad el cual el VaR sí lo cumplía, sin embargo, se pueden realizar las pruebas de backtesting del ES sin considerar esta propiedad.

Desde que Basilea ha anuciado la transición del VaR al ES,  en el aspecto del bactesting se han divulgado varios trabajos que abordan este tema recomendando diversas metodologías. Algunas de las metodologías hacen el uso tanto de modelos Garch como de Simulación de Montecarlo o ambos.

Aquí se muestran 3 metodologías que describen como se pueden aplicar:

1.      Aproximación de cuantiles de Emmer, Kratz y Tasche

El método de Emmer (2013) es una manera sencilla de hacer el backtest del Expected Shorfall basándose en la aproximación de backtesing a varios niveles de VaR. Aunque la aproximación que se consigue con este método no sea tan exacta como la obtenida con los otros dos métodos es el menos complejo y probablemente el que más se utilice en la práctica debido a su simplicidad (2)

La aproximación consiste en realizar pruebas de backtesting del VaR en un número seleccionado de cuantiles a un nivel de significancia, por ejemplo:

Si se supone que 𝛼 = 0.05 si se toman 4 puntos de cuantiles, se tiene que:

𝐸𝑆_5%(𝑥) =≈ 1/4[𝑞_1.25%(𝑋) + 𝑞_2.5%(𝑋) + 𝑞_3.75%(𝑋) + 𝑞_5%(𝑋)]

Se puede asumir que se utiliza el mismo backtest para cada nivel de VaR, con un 95% de confianza al rechazar el modelo. Se aproxima el ES_5% como la suma de 4 niveles distintos de VaR: 1,25%, 2.5%, 3.75% y 5%, asegurando que todos superan el backtesting del VaR.

2.      Modelo no paramétrico de Acerbi y Szekely

Acerbi y Szekely (2014) propusieron tres métodos distintos de backtesting para el Expected Shortfall. Los tres métodos son no-paramétricos, pero definen un test estadístico y utilizan simulaciones para encontrar la significación. La ventaja de estos métodos es que no se necesita hacer ningún supuesto paramétrico. (2)

Esta metodología necesita un mayor almacenamiento de información que el backtesting del VaR, pero resultan ser más potentes en cuanto a identificación estadística en momentos de alta volatilidad. Para las fronteras de significancia e identificación de potencia de los tests, Acerbi y Székely (2014) prueban las distribuciones Normal y t-Student (1)

Las simulaciones de Montecarlo se realizan dentro de una de las tres pruebas para encontrar los valores críticos con un nivel de significancia escogido.

3.      La distribución truncada de Rigui y Ceretta

Rigui y Ceretta propusieron una nueva forma de hacer el backtesting con el fin de mejorar los métodos ya existentes mencionados al principio. Las tres mejoras que propusieron son (1):

·         Utilizar la dispersión de la distribución truncada tomando como límite superior el VaR estimado, en vez de toda la función de probabilidad.

·         Permiten distribuciones de probabilidad distintas, hasta la distribución empírica, no se limitan a la Gaussiana. 

·         Permite verificar si cada violación individual del VaR es significativamente distinta del ES permitiendo verificar el error más rápidamente. 

¿Cuál método escoger?

Dependerá del método escogido para el cálculo del VaR y el ES. Si se utiliza el método de simulación de Montecarlo, el backtesting más adecuado es el método de Emmer, Kratz y Tasche o los métodos de Acerbi y Szekely.

Si se realizan métodos paramétricos para el cálculo del VaR y ES el método de Acerbi y Szekely será el más adecuado.

Si se utiliza simulación histórica para el cálculo del ES se recomienda la prueba de backtesting de Emmer, Kratz y Tasche.

REFERENCIAS

(1)    Sesma, Ana Maite. Expected Shortfall: Modelo de investigación de aplicación práctica y metodologías de Backtesting bajo FRTB. Trabajo de investigación, Universidad Complutense de Madrid. 06-2016

(2)    Backtesting Expected Shortfall: Una aplicación en acciones de energía tradicional y renovable. Daniel Velásquez, Andrés Mora-Valencia. Universidad EAFIT y Universidad de los Andes.

