Principios para un Marco
Efectivo de Apetito al Riesgo
18 Noviembre 2013
Texto Traducido por ASBA
Dada la posibilidad de error humano y/o mecánico de nuestras fuentes y/o
traductoras, ASBA no garantiza la exactitud, adecuación o integridad de
cualquier información y no se hace responsable por cualesquiera errores,
omisiones, o por los resultados derivados del uso de dicha información. Las
opiniones y aseveraciones contenidas en este documento publicado de un
autor individual es de absoluta responsabilidad del mismo y no compromete la
opinión de la Asociación de Supervisores Bancarios de las Américas, de su Junta
Directiva o de la Secretaría General.
Índice
Página I. Introducción....................................................................................................................... 1
II. Definiciones Clave............................................................................................................. 2
III. Principios. .......................................................................................................................... 3
1. Marco del apetito por el riesgo........................................................................................... 3
1.1 Un RAF eficaz........................................................................................................... 4
2. Declaración del apetito por el riesgo.................................................................................. 5
2.1 Una declaración eficaz del apetito por el riesgo........................................................ 5
3. Límites de riesgo................................................................................................................. 6
3.1 Límites de riesgo........................................................................................................ 6
4. Roles y responsabilidades................................................................................................... 7
4.1 La junta directiva........................................................................................................ 8
4.2 El director general...................................................................................................... 9
4.3 El director de riesgo................................................................................................. 10
4.4 El director de finanzas............................................................................................. 10
4.5 Líderes de líneas de negocios y gestión a nivel de la entidad legal......................... 11
4.6 Auditoría interna (u otro asesor independiente)....................................................... 12
I. Introducción
Uno de los componentes clave del marco del Consejo de Estabilidad Financiera (Financial Stability
Board, por sus singlas en inglés (FSB)) y que está avalado por los Mandatarios de los G20 para reducir
el riesgo moral de las instituciones financieras que son sistémicamente importantes (SIFIs, por sus
singlas en inglés) es incrementar la intensidad y la eficacia de la supervisión. Como tal, las expectativas
de supervisión para la gestión de riesgos especialmente a nivel de las SIFIs están aumentando. El
informe1 de los avances del FSB de octubre del 2011 sobre la supervisión mejorada consideró que los
marcos sobre el apetito al riesgo (RAFs, por sus siglas en inglés) que sean ejecutables y fácilmente
medidos, tanto por las instituciones financieras como por los supervisores, aún no han sido adoptados
de forma global. También llegó a la conclusión de que el desarrollo de un RAF eficaz es importante
para las instituciones financieras y los supervisores y que requiere de la atención de ambos. El informe
recomendó que los supervisores dialoguen sobre las expectativas respecto a lo que significa un “buen”
marco sobre el apetito al riesgo y cómo realizar la supervisión en contra de estas expectativas.
Debido a estos hallazgos, el FSB lanzó una revisión por los homólogos sobre el gobierno del riesgo que
fue publicado en febrero del 2013.2 Con base en los hallazgos de la revisión, se establecieron cinco
recomendaciones, una de las cuales le solicitó al FSB que desarrollara, en colaboración con los
encargados del establecimiento de las normas, una guía sobre los elementos clave que contiene un RAF
eficaz. De igual manera el informe le recomendó al FSB que estableciera definiciones en común para
los términos que se usan en los RAFs con el objetivo de facilitar la comunicación entre los supervisores
y las instituciones financieras, así como dentro de las instituciones financieras mismas (consultar la
Sección II).
Los Principios del FSB establecen los elementos clave para: (i) un marco eficaz para el apetito por el
riesgo, (ii) una declaración eficaz para el apetito por el riesgo, (iii) límites de riesgo, y (iv) la definición
de los roles y responsabilidades de la junta directiva y la alta gerencia (consultar la Sección III). El
objetivo de los Principios es mejorar la supervisión de las SIFIs, pero también son relevantes para la
supervisión de las instituciones financieras y para los grupos generales, que incluye a las aseguradoras,
empresas de valores y otras instituciones financieras no bancarias. Para las que no son SIFIs, los
supervisores y las instituciones financieras pueden utilizar los Principios de forma proporcional de tal
manera que el RAF sea apropiado para la naturaleza, alcance y complejidad de las actividades de la
institución financiera.
