1

Gobierno Corporativo, Riesgo y Cumplimiento

Origen y Fundamentos

DERECHOS RESERVADOS

© Javier Ísmodes Cascón, 2021

AUTOR-EDITOR

Javier Ísmodes Cascón

Lima, Perú.

Segunda edición digital, marzo de 2021

ISBN: 9781088533758

DOI: 10.13140/RG.2.2.32693.29921

Corrección: Alfonso Klauer

Libro digital disponible en: www.amazon.com

Prohibida la reproducción total o parcial de esta obra, por cualquier medio, sin el permiso escrito

del autor.

2
 Índice

Introducción .................................................................................................................................. 11

Casos históricos y respuestas regulatorias .................................................................................... 15

Las corporaciones con fines de lucro ........................................................................................ 15

Los fondos de pensiones y la ley ERISA (1960) ...................................................................... 16

El origen del Acuerdo de Basilea (1974 – 1975) ...................................................................... 18

El caso Herstatt Bank (1974) ................................................................................................. 18

El caso Franklin National Bank (1974) ................................................................................. 19

Regulación bancaria: Basilea I (1975) ...................................................................................... 20

Regulación: la ley FCPA (1975 – 1977) ................................................................................... 21

El caso United Brands Company (1975) y el Bananagate..................................................... 21

El caso Lockheed (1976) ....................................................................................................... 22

El caso Siemens (2008) ......................................................................................................... 24

Regulación: El Grupo de Acción Financiera (1990) ................................................................. 24

La crisis de los bonos basura (junk bonds) ................................................................................ 25

El caso Drexel Burnham Lambert (1990).............................................................................. 25

Colapsos financieros en la década del 90 .................................................................................. 26

El caso Banco Barings (1995) ............................................................................................... 27

Regulación: la ley Gramm–Leach–Bliley (1999) ..................................................................... 28

3
Colapsos financieros en la década del 2000 .............................................................................. 29

El caso Worldcom (2001) ...................................................................................................... 29

El caso Enron (2001) ............................................................................................................. 30

El caso Tyco International (2002) ......................................................................................... 31

Regulación: la ley Sarbanes-Oxley (2002) ............................................................................ 32

El caso Parmalat (2003) ......................................................................................................... 33

El caso Freddie Mac (2003)................................................................................................... 34

Regulación: Basilea II (2004) ................................................................................................ 34

La crisis financiera global (2008) .......................................................................................... 35

El caso Lehman Brothers (2008) ........................................................................................... 37

El caso AIG (2008) ................................................................................................................ 37

Regulación: El Consejo de Estabilidad Financiera (2009)........................................................ 38

Regulación: la ley Dodd-Frank (2010) .................................................................................. 39

Regulación: Basilea III (2010) .............................................................................................. 41

El caso MF Global ................................................................................................................. 42

El caso Banco Barclays (2013) .............................................................................................. 42

El caso Lava Jato, Brasil (2014) ............................................................................................ 43

El caso Volkswagen I (2005)................................................................................................. 44

El caso Volkswagen II (2015) ............................................................................................... 45

4
 El caso Wells Fargo (2016) ................................................................................................... 45

Regulación: Basilea IV (2017) .............................................................................................. 46

El gobierno corporativo ................................................................................................................ 47

Aspectos generales .................................................................................................................... 48

Modelos de gobierno corporativo ............................................................................................. 49

Gobierno corporativo por tipo de organización ..................................................................... 50

Empresas que cotizan en bolsa de valores ............................................................................. 50

Empresas que no cotizan en bolsa de valores ........................................................................ 53

El caso British Home Stores (BHS) ...................................................................................... 53

Empresas del estado............................................................................................................... 55

Empresas sin fines de lucro ................................................................................................... 57

Beneficios del buen gobierno corporativo (BGC)..................................................................... 58

Limitaciones del gobierno corporativo ..................................................................................... 60

Faltas éticas............................................................................................................................ 60

Cambios en el entorno ........................................................................................................... 61

Aplicar el BGC solo por cumplir ........................................................................................... 61

Teorías del gobierno corporativo .............................................................................................. 62

La teoría o problema del ‘agente - principal’ ........................................................................ 62

El conflicto ‘principal – principal’ ........................................................................................ 64

5
 La teoría de la asimetría en la información ........................................................................... 64

La teoría de stewardship ........................................................................................................ 65

La teoría de la dependencia de recursos ................................................................................ 66

La teoría de los stakeholders (partes interesadas) ................................................................. 66

Nepotismo y amiguismo ........................................................................................................ 68

Evolución del gobierno corporativo ...................................................................................... 70

Gobierno corporativo en Estados Unidos.................................................................................. 71

COSO y la gestión integral de riesgo .................................................................................... 72

Gobierno corporativo en el Reino Unido .................................................................................. 73

Antecedentes del Reporte Cadbury ....................................................................................... 73

El Reporte Cadbury (1992).................................................................................................... 76

El Reporte Greenbury (1995) ................................................................................................ 78

El Reporte Hampel (1998) ..................................................................................................... 79

El Código de gobierno corporativo del Reino Unido ............................................................ 80

Reforma del gobierno corporativo ......................................................................................... 82

Sistemas legales y regulatorios de gobierno corporativo ...................................................... 83

Las partes interesadas ................................................................................................................ 85

Las partes interesadas internas .............................................................................................. 85

Las partes interesadas externas .............................................................................................. 93

6
 La responsabilidad social corporativa (RSC) ............................................................................ 98

Milton Friedman y la RSC..................................................................................................... 98

El enfoque de Archie Carroll – Niveles de RSC ................................................................... 99

Gestión sostenible ................................................................................................................ 101

Ejemplos de fallas en gestión sostenible ............................................................................. 103

Propuestas de Gestión sostenible ......................................................................................... 106

La inversión socialmente responsable y el activismo de los accionistas ............................. 107

Movimientos internacionales de apoyo a la RSC ................................................................ 109

La gestión de riesgo .................................................................................................................... 111

El riesgo................................................................................................................................... 112

El riesgo inherente y el riesgo residual ................................................................................ 114

Definición de gestión de riesgo ........................................................................................... 117

El riesgo, ciencia y arte........................................................................................................ 118

Tipos de riesgos....................................................................................................................... 119

Riesgos conocidos y desconocidos ...................................................................................... 119

Riesgos cuantitativos y cualitativos ..................................................................................... 122

Tipología general de riesgos (no basada en la función organizacional) .............................. 123

Riesgos por función o tipo de actividad .............................................................................. 126

La gestión integral de riesgo ................................................................................................ 155

7
 La gestión de riesgo y el gobierno corporativo ................................................................... 159

El proceso de gestión de riesgo ............................................................................................... 164

Establecer el contexto .......................................................................................................... 164

Identificación de los riesgos ................................................................................................ 165

Análisis y evaluación de los riesgos .................................................................................... 167

Matriz de riesgos ................................................................................................................. 170

Mitigación de los riesgos ..................................................................................................... 171

Control de los riesgos .......................................................................................................... 172

La voz de alerta.................................................................................................................... 174

La crisis del COVID-19 .......................................................................................................... 175

Cumplimiento de la regulación ................................................................................................... 178

Normas internacionales de cumplimiento ............................................................................... 180

Know your customer (KYC) ............................................................................................... 180

Antilavado de dinero y financiamiento del terrorismo (AML, CFT) .................................. 180

Tráfico de influencias, cohecho y colusión ......................................................................... 181

Elementos del programa de cumplimiento .............................................................................. 181

El oficial de cumplimiento .................................................................................................. 181

El mapa de riesgos ............................................................................................................... 184

Plan de comunicación .......................................................................................................... 184

8
 Códigos internos de conducta .............................................................................................. 184

Normas ISO ............................................................................................................................. 185

Base de datos y librerías de regulaciones ............................................................................ 185

Entrenamiento y capacitación del personal ......................................................................... 185

Seguimiento y resolución de problemas .............................................................................. 185

La autoevaluación ................................................................................................................ 186

La prueba: la primera página del Wall Street Journal ......................................................... 186

El ombudsperson ..................................................................................................................... 186

Niveles de madurez en cumplimiento ..................................................................................... 188

Riesgo y cumplimiento............................................................................................................ 188

Las herramientas GRC ................................................................................................................ 190

Beneficios ............................................................................................................................ 191

Tecnología para la gestión de GRC ..................................................................................... 192

Niveles de adopción de GRC............................................................................................... 198

Implementación ................................................................................................................... 199

GRC, herramienta contra el delito económico .................................................................... 201

Conclusiones ............................................................................................................................... 204

Referencias .................................................................................................................................. 207

Apéndice ..................................................................................................................................... 215

9
Siglas ....................................................................................................................................... 216

Grandes regulaciones de gobierno corporativo ....................................................................... 219

Películas y libros sobre fallas de gobierno corporativo .......................................................... 222

10
 Introducción

Con el auge de la globalización, los retos, la complejidad y la incertidumbre de las

organizaciones han aumentado significativamente, haciéndose imprescindible una adecuada

gestión integral de riesgo dentro del marco de las buenas prácticas de gobierno corporativo, así

como del cumplimiento con las regulaciones nacionales y globales.

Cuando comencé mi carrera profesional en 1985, muchos de los elementos que hoy se

conocen como parte del gobierno corporativo y la gestión de riesgo no estaban formalmente

definidos. Por ejemplo, el concepto de stakeholders era nuevo y estaba en proceso de difusión

académica; hoy es una de las palabras más usadas cuando se habla de gobierno corporativo. La

empresa Enron recién se estaba creando, hoy es la referencia de cómo no se debe manejar una

corporación. Robert Maxwell acababa de haber comprado el diario Daily Mirror en el Reino

Unido, hoy es uno de los casos emblemáticos de cómo un ejecutivo puede defraudar a los

empleados de su empresa apropiándose de sus fondos de pensión. La aduana de Estados Unidos

comenzaba a investigar las prácticas irregulares del banco BCCI, hoy se recuerda como uno de los

mayores ejemplos de malversación de fondos en la industria financiera. En América Latina, la

constructora Odebrecht iniciaba su expansión fuera de Brasil, que terminaría en el mayor caso de

corrupción en la historia de la región.

Debido al poco acceso a la información, a la menor globalización y al limitado alcance de

los medios de comunicación masivos que había en esa época, los gobiernos corporativos tenían

menos visibilidad y eran menos sujetos a regulaciones y al escrutinio del gobierno y del público.

Esa aparente mayor libertad que tenían y de la que muchos lamentablemente abusaron, fue la causa

de que muchas estructuras corporativas fallaran por problemas en su diseño, control y operación,

11
causando grandes perjuicios a los accionistas, a los trabajadores, proveedores, gobiernos, al

ambiente y a la sociedad en general. Esos problemas fueron cada vez más ampliamente difundidos

por los medios de comunicación, y se continuaron presentado, muchas veces agrupados en el

tiempo. A cada serie de escándalos corporativos, le siguió una respuesta en forma de reformas

regulatorias para tratar de evitar que se repitan. En muchas ocasiones, los escándalos corporativos

se produjeron por nuevas causas que no habían sido contempladas anteriormente.

Hay muchas explicaciones sobre la razón por la que los gobiernos corporativos no han

podido frenar totalmente el ansia desmedida de ganar más dinero y poder, a todo costo, de algunos

ejecutivos poco honrados o poco capaces. Pero una de las mayores causas de esas fallas

corporativas puede resumirse en un antiguo dicho español: “en arca abierta, hasta el justo peca”,

es decir, si se da la oportunidad, junto con otros elementos, puede cometerse fraude, hurto, o abuso

de poder. Y muchas veces el arca no estaba abierta, pero algunos ejecutivos idearon la forma de

abrirla. Otras causas menores de falla corporativa son la incompetencia y error humano, para los

que el sistema de gobierno debe idealmente tener mecanismos de control que permitan actuar a

tiempo.

Un gobierno corporativo con una gestión de riesgo bien implementada puede ayudar a

impedir que los problemas y escándalos se presenten. Por medio de la disciplina y el rigor que

ambos proveen a las organizaciones, se puede lograr que los directivos que manejan las empresas

no siempre pongan sus intereses por encima de los de los accionistas y que sean más conscientes

de incorporar a las partes interesadas, los stakeholders, en sus decisiones. La gestión de riesgo es

la disciplina que debe anticipar, detectar, supervisar y mitigar los riesgos y oportunidades que

puedan ser importantes para los objetivos de la empresa, rompiendo con los compartimentos

12
gracias a su metodología multifuncional de trabajo. Otra disciplina que se ha desarrollado mucho

en la última década, el cumplimiento, o compliance, se dedica a asegurar que las reglas y

disposiciones de los reguladores externos y las disposiciones internas sean observadas con

efectividad. En los últimos años, la responsabilidad social surge como una necesidad de que las

empresas consideren seriamente el impacto de sus actividades en la comunidad, creando lo que se

llama el ‘valor compartido’. Todas estas disciplinas forman una red, están muy relacionadas entre

sí; requieren una visión que las englobe y que les dé la visibilidad que requieren. Sin embargo,

muchas veces y en muchas empresas, estas disciplinas no funcionan bien, o funcionan como silos,

independientemente una de otra. Debido a ese problema surgió el concepto de GRC, siglas que

significan Gobierno Corporativo, Riesgo y Cumplimiento, y que, juntas, en vez de separadas,

potencian un efectivo manejo de la empresa.

Este libro ha sido escrito con el objetivo de explicar los conceptos relacionados con la

gestión de riesgo bajo el esquema GRC, mostrando ejemplos, reflexionando sobre su aplicación y

entendiendo la importancia de mirarlos conjuntamente. Sin entender la razón de ser del gobierno

corporativo, es difícil entender el contexto y el porqué de la gestión integral de riesgo. Se explica

inicialmente cuáles son los casos históricos de las empresas que tuvieron problemas éticos, y las

respuestas de los reguladores para evitar nuevos casos similares, creando la estructura actual de

gobierno corporativo. A continuación, se explica en qué consiste y para qué existe el gobierno

corporativo, cuál ha sido el desarrollo de las guías y regulaciones que lo conforman, creadas debido

a los excesos e inconductas presentadas en las organizaciones. Seguidamente se hace una

descripción de la gestión integral de riesgo, proponiendo una definición, clasificación y

metodología para su tratamiento. También se trata el tema de cumplimiento con las regulaciones,

13
para terminar con una revisión de la metodología GRC como una herramienta que ayuda a

minimizar los riesgos y las sorpresas desagradables en las empresas.

He tratado de compartir mi experiencia profesional, dirigiéndola a directivos,

profesionales, funcionarios del gobierno, estudiantes y otros que deseen conocer más sobre el

impacto de la gestión de riesgo en la empresa y teniendo una visión global del gobierno

corporativo.

14
 Casos históricos y respuestas regulatorias

Las corporaciones con fines de lucro

El concepto de corporación con fines de lucro surge el último día del año 1600 en Londres,

con la constitución de la East India Company (EIC), cuyo plan era comercializar productos de Asia

en Europa. Anteriormente, las corporaciones eran, en su mayoría, de naturaleza religiosa, como la

Compañía de Jesús. En esa época las monarquías de España y Portugal tenían el monopolio de la

comercialización con Asia, pero el corsario Francis Drake había demostrado a los ingleses que

Inglaterra podía participar de esa interesante ruta de comercio internacional. La victoria inglesa

frente a la armada española motivó el interés de algunos comerciantes ingleses de constituir una

corporación con múltiples accionistas para esa aventura comercial. La reina Isabel I concedió a la

EIC el monopolio del comercio con Asia, y así nació la primera corporación comercial en la que

los inversionistas invertían un monto de dinero y recibían dividendos proporcionalmente a su

inversión.

Entre 1600 y 1960 aumentaron significativamente las corporaciones comerciales en todo

el mundo, desarrollándose un marco legal y regulatorio que permitía limitar la responsabilidad de

los accionistas. El proceso de ajuste del marco legal tuvo hitos significativos, como el

reconocimiento de que las corporaciones son organizaciones privadas y el estado no puede

disponer de ellas. También se presentaron grandes problemas porque los accionistas en muchos

casos no se conocían entre sí y las decisiones eran tomadas por grupos que tomaban decisiones sin

consultar debidamente a los accionistas. En 1960 las corporaciones se habían extendido en los

países con economías de libre mercado, pero eran dirigidas por grupos cerrados que tomaban las

decisiones sin mucho control de los accionistas, que cada vez eran más dispersos. Una enorme

15
cantidad de problemas en la dirección de las empresas motivó la creación del marco de

mecanismos de gestión al que llamamos ‘gobierno corporativo’. A continuación, se presentan

algunos de los grandes casos históricos que dieron origen a la regulación actual de gobierno

corporativo.

Los fondos de pensiones y la ley ERISA (1960)

Una de las grandes regulaciones modernas que propició el desarrollo de las corporaciones,

las bolsas de valores, la globalización, la innovación tecnológica y la economía de libre mercado,

es la de los fondos privados de pensión en los Estados Unidos. En los años 60, gracias al

crecimiento económico de ese país, hubo una serie de fusiones y adquisiciones de empresas que

se volvieron grandes conglomerados, buscando mejorar su diversificación ampliando sus

portafolios de negocios. En esos años, las grandes empresas contaban con empleados que

permanecían en la misma corporación a lo largo de sus carreras, con buena compensación, a

cambio de una gran dedicación y lealtad a la empresa. Los trabajadores manuales se congregaban

muchas veces en sindicatos que lograban estabilidad laboral para sus miembros y beneficios en

servicios de salud y pensiones. Las pensiones de los trabajadores eran administradas por los

empleadores, que prometían un monto fijo de pensión al momento de retiro. Era una época en la

que la inflación estaba muy controlada, las remuneraciones subían y el desempleo era muy bajo.

Los gobiernos corporativos de esa época se caracterizaban porque el poder estaba en manos

de los ejecutivos y no de los accionistas (Jackson, 2010). Los directorios eran conformados por

ejecutivos de la misma empresa o amigos del Chief Executive Officer (CEO) y normalmente no

cuestionaban sus decisiones, sino que tenían un rol consultivo. No había un comité para revisar la

compensación de los ejecutivos ni las auditorías.

16
 El primer fondo de pensión privado lo había establecido la empresa American Express en

1875 y, poco a poco, las demás empresas fueron adoptando ese beneficio para sus trabajadores.

Sin embargo, no existía ninguna regulación para la administración de esos fondos. Hasta 1963 el

sistema funcionó sin muchos inconvenientes, pero, ese año, la empresa automotriz Studebaker se

declaró en quiebra, dejando sin reservas suficientes al fondo de pensiones de sus trabajadores. El

impacto fue muy grande, por lo que en los siguientes años se discutió en el Congreso de Estados

Unidos la regulación de los fondos privados de pensión. Recién en 1974 se aprobó la ley ERISA1,

reglamentando los planes de pensiones con el objetivo de garantizar que, si las empresas se

declaraban insolventes, los trabajadores no perderían sus pensiones gracias a un fondo común.

Para ello se creó un fondo de garantía llamado PBGC2.

Desde que se promulgó la ley ERISA en 1974, los fondos de pensión

requirieron asignar las reservas pensionarias a portafolios de inversión en

activos financieros, que ayudaron a dinamizar mucho la compra de bonos y

acciones en las bolsas de valores, convirtiendo a los fondos de pensión en los

inversionistas más importantes en el mercado de valores, lo cual motivó el

1
Employee Retirement Income Security Act.
2
Pension Benefit Guaranty Corporation.
17
 cambio de la estructura de los directorios, volviéndolos más profesionales e

independientes.

El origen del Acuerdo de Basilea (1974 – 1975)

La industria de servicios financieros ha tenido muchos casos de fallas de gobierno

corporativo y de gestión de riesgo que han causado un gran impacto no solo en países y regiones

sino también a nivel global. Debido a ello, existen regulaciones supranacionales que fomentan la

estandarización regulatoria internacional. En la historia más reciente de la regulación financiera,

el primer gran hito global se dio en el negocio de moneda extranjera. Poco antes de terminada la

Segunda Guerra Mundial, en 1945, se logró el acuerdo de Bretton Woods, que regulaba, entre otras

cosas, la relación entre las monedas de los países firmantes, el dólar, y el precio del oro. Este

acuerdo no fue seguido al pie de la letra, sino que sufrió una serie de problemas, terminando por

colapsar a principios de la década del 70, generando grandes pérdidas por posiciones en moneda

extranjera en muchos bancos. Algunos de los emblemáticos son el Herstatt Bank en Alemania y el

banco Franklin National en Estados Unidos.

El caso Herstatt Bank (1974)

El banco Herstatt, basado en la ciudad de Colonia, Alemania, fue liquidado en 1974 por

los reguladores alemanes después de sufrir enormes pérdidas debido a operaciones de alto riesgo

con moneda extranjera. Esta liquidación no hubiera trascendido, pero tuvo grandes repercusiones

debido a un hecho casi anecdótico. El mismo día en que fue intervenido por las autoridades y

clausurado, el banco ejecutó una serie de intercambios de moneda extranjera con otros bancos

fuera de Alemania, entre ellos un pedido de compra de moneda extrajera a un banco de Estados

18
Unidos. Herstatt recibió por la tarde de ese día los fondos provenientes de Estados Unidos, pero

debido a que fue liquidado al cierre del horario de trabajo en Alemania, no le dio tiempo para pagar

en dólares a los bancos en Estados Unidos que tenían seis horas de diferencia horaria, dejando

grandes pérdidas a varias contrapartes americanas.

Al riesgo de transacción en moneda extranjera, en el que una parte hace una

transferencia, pero la contraparte no devuelve el equivalente en moneda

extranjera, se denominó ‘riesgo Herstatt’.

El caso Franklin National Bank (1974)

En octubre de 1974 el Franklin National Bank de New York fue declarado insolvente y

envuelto en una acusación de mal manejo, fraude y lavado de dinero. En 1972, un banquero con

conexiones a la mafia italiana, Michele Sindona, había tomado control del banco luego de comprar

acciones del banco al presidente de la corporación Loews, Laurcence Tisch. Sindona usó el banco

para operaciones de lavado de dinero de la mafia siciliana y logró, gracias a sus aportes

económicos, gran influencia en el Partido Republicano que en ese entonces lideraba Richard

Nixon. Poco antes de su liquidación el banco sufrió pérdidas por tomar posiciones arriesgadas en

moneda extranjera que dejaron pérdidas. En Italia, Sindona fue investigado por el liquidador

Giorgio Ambrosoli, que fue asesinado por compartir información que comprometía a Sindona a

las autoridades de Estados Unidos. Sindona fue sentenciado en Estados Unidos y posteriormente

trasladado a Italia, donde falleció por haber consumido cianuro en una cárcel italiana.

19
 Debido al impacto de casos como el de Herstatt y Franklin National en el sistema

financiero, se implementaron medidas de control a nivel mundial para evitar que estos casos se

presenten nuevamente. Además, el capital de algunos bancos globales se estaba deteriorando por

la alta morosidad en los préstamos que habían otorgado durante el boom petrolero a los países de

América Latina. El sistema financiero buscaba una solución a esos grandes riesgos.

Las perdidas por transacciones con moneda extranjera motivaron un acuerdo

para emitir regulaciones bancarias internaciones que proponen mínimos

niveles de capital y máximos niveles de riesgo para las instituciones de

servicios financieros. Estas regulaciones se llaman los Acuerdos de Basilea en

el sector bancario y las ‘directivas de solvencia’ en el sector asegurador.

Regulación bancaria: Basilea I (1975)

El primer Acuerdo de Basilea fue establecido por los gobernadores de los bancos centrales

del grupo de los 10 en 19753. En 1988 se publicó la primera versión de los estándares mínimos de

capital requeridos para los bancos, y en 1992 fue promulgado como ley en los países miembros.

Cada país tiene la potestad de adecuar esas guías mediante un análisis de riesgo que se ajuste a su

realidad. La primera versión se conoce como Basilea I, y se enfoca en el riesgo crediticio y en la

ponderación de riesgo para el capital dependiendo del tipo de riesgo. Propone que los bancos

3
En realidad, eran 11 países y Luxemburgo como observador: Alemania, Bélgica, Canadá, Estados Unidos, Francia,
Italia, Japón, los Países Bajos, Reino Unido, Suecia y Suiza.
20
tengan al menos un 8% de sus activos ponderados como capital. Para ponderarse, los activos se

clasifican según una tabla de riesgos por tipo de crédito:

• 0% para el dinero en efectivo, es decir, no requiere capital adicional.

• 50% para el balance de préstamos hipotecarios, es decir, el 50% del 8%.

• 100% para deuda corporativa, o el 8%.

Ponderando los activos por esos porcentajes y multiplicado por 8%, se llega al capital

mínimo requerido para el portafolio del banco. Así, simplificando, un banco que hipotéticamente

tenía como único activo 10 millones de dólares en préstamos hipotecarios requeriría 400,000

dólares de capital mínimo.4 En 1991 se introdujeron regulaciones adicionales para el cálculo de

provisiones en base al estado de los activos (Supervision B. C., 2015).

Regulación: la ley FCPA5 (1975 – 1977)

La corrupción corporativa a funcionarios públicos extranjeros, es decir, el pago de dinero

para conseguir negocios era una práctica no regulada ni prohibida hasta fines de los años 70. Los

excesos que se cometieron dieron lugar a una ley muy estricta que posteriormente se propagó por

todo el mundo.

El caso United Brands Company (1975) y el Bananagate

En 1975, el ejecutivo Eli M. Black6, presidente de la multinacional comercializadora de

bananas United Brands Company, se suicidó arrojándose del piso 40 del edificio PanAm en

Manhattan, luego de romper la ventana con su maletín. Poco después se descubrió que Black había

4
Capital mínimo = 10,000,000 x 50% x 8% = 400,000
5
FCPA, Foreign Corrupt Practices Act
6
Black nació en Polonia y su nombre original era Elihu Blachowitz.
21
ofrecido pagos por 2.5 millones de dólares al presidente de Honduras, Oswaldo López Arellano,

con el objeto de reducir los impuestos a la exportación de bananas, y a un funcionario del gobierno

italiano para facilitar la importación de bananas. Si bien por ese entonces técnicamente no era

ilegal efectuar este tipo de pagos, sí era ilegal no reportar a los accionistas esos pagos.

United Brands había acumulado grandes deudas, por lo que necesitaba desesperadamente

los ingresos por la importación de bananas para poder pagar los intereses. El origen del soborno

tuvo lugar en setiembre de 1974, cuando el huracán Fifi destruyó una gran parte de los sembríos

de bananas, y el gobierno de Honduras tuvo que subir los impuestos a los exportadores, debido a

que el huracán había devastado el país. Black trató de evitar el pago de ese impuesto con un

soborno, pero el FBI detectó que se había hecho la transferencia ilegal, y cuando Black fue

informado de que había sido descubierto, prefirió suicidarse antes que enfrentar a la justicia. A

este escándalo corporativo se le llamó Bananagate, en alusión al de Watergate que había terminado

con el gobierno de Richard Nixon. La empresa cambió posteriormente a su nombre actual,

Chiquita Brands.

El caso Lockheed (1976)

En 1976, el Senado de los Estados Unidos concluyó que entre los años 1950 y 1970, el

fabricante de aviones Lockheed había incurrido en una serie de sobornos a funcionarios de los

gobiernos de Alemania Occidental, Italia, Japón y Holanda, entre otros. El monto estimado de

pagos irregulares fue de 22 millones de dólares. Además, se encontró que la empresa había

contratado a un traficante de armas de Arabia Saudita, Adnan Khashoggi, pagándole una comisión

de 2.5% del valor de las ventas. Khashoggi recibió en comisiones, entre 1970 y 1975,

aproximadamente 106 millones de dólares.

22
 Como consecuencia de estos y muchos otros ejemplos, Estados Unidos aprobó en 1977 la

ley conocida como FCPA con el objetivo de que los pagos a funcionarios de gobiernos extranjeros

(para influir en decisiones de compra) fueran declarados ilegales y sujetos a prisión. La cobertura

de esta ley es muy amplia, pues involucra a todas las personas o empresas que tengan alguna

relación con los Estados Unidos, no importando el territorio en el que se realicen los pagos. No

solo el Departamento de Justicia de ese país está encargado de que esta ley se cumpla, sino también

la Comisión de Valores SEC (Securities and Exchange Commission), pues la ley contiene

regulaciones para el adecuado control contable. Desde su puesta en marcha, muchas corporaciones

han sido multadas con grandes sumas de dinero. El cumplimiento con las regulaciones del FCPA

es muy importante para las empresas que tienen alguna relación comercial con empresas de los

Estados Unidos o su gobierno.

Para cumplir con el FCPA, las empresas deben establecer una serie de procedimientos que

incluyen tener una política interna escrita sobre corrupción de funcionarios, establecer

procedimientos y autorizaciones de gastos y pagos, efectuar análisis de riesgos, capacitar al

personal en prácticas anti corrupción, revisar periódicamente las políticas y procedimientos, tener

establecidas penalidades por faltas, y comprobar periódicamente la correcta aplicación de los

procedimientos internos (Chicago, 2012). La Organización para la Cooperación y el Desarrollo

Económico (OCDE) ha implementado regulaciones similares al FCPA, de manera que esta ley se

está expandiendo a nivel mundial, aumentando los requerimientos de conducta ética y disuadiendo

la competencia basada en actos de corrupción.

23
El caso Siemens (2008)

En 2008, la empresa alemana Siemens se declaró culpable en las cortes de Estados Unidos

y pagó una multa de 800 millones de dólares, por haber cometido, entre 2001 y 2007, más de 4,000

sobornos que sumaban 1,600 millones de dólares a nivel mundial por funcionarios a todo nivel de

la empresa. Esta es la mayor multa que jamás se ha pagado por infringir el FCPA. Entre otros, los

funcionarios de Siemens cometieron las faltas en proyectos de infraestructura en Argentina, de

telecomunicaciones en Bangladesh y Nigeria, en instalaciones eléctricas en China, en plantas

nucleares en Israel, en diseño de sistemas de tránsito en Venezuela y en la venta de equipo médico

en China, Rusia y Vietnam7. En este caso, la empresa está sujeta a la legislación de Estados Unidos

por tener oficinas en ese país.

La ley FCPA prohíbe a funcionarios de empresas norteamericanas sobornar a

funcionarios extranjeros. Esta prohibición se extiende a empresas extranjeras

con entidades legales en Estados Unidos.

Regulación: El Grupo de Acción Financiera8 (1990)

En 1989, algunos países decidieron crear un grupo de acción contra el lavado de dinero al

que llamaron Grupo de Acción Financiera (GAF). Después de los ataques terroristas de

7
Ver casos United States v. Siemens Aktiengesellschaft, No. 08-367 (D.D.C. Dec. 12, 2008); United States v.
Siemens A.S. (Argentina), No. 08-368 (D.D.C. Dec. 12, 2008), etc.
8
FATF, Financial Action Task Force
24
setiembre de 2001, el GAF se expandió internacionalmente, con el apoyo del Fondo Monetario

Internacional, e incluyó entre sus objetivos evitar el financiamiento del terrorismo.

La crisis de los bonos basura (junk bonds)

El caso Drexel Burnham Lambert (1990)

En la década del 80 hubo cambios dramáticos en las estructuras financieras y

organizacionales de las empresas. Uno de ellos fue promovido por el financista Michael Milken,

que desarrolló una agresiva estrategia financiera emitiendo los llamados ‘bonos basura’. Estos

bonos, que ofrecían alto rendimiento con alto riesgo eran usados por el banco de inversión Drexel

Burnham Lambert y otros para efectuar compras de empresas con apalancamiento de activos

(LBO)9. El banco Drexel había sido originalmente una empresa asociada a J.P. Morgan, pero

Drexel se había escindido por efectos de la ley Glass Seagall, que impedía tener en una misma

empresa a un banco comercial y otro de inversión. Drexel creció muy rápidamente y fue objeto de

serias investigaciones por los reguladores, encontrándose una serie de violaciones a las leyes, que

incluían insider trading10, fraude, corrupción y manipulación de los precios de las acciones. El

fiscal de Nueva York encargado de dirigir la investigación fue Rudy Giuliani, posteriormente

electo alcalde de Nueva York. Milken fue sentenciado a 10 años de prisión, pero la pena fue

posteriormente rebajada a dos años gracias a su cooperación con la justicia.

La ola de LBO’s, originó un gran desbalance en las empresas. Muchas empresas acabaron

en falencia, pues no pudieron afrontar la enorme deuda generada por los bonos basura.

9
LBO, o Leveraged Buy Out.
10
Compra y venta de acciones como resultado de recibir información interna privilegiada.
25
Adicionalmente, a fines de la década del 80, las cajas de ahorro y préstamo11 sufrieron una debacle

financiera, arrastrando la industria de los bonos basura con los que se financiaban.

La institucionalización de los inversionistas y los problemas generados por la

ola de LBO’s motivaron que las gerencias de las corporaciones tuvieron un

gran cambio cultural, pasando de tener un enfoque interno a tener un enfoque

de maximización del valor de los accionistas (Kaplan, 1997).

Consecuentemente, las disposiciones de gobierno corporativo tuvieron algunos cambios

significativos. Uno de ellos fue la compensación e incentivos basados en el precio de las acciones.

Otro fue el uso de mediciones del valor de la empresa (EVA12) desarrolladas por las grandes firmas

de consultoría. Además, los accionistas institucionales acabaron ejerciendo presión sobre los

directorios para defender sus intereses, cosa que no sucedía anteriormente.

A partir de la década del 90, los inversionistas institucionales crecieron con el gran empuje

de los fondos mutuos, mientras que los LBO’s fueron evitados por la activa participación de los

bloques institucionales.

Colapsos financieros en la década del 90

El desarrollo de la globalización y la sofisticación de la industria financiera a inicios de

los 90 ocasionaron algunos casos de quiebra corporativa. Entre ellos, son muy conocidos los del

11
Savings and Loans.
12
Economic Value Added.
26
conglomerado alemán Metallgesellschaft, en 1993; los norteamericanos Kidder Peabody,

(cuando ya formaba parte de General Electric), Bankers Trust, y la ciudad de Orange County,

California, en 1994; y la coreana Daewoo, a fines de los 90. Pero el caso más conocido es el del

renombrado banco inglés Barings.

El caso Banco Barings (1995)

Fundado en 1762, el banco Barings era hasta su desaparición, 233 años después, el banco

más antiguo de Gran Bretaña. Era un banco histórico y con muy buena reputación. Uno de sus

hitos había sido intermediar en la venta que efectuó el gobierno de Napoleón Bonaparte del estado

de Luisiana a los Estados Unidos. El banco se había expandido globalmente y tenía una importante

operación en Asia.

El jefe del área de derivados financieros en Singapur, en 1995, era Nick Leeson, un audaz

trader que había logrado destacar por sus excelentes inversiones. Sin embargo, debido a su afán

de aumentar sus comisiones, realizó una serie de operaciones que terminaron en la disolución del

que en ese entonces era el segundo banco del Reino Unido. Leeson había encontrado una forma

de generar ganancias comprando futuros del índice Nikkei 225 en Japón y Singapur. Además de

ser jefe del grupo de derivados, Leeson supervisaba la contabilidad de las transacciones que él

mismo efectuaba, siendo juez y parte y rompiendo un principio básico de control interno llamado

‘segregación de tareas’.

La estrategia de Leeson era no cerrar posiciones inmediatamente (como debía hacerlo

según el procedimiento establecido), con la esperanza de tener una ganancia mayor, lo cual le

generaba un mayor bono por resultados. Adicionalmente, no había supervisión directa a su grupo

desde la casa matriz en Londres (Supervision B. o., 1995). Leeson comenzó a ocultar pérdidas en

27
sus transacciones sin que el banco se diera cuenta. La situación empeoró cuando un colega suyo,

por error, compró posiciones en vez de venderlas, según la orden de la transacción, perdiendo

20,000 libras. Para compensar la falta generada, decidió aumentar el riesgo, asumiendo una

tendencia en los índices bursátiles. Lamentablemente para él, la tendencia no se dio, por lo que la

brecha fue creciendo como una bola de nieve, hasta terminar en pérdidas por 200 millones de libras

esterlinas. Para hacer las cosas más difíciles, un fuerte terremoto en la ciudad de Kobe, en Japón,

hizo caer fuertemente las bolsas asiáticas, lo que motivó que Leeson no pudiera recuperarse. Las

pérdidas totales por sus errores sumaron más de 1,000 millones de libras esterlinas, llevando al

banco a la insolvencia.

Regulación: la ley Gramm–Leach–Bliley (1999)

Entre 1940 y 2007, la industria financiera creció como porcentaje de PBI de Estados

Unidos desde 2% hasta más del 6%. Este tremendo crecimiento fue acompañado de un sistema de

regulación que muchas veces duplicaba funciones o hasta se contradecía entre sí.

En 1999 se promulgó la ley Gramm–Leach–Bliley en Estados Unidos, también llamada de

Modernización del Sistema Financiero. Una de las principales disposiciones de esta ley fue la de

terminar con la ley Glass–Steagall de 1933, que prohibía tener entidades bancarias, de seguros y

bancos de inversión bajo una misma organización. Gracias a la nueva ley, Citibank se unió a la

aseguradora Travelers Group en 1998, formando lo que se conoce hoy como Citicorp. Algunos

defensores de la ley Glass-Steagall notaron que parte de su valor era impedir que se formaran

grupos tan grandes que en caso de crisis tuvieran que ser rescatados por el gobierno, los llamados

too big to fail o TBTF (‘demasiado grande para quebrar’). Los críticos a esta ley mostraban su

28
preocupación por los riesgos excesivos que algunas organizaciones podrían tomar si se

consideraban candidatas a un rescate por el gobierno en caso de crisis.

Poco después de proclamada esta ley, se dio una serie de casos de fallas corporativas que

tuvieron una gran repercusión.

Colapsos financieros en la década del 2000

Desde fines de la década del 90, la Bolsa de Valores de Nueva York tuvo una fuerte subida,

alimentada por el desarrollo prodigioso de las empresas de tecnología, gracias al crecimiento

masivo del comercio electrónico. Las nuevas posibilidades tecnológicas ayudaron a tener una

época de bonanza económica, generándose un ambiente de entusiasmo que derivó en grandes

excesos corporativos. Estos excesos eran alimentados por los medios de comunicación

especializados en inversiones, que proclamaban una nueva era de crecimiento ilimitado gracias a

esos avances tecnológicos. Algunos de los escándalos corporativos más conocidos son los de las

empresas Worldcom, Enron y Tyco International, en Estados Unidos, y Parmalat, en Italia.

El caso Worldcom (2001)

Worldcom fue una empresa que creció muy rápidamente en la década del 90 con una

estrategia de fusiones y adquisiciones. Su CEO, Bernard Ebbers, ganó notoriedad al anunciar en

1997 la adquisición de MCI, una de las mayores empresas de telecomunicaciones de Estados

Unidos, pasando la fusión a llamarse MCI Worldcom. Solo dos años después, Ebbers volvió a

hacer otro gran anuncio, la adquisición de Sprint, otro gran competidor. Esta vez, el regulador

estadounidense no aprobó la transacción.