El Expected Shortfall como medida de riesgo de mercado en el marco de la revisión de Basilea del FRTB

En enero del 2016 el comité de Basilea, en el documento “Minimun capital requirements for market risk” bajo el Fundamental Review of the Trading Book (FRTB-Cartera de negociación), propuso realizar el cambio de la medida de valor en riesgo (VaR) al Expected Shortfall (ES), aplicado a los modelos internos en la determinación de los requerimientos de capital por riesgo de mercado.  Así, el cálculo  del VaR diario al 99% en un horizonte de 10 días, se modifica al ES al 97.5% como medida de riesgo.

En principio, la fecha límite exigida a las entidades para su implementación estaba fijada para enero de 2019, sin embargo, hasta la fecha de publicar este post, se ha pospuesto para después del 2020.

De esta manera el VaR como medida simplificada y fácil de entender es sustituida por otra, bastante similar y complementaria pero que tiene como atributo características que aventajan las propiedades del VaR, siendo la más importante, la captura del riesgo en las colas de la distribución, permitiendo la posibilidad de dimensionar las pérdidas más allá del VaR y adicionalmente el ES cumple la propiedad de subaditividad, convirtiéndola en una medida coherente de riesgo.

¿Qué es el Expected Shortfall?

“El expected shortfall (tail VaR) es la pérdida esperada por una cartera a un horizonte temporal determinado, una vez superado el VAR medido por el nivel de confianza elegido” (1).

Esta simplificada definición nos advierte, que el VaR, no desaparece como referencia importante para dimensionar riesgo de mercado, al contrario, en algunas metodologías, se toma como benchmark o umbral para calcular el ES, dado que esta es una probabilidad condicionada al VaR.

Razones del cambio

El objetivo dentro de la revisión del marco es asegurar una captura prudente del riesgo de cola y la elección de un capital adecuado durante los periodos de mucho estrés de los mercados financieros.  

El VaR ha sido criticado como medida de riesgo no coherente porque dentro de la teoría de la medida, no cumplía la propiedad de subaditividad, por lo que en un portafolio, el VaR de este podría ser mayor que el VaR de los activos individuales, contradiciendo la teoría de diversificación.

Por otra parte, la medida del VaR a 10 días mostraba incapacidad para capturar el riesgo de liquidez del mercado, esto último agrega un cambio importante que es la incorporación integral del riesgo de iliquidez al marco de riesgo de mercado. El Comité reconoció la importancia de incorporar el riesgo de iliquidez ya que durante la crisis se deterioran las condiciones de liquidez forzando a los bancos a mantener posiciones de riesgo durante mucho más tiempo de lo esperado, incurriendo en severas pérdidas (2)

Modelos para el cálculo del ES

Similar al cálculo del VaR, el ES tiene varias metodologías, tanto paramétricas como no paramétricas.

Entre las no paramétricas se encuentran:

Simulación histórica

No se asume ningún tipo de distribución de probabilidad, sino que los rendimientos futuros se comportan como los del pasado reciente, además incorpora la existencia de las colas gruesas en las rentabilidades. Como desventaja se destaca que da igual peso o ponderación a las observaciones pasadas y recientes y adicionalmente la selección de la muestra histórica tomada para el cálculo, influye de forma importante en los resultados.

En los paramétricos existe:

Método de simulación histórica filtrada (FHS)

Es un método semi-paramétrico, donde se combina el modelo de simulación histórica con modelos de volatilidad condicional (como el modelo GARCH), lo cual lo hace atractivo para trabajar con volatilidades cambiantes o heterocedásticas. (3)

El ES y los modelos de Backtesting

En los modelos internos una de las obligaciones de las entidades es validarlo con pruebas de backtesting. En este particular con el VaR hay desarrolladas varias metodologías que son bastantes sencillas de aplicar, lo cual no ocurre así con el ES. En este sentido…” en 2011 Gneiting publicó un artículo en el que demostraba que el ES carecía de una propiedad matemática llamada elicatibilidad el cual el VaR sí lo cumplía y que podría ser importante para realizar el backtesting del ES. Siguiendo su investigación, muchos pensaron que era imposible realizar un backtesting del ES. Sin embargo, desde entonces, se han publicado algunos artículos como el de Acerbi y Szekely (2014) en el que demuestran que sí es posible realizar el backtesting del ES siempre y cuando no se utilice la propiedad de la elicatibilidad”. (3)

La utilidad estadística de la elicatibilidad se resume en su capacidad tanto para comparar diferentes métodos estadísticos y dar sentido a los procedimientos de backtesting como para realizar predicciones y estimaciones por regresiones basadas en la media (4),  sin embargo como se refirió, aunque el ES no posee esta propiedad, se han encontrado métodos para la realización de los backtesting.