Un RAF adecuado debe permitir que la capacidad para el riesgo, el apetito por el riesgo, los límites de
riesgo y el perfil de riesgo sean considerados como relevantes y dentro del contexto del grupo para las
líneas de negocios y para las entidades legales. Las subsidiarias de los grupos, particularmente las SIFIs,
deben contar con una declaración del apetito por el riesgo que vaya de acuerdo con el RAF de toda la
institución y con el apetito por el riesgo. Los elementos del RAF deberán ser aplicados a los niveles de
la línea de negocio y de la entidad legal de tal manera que vaya de acuerdo con el tamaño de las
exposiciones, complejidad e importancia de los riesgos. Las instituciones financiares, después de haber
dialogado con los supervisores y de acuerdo con sus evaluaciones internas del apetito por el riesgo,
1 http://www.financialstabilityboard.org/publications/r_111104ee.pdf. 2 http://www.financialstabilityboard.org/publications/r_130212.pdf.
capacidad de riesgo, perfil del mismo y de haber considerado el capital, liquidez y ganancias a nivel de
la institución, deberán determinar esta importancia.
Los Principios del FSB son de alto nivel para permitir que las instituciones financieras desarrollen un
RAF eficaz que sea específico para la institución y que refleje su modelo de negocio y organización y
que también permita que las instituciones financieras se adapten al entorno económico que sufre
cambios constantes y a la regulación para poder gestionar los nuevos tipos de riesgo. El establecimiento
de un RAF eficaz ayuda a reforzar una cultura de riesgo fuerte en las instituciones financieras, que a su
vez es de suma importancia para una sana gestión de riesgo. Una sana gestión de riesgo ofrece un
entorno que facilita asegurar que los riesgos que emergen y que tendrán un impacto importante sobre la
institución, así como cualquier otra actividad de toma de riesgo que sobrepase el apetito por el riesgo de
la institución, sean reconocidos, informados y abordados de forma oportuna.
Los supervisores deberán tomar las medidas para asegurar que las instituciones financieras, en
particular las SFIs, cumplan con estos Principios y deberán dialogar periódicamente con las
instituciones financieras sobre cualquier cambio que se le realice a su RAF, violaciones a los
límites de riesgo, desviaciones importantes de la declaración aprobada sobre el apetito por el riesgo,
así como cualquier otro riesgo importante que el RAF no aborde de forma adecuada. En el caso de
los grupos internacionales, los supervisores, así como los colegios de supervisión, deben dialogar y
evaluar el RAF de forma periódica.
II. Definiciones clave
A menudo las definiciones para los términos clave que se utilizan en los RAFs suelen diferir a
través de las jurisdicciones y aún entre las instituciones financieras mismas. El término “marco del
apetito por el riesgo” y sus elementos particulares pueden tener diferentes significados a través de
la industria. Para los fines de estos Principios se utilizan las siguientes definiciones, cuyo fin es
establecer una nomenclatura en común para facilitar el diálogo de los supervisores y las
instituciones sobre el apetito por el riesgo.
Marco del
apetito por el
riesgo:
Enfoque general, que incluye las políticas, procesos, controles y sistemas
mediante los cuales se estable, comunica y monitorea el apetito por el riesgo.
Incluye la declaración del apetito por el riesgo, los límites de riesgo y un
esquema de los roles y responsabilidades de los que supervisan la
implementación y el monitoreo del RAF. El RAF debe considerar los riesgos
importantes que enfrenta la institución financiera, así como los que afectan la
reputación de la institución vis-à-vis los asegurados, depositante, inversionistas y
clientes. El RAF se alinea con la estrategia de la institución.
Declaración
del apetito
por el riesgo:
La articulación en su forma escrita del nivel agregado de los tipos de riesgo que
una institución financiera está dispuesta a aceptar, o evitar, para lograr sus
objetivos del negocio. Incluye declaraciones cualitativas así como medidas
cuantitativas formuladas respecto a ganancias, capital, medidas de riesgo,
liquidez y otras medidas relevantes según sea necesario. También debe abordar
riesgos que son más difíciles de cuantificar, tales como los de reputación y
comportamiento así como los de lavado de dinero y prácticas poco éticas.
Capacidad de
riesgo:
El nivel máximo de riesgo que una institución financiera pude asumir dado su
nivel actual de recursos antes de violar las restricciones determinadas por el
capital reglamentario y las necesidades de liquidez, el ambiente operativo (e.g.
infraestructura técnica, capacidad para la gestión de riesgo, su conocimiento
experto) y obligaciones, y también desde la perspectiva del comportamiento, a
los depositantes, asegurados, accionistas, inversionistas a plazo fijo, así como a
otros clientes y actores.