La acción de Worldcom, y en general de las empresas del sector, estaban en ese momento

bajando de precio. Esta baja motivó que los bancos que habían extendido crédito a Ebbers

29
requirieran la devolución de los fondos, para lo que Ebbers solicitó al directorio de Worldcom un

préstamo de 400 millones de dólares. El directorio aceptó, pero el precio de la acción continuó

bajando, hasta que en 2001 Ebbers tuvo que renunciar. Después de la renuncia de Ebbers se

descubrió que la empresa había cometido un gigantesco fraude corporativo, inflando el valor de

los activos ilegalmente y reportando mayores ingresos que los reales. El monto del fraude se estima

en 11,000 millones de dólares. Ebbers fue juzgado y sentenciado a 25 años de prisión. En 2002, la

empresa se declaró en bancarrota.

El caso Enron (2001)

Al boom de las Initial Public Offering (IPO: Oferta Pública de Venta) tecnológicas, de

finales del siglo XX, se sumaron las de otros sectores, entre ellos uno adormecido como el de la

energía, alimentado por algunos creativos pero deshonestos ejecutivos de la corporación Enron.

Enron puso en evidencia algunas fallas del gobierno corporativo de entonces. Pese a que ya era

común tener directores independientes conocedores de la industria, comités de auditoría y

auditores externos, los gerentes de Enron lograron diseñar una estrategia que basaba su

contabilidad en valores esperados y no en valores actuales, el llamado mark to market. (Bufkins,

2008). Otra estrategia fraudulenta fue la de inflar los volúmenes de ventas reportando valores

totales de transacciones en las que ellos eran solo intermediarios, en vez de reportar simplemente

el valor de sus comisiones. Todo esto sobrevaloró desmedidamente el valor de las acciones.

En 2001, después de una serie de cuestionamientos al modelo financiero por parte de

periodistas, analistas y hasta empleados, la empresa se vio sujeta a rebajas en su calificación

crediticia y finalmente la SEC intervino la empresa. El precio de la acción se derrumbó totalmente,

originando grandes pérdidas para los inversionistas, proveedores y empleados de la empresa. En

30
2006, los principales ejecutivos de la empresa fueron sentenciados a penas de más de 20 años en

prisión. Arthur Andersen, la auditora externa de Enron, fue acusada de facilitar el engaño contable,

culpada de obstrucción de justicia y su licencia fue cancelada. Así desapareció una de las cinco

grandes empresas auditoras de Estados Unidos.

El caso Tyco International (2002)

En la década de 1990, el conglomerado Tyco International creció impresionantemente

gracias al liderazgo de su CEO, Dennis Kozlowski, que ejecutó cientos de adquisiciones, llegando

en algún momento a tener ventas por 35,000 millones de dólares en 2002. Tantas adquisiciones

fueron difíciles de integrar, por lo que Tyco reportó ese mismo año 9,000 millones de dólares en

pérdidas. El precio de la acción bajó precipitadamente y justo por ese entonces se acusó a

Kozlowski de haberse apropiado de millones en dólares de la empresa en forma de bonos ilegales.

Kozlowski tenía entonces un estilo de vida exageradamente lujoso y sus extravagancias eran

difundidas por la prensa. Se sabía que vivía en un departamento en Nueva York por el que la

empresa había pagado 30 millones de dólares. Una fiesta que organizó para celebrar el cumpleaños

de su esposa en la isla de Cerdeña le costó a Tyco al menos un millón de dólares y fue reportada

como la ‘orgía romana de Tyco’.

Kozlowski fue enjuiciado, encarcelado y convicto por haber recibido 81 millones de

dólares en forma de bonos ilegales y casi 15 millones de obras de arte, gastos pagados por Tyco.

Su pena mínima fue de 8 años de prisión. Aunque inicialmente se declaró no culpable, después de

años en la cárcel, Kozlowski reconoció que había cometido fraude. Esos años de reflexión le

hicieron ver que, en el momento de cometer las faltas, había sido envuelto en lo que llamó la

‘burbuja del CEO’, que le hacía verse más valioso de lo que en realidad era (Dolmetsch, 2013).

31
Regulación: la ley Sarbanes-Oxley (2002)

Como consecuencia de los escándalos financieros de Tyco, Worldcom, Enron y otras empresas, el

Congreso de Estados Unidos preparó una serie de reformas que formaron la que se conoce como

la ley Sarbanes-Oxley13. Por medio de esta ley, el Congreso enfrentó una por una las fallas

corporativas destapadas en 2002. Entre ellas, se consideran:

1) La responsabilidad individual (personal) de la gerencia en la preparación de los estados

financieros.

2) La necesidad de la transparencia financiera, incluyendo reporte de transacciones fuera de los

libros contables.

3) La independencia de los roles del auditor externo.

4) Reportes de conflicto de interés de los analistas de bolsa.

5) La responsabilidad penal por la destrucción de documentos financieros.

6) Mayores penas para las faltas de ‘cuello blanco’.

La ley Sarbanes-Oxley introdujo mayores controles a los directivos de las

corporaciones, tratando de fomentar una mayor transparencia financiera, y

responsabilizándolos de errores y fraudes contables.

13
Más conocida por las siglas SOX.
32
El caso Parmalat (2003)

No había pasado mucho tiempo desde el escándalo de Enron, cuando los accionistas de la

empresa italiana Parmalat fueron informados de que faltaban 14 mil millones de dólares en las

cuentas de la empresa. Debido a la magnitud de la empresa, el escándalo Parmalat sacudió los

mercados de otros países como Alemania y Estados Unidos. Parmalat había crecido desde ser una

pequeña procesadora de leche hasta ser una multinacional de alimentos, además de tener

inversiones en turismo, televisión, fútbol y Fórmula Uno.

Para financiar su rápida expansión internacional, Parmalat había incurrido en una gran

deuda. Como muchas de sus divisiones daban pérdida, diseñó un sistema contable fraudulento con

el uso de derivativos para esconder las pérdidas. En 2003, la empresa sorprendió a los mercados

con el anuncio de una emisión de bonos por 300 millones de euros. El CEO, Calisto Tanzi, se vio

forzado a despedir al Chief Financial Officer (CFO), Fausto Tonna, y reemplazarlo por Alberto

Ferraris. Ferraris descubrió rápidamente que, pese a ser el CFO, no tenía acceso a todas las cuentas

y sospechó que la verdadera deuda de la empresa era al menos el doble de la mostrada por los

estados financieros.

Poco tiempo después fue reemplazado por el contador principal de la firma, Luciano del

Soldato. La emisión de los bonos tuvo que ser suspendida porque el precio de las acciones había

bajado significativamente. Del Soldato renunció un mes después de ser nombrado CFO. Para

agravar más las cosas, el Bank of America mostró que una cuenta de la empresa en las Islas Caimán

había sido objeto de fraude. Calisto Tanzi fue separado del cargo de CEO y reemplazado por

Enrico Bondi. El primer ministro Silvio Berlusconi ordenó una investigación completa,

descubriéndose un esquema de fraude y lavado de dinero internacional.

33
 Los 130,000 accionistas de Parmalat, los deudores, los empleados y las ciudades donde

Parmalat operaba se vieron afectados de una u otra manera al declararse finalmente en bancarrota.

El club de fútbol Parma, por ejemplo, era financiado por Parmalat y entró en una serie de

problemas que acabaron con su disolución en 2015.

El caso Freddie Mac (2003)

Freddie Mac es el nombre con el que se conoce a una de las más grandes empresas de

financiamiento hipotecario de los Estados Unidos. Si bien es una empresa privada, fue fundada

por el Congreso y tiene un objetivo público enfocado en la promoción y desarrollo de la oferta

hipotecaria. Una garantía implícita del gobierno le permite tomar deuda más barata que las otras

empresas financieras.

En 2003, Freddie Mac reconoció errores contables y de gobierno corporativo y aceptó pagar 125

millones de dólares de multa al gobierno federal.

Una de sus faltas fue lo que se conoce como ‘manejo de utilidades’, es decir, la

manipulación de las utilidades reportadas para mostrar una estabilidad que no tenía y que ayudaba

a que el precio de la acción subiera. En 2001, la empresa había reportado 1 billón de dólares más

de lo que realmente produjo y en otros períodos 6 mil millones menos utilidad que la real. En 2006,

Freddie Mac tuvo que pagar otra multa, esta vez de 3.8 millones de dólares por contribuciones

electorales ilegales. Desde la crisis de 2008, el gobierno asumió el control de la empresa.

Regulación: Basilea II (2004)

En 2004 se emitió una segunda versión de las normas regulatorias globales, llamada

Basilea II, que introdujo el concepto de los ‘pilares’ de la supervisión bancaria internacional. El

primer pilar es el del capital mínimo, el segundo es la revisión de los supervisores y el tercero es

34
el de la transparencia para mejorar la disciplina del mercado. Basilea II introdujo los conceptos de

capital regulatorio y económico que son estimados para poder cumplir con las obligaciones. El

capital regulatorio es calculado con la metodología de provisiones (pérdidas esperadas) y el capital

económico es el que el banco estima que necesita para solventar situaciones de estrés (pérdidas no

esperadas). Asimismo, se creó el concepto de ‘capital ajustado al riesgo de cada banco’ (IRB14),

siempre y cuando cumplieran con ciertos requisitos. Solo los bancos muy grandes lograron

desarrollar estas metodologías que les permitían tener un menor nivel de capital.

Lamentablemente, Basilea II no logró detener los excesos en la toma de riesgo dados los enormes

incentivos que los responsables de administrar los bancos tenían para lucrar.

La crisis financiera global (2008)

Mientras el comité preparaba las guías para Basilea III, a fines de 2007 se inició una de las

mayores crisis financieras globales de la historia. Se atribuye la causa principal de la crisis a un

gigantesco esquema de colusión entre muchos de los participantes del complejo sistema

hipotecario en varios países desarrollados.

Un caso representativo de esa colusión fue la dispersión global del financiamiento de

préstamos hipotecarios subprime originados en Estados Unidos, préstamos que eran hechos sin la

documentación necesaria para entregar los créditos hipotecarios. El préstamo requería validación

de los ingresos del deudor, pero los bancos no verificaban si los ingresos reportados eran reales o

si se trataba de un fraude. Los intermediarios entre los bancos y los clientes, los agentes de

hipotecas incitaban a sus clientes a reportar ingresos mayores a los verdaderos para conseguir que

14
Internal Risk Based.
35
los bancos les extendieran los créditos hipotecarios. La ganancia de los agentes estaba en la

comisión por venta y no en el comportamiento futuro de la deuda hipotecaria. En paralelo, los

bancos de inversión exigían a los bancos un crecimiento sostenido de nuevas hipotecas sin

preocuparse del riesgo, para, a su vez, empaquetarlas y venderlas en el mercado secundario

ganando una comisión.

Otros desarrollaban derivados de las securitizaciones hipotecarias e instrumentos

financieros exóticos que muy poca gente entendía. Estos instrumentos eran comprados por

inversionistas de todo el mundo, que creían que eran muy seguros porque las agencias calificadoras

les daban una calificación que no contemplaba los verdaderos riesgos de morosidad en sus cálculos

ni el impacto posible de las pérdidas. Así, un inversionista privado en Islandia, por ejemplo,

compraba ingenuamente un instrumento derivado de hipotecas subprime de Estados Unidos

creyendo en la calificación AAA del instrumento.

Este ciclo de generación y venta de hipotecas se vio interrumpido con un efecto dominó y

colapsó cuando los valores de las propiedades comenzaron a bajar, los deudores a no pagar sus

hipotecas y las emisiones estructuradas (securitizaciones) a perder grandes sumas de dinero.

Debido a que prácticamente todo el sistema financiero tenía algún tipo de conexión con estos

instrumentos y a las quiebras o riesgos de quiebras que se presentaron en varias instituciones, el

sistema entró en pánico generalizado, alcanzando a muchos países, requiriendo una respuesta

contundente de los gobiernos.

La crisis financiera de 2008 ha sido una de las mayores en la historia, solo

comparable a la de 1929, y tuvo su origen en el excesivo crédito hipotecario y

36
 en el crecimiento de instrumentos financieros derivados que se vendían sin una

adecuada gestión de riesgo.

El caso Lehman Brothers (2008)

El caso emblemático de la crisis financiera de 2008 fue Lehman Brothers. Debido a que

era uno de los cuatro bancos de inversión más grandes de Estados Unidos, su caída tuvo un

inmenso impacto en la industria de servicios financieros. Los problemas de Lehman se agravaron

debido a la estrategia de alto riesgo que implementó en sus últimos años, enfocándose en el

mercado secundario de hipotecas subprime, con una deuda o apalancamiento financiero que llegó

a 31 veces su deuda en relación con el capital.

Durante los años en que el comportamiento de las hipotecas subprime iban bien, las

utilidades de Lehman eran excelentes. Sin embargo, desde que las pérdidas comenzaron, la caída

fue rápida y dramática. Casi hasta el último momento de su existencia hubo la esperanza de que

otra empresa la rescatara, pero eso no se dio y no quedó otro camino que la quiebra. La bancarrota

de Lehman, que tenía 600 mil millones de dólares en activos, es considerada la más grande en la

historia de Estados Unidos.

El caso AIG (2008)

Desde su fundación en 1919, en Shanghái, China, AIG15 creció hasta convertirse en una de

las mayores aseguradoras de Estados Unidos, con operaciones globales y una oferta muy amplia y

compleja de productos. Un hito previo a la crisis financiera se dio en 2005, cuando fue multada

15
Su nombre inicial fue American Asiatic Underwriters (AAU).
37
con la exorbitante suma de 1,600 millones dólares por errores contables, siendo despedido su CEO.

El nuevo CEO, Martin J. Sullivan, lideró una etapa de muy alto crecimiento gracias a la emisión

y venta de derivados de hipotecas subprime. Estos derivados fueron desarrollados sin un adecuado

soporte de riesgo que cubriera pérdidas en caso de que la morosidad de las hipotecas subprime

subiera.

Cuando se produjo la crisis hipotecaria de 2008, los poseedores de los derivados pidieron

el pago de estos, de acuerdo con las condiciones contractuales. Sin embargo, AIG no estaba

preparada financieramente para atender esos pagos, lo que generó un ambiente de pánico entre los

acreedores y un efecto dominó en el sistema financiero global. El gobierno de Estados Unidos trató

de promover un fondo para que los grandes bancos financien un rescate a AIG, estimado en 75,000

millones de dólares. Los bancos no aceptaron la idea y el gobierno acabó financiando el rescate,

por un monto que al final resultó ser de 180,000 millones de dólares. Además, el gobierno tuvo

que tomar el control de la empresa.

AIG creó y vendió derivados de hipotecas sin mitigación en caso de pérdidas, para

aumentar su rentabilidad, apostando irresponsablemente a que el mercado subprime no iba a tener

problemas.

Regulación: El Consejo de Estabilidad Financiera (2009)

Como parte de la respuesta a la crisis financiera de 2008, el Grupo de los 20 (G20)

estableció en 2009 el Consejo de Estabilidad Financiera como un foro y mecanismo para mantener

la estabilidad financiera global. El foro ha establecido una serie de recomendaciones para mejorar

la capitalización de las instituciones financieras, mejorar su gestión de riesgos y mejorar la

regulación de los sistemas financieros a nivel global.

38
 El consejo publica una lista de los bancos que considera ‘sistémicamente importantes’, es

decir, los que por su tamaño pueden causar grandes daños al sistema financiero global en caso de

crisis financiera. A los mayores bancos, el consejo requiere un mayor capital que permita su

solvencia. Por ejemplo, el banco HSBC requiere, dada su magnitud, un recargo en el capital de

2.5%. Citigroup tiene un recargo del 2%.

Regulación: la ley Dodd-Frank (2010)

La ley Sarbanes-Oxley (SOX) introducía una serie de regulaciones cuyo objetivo era

impedir que las empresas cometieran las faltas revisadas nuevamente. Implementar la ley costó

muchísimo dinero y hasta creó la sensación de que era una gran traba para el desarrollo de los

mercados financieros en Estados Unidos. En contraparte, se esperaba un mejor control del

gobierno corporativo y el fin de los escándalos financieros. La ‘calma corporativa’ duró pocos

años, hasta que se produjo la gran crisis financiera global. Cuando se produjo la crisis subprime,

entre 2007 y 2008, muchas empresas financieras globales estuvieron al borde del abismo, pese a

que habían implementado las estrictas regulaciones de SOX.

Algunos analistas atribuyen esta crisis, entre otras razones, a que la nueva ley requería, por

ejemplo, directores completamente independientes. Esa independencia solo se pudo conseguir

fuera del sector financiero, con directores que no tenían suficiente experiencia como para detectar

los problemas que se iban gestando. Dada la abrupta implementación de la ley, no hubo suficiente

tiempo para que los nuevos directores pasaran adecuadamente por la curva de aprendizaje. Como

respuesta a los desórdenes en las empresas financieras, se aprobó una nueva ley, la ley Dodd-Frank

39
en 201016, que reorganizó el sistema de regulación financiera, aumentó la transparencia en la

información de instrumentos derivados, aumentó las exigencias de las agencias calificadoras de

riesgo, exigió mejores estándares contables y reordenó el proceso de quiebra.

Cuando la crisis financiera estalló en 2008, los reguladores tuvieron serias dificultades para

hacer frente a la situación con rapidez y eficacia. El gobierno tuvo que intervenir decididamente

ya que el sistema no estaba preparado para un nivel tan grave de crisis, en la que, debido al efecto

dominó del quiebre de financiamientos, los precios de las acciones se desmoronaban

ininterrumpidamente hasta niveles alarmantes. Además, se encontraron una serie de fallas y vacíos

que resultaban novedosos dada la tremenda sofisticación alcanzada por los instrumentos

financieros desarrollados gracias a la creatividad que el sistema legal de Estados Unidos permitía.

Como respuesta al caos que originó la crisis financiera, el Congreso de los Estados Unidos

emitió una nueva ley, reformando el sistema financiero para hacerlo menos vulnerable a una crisis

similar. Esta nueva ley, conocida como la Dodd-Frank, introdujo una serie de cambios, entre los

cuales se incluyen:

1. Crear dos agencias gubernamentales para supervisar el llamado riesgo sistémico, es decir, el

riesgo que pueda afectar la estabilidad financiera del país17.

2. Ampliar y modificar el proceso de liquidación y bancarrota de las empresas financieras.

3. Transferir y reordenar el control de la regulación financiera, evitando duplicidad en las

funciones.

16
Dodd-Frank Wall Street Reform and Consumer Protection Act.
17
Estas agencias son: el Financial Stability Oversight Council (FSOC) y el Office of Financial Research (OFR) en
el Departamento de Tesoro.
40
4. Regular los fondos de capital privado.

5. Reformar la regulación de las empresas de seguros.

6. Cambiar el cálculo de provisiones bancarias para limitar inversiones de alto riesgo.

7. Regular los derivados y productos financieros no tradicionales.

8. Encargar a la Reserva Federal un rol más activo en la supervisión de la gestión de riesgo de las

empresas de servicios financieros.

9. Mejorar la protección a los consumidores de productos financieros.

La gran crisis de 2008 se produjo por el deseo de un gran grupo de

participantes en el sistema financiero de exagerar las utilidades reportadas,

para cobrar mayores comisiones, sin medir las consecuencias, ante la mirada

de reguladores pasivos y conformistas.

Regulación: Basilea III (2010)

La crisis financiera puso en evidencia la debilidad de las regulaciones de Basilea II, por

lo que se decidió emitir una nueva versión, Basilea III, con el objeto de elevar los requerimientos

de capital mínimo, de liquidez y de considerar escenarios más pesimistas en los cálculos de las

provisiones. Adicionalmente introdujo la necesidad de hacer reservas anticíclicas, que se

depositan en épocas de crecimiento para ser usadas en épocas de crisis. Se introdujo también

requerimientos más altos para los bancos más grandes.

41
El caso MF Global

MF Global fue una empresa enfocada en la compra y venta de sofisticados productos

financieros basados en derivados, moneda extranjera y otros instrumentos. Sus clientes eran

individuos e instituciones que buscaban rendimientos superiores a los de los bancos. En 2007

consiguió hacer una Oferta Pública de Acciones y entrar a la bolsa. Solo un año después, durante

la crisis financiera global, MF Global reportó una transacción no autorizada que requirió una

provisión de 141 millones de dólares. La empresa fue multada por el regulador de commodities

con 10 millones de dólares.

En 2010, John Corzine, ex CEO de Goldman Sachs, fue nombrado CEO. Poco tiempo

después se descubrió que MF Global había usado el dinero de cuentas de clientes para disimular

falta de capital por malas decisiones financieras. Se estima que en total se manipularon 875

millones de dólares con ese fin. En octubre de 2011 la empresa se declaró en bancarrota. Como

resultado de un proceso judicial masivo contra los bancos involucrados, el gobierno de Estados

Unidos negoció, por medio del Departamento de Justicia, grandes sumas de dinero para resolver

estos procesos. Se estima que, en total, se llegó a acuerdos que suman 110,000 millones de dólares.

El caso Banco Barclays (2013)

Uno de los más grandes bancos del mundo, el banco Barclays, ha sido objeto de un gran

número de acusaciones de falta de cumplimiento. Entre las más importantes está la de

manipulación de las tasas de interés Libor y Euribor, por la que fue sentenciada a una multa de

450 millones de dólares. Como consecuencia de esa manipulación, se ha anunciado el cierre de la

tasa Libor para el año 2021.

42
 Anteriormente, Barclays tuvo acusaciones por lavado de dinero en África, y en 2013 el

banco fue sentenciado por manipular los precios de la electricidad en Estados Unidos. Otra

investigación que afrontó en 2018 fue la de haber evitado ser rescatada por el gobierno británico

durante la gran crisis financiera de 2008 gracias a inversionistas de Qatar. Sin embargo, no se

encontró que hubiera habido culpa por parte del banco.

El caso Lava Jato, Brasil (2014)

En Brasil, grandes fallas de cumplimiento y serios actos de corrupción han afectado

gravemente a su economía y política, y, debido a su presencia en otros países, a los gobiernos de

toda la región. El mayor caso de corrupción, también llamado Lava Jato18, fue descubierto gracias

a una investigación policial en Brasilia, que permitió dar a conocer un gran esquema de sobornos

para desarrollar negocios de proyectos gubernamentales de construcción. La investigación se

inició para identificar una operación de lavado de activos y, siguiendo la ruta del dinero, llegó a

los más altos niveles del gobierno brasileño, implicando a empresas tan grandes como Petrobras,

Odebrecht, Andrade Gutierrez y OAS. Entre las gravísimas faltas cometidas, las empresas

proveedoras de servicios de construcción para la estatal petrolera Petrobras inflaban los precios

artificialmente, actuando como un cartel, y pagaban como soborno entre 1 y 5% del valor de los

contratos a los funcionarios de Petrobras.

Los funcionarios de Petrobras eran nominados por el gobierno de turno, que recibían el

dinero por medio de un perverso y sofisticado sistema que hacía uso de cuentas en el extranjero.

Este escándalo afectó gravemente los resultados de Petrobras, su reputación, la economía de Brasil

18
En español, ‘lavado a presión’, en alusión a los establecimientos en los que se lavaba el dinero.
43
y hasta su estabilidad política. Una restructuración total del gobierno corporativo de Petrobras ha

puesto un enfoque substancial en la ética y el cumplimiento. En junio de 2015, las autoridades

brasileñas arrestaron al ejecutivo principal de la constructora Odebrecht.

El proceso de investigación permitió descubrir que el esquema de corrupción había sido

exportado a doce países de América Latina. Investigaciones posteriores han llegado a impactar a

presidentes, expresidentes y altos funcionarios de los gobiernos de Argentina, Colombia, Ecuador,

Guatemala, República Dominicana, Panamá, Perú y Venezuela, entre otros. Las investigaciones

revelaron que Odebrecht operaba con un esquema de corrupción tan organizado que hasta tenía un

departamento interno llamado ‘departamento de operaciones estructuradas’, que negociaba

contratos de infraestructura con los gobernantes a cambio de sobornos. Se estima en más de 4,000

millones de dólares las transferencias efectuadas por sobornos.

Otras grandes empresas brasileñas que también operaban con esquemas similares de

corrupción corporativa están siendo procesadas en los países en los que implementaron tan

censurables prácticas. Se estima que América Latina pierde anualmente por corrupción 140 mil

millones de dólares, es decir, 3% de su Producto Bruto Interno.

El caso Volkswagen I (2005)

El primer gran escándalo de la firma Volkswagen se dio en 2005, al descubrirse un esquema

de corrupción en el que algunos directivos de la empresa proveían una serie de sobornos a los

representantes de los trabajadores en el directorio para que apoyen sus decisiones. Los sobornos

eran pagados como viajes internacionales de lujo, en los que el director de recursos humanos

pagaba salidas nocturnas a los representantes de los trabajadores en el directorio. También se

encontraron otras faltas graves relacionadas con influencia indebida de la empresa en el ámbito

44
político alemán, específicamente con el estado de Baja Sajonia, que posee el 18% de las acciones

de la empresa. Asimismo, se descubrió un soborno a funcionarios estatales en la India, para

construir una planta de manufactura en el estado de Andhra Pradesh.

El caso Volkswagen II (2015)

Cambiar la cultura corporativa de una gran empresa no es fácil. Pese al impacto de los

incidentes de 2005, solo diez años después se produjo otro serio quiebre corporativo ligado a la

falta de ética en la empresa Volkswagen. En setiembre de 2015, la agencia de protección del

ambiente de Estados Unidos denunció a la empresa por programar los motores diésel de sus autos

con el objeto de pasar las exigentes pruebas de emisiones de monóxido de carbono. En setiembre

de 2016 Volkswagen acordó pagar una multa de 17,500 millones de dólares al gobierno de Estados

Unidos.

Con más de 250,000 empleados, es difícil entender cómo el sistema de cumplimiento no

pudo alertar que algo malo estaba sucediendo. Después de todo, para hacer semejante

desprogramación se requiere un número de personas en el esquema de colusión. Pese a la magnitud

del incidente, no hay indicios de que el directorio haya estado al tanto del esquema. Según los

ejecutivos a cargo de supervisar el problema, existía una cultura de pasividad ante el delito, de

acallar cualquier voz de alerta, de decir siempre sí a los superiores, cultura que no permitía que un

fraude como este fuese comunicado apropiadamente.

El caso Wells Fargo (2016)

Pese a todas las leyes y regulaciones implementadas después de la crisis financiera, y al

desarrollo de los códigos de buen gobierno corporativo, en 2016 se denunció que el banco Wells

Fargo había abierto miles de cuentas fraudulentas para cumplir cuotas internas de número de

45
aperturas de cuentas con el objetivo de aumentar las ganancias por cobro de mantenimiento y

comisiones. Para lograr esos objetivos, los empleados usaron datos personales de clientes del

banco y les abrieron cuentas sin su autorización. El banco ha aceptado pagar una multa de 185

millones de dólares, ha despedido a más de 5,000 empleados involucrados en el fraude, ha devuelto

2.6 millones de dólares a 115,000 clientes y ha suspendido las cuotas internas de nuevas cuentas.

En mayo de 2018, Wells Fargo aceptó pagar 480 millones de dólares para terminar un

juicio grupal que le hicieron los inversionistas a raíz de este escándalo. De acuerdo con la ley

Sarbanes-Oxley, los ejecutivos del banco son responsables de certificar que hay mecanismos

adecuados de control y su firma en los reportes anuales puede ser prueba de fraude. El presidente

de directorio, que también era CEO, se vio forzado a renunciar dada la presión de los reguladores

y accionistas; los roles de presidente de directorio y CEO han sido divididos para evitar conflictos

de interés. Los juicios se han iniciado y está por verse el alcance de la aplicación de la ley.

Regulación: Basilea IV (2017)

El análisis de los resultados de Basilea III motivó a emitir una versión más exigente,

afinando algunos detalles. Uno de ellos fue poner un límite al capital mínimo usando modelos

internos de riesgo de los bancos, otro fue el de poner límites al apalancamiento financiero.

Se espera que la implementación de Basilea IV esté lista en 2022.

Las fallas en el gobierno de las organizaciones han dado lugar a un marco

regulatorio que busca minimizar los abusos y excesos cometidos por los

directivos, que aprovechan su posición de poder para beneficiarse

indebidamente.

46
 El gobierno corporativo

Como se ve en los casos presentados anteriormente, la falta de buen gobierno corporativo

causa generalmente un desorden que limita o reduce la generación de valor en una empresa. Sin

un buen gobierno corporativo, los ejecutivos pueden engañar a los accionistas, reportar falsa

contabilidad, aceptar sobornos de proveedores, enviar dinero de la empresa a sus cuentas

personales, contratar a sus amigos y familiares sin un criterio profesional y hasta usar los fondos

de las pensiones de los trabajadores para su consumo personal. Todas estas situaciones se dan

diariamente, y los medios de comunicación continuamente reportan desde pequeños incidentes

hasta escándalos a gran escala. Después de descubiertos, en muchos casos generan reacciones de

las autoridades con nuevas regulaciones o leyes, que buscan evitar que se repitan.

Uno de los principales estudios que sustentan el concepto de gobierno corporativo es el

que publicaron en 1932 el abogado Adolf Berle y el economista Gardiner Means (Means, 1932).

En él, proponen que, en la corporación moderna, existe una separación entre los propietarios de

las corporaciones y los ejecutivos y empleados que las manejan, alterando el concepto tradicional

de propiedad preponderante hasta el siglo XIX, en el que el dueño era el mismo que proveía el

producto o servicio de la empresa. Ese gran cambio se dio masivamente cuando se sentaron las

bases legales de lo que constituye una corporación, y se dispersó el accionariado con el desarrollo

de las bolsas de valores. Para controlar de alguna manera esa brecha entre propietarios y ejecutivos,

es necesario un buen gobierno corporativo que proteja los derechos de las partes. Estudios recientes

prueban además que los principios del buen gobierno corporativo sirven muy bien a otro tipo de

empresas como las familiares, las que no tienen fines de lucro, o las empresas del estado.

47
Aspectos generales

El gobierno corporativo es una responsabilidad primordial de los directorios de las

empresas y, por tanto, es a lo que los directorios dedican la mayor cantidad de tiempo. Según la

definición del reporte Cadbury19, refiriéndose al modelo anglosajón británico, se trata de poder

dirigir y controlar las empresas mediante guías que permitan elegir a los directores y auditores para

tener una estructura de gobierno adecuada (Governance, 1992). Cadbury además señala que los

directorios deben ser responsables por la estrategia, el liderazgo, la supervisión de la gerencia y de

reportar a los accionistas por sus acciones y resultados.

Esta definición está enfocada en la empresa y su directorio como órgano de gobierno. Para

completarla, es necesario incluir a los accionistas. En 1997, los profesores Shleifer y Vishny

publicaron un artículo en el Journal of Finance haciendo un análisis de la situación del gobierno

corporativo, en el que explican que la idea del gobierno corporativo es que exista una respuesta

responsable a los accionistas, mediante un uso adecuado de los recursos disponibles (Shleifer,

1997). El gobierno corporativo se diseña para que los accionistas no queden desamparados frente

a las acciones de los ejecutivos contratados para manejar la empresa.

Los atributos que un buen gobierno corporativo debe tener son:

1. Una clara descripción de los derechos de los accionistas y otras partes interesadas.

2. Responsabilidades claramente identificadas y medibles de la gerencia y el directorio.

3. Transparencia y exactitud en los reportes y declaraciones.

4. Trato justo y equitativo en las transacciones.

19
El Reporte Cadbury es fundamental en la historia del gobierno corporativo en el Reino Unido.
48
 Si bien a lo largo del tiempo el gobierno corporativo se ha ido desarrollando y mejorando,

existe siempre la necesidad de una mejora continua. Un ejemplo de esas mejoras es la actual

confluencia de tres aspectos: Gobierno Corporativo, Riesgo y Cumplimiento (GRC).

El gobierno corporativo es el sistema por el que las empresas son dirigidas y

controladas, respondiendo responsablemente a los accionistas, por medio del

directorio, que es el principal responsable de su gestión.

Modelos de gobierno corporativo

En el mundo existe una variedad de modelos de gobierno corporativo. Por ejemplo, el

modelo angloamericano funciona en Estados Unidos, Reino Unido, Australia, Canadá y en otras

regiones del mundo. En este modelo, los accionistas eligen al directorio, que a su vez elige la plana

ejecutiva. Está diseñado para priorizar los intereses de los accionistas. Desde que se emitió el

Reporte Cadbury, hay una fuerte tendencia a tener varios directores independientes de la empresa.

El modelo alemán, usado no solo en Alemania sino también en Holanda, Francia y otros países,

tiene una estructura de doble directorio. Un directorio es de supervisión y otro de ejecución. Los

accionistas solo pueden elegir hasta el 50% del directorio de supervisión; los empleados y los

sindicatos de trabajadores eligen el otro 50%.

En el modelo japonés, el poder está a cargo de los conglomerados llamados keiretsu,

empresas unidas informalmente por intereses económicos y sus bancos afiliados. Los directorios

son conformados en su mayoría por directores de esos mismos grupos, con mínima participación

49
externa. Corea del Sur tiene un modelo similar llamado chaebol, pero en el que la presencia

familiar en la gestión es mucho mayor.

En todas las áreas geográficas y modelos ha habido situaciones de corrupción, fraude y

otras faltas éticas. Si bien ningún modelo es perfecto, este libro se enfoca en el modelo Occidental,

anglo-americano de gobierno corporativo, que tiene dos perspectivas: una en Estados Unidos,

donde está más enfocado en el seguimiento estricto a las regulaciones, y otra, la del Reino Unido,

que da más libertad en las decisiones, y se caracteriza por la frase ‘cumplir o explicar’ 20 (Council,

The UK Corporate Governance Code, 2014), es decir, que deja abierta la puerta a un diálogo

razonable entre la empresa y los reguladores si el incumplimiento tiene una justificación apropiada.

Esta última filosofía también se aplica en otros países de la Comunidad Europea, como Holanda y

Alemania.

Gobierno corporativo por tipo de organización

El esquema de gobierno corporativo de cada empresa depende generalmente de su

condición legal. Si la empresa emite valores públicamente, está sujeta a mayor disciplina, mientras

que cuanto más privada y pequeña esta es, tiene menos requerimientos. Las empresas comerciales

tienen objetivos distintos a las empresas del gobierno o a las organizaciones sin fines de lucro. Los

siguientes modelos están entre los más conocidos:

Empresas que cotizan en bolsa de valores

Debido a su naturaleza pública y abierta a una gran diversidad de accionistas, las empresas

que cotizan en bolsa, o emiten deuda en la misma, son las que tienen mayor presión por tener un

20
Comply or explain.
50
sólido gobierno corporativo. El reto para estas empresas es la diferencia conceptual entre la

propiedad y el control de estas. La propiedad da derecho a tener acceso a los flujos provenientes

de los ingresos de la empresa. Control es tener el derecho a voto en las decisiones fundamentales

de la empresa. Un problema que se puede presentar en este sistema es que los directores, que tienen

el control, no voten de acuerdo con los intereses de los accionistas, que tienen la propiedad.

Antes de que una empresa comience a cotizar en bolsa hay muchos requisitos por los que

tiene que pasar para satisfacer las necesidades de los reguladores. Entre otros, el gobierno

corporativo establece los requerimientos para que exista un consejo directivo, con directores

independientes, comités de auditoría, riesgo, y compensación. Se exige además una descripción

detallada de cómo el directorio evaluará el riesgo, establecerá el liderazgo, considerando su

diversidad, y proveerá información a los comités de directorio, estableciendo la frecuencia de las

reuniones (PwC, 2016).

El directorio debe, además:

• Seleccionar al CEO y asegurar que exista un plan de sucesión.

• Proveer retroalimentación a la plana ejecutiva en la estrategia de la empresa.

• Establecer un plan de comunicaciones con las partes interesadas y asegurar que el proceso

funcione bien.

• Reportar públicamente el proceso de selección de los directores e informar a los accionistas

quiénes son y cuál es su experiencia y aporte.

• Definir claramente y por escrito las responsabilidades de los miembros del directorio.

• Publicar un reporte anual de los resultados.

51
• Hay que asegurar que exista un proceso de control interno adecuado y que la relación con los

auditores externos sea objetiva y profesional.

• Desarrollar un código de conducta interno.

• Involucrarse en adquisiciones y/o fusiones.

Las organizaciones multilaterales como el Banco Mundial y la OCDE han emitido

directrices y guías para el buen gobierno corporativo. Cada país ha adoptado estas guías a su medio

local por medio de sus comisiones de valores, principales reguladores de las empresas que cotizan

en bolsa. Estas comisiones están agrupadas en la International Organization of Securities

Commissions (IOSCO), que desarrolla y emite principios, estándares normativos y políticas que

permiten a sus miembros evaluar sus regulaciones y adecuarlas según recomendaciones

internacionales. El objetivo de IOSCO es proteger a los inversionistas mediante la promoción de

estándares internacionales para las comisiones de valores. IOSCO ha emitido, entre otras,

regulaciones dirigidas a mejorar las prácticas de auditoría independiente, de transparencia en los

reportes financieros, un código de conducta para las agencias calificadoras y una serie de principios

de buena regulación de valores.

El trabajo de preparación para cotizar por primera vez en bolsa es complejo y requiere

mucha experiencia y disciplina. Sin embargo, un adecuado entendimiento de por qué se requieren

todos estos procesos ayuda a que el ejercicio de adecuación sea más provechoso e interesante, y

no simplemente a usarlo mecánicamente como una lista de obligaciones rutinarias que hay que

cumplir.

Las empresas que cotizan en bolsa de valores están sujetas a las normas de buen gobierno

corporativo emitidas por las comisiones de valores de cada jurisdicción.

52
 Las empresas que cotizan en bolsa de valores están sujetas a las normas de

buen gobierno corporativo emitidas por las comisiones de valores de cada

jurisdicción.

Empresas que no cotizan en bolsa de valores

El concepto de gobierno corporativo puede ser interpretado como un lujo de las empresas

grandes. Sin embargo, muchos de sus principios pueden y deben ser aplicados a todas las empresas,

sin importar el tamaño. Las empresas que no cotizan en bolsa ni emiten bonos públicos tienen la

ventaja de no estar sujetas a la supervisión de las comisiones de valores, y por lo tanto sus

requerimientos regulatorios de gobierno corporativo son mínimos. Si bien eso permite una mayor

libertad de acción, puede ocasionar situaciones de indisciplina corporativa que terminen mal, como

sucedió con la empresa BHS.

El caso British Home Stores (BHS)

En agosto de 2016, la gran cadena de tiendas BHS de Reino Unido cerró sus puertas,

dejando la pensión de sus trabajadores con un déficit de 300 millones de dólares. Su propietario,

Dominic Chappell, fue enjuiciado y hallado culpable de no revelar detalles financieros importantes

de los planes de pensión de los empleados de la empresa. Durante quince años, la empresa tuvo un

déficit cada vez mayor en el fondo de pensiones de los empleados, pero sus dueños no dejaron de

cobrar dividendos, pese a que el déficit aumentaba. Chappell y el anterior propietario de la

empresa, Phillip Green, son muy criticados por haber tomado decisiones pensando en su riqueza

personal y no en el bien de la empresa y sus miles de empleados.