Nos referiremos a las metodologías del cálculo y las pruebas de Backtesting del ES en otra entrega.

REFERENCIAS

(1)    http://economipedia.com/definiciones/perdida-esperada-expected-shortfall.html

(2)    Documento de consulta: Revisión fundamental de la cartera de negociación. Comité de Supervisión Bancaria de Basilea. Mayo 2012

(3)    Sesma, Ana Maite. Expected Shortfall: Modelo de investigación de aplicación práctica y metodologías de Backtesting bajo FRTB. Trabajo de investigación, Universidad Complutense de Madrid. 06-2016

(4)    Cimpeam, Larisa. El uso de expectiles en la medición del riesgo. Comparativa con el VaR y con el ES. Trabajo de investigación, Universidad Complutense de Madrid. 07-2017

Càlculo del Valor en Riesgo por Simulaciòn de Montecarlo

MANEJO DE LOS CONCEPTOS DE GESTIÓN DE RIESGO EN LAS EMPRESAS LATINOAMERICANAS

Continuando el análisis de los resultados del tercer benchmark llevado a cabo por la empresa Marsh Risk Consulting y RIMS (The Risk and Insurance Management Society) publicado a inicio de este año, indagaron si están familiarizados y son considerados útiles algunos conceptos como apetito de riesgos, risk velocity, análisis de interdependencia y correlación de riesgos, cuantificación y modelación de riesgos, implementación de indicadores de desempeño de riesgos (KRI’s), valor en riesgo (VAR) y riesgos emergentes.

De los resultados se destaca que en promedio un poco más del 20% de los encuestados no ha oído hablar de estos conceptos, y en especial los de mayor desconocimiento son el risk velocity y el Valor en riesgo. Apetito de riesgo y cuantificación y modelación de riesgo resultan los más conocidos y oídos.

En cuanto a la utilidad de estos conceptos risk velocity y valor en riesgo tienen una percepción baja, guardando correlación con el desconocimiento de estos términos. Entre los más útiles están la cuantificación y modelación de riesgos junto con apetito de riesgo y análisis de interdependencia y correlación de riesgos.

El apetito de riesgo y la cuantificación y modelación de riesgo son los conceptos más implementados por las organizaciones latinoamericanas, aunque los resultados también indican que similarmente se aplican los conceptos de valor en riesgo, KRI´s y análisis de interdependencia y correlación de riesgos. Llama la atención que el concepto de valor en riesgo es implementado a pesar de la percepción de su poca utilidad, lo que sugiere que la respuesta estuviera más relacionada con el sector bancario donde se aplica este concepto por razones regulatorias en casi todos los países.

Los resultados arrojan que indudablemente el conocimiento y aplicación de los conceptos asociados a la gestión de riesgo van de la mano con el nivel de preparación del profesional de riesgo y el grado de madurez de la organización en estos procesos.

El informe lo pueden encontrar en file:///C:/PROYECTO%20ERM-2018/III%20BENCHMARK%20DE%20RIESGOS%202018.pdf

La gestión de riesgo en latinoamérica (parte 1)

Nivel de madurez y retos para su implantación 

Marsh Risk Consulting y RIMS (The Risk and Insurance Management Society) publicaron a inicio de este año los resultados del tercer benchmark de gestión de riesgos en Latinoamérica. En su reporte denominado “Reimagine risk: Capturando oportunidades en un mundo de riesgo” presentaron el estudio referente a la región y a la luz de los resultados obtenidos se destacan y reiteran todavía aspectos arraigados y avances en lo que a la gestión de riesgo se refiere.