Apetito por el
riesgo:3
El nivel agregado y los tipos de riesgo que una institución financiera está
dispuesta a asumir dentro de su capacidad de riesgo para lograr sus objetivos
estratégicos y plan de negocios.
3 Los términos “apetito por el riesgo”, “tolerancia al riesgo”, y “límites de riesgo”, pueden ser utilizados por los autores con significados
ligeramente diferentes; sin embargo, para claridad y simplicidad el FSB únicamente utiliza los términos apetito por el riesgo y límites de
riesgo.
Límites de riesgo:
Medidas cuantitativas con base en supuestos sobre el futuro que determinan la
declaración del apetito por el riesgo agregado de la institución financiera (e.g. la
medición de pérdidas o de eventos negativos) para las líneas de negocios,
entidades legales, conforme se requiera, las categorías específicas de riesgos, las
concentraciones y conforme sea necesario, otros niveles.
Perfil de riesgo:
Evaluación en el tiempo de las exposiciones brutas y, según sea el caso,
netas de riesgo de la institución financiera (después de tomar en cuenta
los mitigantes) que fueron agregadas dentro y a través de cada categoría
relevante de riesgo con base en los supuestos futuros,
III. Principios
1. Marco del apetito por el riesgo
El desarrollo y establecimiento de un RAF eficaz es un proceso iterativo y evolucionario que
requiere un diálogo continuo dentro de toda la institución financiera para lograr la aceptación a
través de la organización. El RAF establece el perfil de riesgo de la institución y forma parte del
proceso de desarrollo e implementación de la estrategia y determinación de la institución respecto
a los riesgos que fueron llevados a cabo en relación con la capacidad de riesgo de la institución.
Para los fines de estos Principios, el RAF no incluye los procesos para establecer la estrategia,
desarrollar el plan de negocios y los modelos y sistemas para medir y agregar riesgos.4 El RAF
debe estar alineado con el plan de negocios, el desarrollo de la estrategia, planeación de capital y
esquemas de compensación de la institución financiera. Un RAF efectivo debe proporcionar un
marco común y medidas comparables a través de la institución financiera para que la alta gerencia
y la junta puedan comunicarse, entender y evaluar los tipos y el nivel de riesgo que están
dispuestas a aceptar. De forma explícita define los límites dentro de los cuales se espera que la
gerencia opere cuando está tratando de seguir las estrategias de negocio de la institución. Las
instituciones financieras que logran implementar un RAF de la forma más eficaz son aquellas que
incluyen al marco dentro de su proceso de toma de decisiones y dentro del marco de gestión de
riesgo de toda la institución y que comunican y promueven el marco a través de la organización
iniciando desde arriba. Las instituciones financieras y los supervisores deben verificar que el
apetito por el riesgo “desde arriba hacia abajo” sea congruente con la perspectiva “de abajo hacia
arriba” mediante, por ejemplo, encuestas de los empleados, revisiones independientes e informes
internos.
La evaluación del perfil de riesgo consolidado de una institución financiera versus su apetito por el
riesgo también debe ser un proceso continuo e iterativo. Para implementar un RAF eficaz se
requiere de una combinación adecuada de políticas, procesos, controles, sistemas y procedimientos
para lograr un conjunto de objetivos.
4 Información adicional sobre estos temas se encuentra disponible por ejemplo en Principles for Sound Liquidity Risk Management
and Supervision (2008, disponible en http://www.bis.org/publ/bcbs144.htm) o Principles for Effective Risk Data Aggregation and Risk
Reporting (2013, disponible en http://www.bis.org/publ/bcbs239.htm) del Comité de Basilea.
El RAF debe lograr que la capacidad de riesgo, el apetito por el riesgo, los límites de riesgo y el
perfil de riesgo sean considerados para las líneas de negocios y las entidades legales como
relevantes y que dentro del contexto del grupo también se tome en cuenta las relaciones a través de
las entidades legales (e.g. en el caso de agrupamiento de riesgos u otras interconexiones).5 Como
tal, un RAF efectivo y eficaz debe estar muy vinculado al desarrollo de la tecnología de la
información (IT, por sus siglas en inglés) y a los sistemas gerenciales de información (MIS, por
sus siglas en inglés) en las instituciones financieras.6
Los supervisores deben ser flexibles y utilizar sus habilidades, experiencia y conocimiento de la
institución financiera en la evaluación de la suficiencia del RAF. Los supervisores pueden evaluar
la calidad de un RAF en particular mediante, por ejemplo, un diálogo con la junta y con la alta
gerencia respecto a cómo está relacionada la estrategia de la institución al RAF, así como que
impacto tuvo el apetito por el riesgo sobre las decisiones de la institución. Esto incluye una
revisión de otros materiales, tales como los documentos sobre la estrategia y planeación y los
informes de la junta, dentro del contexto de cómo la junta determina, implementa y monitorea su
apetito por el riesgo, de tal manera que se pueda asegurar que la toma de riesgo vaya de acuerdo
con la declaración de apetito por el riesgo que fue aprobada por la junta.
