Durante milenios se pensó que, la humanidad en su conjunto y los individuos en particular, estábamos sujetos a fenómenos naturales y a la voluntad de deidades, pero el tiempo cambió la percepción y llevó al estudio formal y serio de los riesgos.
LAS BASES
A partir del Renacimiento podemos ubicar varios nombres –como Chevalier de Méré, Luca Paccioli, Blas Pascal– que nos llevarían a otros nombres y teorías en los siglos XVII, XVIII y XIX hasta llegar al XX con Harry Markowitz –que en 1952 usó la desviación estándar de los rendimientos de los activos financieros como una medida cuantitativa del riesgo que representa la inversión en este tipo de instrumentos– y después William Sharpe, John Lintner y Jan Mossin quienes propusieron el modelo de precios de activos de capital (CAPM).
A Markowitz se sumaron otros nombres como Fisher Black y Myron Scholes quienes finalmente lograron valuar opciones (el modelo que lleva su nombre Black-Sholes) desde que se inventaron en el siglo XVII y que finalmente condujeron a la llamada burbuja de los tulipanes a mediados del Siglo XVII.
El paso definitivo hacia una administración de riesgos en el sector financiero se dio en 1994, cuando en un documento técnico del banco J. P. Morgan se estableció y popularizó el concepto de Valor en Riesgo o VaR como medida del riesgo de mercado que implica la tenencia de activos financieros.
LOS RIESGOS CON UNA TEORIA DETRÁS
Todas las investigaciones entremezcladas con los numerosos sucesos de crisis financieras, empezando con la burbuja de los tulipanes –cuando se emitieron opciones y futuros con las mismas características que hoy tienen, pero sin saber cómo valuarlos–, hasta la caída de las bolsas en 1929 –que condujo a la gran depresión de los treinta en el Siglo XX– hizo que surgieran herramientas y esquemas regulatorios más formales para administrar los riesgos.
Uno de éstos fueron los esquemas de calificación de empresas y los créditos asociados, liderados por Moody’s y Standard and Poor’s (de hecho, estos empezaron a publicar sus análisis desde la segunda mitad del siglo XIX) y la intervención de las autoridades financieras mediante la Legislación Glass-Steagal, que obligó a la separación de la banca comercial de la banca de inversión en 1933, la cual fue derogada en noviembre de 1999 por el presidente Clinton.
Evidentemente, ahí no termina el asunto, ya que durante el resto del Siglo XX y principios del actual se ha visto una gran cantidad de crisis financieras que incentivaron aún más la búsqueda de mejores maneras de administrar el riesgo por las propias instituciones financieras y las autoridades que las regulan.
MÉXICO Y EL ENFOQUE ANTIRIESGOS
En el sector financiero, la regulación en materia de riesgos es altamente sofisticada, rigurosa y estricta. Nos referimos a los acuerdos de Basilea que han sido adoptados por todos los países con cierto nivel de desarrollo y adaptados según sus particularidades. El primer acuerdo fue en 1988; en 2020 se emitió el tercero que a la fecha está vigente.
La regulación bancaria mexicana se apega estrictamente al acuerdo, con la excepción de unos pocos casos, como pueden ser “los 31 puntos” que tienen que ver con la regulación para operar con productos derivados (opciones, futuros, etc.) y la regulación sobre el “coeficiente de liquidez en moneda extranjera”, que son particulares de nuestro país.
Así, por lo menos en el sector financiero, ya se cuenta con un gran herramental para la medición y la administración de los riegos. Además, la regulación del sector financiero –bancos, casas de bolsa y aseguradoras– representan un fuerte complemento para asegurar el sano desempeño de las organizaciones dentro del sector y del sector en general. Prueba de ello es que en México, a diferencia de la crisis de1995, durante la crisis de 2008 y 2009 ninguna institución del sector estuvo en riesgo de quiebra.
Actualmente, las instituciones financieras cuentan con herramientas y esquemas organizativos que les permiten atender los riesgos que enfrentan. Por ley todas deben tener una Unidad de Administración Integral de Riesgos (UAIR) y un área de Auditoría Interna independiente que debe reportar directamente al consejo de administración. Además, deben contar con un área de Cumplimiento Normativo para garantizar que las áreas de negocios y operativas cumplan con las normas internas y regulatorias.
TRES LÍNEAS DE DEFENSA
Para la operación y coordinación de la UAIR y el área de Auditoría Interna hay tres líneas de defensa. Es importante recalcar que la organización debe hacer de la administración de riesgos una cultura dentro de la empresa. Así, todo el personal, a todos los niveles jerárquicos, tiene responsabilidades específicas para hacer que la empresa opere dentro de los límites que marca su “apetito de riesgo”. Dichas responsabilidades se plasman dentro del papel que juegan los diferentes empleados y áreas organizativas en las tres líneas de defensa.