Se destacan algunos aspectos que hacen concluir que existe todavía un amplio margen de oportunidades para los profesionales del área, tanto los que trabajan en la empresa, hasta actividades de consultoría y educación de manera que se refuercen conocimientos, técnicas y experiencias en el abordaje de la gestión de riesgo.

Esta conclusión se apoya en los siguientes resultados arrojados por “294 encuestas realizadas a través de un cuestionario en línea entre abril y agosto de 2017, con la participación de más de 10 países y 20 sectores económicos de la región” (pag. 74).

A continuación, algunos resultados asociados al nivel de desarrollo de la gestión de riesgo y barreras para su implantación:

a)   Según los resultados, un 25% de las organizaciones se ubica en niveles de madurez en la gestión integral de riesgo, lo que deja al 75% restante en grados de “no desarrollado” a “establecida” una gestión de riesgo. Destaca que la mayoría de las empresas en los niveles de desarrollo más avanzados son el sector financiero y minero que tradicionalmente han tenido una conciencia y sensibilización de los riesgos, impulsado por los elementos regulatorios a la que en especial el sector financiero está sometido desde hace muchos años, lo que deja la interrogante ¿sólo las empresas desarrollan modelos de gestión de riesgos cuando se ven sometidos a regulaciones y forzar el cumplimiento de las mismas y no como parte inherente al logro de los objetivos estratégicos y operativos?

b)    La interrogante anterior se ve en parte respondida por el  siguiente resultado relacionado con las barreras para implantación de un modelo de gestión de riesgo: “…encontramos que en su mayoría están relacionados con problemas de cultura organizacional, con la percepción de que la gestión de riesgos se debe hacer por cumplimiento en contraposición a implementarla como herramienta estratégica y, finalmente, con la falta de información y conocimiento clave sobre la gestión de riesgos y su importancia”(página 15).

Estos retos asoman por qué el nivel de la gestión de riesgo en el amplio sector del 75%, todavía se orienta a reaccionar una vez el riesgo se ha materializado y es allí donde se comienza a pensar en desarrollar y/o reforzar de una manera integral la gestión de riesgo. Es un factor cultural muy arraigado todavía en algunos países y sectores de pequeñas y medianas empresas.

En otra entrega analizaremos otros resultados de este interesante estudio.

El informe lo pueden encontrar en file:///C:/PROYECTO%20ERM-2018/III%20BENCHMARK%20DE%20RIESGOS%202018.pdf

PROCESO PARA LA GESTIÓN DE RIESGO EMPRESARIAL-ISO 3100:2018

Finalizando esta serie del lanzamiento de la nueva ISO31000:2018, abordamos lo concerniente al  proceso para llevar a cabo la gestión de riesgo. Esta no ha cambiado drásticamente en relación a la versión 2009, manteniéndose igual todos las etapas del proceso. Lo que si se ha reducido mucho es el lenguaje complicado y el texto es más corto y conciso, facilitando la comprensión para el usuario.

La representación gráfica en esta nueva versión, es un círculo que describe las siguientes etapas

Establecimiento del contexto: Definición de los parámetros externos e internos a tener en cuenta cuando se gestiona el riesgo, y se establecen el alcance y los criterios de riesgo para la política de gestión del riesgo. Comprende establecer los contextos estratégicos, organizacional y de gestión en los cuales tendrá lugar el Proceso de Gestión de Riesgos. Deben establecerse los objetivos de la evaluación del riesgo, los criterios contra los cuales se evaluarán los riesgos, el programa de evaluación del riesgo y definirse la estructura de análisis, los roles y responsabilidades.

Análisis del riesgo: es el proceso global de identificación del riesgo, análisis y valoración del riesgo.

Tratamiento del riesgo: consiste en seleccionar y aplicar las medidas más adecuadas, con el fin de poder modificar el riesgo, para evitar de este modo los daños intrínsecos al factor de riesgo, o bien aprovechar las ventajas que pueda reportarnos.

Comunicación y consulta: Comprende definir y utilizar mecanismos para comunicar y consultar con los interesados internos y externos, según resulte apropiado en cada etapa del proceso de gestión de riesgos.