53
 Debido a que estas fallas de gobierno corporativo no se podrían dar con la misma libertad

en una empresa supervisada y a otros casos similares, el gobierno del Reino Unido publicó un

reporte condenando las acciones de Green y Chapell, acusándolos de volverse ricos a costa de la

empresa. El mayor problema, según el reporte, es que muchas de las acciones fueron legales,

aunque éticamente muy cuestionables. Más de 10,000 personas perdieron el empleo en BHS, y

20,000 vieron comprometidas sus pensiones. Consecuentemente, el gobierno decidió que el código

de gobierno corporativo debería ser aplicado no solo a empresas que cotizan en bolsa sino también

a las grandes empresas privadas, para evitar casos como el de BHS.

Tener un directorio es importante para el bien de la empresa, pero por otro lado puede ser

una amenaza para la gerencia, por la fiscalización de sus decisiones. Esa tensión es saludable para

evitar caer en posibles tentaciones. Las empresas medianas y pequeñas tienen el mismo interés que

las grandes, de que los stakeholders (partes interesadas) sean tratados con justicia y, por lo tanto,

pueden desarrollar, sin el mismo nivel de complejidad que las empresas grandes, reglas y procesos

similares de gobierno corporativo. Un beneficio fundamental es que ese ejercicio las prepara muy

bien para atraer nuevos inversores, talento y proveedores para el crecimiento futuro. La ética y la

responsabilidad social no son terreno solamente de las grandes corporaciones, todas las empresas

pueden elevar su nivel estableciendo políticas internas con los más altos estándares.

Uno de los primeros pasos antes de desarrollar procesos de gobierno corporativo es

identificar y entender los intereses de todas las partes interesadas en el negocio. Por más pequeña

que sea la empresa, no se debe descuidar ninguna parte que posteriormente pueda afectar a la

empresa por haberla ignorado. Por ejemplo, es común ver restaurantes que son cerrados y multados

por falta de higiene debido a que los administradores ignoran, o no toman en cuenta, los intereses

54
de varias partes interesadas, como las autoridades sanitarias, los trabajadores, los clientes, o el

efecto comunicador de las redes sociales.

Otro paso importante es establecer una junta directiva modelando los principios aplicables

de las corporaciones. La junta directiva debe clarificar el rol de cada individuo, así como sus

responsabilidades. También debe establecer un plan estratégico a largo plazo, definir un plan de

sucesión y profesionalizar todos los aspectos relacionados al buen gobierno corporativo.

Las empresas familiares que crecen y se desarrollan, requieren de una institucionalización

que les permita gestionar los conflictos que surgen por la sucesión, o entre familiares cada vez

menos cercanos. Uno de los primeros pasos en ese sentido es el nombramiento de directores

independientes (Fabián, 2010). Otro es tener reuniones formales de directorio con un registro de

notas y decisiones.

El gobierno corporativo no debe ser visto solamente como un elemento de las

grandes empresas. Todas las empresas deben ocuparse de su gobierno

corporativo y así, tal y como está comprobado, mejorar su nivel estratégico,

organizacional y operacional.

Empresas del estado

La diferencia fundamental entre las empresas privadas y las del estado, es que el objetivo

central de las últimas no es necesariamente maximizar el valor de los accionistas, sino proveer

servicios y productos de acuerdo con los intereses y prioridades definidas por el estado. Si bien el

55
objetivo puede variar, muchos de los principios del buen gobierno corporativo, la metodología de

la gestión de riesgo y el cumplimiento con las normas son muy parecidas a las del sector privado.

Muchas empresas del estado están enfocadas en servicios básicos como los de

infraestructura, telecomunicaciones y energía. Estos servicios son fundamentales para el bienestar

de la población; una mala gestión puede ocasionar un grave impacto a poblaciones con pocos

recursos. El riesgo de mal manejo por presiones políticas es muy alto, especialmente cuando se

trata de empresas en las que la propiedad está compartida, o cuando el estado presta poco interés.

La mayoría de los países con economías de libre mercado ya adaptó o está en proceso de

adaptación de las normas y prácticas internacionales de control interno, promoviendo la eficiencia

de la actividad empresarial de los estados y los códigos de buen gobierno corporativo. La OECD21

provee una guía muy completa de estándares internacionales para empresas del estado (OECD,

OECD Guidelines on Corporate Governance of State-Owned Enterprises, 2015). El objetivo es

que estas empresas operen con eficiencia, transparencia y responsabilidad.

Dentro de las empresas del estado se suele dar casos de participación no estatal o de

procesos en los que el estado vende parte o toda la empresa. Para ello existe un régimen de

transferencia de acciones que debe tener una ejecución totalmente transparente. Se debe cuidar el

tratamiento equitativo de los accionistas, que el directorio sea lo más independiente posible, que

tenga un sólido código de ética y que tenga mecanismos de comunicación a las partes interesadas.

21
Organización para la Cooperación y el Desarrollo Económicos.
56
 Los retos de las empresas del estado incluyen la influencia política en su

gestión, la falta de claridad en quiénes son exactamente los propietarios, y el

descontrol administrativo cuando se trata de un estado débil o con poco

interés en la empresa.

Empresas sin fines de lucro

De forma similar a las empresas del estado, las empresas sin fines de lucro deben usar los

mismos principios de gobierno corporativo, siendo el directorio la pieza clave para su éxito, pues

deben ajustar estos principios al objetivo de la empresa. Ese objetivo o misión de la empresa es la

que debe guiar las decisiones, y debe representar bien el valor que buscan los accionistas. Los

directorios deben estar conformados por gente con muy altos estándares éticos, que puedan aportar

conocimiento y experiencia, no por quienes puedan aportar solamente algunos beneficios como la

recaudación de fondos adicionales o una buena imagen pública (Rosenthal, 2012).

Uno de los casos más conocidos de conflicto en este tipo de organizaciones es el que se da

en el estado de Pensilvania, entre el gobierno estatal y la fundación Hershey, de la familia del

fundador de la empresa de chocolates y dueña del 80% de las acciones de la corporación del mismo

nombre. La fundación controla una escuela muy importante y un gran parque de diversiones, y se

ha visto envuelta en denuncias de funcionarios del estado por los excesivos beneficios, y por serios

conflictos de interés de sus directores. En julio de 2016, después de muchas negociaciones, se

anunció un acuerdo en el que se introducían una serie de disposiciones como, por ejemplo, limitar

la duración de los directores a 10 años, evaluarlos periódicamente, elegir directores con adecuada

experiencia, poner límites a sus bonos y entender más claramente los conflictos de interés de los

57
directores. Las empresas sin fines de lucro tienen el gran reto de mantener un directorio

independiente que les permita cumplir con su misión y responder a las necesidades de los grupos

de interés y no simplemente las de sus directores.

Todo tipo de empresa puede beneficiarse de la aplicación de los principios del

buen gobierno corporativo, sin importar si es de accionariado difundido,

privada, mediana, pequeña, estatal o sin fines de lucro.

Beneficios del buen gobierno corporativo (BGC)

Los principios del gobierno corporativo se pueden aplicar no solo a las empresas, sino

también a otro tipo de organizaciones, ya sean públicas o privadas, que tengan una separación

entre los propietarios y los administradores. Según el International Finance Corporation (IFC22),

en un reporte realizado a empresas latinoamericanas, las mayores motivaciones de un buen

gobierno corporativo son (IFC I. F., 2009):

1. Mayor acceso al capital y menor costo de capital.

2. Mejor respuesta a presiones externas, como por ejemplo la regulación.

3. Manejo de intereses divergentes de los accionistas.

4. Resolución de conflictos en empresas familiares.

5. Asegurar la sostenibilidad a largo plazo de la empresa.

6. Mejorar resultados operativos.

22
International Finance Corporation, una organización del Banco Mundial.
58
 El WSBI23, Instituto de Bancos de Ahorro, publicó en 2011 un estudio efectuado por

analistas financieros internacionales en el que muestra que las empresas con buen gobierno

corporativo aumentan su acceso a las fuentes de capital financiero (AFI, 2011). Además, propone

que el gobierno corporativo de la empresa es más importante para alcanzar las fuentes de

financiamiento que el marco legal, o, visto de otra manera, una empresa con muy buen gobierno

corporativo en un entorno regulatorio débil tiene mejor posición de acceso financiero que una

empresa con débil gobierno corporativo bajo un sólido marco regulatorio.

La inversión en ‘mejora continua’ del gobierno corporativo debe ser prioritaria para todas

las empresas, pues además de todas las ventajas que esta mejora puede conllevar, su situación

financiera suele ser más ventajosa al tener abiertas las puertas a más formas de financiamiento.

El Foro Global de Gobierno Corporativo publicó junto con el IFC una investigación de Claessens

y Yurtoglu (2012) en la que confirmaron algunos de los beneficios del buen gobierno corporativo

como el mejor acceso al financiamiento, menor costo de capital, mejores resultados y mejor

tratamiento de las partes interesadas. El estudio comprobó además que este efecto positivo no solo

beneficia a las firmas individualmente, sino también a los sectores de la industria en los que operan

y a los países en los que se implementan.

23
World Savings Banks Institute.
59
 El buen gobierno corporativo es un arma eficaz para elevar el nivel de vida de

la población mediante la disciplina y el uso de mejores prácticas en la gestión

de las empresas.

Limitaciones del gobierno corporativo

Dada su naturaleza, las buenas prácticas del gobierno corporativo se construyen en base a

múltiples iteraciones de prueba y error. A cada prueba le suele suceder un error, en forma de crisis,

que trata de ser corregido y evitado. De esta manera, en cada iteración se mejora el sistema, pero

siempre en una interminable serie de acciones en las que se presentan nuevas situaciones que

demandan correcciones y ajustes. Algunos retos que limitan el éxito del buen gobierno corporativo

son la falta de ética, los cambios en el entorno y el enfoque estrictamente regulatorio.

Faltas éticas

Las faltas éticas son tal vez la mayor fuente de necesidad de guías para el BGC. De las

faltas éticas se desprende la necesidad de armonizar los intereses de los accionistas con los de los

gerentes, gran parte de la gestión de riesgo (el fraude, por ejemplo), casi todo el cumplimiento

regulatorio, la necesidad de tener responsabilidad social corporativa, y muchos otros temas

relacionados con las empresas. Las faltas éticas son una gran limitación para el BGC porque se

suelen reinventar y reproducir, evitando ser detectadas o enfrentadas. Contra las faltas éticas hay

una serie de sugerencias y recomendaciones que se revisan en el capítulo correspondiente al

riesgo operacional.

60
Cambios en el entorno

Los cambios constantes en el ambiente de negocios facilitan nuevas fallas en el gobierno

corporativo, de manera que las oportunidades de mejora de las guías de BGC nunca terminan. Por

ejemplo, las nuevas tecnologías pueden crear oportunidades por parte de algunos gestores de

empresas para ocultar operaciones ilícitas o poco éticas. Ese aprovechamiento tecnológico es

posteriormente registrado por los reguladores, que emiten nuevas guías para impedir que algo

similar suceda nuevamente. El aumento de la competencia genera en los directivos de las empresas

la urgencia de idear nuevas formas de generar rentabilidad, poniendo en peligro la sujeción a las

guías del BGC.

Aplicar el BGC solo por cumplir

Una de las principales limitaciones del BGC es que las empresas cumplan con las guías

simplemente por mejorar su reputación y no por el convencimiento de su aplicación. Cuando el

BGC se vuelve una obligación, y las tareas se hacen sin mayor ilusión o entusiasmo, los esfuerzos

pueden tener algún resultado, pero este es mucho menor al que se obtiene por convencimiento de

que el BGC es algo positivo que aporte valor a la organización. Por ejemplo, las guías de BGC

recomiendan un esfuerzo de gestión integral de riesgo, pero cuando los directivos no creen que ese

esfuerzo agregue valor a la empresa crean el grupo de gestión de riesgo solo por cumplir.

El buen gobierno corporativo enfrenta serias limitaciones como las faltas

éticas, los cambios en el entorno y aplicarlo solo por cumplir.

61
Teorías del gobierno corporativo

Los estudiosos del gobierno corporativo han desarrollado a lo largo del tiempo un conjunto

de teorías relativas al gobierno corporativo. Estas teorías buscan explicar, entender y ayudar a

resolver una serie de dilemas, controversias y conflictos que se presentan en la implementación

del gobierno corporativo.

La teoría o problema del ‘agente - principal’24

En una empresa, los accionistas (llamados ‘principal’), contratan a la dirección ejecutiva o

gerencia (llamada ‘agente’), para el manejo de la empresa. El problema del agente-principal se

define como el reto de motivar al agente a actuar defendiendo los intereses del principal, no los

suyos propios. En el caso del gobierno corporativo, se trata de cómo hacer para que los gerentes y

directivos de la empresa actúen en beneficio de los accionistas o dueños, sobreponiendo esos

intereses a otros que puedan surgir del conflicto ético entre el deber y el deseo.

Larckner y Tallan (2011) sugieren que el gobierno corporativo es un sistema de pesos y

contrapesos25 que permiten el control de la organización y una optimización del costo de agencia.

Shleifer y Vishny (1997) destacan que una de las razones por las que existe el gobierno corporativo

es el problema del agente-principal, planteándose preguntas fundamentales, como, por ejemplo:

• ¿Por qué tendrían que confiar los dueños en los gerentes de la empresa?

• ¿No sería muy grande la tentación de tomar decisiones que les convenga a ellos y no a los

dueños?

24
También llamada ‘teoría de agencia’.
25
Checks and balances.
62
 • ¿Cómo manejar la asimetría de información entre los gerentes y los accionistas, sin

perjuicio para estos últimos?

Para evitar ese conflicto existen varios instrumentos. Uno de ellos es el legal, por medio de

contratos y compromisos escritos entre ambas partes. Sin embargo, cualquier contrato entre ambos

puede ser inservible si los que manejan la empresa no actúan con responsabilidad y ética. Otros

instrumentos son:

• Los comités independientes de auditoría y las auditorías externas, que también

permiten limitar los malos manejos.

• Los roles de CEO y presidente de directorio pueden ser ejercidos por dos personas

y no una para evitar conflictos de interés.

• La compensación y los incentivos económicos deben ser estructurados de manera

que permitan tener intereses alineados entre dueños y gerentes.

Según Krause (2000), hay otros mecanismos de control de los gerentes, como las fuerzas

competitivas del mercado, que fuerzan a mejorar su rendimiento; el interés en el desarrollo de sus

carreras profesionales a largo plazo; y el valor de las acciones como resultado de su actividad por

mejorar la empresa.

Muchas empresas refuerzan constantemente los valores y la ética profesional entre sus

asociados. Los códigos de comportamiento corporativo comunican esos valores y son una

poderosa herramienta de comunicación, que ayuda a prevenir problemas éticos y permiten dar una

imagen más positiva de la empresa a la comunidad. Normalmente los gerentes responden de la

mejor manera debido a su ética profesional, a sus valores y a la lucha por mantener o mejorar su

63
reputación. Sin embargo, la tentación de sacar ventaja debe ser siempre mitigada gracias al

gobierno corporativo.

El conflicto ‘principal – principal’

Cuando los accionistas mayoritarios tienen un desacuerdo con los minoritarios, se produce

el conflicto principal-principal. Según los investigadores, este conflicto es más común en las

economías en desarrollo, en las que el marco institucional no es tan sólido, mientras que el del

agente-principal, que hemos visto previamente, se da más en economías desarrolladas, (Peng,

2012). El problema de la falta de marco institucional obliga a los accionistas mayoritarios a asumir

el control directo de la empresa, debido a la desconfianza en transferir el control a la gerencia.

La teoría de la asimetría en la información

En 1970, el economista George Akerlof publicó una investigación sobre el mercado de

autos usados en Estados Unidos (Akerlof, 1970). En la investigación se analiza el comportamiento

de un vendedor de autos usados que sabe que el auto en venta tiene un defecto, pero se lo oculta

al comprador. A esa diferencia de conocimiento la llamó ‘asimetría en la información’, y desde

entonces los economistas usan esa expresión cuando una parte tiene más información que la otra

y no la revela, tratando de beneficiarse gracias a ese conocimiento adicional.

Para efectos de gobierno corporativo, puede existir asimetría entre dos partes: el agente y

el principal, el empleador y el empleado, el cliente y el proveedor. Algunos ejemplos de asimetrías

en la empresa:

• El empleador puede saber que el trabajo del empleado está en riesgo, pero no se lo dirá

hasta el último momento posible para evitar un mal desempeño.

64
 • El gerente puede saber que se va a trabajar a otra empresa de la competencia, pero no se lo

comunicará al directorio hasta que sea necesario, para evitar problemas.

• La empresa puede saber que un producto o servicio no estará disponible según lo esperado,

pero no se lo dice al cliente.

En todos estos ejemplos hay un fuerte componente ético que pone a los participantes en el

dilema de revelar o no el conocimiento asimétrico. Algunos se tratan de tranquilizar pensando que

no revelar algo que saben no es mentir. Sin embargo, muchas veces las llamadas éticas a revelar

la información son ignoradas conscientemente.

La asimetría en la información genera necesariamente gastos adicionales como, por

ejemplo, los legales, por la necesidad de protegerse contractualmente; de supervisión y control; de

garantías, como las cartas de crédito o las fianzas; y de pérdida residual generada por haber tomado

decisiones con la desconfianza generada (Jensen & Meckling, 1976).

La teoría de stewardship

En oposición a la teoría del agente-principal que propone la separación de los roles de CEO

y presidente de la empresa, la teoría de stewardship sugiere que una sola persona debería tener

ambos roles. Esta teoría fue desarrollada por los investigadores Lex Donaldson y James H Davis

entre 1991 y 1993. Donaldson y Davis (1991) probaron que la separación de los roles de CEO y

presidente no mejoraba los resultados de la empresa, poniendo en duda la teoría del agente-

principal. Para los gerentes y ejecutivos es mejor proveer el mejor nivel de servicios y resultados,

porque ese camino les ofrece más beneficios, que defraudar a los accionistas tratando de conseguir

ganancias personales de una forma poco escrupulosa.

65
 La teoría de stewardship afirma que los gerentes y ejecutivos de las empresas buscan los

mejores resultados para los accionistas porque sus intereses están alineados. Además, son personas

motivadas a hacer bien su trabajo, que tienen una gran satisfacción por realizarlo bien, que ejercen

la autoridad responsablemente y de esa manera son reconocidos por sus colegas y por sus

superiores. Si bien esa teoría se aplica a muchas empresas y personas, puede ser muy inocente

asumirla, como lo prueban los innumerables casos de fraude y corrupción que se presentan en todo

el mundo.

La teoría de la dependencia de recursos

La teoría de dependencia de recursos resalta los beneficios que el directorio de la empresa

provee a la empresa gracias a las conexiones profesionales de sus directores. Los directores aportan

una gran fuente de información, habilidades y conexiones con proveedores, el gobierno, grupos

sociales y otras partes interesadas. Uno de los retos del directorio es poder combinar la experiencia

de los directores en el sector de la empresa con sus redes personales que pueden ayudar de alguna

manera a conseguir nuevos negocios o a mejorar las relaciones con reguladores o grupos de interés.

La teoría de los stakeholders (partes interesadas)

Es muy difícil traducir la palabra stakeholders al español. La traducción más común es

‘partes interesadas’. El origen de la palabra viene del mundo de las apuestas, en el que un tercero

(el holder) retenía el dinero ganado (stake) hasta que se determinaba el ganador. En el mundo de

la empresa, el concepto de stakeholder fue desarrollado por el profesor R. Edward Freeman, en su

libro Strategic Management: a stakeholder approach (Freeman, 1983). El concepto amplía la

estrecha visión de que para la empresa solo cuentan los accionistas, extendiendo su definición a

66
otras partes interesadas, como el gobierno, la comunidad, los empleados, los clientes y muchos

otros grupos.

Cuando se habla de stakeholders se amplía la visión de la empresa y se reconoce la

importancia de partes interesadas que de otra manera se podrían ignorar. Hay partes interesadas

internas y externas. Las partes interesadas internas son los accionistas, los directores, los

ejecutivos, empleados y trabajadores. En cuanto a las partes interesadas externas, no solo se debe

pensar en los clientes y proveedores, sino que es necesario tener una visión más amplia de los

alcances de la empresa. Por ejemplo, el concepto de responsabilidad social hace considerar como

una parte interesada importante a la comunidad. El no tenerla en cuenta puede dar lugar a

problemas que generen enormes pérdidas y hasta la cancelación de importantes proyectos.

Las partes interesadas pueden ser afectadas positiva o negativamente por las acciones de

la empresa, sin que esta perciba el impacto, a no ser que haga una adecuada introspección y análisis

de la situación. Para identificar y entender los efectos de sus acciones, se sugiere que la empresa

organice un equipo multifuncional que pueda proveer una visión completa del riesgo en las partes

interesadas y definir las acciones que la empresa deba tomar para minimizar efectos negativos26.

Hay distintos métodos de mapeo de las partes interesadas o el de la matriz ‘poder negociador

versus nivel del interés’.

Una parte interesada con gran poder negociador y alto nivel de interés debe ser vista como

el mayor riesgo. Para ello es necesario desarrollar un plan de respuesta. El análisis de partes

interesadas debe ser actualizado periódicamente y los planes de acción revisados como parte

26
El proceso de gestión de riesgo está detallado posteriormente.
67
esencial de un buen gobierno corporativo. La teoría de los stakeholders es complementaria a las

demás teorías de gobierno corporativo, no excluyente.

Nepotismo y amiguismo

El nepotismo es definido como la “desmedida preferencia que algunos dan a sus parientes

para las concesiones o empleos públicos” (RAE, 2014). Se entiende que cuando un funcionario

público favorece la contratación de un pariente o amigo sobre alguien mejor calificado, hay un

conflicto ético. Extendiendo un poco el concepto, también se puede aplicar a amigos, a empresas

privadas y hasta a parientes de personas de interés comercial. El problema principal del nepotismo

es el nombrar a personas menos calificadas a puestos que deberían ser ocupados por personas más

capaces o calificadas. Es más común en empresas pequeñas con poco desarrollo de gobierno

corporativo.

Si bien en las empresas estatales el nepotismo está prohibido por la ley en muchos países,

fuera del estado no hay grandes inconvenientes en contratar parientes de ejecutivos o funcionarios.

Incluso algunas empresas creen que eso favorece el mejor entendimiento entre las familias y el

compromiso de los empleados. En Estados Unidos, el nepotismo está prohibido cuando se

considera que incurre en un acto de corrupción.

El caso J.P. Morgan (2013)

Entre 2004 y 2013, el banco J.P. Morgan contrató un total de 222 hijos de funcionarios de

la República Popular China con el fin de conseguir ventaja en negocios con el gobierno chino. La

ley anticorrupción FCPA prohíbe a las empresas estadounidenses entregar bienes o servicios a

funcionarios estatales con el fin de ganar algo a cambio. En ese período el banco ganó un total de

doce ofertas públicas de acciones que sumaron 1,000 millones de dólares. Después de un proceso

68
de investigación del FBI, J.P. Morgan acordó pagar una multa de 264 millones de dólares al

gobierno americano.

Otro caso es el del banco BNY Mellon, que aceptó pagar una multa de 15 millones de

dólares por haber contratado a los familiares de los ejecutivos de un fondo de inversión del Medio

Oriente. Para un buen gobierno corporativo, hay dos consideraciones para tener en cuenta respecto

al nepotismo:

• El nepotismo puede dar lugar a la desmoralización del personal. Sobre todo, si se percibe

que hay un ambiente injusto o poco ético.

• Se debe tener en cuenta si existe un riesgo legal. Por ejemplo, ha habido casos en los que

una relación sentimental entre personas de la empresa se ha convertido en una denuncia

por ambiente hostil en el trabajo.

La recomendación para minimizar el riesgo de nepotismo es tener una clara política de

recursos humanos que incluya la definición de nepotismo y las reglas en la contratación,

educación, promoción y terminación de familiares y amigos. Respecto a cómo se debe conformar

un directorio, el Banco Mundial ha emitido varias comunicaciones y recomendaciones contra el

nepotismo en las empresas. “Un directorio lleno de amigos y familiares provee menos balance en

servir los intereses de los accionistas”. (IFC, 2012).

Las teorías del gobierno corporativo, de las cuales el ‘agente – principal’ es la

más conocida, intentan explicar posibles fallas en el sistema de gobierno de

las organizaciones, para prevenir problemas y fomentar un ambiente positivo

y alineado con los intereses de las partes interesadas.

69
 A continuación, se presenta la evolución del gobierno corporativo en los últimos 50 años,

que ayudará a entender las regulaciones actuales.

Evolución del gobierno corporativo

Los sistemas y leyes de gobierno corporativo en el mundo varían dependiendo de la

trayectoria, valores y situación política, social y cultural del país (Choo, 2005). Pese a que estos

factores no son estrictamente económicos, su combinación ha afectado el resultado económico de

cada nación, teniendo en algunos casos más éxito que en otros. Por otro lado, hay una serie de

variables que también afectan la forma de gobierno corporativo en cada región, como la eficiencia

de los mercados de capital, la protección que provee el sistema legal, la exactitud de los estándares

contables y el grado de cumplimiento de las regulaciones (Larcker, 2015).

La globalización representa un desafío de gobierno corporativo para las economías que

evolucionan hacia un mundo más integrado, pues impone nuevos estándares que son, en muchos

casos, opuestos al modus operandi antiguo. Conceptos como el financiamiento mediante los

mercados de capital, la demanda de los accionistas por el retorno de su inversión, los derechos de

los accionistas y el desafío del control corporativo, son algunos ejemplos de situaciones que exigen

un cambio de paradigma. Sin bien no es posible tener un sistema global de gobierno corporativo,

hay una tendencia a tener cada vez más elementos en común, como, por ejemplo, el nombramiento

de directores independientes.

Las disposiciones internacionales de gobierno corporativo son, en general,

solo una guía con buenas prácticas y sugerencias, pero difíciles de exigir a las

70
 empresas. Sin embargo, las disposiciones nacionales deben ser observadas

cuidadosamente por las empresas expuestas a esas regulaciones.

A continuación, se revisa la evolución del gobierno corporativo en Estados Unidos y en el

Reino Unido. Posteriormente también se presenta la evolución del sector de servicios financieros,

debido a que es uno de los sectores económicos que ha tenido mayor desarrollo en las áreas de

riesgo y cumplimiento.

Gobierno corporativo en Estados Unidos

Estados Unidos tiene, desde hace unas décadas, un gobierno corporativo orientado a los

accionistas. Dado el tamaño de las bolsas de valores en Estados Unidos, gran parte de la regulación

del gobierno corporativo proviene de los reguladores de las bolsas de valores líderes de ese país,

como por ejemplo NYSE, NASDAQ y AMEX. Además, hay legislación específica, como las leyes

Sarbanes-Oxley y Dodd-Frank. Las corporaciones listadas en las bolsas de valores de Estados

Unidos son, por lo general, de accionariado muy disperso. Además. se estima que más del 70%

del accionariado es institucional (Aguilar, 2013). Debido a esa dispersión y a restricciones legales

que impiden que los grupos accionistas se unan para tomar acción en decisiones de la empresa, es

difícil que los accionistas se unan para liderar propuestas o hacer cambios en la dirección de la

empresa.

Los directorios cuentan, en general, con muchos directores independientes y hacen uso de

los distintos comités de directorio para mejorar sus decisiones. Adicionalmente, la compensación

de los ejecutivos está muchas veces correlacionada directamente con el retorno de la inversión de

los accionistas. Según se ve en el recuento histórico, la historia del gobierno corporativo de Estados

71
Unidos tiene ejemplos de grandes escándalos, en los que fraudes financieros dieron lugar a

pérdidas muy significativas, y a la reacción de las autoridades que diseñaron nuevas regulaciones

para impedir que esas fallas se repitan. COSO (Committee of Sponsoring Organizations) es la

respuesta de las grandes firmas auditoras a la necesidad de gestionar adecuadamente los riesgos

de las empresas.

COSO y la gestión integral de riesgo

En 1985, cinco grandes asociaciones de contadores de Estados Unidos se asociaron para

crear una guía que mejorara el control interno de las organizaciones. James C. Treadway,

presidente del banco de inversión Paine Webber, fue encargado de presidir la comisión, conocida

por su apellido. Después de analizar los sistemas de reportes financieros entre 1985 y 1987, se

publicaron las recomendaciones en un reporte de la Comisión Nacional de Fraude en los Reportes

Financieros. Además, se creó el comité COSO, que sentó las bases para un mejor control interno

en las corporaciones. COSO reconoce que el control interno es un proceso afectado por lo que

hace la gente. Como proceso, no es el fin sino la forma de llegar al fin, que es tener reportes

financieros precisos de acuerdo con las leyes y regulaciones.

En 2001, COSO contrató a la firma de asesoría contable PricewaterhouseCoopers para

desarrollar un marco integral para la gestión de riesgo27. Mientras se desarrollaba el estudio, hubo

algunos escándalos corporativos cuya experiencia fue incorporada en el reporte final, publicado

en 2004. Dado el enfoque de la ley Sarbanes-Oxley en control interno, el reporte de COSO es un

complemento ideal pues refuerza la visión amplia de riesgo integral. La última versión de la guía

27
Enterprise Risk Management.
72
COSO es de 2017, y fue desarrollada después de un proceso de revisión y actualización. En el

capítulo 2, dedicado a la gestión de riesgo, se explica con más detalle las guías de COSO.

Paralelamente, y tomando en cuenta los problemas generados por las experiencias

internacionales, la OECD emitió en 1999 los Principios de Gobierno Corporativo, basados

mayormente en el modelo de Estados Unidos. Esta versión inicial fue posteriormente actualizada

en 2005 y 2015 (OECD, G20/OECD Principles of Corporate Governance, 2015).

COSO es una herramienta de gestión de riesgo desarrollada por las grandes

empresas auditoras con el fin de lograr una eficiente detección, control y

mitigación de riesgos empresariales.

Gobierno corporativo en el Reino Unido

El Código de gobierno corporativo del Reino Unido es el instrumento fundamental de la

Bolsa de Londres para controlar a las empresas listadas. Este documento es el resultado de muchos

años de iteraciones basadas en una serie de reportes creados a raíz de fallas corporativas, en

algunos casos de gran impacto en las partes interesadas y en los medios de comunicación. Uno de

los principales documentos en los que se basan las recomendaciones inglesas es el llamado Reporte

Cadbury.

Antecedentes del Reporte Cadbury

A fines de la década del 80, en el Reino Unido se sucedieron una serie de escándalos

corporativos que llamaron la atención del gobierno y los reguladores.

73
 El caso Polly Peck (1990)

Desde 1975 hasta 1990, el ejecutivo de origen chipriota Asil Nadir logró crecer y

diversificar una pequeña empresa de exportación de frutas, adquiriendo inicialmente una

empresa textil inglesa llamada Polly Peck y, a continuación, la empresa electrónica turca Vestel,

la empresa de frutas Del Monte y la electrónica japonesa Sansui Electric. El holding controlador

de esas empresas fue la empresa Polly Peck. En 1989, Polly Peck fue elegida dentro del índice de

acciones FTSE 100, es decir, dentro de las 100 mayores empresas en la Bolsa de Londres. En

1990, una investigación financiera reveló que Nadir había transferido ilegalmente grandes sumas

desde Polly Peck hacia sus cuentas personales en Turquía, Chipre, Suiza y Jersey. La empresa

fue intervenida pues no tenía capital suficiente para pagar sus obligaciones. Nadir fue detenido

en Londres, pero escapó a Francia en 1993 y luego a Chipre, gracias a que, increíblemente, los

policías que lo custodiaban se fueron a descansar porque no les pagaban sobretiempo. En 2010

regresó a Londres, donde fue sentenciado a 10 años de prisión por delitos de fraude por 29

millones de libras esterlinas. Sin embargo, la Oficina de Fraudes28 estima que el monto

comprometido fue de casi 400 millones de libras esterlinas. Debido a su nacionalidad turca, en

2016 fue transferido a una prisión de ese país, de donde fue liberado tras pasar una sola noche

encarcelado.

28
SFO.
74
 El caso Banco BCCI (1986)

En 1971, el banquero y filántropo de origen paquistaní Agha Hasan Abedi fundó el banco

BCCI29, basado en Luxemburgo, con sedes en Londres y Karachi. El banco creció rápidamente

hasta volverse uno de los más importantes bancos globales. Sin embargo, tanto éxito en un

mercado competitivo despertó las sospechas en algunos de sus grandes socios como el Bank of

America. En 1986, una operación encubierta de la Aduana de Estados Unidos reveló que el

BCCI ofrecía sus servicios a traficantes de drogas y que era usado para lavado de dinero. El

banco reconoció ser culpable de esos delitos y se le canceló la licencia para operar en el estado

de Florida. Posteriormente, en 1991, a pedido del Bank of England, los auditores externos

encontraron un fraude masivo y manipulación en los estados financieros del BCCI. También se

descubrió que el banco financiaba activamente a grupos terroristas. Al poco tiempo, las

autoridades de varios países intervinieron y cerraron todas las oficinas del banco, afectando a un

millón de clientes. Los autores Beaty y Gwynne han llamado a este escándalo financiero ‘el robo

de los 20 mil millones’ (Gwynne, 2004) debido a las enormes pérdidas que generó su cierre y

desaparición. Abedi falleció en Pakistán de un ataque al corazón en 1995.

El caso del Grupo Mirror (1991)

A fines de 1991, durante un viaje de paseo en las Islas Canarias, falleció misteriosamente

el magnate editor Ian Robert Maxwell30. Maxwell había surgido de la pobreza hasta convertirse

29
Banco de Crédito y Comercio Internacional.
30
Maxwell había nacido en Checoslovaquia y su nombre original era Ján Ludvík Hyman Binyamin Hoch.
75
en dueño del grupo editor del diario Daily Mirror, en Inglaterra. Además, había adquirido la

nacionalidad inglesa, gracias a su ayuda al ejército inglés durante la ocupación nazi de

Checoslovaquia, y era miembro del parlamento inglés, representando a los conservadores. Poco

después de su fallecimiento, se descubrió que Maxwell había usado los fondos de las pensiones

de sus trabajadores para capitalizar el grupo Mirror, debido a su grave riesgo de bancarrota

(Hoch, 2013). El gobierno inglés tuvo que intervenir, y, con la ayuda de los bancos de inversión

Shearson-Lehman y Goldman-Sachs, recapitalizar parcialmente la empresa. Los trabajadores

vieron reducidas sus pensiones al 50% de lo esperado.

A fines de la década del 80 se produjeron varios escándalos corporativos en el

Reino Unido. Hubo desde envío ilegal de dinero a cuentas de los directivos,

uso fraudulento de los fondos de pensión, hasta financiamiento del terrorismo,

y tráfico de armas.

Estos escándalos corporativos y otros menos notorios motivaron a que la Bolsa de Valores

de Londres creara un comité liderado, por sir Adrian Cadbury, para evaluar los problemas que se

presentaban por defectos en el gobierno corporativo de las empresas.

El Reporte Cadbury (1992)

En diciembre de 1992 se emitió el Reporte Cadbury (Governance, 1992), que en realidad

se titulaba Reporte del Comité en los Aspectos Financieros del Gobierno Corporativo. El reporte

fue sujeto a una serie de cambios y negociaciones mientras se elaboraba, pero sobre todo en el

tema de la representación de los accionistas en el directorio. En una entrevista concedida a la

76
Universidad de Cambridge, Adrian Cadbury, presidente del comité, explicó que la razón

fundamental por la que se estableció un comité fue para analizar el problema de las ‘fallas

corporativas’ derivadas de malos manejos contables (Cambrige, 2015). Para tener una visión más

independiente de la situación, las autoridades eligieron a Cadbury, porque él no era contador de

profesión, pero tenía amplio conocimiento del tema, ya que era presidente del directorio de la

industria de alimentos Cadbury-Schweppes.

Las recomendaciones más importantes del reporte fueron:

• Una clara separación e independencia entre el presidente de directorio y el CEO.

• Que la mayoría del directorio esté compuesta por directores independientes.

• Que el comité de compensación de los directores esté compuesto en su mayoría por

directores independientes.

• Establecer el comité de auditoría en el directorio, con al menos tres directores

independientes.

Cadbury sugirió además que los directores se autoevaluaran, pues una autocrítica podría ayudar

mucho a mejorar su rendimiento. A este reporte se le otorgó el nivel de regulación estatutaria a

ser observado por todas las empresas registradas en la Bolsa de Valores de Londres. Las

empresas fueron sujetas a seguir las recomendaciones y a explicar en detalle si había una

discrepancia en su implementación.

Para Cadbury, la autorregulación y la transparencia contable y financiera

deben ser más efectivas que la regulación impuesta por un organismo

77
 supervisor, porque un esfuerzo interno hecho con honestidad es superior a la

fuerza de control externa, sujeta a los juegos contables.

El Reporte Greenbury (1995)

La ola de privatizaciones impulsada por el gobierno de Margaret Thatcher en Reino

Unido, en los años 80 y 90, dio lugar a que los nuevos gerentes de las empresas privatizadas

cometieran excesos en compensación y beneficios, dando lugar a una nueva investigación y

reporte.

El caso British Gas (1995)

En 1995, la recientemente privatizada British Gas fue objeto de presión por parte de los

accionistas individuales que cuestionaban al CEO, Cedric Brown, debido a que se había subido

el sueldo de 270,000 a 475,000 libras esterlinas. British Gas era vista aún como un monopolio y

los accionistas no entendían por qué el líder de un monopolio tenía que ganar un salario tan alto.

Además, por ese entonces se había anunciado el despido de 2,000 trabajadores de la empresa.

Brown fue criticado por la prensa y objeto de escarnio público (Solomon, 2010).

Debido a ese y otros casos, la asociación de industriales CBI31, uno de los lobbies más

importantes del Reino Unido, comisionó un reporte que estuvo dirigido por sir Richard Greenbury.

La recomendación principal del reporte fue la de crear un comité encargado de revisar y aprobar

las remuneraciones de los directores ejecutivos y comunicar estos montos y beneficios a los

31
Confederation of British Industries.
78
accionistas. Este comité debe estar conformado únicamente por directores independientes.

Además, la compensación debe ser diseñada pensando en el rendimiento de la empresa a largo

plazo. El reporte recomienda tener mucho tacto en el manejo de los montos, nunca excediéndose

ni permitiendo beneficios ilimitados ni saliéndose de lo que debe ser razonable en el sector (David

Martin, 2006).