1.1 Un RAF eficaz debe:
a) establecer un proceso para comunicar el RAF a través y dentro de la institución
financiera así como para compartir información no confidencial con los actores
externos (e.g. accionistas, depositantes, inversionistas a plazo fijo);
b) ser impulsado tanto por el liderazgo de la junta desde arriba hacia abajo como por
el involucramiento de abajo hacia arriba de la gerencia a todos los niveles e
integrados y entendidos a través de la institución financiera;
c) facilitar la integración del apetito por el riesgo dentro de la cultura de riesgo de la
institución financiera;
d) evaluar las oportunidades para la toma de riesgos y actuar en defensa de la toma
excesiva de riesgo;
e) permitir que se use la declaración del apetito por el riesgo como una herramienta
para promover un diálogo robusto sobre el riesgo y como una base sobre la cual las
funciones de la junta, la gerencia de riesgos y auditoría interna puedan debatir y
cuestionar de forma efectiva y creíble las recomendaciones y decisiones de la
gerencia;
f) ser flexible para adaptarse a los cambios en los negocios y condiciones de mercado,
de tal manera que, sujeto a la aprobación de la alta gerencia y de la junta según sea
el caso, las oportunidades que requieren un incremento en el límite de riesgo de una
línea de negocios o de una entidad legal puedan cumplirse al mismo tiempo que se
5 Las instituciones financieras deben determinar la importancia de acuerdo con su evaluación interna del apetito por el riesgo, capacidad
de riesgo y perfil de riesgo, tomando en cuenta el capital, liquidez y ganancias a nivel de la entidad. 6 La implementación de los BCBS Principles for Effective Risk Data Aggregation and Risk Reporting facilitará la capacidad de la
institución para identificar, agregar e informar sobre los riesgos a través de toda la institución, entidad legal y niveles de categoría de
riesgos.
encuentran dentro del apetito por el riesgo concordado para toda la institución;7
g) cubrir actividades, operaciones y sistemas de la institución financiera que se
encuentran dentro de su entorno de riesgo pero que están fuera de un control
directo, que incluye a las subsidiarias y a los proveedores subcontratados externos;
y
h) ser congruente con los principios de este documento
2. Declaración del apetito por el riesgo
La declaración del apetito por el riesgo debe ser fácil de comunicar y por lo tanto fácil de entender
para todos los actores. Debe estar directamente vinculada a la estrategia de la institución financiera,
abordar los riesgos importantes de la institución tanto bajo las condiciones8 macroeconómicas y de
mercado normales como bajo estrés, e implementar términos y expectativas claras mediante el
establecimiento de límites cuantitativos y declaraciones cualitativas. Debe establecer medidas
cuantitativas de pérdidas o resultados negativos que puedan ser agregados o desagregados. Estas
medidas pueden estar expresadas en términos de ganancias, capital, liquidez en riesgo, u otras
métricas apropiadas (e.g. crecimiento, volatilidad). Las declaraciones cualitativas deben
complementar las medidas cuantitativas, establecer la tónica general del enfoque de la institución
financiera hacia la toma de riesgos; articular con claridad las motivaciones para asumir o evitar
ciertos tipos de riesgos, productos, exposiciones regionales/de país, u otras categorías. El primer
paso debe ser el establecimiento del apetito por el riesgo de toda la institución; el apetito por el
riesgo agregado debe ser asignado a las líneas de negocios de la institución financiera, a las
entidades legales conforme sea relevante, y a otros niveles de acuerdo al caso, conjuntamente
alineado a los planes estratégicos y de negocios de la institución. Esto implica sentido común y
requiere recibir información de abajo hacia arriba así como de arriba hacia abajo.
Otros ejemplos mejores de declaraciones del apetito por el riesgo incluyen una declaración
recapitulativa que sea fácil de entender para todos los accionistas y que aborde los niveles y tipos de
riesgo que la institución financiera está dispuesta a aceptar para lograr sus objetivos de negocio. No es
necesario que el apetito por el riesgo se exprese en un sólo documento; sin embargo, se debe revisar
cuidadosamente la forma en que está expresado y la manera mediante la cual varios documentos
forman un “todo coherente” para estar seguros de que la junta reciba un punto de vista del apetito por
el riesgo de la institución financiera que sea holístico pero compacto y fácil de absorber.