PRIMERA LÍNEA DE DEFENSA
Está compuesta por todos los empleados de la organización involucrados directamente en la generación de ingresos, las ventas y el trato con los clientes. También están las áreas de soporte asociadas como la tesorería, soporte tecnológico, operaciones, recursos humanos, administración, etc. Los encargados de esta línea son los primeros responsables de los riesgos en los que incurren, incluyendo:
Identificación y gestión de todos los riesgos asociados a las actividades que realizan, así como el desarrollo de políticas, protocolos, estándares y controles a los que se debe sujetar su trabajo.
Operación dentro de todos los límites especificados por las áreas de riesgos y de cumplimiento (compliance) que se ajustan al apetito de riesgo de la empresa.
Escalamiento a la dirección general y en su caso, al consejo de administración, de eventos de riesgo que se hayan materializado.
Con lo anterior se entiende que los responsables de la primera línea de defensa deben diseñar y proponer sus propias reglas, es decir, sus políticas, protocolos, controles, etc. acordes con el marco y la cultura de regulación interna de la empresa; en particular el marco regulatorio diseñado en esta línea de defensa, en lo que se refiere a aspectos operativos, debe ajustarse a estrictos estándares de tolerancia por parte de sus empleados.
Todas las actividades desempeñadas en la primera línea de defensa deben someterse a protocolos estrictos de supervisión por parte de la segunda y tercera líneas de defensa.
SEGUNDA LÍNEA DE DEFENSA
Los empleados de las áreas de riesgos y de cumplimiento componen esta línea de defensa. Su función es establecer límites, reglas y restricciones dentro de las cuales pueden realizar sus actividades quienes conforman la primera línea de defensa. Esta normativa, debe estar en estricto apego con el apetito de riesgo de la empresa.
Además, esta línea de defensa es responsable de supervisar las actividades de la primera línea, cuidando que se ajusten a los límites, protocolos, controles etc., que deben ser cuantitativos, en la medida de lo posible, como resultado de la aplicación de modelos y análisis técnicos. Las técnicas y modelos empleados deben ser aprobados y en su caso realizados por la segunda línea.
La segunda línea es el corazón de la inteligencia de riesgos de la empresa; sus integrantes deben contar con capacidad técnica y soporte tecnológico de punta. Por lo anterior, se deduce que esta línea es también la encargada de medir el nivel de riesgo que asume la empresa en su operación.
Si se llegara a presentar una transgresión normativa de límites, protocolos o controles por parte de la primera línea, la segunda línea podrá, discrecionalmente, dirigir las actividades de la primera línea, para corregir cualquier desviación normativa que la conduzca a estar en cumplimiento de la normatividad violada.
Esto significa que la segunda línea de defensa tiene la autoridad y la responsabilidad de cuestionar y desafiar cualquier actividad que, a su juicio, pueda significar un riesgo excesivo por parte de la primera línea de defensa. Además, podrá realizar actividades que a juicio del director general de riesgos (CRO) reduzcan el nivel de riesgo de la empresa sin afectar sus resultados.
Sin embargo, no todos los límites, restricciones y protocolos a los que debe sujetarse la primera línea de defensa son impuestos por la segunda, particularmente los que se refieren a riesgo operacional. Estos controles los definirán los funcionarios a cargo del control de las operaciones de la empresa y el marco normativo correspondiente. Los controles que no encajen estrictamente dentro de dicha normatividad quedarán sujetos a un programa de autoevaluación de los operadores, bajo la supervisión de la segunda línea de defensa.
La segunda línea de defensa es la responsable del diseño de las políticas que detallan sus propias responsabilidades y actividades, así como de la gestión de las actividades que desempeñan y la evaluación su cumplimiento. El CRO asignará las responsabilidades correspondientes dentro del departamento de riesgos, llamado Unidad de Administración Integral de Riesgos (UAIR).
Algunas áreas de la UAIR pueden requerir la supervisión de agentes externos u otras áreas de la misma UAIR; por ejemplo, las encargadas de la tecnología de riesgos se pueden beneficiar de conocimientos de consultores externos. Además, en el caso de empresas del sector financiero, estarán sujetos a la supervisión de las autoridades financieras.
TERCERA LÍNEA DE DEFENSA
El área responsable de esta línea es la de Auditoría Interna que se encarga de asegurar al consejo de administración y a la dirección ejecutiva de la empresa la efectividad de la gobernanza interna, la administración de riesgos y su control, así como sobre los riesgos actuales, incluidos los de tipo sistémicos y la evolución de éstos.
POR UNA CULTURA DE RIESGOS
Aunque el departamento Legal, no forma parte de ninguna de las tres líneas de defensa, les da soporte. Sin embargo, este departamento está sujeto a la supervisión de las áreas de riesgos y cumplimiento en lo que se refiere a riesgo operacional y de conducta. Es más, independientemente de sus funciones específicas, todas las áreas y equipos dentro de la empresa que manejan o gestionan alguno de sus procesos productivos son responsables del diseño, implementación, remediación, supervisión y pruebas necesarias para asegurar un buen control y manejo de los riesgos y de los procesos de los que son responsables. Cuando todo esto se da, se puede decir que la empresa ha logrado instaurar una verdadera cultura de riesgos.