El Reporte Hampel (1998)

El Reporte Greenbury recomendaba una revisión del gobierno corporativo en Reino

Unido cada tres años. En 1998, el comité que realizó la primera revisión, que estuvo a cargo

de41sir Ronald Hampel, presidente de Royal Chemical Industries. El Reporte Hampel

recomendó consolidar los dos previos reportes, el Cadbury y el Greenbury, en un solo código

combinado. Además, hizo notar que el código de gobierno corporativo no debía ser visto

simplemente como una serie de tareas a cumplir mecánicamente, sino que debían entenderse sus

principios, entender muy bien el espíritu del código y aplicar esos principios en la práctica

(Solomon, 2010). Hampel reconocía de esta manera, que es imposible reglamentar todos los

aspectos de una empresa, porque el ingenio humano combinado con la falta de ética siempre

puede encontrar vacíos en cualquier regulación, especialmente tratándose de algo tan complejo

como el gobierno cooperativo.

El Reporte Hampel resultó en lo que se llamó el ‘Código Combinado’, que

consolidaba los reportes Cadbury, Greenbury y las conclusiones de Hampel, y

fue publicado por el London Stock Exchange.

79
 Después de 1998 se ha revisado el Código Combinado periódicamente, con las siguientes

adiciones:

1999. Reporte Turnbull: provee recomendaciones a los directores en procedimientos de

control interno para la gestión de riesgo.

2003. El Financial Reporting Council publicó el Código Combinado con las adiciones de

Turnbull y otras más relacionadas con las fallas aprendidas en Enron, como el rol de los directores

independientes, diversidad en los directorios y el rol del comité de auditoría.

2009. Se publica el código de gobierno corporativo del Reino Unido. Esta versión ha sido

y será revisada continuamente.

2014. Se actualiza el código de gobierno corporativo.

2018. El Consejo de Reportes Financieros (CRC) publicó el nuevo código de gobierno

corporativo, que dispone 18 principios obligatorios y 41 provisiones (Council, The UK Corporate

Governance Code, 2018).

2019. Entra en vigor el código de gobierno corporativo para grandes empresas no listadas

en la bolsa.

El Código de gobierno corporativo del Reino Unido

En 2014 se emitió el Código de gobierno corporativo del Reino Unido. Como se explica

anteriormente, la intención del código, en el espíritu británico, no es someter a las empresas a listas

de tareas para cumplir y chequear, sino fomentar la buena práctica de la reflexión y entendimiento

que ayude a la transparencia con los principios de la ética profesional. Como parte de esa filosofía

se aclara que en el Reino Unido se aplica el principio de ‘cumplir o explicar’, es decir, que no

cumplir con el código puede tener una explicación y, si esta es razonable, puede ser aceptada por

80
los reguladores. Esta concepción es muy distinta a la de Estados Unidos, donde se exige el

cumplimiento estricto de las normas.

El código comienza definiendo el concepto de gobierno corporativo, tomado del reporte

Cadbury. A continuación, resalta el trabajo continuo de mejora a lo largo de más de veinte años

hasta la versión de 2014. Seguidamente propone el problema del ‘pensamiento grupal’, cuando los

directorios son muy homogéneos, sugiriéndose diversidad en los directorios. Además, resalta que

es muy importante que los estándares de ética profesional sean difundidos desde el directorio. Por

último, pide que las empresas sean transparentes en la divulgación de información que permita

entender su viabilidad a largo plazo.

Debido a la flexibilidad que el código confiere a las empresas a seguir sus pautas, o explicar

por qué no se siguen, se espera que sea el mercado y no la ley la que decida qué tan bien es su

aplicación. Sin embargo, una investigación de la consultora Grant Thornton revela que en 2016 el

38% de las empresas listadas en la bolsa del Reino Unido no cumplen completamente con el código

(Thornton, 2016). Si bien la consultora menciona que hay una mejora en los resultados, hace notar

que muchas empresas tratan de cumplir con lo mínimo necesario. El riesgo, dice el reporte, es que

esa falta de cumplimiento lleve a una intervención no deseada del gobierno.

El Código de gobierno corporativo del Reino Unido tiene la filosofía llamada

‘cumplir o explicar’, que permite a las empresas no seguir al pie de la letra las

guías, si hay una razón para hacerlo.

81
Reforma del gobierno corporativo

El 1 de enero de 2019 entró en vigor un nuevo código revisado de gobierno corporativo en

el Reino Unido. Este documento es el resultado de más de dos años de revisión y consultas

dirigidas por el gobierno de Theresa May. Para ello, un comité de la Cámara de los Comunes

realizó desde 2016 una profunda investigación para entender la situación, respondiendo a

preguntas sobre el comportamiento de los directores, la compensación de los ejecutivos y la

composición de los directorios (www.parliament.uk, 2016). En cuanto a los directorios, buscaba

entender si los intereses de los accionistas están debidamente representados en las empresas, si las

obligaciones de los directores están correctamente descritas en las leyes, si hay suficiente

transparencia en las empresas y qué más debería hacer el gobierno para mejorar el gobierno

corporativo, entre otros temas.

La preocupación en el pago a los directivos estuvo enfocada en entender mejor si es

necesario que este dependa de los resultados a largo plazo, además de analizar qué ha motivado el

alto crecimiento de la compensación ejecutiva en los últimos años y si es justificable. Por último,

el comité buscaba entender si es mejor tener directorios con diversidad de género y si es necesario

tener representación de los trabajadores, como en Alemania y otros países de Europa continental.

En el Reino Unido, debido a los excesos de las empresas privadas, el gobierno emitió en

2018 una nueva regulación de gobierno corporativo, que es aplicable desde 2019 para empresas

con más de 2,000 trabajadores o ventas de más de 200 millones de libras esterlinas

(Legislation.gov.uk, 2018). Estas empresas, que anteriormente no estaban sujetas a ese tipo de

regulación, han encontrado dificultades para adoptarlas. Según el estudio legal Baker McKenzie,

el 72% de empresas no están preparadas para afrontar esas nuevas guías (Baker McKenzie, 2019).

82
Sistemas legales y regulatorios de gobierno corporativo

Se pueden distinguir tres tipos de leyes que determinan la estructura legal del gobierno

corporativo (Choo, 2005):

1. Leyes corporativas.

2. Leyes de regulación del mercado financiero.

3. Leyes de trabajo.

Las leyes corporativas ayudan a definir las relaciones entre los accionistas, el directorio, la gerencia

y los trabajadores. Estas leyes varían dependiendo de si el país tiene el sistema legal de derecho

romano o anglosajón. El último ofrece mayores ventajas para los accionistas y es más flexible a

cambios en el entorno (Abínzano, 2012).

Las leyes de regulación del mercado financiero establecen el marco para que las empresas

puedan afrontar sus necesidades de financiamiento, ya sea en forma de capital, deuda u otros

mecanismos. En estos casos, se promueve la transparencia de la información, para que los

financistas puedan tomar decisiones con conocimiento.

Finalmente, las leyes del trabajo determinan las reglas por las cuales se puede contratar y

despedir al personal y qué poder tiene el personal en las decisiones de la empresa. Hay modelos

en los extremos, desde los Estados Unidos, donde el personal no tiene mucho poder en las

decisiones, hasta el poder sindical de tener representación en el directorio, como en Alemania.

La supervisión del gobierno corporativo depende del país, pero muy comúnmente el regulador de

empresas que listan en bolsa es el responsable de supervisar el gobierno corporativo de las

empresas listadas.

83
 En Estados Unidos, las empresas listadas son reguladas por el Securities and Exchange

Commission (SEC), están sujetas a la ley Sarbanes-Oxley (SOX) y cumplen con las guías de la

bolsa de valores a la que pertenezcan. En el Reino Unido responden al Financial Reporting Council

(FRC) y siguen las reglas del Financial Conduct Authority (FCA). A nivel global, la OCDE, que

tiene como uno de sus objetivos promover el buen gobierno corporativo, publica periódicamente

los ‘Principios de Gobierno Corporativo’, que es revisada y actualizada cada cierto tiempo y

provee guías para los reguladores y las empresas que ayudan a mejorar la estructura legal,

regulatoria e institucional, enfocándose en empresas que cotizan en bolsa (Tophoff, 2014).

En su versión del 2015, el documento señala que el gobierno corporativo no es el fin en sí,

sino el medio para crear confianza en los mercados y ética en los negocios, que son esenciales para

conseguir capital de largo plazo (OECD, G20/OECD Principles of Corporate Governance, 2015).

Los principios de la OCDE han sido adoptados por el Consejo de Estabilidad Financiera del Grupo

de los 20, por el Banco Mundial y por el Comité de Basilea para regulación financiera.

Mientras que Estados Unidos tiene un gobierno corporativo orientado

especialmente a los accionistas y basado en leyes con requerimientos estrictos

de cumplimiento, otros países tienen una visión más flexible respecto al

cumplimiento, o se enfocan en otras partes interesadas como los trabajadores

y la sociedad.

84
Las partes interesadas

Habiendo presentado algunos de los casos más importantes que dieron origen al actual

sistema de gobierno corporativo, se revisa a continuación el concepto de las llamadas ‘partes

interesadas’ en las organizaciones. Como se menciona previamente en la teoría de los stakeholders,

hay partes interesadas internas y externas en las organizaciones. Un cuidadoso análisis de estas es

fundamental para cualquier empresa. Descuidar una de ellas puede traer consecuencias negativas

a la organización. El análisis de las partes interesadas es un componente esencial y común no solo

del gobierno corporativo sino también de la gestión integral de riesgo, de la responsabilidad social

corporativa y del compliance. Las responsabilidades, roles y composición de cada parte interesada

han ido ajustándose conforme evolucionan la composición de estas, sus regulaciones y las

prácticas comerciales.

Las partes interesadas internas

Las partes interesadas internas en las que el código de gobierno se enfoca, son el

directorio y los accionistas.

El directorio

El directorio es un grupo de personas elegidas por los accionistas para dirigir la empresa,

y son responsables colectivamente de su éxito a largo plazo. Los directores están sujetos a una

reelección periódica. La orientación del directorio es estratégica y de largo plazo, por lo que sus

resultados se tienen que medir en el tiempo. El presidente de directorio es responsable por liderar

el directorio y por asegurar su efectividad en todos los aspectos. Los directores no ejecutivos

deben proveer crítica constructiva y ayudar a desarrollar propuestas en la estrategia de la

empresa.

85
 Rol del directorio

El rol del Directorio, según definición del reporte King de Sudáfrica (The Institute of

Directors in Southern Africa, 2009) es:

• Definir el propósito de la empresa.

• Definir los valores con los que la empresa operará día a día.

• Identificar las partes interesadas relevantes a la empresa.

• Desarrollar una estrategia combinando esos factores.

• Asegurar la implementación de esa estrategia.

Funciones del directorio

Seleccionar, evaluar y definir la compensación del ejecutivo principal de la empresa

(llamado CEO, Director General, Consejero Delegado, etc.) y supervisar su plan de sucesión.

1. Proveer consejo y supervisión a la selección, evaluación, desarrollo y compensación de la

gerencia.

2. Revisar, aprobar y supervisar las estrategias del negocio, la situación financiera y las

actividades corporativas relevantes.

3. Identificar y analizar los grandes riesgos que tiene la empresa y revisar las opciones para

su mitigación.

4. Controlar que existan procesos que aseguren la integridad de la empresa, considerando

especialmente los reportes financieros, en el cumplimiento de la ley y la ética, las

86
 relaciones con los clientes, proveedores y otras partes interesadas en la empresa (Inc.,

2016) .

Composición del directorio

Se requiere que el directorio y los comités tengan un adecuado balance de habilidades,

experiencia, independencia y conocimiento de la empresa, que les permita desempeñar sus

actividades y responsabilidades efectivamente. Debe haber una clara división de responsabilidades

entre presidir el directorio y las responsabilidades ejecutivas de dirigir el negocio de la empresa.

Ninguna persona debe tener poder ilimitado de decisión (Council, The UK Corporate Governance

Code, 2014). Los principios de sentido común emitidos en 2016 por las mayores empresas que

cotizan en el New York Stock Exchange (NYSE), Bolsa de New York, señalan que la mayoría del

directorio debe ser integrado por personas independientes (Governanceprinciples.org, 2016).

Tipos de directorios

El sistema de una banda

En el sistema de una banda o unitario, el directorio delega el manejo del día a día al CEO,

al equipo ejecutivo, o al comité ejecutivo. Esta estructura es la más común en los países

anglosajones.

El sistema de dos bandas

En el sistema de dos bandas, el directorio divide los roles de supervisión y ejecución en dos

equipos diferentes. El equipo de supervisión es más experimentado y administra al equipo

ejecutivo, que se encarga de las actividades diarias. En el grupo de supervisión hay representantes

de los accionistas, los empleados y el equipo ejecutivo. Esta estructura es más común en China,

Alemania, Francia y otros países de Europa.

87
 Deberes del directorio

El deber fiduciario de lealtad, cuidado y trato justo

Debido al poder que los directores ejercen, están sujetos a una serie de deberes fiduciarios,

es decir, a la defensa del patrimonio de la empresa, a asegurar el cumplimiento de las obligaciones,

a rendir cuentas y a asegurarse de que se defienden los intereses de los accionistas. Los directores

deben tener lealtad a la empresa y sus principios y valores, cuidado en que las decisiones que se

tomen no sean en beneficio propio sino de la empresa y sus accionistas, y trato justo, que no

desequilibre esas decisiones en beneficio propio.

Dedicación

Todos los directores deben ser capaces de dedicar suficiente tiempo a la empresa para

cumplir sus responsabilidades efectivamente.

Desarrollo personal

Todos los directores deben recibir un entrenamiento al ser nombrados al directorio y

continuamente actualizar sus habilidades y conocimientos.

Comunicación

El directorio debe ocuparse de mantener informados a los accionistas los asuntos de

gobierno corporativo que sean relevantes. Se puede designar a los portavoces necesarios para ese

trabajo. La comunicación con los medios requiere aprobación del directorio de acuerdo con las

circunstancias.

Información y soporte

El directorio debe recibir información de calidad y a tiempo para cumplir sus actividades.

88
Reportes financieros y del negocio

El directorio debe presentar una evaluación razonable, balanceada y entendible de la

posición de la empresa y sus perspectivas.

Gestión de riesgo y control interno

El directorio es responsable de determinar la naturaleza y el alcance de los riesgos

principales que está dispuesto a aceptar para conseguir los objetivos estratégicos. El directorio

debe mantener una gestión de riesgo y sistemas de control interno sólidos.

Selección, evaluación y compensación de los directores

Selección de directores

Debe haber un proceso formal, riguroso y transparente para nombrar nuevos directores. Se

recomienda una combinación de directores internos y externos. Los directores internos proveen

experiencia de la industria; los externos traen otra perspectiva que puede ayudar a identificar

nuevas oportunidades y riesgos. Los directores deben ser decisivos, independientes en sus

opiniones, constructivos y buenos colaboradores. Además, deben tener buenos conocimientos de

negocios, estar orientados a defender los derechos de los accionistas y tener pasión por la empresa

(Governanceprinciples.org, 2016).

Evaluación del directorio

El directorio debe tener una evaluación anual de su propio desempeño, de los comités y de

cada miembro del directorio. Todos los directores deben ser reelectos en intervalos regulares,

siempre y cuando hayan tenido un desempeño satisfactorio.

89
Compensación del directorio

La compensación debe ser diseñada para promover el éxito a largo plazo de la empresa.

Los objetivos por rendimiento deben ser transparentes, retadores y rigurosamente aplicados. Debe

haber un procedimiento formal y transparente para desarrollar una política de compensación y para

fijar los paquetes de compensación para los directores. Ningún director debe estar involucrado en

decidir su propia remuneración.

Juicios recientes a las empresas Facebook y Citrix por pagos excesivos a los directores no

ejecutivos han planteado límites y mayor escrutinio en el diseño e implementación de los

beneficios de estos (Lee, 2016). En el Reino Unido, un comité del Parlamento está también

avaluando los excesos cometidos por algunas empresas en los beneficios de los directores.

Directores independientes

Actualmente existe consenso entre los reguladores en que es necesario tener directores

independientes en todas las empresas. Hay muchas razones para ello, como por ejemplo tener una

perspectiva distinta y fresca, sin prejuicios, proveer ideas y experiencia de otras industrias, o

proveer continuidad a largo plazo, sin estar sujeto a los vaivenes de los gestores internos.

Comités de directorio

El comité de auditoría

El comité de auditoría debe estar compuesto de tres directores independientes, de los

cuales, al menos uno, debe tener experiencia en gestión financiera. Es responsable por supervisar

los controles internos, aprobar los estados financieros y otros documentos importantes. También

sirve para seleccionar, compensar, supervisar y establecer la comunicación con los auditores

externos y revisar asuntos importantes de cumplimiento. El comité debe asegurar que los auditores

90
externos estén de acuerdo con los estimados y los supuestos que los contadores internos y la

gerencia hayan propuesto. Para ello, debe haber un diálogo técnico entre ambas partes que facilite

el intercambio de ideas y permita resolver dudas o inquietudes de los auditores externos. En

empresas que cuenten con auditoría interna, el comité debe supervisar y validar las actividades

correspondientes. En situaciones especiales, el comité de auditoría puede hacer algunas

investigaciones específicas.

El comité de nominaciones

El comité de nominaciones es el encargado de identificar y nominar a los posibles

candidatos a directores cuando esto sea necesario. Y además está encargado de hacer

recomendaciones para la correcta composición del directorio, buscando que tenga un balance entre

directores independientes y ejecutivos, así como un adecuado nivel de experiencia y conocimiento.

Otra función de este comité es preparar y conseguir consenso en la descripción del puesto

de presidente de directorio.

El comité de compensación

El comité de compensación decide las remuneraciones de los directores ejecutivos y de

algunos ejecutivos de mayor rango. Debe establecer una política de compensación que esté escrita

y cuyo objetivo sea atraer y retener al talento que la empresa requiera.

Se recomienda que el comité de compensación esté conformado solamente por directores no

ejecutivos para evitar conflictos de interés. La compensación debe ser estructurada de manera que

se motive a lograr los objetivos a largo plazo. Por lo tanto, se debe ofrecer un paquete salarial y de

beneficios que atraiga a los candidatos ideales para el puesto, con alicientes a que se logre un alto

rendimiento a mediano y largo plazo.

91
 El plan de sucesión

Debido a que uno de los objetivos de toda empresa es su éxito a largo plazo, tener un plan

de sucesión es fundamental para dar confianza a los accionistas y al mercado de que, si algún

director o ejecutivo le sucede algo imprevisto, la empresa está preparada para continuar con sus

operaciones integrando a los reemplazos que sean necesarios. En empresas de gran envergadura,

está prohibido que funcionarios de alto nivel viajen juntos en el mismo avión, pues si hay un

accidente, la pérdida puede ser doble o múltiple.

Reuniones de directorio

Los elementos mínimos que los directorios deben tener incluyen la preparación de las

reuniones, mecánica de las reuniones, agenda y participantes, notas de la reunión, calendario del

directorio, relaciones con los accionistas y comunicaciones con los mismos.

El directorio en pleno debe discutir y acordar la agenda de trabajo. La agenda debe incluir

como mínimo:

1. Una sólida revisión del futuro de la empresa.

2. El rendimiento del CEO y el plan de sucesión.

3. La creación de valor agregado a largo plazo.

4. Estrategia de uso de capital, posibles adquisiciones y fusiones.

5. Revisión del plan integral de gestión de riesgos.

6. Los estándares de rendimiento y el refuerzo de la cultura y los valores de la empresa.

7. Propuestas y preocupaciones de los accionistas.

8. La política de compensación de los ejecutivos.

92
 Los accionistas

En la evolución de los gobiernos corporativos de las empresas, los accionistas han ido

teniendo una relación más compleja con la empresa. Inicialmente, los accionistas podían ser muy

pocos y tenían contacto directo con las operaciones de la empresa. En una corporación moderna

que lista en la bolsa de valores, los accionistas son muchos y pueden ser instituciones o individuos.

En la Bolsa de Valores de Nueva York, el 70% de las transacciones son efectuadas por

inversionistas institucionales. Al poder comprar grandes bloques de acciones, las instituciones

tienen mucho más poder de influencia que los individuos. Hay incluso casos en los que

instituciones, como fondos de inversión o de pensión, adquieren una posición significativa que les

permite llegar a tener participación en el directorio.

Los derechos de los accionistas incluyen el de voto cuando hay decisiones importantes,

como la elección de directores, recibir información financiera y estratégica con cierta periodicidad

y de recibir dividendos cuando así se decida. Uno de los más brillantes ejemplos de comunicación

con los accionistas es la reunión anual del conglomerado Berkshire Hathaway, en la que su

presidente, Warren Buffet, y su vicepresidente, Charlie Munger, presentan su estrategia y dan

oportunidades a los accionistas individuales a hacerles preguntas, en un formato televisivo que es

transmitido en vivo a todo el mundo.

Otras partes interesadas internas son la gerencia, los empleados, los trabajadores y los

sindicatos.

Las partes interesadas externas

Las partes interesadas externas más importantes son los clientes, que pueden ser directos,

como en el sector retail; combinación de directos e indirectos, como en el sector manufacturero; o

93
indirectos, como en la fabricación de productos de consumo. Sin embargo, muchos otros

interesados deben ser tomados en cuenta, como los acreedores, los proveedores, la comunidad, los

reguladores, el auditor externo, los analistas (de acciones, bonos, etc.), los medios de comunicación

y las redes sociales, entre otros.

Los proveedores

Los proveedores son socios estratégicos muy importantes para las empresas. Debido a que

muchas actividades se subcontratan, pueden dar origen a riesgos no previstos, como los que se

revisan más adelante en la sección de riesgo operacional. Por ejemplo, algunos proveedores han

causado serio daño de reputación a empresas que no estaban al tanto de sus malas prácticas

laborales, como se señala en el capítulo de responsabilidad social corporativa.

Los acreedores

Algunos de los principales acreedores de las empresas son las instituciones financieras, que

proveen dinero en forma de deuda, y los proveedores que facilitan las ventas con plazos de pago

que van por lo general de 30 hasta 120 días. Un mal manejo de los acreedores puede desestabilizar

a la empresa y hasta forzarla a su liquidación. En muchos casos de liquidación, los acreedores

acaban dirigiendo la empresa para cobrarse la deuda, hasta su recuperación o liquidación. Otros

acreedores para tomar en cuenta son los proveedores.

La comunidad

Al ser parte de una o varias comunidades, las empresas deben tener en cuenta los intereses y

prioridades de estas, operando ética y responsablemente, cuidando el medio ambiente y no

afectando negativamente a los vecinos. Muchas veces, las comunidades esperan que las empresas

94
contribuyan a sus causas de bien social, para lo que algunas empresas, sobre todo las de extracción

de minerales, tienen asignados funcionarios que las representan con la comunidad.

Las crisis de redes sociales y el riesgo a la reputación

El crecimiento de las redes sociales gracias a los teléfonos móviles y al acceso global y masivo a

las redes ha creado riesgos que requieren de nuevas formas de respuesta, planteando nuevos

problemas y exigiendo una rápida y eficaz capacidad de respuesta.

La crisis de redes sociales puede darse en una empresa o sector por malos

comentarios aparecidos en redes sociales a raíz de un mal servicio o de un

producto defectuoso.

• A principios de 2015, una pizzería tuvo que cerrar temporalmente sus operaciones

en Lima debido a un incidente publicado en redes sociales. Un cliente encontró un

insecto en una pizza que había ordenado y reclamó al restaurante. La respuesta de

los representantes del restaurante no fue del todo satisfactoria para el cliente, por

lo que colocó fotos y quejas en las redes sociales. Los medios de comunicación

tomaron nota y lo publicaron, difundiendo rápidamente el hecho. Los usuarios

protestaron en las redes, enviando mensajes virales y haciendo crecer

exponencialmente su difusión. La noticia llegó a la sede de la empresa en Estados

Unidos. Mientras tanto, los dueños locales de la franquicia no supieron responder

adecuadamente al denunciante. Uno de sus desafortunados comentarios fue que

ellos “son pizzeros, no comunicadores sociales”. El manejo deficiente de esta

95
 crisis terminó en la suspensión de la franquicia. Más de un año después, la

franquicia reabrió sus puertas con una campaña para convencer a los clientes de la

limpieza de sus instalaciones. En su nuevo formato, la pizzería tiene visible la

cocina para que sus clientes puedan ver cómo se preparan los alimentos (Semana

Económica, 2016). Tras un problema de esta magnitud, la transparencia en la

información, el reconocimiento del error y el anuncio de medidas correctivas son

muy importantes.

• En julio de 2016, una estudiante fue acusada injustamente de robar en una joyería

de Carolina del Sur. Ese hecho fue denunciado en las redes sociales, creando una

ola de apoyo en contra de la tienda. Los dueños de la tienda reaccionaron

inicialmente bien, pidiendo disculpas públicas por el hecho, pero después

cometieron el error de no aceptar una falta de su parte y más bien, criticaron a las

redes sociales, borrando su página web y cerrando sus redes sociales.

• En octubre de 2016, British Airways posteó inadvertidamente un anuncio de su

competidor Virgin Atlantic, que incluso tenía un enlace a su sitio web. Este es un

ejemplo de transformación del entorno, en el que un nuevo elemento tecnológico

toma desprevenidos a algunos empresarios que no habían considerado el fuerte

impacto de las partes interesadas en sus decisiones.

Parte esencial del gobierno corporativo es entender los intereses y

necesidades de las partes interesadas respecto a la actividad de la

organización. Hay que tener en cuenta las partes interesadas internas y

96
 externas, haciendo un esfuerzo por entenderlas y respondiendo de manera

oportuna.

Los llamados ‘delitos de cuello blanco’ 32 han sido la razón principal del modelo actual de gobierno

corporativo. Cuando se combinan una desmedida ambición, la falta de valores y el ingenio

humano, cualquier legislación o regulación de gobierno corporativo puede fallar. La mayor

mitigación posible es contar con directores y ejecutivos con altos valores éticos, conocimiento del

sector, uso de la disciplina de gobierno, y tener abiertos canales de comunicación para que las

partes interesadas puedan expresar sus preocupaciones al respecto.

Gracias a la globalización, las buenas prácticas del gobierno corporativo se extienden cada vez

más, haciéndose más estrictas según se avanza. Para comprobarlo, la organización GECN realizó

un estudio detallado de las tendencias globales (GECN, 2018). El reporte muestra una tendencia

inexorable a la expansión de las mejores prácticas de gobierno corporativo en todo el mundo. Ese

movimiento ha sido producto del interés de los inversionistas en salvaguardar su capital y de la

fluidez en que el capital atraviesa fronteras y nuevos mercados.

El análisis de las partes interesadas es una actividad continua que toda

organización debe ejecutar considerando intereses externos e internos,

desarrollando planes de acción y ejecutándolos disciplinadamente.

32
White collar crimes.
97
La responsabilidad social corporativa (RSC)

La responsabilidad social corporativa no siempre fue un tema prioritario para las empresas,

sino que dependía del interés de los propietarios. Incluso, cuando el tema comenzó a tener más

resonancia, grandes académicos, economistas, y algún premio Nobel, se opusieron a que las

corporaciones le dedicaran atención. Sin embargo, factores externos como la globalización, el

movimiento ecologista, el cambio ambiental, y el activismo de los accionistas, han contribuido a

que la responsabilidad social sea una actividad a la que todas las empresas actualmente le deben

prestar mucha atención (Marquina P. V., 2016).

Milton Friedman y la RSC

En la década del 60, un grupo de accionistas, liderados por el activista Ralph Nader, exigió

a General Motors una serie de mejoras a sus productos y servicios que hubieran demandado una

inversión tan grande que la empresa hubiera quedado insolvente. Como respuesta a esas y otras

exigencias, en 1970 el economista Milton Friedman publicó un artículo señalando que la

responsabilidad social de una empresa privada es aumentar las utilidades (Friedman, 1970). Ya

anteriormente Friedman había escrito sobre el tema en su obra Capitalismo y libertad.

Para Friedman, los gerentes de las empresas son libres de usar su dinero y su tiempo libre

en actividades de responsabilidad social. Sin embargo, no deben hacer uso de los recursos de la

empresa para ese fin, porque la empresa no debe dedicarse a la responsabilidad social sino a

maximizar las utilidades dentro del marco de la ley y de la ética. La diferencia para Friedman es

que la responsabilidad social es personal, no corporativa. Una empresa no puede tener

responsabilidades, solo los individuos las tienen. Además, el interés de los accionistas es

generalmente maximizar las utilidades. Como los gerentes son empleados de los accionistas, deben

98
hacer lo que estos últimos les demandan. Friedman afirma que los gerentes estarían cometiendo

un hurto si asignan recursos de la empresa a responsabilidad social sin el consentimiento explícito

de los accionistas. Este tema fue debatido por mucho tiempo, pero en la década de los 90 la

responsabilidad social se volvió una disciplina de gran importancia gracias a la presión de, entre

otros, la Comunidad Europea y las Naciones Unidas. En el camino, las empresas demostraron que,

al tomar en cuenta la responsabilidad social, había beneficios directos para los accionistas como,

por ejemplo, la mejor imagen corporativa, el mejor reclutamiento y retención de talento

profesional, el mejor clima laboral y las mejores relaciones con la comunidad, entre otros.

El enfoque de Archie Carroll – Niveles de RSC

En 1991, el profesor Archie Carroll publicó un artículo académico que es considerado

fundamental para entender el desarrollo y alcance de la responsabilidad social corporativa, o CSR

en inglés (Carroll, 1991). En este reporte, Carroll propone la pirámide de responsabilidad social

de la empresa33 en cuatro niveles: económico, legal, ético y filantrópico. Según Carroll, estos

cuatro niveles siempre han existido, pero es en los últimos tiempos que la parte ética y filantrópica

han despertado mayor interés.

El nivel económico se refiere a que el negocio debe tener como uno de sus objetivos lograr

una rentabilidad igual o mayor a la esperada. En el nivel legal, se debe respetar cabalmente lo que

la sociedad ha definido como bueno y malo en la ley y las regulaciones. En cuanto al aspecto ético,

se trata de actuar con justicia, haciendo lo correcto y evitando hacer daño a los demás. Por último,

la filantropía es la contribución a la comunidad y la mejora en la calidad de vida de las personas

33
The pyramid of corporate social responsibility.
99
que rodean a la empresa. La idea de la pirámide no supone que primero el enfoque sea económico

y después los demás, sino que los cuatro niveles deben ser constantemente atendidos con gran

interés y dedicación de la empresa. Para resumir su propuesta, Carroll señala que, en forma

pragmática y gerencial, la empresa con responsabilidad social corporativa debe “reportar

utilidades financieras, cumplir con la ley, ser ética y buena ciudadana corporativa” (Carroll,

1991, p. 43).

El concepto de responsabilidad social se alinea muy bien con el concepto de stakeholder.

Carroll propone usar el análisis de los stakeholders como una forma de hacer más concreto el

término ‘social’ de CSR, poniendo nombre y apellido a las partes interesadas y a los planes de

acción necesarios (Carroll, 1991). Asimismo, Carroll validó y difundió académicamente el

concepto de responsabilidad social corporativa, proveyendo la base intelectual para que esta se

establezca como una práctica cada vez más difundida.

Las ideas del profesor Carroll fueron finalmente validadas el 19 de agosto de 2019 por la

comunidad empresarial de Estados Unidos, en una conferencia del Business Roundtable con un

comunicado y con las declaraciones del CEO del banco J.P. Morgan, Jamie Dimon, en las que

manifestaban que el propósito de las empresas ya no es solamente el interés de los accionistas,

sino también el interés de los stakeholders34. Con estas declaraciones, las empresas más poderosas

expresaron su desacuerdo con las ideas de Milton Friedman respecto a la responsabilidad social

corporativa.

34
https://www.businessroundtable.org/business-roundtable-redefines-the-purpose-of-a-corporation-to-promote-an-
economy-that-serves-all-americans

100
Gestión sostenible

Los gobiernos corporativos deben tener una visión amplia de la gestión sostenible, que

considere a todas las partes interesadas, y que ejecute acciones para la armonía con su entorno.

Algunos de los principales aspectos a considerar incluyen los siguientes:

• Gestión ambiental y cambio climático.

• Relaciones laborables sostenibles.

• Oferta responsable de productos y servicios.

• Comunicación interna y externa.

En la categoría del ambiente, la preocupación de la actividad empresarial se centra en la

generación de residuos nocivos, el gasto excesivo de energía, la falta de conservación de los

recursos naturales y la emisión de residuos al medio ambiente. Esos factores tienen serias

consecuencias para el medio ambiente, como por ejemplo el cambio climático, la destrucción de

la biodiversidad en general y la sostenibilidad del hábitat a largo plazo. Las guías ISO 14000 de

2015, enfocadas en gestión ambiental, junto con las ISO 26000, de responsabilidad social

corporativa, proveen una gran cantidad de normas que las empresas pueden adaptar para mejorar

su gestión ambiental, evaluando su huella ambiental, el impacto ecológico de sus productos y

servicios, y mejorando su comunicación interna y externa. La responsabilidad social abarca

también los derechos humanos, la diversidad e inclusión, la protección del consumidor y los

derechos de los animales.

Un tema de sostenibilidad muy importante es el de las relaciones laborales. Muchas

empresas han sido acusadas en diversas oportunidades de abusar de los trabajadores desde los

inicios de la revolución industrial. Esas acusaciones fueron descritas desde hace mucho tiempo en

101
novelas como las de Charles Dickens, en libros de economía política como los de Carlos Marx y

en películas como las de Chaplin. Con el paso del tiempo, las condiciones de trabajo a nivel

mundial han ido mejorando, pero aún queda mucho por hacer. La Organización Internacional del

Trabajo (OIT), los reguladores nacionales del trabajo y otras organizaciones contribuyen al balance

entre los derechos de las empresas y los de los trabajadores.

El tema de las relaciones laborales ha estado agravado por los efectos de la pandemia

COVID-19 y el desarrollo del teletrabajo. Al presentarse la pandemia, las empresas desarrollaron

soluciones para el trabajo remoto, pero en muchos casos se esperaba que los empleados tuvieran

respuesta inmediata a los requerimientos de la organización en cualquier momento del día o de la

noche. Debido a que ese exceso de requerimientos creó una sobrecarga laboral, en algunos países

se emitieron regulaciones de derecho a la desconexión digital. Las buenas prácticas recomiendan

que exista un entendimiento entre la empresa y las personas que acceden al teletrabajo, para evitar

conflictos innecesarios. La gestión por objetivos y no por horas, y la confianza entre las partes son

elementos que contribuyen a una mejor gestión del teletrabajo (Fasecolda, 2020).

La oferta de productos y servicios debe considerar el impacto de estos en la sociedad y el

ambiente. Algunos ejemplos históricos de productos dañinos a la salud de los consumidores son

el de la industria del tabaco, las bebidas alcohólicas, las bebidas azucaradas y los alimentos que

sirven los restaurantes de comida rápida. El uso del asbesto, la emisión de gases nocivos, el plomo

y los productos radioactivos son otros ejemplos de productos peligrosos. Las empresas deben

entender a profundidad el impacto de su oferta en los clientes y en el entorno.

Por otro lado, muchas empresas buscan implementar una filosofía sostenible, y algunas lo

hacen con gran éxito. Por ejemplo, el banco Triodos es conocido por ser el más sostenible, aunque

102
solo opera en cinco países europeos (Triodos.com). Si bien opera como cualquier otro banco, tiene

como enfoque financiar a empresas que agregan valor sostenible. Los ahorristas pueden destinar

sus fondos a inversiones en granjas orgánicas, empresas con orientación social o energía renovable.

Otro ejemplo famoso es el del empresario de origen turco Hamdi Ulukaya, que adquirió una fábrica

de yogurt en el estado de Nueva York cuando estaba por ser liquidada, y, sin previa experiencia

gerencial, consiguió convertirla en un modelo de buenas relaciones con los trabajadores, la

comunidad y el ambiente. A esta actitud gerencial de buscar la armonía entre las partes interesadas

la llamó ‘anti-CEO’ por no seguir la costumbre de reducción de costos indiscriminada

(https://www.ted.com/talks/hamdi_ulukaya_the_anti_ceo_playbook?language=es).

Ejemplos de fallas en gestión sostenible

Algunos ejemplos de los mayores casos de faltas corporativas de sostenibilidad y cuidado por el

ambiente son los siguientes:

El caso de derrame de petróleo en Deepwater Horizon (2010)

En abril de 2010, el incendio y posterior hundimiento de una plataforma petrolera de aguas

profundas en el golfo de México dio lugar al mayor derrame de petróleo en Estados Unidos, con

un estimado de casi 5 millones de barriles. Si bien la propietaria de la plataforma era la empresa

Transocean, la operadora era British Petroleum (BP). Debido a faltas graves de seguridad reveladas

después del incendio, BP fue declarada culpable junto a Transocean de negligencia injustificable

y obligada a pagar varios miles de millones de dólares por la falta. En este caso, un afán excesivo

de reducir los costos de operación para aumentar la rentabilidad de la empresa originó este desastre

ecológico.

103
Un ejemplo de malas relaciones con los empleados es el de la empresa de venta de artículos

deportivos Sports Direct.

El caso Sports Direct y el maltrato a los trabajadores (2016)

Un caso de destrucción del valor de la empresa por mal trato a sus trabajadores es de la

empresa Sports Direct, en Reino Unido. Después de muchas protestas y acciones legales por quejas

de los trabajadores, en agosto de 2016 la empresa reconoció sus errores y fue obligada a pagar sus

deudas a los trabajadores más una multa de un millón de libras esterlinas. En investigaciones de

las prácticas laborales de la empresa se habían encontrado fábricas que tenían condiciones

similares a las del siglo XIX. Debido a los excesos en el mal trato a sus trabajadores, la reputación

de la empresa ha afectado el precio de la acción, cayendo un 70% entre 2014 y 2016.

Cuando no se respetan las partes interesadas y se maltrata alguna de ellas, todos acaban

perdiendo, la empresa por las acusaciones y los perjudicados por el mal servicio o producto. Un

reporte de Hermes Investment (Hermes, 2016), empresa líder en desarrollo sostenible, prueba que

las empresas con mejores sistemas de sostenibilidad (Environmental, Social and Governance,

ESG) tienen mejores resultados que las que descuidan ese tema. Separando los tres componentes,

el mayor impacto en los resultados se da gracias al mejor gobierno corporativo. El ambiente y la

responsabilidad social también ayudan a las empresas, pero el efecto no es tan notorio.

Sin embargo, el estudio de Hermes también revela que, cuando las condiciones económicas

son más difíciles, los inversionistas no ponen tanto énfasis en la responsabilidad social y el

ambiente. Otra medición realizada por el profesor Alex Edmans revela que las empresas listadas

entre las mejores compañías para trabajar en Estados Unidos rindieron en promedio 2.1% más que

el promedio de todas las industrias (Edmans, 2008).

104
 En cuanto a los inversionistas, la tendencia es a darle mayor importancia a la sostenibilidad.

Algunos grupos inversionistas ponen como condición no invertir en industrias que consideran poco

sostenibles como el tabaco o el petróleo. Además, los reguladores tienden a reforzar la necesidad

de proteger el ambiente para reducir el riesgo de desastres naturales derivados de empresas que

generan polución sin preocuparse por el daño a largo plazo.