2.1 Una declaración eficaz del apetito por el riesgo debe:
a) incluir antecedentes de información y supuestos clave que dieron a conocer los
planes estratégicos y de negocio de la institución en el momento en que fueron
aprobados:
7 Esto se puede cumplir, por ejemplo, si se incrementa la capacidad de riesgo de la institución, si se reduce el riesgo dentro de otra línea de
negocio o de entidad legal, o si se asigna un límite de riesgo de otra línea de negocio o de entidad legal. 8 Por ejemplo, un escenario de estrés para medidas de liquidez podría incluir la capacidad para cumplir con las salidas de efectivo
esperadas debido a un evento de liquidez específico de la institución financiera que incluye la pérdida del acceso a todos los mercados
de financiamiento no garantizado por un periodo de hasta 12 meses (ver Monitoring Tools for Intraday Liquidity Management del
BCBS que se encuentra disponible en: http://www.bis.org/publ/bcbs248.pf).
b) estar vinculada a los planes estratégicos, de capital y financieros de corto y largo
plazo de la institución, así como los programas de compensación;
c) establecer la cantidad de riesgo que una institución financiera está dispuesta a
aceptar al tratar de lograr sus objetivos estratégicos y sus planes de negocio, al
mismo tiempo que toma en cuenta los intereses de sus clientes (e.g. depositantes,
asegurados) y su deber fiduciario hacia los accionistas así como el capital y otros
requerimientos reglamentarios;
d) determinar para cada riesgo importante el nivel máximo general de riesgo dentro
del cual la institución financiera está dispuesta a operar, con base en su apetito
general por el riesgo, su capacidad de riesgo y perfil del mismo;
e) incluir medidas cuantitativas que puedan traducirse en límites de riesgo que se
puedan aplicar a las líneas de negocios y entidades legales según se requiera, y a
nivel de grupo, que a su vez puedan ser agregadas o desagregadas para permitir la
medición del perfil de riesgo versus su apetito por el riesgo y su capacidad de
riesgo;
f) incluir declaraciones cualitativas que articulan de forma clara las motivaciones
para aceptar o evitar ciertos tipos de riesgo, incluyendo riesgos de reputación y de
otras conductas a través de los mercados minoristas y mayoristas, y establecer
alguna forma de límites o indicadores (e.g. medidas no cuantitativas) para permitir
el monitoreo de estos riesgos;
g) asegurase de que la estrategia y los límites de riesgo de cada una de las líneas de
negocio y de la entidad legal, conforme sea necesario, se alineen con la declaración
del apetito por el riesgo de toda la institución, según se requiera; y
h) tener una visión futurista y, donde sea necesario, estar sujeta a las pruebas de
escenarios y estrés para cerciorarse de que la institución financiera entiende cuales
son aquellos eventos que pudieran encaminar a la institución financiera fuera de su
apetito por el riesgo o su capacidad de riesgo.
3. Límites de riesgo
Para fines del apetito por el riesgo, los límites de riesgo significa la asignación de la declaración del
apetito por el riesgo agregado de la institución financiera a la línea de negocio, niveles de entidad
legal, categorías específicas de riesgo, concentraciones y, conforme sea necesario, a otros niveles.
Para poder facilitar un monitoreo y la entrega de informes que sea eficiente, los límites de riesgo
deben ser específicos y sensibles a la forma de las carteras reales, ser medibles9, de acuerdo a la
frecuencia, que se puedan informar, y que tengan como base los supuestos futuristas. Al tener límites
de riesgo que sean medibles puede evitar que la institución financiera, sin darse cuenta, se exceda en
9 Para los riesgos no cuantificables (e.g. riesgo de reputación) los límites deben ser medibles aún mediante evaluaciones cualitativas.