Seguimiento y revisión: revisión del sistema de gestión de riesgo con el objeto de asegurar su conformidad y efectividad.

EL MARCO DE REFERENCIA DE ISO3100:2018 ¿QUÉ CAMBIÓ?

¿Qué es el marco de referencia?

Establecidos los principios en que se enfoca la norma, se define un marco de referencia para llevar a cabo el proceso de gestión integral de riesgos, abarcando a toda la organización para hacer efectiva tal integración.

Este marco permite a) entender a la organización y el contexto donde se desenvuelve, b) a través del liderazgo se modela el compromiso de todos los involucrados en la gestión de riesgo, conformando la cultura de riesgo en la organización c) definir la estructura organizativa para la gestión del riesgo, asignando las responsabilidades y rendición de cuentas d) reforzar la organización basada en procesos para garantizar la integración entre los mismos, e) asignar los recursos necesarios para llevar a cabo las responsabilidades y cumplimiento de los objetivos en lo que a la gestión de riesgos se refiere, f) establecer los mecanismos de comunicación y reportes.

En ISO3100:2018 se presenta así:

ISO 31000:2018 YA ESTÁ AQUÍ

Como se esperaba ya la organización ISO lanzó oficialmente este mes la nueva versión ISO 31000:2018, cuyo objetivo fue actualizar la norma antes los nuevos retos y tipos de riesgos en que las organizaciones se desempeñan.

El cambio se focaliza en el liderazgo de la alta dirección como principal responsable de garantizar que la gestión de riesgos se integre en todas las actividades de la organización, comenzando con la gobernanza de ésta.

Da un mayor énfasis en la naturaleza iterativa de la gestión de riesgos, aprovechando las nuevas experiencias, el conocimiento y el análisis para la revisión de los elementos, acciones y controles en cada etapa del proceso.

La composición gráfica de los principios, marco de trabajo y procesos cambia a formas circulares con respecto a norma anterior.

Comentaremos en esta primera entrega algunos de los cambios significativos:

Los principios cambian de 11 a 9:

A continuación se presentan los principios, con comentarios en algunos de ellos:

1.   CREACIÓN DE VALOR Y PROTECCIÓN: La versión 2018 se enfoca más en crear y proteger el valor como el impulsor clave de la gestión del riesgo.

2.  INTEGRADO: la gestión de riesgo integrada, para garantizar la coherencia y la efectividad del control de gestión en todas las áreas de la organización. Esto incluiría estrategia y planificación, resiliencia organizacional, TI, gobierno corporativo, RR.H.H, cumplimiento, calidad, salud y seguridad, continuidad del negocio, gestión de crisis y seguridad.

3.   ESTRUCTURADO

4.   ADAPTADO: a las necesidades y objetivos de la organización

5.  INCLUSIVO: en todos los aspectos de los riesgos en todas las áreas y procesos de la organización.

6. DINÁMICO Y QUE PROPORCIONA RESPUESTAS: la gestión de riesgo implica diseñar un modelo de sistema abierto que regularmente intercambia retroalimentación con su entorno externo para adaptarse a múltiples necesidades y contextos.

7.MEJOR INFORMACIÓN DISPONIBLE: recopilando la información interna y externa que habilite a la organización a tomar decisiones mejor informadas y oportunas.

8.FACTORES HUMANOS Y CULTURALES: bajo un marco en que todos los integrantes de la organización e interesados actúen conociendo los riesgos, comprometidos con la gestión y rendición de cuentas, en un ambiente que propicie la autogestión.

9.   MEJORA CONTINUA.

COSO vs ISO 31000. ¿Cuál es más aplicado en la gestión de riesgo empresarial?

En noviembre del año 2015 Marsh Risk Consulting, empresa del grupo Marsh & McLennan Companies en conjunto con RIMS, The Risk and Insurance Management Society, realizó un estudio de benchmarking con el objetivo de conocer las diferentes prácticas de gestión de riesgos en el entorno empresarial latinoamericano, que permitió comparar con respeto a otros países el nivel de desarrollo en esta área (1).