Por el lado de las ventas, estudios académicos han demostrado que los consumidores

prefieren comprar a empresas socialmente responsables. Por ejemplo, en Bogotá se comprobó que

los fabricantes de cierto tipo de calzado que tenían “compromiso con el medio ambiente, buen

trato a los trabajadores, apoyo a programas de lucha contra la pobreza, calidad en los productos

e innovación tecnológica” mejoraban su probabilidad de venta y los consumidores estaban

dispuestos a pagar más por el mismo producto (Marquina P. , 2012).

El caso Uber (2017)

Uno de los emprendimientos más exitosos del siglo XXI, la empresa Uber, ha tenido

muchos problemas reputacionales en su corta historia. Uno de los mayores problemas fue una

denuncia por prácticas constantes de acoso sexual. La denuncia fue investigada por un equipo a

cargo del fiscal general de los Estados Unidos, Erik Holder, y determinó que la cultura de la

empresa denigraba a las mujeres, promovía el acoso y otras malas prácticas con sus trabajadores.

Debido a esa denuncia e investigación, el fundador y CEO de la empresa se vio obligado a

renunciar y la empresa tuvo que adaptar una serie de recomendaciones del fiscal general, que

incluyen reformular o eliminar prácticas corporativas negativas. Entre otras recomendaciones, el

reporte requiere que Uber implemente entrenamiento en protección ante el acoso sexual, mejor

control de las quejas de los empleados y muchas otras medidas que son totalmente comunes en

105
empresas más maduras. También sugiere un cambio en la expresión de los valores de la empresa

y una mejora en el comportamiento colaborativo.

Propuestas de Gestión sostenible

El Sistema B

El Sistema B o B Corps es un movimiento global nacido en Estados Unidos, que busca

crear una alianza de empresas con valores, ética, comprometidas con el cuidado del ambiente y

que son socialmente responsables (B, 2020). Las empresas que se adhieren suscriben los principios

del Sistema B, que incluyen tener un propósito de apoyo a la sociedad y al medio ambiente, adecuar

sus estatutos con ese fin, medir el impacto de su gestión ambiental, y firmar un acuerdo de

interdependencia. Para ser parte del movimiento, las empresas tienen que pasar una certificación

cada dos años, en la que se evalúa su nivel de compromiso con los valores estipulados. Al ser

miembros de la alianza, pueden tener el beneficio de intercambiar bienes, servicios y experiencias,

con las demás empresas de la red. Cuentan con el apoyo del Banco de Desarrollo de América

Latina.

El capitalismo consciente

El capitalismo consciente es una propuesta del profesor Raj Sisodia para ayudar a las

empresas a “elevar la humanidad por medio de los negocios” (Conscious Capitalism, Inc., 2020).

Su propuesta está basada en cuatro principios: tener un propósito superior, el liderazgo

participativo y consciente, el fomento de los valores de la responsabilidad e integridad, y la

integración con todas las partes interesadas (Maubert Roura, 2019). El medio para lograr sus

106
objetivos incluye la creación de redes empresariales que deseen adaptar los principios, generar

experiencias y promover el diálogo sobre este tema.

La responsabilidad social corporativa es un componente fundamental del

gobierno corporativo. Requiere el análisis continuo de las partes interesadas y

la ejecución de planes de respuesta a sus necesidades.

La inversión socialmente responsable y el activismo de los accionistas

En los últimos 50 años, los movimientos de accionistas por causas religiosas, sociales,

ambientales, o de otro tipo, han tenido un impacto muy significativo en el gobierno y estrategia

corporativos. Los accionistas han influido en estos aspectos por medio de dos vías: el activismo

en las votaciones de accionistas y la inversión en empresas socialmente responsables (Glac, 2010).

Para tener resonancia como grupo accionista es necesario conseguir votos suficientes o convencer

a una cantidad suficiente de accionistas. Revisando la historia del activismo en votaciones, hay

algunos ejemplos que merecen mención:

• En 1966, el activista comunitario Saúl Alinsky convenció a 39,000 accionistas de la

empresa Kodak para votar por la contratación de más empleados de grupos minoritarios en

la empresa.

• En 1968, un grupo de médicos activistas lograron detener la producción de napalm, usado

en la guerra de Vietnam, a cargo de la empresa Dow Chemical. Para este logro, se tuvo que

apelar al poder judicial, pues inicialmente el regulador bursátil no admitió el proceso de

votación de apoderados, también llamado proxy.

107
 • En 1970, el activista Ralph Nader lideró un grupo de abogados que propuso mejorar la

responsabilidad social de General Motors, incluyendo en su directorio representantes de

los consumidores, de los empleados, de los distribuidores, y creando un comité de

responsabilidad social. Aunque la moción no fue aprobada, generó una gran controversia

y aumentó el conocimiento de este tema en el público.

• En los años 90, la empresa de artículos deportivos Nike fue objeto de serias críticas porque

algunos de sus proveedores en países como Camboya y Pakistán empleaban menores de

edad para el trabajo de manufactura de pelotas. Estos menores trabajaban en muy malas

condiciones, siete días a la semana, 16 horas por día y con salarios eran extremadamente

bajos. Los medios de comunicación y activistas de derechos humanos protestaron ante este

esquema y Nike tuvo que modificar sus prácticas de contratación.

Más recientemente, uno de los grupos de accionistas más activos son los fondos de

cobertura (hedge funds), como el Pershing Square Capital, de Bill Ackman, que sostiene que la

empresa Herbalife es un esquema piramidal. Su activismo lo ha mostrado mediante la compra y

venta de opciones derivadas de Herbalife, aun cuando los jueces ya revisaron el caso y no están de

acuerdo. Una de las más importantes organizaciones dedicadas a promover el activismo en las

corporaciones es el ICCR35, una organización que agrupa a más de 200 grupos religiosos, que se

enfoca en problemas como el calentamiento global, los derechos humanos y otros aspectos de

responsabilidad social. En la década del 80, el ICCR lideró una gran campaña activista para dejar

de invertir en Sudáfrica, en protesta por el apartheid. Actualmente tiene como prioridades la

35
Interfaith Center on Corporate Responsibility.
108
compensación ejecutiva, las contribuciones a partidos políticos, el calentamiento global y el

control de armas.

La inversión sostenible se puede hacer de manera directa o indirecta. En las inversiones

directas los fondos van a las empresas sostenibles, mientras que las inversiones indirectas pueden

ir a fondos cotizados en bolsa, a portafolios de capital de riesgo, o a bonos verdes. Para los

inversionistas en los mercados financieros existen varios índices que muestran el grado de avance

en temas de sostenibilidad de las empresas. Cada índice tiene componentes y métodos distintos,

algunos miden el riesgo de sufrir multas, otros han identificado los temas más importantes, pero

se está preparando un criterio común para que no haya distorsión en las medidas. Los índices ESG

se pueden clasificar en cuatro grupos (Nason, 2020):

• Instituciones que trabajan en el desarrollo de estándares como el Sustainability

Accounting Standards Board (SASB) y el Global Reporting Initiative (GRI).

• Agencias de calificación de riesgo, como Sustainanalytics, Thomsonreuters/Asset4,

MSCI ESG y Vigeo Eiris.

• Agregadores de datos como Bloomberg y Morningstar.

• Proveedores especializados de datos como Trucost, Reprisk, TruValue Labs y CDP.

Movimientos internacionales de apoyo a la RSC

El movimiento por la responsabilidad social corporativa es impulsado por varias

organizaciones internacionales. Entre ellas, están las siguientes:

• El Pacto Global o Pacto Mundial de las Naciones Unidas, con principios de derechos

humanos, laborales, del medio ambiente y anticorrupción

(https://www.pactomundial.org).

109
• Global Sustainable Investment Alliance, una organización que promueve las inversiones

sostenibles (http://www.gsi-alliance.org/).

• Global Reporting Initiative (https://www.globalreporting.org), que provee estándares y

herramientas de reporte.

• Accountability 1000 (https://www.accountability.org).

• SA 8000 (https://sa-intl.org/programs/sa8000).

• SGE21 (https://foretica.org/sge21).

En las bolsas de valores existen índices de sostenibilidad para fomentar la

inversión socialmente responsable. Algunos de los índices más conocidos son:

• El MSCI KLD 400 Social Index.

• El Calvert Social Index.

• La familia de índices Dow Jones Sustainability Indices (DJSI).

La responsabilidad social corporativa es un componente esencial del gobierno

corporativo, y requiere un análisis continuo de las partes interesadas y del

entorno, la identificación de brechas, la ejecución de los planes, y el

monitoreo y retroalimentación de estos.

110
 La gestión de riesgo

La gestión de riesgo, ejecutada consciente o inconscientemente, es parte esencial de la vida.

Todos los seres vivientes estamos sujetos a riesgos desde que nacemos hasta que morimos. Desde

muy pequeños aprendemos a identificarlos, mitigarlos, evitarlos, compartirlos o aceptarlos. De la

misma manera, las empresas se enfrentan en todo momento a una gran variedad de riesgos. Tal

vez debido a la experiencia personal que todas las personas tienen en temas de riesgo, los directivos

de las empresas toman la gestión de riesgo como algo casi intuitivo en muchos casos. Sin embargo,

el riesgo también se debe gestionar analíticamente. Toma más tiempo y esfuerzo, pero es necesario

aplicar los métodos de la gestión de riesgo para poder cumplir con los objetivos de las

organizaciones en los tiempos actuales.

La gestión profesional de riesgo está aún en su infancia. La contabilidad se comenzó a

desarrollar, como la conocemos hoy, en la Edad Media; las finanzas, a fines del siglo XIX; la

posición de Chief Financial Officer existe desde 1960; el marketing se práctica desde mediados

del siglo XX, y para ello existe el Chief Marketing Officer, así como el Chief Operations Officer.

Recién en 1993 una empresa nombró por primera vez un Chief Risk Officer, responsable por la

gestión integral del riesgo de una empresa. Esa primera empresa fue GE Capital y el primer Chief

Risk Officer fue James Lam (Lam, jameslam.com, 2020).

Así como las personas, todas las organizaciones pueden ser más o menos propensas al

riesgo y esa propensión varía con el tiempo. Por lo tanto, es importante identificar los riesgos y

entender sus niveles de probabilidad e impacto para poder tomar decisiones congruentes con el

perfil de riesgo organizacional. El perfil de riesgo de cada organización debe ser conscientemente

determinado y discutido. No se trata de evitar la toma de riesgos, sino de hacerlo de manera

111
inteligente. Asimismo, es necesario decidir el plan de acción para mitigar y controlar los riesgos

que se asuma, es decir, saber gestionarlos adecuadamente. La estructura de gobierno corporativo

debe facilitar ese proceso, y para ello existen múltiples herramientas y estándares disponibles.

Hasta la década de los 90 la gestión de riesgo tenía una visión muy limitada, consistía en

medir probabilidad de riesgos y estimar pérdidas probables. En los últimos años se ha ido

incorporando otros factores de análisis, como los sociales, económicos, políticos, de

comportamiento humano y consecuentemente los psicológicos (Kunreuther, 2019). Por ejemplo,

frente a un mismo riesgo, las empresas suelen tomar decisiones distintas, reflejando muchas veces

sus distintos apetitos de riesgo. El apetito de riesgo es un factor psicológico y de comportamiento,

del que se desprende el plan de gestión de riesgo.

Además de los factores psicológicos, hay que considerar que el mundo actual tiene un

mayor componente de bienes y servicios intangibles, en comparación con tiempos pasados. El

software ha pasado a tener una presencia casi universal en las actividades humanas. En el mundo

tangible aplican leyes físicas de acción y reacción. En el mundo intangible estas leyes físicas no

son tan visibles, se pueden entender como intercambio químico (activación de neurotransmisores

en forma de emociones) o un intercambio electrónico en el software. La gestión de riesgo en el

mundo intangible es aún incipiente.

El riesgo

La palabra ‘riesgo’ tiene raíz árabe en la palabra rizq (‫( )رزق‬Bencheikh, 2004), que

significa “lo que depara la providencia”; o, ‘albur’, “un elemento desconocido que se presenta con

posibilidades buenas o malas”. Tiene una asociación con las palabras raíz y risco, en el sentido de

ser un obstáculo para la navegación. Del árabe pasó al griego y de ahí al latín, con la palabra

112
risicum, que significa aventurarse a un camino peligroso. Podemos hacer la analogía entre una

organización moderna y una nave en el imaginario griego: la nave sale al mar abierto en búsqueda

de oportunidades y está expuesta a encallar en un risco; de la misma manera, la organización

moderna busca hacer negocios y está expuesta a muchos riesgos en el camino. Es necesario mirar

adelante en la ruta de la empresa y si hay riesgos, evitarlos. El riesgo, o mejor, el estudio y análisis

de los riegos, la gestión de riesgo, busca por lo tanto prever situaciones futuras. En el pasado,

mucha actividad de gestión de riesgo se basaba en el uso de datos históricos para predecir el futuro.

Actualmente, se busca crear escenarios, y no usar el pasado como la única dirección y referencia

al futuro.

Por otro lado, avistar un risco o un peñasco puede abrir un nuevo camino en altamar, un

camino favorable al barco. Para la organización moderna, el riesgo puede ser potencialmente

positivo si se analizan los posibles escenarios futuros y, como consecuencia, se identifican buenas

oportunidades. Ese concepto positivo de riesgo ha sido adaptado por los actuales estándares

internacionales de gestión de riesgo. Por ejemplo, hay empresas que tuvieron el riesgo de

desaparecer si no se adecuaban al cambio tecnológico, pero lograron salir adelante al desarrollarse

en ese ámbito o enfocarse en productos nuevos.

Los estándares internacionales definen los riesgos como eventos que impiden el logro de

los objetivos de las organizaciones. El fin de la gestión de riesgo es que se cumplan los objetivos.

Por lo tanto, el primer paso en una gestión de riesgo es entender los objetivos de la organización.

Para las empresas con fines de lucro, por ejemplo, los objetivos principales son lograr una

rentabilidad sostenida mayor al costo de oportunidad de sus accionistas, y tomar en cuenta los

intereses de las partes interesadas. Para el sector gobierno, el objetivo puede ser brindar un servicio

113
de calidad a costo razonable. Para las empresas sin fines de lucro los objetivos dependen de la

razón de ser de la empresa.

¿Por qué se presenta la sensación de riesgo en los seres humanos? Investigadores de la

Universidad de Cambrige han logrado identificar una hormona que es emitida por la glándula

suprarrenal como la causante de la percepción del riesgo (Kandasamy et al, 2014). Esta hormona

se llama cortisol, y su flujo aumenta cuando existen situaciones de incertidumbre, novedad, o falta

de control. Al aumentar, respondemos tratando de reducir la exposición al riesgo, aunque ello no

siempre se logra. El estudio revela que, por ejemplo, durante la crisis financiera de 2008, los

traders de las casas de bolsa estuvieron sujetos a un alto nivel de estrés, subiendo su nivel de

cortisol, lo que, contraproducentemente, les motivó a vender los activos financieros de manera

precipitada, agravando la crisis aún más por el pánico generado.

El riesgo es entendido organizacionalmente como la exposición a no lograr

los objetivos de la organización. La gestión de riesgo busca reducir esa

exposición.

El riesgo inherente y el riesgo residual

Una manera de evaluar la gestión de riesgo es midiendo cuánto se logra reducir el posible

daño gracias al trabajo de control y mitigación. Dos conceptos que ayudan a entender esa medición

son el riesgo inherente y el riesgo residual. El ‘riesgo inherente’ es el riesgo intrínseco de una

actividad o empresa, es decir, el riesgo existente por la naturaleza de la actividad de la empresa,

que se puede mitigar mediante un trabajo de gestión de riesgo.

114
 Por ejemplo, un riesgo inherente en las compañías de aviación es que los aviones tengan

un accidente aéreo. El accidente puede ser originado por múltiples causas, como un problema en

las computadoras del avión, mal tiempo, choque con otro avión, errores de la torre de control, etc.

Muchos de esos riesgos inherentes se pueden mitigar con buenos procesos de seguridad

aeronáutica, como excelente mantenimiento, experiencia y entrenamiento de los pilotos,

dispositivos GPS y otros. Esos controles permiten minimizar el riesgo para dejarlo en un nivel que

la empresa, los pasajeros, los reguladores y los gobiernos consideren aceptable. Sin embargo,

siempre quedará algo de riesgo, pese a todo el trabajo de mitigación que se pueda hacer. Ese riesgo

remanente es el llamado ‘riesgo residual’, y es el que la empresa acepta consciente o

inconscientemente.

El riesgo residual, entonces, es el que no se puede planificar o evitar, el que permanece

después de haber implementado una gestión de riesgo. Un riesgo residual en el ejemplo anterior

sería que en algún momento funcionen mal todos los sistemas del avión, incluso los de back-up, o

que, pese a que el reporte del tiempo sea favorable al momento de despegar, se presente una

tormenta intempestiva en alguna parte de la ruta. Evitar totalmente el riesgo residual es casi

imposible, y, de poderse hacer, costaría tanto que haría inviable la empresa desde el punto de vista
115
económico. Dado que la probabilidad de que se presente un riesgo extremo, como una tormenta

intempestiva, es tan baja, se acepta como parte de la realidad.

En el sector financiero, los bancos mitigan el riesgo inherente de incumplimiento en los

créditos, evaluando diligentemente a quién y cómo son otorgados, pero siempre les queda el riesgo

residual de que un deudor decida arbitrariamente no pagar un crédito tomado. Cuando se hace un

trabajo deficiente de gestión del riesgo inherente, como sucedió en la crisis financiera global de

2008, el riesgo residual aumenta y con ello la probabilidad de pérdidas.

Algunos expertos definen el peligro como la condición que puede causar un problema, y

el riesgo como la combinación de la probabilidad por la consecuencia de no mitigar el peligro. Así,

por ejemplo, el piso resbaloso es el peligro y el riesgo es bajo porque normalmente la gente no se

cae en el piso resbaloso. En ese caso, peligro (piso resbaloso) es la causa que ocasiona un evento

(caerse en el piso) que tiene una consecuencia (accidentarse). La consecuencia, caerse, puede tener

un costo muy alto, pero si la probabilidad es muy baja, al multiplicar costo por probabilidad, el

impacto esperado no es tan alto. Pero este, a su vez, puede reducirse si se trata el piso resbaloso

con antideslizantes.

Otros expertos hablan de riesgo e incertidumbre para diferenciar entre riesgos cuantitativos

y cualitativos. En los riesgos se puede estimar matemáticamente la probabilidad de ocurrencia y

sus consecuencias, pero en situaciones de incertidumbre no es posible ese cálculo, teniendo que

recurrirse a un estimado subjetivo de posibilidades (Stewart, 2020).

116
 Riesgo inherente es el que existe naturalmente por las actividades de la

empresa. Riesgo residual es que queda después de implementar los controles,

que requieren una inversión de tiempo, energía, y/o dinero.

Definición de gestión de riesgo

Según el ISO 31000, guía para la gestión de riesgos, riesgo es el efecto de la incertidumbre

en la habilidad de una organización de lograr sus objetivos (ISO, 2009). La gestión de riesgo es el

conjunto de actividades que la organización realiza para entender y reducir los efectos de esa

incertidumbre. Y una gestión efectiva de riesgo es ejecutar eficientemente estas actividades,

mejorando la posibilidad de la organización de cumplir sus objetivos, y hacerlo de una manera que

pueda ser replicable. Cuando se define la gestión de riesgo, normalmente se dice que es el proceso

de identificar, analizar, mitigar y controlar los riesgos para el logro de los objetivos. Sin embargo,

esa es una descripción del proceso de gestión de riesgo, no una definición de su esencia. Una

definición menos procesal y más orientada a su esencia es:

La gestión de riesgo es la ciencia y el arte de identificar, medir, y minimizar

consciente y diligentemente los riesgos de la organización, priorizando y

controlando inteligentemente los riesgos inherentes hasta dejarlos en un nivel

de riesgo residual que sean aceptables a la organización.

117
El riesgo, ciencia y arte

La gestión de riesgo tiene mucho de ciencia, porque tradicionalmente se asocia al análisis

cuantitativo. La gente que trabaja en gestión de riesgo suele tener un perfil muy orientado a la

estadística, las ciencias actuariales y la economía. Exige conocimiento del cálculo de

probabilidades, cálculo de impacto económico, estadísticas y muchas otras herramientas

actuariales, matemáticas y financieras. Además, los riesgos tienen un componente psicológico y

de comportamiento humano. Pero la gestión de riesgo también es un arte, porque la comunicación

de los riesgos a las partes interesadas requiere habilidades de imaginación, estética y hasta oratoria.

Muchas veces se prioriza la parte científica en la gestión de riesgos, pero sin la parte artística el

mensaje pierde mucha fuerza y se puede volver ininteligible para muchas personas.

Todo el trabajo cuantitativo de riesgo puede perder su impacto sin el arte de la

comunicación y persuasión. La gestión inteligente requiere que los gestores de riesgo presten

mucha atención a los riesgos y puedan desarrollar mapas de influencia entre los factores

desencadenantes de riesgo, medidas de mitigación apropiadas para el nivel de riesgo,

comunicación de los riesgos y un control preciso de los mismos. Ese es un trabajo que no puede

ser rutinario o burocrático, porque exige un gran esfuerzo mental y comunicacional. Exige de los

gerentes y analistas de riesgo un cierto nivel (saludable) de paranoia, de pensar qué puede salir

mal, trazar escenarios y predecir qué evento inesperado puede alterar el resultado esperado.

Para una adecuada gestión de riesgo se requiere de la ciencia y el arte, uno

sin el otro es poco efectivo.

118
Tipos de riesgos

Riesgos conocidos y desconocidos

Los riesgos se pueden clasificar en conocidos y desconocidos. Conocidos son los que

están identificados por la organización. Y desconocidos los que aún no han sido formalmente

reconocidos en el proceso de gestión de riesgo. Adicionalmente, las consecuencias de los riesgos

pueden ser conocidas o desconocidas. Por lo tanto, existen cuatro tipos de riesgo según el

conocimiento y sus consecuencias. El valor agregado que ofrece la gestión de riesgo no debe

limitarse a identificar y gestionar riesgos conocidos con consecuencias conocidas, sino que debe

expandirse a los riesgos desconocidos y a las consecuencias desconocidas. De otra manera la

gestión de riesgo sería una disciplina dedicada a actividades rutinarias y cumplidoras de

procesos, no a lo que debe ser, una guía que le permita a la organización evitar sorpresas y

cumplir con sus objetivos.

Riesgos conocidos con consecuencias conocidas

La mayor cantidad de riesgos analizados por las organizaciones son riesgos conocidos

con consecuencias conocidas. Por ejemplo, una entidad financiera tiene el riesgo de impago de

los deudores, y se sabe que, de no pagar los deudores, se necesitan mayores provisiones o

declarar pérdida total el crédito. Las regulaciones se suelen enfocar en este tipo de riesgos, pues

han sido creadas para evitar que se repitan riesgos que ya se dieron en el pasado. Gran parte del

análisis cuantitativo en gestión de riesgo se hace usando datos históricos y proyectándolos al

futuro. Esa práctica es análoga a conducir un auto mirando al espejo retrovisor: en una pista sin

curvas, se puede avanzar; pero, si aparece una curva en el camino, no se podrá seguir

prediciendo bien el camino a seguir.

119
 Riesgos conocidos con consecuencias desconocidas

En ciertos casos, los riesgos ya han sido determinados, pero no se logra ver las

consecuencias. Por ejemplo, las pandemias han sido predichas por muchos expertos desde hace

mucho tiempo, y se presentan en distintas zonas geográficas, pero, dependiendo de la naturaleza

de cada pandemia, las consecuencias pueden ser muy distintas y de gran amplitud. Los expertos

recomiendan invertir para eliminar su propagación al inicio de su descubrimiento, pues, cuanto

más tiempo transcurre, la propagación es exponencial (Norman, 2020). Hay pandemias que se

pueden controlar rápidamente, pero otras no. Algunas tienen un impacto económico menor, pero

otras producen una crisis sistémica. Los virus crean mutaciones que agravan las pandemias, pero

si no se prevén sus consecuencias, las organizaciones se ven impactadas por la sorpresa.

Riesgos desconocidos con consecuencias conocidas

Un ejemplo de riesgos desconocidos con consecuencias conocidas son los comentarios

negativos en las redes sociales, los cuales pueden afectar la reputación de una organización. Pese

a que se sabe cuáles son sus consecuencias, pues ocasionan un problema reputacional, es difícil

identificar la forma y fuente que originan la propagación de la mala reputación. El origen y la

difusión de esos comentarios es muy diverso, y puede cambiar según aparecen nuevas

aplicaciones tecnológicas. En los primeros casos reputacionales de redes sociales, las empresas

no sabían cómo manejar las crisis, y muchas cometieron grandes errores por la falta de

experiencia en el tema.

Riesgos desconocidos con consecuencias desconocidas

En esta categoría están los riesgos que aparecerán en el futuro y cuyas consecuencias aún

no se conocen. Son los más difíciles de predecir y los que más sorprenden a las empresas.

120
Algunos, utilizando una ya conocida metáfora, denominan a este tipo de riesgos ‘cisnes negros’,

porque son muy poco comunes y de aparición imprevisible. En algunas ocasiones, pueden ser

detectados por algunos integrantes de la organización, pero, si no existe un buen mecanismo de

comunicación interna, pueden ser ignorados. Un ejemplo conocido es el del ataque terrorista a

las torres gemelas en Nueva York, en 2001. Previamente había habido amenazas de ataques, y

algunos expertos en seguridad alertaron de posibles ataques, pero estos fueron ignorados por los

responsables de seguridad. De manera similar, el ataque a Pearl Harbor, en 1941, pudo haber

sido mitigado si se hubiera prestado más atención al general William Mitchell, que lanzó la voz

de alerta.

Algunas organizaciones implementan la gestión de riesgo como una obligación

regulatoria y no como una actividad que aporte valor. En ese caso, tratan de cumplir con las

exigencias de las autoridades de una manera rutinaria, siguen las guías regulatorias sin mucha

creatividad o innovación. Se ocupan mayormente de riesgos conocidos con consecuencias

conocidas. No aportan valor agregado a la organización, solo ordenan lo que ya se sabe. Pero las

organizaciones deben mirar más allá de lo regulatorio y explorar los riesgos y las consecuencias

desconocidos. Solo así se puede lograr el fin para el que existe la gestión de riesgo.

Hay riesgos conocidos y desconocidos; ambas categorías tienen

consecuencias conocidas y desconocidas. La gestión de riesgo agrega mayor

valor cuando se anticipa a lo desconocido.

121
Riesgos cuantitativos y cualitativos

La medición del riesgo sería mucho más exacta si todos los riesgos fueran cuantificables.

Los riesgos cuantitativos son los que tienen un costo económico estimable y en los que se puede

calcular la probabilidad de ocurrencia. Mucha de la cuantificación de riesgos se hace usando datos

históricos. Los datos históricos pueden ser usados para proyectar escenarios, usando simulaciones

como la de Montecarlo. Sin embargo, hay muchos riesgos que presentan una gran dificultad para

ser medidos, son los llamados riesgos cualitativos. En estos, por el contrario, no se puede calcular

fácilmente el costo o la probabilidad.

Hay además otro tipo de riesgos que solo se pueden medir parcialmente. Por ejemplo, el

riesgo de mala reputación es difícil de medir, pues depende de la reacción psicológica de la gente

y de la gravedad del hecho que originó la mala reputación. El rango de las consecuencias de la

mala reputación puede ir desde el extremo menos grave, de ser un hecho sin trascendencia, hasta

el extremo más grave, de obligar al cierre de la empresa y hasta el encarcelamiento de los

responsables de esta.

En la gestión del riesgo se debe incluir el análisis de todo tipo de riesgos relevantes, sin

importar si sus probabilidades de ocurrencia son medibles o no. Para identificar los riesgos, ISO

31010 propone muchas técnicas, entre las cuales las más usadas son: la tormenta de ideas; las

entrevistas a profundidad; las listas de riesgos; la técnica swift, que se basa en preguntar “qué

pasaría si”; el análisis de escenarios; los árboles de error; los diagramas de riesgo; la observación

directa; el análisis de incidentes o las encuestas (ISO, 2009). En cuanto a la priorización de riesgos,

todos deben compararse entre sí, usando técnicas de estimación de probabilidades e impacto,

incluso con los menos fáciles de medir.

122
 Algunos riesgos se pueden cuantificar fácilmente, pero otros no. Ambos deben

tomarse en cuenta, encontrando formas de relacionar los riesgos no

cuantitativos usando estimaciones o aproximaciones.

Tipología general de riesgos (no basada en la función organizacional)

Entre las clasificaciones genéricas de riesgos, las más usadas son:

Riesgos sistémicos

Un riesgo sistémico afecta a todos los participantes en un ámbito definido. Ejemplos de

riesgos sistémicos son: el riesgo de recesión, el de la interrupción de la cadena de suministro a

nivel global después de un desastre natural, el riesgo geopolítico o el de terrorismo. Un terremoto

o un huracán pueden afectar a toda una región geográfica. Una caída significativa en exportaciones

puede generar un efecto sistémico en las empresas. En la industria financiera global, el riesgo

sistémico se trata de prevenir con la llamada política anticíclica, con acumulación de activos a usar

en caso de crisis, y diseñando políticas que impidan el contagio entre instituciones.

El riesgo no sistémico solo afecta a uno o a un pequeño número de participantes. Un

ejemplo es que un cliente muy importante cancele un contrato, pudiendo ocasionar la falta de

liquidez de la empresa.

Hay seguros diseñados específicamente para cubrir daños por riesgo sistémico, como los

seguros que cubren catástrofes, riesgo país, o los seguros de desempleo.

Riesgos internos y externos a la organización

La necesidad de entender si los riesgos son internos o externos está asociada a la capacidad

de la empresa de controlarlos o no. Los riesgos internos, que son los generados dentro de la

123
empresa, por decisiones, problemas, o errores internos, permiten generalmente un mayor nivel de

control y supervisión. Normalmente se mitigan con buenas mediciones, procesos, controles,

sistemas y con el personal adecuado y bien entrenado.

Los riesgos externos son los que se originan fuera de la organización. Pueden provenir de

la ciudad en la que la empresa está establecida, del país, de la región, de fenómenos naturales, de

los gobiernos, de otras partes interesadas, o de muchas otras fuentes. Por lo general, los riesgos

externos son más difíciles de controlar que los internos. En algunos casos, se pueden compartir los

riesgos externos con empresas aseguradoras a cambio de una prima. En este campo, los riesgos de

vida y daños son los riesgos típicamente asegurables por las empresas de seguros y reaseguros.

Además de asegurar la vida de los ejecutivos principales, se suelen asegurar muchos tipos de daños

como incendios, terremotos, inundaciones y otros eventos.

Algunos de los riesgos externos más conocidos son:

• Terremotos, huracanes, inundaciones, cambio climático

• Pandemias, derrames de petróleo, contaminación del agua

• Crisis financieras, crisis de refugiados o migraciones masivas, ataques terroristas,

ciberataques, cambios bruscos de gobierno, protestas callejeras, inestabilidad

geopolítica

El riesgo país

Un criterio fundamental que las empresas multinacionales emplean antes de invertir en un

país, es evaluar el riesgo que representa operar en esa geografía. Un país amenazado por el

terrorismo, con débil protección legal, o con problemas políticos, representa un riesgo mayor y por

124
lo tanto requiere ofrecer un retorno mayor a los inversionistas extranjeros por el riesgo adicional.

Otros elementos de riesgo considerados son:

• Estabilidad macroeconómica y del sistema bancario.

• Calificación crediticia del país.

• Acceso a la banca y el financiamiento internacional.

• Nivel de deuda privada y pública, en relación con el PBI anual.

• Nivel de desempleo e inflación.

• Infraestructura.

• Corrupción.

Hay mediciones del riesgo del país que permiten comparar distintas opciones y ver el

comportamiento histórico. Por ejemplo, la revista Euromoney publica trimestralmente una

calificación de riesgo país basada en encuestas a expertos (EuroMoney, 2020). Otra forma de medir

el riesgo del país es usando el índice EMBI, Emerging Market Bond Index, que publica el banco

J.P. Morgan, y consiste en estimar la diferencia de rendimiento entre los bonos del tesoro en

dólares, del país anfitrión versus el de los de Estados Unidos. Cuanto mayor es la diferencia, mayor

riesgo percibido hay por el mercado.

Las instituciones multilaterales, como el Banco Mundial y el Fondo Monetario

Internacional, también publican sus análisis de riesgo de todos los países miembros. Para los

inversionistas en un país extranjero, existen seguros que cubren el riesgo político del país,

entendido como la amenaza de expropiación, riesgo personal de secuestro, riesgo de problemas en

infraestructura, y muchos otros riesgos externos relacionados con el país anfitrión.

125
 Riesgo de concentración

La teoría de portafolio demuestra que la diversificación, bien estructurada, puede ayudar

a minimizar el riesgo. Lo opuesto a la diversificación es la concentración, que puede darse en

muchos aspectos. Por ejemplo, si una empresa depende de un solo cliente o proveedor, y ese

cliente cancela el contrato, puede dejar a la empresa sin ventas; si las ventas están concentradas

en una sola región geográfica y ocurre un desastre natural en esa zona, las ventas pueden caer

significativamente; si solo ofrece un producto y aparece un producto mejor en el mercado, las

ventas se pueden ver afectadas. Es recomendable analizar el riesgo de concentración de la

organización e incluir mediciones de concentración en las herramientas de control. Por ejemplo,

una entidad financiera puede identificar la concentración geográfica como un riesgo, y tener

mediciones de porcentaje de actividad por región, poniendo límites máximos. De exceder una

región el límite establecido, se debe revisar la concentración y tomar una decisión que puede

llegar al comité de riesgos, o el directorio.

Los riesgos se pueden clasificar como sistémicos o no, cuantitativos o

cualitativos, e internos o externos. Además, es necesario evaluar el riesgo de

concentración.

Riesgos por función o tipo de actividad

Entre los riesgos por tipo de actividad, hay riesgos relacionados con la estrategia del

negocio, riesgos operativos, incluyendo tecnológicos y legales, y riesgos financieros, entre otros.

126
 Riesgo estratégico

El riesgo estratégico es el que se presenta por efecto de las decisiones (o indecisiones) del

directorio y de la gerencia general en los caminos elegidos para el desarrollo de la organización,

incluyendo decisiones de mercados por atender, productos, calidad de servicios, formas de

financiamiento, estructuras organizativas, y otros temas de gran impacto e importancia para la

empresa. La gestión del riesgo estratégico ayuda a decidir qué debe hacer la empresa, mientras que

la gestión del riesgo operacional o financiero ayudan a decidir cómo hacerlas.

Según Jim Lam, el primer Chief Risk Officer que existió en una corporación, el mal manejo

del riesgo estratégico es responsable del 60% de las pérdidas en capitalización de mercado de las

empresas (Lam, Enterprise Risk Management: From Incentives to Controls, 2014). En muchos

casos, las empresas sufren pérdidas porque no logran anticipar las necesidades del mercado a

tiempo. Un estudio de Deloitte muestra que el 51% de los ejecutivos globales reconoce que el

riesgo estratégico es el más retador de todos, es una prioridad y ha alcanzado una importancia

mayor a los tipos tradicionales de riesgo, como los financieros, operacionales, y legales (Deloitte,

2018).

Los riesgos estratégicos deben estar integrados con el planeamiento estratégico y la

dirección general de la empresa y deben ser parte esencial del gobierno corporativo. El crecimiento

global de la innovación tecnológica presenta uno de los mayores retos estratégicos a los directorios,

presentando retos como la gestión de las redes sociales, la movilidad tecnológica y el análisis de

127
los grandes datos con inteligencia artificial36. La velocidad de cambio de cómo se presentan estos

riesgos es cada vez mayor.

Uno de los casos más notorios de gestión de riesgo estratégico ha sido el crecimiento de la

empresa Amazon que, a través de Amazon.com, ha cambiado la industrial retail en Estados

Unidos, al pasar de tiendas físicas a tiendas virtuales. Su competidor, Walmart, que inicialmente

tuvo una respuesta tímida frente a la amenaza del comercio electrónico, acabó desarrollando

alternativas competitivas para poder continuar teniendo éxito. Otras empresas, como Sears, Radio

Shack y Toys‘R’Us, no lograron adaptarse al cambio y terminaron en bancarrota. Walmart es un

ejemplo de gestión efectiva de riesgo estratégico adaptándose al comercio electrónico.

El riesgo estratégico es el que se presenta por las decisiones o indecisiones al

más alto nivel de la organización respecto al camino a seguir, los productos a

ofrecer, las inversiones, las desinversiones y otros aspectos de gran impacto e

importancia.

Riesgo operacional

Todas las empresas están sujetas de alguna manera al riesgo operacional. Se define al

mismo como la pérdida debido a fallos en los procesos, personas o sistemas de la empresa. Un

manejo efectivo del riesgo operacional es un elemento fundamental de la gestión de riesgo. Dada

su amplitud, cubre aspectos tan diversos como el desarrollo de nuevos productos y la gestión de

36
Resultado del uso de big data analytics.
128
los productos existentes, el manejo de proveedores, la cadena de suministro, riesgos legales y

regulatorios, de fraude, riesgos tecnológicos, humanos, de reputación, de la continuidad del

negocio y muchos otros. En servicios financieros el riesgo operacional abarca muchas áreas de la

empresa como los procesos de cumplimiento, crédito, tecnologías de la información, inversiones,

procesamiento, liquidez, impuestos, recursos humanos y, sobre todo, el fraude.

Riesgo de fraude

El fraude es llamado “el más grande rival que uno no conoce”, y con el desarrollo de la

transformación digital se ha expandido rápidamente hasta alcanzar el mayor nivel histórico

(PwC, Global Economic Crime Survey 2020, 2020). Las áreas de más impacto son: el crimen

cibernético, ética y cumplimiento, lavado de dinero y financiamiento del terrorismo. Según PwC,

el 47% de las empresas han sido víctimas de fraude en los últimos 24 meses. Las empresas ya no

confían en las autoridades para poner freno a este tipo de delito. Hoy, es un mandato para todas

las empresas prevenir, identificar, controlar y resolver este tipo de delito también llamado

económico.

El costo del delito económico es muy alto; el 64% de las empresas reportan pérdidas de

hasta 1 millón de dólares por cada caso de fraude, y el 16% entre uno y 50 millones de dólares.

La mitad de los delitos proviene de dentro de la empresa. La región con mayor fraude es África,

seguida de Norte América y de Sud América. Pese al crecimiento del fraude, solo la mitad de las

organizaciones han desarrollado una seria y completa evaluación interna del riesgo. Además, hay

un buen número de empresas que no reportan el fraude porque no saben que éste se está dando

en sus empresas. Es decir, sus controles no han sido aún capaces de detectarlo.