su capacidad de riesgo conforme cambian las condiciones de mercado y entonces los límites pueden
fungir como una forma de defensa eficaz en contra de una toma de riesgo excesiva. Al establecer sus
límites de riesgo, las instituciones financieras necesitan considerar la interacción entre los riesgos
dentro y a través de las líneas de negocios y su impacto correlacionado o compuesto sobre las
exposiciones y los resultados. Como tal, las pruebas de estrés deben realizarse a nivel de toda la
institución así como para las entidades legales y los riesgos específicos. El número de límites
seleccionado debe equilibrar la compensación entre la totalidad y los costos de monitoreo y la
eficacia. 3.1 Los límites de riesgo deben:
a) estar establecidos dentro de un nivel para limitar la toma de riesgo dentro del apetito
por el riesgo tomando en cuenta los intereses de los clientes (e.g. depositantes,
asegurados) y los accionistas, así como el capital y otros requerimientos
reglamentarios en caso de que se viole un límite de riesgo así como la posibilidad de
que cada riesgo importante ocurra;
b) estar establecidos para las líneas de negocios y entidades legales conforme se
requiera y expresados de forma general respecto a las ganancias, capital, liquidez u
otras medidas relevantes (e.g. crecimiento, volatilidad);
c) incluir concentraciones importantes de riesgo a niveles de la institución o de todo el
grupo, línea de negocio y de entidad legal según sea relevante (e.g. contraparte,
industria, país/región, tipos de colateral, producto).
d) a pesar de estar referenciados a las mejores prácticas del mercado y a los puntos de
referencia, no deben estar estrictamente basados en la comparación a los homólogos o
a un incumplimiento a los límites reglamentarios.
e) no deben ser demasiado complicados, ambiguos o subjetivos; y
f) ser monitoreados con regularidad
4. Roles y responsabilidades La junta directiva
10 debe establecer el RAF de toda la institución y aprobar la declaración del apetito
por el riesgo, que se desarrolla en colaboración con el director general (CEO), el director de riesgos
(CRO) y el director de finanzas (CFO). El CEO, CRO y CFO transforman esas expectativas en
objetivos y restricciones para que las líneas de negocios y las entidades legales las sigan.11
La
evaluación independiente del RAF de la institución financiera (i.e. por auditoría interna, un auditor
externo y/o un tercero independiente) es crítica para el monitoreo y la evaluación continua del diseño
y de la efectividad general de los controles internos, la gestión de riesgo y el gobierno de riesgo de la
institución financiera. La fortaleza de las relaciones entre la junta, el CEO, CRO, CFO, las líneas de
negocio y auditoría interna juega un papel importante en le eficacia del RAF. Como tal, es esencial
contar con mandatos y responsabilidades definidas para cada uno de estos niveles de gobierno. Las
instituciones financieras deben asignar roles y responsabilidades precisas de acuerdo con su
estructura organizacional, sin embargo la vigilancia y funciones de control (por lo general realizada
por el CEO, CRO, CFO, los líderes de las líneas de negocio y auditoría interna) siempre deben jugar
un papel importante.
Algunas instituciones financieras requieren que la alta gerencia apruebe la declaración del apetito
por el riesgo y que la junta la reciba formalmente y tome nota de la declaración por el riesgo. Sin
embargo, las juntas que aprueban la declaración del apetito por el riesgo tienden a tener un mayor
nivel de comprensión del apetito por el riesgo de la institución financiera que cuando ésta “se recibe”
o “se toma nota”. Cuando sea necesario, los supervisores deben obtener la verificación o
demostración del papel que jugó la junta en la aprobación de la declaración del apetito por el riesgo
de la institución financiera, por ejemplo mediante la revisión del acta de la junta o mediante pláticas
con los directores, para cerciorarse de que la junta no simplemente “dio el visto bueno de forma
automática” a la recomendación de la gerencia. Una junta también debe quedar satisfecha de que los
límites de riesgo en la declaración del apetito por el riesgo estén reflejados de forma apropiada en los
planes estratégicos del negocio y en los límites específicos de riesgo (e.g. para las exposiciones de
riesgo crediticio y de mercado). Los supervisores deben buscar la evidencia en los documentos de la
junta y en el acta, en los documentos de la declaración del apetito por el riesgo, métricas, informes
entregados y otras actividades, que muestren que la junta entiende cómo la gerencia interpreta el
apetito por el riesgo y los límites de riesgo
4.1 La junta directiva debe:
a) aprobar el RAF de la institución financiera en colaboración con el CEO, CRO y
10
Como se pudo observar en los Principles for Enhancing Corporate Governance del 2010 del BCBS, algunos países utilizan una
estructura de dos niveles, donde la función de supervisión de la junta es realizada por una entidad separada conocida como la junta de
supervisión, la cual no cuenta con funciones ejecutivas. Otros países utilizan una estructura de un solo nivel donde la junta juega un
papel mayor. Otros países han optado o están optando por un enfoque que desalienta o les prohíbe a los ejecutivos ser miembros de la
junta o limita su número y/o requiere que la junta y sus comités tengan como presidente a un miembro de la junta que no sea ejecutivo.