Dentro del grupo de preguntas se indagó cuál de los estándares internacionales aplican las organizaciones para diseñar su sistema de gestión de riesgo, arrojando como resultados que casi la tercera parte de las empresas encuestadas aplica la norma ISO 31000 y muy cercano a ese número (29%) se adhieren a COSO (Commitee of Sponsoring Organizations).

En primer lugar hay que advertir que ambos estándares no son manuales de aplicación o recetas para implementar un sistema de gestión de riesgo empresarial.  Son un marco de trabajo y de proceso general para la gestión de los diversos tipos de riesgos. Estos estándares no obligan a utilizar una visión única y rígida, sino que dentro de unos principios e instrucciones cada organización las adapta a sus necesidades.

Los enfoques de estos estándares han sido revisados de forma continua y se puede hablar de convergencia en muchos aspectos, aunque el debate está servido al comparar el abordaje de ambos estándares en temas específicos.  Hay coincidencia en principios, tales como, el riesgo agrega valor a la organización, la importancia del modelaje y compromiso de la alta dirección como dinamizadores para crear una cultura de riesgo, pieza fundamental para alcanzar un carácter integral en la gestión, y en los procesos de apreciación y tratamiento del riesgo las metodologías se aproximan bastante.

El enfoque inicial de COSO hacia el control interno, y la percepción de que su alcance era poco aplicable a todo tipo de empresas, ha desarrollado un enfoque más integral con su última versión COSO ERM 2016. Entre tanto la ISO 31000:2009, actualmente en proceso de cambios hacia ISO31000:2018, se presenta como una norma relativamente de pocas páginas, fácil de comprender, clara y práctica que se expandió rápidamente en su aplicación en muchas empresas. La norma ISO 31000:2009 no requiere certificación.

Cualquiera que sea la elección o si ya la empresa aplica alguna de ellas, los dos enfoques en conjunto proporcionan a los profesionales de la gestión de riesgo y auditores un marco adecuado y efectivo para diseñar, fortalecer o integrar la gerencia de riesgo.

(1)https://www.marsh.com/mx/insights/research/i-benchmark-de-gestion-de-riesgos-en-latinoamerica.html

¿Por qué la gestión de riesgo adquiere cada vez más protagonismo en la toma de decisiones de las empresas?

No deja de llamar la atención como la gestión de riesgo va incorporándose o haciéndose cada vez más explícita y destacada en el quehacer diario de muchas de nuestras empresas en la región latinoamericana, aunque con sus desfases en el desarrollo de esta actividad en diferentes sectores económicos y países.

Destaca cómo normas internacionales, entre ellas la última actualización de la norma ISO9000:2015, adopta el pensamiento basado en riesgo dentro del marco del sistema de gestión de la calidad, confirmando la importancia que tiene identificar los riesgos asociados a los productos y servicios, desde su diseño hasta las actividades postventa, todo ello alineado a los objetivos estratégicos definidos por la empresa.

Todo lo anterior se deriva porque los objetivos, en sus niveles estratégicos, tácticos y operativos que fija una organización se enmarcan en ambientes de alta incertidumbre o entornos VUCA (volatilidad, incertidumbre, complejidad y ambigüedad) que la obligan a gestionar el riesgo para el logro de su sobrevivencia, protección, sostenibilidad, competitividad y resiliencia ante los constantes cambios.

La gestión de riesgo ha ido adquiriendo relevancia como herramienta para el desarrollo y supervivencia empresarial pautado por las experiencias que la industria financiera y específicamente el sector bancario y bursátil han sufrido, permitiendo conformar un marco que ha permeado cada vez más a ser aplicado en todo tipo de empresas.

Los estándares COSO y COSO-ERM sin duda fijan pautas y han evolucionado con la complejidad de cambios globales y presencia de nuevos eventos de riesgos y que con la norma ISO31000 (entre otras normas más específicas por áreas de especialización), son los estándares internacionales de referencia para implementar la gestión integral de riesgos en las organizaciones.

Finalmente, la gestión integral de riesgo evoluciona de una visión exclusiva, especializada, funcional y a veces marginal dentro de las organizaciones, a una actividad que forma parte de la cultura organizacional, agrega valor a la empresa y contribuye a crear ventaja competitiva.