129
 El fraude más común en las organizaciones es el proveniente de los consumidores, seguido

del crimen cibernético y la apropiación indebida de activos. Las empresas tienen que cuidarse no

solo del frente externo sino también del interno. El 39% de los incidentes de fraude provino de

fuentes externas, de los cuales el 26% fue originado por los clientes, el 24% por hackers y el 19%

por proveedores. El 37% fue originado por fuentes internas, de los cuales el 34% provino de la

gerencia. El fraude también se puede dar cuando una organización engaña al público y a sus

inversionistas, como sucedió con la empresa Theranos.

Caso Theranos (2018). En julio de 2010, la empresa Theranos, de Elizabeth Holmes,

reportó haber conseguido 45 millones de dólares de capital para su supuesta innovadora empresa

de análisis de sangre en Estados Unidos. Prometía revolucionar los análisis mediante una nueva

tecnología que reemplaza a la extracción de sangre tradicional por un proceso en el que con una

gota de sangre se conseguían los mismos resultados que con la muestra común que usan los

laboratorios. Por un tiempo Holmes se volvió una celebridad, y los medios alabaron su

creatividad e innovación, siendo comparada con los fundadores de Apple y Facebook, pues ella

también se retiró de la universidad antes de terminarla. Los inversionistas vieron una gran

oportunidad en Theranos, motivo por el que apostaron a que la empresa iba a tener un gran

crecimiento, subiendo el valor de la empresa hasta 9,000 millones de dólares en 2014. En 2015,

los reguladores aprobaron su análisis para detectar el herpes, pero el diario Wall Street Journal

cuestionó el control de calidad de la prueba, pues encontró inconsistencias en los resultados de

los análisis sanguíneos que Theranos ofrecía. Entre 2016 y 2018, las autoridades encontraron

serias irregularidades y acabaron cerrando y liquidando la empresa y acusando de fraude a la

señora Holmes.

130
 ¿Por qué se presenta el fraude? En el caso Theranos, como en muchos otros casos, una gran

cantidad de individuos, empresas, clientes, proveedores y otras partes interesadas, fueron

seriamente perjudicadas. En la historia de la humanidad el fraude siempre existió, y no hay indicios

de que este vaya a dejar de existir. Vale la pena entender los incentivos del fraude para poder

prevenirlo. Según Ariely y Jones (2012), la deshonestidad se puede incentivar o desincentivar

cambiando ciertas variables. En primer lugar, la deshonestidad aumenta cuando existe la

oportunidad de cometerla; tal vez reducir la oportunidad de fraude es el elemento más importante

para minimizar el fraude. Para una empresa, la oportunidad existe cuando hay falta de segregación

de tareas, falta de control, o falta de auditoria, entre otros. En segundo término, el conflicto de

interés es un aliciente a la deshonestidad. En tercer lugar, presenciar o estar cerca de un ambiente

en el que se cometen actos deshonestos promueve la deshonestidad. La cultura de corrupción se

disemina entre las personas que están cerca, en un círculo vicioso. Otros factores negativos son la

necesidad y la creatividad, así como el buscar razones que justifiquen la mala acción.

Entre los aspectos que favorecen una cultura de honestidad están el tener supervisión,

escribir una promesa de buen comportamiento, firmar un documento de compromiso ético, tener

conversaciones sobre temas de ética y recibir recordatorios de comportamiento moral. Los códigos

de ética de las empresas contribuyen a recordar al personal que la ética es importante; de la misma

manera, las charlas y los cursos de ética son muy beneficiosos para desarrollar una cultura de

honestidad. Por otro lado, la investigación de Ariely y Jones (2012) revela que, pese a la percepción

existente, el monto del dinero en juego y la probabilidad de ser descubierta la falta no fomentan ni

alejan la deshonestidad.

131
 Riesgo en la cadena de suministro

En el sector industrial, uno de los grandes riesgos operacionales es el de la cadena de

suministro. Debido al crecimiento de la globalización, las cadenas de suministro son cada vez

más interdependientes. Por ejemplo, en 2011 hubo una gran disrupción en el sector tecnológico,

debido a un tsunami que afectó al Japón, interrumpiendo el flujo de muchos componentes,

materiales y procesos. No solo los desastres naturales pueden tener un impacto sino también

otros factores como la inestabilidad política, cambios bruscos en la macroeconomía, problemas

de corrupción, las pandemias, la falta de energía, o, en algunos casos, un rayo, como le sucedió a

una planta de Phillips.

Caso Ericsson (2000). En marzo de 2000, una planta de componentes de la empresa

Phillips en la ciudad de Albuquerque, Nuevo México, sufrió un incendio debido a un rayo que

impactó la planta de suministro eléctrico. Como consecuencia del incendio, la planta no pudo

continuar produciendo, pues había sido contaminada por el humo del fuego. Los clientes de la

planta eran los fabricantes de teléfonos celulares, que tuvieron que operar en modo de crisis,

pues los componentes eran indispensables para sus procesos de ensamble. El costo fue enorme

no solo para Phillips sino también para sus dos clientes principales, Nokia y Ericsson. Nokia y

Ericsson tuvieron respuestas muy distintas ante el problema. Phillips había estimado un rápido

restablecimiento de su operación, pero Nokia asumió, en su espíritu crítico de la gestión de

riesgo operacional, que la planta iba a demorar más de lo prometido en recuperarse. Nokia pidió

a Phillips que los atendiera desde otras plantas e incluso rediseñó los teléfonos para usar otros

componentes y no los que provenían de la planta incendiada. Por otro lado, Ericsson confió en la

promesa de que la interrupción no iba a demorar mucho tiempo. Sin embargo, la planta demoró

132
en volver a funcionar mucho más de lo esperado. El no tener un plan de contingencia obligó a

Ericsson a dejar de producir teléfonos celulares, perdiendo 400 millones de dólares y dejando el

mercado libre a su competidor, Nokia, cuya participación de mercado subió rápidamente. La

gran enseñanza para Ericsson y para todas las empresas fue la de desarrollar a partir de entonces

una cadena de suministro flexible, diversificada y con alto nivel de control de riesgo.

Debido a la globalización, nunca fue tan evidente la necesidad que tienen actualmente las

cadenas de suministro de ser cuidadosamente analizadas y controladas, para minimizar eventos

que las puedan afectar. El proceso de riesgo incluye, entre otros, la identificación de proveedores

ubicados en regiones de alto riesgo, la búsqueda de alternativas de menor riesgo o redundantes, de

ser necesario, no depender de pocos proveedores, diseñar alternativas de producción y estar bien

informados de tendencias que pueden afectar el futuro suministro.

Otro riesgo operacional que merece gran atención por su crecimiento exponencial es el del

riesgo tecnológico.

Riesgo tecnológico

Gradualmente, la tecnología se ha tornado indispensable y hasta omnipresente en las

empresas. En el pasado, los grandes riesgos a los que las empresas estaban expuestas eran las

catástrofes naturales, pero actualmente el riesgo tecnológico es posiblemente la mayor amenaza y

oportunidad para las organizaciones (Hohenemser, 2019). La tecnología de la información ya no

es solamente un área de soporte, sino que es parte esencial del negocio. Si bien la tecnología ha

ayudado a aumentar la productividad, también ha expuesto a las organizaciones a nuevos riesgos

que es necesario entender y mitigar. La información que poseen las empresas es ya en muchos

casos más valiosa que los activos físicos. La pérdida de información personal es considerada de

133
importancia vital para las empresas y está sujeta a sanciones por parte del gobierno; muchas veces

esa pérdida de información se produce cuando hay ataques cibernéticos o fraude tecnológico.

La ciberseguridad

La ciberseguridad es el proceso de asegurar activos, redes de sistemas, datos y

programas, de ataques o accesos no autorizados (Hakak, 2020). Según la empresa McAfee, las

perdidas por problemas de ciberseguridad han superado el billón de dólares37, pero solo el 44%

de las empresas tienen planes para prevenir y responder a los ataques. Otros estudios muestran

que el 50% de las empresas ya cuenta con planes sólidos de protección contra ataques

cibernéticos (PwC, Global Digital Trust Insights Survey 2021, 2020). Pese al avance mostrado,

la mitad de las empresas aún no ha desarrollado e implementado planes solidos contra el riesgo

de un ciberataque. Casi todas las empresas reportan haber modificado sus prácticas de

ciberseguridad debido a la pandemia COVID-19, y la mitad considera la ciberseguridad como

parte de su proceso de toma de decisiones.

En los ataques cibernéticos, el adversario (hacker) interno o externo busca e identifica

vulnerabilidades físicas o intangibles en la organización. El trabajo remoto, el internet de las

cosas, los vehículos autónomos y las ciudades inteligentes abren un frente adicional de

vulnerabilidad a las organizaciones. El buen gobierno corporativo puede ayudar a prevenir los

problemas de seguridad informática. Además de preocuparse por la seguridad informática, los

directorios de las empresas deben asegurar la confiabilidad de los estados financieros y de la

37
https://www.mcafee.com/enterprise/en-us/assets/reports/rp-hidden-costs-of-cybercrime.pdf

134
información provista a los inversionistas, teniendo los controles adecuados que reflejen cifras

financieras auténticas. Otro aspecto importante es el de las leyes de protección de datos

personales, que requieren obtener el consentimiento de los clientes para hacer uso de sus datos.

Además, obligan a las empresas a desarrollar políticas de gestión de la privacidad de los clientes.

Los ataques más comunes son:

• Disrupción de servicios, como el ataque de denegación de servicio (denial of

service) y los programas espía (spyware).

• Búsqueda de ganancia financiera, como el ransomware y el fraude digital.

• Robo de información y datos, como el phishing y acceso no autorizado a los

sistemas de control remoto (remote desktop protocol).

• Campañas de intimidación, como la desinformación en las redes sociales.

Es obligación de los miembros del directorio informarse de los riesgos informáticos

potenciales, y del impacto que la regulación puede tener en su empresa. Sam Visner, de Global

Cybersecurity, y Dave Martin, de EMC, ofrecen las siguientes pautas para que los directorios se

informen de este tema (Security, 2014):

- Los directorios deben preguntar a la gerencia qué estrategia e implementación existen

para fortalecer la seguridad informática. Una llamada de alerta es cuando la respuesta

viene únicamente del Chief Information Officer (CIO) y el resto de la gerencia no está

involucrado y familiarizado con el tema.

- Otras preguntas que los directorios tienen que hacer son: ¿Quién tiene responsabilidad

en la organización por la política interna y por la implementación de la seguridad

135
 informática? ¿Hay una adecuada segregación entre estas dos responsabilidades, para

asegurar su mejor implementación? ¿Cuáles son las credenciales de las personas a

cargo estas tareas? ¿Qué recursos hay asignados a la implementación de las

recomendaciones? ¿Cuál es el estatus de las recomendaciones? ¿Y si las

recomendaciones no se han implementado, por qué no? ¿Cuál es el plan del proyecto

de implementación?

- Los directorios deben entender cuál es el valor de los datos en relación con el valor

total de la empresa. Esto permitiría saber qué sucedería si se pierde parte o toda la

información de la empresa y cuál sería el impacto para la misma.

Se recomienda que las empresas no reguladas también tomen seriamente este tema, pues

pese a no tener el peso de las multas y sanciones, también pueden estar sujetas a pérdidas

significativas. Un componente adicional que las empresas tienen que considerar es el aspecto

regulatorio. Para ayudar al manejo de todos estos temas, hay una buena oferta de soluciones

tecnológicas diseñadas para la gestión integral de riesgo. El riesgo legal puede o no ser considerado

dentro de los riesgos operacionales, dependiendo de qué tan intenso es ese aspecto en relación con

la organización. Hay otro aspecto, que es el de la actividad judicial derivado de conflictos con

clientes, proveedores y otras partes interesadas.

El puesto encargado de supervisar todo el proceso de seguridad en la información es el

llamado Chief Security Officer (CSO), que debe asegurar que la organización cuente con controles

adecuados de seguridad informática, requerimiento común de los directorios. En el proceso de

rediseño de la arquitectura y funcionalidad tecnológica, hay una gran oportunidad para fortalecer

la seguridad informática y que esta se vuelva una ventaja competitiva de la organización.

136
Herramientas de control y mitigación de Riesgo en Tecnología

La Asociación de Gobierno en Tecnologías de Información (ISACA38) ha desarrollado

una serie de buenas prácticas en ‘tecnologías de información’ (TI), que se conocen por sus siglas

COBIT39. El esquema COBIT ayuda a las organizaciones a que la tecnología de la información

sea liderada en base a procesos que tengan conexión directa con los objetivos, y en base a

mediciones estratégicas que permitan un adecuado control. COBIT divide el proceso de

planeación y administración de TI en cuatro fases:

1) Planeamiento y organización.

2) Adquisición e implementación.

3) Entrega y soporte.

4) Supervisión y evaluación.

Además, propone la implementación de 34 procesos relacionados a esas cuatro fases.

COBIT integra un buen número de estándares para procesos específicos, como COSO, para

controles internos; ITIL, para alinearse con las necesidades de la empresa; BiSL, enfocada en la

demanda; el estándar ISO 27000, para TI; el entrenamiento en mejoras de procesos, CMMI;

TOGAF, para la arquitectura empresarial, y; PMBOK, para manejo de proyectos.

Una herramienta cada vez más necesaria para trasladar el riesgo a terceros es el seguro de

ciberseguridad. Los seguros ayudan a las empresas a implementar medidas de prevención, como

la protección de datos personales. En caso de ataques cibernéticos, ofrecen herramientas de

38
Information Systems Audit and Control Association.
39
Control Objectives for Information and Related Technologies.
137
mitigación, como mejora de reputación digital, reparación económica y recuperación de activos.

Los especialistas de ciberseguridad de las aseguradoras también colaboran en la recuperación de

datos de sus clientes.

El control tecnológico de las actividades del personal

El riesgo operacional también abarca a las personas. Una práctica controversial es el

conocer las actividades del personal en el uso de la tecnología en la empresa. Las políticas,

regulaciones, entrenamiento, control y todas las actividades de riesgo, a fin de cuentas, son

actividades humanas. Los escándalos financieros son siempre creados por seres humanos que, por

muy diversas razones, crean una situación de quiebre en el sistema de gobierno a la que llamamos

falla corporativa. Pero en muchos casos, hay personas que cometen las faltas sin saber la magnitud

o gravedad de esta, por desinformación, por descuido o desidia. Las empresas han respondido a

estas situaciones con controles de las actividades de los empleados y trabajadores.

Desde hace mucho tiempo las empresas tenían herramientas, como la tarjeta de control de

tiempo de entrada, los formatos de gastos de representación o la simple supervisión visual. Con el

advenimiento de las redes de computadoras, las empresas han desarrollado sistemas de monitoreo

y de inspección de correos electrónicos, de acceso a datos sensibles y de uso de internet.

Aumentando su sofisticación, las grandes empresas han implementado herramientas de análisis de

comportamiento de los empleados, como el Social Network Analysis (SNA), que permite graficar

en mapas actividades de comunicación virtual en redes, identificar patrones de comportamiento

para entender quién se comunica con quién.

Conforme avanza la tecnología, a esa herramienta se ha sumado otra llamada Continuous

Controls Monitoring (CCM), que ayuda a entender no solo quién se comunica con quién, sino

138
también cuándo, dónde y para qué se comunican. Son técnicas inicialmente desarrolladas por las

empresas Google y Facebook, después adaptadas para prevenir ataques terroristas, que se han

ampliado al ámbito corporativo para evitar pérdidas significativas por colusión en áreas de alto

impacto. De esta manera, las corporaciones tienen la habilidad de crear un perfil de

comportamiento de personas que están en funciones de alto riesgo.

Continuidad del negocio

Todas las organizaciones están sujetas a interrupciones en el proceso de negocio por

muchas causas externas o internas. La gestión de riesgo operacional debe asegurar un adecuado

proceso que permita a la organización continuar ofreciendo los bienes o servicios con el menor

efecto. El proceso de continuidad del negocio consiste en identificar las actividades de impacto y

establecer un plan de recuperación, con instrucciones claras de cómo restablecer la operación en

caso de desastres (Business Continuity Plan, BCP), y un plan de recuperación de los sistemas y

datos (Data Recovery Plan, DRP). El estándar ISO 22301 provee una guía para identificar

vulnerabilidades y establecer procesos de recuperación de las operaciones.

El riesgo operacional es el que se origina por errores, fallas o amenazas de

personas, procesos y por la tecnología de la organización.

Riesgo financiero

El riesgo financiero es el principal riesgo al que tradicionalmente enfrentan los bancos,

aseguradoras, cajas y cooperativas. Sin embargo, todas las demás industrias también enfrentan

diariamente riesgos financieros, como el impago de las cuentas por cobrar, las devaluaciones

139
monetarias, o los cambios en las tasas de interés. Además de la falta de pago de las deudas

crediticias, los bancos tienen que cuidar la diferencia entre las tasas activa y pasiva, las diferencias

por tipo de cambio, el balance entre los activos y los pasivos, y otros riesgos financieros. En el

sector asegurador, un riesgo financiero muy importante es el de las pérdidas debido a un mayor

costo de los siniestros respecto al esperado, o el retorno de las inversiones. La gestión de derivados

y otros instrumentos más sofisticados, como el capital de riesgo, son también elementos críticos

de la gestión de riesgo financiero.

Riesgo de mercado

El riesgo de mercado es el riesgo sistémico que afecta a todo el mercado financiero en el

que la empresa se desenvuelve. Este riesgo sistémico puede devenir como consecuencia de factores

económicos, como las recesiones o la inflación, conflictos sociales, desastres naturales o ataques

terroristas, entre muchas otras causas. Algunos de los riesgos de mercado más analizados son el

cambio en las tasas de interés, la volatilidad en los tipos de cambio o los valores bursátiles, el

aumento de la inflación, los precios de los commodities y otras variables macroeconómicas.

El cambio en las tasas de interés puede tener un impacto significativo en el financiamiento

de las empresas, su valor y las estimaciones de sus proyectos. Una subida en las tasas de descuento

rebaja el valor actual de los flujos proyectados y viceversa. Por otro lado, los tipos de cambio

dependen de muchas variables, algunas objetivas, como las tasas de interés, y otras subjetivas,

como la especulación y los rumores. Dada la dificultad en predecir los movimientos de los tipos

de cambio, es recomendable analizar el uso de opciones y otros instrumentos derivados, como un

seguro que cubra parcial o totalmente la posible pérdida.

140
El valor en riesgo (VaR)

Una medición del riesgo de mercado es el Valor en Riesgo, o Value at Risk (VaR),

instrumento documentado por J. P. Morgan en 1994, que responde a la pregunta: ¿a qué pérdida

está expuesto el portafolio de inversión en un tiempo y con una probabilidad determinadas? Por

ejemplo, un portafolio puede tener un VaR de 1 millón con 90% de nivel de confianza en los

siguientes 10 días, lo que significa que hay un 10% de probabilidad de perder más de un millón

en uno de los siguientes 10 días. Dicho de forma contraria, hay un 90% de probabilidad de ganar

o perder, pero la perdida no será mayor a un millón en los siguientes 10 días.

Los componentes del cálculo del VaR son: el monto de la inversión, la volatilidad del

activo, el tiempo de estimación, y el nivel de confianza. Cuanto mayores son esos factores, mayor

es el VaR. El cálculo del VaR se puede hacer de muchas maneras, pero hay tres formas muy

comunes de hacerlo:

1. Histórica. Calcular el VaR en base a datos históricos, recopilados en un período

significativo de tiempo. Usar percentiles para identificar los montos posibles de pérdida.

2. Paramétrica. Usa aproximaciones de los datos del portafolio a curvas estadísticamente

normales, calculando el VaR por medio de una regla de tres en la que se conoce la

desviación estándar del portafolio y se deduce el VaR según el nivel de confiablidad

deseado.

3. Monte Carlo. Consiste en crear un modelo que permita hacer simulaciones de futuros

escenarios, asumiendo cambios en las variables de entrada y corriendo el modelo una gran

cantidad de veces para ver los rangos posibles de resultados.

141
 Para el cálculo con valores históricos se puede usar un histograma que muestre la

frecuencia de los resultados y determinar un porcentaje de confiabilidad. Por ejemplo, si se

analizan los rendimientos diarios de la acción de IBM desde 1962 hasta 2020 se tienen 14,848

registros. La ganancia máxima en un día es de 12.37% y ocurrió el 22 de abril de 1999 al reportar

IBM un aumento significativo de utilidades después de haber pasado una severa crisis. El peor

resultado en su historia lo experimentó el 19 de octubre de 1987 al caer 26.8%, un día llamado

‘lunes negro’ porque las todas las bolsas cayeron fuertemente. Históricamente los valores de los

rendimientos diarios están entre esos dos casos extremos. El siguiente grafico muestra la

distribución de los resultados y un ejemplo del VaR al 1%.

Existen varias formas de describir el VaR. Por ejemplo, podemos describir el VaR del

cambio en el precio de las acciones de IBM entre 1962 y 2020 de las siguientes maneras, todas

equivalentes:

• La pérdida diaria máxima esperada es de -4.24% (con 99% de confiabilidad).

• El retorno diario de la acción de IBM es mayor a -4.24% (con 1% de error).

• El retorno diario de la acción de IBM es mayor a -4.24% (con 99% de

confiabilidad).

Si se baja el nivel de la confiabilidad al 95% se tienen los siguientes resultados:

• La pérdida diaria máxima esperada es de -2.34% (con 95% de confiabilidad).

• El retorno diario de la acción de IBM es mayor a -2.34% (con 5% de error).

Los inversionistas o los reguladores definen el nivel de confiabilidad. Esta misma

metodología se puede aplicar para portafolios con varias inversiones. Un concepto asociado al

VaR es el del VaR condicional (CVaR) o Expected Shortfall (E.S.). El CVaR fue creado para dar

una mejor idea del peor escenario. Busca calcular la pérdida probable si las pérdidas superan el

VaR. Se calcula estimando el promedio de los resultados peores al VaR. En el ejemplo de IBM,

todos los valores menores a -4.24% son los que se usan. El promedio se pondera por la frecuencia

en la que se presentan esos resultados. En el caso de IBM, el CVaR con 99% de confiabilidad es

de -5.26%.

143
 El CVaR surgió porque los inversionistas percibían el VaR como un indicador incompleto

del riesgo potencial de los portafolios. Durante la crisis financiera de 2008, el VaR no fue un

instrumento suficiente para entender los riesgos potenciales de perdidas. El CVaR provee una

medición más realista y es usado como complemento necesario para el uso del VaR.

La crisis financiera de 2008 generó la necesidad de un mecanismo para simular situaciones

con los peores escenarios posibles. El stress test fue la solución para analizar si los portafolios

resisten condiciones económicas extremadamente negativas, como las de las grandes crisis

financieras. El concepto es similar al cálculo de las estructuras de un edificio asumiendo un

terremoto de gran magnitud: requiere un factor prudencial por encima del mínimo para responder

a situaciones extremas. En el stress test se corren escenarios simulando condiciones

con el back test, una prueba que se hace después de un período de tiempo de aplicación del modelo,

comparando los cálculos iniciales presupuestos con los resultados reales y evaluando si hay

diferencias, buscando entender la razón de estas, para ajustar el modelo y mejorarlo.

El VaR mide riesgo potencial en un portafolio de inversión en base a su

volatilidad, y es usado frecuentemente por reguladores e instituciones

financieras, para estimar pérdidas potenciales en situaciones negativas

extremas. El CVaR, considerado una medición más realista, estima el

resultado probable si las condiciones hacen que los resultados sean peores a

los del VaR.

Riesgo de crédito

El crédito es el motor de crecimiento de las economías mundiales, pues permite financiar

nuevos emprendimientos privados o públicos, consumir bienes y servicios antes de tener los

fondos suficientes y crear liquidez monetaria para las actividades económicas. Etimológicamente,

‘crédito’ proviene de la palabra latina creditum, participio de credere, o creer. La base conceptual

del financiamiento es creer que la deuda contraída se va a pagar en el monto y el momento

preestablecidos. Sin embargo, las deudas no siempre se pagan, y ese es el riesgo de contraparte o

riesgo crediticio, que se puede presentar parcial o totalmente. Cuando se incumple el pago parcial

de una deuda, se incurre en morosidad (delinquency). Cuando la deuda se da por perdida, se llama

incumplimiento (default).

145
 Los créditos se pueden clasificar de muchas formas, pero las instituciones financieras los

suelen dividir en créditos para las gobiernos, empresas y personas. Cada tipo de crédito tiene un

perfil de riesgo distinto. En el caso de los créditos a entidades de gobierno, el riesgo depende

mucho de la situación política, social y macroeconómica. Los riesgos empresariales están más

ligados al mercado, la estrategia y a la gerencia. Y los riesgos personales dependen mucho de los

ingresos, garantías y de la historia crediticia de los deudores. Un punto muy importante para

considerar en los créditos comerciales y de gobierno es la razón por la que se solicita el crédito,

es decir, para qué fin se necesita los fondos. Las instituciones financieras buscan que el uso del

préstamo sirva para generar flujos futuros que permitan pagar el préstamo y, por lo tanto, debe

existir consistencia entre la duración del préstamo y el proyecto para el que se destina el dinero.

Hay variables, como el fin del préstamo, la historia crediticia y las garantías ofrecidas, que

determinan la tasa de interés, desde una tasa baja por préstamos con garantía hipotecaria hasta

tasas altas por préstamos personales de consumo.

Para minimizar el riesgo crediticio, el futuro acreedor debe investigar el deseo y la

capacidad de pago del futuro deudor. Una forma de efectuar ese análisis es mediante el análisis de

las llamadas 5 Cs: carácter moral, capacidad de pago, colateral, capital, y condiciones. El carácter

moral se refiere a la intención del deudor de cumplir con sus obligaciones, lo cual se suele

correlacionar con la historia crediticia, asumiendo que el comportamiento pasado es un buen

indicio del comportamiento futuro. La capacidad de pago depende de los ingresos y egresos del

deudor, calculando que le quede la suficiente liquidez para pagar las obligaciones crediticias. El

colateral es una garantía que el deudor deja para asegurar el pago; por ejemplo, en un préstamo

hipotecario, el bien inmueble es el colateral. Capital es la solvencia económica del deudor, medida

146
en base a los activos que lo respalden, como por ejemplo, terrenos, propiedades, garantías o

inversiones. Condiciones se refiere a las condiciones económicas en las que se entregará el

préstamo y a que las condiciones legales del préstamo estén bien estructuradas.

En síntesis, la evaluación de riesgo crediticio busca responder a dos preguntas clave sobre

el posible deudor:

1. ¿Tiene intención de pagar la deuda? ¿O está tratando de conseguir el préstamo sin intención

de pagarlo? ¿Es un deudor fiable? Si bien la respuesta solo la sabe el deudor, el acreedor

debe formarse una hipótesis de la intención de pago antes de entregar los fondos.

2. ¿Puede pagar la deuda? Es decir, ¿el deudor tiene ingresos suficientes que le permitan hacer

los pagos programados? ¿No se quedará sin liquidez durante el período del crédito? La

capacidad de pago tiene mayores elementos de análisis mediante una proyección de

ingresos y egresos del deudor.

Las respuestas a estas dos simples preguntas son las que determinan si se otorga el crédito

o no. Uno de los retos de esas dos preguntas es que las respuestas no son estáticas. Se hacen al

momento de aplicar a la deuda, y se deben continuar haciendo hasta el fin de esta40. Las respuestas

pueden ir cambiando con el paso del tiempo, sobre todo cuando la deuda es de largo plazo. Así,

una deuda que al inicio se puede y quiere pagar, según cambien las circunstancias puede dejar de

ser pagada por muchas razones. El siguiente diagrama muestra las cuatro situaciones que se pueden

presentar y algunas herramientas que puede usar el acreedor.

40
La palabra ‘finanzas’ proviene de la raíz ‘fin’, es decir, que se espera que la deuda tenga un fin, un fin en el que se
pague lo acordado.
147
Rating y score

En la gestión de riesgo crediticio se asume que la historia de pagos del deudor es un buen

indicador de la intención de pago. Un deudor que regularmente se ha atrasado en sus pagos

representa más riesgo que uno que cumple puntualmente. Con el crecimiento de las ciudades y

los mercados financieros, es cada vez más difícil conocer la historia personal de todos los

aplicantes al crédito. Para automatizar y estandarizar ese proceso surgieron los conceptos de

rating y score. El rating es una calificación o nota que se le da a un deudor. Las agencias de

calificación de crédito evalúan detalladamente la situación económica y financiera de las

empresas, y, en base a ese análisis, determinan la calificación. Por ejemplo, la agencia de

calificación Standard & Poors califica a la empresa Microsoft con la calificación AAA, el

máximo grado posible. Solo la empresa Johnson & Johnson tiene esa misma calificación, todas

las demás empresas tienen una calificación menor. Para obtener esa calificación, Microsoft y

Johnson & Johnson requieren una situación financiera óptima que asegure que puedan afrontar

148
los pagos de sus deudas a corto y largo plazo. Gracias a esa excelente calificación, estas dos

empresas pueden emitir deuda a una tasa de interés muy baja, porque, según las agencias de

calificación, tienen menor riesgo de incumplimiento.

El score es un puntaje que se le da al deudor después de considerar aspectos como la

historia crediticia, el nivel de crédito asumido, el uso de las líneas de crédito, los distintos tipos

de crédito asumido, y otros factores. Cuando el puntaje es muy alto, se acepta otorgar el crédito,

pero según baja el puntaje se suele aumentar la tasa de interés para compensar el mayor riesgo,

hasta llegar a un punto en el que no se puede dar el crédito, dependiendo de las políticas internas

del acreedor. El rating es usado para calificar la deuda de los países y empresas, mientras que el

score de crédito puede ser usado para evaluar el financiamiento de empresas y personas.

Provisiones

Las instituciones financieras requieren establecer reservas para los créditos otorgados,

debido a la posibilidad de que incumplan con el pago de los flujos esperados. Los deudores

deben ser clasificados, según los reguladores, por su comportamiento crediticio, de manera que

cuanto mejor paguen tengan una calificación mayor. Existen varios tipos de provisiones, como

las genéricas, las específicas y las procíclicas.

• Genéricas. Son reservas preventivas que se establecen para los créditos en mejor

situación, los que siempre han sido pagados puntualmente.

• Especificas. Para los créditos que no están en la mejor situación, es decir, para los

créditos que han tenido desde un atraso de un día hasta los que han incumplido.

Se calculan reservas que aumentan conforme los deudores se retrasan más tiempo

149
 en sus pagos. Pasado cierto tiempo, establecido por los reguladores, el crédito se

da por perdido.

• Procíclicas. Se establecen en situaciones de bonanza económica como reservas

para los malos momentos del ciclo económico.

La inteligencia artificial en el análisis crediticio

El mecanismo más usado por las empresas para decidir dar crédito combina el análisis de

los estados financieros del deudor con el reporte de las agencias de informes crediticios, las

interacciones con los futuros deudores, las visitas a las empresas y la memoria histórica de la

institución y de los analistas de crédito. Los estados financieros de las empresas son revisados

usando las ratios de liquidez, rentabilidad, solvencia, deuda, y de rotación, entre otros. Para

préstamos personales se usan ratios como el del pago de la cuota crediticia en relación con los

ingresos personales o familiares y la relación entre el préstamo y las garantías a otorgar. Toda

esa información se combina para crear el reporte y el score o puntaje de crédito que son usados,

según las líneas de crédito, para decidir el monto y plazo del crédito.

El análisis de crédito se ha ido sofisticando con el tiempo, con modelos que incorporan

inteligencia artificial gracias al desarrollo de la ciencia de datos. Una de las razones por las que es

necesaria la inteligencia artificial en el análisis de riesgo es la dificultad en analizar manualmente

las relaciones y tendencias de muchos datos de manera consistente. Otra razón es que los

algoritmos de riesgo de crédito pueden ser mejorados más rápidamente usando el machine

learning. Usando esas herramientas se logra mejorar la decisión de crédito y el análisis del deudor.

Por ejemplo, hay algoritmos que pueden identificar si un mismo deudor tiene un comportamiento

de pago diferente dependiendo del acreedor. Las soluciones de inteligencia artificial para el

150
análisis crediticio pueden ayudar a las empresas a gestionar sus cuentas por cobrar comparando

información pública de los reportes de crédito con información privada de las cuentas por cobrar

de las empresas, analizando comportamientos de pago y alertando cuando existen posibles riesgos

de incumplimiento.

El dinero y el crédito

El dinero más usado actualmente es el dinero fiduciario o fiat, emitido con autorización de

los bancos centrales o de la Reserva Federal de Estados Unidos. Desde 1971 las monedas soberanas

no tienen el correspondiente respaldo en oro, según lo dispuesto en el Acuerdo de Bretton Woods

en 1944. Consecuentemente, el dinero que se usa normalmente es en realidad un crédito de los

bancos centrales, y no la representación de un bien de referencia. La necesidad de emitir una mayor

cantidad de dinero para apoyar la estabilidad del sistema financiero ha aumentado

significativamente el total del dinero existente, sin tener correspondencia con el crecimiento de la

economía. No solo los bancos centrales han emitido una gran cantidad de deuda en forma de

dinero, sino que las empresas y las familias también han excedido en muchos casos su capacidad

de pago. Estos excesos han creado las condiciones para que se presente una crisis de riesgo

crediticio nunca vista. Las siguientes magnitudes estimadas a fines de 2020 ayudan a visualizar

mejor el problema (entendiéndose ‘billón’ como ‘millón de millones’):

• Valor de mercado de todo el oro existente en el mundo: 9 billones de dólares.

• M2, dinero circulante más ahorros y certificados de depósito: 19.3 billones41.

41
https://fred.stlouisfed.org/series/M2

151
 • PBI de Estados Unidos: 21.3 billones.

• Deuda nacional de Estados Unidos: 27.5 billones42.

• PBI de todos los países del mundo: 90 billones.

• Deuda de todo el mundo: 270 billones.

• Valor de todos los derivados financieros: más de 500 billones.

Se puede concluir que todo el valor del oro en el mundo es menos de la mitad del circulante

de dólares de Estados Unidos y solo el 3% de toda la deuda global. La deuda global suma más de

270 billones de dólares43, mientras que el PBI global anual no llega a 90 billones. Es decir, la deuda

mundial es tres veces el PBI global. El PBI anual de Estados Unidos es menor a su deuda desde

2012, y a raíz de la crisis del COVID-19 la deuda ha aumentado desproporcionadamente. Cabe

preguntarse si se podrá pagar alguna vez esa deuda, y cómo aumentó de manera tan alarmante pese

a toda la actividad de gestión de riesgo crediticio que existe en el mundo. Si se concedió siguiendo

las mejores prácticas de gestión de riesgo crediticio, cuál fue el rol de las agencias de calificación,

de los reguladores y de los gobiernos. Y cuáles serán las posibles consecuencias de impago, dado

tan grande despropósito. Frente a este riesgo surgen nuevas alternativas descentralizadas de dinero,

como las criptomonedas, que buscan independizar el dinero del control de los estados actuales.

42
https://www.usdebtclock.org/
43
Institute of International Finance, www.iif.org

152
 Riesgo de crédito es la amenaza de que la deuda no sea pagada según los

términos acordados. Para otorgar el préstamo se debe entender si el deudor

tiene y tendrá, durante el periodo de pago, la intención y los flujos necesarios

para poder hacer los pagos correspondientes.

Riesgo de liquidez

El riesgo de liquidez, en realidad riesgo de iliquidez, es la amenaza de no tener fondos

suficientes para poder afrontar los pagos estipulados en un crédito y otras necesidades de las

organizaciones. Es un riesgo muy común en empresas medianas y pequeñas, sujetas a los vaivenes

de clientes que tratan de financiarse con sus cuentas por pagar. Las empresas grandes suelen tener

mayores recursos para evitar el riesgo de liquidez, pero también pueden sufrirlo, sobre todo cuando

tienen un alto nivel de deuda y sufren una baja en las ventas o subida en los costos. Durante la

pandemia COVID-19, por ejemplo, muchas empresas del sector turismo han sido afectadas por

falta de liquidez ante la prohibición de viajes internacionales.

Para gestionar el riesgo de liquidez las empresas hacen proyecciones de flujos de caja,

negocian los términos de crédito con los proveedores, tratan de acelerar el pago de sus clientes,

aumentan la rotación de inventarios, hacen uso de instrumentos como el factoring, y tienen líneas

de crédito con los bancos. Cuando los recursos no son suficientes, las empresas se ven forzadas a

buscar nuevas fuentes de financiamiento, a tasas de interés mayores, o a vender activos que de otra

manera no venderían.

Las entidades financieras reguladas deben mostrar continuamente su disponibilidad de

liquidez para evitar problemas a corto, mediano y largo plazo. Además del efectivo, cuentan con

153
inversiones, la cartera de crédito, garantías y otros activos para hacer frente a la volatilidad de las

tasas de interés, al deterioro de los activos o a otras causas de iliquidez. El margen de liquidez

(gap) mide la brecha de flujos de caja en el tiempo usando la ratio de cobertura de liquidez,

calculado dividiendo los activos líquidos entre las salidas de efectivo. La ratio de cobertura de

liquidez debe ser mayor al 100%.

En gestión de portafolios, el riesgo de liquidez es el que se presenta cuando no se pueden

comprar o vender los activos con la rapidez necesaria para evitar pérdidas. Un activo que demora

en venderse es menos líquido que otro que se puede vender rápidamente. La demora puede deberse

a muchos factores, como la liquidez general del mercado, las cargas burocráticas que toman mucho

tiempo, o a que es un activo cuyo proceso de venta es lento debido al monto de la transacción. Las

inversiones en capital de riesgo y el capital privado (private equity) tienen muy baja liquidez,

seguidas de los bienes raíces y las obras de arte. En cambio, los bonos y acciones en las principales

bolsas del mundo tienen alta liquidez. Los portafolios deben balancear instrumentos de alta y baja

liquidez, dependiendo del perfil del fondo.

Algunas recomendaciones para gestionar el riesgo de liquidez son:

• Tener un buen flujo de caja histórico y proyectado a largo plazo.

• Negociar crédito con los proveedores sin sacrificar el margen por los gastos

financieros.

• Considerar la capacidad e intención de pago de los clientes antes de darles crédito.

• Acelerar el pago de los clientes, con buena metodología y procesos de cobranza.

• Si la empresa tiene inventarios, cuidar la rotación y las compras por anticipado.

• Usar herramientas como el factoring y los descuentos de pagarés.

154
 • Tener líneas de crédito aceptadas por los bancos, para cuando sea necesario.

• Calzar el tiempo del financiamiento con el tiempo del proyecto de inversión.

• No endeudarse para especular en los mercados financieros.

El riesgo de liquidez debe mitigarse con métodos y procesos de gestión de

flujos de efectivo a corto, mediano y largo plazo.