Debido a estas diferencias, este documento no prescribe una estructura específica para la junta. El término junta se refiere a la función de
vigilancia y a la función gerencial en general y deberá interpretarse a través del documente de acuerdo con la ley correspondiente dentro
de cada jurisdicción. Lo mismo aplica a los comités mencionados en este informe que podrían estar bajo el control de diferentes
funciones de la junta, por lo tanto, sujetos a la estructura de la junta y sujetos a sus tareas respectivas. Conscientes de que los diferentes
enfoques estructurales respecto al gobierno corporativo existen a través de los países, este documento promueve prácticas que pueden
fortalecer los pesos y contrapesos y el gobierno corporativo sano bajo diferentes estructuras. 11
La estructura organizacional de cada institución financiera es relevante para aquellos que van a estar involucrados, sin embargo estas tres
funciones específicas (CEO, CRO, CFO) siempre deben jugar un papel importante.
CFO, y cerciorarse de que se mantengan congruentes con la estrategia de corto y
largo plazo de la institución, los planes de negocio y capital, la capacidad de riesgo,
así como lo programas de compensación;
b) solicitar la rendición de cuentas del CEO y de otros altos ejecutivos respecto a la
integridad del RAF, incluyendo la oportuna identificación, gestión y aumento en las
violaciones respecto a los límites de riesgo y de las exposiciones importantes de
riesgo;
c) cerciorarse de que los planes anuales de negocio concuerden con el apetito por el
riesgo aprobado y que los incentivos/desincentivos estén incluidos en los programas
de compensación para facilitar el cumplimiento con el apetito por el riesgo;
d) incluir una evaluación del apetito por el riesgo dentro de sus pláticas estratégicas
respecto a fusiones, adquisiciones y crecimiento en las líneas de negocios o
productos;
e) revisar y monitorear periódicamente el perfil de riesgo real y los límites de riesgo
versus los niveles acordados (e.g. por línea de negocio, entidad legal, producto,
categoría de riesgo) incluyendo las medidas cualitativas del riesgo de
comportamiento;
f) dialogar y monitorear para cerciorarse de que las medidas adecuadas se realicen
respecto a las “violaciones” a los límites de riesgo;
g) cuestionar a la alta gerencia respecto a las actividades que están fuera de la
declaración del apetito por el riesgo, en caso de que existan;
h) obtener una evaluación independiente (mediante asesores internos, de terceros o
ambos) del diseño y de la eficacia del RAF y su alineación con las expectativas de
supervisión;
i) sentirse satisfecha de que existen mecanismos establecidos para cerciorarse de que la
alta gerencia puede actuar de forma oportuna para manejar de forma eficaz, y donde
sea necesario mitigar, las exposiciones de riesgo adversas e importantes, en particular
aquellas que están próximas a/o ya han rebasado la declaración del apetito por el
riesgo o los límites de riesgo;
j) dialogar con los supervisores sobre las decisiones respecto al establecimiento y el
monitoreo continuo del apetito por el riesgo así como los cambios importantes en los
niveles actuales del apetito por el riesgo o las expectativas reglamentarias asociadas
al apetito por el riesgo;
k) cerciorarse de que se dediquen los recursos y el conocimiento experto adecuado a la
gestión de riesgo así como a la auditoría interna con el fin de proporcionarle a la
junta y a la alta gerencia una garantía de forma independiente para que estén
convencidos de que operan dentro de un RAF aprobado, que incluye el uso de
terceros para complementar los recursos existentes donde se requieran; y
l) cerciorarse de que la gestión de riesgo cuenta con un sistema de tecnología IT y
MIS robusto y adecuado que permita la identificación, medición, evaluación y
generación de informes de riesgo de forma oportuna y precisa.
4.2 El director general debe:
a) establecer un apetito por el riesgo apropiado para la institución financiera (en
colaboración con el CRO y el CFO) que va de acuerdo con la estrategia de corto y
largo plazo de la institución, planes de negocio y capital, capacidad de riesgo, así
como con los programas de compensación y que esté alineado con las expectativas
de supervisión;
b) rendir cuentas, conjuntamente con el CRO, CFO y las líneas de negocios para la
integridad del RAF, incluyendo la identificación oportuna y aumento de las
violaciones a los límites de riesgo y de las exposiciones importantes de riesgo.