La gestión integral de riesgo

La gestión integral de riesgo busca resolver la necesidad de las empresas de organizar y

responder a todos los riesgos posibles, de una manera integral, sin importar de qué área funcional

o factor externo provienen. Por ejemplo, en un grupo asegurador, el enfoque tradicional estaba en

el riesgo financiero, pero la aplicación de la gestión integral de riesgo (Enterprise Risk

Management, o ERM) ayudó a incluir entre los riesgos emergentes los avances en la ingeniería

genética, un riesgo no financiero que puede alterar la necesidad de seguros de los clientes, ya sea

por los avances en su curación o por la mayor información genética que motive una selección

adversa44.

Estándares internacionales de riesgo

Los estándares internacionales de riesgo más conocidos son COSO e ISO 31000. El comité

COSO, como se explica anteriormente, es una iniciativa de las empresas privadas de Estados

44
Selección adversa en seguros es la contratación de seguros por clientes con información privilegiada o con
intenciones de beneficiarse al no revelar posibles riesgos a la aseguradora.
155
Unidos en colaboración con las asociaciones de auditoría, y desarrolló a partir de 2001 un modelo

de ERM que las empresas pueden usar para el buen manejo de riesgos. Bajo este modelo, el

objetivo es poder determinar, mitigar y comunicar los riesgos potenciales y reales de la empresa.

La metodología contempla aspectos estratégicos, operacionales, de reporte y de cumplimiento.

Uno de los problemas de la adaptación de ERM es que requiere criterio y decisión de los usuarios

de este, lo cual puede hacer el proceso menos objetivo.

El reporte COSO explica los siguientes beneficios del ERM (COSO, 2013):

- Alinear el apetito de riesgo y la estrategia.

- Mejorar la respuesta al riesgo, decidiendo si se evita, reduce, comparte o acepta.

- Reducir sorpresas y pérdidas operacionales.

- Identificar y gestionar los múltiples riesgos que se pueden presentar en todos los

aspectos de la empresa.

- Posicionar a la empresa para aprovechar oportunidades que de otra manera pueden ser

desconocidas.

- Mejorar la asignación de capital.

Para lograr esos beneficios, COSO propone cinco componentes:

1. Ambiente de control

• La organización demuestra un compromiso con los valores éticos.

• El directorio muestra independencia de la gerencia e influye en el desarrollo y

mejora de los controles internos.

• La gerencia ha establecido una estructura organizacional de riesgo con claros roles

y responsabilidades. Se define la filosofía y nivel aceptable de riesgo.

156
 • La organización demuestra un compromiso para atraer y retener a personal

competente y alineado con los objetivos.

• Los individuos asumen sus responsabilidades de control interno.

2. Identificación de riesgos internos y externos

• Los objetivos de la empresa están claramente identificados para poder alinearlos a

los riesgos, sean positivos o negativos.

• Se identifican los riesgos y se analizan para entender su gestión.

• Se considera el fraude entre los riesgos para lograr los objetivos.

• Se identifican y analizan los cambios que pudieran afectar el sistema de control

interno.

3. Actividades de control

• Se seleccionan y analizan las actividades de control apropiadas.

• Las actividades de control se formalizan con políticas y procedimientos.

4. Información y comunicación

• Se obtiene, genera y usa la información necesaria para el control.

• Se comunican internamente los objetivos y responsabilidades de control interno.

• Se comunica externamente con partes interesadas, según sea necesario.

5. Observación para detectar anomalías (monitoreo)

• Se selecciona y desarrolla la evaluación necesaria de los controles internos.

• Se evalúa y comunica cualquier deficiencia de control interno a los niveles apropiados

en la organización.

157
 Estos cinco componentes son a su vez analizados teniendo en cuenta tres categorías de

objetivos de la empresa: operacionales, de reporte y de cumplimiento. Otro estándar de riesgo es

el ISO 31000, publicado en 2009. ISO 31000 contiene los principios y guías para la gestión de

riesgo. Y define el riesgo, no de la manera tradicional, enfocado en las posibles pérdidas, sino

como el efecto de la incertidumbre en los objetivos de la empresa, lo cual puede ser positivo o

negativo. Además, propone las siguientes opciones para decidir qué hacer con el riesgo (ISO,

2009):

1. Evitarlo totalmente, decidiendo no continuar con la actividad.

2. Aceptar o aumentar el riesgo para lograr éxito en una oportunidad.

3. Remover el origen del riesgo.

4. Cambiar la probabilidad de riesgo.

5. Cambiar las consecuencias del riesgo.

6. Compartir el riesgo.

7. Retener el riesgo en una decisión informada.

ISO 31010 es otro estándar y contiene una descripción detallada de técnicas de evaluación

del riesgo. Se complementa con la guía ISO 73, un diccionario de términos de riesgo. Pese a todo

trabajo en la implementación de sistemas de riesgo en muchas empresas, aún no se ha podido evitar

que ocurran crisis derivadas de su mala gestión, como sucedió en la crisis financiera global de

2008. Una razón fundamental por la que es imposible evitar algunos riesgos, es que el factor

humano puede alterar cualquier intento de control interno, con elementos como la falta de ética

profesional o el deseo incontrolado de ganancia económica. La herramienta más sofisticada de

mitigación de riesgo puede fallar cuando no hay un respeto total a los principios éticos y morales.

158
 Los estándares internacionales de riesgo más difundidos son COSO e ISO

31000. Una adecuada estrategia e implementación de la gestión de riesgo bajo

el marco del gobierno corporativo ayuda a lograr los objetivos de las

organizaciones, las empresas, y por tanto de los países en los que se aplica.

La gestión de riesgo y el gobierno corporativo

La OCDE considera la gestión de riesgo un elemento esencial del desarrollo económico.

En 2014 publicó un reporte sobre la gestión de riesgo de sus países miembros (OECD, Risk

Management and Corporate Governance, 2014). El espíritu del reporte es compartir las mejores

prácticas para una mejora continua del gobierno corporativo. Una conclusión es que las empresas

frecuentemente subestiman el costo de los problemas que ocasiona una mala gestión de riesgo. Por

lo tanto, un adecuado gobierno corporativo debe asegurar que los riesgos sean entendidos,

manejados y comunicados apropiadamente. El reporte muestra que los estándares de gestión de

riesgo corporativo en las empresas están enfocados actualmente en funciones de control y auditoría

internos y, sobre todo, en riesgos financieros. No existe una buena identificación de riesgos ex ante

(leading indicators), es decir, los indicadores que alerten de riesgos potenciales antes de que se

presenten. El reporte recomienda atender tanto los riesgos no financieros como los estratégicos y

operacionales.

Otra de las áreas que el reporte resalta es la poca atención que los directorios dan a los

eventos catastróficos de poca probabilidad. Se recomienda entender el impacto de estos eventos

en los inversionistas, las partes interesadas y el medio ambiente. Además, se sugiere una revisión

del análisis de la probabilidad de que se den esos eventos catastróficos. Ir varios pasos atrás en la

159
identificación de riesgos, ampliar la perspectiva de los riesgos potenciales y revisar las

probabilidades de eventos catastróficos, son otras de las recomendaciones del estudio de la OECD.

Es un reto que debe ser tomado muy en serio por los directorios para un mejor gobierno

corporativo.

La OCDE recomienda atender con mayor detalle los riesgos estratégicos,

operacionales, y los de aparente poca probabilidad, ampliando la perspectiva

de análisis de riesgo.

Las líneas de defensa

En alusión a los equipos de deportes competitivos, o a las organizaciones militares, hace

un tiempo surgió el concepto de las líneas de defensa. Se basa en que en las organizaciones

modernas hay una serie de roles que cumplen funciones de control interno, y necesitan ser

integradas en un modelo que las organice adecuadamente. La idea de las líneas de defensa es

entender que las organizaciones necesitan enfrentar los riesgos con tres niveles de protección.

El primer nivel es la gerencia operativa, que tiene a su cargo la gestión de los riesgos de

manera directa. El segundo nivel incluye a la función de riesgos como responsable de la

identificación, coordinación e implementación de los procesos de riesgos. Esta actividad la hace

juntamente con las áreas de cumplimiento y control interno. El tercer nivel es la auditoría

interna, caracterizada por un alto grado de profesionalismo, independencia y objetividad, y

apoyada por la auditoría externa y reguladores del sector.

160
 Las líneas de defensa, compuestas por la gestión interna, la gestión de riesgos,

y la auditoría, aportan una integración de esfuerzos de gestión de riesgos,

indispensable para cualquier organización.

El gerente de riesgo

En muchas organizaciones, cuando no existe una persona a cargo de la gestión de riesgo,

se suele decir que todos deben ser gerentes de riesgo. Sin embargo, en palabras de gente

experimentada en el tema, “cuando todos son gerentes de riesgo, nadie lo es”. Por ello, muchas de

las grandes empresas, sobre todo financieras, tienen una persona claramente identificada como

responsable de la gestión de riesgo, una posición llamada Chief Risk Officer (CRO), con reporte

directo al directorio o al CEO.

Su responsabilidad es proveer de una estructura y proceso a la organización para prevenir,

identificar, priorizar, mitigar y hacer seguimiento a los riesgos de la organización. Además, es

responsable de comunicar los riesgos más importantes al directorio, para evitar sorpresas. El

gerente de riesgo, además, debe considerar los siguientes aspectos en su gestión:

• Calcular la exposición a pérdidas económicas, para lo que existe una gran variedad de

herramientas cuantitativas.

• Lograr un consenso con la alta dirección sobre la propensión al riesgo de la organización.

• Identificar y comunicar la capacidad de los recursos de la organización para atender a sus

clientes.

• Identificar y comunicar si la organización cuenta con el talento humano necesario.

161
 Para comunicar los riesgos, muchas empresas, sobre todo financieras, tienen además un

comité de gestión de riesgo, en el que se discuten los riesgos y se evalúan los planes de mitigación.

Una de las cualidades que el gerente de riesgo debe tener es la de tener amplitud de visión. Por

ejemplo, considerar no solo riesgos tácticos sino también estratégicos o sistémicos, involucrando

a toda la gerencia.

Si bien existen gerentes de riesgo desde la década de los 70, se cree que la empresa GE

Capital, la división financiera de General Electric, creó la posición de CRO en 1993, nombrando

a James Lang. GE Capital tenía varias divisiones que abarcaban diversos servicios financieros.

Debido a que su estrategia era el crecimiento por medio de adquisiciones, las empresas que se

incorporaban al grupo debían estandarizar su gestión y sus procesos, para lo que riesgo era una

herramienta fundamental. Además, las divisiones intercambiaban mejores prácticas y

recomendaciones para evitar problemas. El CRO, a diferencia de los gerentes de riesgo, reporta

directamente al CEO o al directorio. James Lang, el primer CRO, y su sucesor, Jim Colica,

continuamente recomendaban a los gerentes de riesgo tener los ojos muy abiertos a nuevos riesgos

no mapeados, no tradicionales, o poco comunes, que tuvieran alto impacto. A esos riesgos

posteriormente Nassim Taleb los llamó ‘cisnes negros’, en alusión, como está dicho, a lo raro que

es encontrar cisnes de ese color (Taleb, 2010).

La consultora de riesgo Sword ha hecho un análisis de los talentos actuales de los gerentes

de riesgo, evaluando empresas a nivel global, y llegó a la conclusión que, si bien el 60% cumplen

con las habilidades tradicionales lógico-analíticas, el 40% son más bien líderes y

‘evangelizadores’, con mayores habilidades de comunicación que analíticas (Norris, 2017). Los

162
evangelizadores ven la gestión de riesgo como una función puente en su carrera hacia otra posición

de mayor importancia, como CEO o CFO.

Warren Buffett, el célebre inversionista a cargo de la empresa Berkshire Hathaway, dice

que, en su empresa, él, además de CEO, es CRO (Youtube, 2011):

“Cuando se tiene una empresa tan grande como Berkshire Hathaway, con obligaciones a

tantas partes interesadas, yo tengo que ser el Chief Risk Officer, porque soy el que tiene la

mejor visión de toda la operación, y entiendo de riesgos, y así debe ser en toda gran empresa

de servicios financieros. Cada CEO debe considerar que su obligación número uno es ser

el CRO. Tiene muchas otras obligaciones, pero cada mañana se levanta y se pregunta: ¿esta

organización está preparada para recibir cualquier golpe? Y debe estar preparado para

recibir el golpe (en caso de que se presente)”.

Líderes o no, lo cierto es que la gestión de riesgo requiere que sus actores coordinen y

fomenten en la organización las prácticas recomendadas. No necesariamente deben ser expertos

en los temas, pero sí tener un conocimiento general mínimo para poder interactuar con todas las

partes de la organización, tener mucho sentido común, y saber en qué momento imponer un nivel

de disciplina y rigor. En los casos en que detecten riesgos altos, es necesario que sepan cómo

comunicarlos a la alta dirección, para que se tomen las medidas correctivas. La línea de reporte

recomendada del gerente de riesgo es al directorio, pues de otra manera puede ser sujeto a

manipulación por parte de los cuadros ejecutivos. Alternativamente se puede establecer la línea al

CEO o al gerente general. El liderazgo en gestión de riesgo es relativamente nuevo en las

organizaciones, pero debe combinar actividades de dirección, estrategia, comunicación y control.

163
 El gerente de riesgo deber tener una excelente preparación y experiencia,

coordinando con todas las áreas de la empresa la identificación, medición,

acción y control de los riesgos.

El proceso de gestión de riesgo

El proceso de gestión de riesgo busca proveer una guía con mejores prácticas que puedan

ser aplicadas a cualquier organización45. Según ISO 31000, se deben considerar las siguientes

actividades:

Establecer el contexto

Riesgo debe ser un componente esencial de la estrategia, aportando una visión amplia del

entorno y sus tendencias, así como una visión completa de los aspectos internos críticos de la

organización. Antes de proceder a identificar los riesgos, hay que entender cuáles son los objetivos

de la organización, cuál es su situación competitiva, sus partes interesadas46, su estrategia, y su

organización, entre otros aspectos. Los análisis estratégicos son muy importantes para establecer

el contexto, y el análisis FODA es un suministro esencial para el siguiente paso, la identificación

de riesgos.

45
En la sección ‘Definición de gestión de riesgo’ se menciona que una forma común de definir la gestión de riesgo
es enumerando los pasos más comunes del proceso de riesgo, es decir, la identificación, análisis, mitigación y
control de riesgos. En la sección ‘La gestión integral de riesgo’ se mencionan algunos estándares internacionales,
como COSO e ISO 31000.
46
Ver sección ‘Las partes interesadas’.
164
Identificación de los riesgos

Una vez conocidos los objetivos de la organización, es necesario identificar todos los

posibles riesgos que puedan impedir que se cumpla el objetivo. Para poder hacer una buena

identificación de riesgos es necesario contar con el aporte de toda la organización, no solo de un

grupo reducido de participantes. Un experimentado gerente de riesgos solía decir que, en los casos

en los que se presentaron problemas, siempre alguien en la organización sabía que eso podía

suceder, pero no tuvo el mecanismo de comunicación de ese riesgo.

Además del análisis FODA, los de la cadena de valor de Porter, el PEST, el análisis de los

stakeholders y otras herramientas estratégicas, una forma muy común de identificar riesgos es

mediante la interacción de equipos multifuncionales, que debidamente preparados, puedan

contribuir con ideas de riesgos que ayuden a responder a preguntas como:

• ¿Qué puede poner en riesgo que se cumpla el objetivo de la organización?

• ¿Cómo se puede presentar una situación adversa?

• ¿Qué puede desencadenar una amenaza?

• ¿Qué falta preparar para que la organización cumpla sus objetivos?

• Si esta organización va a fallar, ¿cuáles serían sus causas, efectos y consecuencias?

Es necesario educar a los participantes antes de que participen en la discusión, para que

entiendan el propósito y la metodología de la gestión de riesgos. Normalmente se desarrollan

sesiones de lluvia de ideas en las que los grupos multifuncionales tienen libertad para aportar sus

ideas. Otra forma de generación de ideas es mediante encuestas o usando herramientas virtuales.

165
En el proceso de generación de ideas, ninguna idea es mala. Se debe tomar nota de todas las ideas,

y compilarlas en una lista que después será sometida a priorización. Es necesario que un facilitador

promueva la discusión y ayude a que el ambiente sea propicio.

Algunos errores comunes que se pueden presentar en la identificación de riesgos son:

a. Asumir que riesgo es solo un tema financiero u operacional.

b. Enfocarse en los datos históricos y no proyectar escenarios futuros.

c. Tratar de delimitar la cobertura de la gestión de riesgo.

d. Eliminar muy pronto riesgos de baja probabilidad y alto impacto.

e. Eliminar o no tomar en cuenta riesgos no medibles.

f. Minimizar riesgos no tradicionales.

Los riesgos, como se mencionó anteriormente, pueden presentarse de muchas formas y en

muchos momentos, se necesita tener la mente abierta.

Registrar cada riesgo en una hojita post-it en la pared, es recomendado para que el equipo

pueda visualizar todos los riesgos. Los facilitadores experimentados crean un ambiente de apertura

a las ideas. Normalmente consiguen despertar un gran interés entre los participantes, dada la gran

variedad de ideas que se presentan. Dependiendo del tamaño de la empresa, se pueden necesitar

una o muchas reuniones, pero normalmente las ideas fluyen hasta agotarse. Un buen facilitador

debe saber cuándo dar el ejercicio por concluido. Como resultado de la identificación de riesgos

se debe tener una lista con todas las ideas, sin filtrar. La lista puede ser muy grande, pero para que

sea accionable, el siguiente paso es ordenarla y priorizarla.

166
Análisis y evaluación de los riesgos

Cuando se genera una lista de riesgos, encontramos una combinación de causas, efectos, y

consecuencias que se pueden representar gráficamente usando diagramas como el de Ishikawa o

el de flujo de procesos. Es preferible esperar hasta terminar la lista para clasificar los riesgos según

su tipología, porque de otra manera se puede limitar la creatividad de los generadores de ideas.

Cuando se trabaja con post-its, lo mejor es organizarlos según el modelo Causa-Efecto-

Consecuencia. De esa manera se crean interrelaciones que vienen a formar la red de riesgos de la

organización. A cada riesgo, se le debe poner la etiqueta correspondiente.

Por ejemplo, en la lluvia de ideas se pueden haber identificado los siguientes riesgos:

• Deficiente proceso de otorgamiento de crédito a los clientes (Causa)

• Aumento de cuentas por cobrar (Efecto)

• Baja rentabilidad (Consecuencia)

Esos tres riesgos, que normalmente están asociados al riesgo financiero, se deben

identificar como una sola rama con la causa, el efecto, y la consecuencia; el mismo proceso se

debe aplicar a todos los riesgos. Una vez terminada la generación de ideas y su identificación de

causas, efectos y consecuencias, es conveniente agruparlos por categoría o tipología. Es

recomendable hacer un diagrama que muestre visualmente la interacción entre los riesgos.

El siguiente diagrama muestra un ejemplo de riesgo operativo en el que el ahorro en

entrenamiento ocasiona que el personal, menos preparado, sufra un accidente laboral. Las

consecuencias incluyen una menor rentabilidad y una caída en la reputación de la empresa.

167
 La priorización se puede hacer en cualquier nivel, pero para que sea más accionable, es

mejor hacerla al nivel del efecto. Hay que considerar que algunas causas son medibles o

cuantificables, otras no. Para priorizar es necesario comparar todas con un mismo criterio. Un

criterio muy común es el de la pérdida esperada. Para ello se usa la fórmula:

Pérdida Esperada ($) = Probabilidad (%) x Impacto ($)

La pérdida esperada es un concepto actuarial, que reduce la posible pérdida según la

probabilidad de que el riesgo se presente. Así, por ejemplo, si el impacto económico que se daría

si hubiese un terremoto es 100, pero la probabilidad de que se presente el terremoto es 1%, la

perdida esperada es 1 (= 100 x 1%).

En algunos casos, la probabilidad de presentarse el riesgo se puede estimar

cuantitativamente. Por ejemplo, los actuarios pueden calcular la probabilidad de fallecer de una

persona, dependiendo de factores demográficos como la edad y el género. En la mayoría de los

casos, la probabilidad no es tan posible de calcular, sino que se tiene que estimar subjetivamente.

La estimación subjetiva de la probabilidad puede hacerse reuniendo a un grupo de conocedores

168
del tema, pidiéndoles su opinión. Para facilitar la discusión, se suelen poner unos cinco rangos de

probabilidades, definiendo qué significa cada rango. Por ejemplo:

Probabilidad

Muy probable 5

Probable 4

Podría suceder 3

Poco probable 2

Muy poco probable 1

De manera similar, el grupo evalúa el posible impacto de que se presente el riesgo, usando

la siguiente tabla:

Consecuencia

Catastrófica 5

Mayor 4

Moderada 3

Menor 2

Insignificante 1

Combinando las dos dimensiones, un riesgo muy frecuente, que tiene consecuencias

catastróficas, tendría un puntaje de 5 multiplicado por 5, o sea de 25. En el otro extremo, un riesgo

muy poco probable con muy bajo impacto tendía 1 de puntaje. Una vez determinados los puntajes

correspondientes, se puede hacer una lista ordenada de mayor a menor puntaje. Visualmente se

puede mostrar en la llamada ‘matriz de riesgos’, ‘mapa de riesgos’ o ‘mapa de calor’.

169
Matriz de riesgos

Consecuencia o Impacto
Probabilidad 1 2 3 4 5
Insignificante Menor Moderada Mayor Catastrofica

Muy probable 5 Alta Alta Extrema Extrema Extrema

Probable 4 Moderada Alta Alta Extrema Extrema

Podria suceder 3 Baja Moderada Alta Extrema Extrema

Poco probable 2 Baja Baja Moderada Alta Extrema

Muy poco probable 1 Baja Baja Moderada Moderada Alta

Antes de mitigar los riesgos, se tiene una matriz con riegos inherentes. Después de aplicar

los controles correspondientes, se debe crear otra matriz con riesgos residuales, en los que se

muestra una reducción de probabilidades y/o impactos. La organización debe determinar el orden

de trabajo de los riesgos identificados, que es el siguiente paso.

Una tercera dimensión: el tiempo

El puntaje de la matriz de riesgos se puede afinar con una tercera dimensión: el tiempo que

demora el riesgo en mostrarse o presentarse. Cuando se presenta un terremoto, no hay tiempo para

responder; en cambio, si se presenta un huracán, hay avisos previos varios días. Esa diferencia en

el tiempo de aviso marca una diferencia muy importante en la capacidad de respuesta de la

empresa. Entonces, una escala de tiempo puede ser la siguiente:

170
 Tiempo de Aviso

Menos de 1 hora 5

Entre 1 hora 1 día 4

Entre 1 y 7 días 3

Entre 7 y 180 días 2

Mas de 180 días 1

Mitigación de los riesgos

Comenzando con los riesgos que cuentan con mayor puntaje, y teniendo las cadenas de

causas, efectos y consecuencias, se debe identificar cuáles son las posibles respuestas de la

organización a esos riesgos. En este punto la organización tiene que decidir si el riesgo es aceptado,

rechazado, compartido, o mitigado.

• Aceptado, que consiste en auto asegurarse, es decir, asumir el posible costo de que se

presente el riesgo, no tomando ninguna acción al respecto. En este caso, la organización

tolera el riesgo y tiene los fondos necesarios para pagar las consecuencias. Un ejemplo de

esta situación es aceptar el riesgo de incobrables al otorgar el crédito a los clientes.

• Rechazado, que tiene diversos grados de aplicación, desde rechazar un proceso, un

producto hasta una línea de negocios, porque el riesgo supera los niveles permitidos por la

empresa, y no hay una alternativa que tenga suficiente beneficio dado el costo esperado.

Por ejemplo, un banco puede rechazar otorgar crédito al sector construcción porque las

constructoras están inmersas en un problema común.

171
 • Compartido, típicamente contratando un seguro o proveedor, trasladando parte del riesgo

a un tercero. Por ejemplo, el seguro de crédito corporativo, en el que la aseguradora es

responsable del pago si un cliente no paga su deuda.

• Mitigado, es en el que la organización dispone acciones para reducir el riesgo inherente

mediante controles. La inversión en los controles debe ser en este caso menor al beneficio

esperado. Por ejemplo, en la gestión de cuentas por cobrar, una mitigación es usar

tecnología para la toma de mejores decisiones en el otorgamiento de crédito47.

Control de los riesgos

El último paso en el proceso de gestión de riesgos es el control. Para ello se usan los

reportes gráficos con el mapa de calor, la lista de riesgos, sus mediciones y planes de mitigación y

los KRI, Key Risk Indicators. Parte esencial del control es la revisión del estado de las métricas y

los planes acción. Cada plan debe tener un responsable y las acciones deben tener una fecha de

ejecución. Los planes pueden ser calificados según su nivel de ejecución en:

a. Pendientes.

b. En proceso.

c. Implementados.

El rol del grupo de gestión de riesgos es coordinar, facilitar, monitorear y asegurar que los

planes se ejecutan y que, si hay barreras para la acción, estas son resueltas. Por ello es necesario

que gestión de riesgos tenga acceso directo e inmediato a la gerencia general y al directorio. Las

47
Ver en ‘Riesgo de crédito’, el uso de la inteligencia artificial.
172
métricas deben tener definidos límites máximos, mínimos o ambos, dentro de los cuales está la

zona normal, y si exceden esos límites, se debe generar una alerta.

Hay actividades que deben requerir límites de autorización para aprobarlas. Por ejemplo,

la concesión de créditos por parte de una empresa industrial puede tener un límite máximo para el

analista de créditos, otro límite mayor para el jefe de créditos, y uno más alto aún para el gerente

de finanzas. El control de riesgo debe poder monitorear que esos límites no son excedidos.

En el proceso de gestión de riesgo se debe encontrar un balance entre hacer muy poco y

hacer demasiado. Ambos extremos son perjudiciales. El primero, porque no logra rebajar el

riesgo inherente de manera suficiente. Y el segundo, porque exige un costo demasiado alto a la

organización, desmotivando a los participantes. Encontrar el punto medio es un arte, pero

lograrlo es un requisito indispensable para tener resultados exitosos, como se muestra en el

siguiente gráfico.

173
La voz de alerta

Los gerentes de riesgo con mucha experiencia saben que casi siempre que hay una pérdida

derivada por la deficiente gestión de riesgos, alguien en la organización supo anteriormente que el

riesgo se podía producir, y posiblemente lo trató de comunicar, pero su voz no llegó a hacerse

notar. En muchos casos, la persona que sabía del riesgo no tuvo un mecanismo interno de

comunicación que le permitiera alzar la voz de alerta. En muchos casos, el mensaje se perdió en

el camino o fue negado por los niveles superiores. La transparencia en el registro y documentación

de los riesgos y sus consecuencias puede ayudar a los directivos a conocer mejor los riesgos

potenciales y tomar las medidas de prevención necesarias.

El proceso de gestión de riesgo debe establecer el contexto, identificar los

riesgos de la organización, analizar y medir los riesgos, coordinar la decisión

de acción, controlar y además facilitar mecanismos de comunicación que

fomenten la visibilidad y transparencia.

174
La crisis del COVID-19

Una de las mayores crisis mundiales, el COVID-19, es un caso de riesgo sistémico,

externo, con consecuencias desconocidas, que afecta severamente la estrategia de las

organizaciones. La mortalidad y morbilidad de la pandemia son aún inciertas, así como la

probabilidad de contraer el virus (Stewart, 2020). Los datos relacionados a la pandemia no son

siempre confiables y pueden ser manipulados. Por ejemplo, algunas personas pueden haber

fallecido por causas previamente adquiridas, distintas al virus, pero al haber contraído el virus

poco antes de morir pueden ser reportadas como fallecidas por causa del virus y no de la

dolencia anterior. Consecuentemente, los modelos de proyección del virus han tenido muchos

errores y distorsiones. En tiempos de incertidumbre se suele usar el modelo más conservador,

sobre extendiendo las medidas preventivas, lo cual puede agravar los efectos colaterales. Así,

algunos gobiernos han excedido sus medidas, por sobreestimación del impacto, y otros no han

hecho lo suficiente, por subestimación de las consecuencias.

Según Stewart (2020), las decisiones en momentos de incertidumbre a veces se toman de

manera lineal, sin considerar que las consecuencias pueden ser multidimensionales. El cierre de

las economías produjo una serie de efectos que no fueron bien estimados, como el desempleo,

los déficits fiscales y la interrupción de la educación. Los métodos de decisión empleados no

tomaron en cuenta muchos factores que pueden haber causado un daño mayor al esperado. En

cuanto a la comunicación de la pandemia, existe una brecha entre el riesgo real y la percepción

del riesgo por parte de la población, debido a la forma en la que la pandemia ha sido tratada por

los gobiernos y los medios de comunicación (Aven, 2020). La percepción del riesgo ha ido

variando conforme se desarrolla la pandemia. Y la interpretación de la crisis por la población ha

175
sido afectada por variables culturales, sociales y demográficas. Los investigadores han

identificado las variables que suelen aumentar la percepción del riesgo (Cori, 2020):

• Si el riesgo no es aceptado voluntariamente.

• Si se tiene poco conocimiento del riesgo.

• Si el riesgo no es visible o tangible.

• Si no se confía en los encargados de manejar su solución.

Todos esos elementos, que aumentan la percepción del riesgo, han estado presentes en el

desarrollo de la pandemia. Por lo tanto, la población ha tenido un nivel de alerta de riesgo

bastante alta. Sin embargo, algunas teorías conspirativas o la necesidad de continuar la vida

como antes de la pandemia, han contribuido a que algunas poblaciones no respeten las

disposiciones de distanciamiento social, agravando la propagación del virus.

Un riesgo adicional para las organizaciones es el aumento alarmante del fraude,

especialmente el cibernético debido a la necesidad del trabajo remoto (Hakak, 2020). Las

innovaciones tecnológicas de los últimos años han ayudado a implementar medidas de

prevención, pero estas pueden tener vulnerabilidades. Existen marcos de gestión de riesgo que se

actualizan constantemente para incorporar la prevención de nuevas formas de ataques. Una base

de los modelos más eficientes es el conocimiento de los usuarios sobre los tipos de ciberataques

y cómo prevenirlos.

Una de las consecuencias de la pandemia fue la disrupción de la cadena de suministro

mundial. Para las empresas de algunos sectores que dependen de la presencia física de los

clientes, como el turismo, la gastronomía y el teatro, las consecuencias de la pandemia han sido

devastadoras. Por otro lado, las empresas que venden por medio del comercio electrónico han

176
aumentado en muchos casos sus ventas. Otras empresas han reformulado su oferta para

adecuarse a la nueva realidad de poco contacto físico. Como protección frente a la pandemia, las

empresas que tenían seguros de crédito comercial sin la exclusión de pandemias han podido

mitigar parte de sus pérdidas. Los seguros de daños excluyen por lo general a las pandemias y

solo cubren incidentes físicos, por lo que en general no han servido para mitigar el riesgo

presentado. Una excepción notable son los organizadores de los Juegos Olímpicos de Tokio

2020, que, debido a su postergación, tuvieron pérdidas económicas que si tenían una cobertura

de pandemia por aproximadamente dos mil millones de dólares.

Según Nassim Taleb, el COVID-19 no es un ‘cisne negro’, porque se trata de un evento

prevenible y predecible48. Las empresas y los gobiernos deberían haberse preparado, pues fueron

alertados del riesgo en varias oportunidades. Aun no se sabe cuáles serán las consecuencias de la

pandemia, pero sí algunas enseñanzas, como la necesidad de preparación en casos de desastres,

la urgencia de la transformación digital, la necesidad de monitorear continuamente los riesgos

sistémicos, y la constante amenaza estratégica de las organizaciones frente al cambio social,

político y económico.

48
https://www.youtube.com/watch?v=lBjVTm7F1lQ

177
 Cumplimiento de la regulación

En las siglas GRC, la C corresponde a la palabra compliance, que se refiere al

cumplimiento con las regulaciones externas e internas. Los departamentos de compliance en las

empresas tienen su origen en la necesidad de asegurar el cumplimiento de algunas leyes de Estados

Unidos y Europa, como por ejemplo FCPA (1977), ley de prohibición de sobornos a funcionarios

estatales en el extranjero, o FATCA (2010), que exige a las entidades financieras extranjeras a

reportar cuentas bancarias de ciudadanos de Estados Unidos y residentes en ese país. Esas leyes

requirieron un esfuerzo adicional por parte de la empresa para la identificación y mitigación de

riesgo en las empresas.

Conforme las regulaciones se han expandido globalmente, principalmente por

requerimiento de la OCDE, ya no son solo las grandes empresas multinacionales y sus subsidiarias

las que requieren el cumplimiento, sino que poco a poco las leyes abarcan a muchos más países y

empresas. Por ejemplo, uno de los grandes cambios en América Latina es el concepto de

responsabilidad legal de las empresas y no solo de los funcionarios de estas. Hasta antes de que

entraran en vigor las leyes de cumplimiento, el derecho se basaba en un principio jurídico alemán

que dice que las empresas no pueden delinquir, sino sus directivos. Sin embargo, en el derecho

anglosajón, las empresas sí son consideradas como criminales, pudiendo recibir condenas

monetarias severas, llegando hasta la disolución de la entidad.

Por presión de la OCDE, varios países de América Latina vienen aprobando leyes de

responsabilidad penal para las personas jurídicas. Frente a estas nuevas leyes, tener un sistema de

prevención o compliance puede ser un mitigante del riesgo legal. En caso de darse una falta de

prevención, la empresa puede conseguir que se rebajen las penas, al demostrar que hubo buena

178
voluntad para evitarla. El compliance puede tener una parte obligatoria y otra voluntaria. La parte

obligatoria es la que afecta a las empresas que están sujetas a leyes de lavado de activos (llamadas

‘sujetos obligados’), como, por ejemplo, las empresas de servicios financieros. La parte voluntaria

se desarrolla para mitigar penas por delitos como el cohecho o la colusión. Esta última contiene

elementos de auto regulación y se refuerza con códigos internos. La auto regulación no siempre

actúa como freno a la ambición desmedida. Empresas tan grandes como Volkswagen, GAP,

Samsung o BHP Billiton, han tenido serias acusaciones por faltas éticas y de cumplimiento en los

últimos años, pese a tener toda una infraestructura de compliance dedicada a evitar esos problemas.

Debido a la creciente presión regulatoria de diversos órganos del gobierno y del sector

privado, se puede decir que nunca las empresas habían requerido tantos esfuerzos de cumplimiento

y se espera que estos continúen aumentando en el futuro. Históricamente, los servicios financieros

han sido de los más exigidos por las regulaciones de cumplimiento, junto con los de salud,

alimentos, minería y transporte. Entre las regulaciones más importantes a las que están sujetas los

servicios financieros, es necesario resaltar las siguientes:

1. Conocer al cliente (KYC49).

2. Antilavado de dinero y financiamiento del terrorismo (en español PLAFT50, en inglés

AML/CFT51), y la organización FATF52, del Grupo de los 7.

3. La ley de prácticas corruptas en el extranjero (FCPA).

4. Protección de datos personales (GDPR).

49
KYC, Know Your Customer.
50
Prevención de Lavado de Activos y Financiamiento del Terrorismo.
51
AML, Anti-Money Laundering; CFT, Combating the Financing of Terrorism.
52
FATF Financial Action Task Force.
179
 En adición a las regulaciones de compliance, los servicios financieros también deben

cumplir con las normas emitidas por las superintendencias locales, incluyendo las adaptadas del

llamado Comité de Basilea, la organización que agrupa a los bancos centrales de casi todos los

países del mundo.

Normas internacionales de cumplimiento

Know your customer (KYC)

Tiene por objetivo identificar el carácter ético de los futuros clientes antes de hacer

negocio. Busca investigar el origen de los fondos, su historia de transacciones e intercambios

comerciales, y su cercanía con elementos de dudosa procedencia, como el narcotráfico, la

corrupción o el terrorismo. El proceso es continuo, porque en cualquier momento un cliente

puede incurrir en faltas que requieran tomar una decisión o informar a las autoridades.

En los últimos años, se ha ampliado el requerimiento de cumplimiento con el Enhanced Due

Diligence (EDD) y el Politically Exposed Person (PEP), procesos más exigentes para la

identificación de posibles clientes con problemas de cumplimiento o con exposición política.

Antilavado de dinero y financiamiento del terrorismo (AML, CFT)

Busca identificar actividades criminales mediante la detección oportuna de transacciones

económicas ilegales, como el narcotráfico, la corrupción, el tráfico de bienes y servicios, o la

evasión de impuestos. Las instituciones financieras están obligadas por sus reguladores a

investigar el origen de los fondos e identificar y tomar acción cuando estos sean sospechosos.

Uno de los métodos más comunes de lavado de dinero es el de crear nuevos negocios, en

apariencia formales, para introducir dinero de origen ilegal en el sistema formal.

180
Tráfico de influencias, cohecho y colusión

Las nuevas disposiciones de estos delitos incluyen no solo al sector público sino también al

privado. En el caso del tráfico de influencias, el delito es el intercambio de un bien por la

promesa de interceder en el ámbito judicial. El cohecho es el soborno a un funcionario público,

nacional o extranjero, según se vio en la ley de prácticas corruptas en el extranjero (FCPA), y la

colusión es el ponerse de acuerdo para defraudar al estado.

Elementos del programa de cumplimiento

El oficial de cumplimiento

Como respuesta a las innumerables fallas corporativas por problemas éticos, desde la

década del 80 surgió el rol del Chief Compliance Officer (Deloitte, The Chief Compliance Officer,

2015), conocido en los países de habla hispana como oficial de cumplimiento. En Estados Unidos

y otros países, el Chief Compliance Officer busca concentrar el cumplimiento de las regulaciones

externas e internas en una sola persona, evitando que sea una función secundaria de otros

funcionarios. En América Latina, el oficial de cumplimiento está enfocado en evitar, entre otros

temas, el lavado de activos y el financiamiento del terrorismo en los sujetos obligados. En algunas

empresas, el rol dedicado al cumplimiento es el llamado ‘encargado de prevención’, un rol más

operativo y menos estratégico.

El buen trabajo del oficial de cumplimiento previene problemas éticos, legales y de

reputación, entre otros. Inicialmente, ese rol fue visto como el encargado de compilar las

obligaciones regulatorias y responder adecuadamente a esos requerimientos de una forma pasiva.

Con el paso del tiempo, esta posición ha cobrado mucho mayor dinamismo y ha sido enriquecida,

de manera que actualmente es vista como la que moldea el comportamiento ético en la empresa y

181
traza los lineamientos a seguir para asegurar una completa adhesión a las normas. Su actitud debe

ser proactiva y dinámica para que el personal de la empresa sienta suyo el compromiso de cumplir

éticamente con lo exigido por las regulaciones. Si bien este puesto surgió en las industrias

financieras y de salud, donde en muchos casos es obligatoria, con el paso del tiempo y la

complejidad de las regulaciones se ha extendido a muchas otras industrias.

Para un trabajo efectivo, el oficial de cumplimiento debe tener:

• Entendimiento del negocio y buen conocimiento regulatorio.

• Muy buenas habilidades de comunicación, y ejercerlas dentro y fuera de la empresa.

• Buena aptitud para entender y gestionar riesgos corrientes y emergentes.

• Experiencia operacional y adecuado nivel jerárquico.

• Autoridad sobre los recursos de cumplimiento de las unidades de negocio.

• Acceso al directorio y reportarle con determinada frecuencia.

• Capacidad de influir en la cultura de la organización.

Además, debe ser visto, dentro y fuera de la empresa, como un modelo de integridad y

ética. En síntesis, debe ser un reconocido líder en la empresa (Deloitte, The Chief Compliance

Officer, 2015). Según el reporte de Ernst & Young (E&Y, 2016), en el sector asegurador de

Estados Unidos, el 35% de los oficiales de cumplimiento reportan al departamento legal, el 15% a

riesgo y el 20% al CEO; el 30% restante a otras áreas, como al directorio o al comité de auditoría.

Globalmente, el número de oficiales de cumplimiento en el mercado laboral ha aumentado en

forma significativa. Como muestra, dos bancos globales tenían recientemente el requerimiento de

contratar 3,000 especialistas en cumplimiento y riesgo a nivel global. Pese a tanto crecimiento, los

oficiales de cumplimiento muchas veces sienten que su rol es visto como de menor importancia

182
por los directivos de las empresas, que a su vez piensan que el cumplimiento es una imposición

externa a la que se tienen que resignar. Sin embargo, hay una tendencia a que el oficial de

cumplimiento aumente su participación en la dirección de la empresa, y a que los equipos de

cumplimiento también tengan mayor participación en las actividades de la empresa. Así, será cada

vez más común verlos en los equipos de desarrollo de productos y servicios, y en las actividades

de expansión en nuevos mercados. La idea es evitar que la empresa descubra muy tarde que el

producto, servicio o mercado no cumple con las cada vez más estrictas condiciones impuestas por

los reguladores y por las políticas internas.

El cumplimiento en las organizaciones requiere que el personal esté informado y al tanto

de las regulaciones, y que ejecute las debidas acciones para que las regulaciones sean cumplidas

cabalmente. De esta manera se espera evitar penalidades, multas, riesgos y acusaciones por falta

de cumplimiento. Los programas de entrenamiento al personal y el archivo sistematizado de la

historia de entrenamiento de cada persona es un requerimiento de algunos reguladores. Debido a

la necesidad de transparencia en cumplimiento a las regulaciones, las organizaciones adoptan cada

vez más un modelo consolidado y consistente de control de cumplimiento.

Según los expertos de Thomson Reuters, la cultura organizacional de las empresas está

poco a poco incorporando el cumplimiento, porque ayuda a mejorar la productividad, la

rentabilidad, el compromiso de los trabajadores, y contribuye a reducir los riesgos (Reuters, 2016).

Además, señalan que el 71% de las empresas piensa destinar un presupuesto mayor para los

programas de cumplimiento. Se espera también que continúe la tendencia a que los empleados

reporten, anónimamente o no, actividades sospechosas dentro de las empresas. El oficial de

cumplimiento debe asegurar que se cuente con los siguientes elementos:

183
El mapa de riesgos

El encargado de prevención debe desarrollar un mapa de riesgos en el que estén incluidos

todos los riesgos, priorizados por probabilidad de ocurrencia e impacto económico. Los riesgos

con mayor probabilidad e impacto deben ser priorizados y tratados. La identificación de los

riesgos requiere la participación de un equipo multidisciplinario que pueda ayudar a hacer un

barrido de todos los riesgos potenciales.

Plan de comunicación

Los riesgos mayores deben ser tratados, y las acciones de mitigación deben ser

comunicadas, junto con las recomendaciones y sugerencias al personal. Se debe crear un sólido

plan de comunicación que exprese de manera directa y fácil de entender las disposiciones

requeridas. El apoyo y soporte de la alta dirección son imprescindibles para que la cultura de

cumplimiento sea adoptada y seguida por todos. Predicar con el ejemplo es imprescindible.

Códigos internos de conducta

Cada vez más empresas tienen códigos internos de conducta. Estos permiten que el

personal esté al tanto de los valores éticos de la empresa, de las normas de integridad y de los

estándares de negocio. Los códigos deben ser certificados anualmente en muchas empresas, y en

otras, los ejecutivos deben confirmar que su comportamiento cumple con el código de conducta.

El no cumplir puede ocasionar desde la despedida hasta una denuncia civil o penal. En los códigos

se establecen muchas veces las responsabilidades de los gerentes y supervisores, instrucciones de

cómo presentar denuncias o dudas, prácticas de ética como la no corrupción, los conflictos de

interés, la política de regalos, de viajes, el comportamiento con funcionarios de gobierno, con

competidores, con contactos internacionales y de confidencialidad, entre otros. En algunos países

184
se hace referencia a la no discriminación por motivos religiosos, étnicos, raciales o de género.

También los códigos han incorporado políticas respecto al uso del equipo electrónico.

Normas ISO

Para el proceso de administración de sistemas de cumplimiento hay estándares, como el

ISO 37301, de 2021 (anteriormente ISO 19600, de 2014). Esta es una guía para establecer,

desarrollar, implementar, evaluar, mantener y mejorar un sistema de cumplimiento efectivo y

responsable (Coglianese & Nash, 2020). Complementa, entre otros, al sistema de gestión

antisoborno ISO 37001, de 2016. Cada sector industrial tiene sus propios requerimientos de

cumplimiento, pero algunos temas comunes son los siguientes:

Base de datos y librerías de regulaciones

Es necesario recibir y almacenar la información de las regulaciones actuales y esperadas,

categorizarlas y priorizarlas para su debida implementación. La librería debe incluir los procesos,

riesgos, controles y procedimientos necesarios.

Entrenamiento y capacitación del personal

Los equipos legales y de cumplimiento deben estar continuamente informados de las

regulaciones. Además, los empleados deben recibir periódicamente cursos de los temas que los

afecten directamente. Por ejemplo, un curso de leyes anticorrupción puede ser obligatorio para

todos los representantes comerciales.

Seguimiento y resolución de problemas

Los reguladores requieren una lista completa de problemas identificados, con acciones de

resolución, fechas, excepciones, respuesta a los problemas y tendencias. Es muy recomendable

tener esta información en una plataforma centralizada, que permita un manejo eficiente. Cada vez

185
más regulaciones requieren que exista clara y adecuada documentación de las certificaciones y

evaluaciones a seguir.

La autoevaluación

Es necesario realizar una autoevaluación de los procesos y de los conocimientos del

personal en el cumplimiento de las regulaciones. Además, se requiere llevar un control de las

autoevaluaciones y revisar su cumplimiento.

La prueba: la primera página del Wall Street Journal

Una simple guía de sentido común que usan las grandes corporaciones es hacer reflexionar

al personal sobre si sus acciones pudieran dar lugar a una noticia negativa sobre la empresa, que

aparezca en la primera página de un diario de negocios, como el Wall Street Journal. Cuando los

profesionales internalizan este riesgo, y ven que las consecuencias pueden ser muy graves, tienden

a cuidar más sus acciones y a involucrar más a los departamentos legales y de cumplimiento en

situaciones difíciles.

El ombudsperson

En un buen gobierno corporativo, es muchas veces necesario tener una persona que actúe

independientemente para asistir a los empleados, clientes u otros stakeholders en la resolución de

conflictos o preocupaciones que no son fácilmente comunicables. Algunos ejemplos son denuncias

internas por malversación de fondos, acoso sexual o soborno. Las empresas más grandes cuentan

para ello con el rol de ombudsperson. La palabra ombudsperson viene del sueco ombuds, que

significa ‘representante’. El concepto fue originalmente del imperio chino, en el que un

representante secreto del emperador viajaba a las provincias para recoger el sentimiento de los

pobladores respecto a sus gobernantes. En Suecia este cargo fue instituido por el Parlamento a

186
inicios del siglo XIX. Empresarialmente, fue a inicios de la década del 60 que se desarrolló en

Estados Unidos y Canadá. En español se tradujo este término como ‘defensor del pueblo’.

El ombudsperson corporativo, en contraposición al político, es también llamado en algunos

países ‘mediador’, y se ocupa de recibir y entender los problemas y cuestionamientos de los

empleados, clientes, proveedores y otros interesados, y de comunicarlos adecuadamente a la

organización para su resolución. Es muy importante que la comunicación de estos

cuestionamientos tenga absoluta confidencialidad. Además, no debe juzgar los cuestionamientos

ni filtrarlos, sino encaminarlos al canal más adecuado. Gran parte de su impacto se da en la

resolución del problema. Para ello puede usar las técnicas de mediación de la ‘resolución

alternativa de conflictos’.

Una forma de canalizar denuncias de posible fraude o corrupción interna, es la que permite

a los empleados comunicar esas inquietudes al ombudsperson, que a su vez debe ocuparse de que

sea comunicada, investigada y resuelta. Alternativamente, la SEC, el regulador de valores de

Estados Unidos, ofrece un premio, que alcanza entre 10 y 30% de la multa impuesta, a quien

denuncie un caso de fraude o corrupción en una empresa regulada. Como se puede suponer, no es

posible que el cargo de ombudsperson sea desempeñado por alguien que cumple además otras

funciones en la empresa, sino que tiene que ser totalmente independiente de la organización

ejecutiva, para evitar conflictos de interés. De esta manera, una persona independiente, y con

conocimiento de la empresa, puede canalizar para su resolución y de una manera adecuada,

preocupaciones y problemas que de otra manera pueden generar un problema mayor en la empresa.

En empresas medianas y pequeñas pueden desarrollar en lugar del ombudsperson un canal de

187
denuncias que sea anónimo y que garantice que el denunciante no sea perjudicado. Para ello existen

soluciones tecnológicas muy eficientes y seguras.

Niveles de madurez en cumplimiento

Las organizaciones que tienen programas de cumplimiento pueden ser categorizadas en

cuatro niveles, según el desarrollo de su control interno (KPMG, The Compliance Journey: Making

Compliance, 2005):

a. Fragmentado. Cuando el trabajo de cumplimiento es orientado a proyectos solamente. Los

esfuerzos son poco consistentes y desconectados. Este es el caso de muchas organizaciones que

ven el cumplimiento simplemente como una obligación.

b. Implementado. En este caso hay un claro programa de la empresa, bien enfocado y con personal

dedicado que coordina y comunica.

c. Integrado. Cuando, además de estar implementado, hay una clara orientación de cumplimiento

en todos los procesos, y las líneas de negocio comparten la responsabilidad.

d. Optimizado. Cuando cumplimiento es parte de la cultura de la empresa e integrada a su

estrategia. En este nivel, todas las personas de la organización creen firmemente y siguen

disciplinadamente los procesos de control, no solo buscando cumplir con ellos sino también

agregando valor.

Una evaluación del nivel de madurez ayuda a decidir con mayor precisión las herramientas

óptimas para la gestión de cumplimiento.

Riesgo y cumplimiento

Un estudio de la firma Ernst & Young muestra que hay un creciente enfoque del área de

cumplimiento en el uso de las herramientas de gestión de riesgo. Esto permite a los oficiales de

188
cumplimiento un enfoque más estratégico, dado que el uso de herramientas de riesgo requiere

mirar hacia el futuro (E&Y, 2016).

El compliance busca asegurar el cumplimiento de las organizaciones con las

leyes y regulaciones de manera eficiente y eficaz, así como servir de

mecanismo de supervisión de los procesos de auto regulación.

189
 Las herramientas GRC

Como se menciona anteriormente, una tendencia en el manejo interno de las empresas es

la integración a nivel estratégico del gobierno corporativo, la gestión integral del riesgo

empresarial y el cumplimiento regulatorio. Las tres actividades han sido ejecutadas

tradicionalmente por separado, con ejecutivos designados especialmente para liderar cada

función independientemente. La integración es necesaria porque de otra manera se producen

redundancias e ineficiencias que, además de duplicar gastos, limitan la comunicación entre los

participantes y pueden generar confusión y errores, perdiendo la visión integral. Las siglas GRC

(Governance, Risk and Compliance) son usadas para esta combinación de disciplinas en las que

se establece una comunicación y reporte comunes, con un adecuado soporte tecnológico.

La falta de integración tecnológica entre las tres es una complicación adicional, que dificulta

los procesos e intercambio de información para su seguimiento. GRC no propone que las tres

actividades sean lideradas por una sola persona, sino que compartan un mismo vocabulario,

métodos, procesos y, si es posible, tecnología. Las tendencias actuales que han acelerado la

necesidad de GRC son:

1. El continuo aumento de regulaciones que requieren una estricta disciplina de

cumplimiento. La necesidad de reducción de los costos de cumplimiento, sin sacrificar los

objetivos y la necesidad de mejorar la productividad.

2. La integración de la gestión de riesgo con todas las áreas funcionales, así como la

convergencia de los métodos cuantitativos y cualitativos de riesgo

3. Los grandes avances tecnológicos que, por un lado, ofrecen grandes oportunidades de

mejora de la productividad y, por otro, nuevos riesgos cibernéticos.

190
 4. El crecimiento exponencial de los datos disponibles para la gestión de la empresa, el

análisis del entorno y la información histórica.

5. Los problemas que se presentan cuando un mismo riesgo es visto desde puntos de vista

diferentes por cada función, creando confusión o falta de visibilidad en la alta gerencia.

6. Los escándalos corporativos y el riesgo de perder la buena reputación y conducta

empresarial.

La firma KPMG propone en su definición de GRC, que es una disciplina estratégica, un

proceso continuo que debe ser parte de la cultura organizacional, que funciona muy bien cuando

hay un espíritu de colaboración entre las áreas funcionales y cuya implementación puede ayudar a

las organizaciones a evitar sorpresas (KPMG, Corporate Governance, Risk and Compliance,

2008). Una organización que ha contribuido a la difusión de este término es la OCEG, que lo

relaciona con el concepto de ‘rendimiento con principios’ (principled performance), que propone

el “logro confiable de los objetivos considerando la incertidumbre y actuando con integridad”

(Mitchell, 2016). Para la OCEG, GRC es una cultura y una capacidad que permiten a las

organizaciones lograr ese rendimiento con principios. Para ello se debe entender y priorizar los

intereses de las partes interesadas, tener buena comunicación con las mismas, gestionar el riesgo

deseable y el indeseable, actuar con integridad y asegurar que el sistema esté logrando los

objetivos.

Beneficios

Los beneficios de un programa integrado de GRC son:

1. Minimizar el riesgo a la empresa, al proveer mayor visibilidad y contexto a las áreas más

importantes de negocio. Estos riesgos anteriormente eran manejados por cada área funcional

191
 separadamente. Así, por ejemplo, un riesgo operativo gestionado únicamente por operaciones

no era siempre visto por el área legal, así tuviera serias implicaciones legales por

desconocimiento del área operativa. Cuando legal se enteraba del problema ya era muy tarde

para evitarlo.

2. Aumentar la eficiencia y reducir costos, gracias a la eliminación de redundancias y a la

simplificación de procesos. También la eficiencia mejora al tener un estándar en la

identificación y control del riesgo.

3. Optimizar los reportes en la empresa, gracias a la plataforma que permite reportar la

información adecuada a las personas indicadas en el momento preciso para la correcta toma

de decisiones. Estos reportes no solo sirven internamente, sino que algunos de ellos también

pueden ser usados para comunicarse con reguladores u otras partes interesadas.

Tecnología para la gestión de GRC

Con el aumento de la complejidad de los riesgos que amenazan a las empresas, de la

cantidad de información a analizar y de las nuevas y complejas regulaciones, muchas empresas

deciden hacer uso de la tecnología para facilitar su gestión. En muchos casos, los departamentos

internos de TI diseñan soluciones específicas para su empresa. En otros, los departamentos de

riesgo diseñan sus propias tablas y macros en hojas de cálculo que se envían por correo electrónico.

Los problemas de las tablas, macros y hojas de cálculo o similares son que pueden no tener:

• Control de versión.

• Control de acceso.

• Control de cambios.

• Registro auditable.

192
 • Seguimiento automático de tareas.

• Alertas automáticas.

De manera similar al desarrollo de los sistemas ERP para gestión contable, administrativa

y financiera de las empresas, surgieron algunos módulos de gestión de riesgos. Muchas de esas

son soluciones parciales o limitadas, que no siempre cumplen con los requerimientos necesarios

para una buena gestión de gobierno corporativo. Por ello, desde hace no mucho tiempo, existen

las plataformas integradas de GRC, diseñadas con una arquitectura específica para este fin.

Como las empresas requieren de una estructura flexible para los programas de gobierno

corporativo, las plataformas GRC pueden responder a esa necesidad, facilitando una amplia y

rápida comunicación en la empresa e integrando todos los asuntos relevantes que defiendan los

intereses de los accionistas. Sin embargo, para que estas soluciones sean efectivas, las empresas

requieren haber implementado los procesos integrales de GRC, pues la tecnología no resuelve la

falta de procesos, sino que solo facilita su uso.

Las plataformas integradas GRC pueden ayudar al mapeo de todos los factores de gobierno,

riesgo y cumplimiento, asegurando controles adecuados, detectando problemas emergentes,

alertando en tiempo real los riesgos emergentes y las actividades incompletas, y ayudando a que

la alta dirección de la empresa esté mejor informada y pueda tomar decisiones a tiempo y basadas

en datos concretos. También proveen cálculos y reportes de pérdidas debido a los riesgos. Visto

como un sistema, antes del enfoque GRC había una falta de conexión entre las actividades que

impedía la rapidez en el acceso a la información de los problemas emergentes de las

organizaciones. Los silos organizacionales generaban problemas con el manejo tecnológico, el

acceso y manejo de las bases de datos y la disponibilidad de la información en un ambiente cada

193
vez más regulado y global. Adicionalmente, la información almacenada de las actividades de GRC

puede ser analizada para el diseño de nuevos o mejores procesos y productos.

Entre otros, los problemas que una plataforma integrada de GRC resuelven son los

siguientes:

• Dependencia de ciertas personas, de su intuición y experiencia, en vez de procesos y

sistemas.

• Necesidad de ‘reinventar la rueda’, es decir, diseñar una arquitectura que ya fue bien

pensada y recrear la plataforma sin el conocimiento especializado; costos de error y

redundancia.

• Dificultad en mantener un histórico de la gestión de riesgos.

• No aprovechar la actualización constante de los sistemas especializados, que reciben

información de los cambios y avances y los agregan permanentemente al sistema.

• Calidad y consistencia en los datos.

Si bien las empresas que cotizan en bolsa son las que tienen una necesidad más urgente de

la plataforma GRC, está probado que las empresas que tienen un sólido gobierno corporativo

responden mejor a situaciones de estrés, como la crisis financiera de 2008. Las empresas que

aspiran a cotizar en bolsa, o que planean fusiones o adquisiciones, también se benefician de una

implementación de GRC. En general, el buen gobierno corporativo contribuye con el desarrollo,

permite un mayor acceso al capital y promueve la inversión y el empleo. Las organizaciones están

en un proceso en el que se expande el uso de GRC a otras áreas que impactan significativamente

a la empresa. Las soluciones tecnológicas deben incluir las siguientes aplicaciones:

• Gobierno corporativo, gestión integral de riesgo, y riesgo operativo.

194
 • Auditoría, cumplimiento, ética en cumplimiento, y gestión de cambio

regulatorio.

• Gestión corporativa de proveedores, gestión de contratos.

• Calidad, salud y seguridad del ambiente, y sostenibilidad.

• Riesgo y cumplimiento de tecnología de la información, riesgo cibernético,

y procesos de seguridad.

• Gestión de redes sociales y privacidad de datos.

Las plataformas tecnológicas de GRC incluyen todos esos aspectos a través de aplicativos

que permiten una gestión integral. Los que tienen una arquitectura más sofisticada tienen en su

base al riesgo individual que puede ser visto desde diferentes perspectivas, según el área

correspondiente. Por ejemplo, un riesgo que, según el área de cumplimiento, tenga un alto nivel

de riesgo, puede ser visto desde el punto de vista de auditoría como de bajo riesgo.

Registro de datos

El registro de datos necesarios para una adecuada gestión de riesgos debe incluir al menos

los siguientes campos:

• Resumen del riesgo identificado.

• Detalles adicionales explicando el riesgo.

• Un número o código que identifique el riesgo.

• Responsable de la mitigación.

• Datos de contacto del responsable.

• Fecha de registro y fechas de modificaciones.

195
 • Descripción del plan de mitigación. El plan puede estar enlazado a otra base de datos con

los detalles de las medidas correctivas.

• Impacto. Una medición del impacto (por ejemplo, monetario) que el riesgo puede tener en

la organización. Puede ser registrado en una escala del 1 al 5, donde 1 es bajo impacto y 5

es alto impacto.

• Probabilidad. Medición de qué tan probable es que se presente el riesgo identificado.

También se puede usar una escala de 1 a 5.

• Puntaje de riesgo. Es la multiplicación del impacto por la probabilidad. Con el puntaje de

riesgo se puede construir un mapa de calor, que representa los riesgos en dos dimensiones,

un eje de impacto y otro de probabilidad.

Ejemplo: aplicación de riesgo operacional

El aplicativo de riesgo operacional incluye módulos para el planeamiento, la identificación

y clasificación de riesgos, la evaluación de riesgos inherentes y residuales, la ejecución y diseño

de controles, la evaluación de controles y la gestión integrada de riesgos. Tiene por lo general los

siguientes pasos:

Evaluación de riesgos

Como se ha visto en la sección de riesgo, esta etapa comienza generalmente con una lluvia de ideas

a cargo de un equipo multifuncional de trabajo, que combine conocimientos del área operacional

con otras disciplinas tales como finanzas, recursos humanos, tecnología y logística. El módulo de

riesgo operacional permite registrar todas las ideas para su posterior análisis.

196
 Cálculo de pérdidas

El grupo debe después priorizar los riesgos, considerando la probabilidad de ocurrencia e impacto.

En el sector bancario, la captura y categorización de los eventos de riesgos se debe hacer según las

regulaciones locales, que normalmente exigen una base de datos de pérdidas por riesgo

operacional.

El sistema GRC permite registrar la probabilidad e impacto de cada riesgo, de manera que sea

posible calcular la pérdida esperada.

En este paso se deben definir los límites de pérdida, consolidar datos de fuentes de información

externas y hacer análisis de escenarios de pérdidas potenciales.

Identificación y control de mediciones críticas (KPI, KRI y KCI)

Una vez priorizados los riesgos, se debe diseñar un plan de mitigación y control. Las mediciones

críticas se definen así:

• KPI. Son las siglas de Key Performance Indicators, son los indicadores que la empresa

utiliza para medir y controlar el progreso hacia los objetivos propuestos.

• KRI. Key Risk Indicators, son usados para definir, medir y evaluar la tolerancia al perfil de

riesgo definido.

• KCI. Key Control Indicators, mide si los controles internos son efectivos y si la empresa

tiene el control sobre los mismos.

Las aplicaciones GRC facilitan la identificación de medidas críticas de riesgo, su documentación,

reporte, seguimiento y frecuencia de control. Ayudan a definir múltiples niveles de tolerancia y

acciones a seguir, así como análisis de correlaciones entre las mediciones.

197
 Análisis de escenarios

Ayudan a definir y planificar escenarios de riesgo, analizar tendencias, identificar escenarios base

y partes interesadas, conducir seminarios, capturar información y usar técnicas de análisis de

escenarios.

Cálculo de capital y análisis de riesgo

Facilitan el uso de múltiples formas de calcular el capital y de analizar riesgos operacionales. Para

ello, usan distribuciones de frecuencia y severidad, simulaciones de Monte Carlo, análisis

predictivo, análisis de escenarios y de modelos de riesgo. También ayudan a correlacionar los datos

de riesgo con los procesos relacionados de cumplimiento, auditoría y procesos de gobierno

corporativo.

Niveles de adopción de GRC

Debido a que la integración que permiten las plataformas de GRC es relativamente

novedosa, muchas empresas aún no han comenzado el proceso de adopción de este tipo de

solución. En el camino a su implementación, las empresas pasan por tres niveles hasta llegar a la

gestión integral, de una manera parecida a la implementación del cumplimiento. Estos niveles son:

Nivel I – Fragmentado

En esta etapa aún no se han implementado herramientas de GRC.

- La identificación y gestión de riesgos es realizada independientemente por varias áreas

de la empresa y solo son integradas al nivel del gerente general o CEO.

- El análisis de riesgo es mayormente cualitativo.

- La gestión de cumplimiento es poco fluida, manual y difícil de manejar.

198
 Nivel II – Parcialmente integrado

Se usan sólo algunas herramientas de GRC.

- Al introducir herramientas de GRC, el análisis de riesgo pasa a ser integrado en la

organización, con mayor visibilidad y con prioridades.

- El gobierno corporativo es más activo que proactivo.

Nivel III – Optimizado

Se aplica un sistema integral de GRC.

- Se aplica la inteligencia de riesgo, orientada a la detección temprana y/o predicción de

riesgos, anticipándose estratégicamente.

- GRC usado en todas las áreas de la empresa.

- Excelencia en cumplimiento, gracias a las herramientas de GRC.

- Procesos integrados y bien organizados.

Implementación

La implementación de un programa de GRC es un proceso que consolida los esfuerzos

alrededor de prioridades estratégicas, como, por ejemplo, gestión de las políticas de la empresa,

gestión de riesgo y privacidad. Además, al desarrollarse, permite involucrar a partes o procesos

interesadas que anteriormente no habían sido identificados como proveedores, clientes u otros.

Para una implementación exitosa, es necesario subrayar que no se trata solamente de una

herramienta tecnológica, sino que involucra además a personas y procesos. Por lo tanto, es

importante dividir el proceso en fases, de manera que su implementación sea gradual, permitiendo

los ajustes necesarios. Es recomendable que cada equipo de implementación cuente con un

promotor del equipo directivo, un gerente de proyecto personal de TI, expertos en temas

199
específicos y usuarios finales. Al iniciar el proyecto, se debe establecer la misión, alcances y

prioridades de este con la disciplina de manejo de proyectos y calidad. Al definir las etapas y

objetivos, será más visible el progreso del equipo y el valor agregado.

Fases de implementación

Un modelo integral de implementación de GRC requiere las siguientes fases:

1. Estrategia

En la estrategia de implementación es necesario definir inicialmente la visión, los objetivos

y las necesidades de las partes interesadas, de acuerdo con los riesgos, las prioridades y las

necesidades regulatorias de la empresa. A continuación, entender a qué nivel de desarrollo se va a

llegar en esta fase con el modelo de GRC a implementar. Hay múltiples opciones del modelo de

GRC a implementar. Para ello es fundamental hacer un análisis que compare el estado actual con

el deseado, identificando los vacíos a llenar. Finalmente, definir el modelo de GRC con la

participación de las partes interesadas y una definición clara de responsabilidades en gestión de

riesgo, para que sea un modelo proactivo y eficiente.

2. Diseño

En la fase de diseño es ventajoso usar librerías preparadas por los proveedores de la

solución tecnológica, así como modelos de organización. Las aplicaciones desarrolladas por estas

plataformas proveen además ayuda para el análisis de los procesos y soluciones tecnológicas para

integrar la infraestructura de la empresa al sistema de GRC con una arquitectura adecuada.

3. Implementación

La fase de implementación incluye constituir el equipo que la ejecutará, incorporar

representación de las partes interesadas, definir el modelo multigeneracional que muestre el

200
camino a seguir en el futuro, preparar la comunicación del proyecto y el plan de mejora continua.

Las plataformas tecnológicas proveen librerías con modelos y herramientas de implementación,

de acuerdo con las necesidades de las empresas.

GRC, herramienta contra el delito económico

La falta de una visión y gestión integradas de GRC, y la mentalidad departamental de

algunas empresas, dejan las puertas abiertas al llamado delito económico, el ataque ilícito a las

empresas en forma de fraude, blanqueo de dinero, o evasión tributaria. Esta vulnerabilidad puede

presentarse porque al haber liderazgos muy independientes de gobierno, riesgo y cumplimiento,

se pierde la visión integral y se relegan riesgos críticos debido a otras prioridades del directorio y

de la gerencia ejecutiva. Así, por ejemplo, cuando se contrata con proveedores, los riesgos que esa

relación puede tener son muy amplios. Hay desde riesgo reputacional, pasando por corrupción,

riesgo cibernético, privacidad de datos, hasta lavado de dinero. Si se limita el análisis de esos

riesgos a un área, que puede ser proveedores, sin suficiente visibilidad y transparencia a las demás

funciones, es más fácil que un proveedor cometa un delito contra la empresa.

Tecnologías GRC y el crimen cibernético

Para enfrentar el gran riesgo de la seguridad cibernética, las aplicaciones de GRC usan la

tecnología para sistematizar ese conocimiento escaso, centralizando los datos de seguridad,

integrando las políticas y los estándares, analizando y priorizando los riesgos e incidentes y

automatizando los procesos de seguridad. Además, cuentan con módulos de auditorías de TI que

permiten identificar defectos en la seguridad, resolverlos y asegurar que la empresa no esté

expuesta a esos riesgos (Abadir, 2016). Toda esta infraestructura permite a los profesionales de TI

201
dedicar menos tiempo a actividades manuales y más tiempo a construir un programa integral de

seguridad y gestión de riesgo, que provea visibilidad y valor a la organización.

Ética y cumplimiento

Debido a que el delito económico es perpetrado por personas que de alguna manera

contravienen un límite ético, las personas son la prioridad en este tema. Y tal vez, debido a eso, la

mayor preocupación es cómo la falta de ética y cumplimiento puede afectar la moral y el espíritu

de la empresa. El estudio de PwC muestra que hay una brecha entre los valores y la cultura que los

ejecutivos de las empresas desean inculcar, y lo que el personal realmente percibe y cree. Los

aplicativos GRC de cumplimiento y ética ayudan a identificar áreas de riesgo, proveen visibilidad

a la gerencia y, por medio de reportes automatizados, permiten su resolución, documentación y

seguimiento.

Lavado de dinero y financiamiento del terrorismo

Las operaciones de lavado de dinero son tan grandes que se estima su valor entre 2 y 5%

del producto bruto interno del mundo. Sin embargo, solo el 1% de ese tipo de operaciones son

detectadas. El 70% de las empresas cree que el mayor factor para este tipo de crimen es que el

sistema deja abiertas oportunidades a los criminales. Las empresas reportan falta de personal

adecuadamente entrenado en el mercado laboral. Por un lado, las amenazas son constantes y cada

vez más sofisticadas. Por otro lado, los reguladores imponen cada vez un número mayor de reglas

de cumplimiento. A eso se suma que las empresas tienen una gran dificultad de conseguir personal

especializado en temas muy necesarios como lavado de dinero y financiamiento del terrorismo.

Frente a estos retos, las opciones tecnológicas GRC proveen controles internos, evaluación de

202
riesgos y entrenamiento especial para difundir la cultura necesaria para detectar las operaciones de

lavado de dinero.

Las herramientas GRC ayudan a las organizaciones a implementar los

procesos de gobierno corporativo, gestión de riesgo y compliance, evitando

redundancias y colaborando en la comunicación y ejecución conjuntas.

203
 Conclusiones

1. La confluencia entre el buen gobierno corporativo, la gestión integral de riesgo con

responsabilidad social, y el cumplimiento regulatorio, son esenciales para lograr los objetivos

de las organizaciones en el siglo XXI. La sigla GRC resume esa confluencia, en la que se evita

una mentalidad de silos o compartimientos que impida a las organizaciones ver los riesgos

desde distintas perspectivas, evitando duplicidades y redundancias, y facilitando la

comunicación.

2. Las bases para un buen gobierno corporativo se han ido afinando por medio de iteraciones en

las guías y principios emitidos como resultado de grandes fallas corporativas como los

conocidos casos del banco BCCI, de Polly Peck y de Enron, entre otros. Las grandes

instituciones multilaterales, con el apoyo de los reguladores de cada país, han logrado difundir

esos principios y se experimenta una mayor sofisticación en su cumplimiento. Uno de los

grandes retos es el de equilibrar los más altos estándares de gobierno corporativo sin afectar la

innovación y la creatividad, fuentes fundamentales de valor agregado.

3. La historia revela que las fallas corporativas se dan normalmente por faltas éticas o por errores

de gestión. En muchas ocasiones, las faltas éticas, que son una abrumadora mayoría, logran

vencer al sistema, encontrando formas de acción delictiva, y muchas veces se dan en ciclos

que terminan con grandes problemas económicos. Los reguladores tratan de que estas faltas no

se repitan, tratando de mejorar o innovar las regulaciones, pero surgen nuevas e inesperadas

formas de delito. Mirando el futuro, estas pueden venir por temas aún incipientes o poco

entendidos, como en tecnologías de punta. La gestión de riesgo debe incorporar factores

psicológicos y de comportamiento humano en sus análisis.

204
4. Estudios recientes muestran que la percepción del riesgo no solo es un fenómeno cognitivo,

sino también biológico, relacionado con la hormona llamada cortisol. El aumento de cortisol

genera aversión al riesgo y su falta motiva riesgos inadecuados. La gestión de riesgo debe ser

balanceada, con una visión muy amplia, estratégica y multidisciplinaria. Se define la gestión

de riesgo como la ciencia y el arte de identificar, medir y minimizar, consciente y

diligentemente, los riesgos de la organización, priorizando y controlando inteligentemente los

riesgos inherentes, hasta dejarlos en un nivel de riesgos residuales que sea aceptable a la

organización.

5. La gestión integral de riesgo también ha evolucionado, con la adopción de estándares como

COSO e ISO, adaptándose a los nuevos riesgos tecnológicos que se presentan, y usando la

tecnología para estar un paso adelante. Sin embargo, hay indicios de que para detener a los

futuros criminales económicos se requiere de un impulso y previsión mucho mayores a los

actuales.

6. La tecnología presenta un riesgo importante al mundo empresarial. Por un lado, es una de las

mayores oportunidades de mejora en la productividad y en el desarrollo de nuevos negocios.

Por otro lado, requiere gestionar el riesgo de crimen cibernético dentro y fuera de la empresa,

así como una buena estrategia de acción frente al reto de la llamada transformación digital.

7. Desconocida hasta no hace mucho, la función de cumplimiento ha crecido muy rápidamente,

sobre todo en la industria financiera, para tratar de impedir, entre otros, el avance del lavado

de dinero, la corrupción y el financiamiento del terrorismo. Debido a este rápido crecimiento,

las empresas tienen dificultad para contratar personal especializado. Una fuerte cultura

corporativa de cumplimiento, en la que todos estén comprometidos, trabajando junto a los

205
 especialistas, la inversión en expertos y en herramientas, son indispensables para poder tener

éxito.

8. Existe el consenso de que la responsabilidad social es un elemento crítico para el éxito de las

empresas a largo plazo. Un buen entendimiento de las partes interesadas y la ejecución de un

plan de gestión, pueden ayudar mucho a manejar exitosamente la responsabilidad social

corporativa.

9. Al englobar todos estos conceptos bajo una sola estrategia, GRC, esta sirve para que la

irresponsabilidad, derivada de la falta de ética y la mediocridad, no acaben afectando a la

empresa, y, por lo tanto, a sus partes interesadas, incluyendo la sociedad y el medio ambiente.

GRC requiere un cambio cultural en el que se comparte más que en el esquema tradicional,

rompiendo barreras entre grupos internos de la empresa y promoviendo una actitud de

colaboración y anticipación a los riesgos.

10. Una de las oportunidades de mejorar la transparencia y visibilidad, además de productividad,

es la de las plataformas tecnológicas de GRC, que permiten, entre otras cosas, la gestión

integral de riesgos en un solo repositorio, el almacenamiento histórico de riesgos y

modificaciones a su control, el reporte automatizado del estado de riesgo, el acceso a

información externa relevante, tener una visión conjunta de los riesgos manteniendo las

distintas perspectivas, la capacidad de facilitar el proceso de riesgo de una manera

estandarizada y evitar la mentalidad de silo de algunas organizaciones.

206
 Referencias

Abadir, S. (2016). Leveraging GRC to support, enhance federal cyber expertise. Washington,

DC: Federal Times.

Abínzano, I. (2012). Finanzas Empresariales. Madrid: Ediutorial Paraninfo.

AFI. (2011). Corporate Finance and Access to Capital Markets. London: WSBI.

Aguilar, C. L. (2013). Institutional Investors: Power and Responsibility. Georgia: SEC.

Akerlof, G. (1970). The Market for 'Lemons': Quality Uncertainty and the Market Mechanism.

Quarterly Journal of Economics.

Aven, T. &. (2020). The COVID-19 pandemic: how can risk science help? Journal of Risk

Research, 1-6.

B, S. (2020). Sistema B Movimiento Global. Obtenido de Sistema B:

https://sistemab.org/movimiento-global/

Baker McKenzie. (19 de 03 de 2019). More than half of the UK's very large private companies

lack a clear corporate governance framework. Obtenido de Baker McKenzie:

https://www.bakermckenzie.com/en/newsroom/2019/03/corporate-governance-survey

Bencheikh, O. (2004). Le français risque el l'arabe rizq. Paris: Selefa France.

Bufkins, D. &. (2008). Red Flags in Enron's Reporting of Revenues & Key Financial Measures.

Cambrige, U. o. (2015). The Cadbury Report. Cambridge: University of Cambridge.

207
Carroll, D. A. (1991). The Pyramid of Corporate Social Responsibility.

Chicago, T. U. (2012). Complying with the Foreign Corrupt Practices Act. Chicago: Global

Anti-Corruption Task Force.

Choo, N. F. (2005). Law and Corporate Governance. Berkeley: Univeristy of California.

Coglianese, C., & Nash, J. (2020). Compliance Management Systems: Do They Make a

Difference? En D. D. eds, Cambridge Handbook of Compliance (págs. 20-35).

Cambridge: Cambridge University Press.

Conscious Capitalism, Inc. (23 de 12 de 2020). Conscious Capitalism, Inc. Obtenido de

Conscious Capitalism, Inc.: https://www.consciouscapitalism.org/

Cori, L. B. (2020). Risk perception and COVID-19. International Journal of Environmental

Research and Public Health.

COSO. (2013). COSO Internal Control — Integrated Framework Principles. COSO.

Council, F. R. (2014). The UK Corporate Governance Code. London: FRC.

Council, F. R. (2018). The UK Corporate Governance Code. London, England: Financial

Reporting Council.

David Martin, D. M. (2006). Corporate Governance: Practical Guidance on Accountability

Requirements. London: Thorogood Publishing.

Davis, D. &. (1991). Stewardship Theory or Agency Theory. Australian Journal of Management.

Deloitte. (2013). Exploring Strategic Risk. Deloitte.

208
Deloitte. (2015). The Chief Compliance Officer. Deloitte.

Deloitte. (2018). Global Risk Management Study, 11th edition. Deloitte.

Department for Business, E. &. (2016). Corporate Governance Reform. London.

Dolmetsch, C. (6 de Diciembre de 2013). Tyco’s Kozlowski Told Boad He’s Responsible for

Crimes. Bloomberg.

E&Y. (2016). A time of evolution for compliance laying foundations for future success. E&Y.

Edmans, A. (2008). Does the stock market fully value intangibles? Employee satisfaction and