c) asegurarse, conjuntamente con el CRO y el CFO, que se convierta correctamente el
apetito por el riesgo en límites de riesgo para las líneas de negocios y entidades
legales y que las líneas de negocios y entidades legales incluyan el apetito por el
riesgo dentro de su planificación estratégica y financiera, procesos de toma de
decisiones y decisiones de compensación;
d) cerciorarse de que la declaración del apetito por el riesgo de toda la institución sea
implementada por la alta gerencia mediante declaraciones congruentes del apetito
por el riesgo o límites de riesgo específicos para las líneas de negocios y entidades
legales.
e) transmitir liderazgo al comunicar el apetito por el riesgo a los actores internos y
externos para facilitar la integración de una forma apropiada de toma de riesgos
dentro de la cultura de riesgo de la institución financiera:
f) establecer la tónica adecuada y el ejemplo correcto mediante el empoderamiento y
el apoyo que se les da al CRO y al CFO respecto a sus responsabilidades, y
eficazmente incorporar el apetito por el riesgo dentro de sus procesos de toma de
decisiones.
g) cerciorarse de que las líneas de negocios y las entidades legales tengan estipulado
un proceso adecuado para identificar, medir, monitorear e informar de forma eficaz
sobre el perfil de riesgo para establecer los límites de riesgo sobre un base
continua.;
h) dedicar suficientes recursos y competencias a la gestión de riesgo, auditoria
interna e infraestructura IT para ayudar a proporcionar una vigilancia
eficaz de cumplimiento con el RAF.
i) actuar de forma oportuna para asegurar una gestión eficaz, y donde sea necesario la
mitigación de las exposiciones de riesgo importantes, en particular aquellas que se
han acercado a, o excedido, la declaración por el riesgo y/o los límites de riesgo
que fueron aprobados; y
j) establecer una política para notificar a la junta y al supervisor sobre violaciones
importantes a los límites de riesgo y a exposiciones importantes e inesperadas.
4.3 El director de riesgos debe:
a) desarrollar un apetito por el riesgo adecuado a la institución financiera (en
colaboración con el CEO y el CFO) que cumpla con las necesidades de la
institución y que esté alineado con las expectativas de supervisión:
b) obtener la aprobación de la junta del apetito por el riesgo aprobado e informar de
forma periódica a la junta sobre el perfil de riesgo de la institución financiera
respecto al apetito por el riesgo;
c) activamente monitorear el perfil de riesgo de la institución financiera respecto a su
apetito por el riesgo, estrategia, planes de negocio y capital, capacidad de riesgo,
así como los programas de compensación:
d) establecer un proceso para la entrega de informes sobre el riesgo y sobre la
alineación (u otros aspectos) del apetito por el riesgo y el perfil de riesgo con la
cultura de riesgo de la institución;
e) cerciorarse de la integridad de las técnicas de medición de riesgo y del MIS que
son utilizadas para monitorear el perfil de riesgo de la institución financiera
respecto a su apetito por el riesgo;
f) establecer y aprobar, en colaboración con el CEO y el CFO, límites de riesgo
apropiados para las líneas de negocios y las entidades legales que sean prudentes y
congruentes con la declaración del apetito por el riesgo de la institución financiera;
g) monitorear de forma independiente los límites de riesgo de las líneas de negocios y
entidades legales y el perfil de riesgo agregado de la institución financiera para
asegurarse de que siguen siendo congruentes con el apetito por el riesgo de la
institución;
h) actuar de forma oportuna para garantizar una gestión eficaz, y donde sea necesario,
la mitigación de exposiciones de riesgo importantes, en particular aquellas que
están cerca de o que exceden el apetito por el riesgo aprobado y/o los límites de
riesgo; y
i) enviar puntualmente a la junta y al CEO cualquier violación importante a los
límites de riesgo que ponga en peligro a la institución financiera de exceder su
apetito por el riesgo y, en particular, de poner en riesgo la condición financiera de
la institución financiera.
4.4 El director de finanzas debe:
a) desarrollar un apetito por el riesgo adecuado para la institución financiera (en
colaboración con el CEO y el CRO) que vaya de acuerdo con la estrategia de
negocios de corto y largo plazo, los planes de negocio y capital, la capacidad de
riesgo así como con los programas de compensación.
b) integrar el apetito por el riesgo dentro de los procesos de compensación y de toma
de decisiones (en colaboración con el CEO y el CRO), incluyendo la planificación
de negocios, nuevos productos, fusiones y adquisiciones y procesos de evaluación
de riesgo y de gestión de capital.
c) trabajar eficazmente con el CRO y el CEO para establecer, monitorear y generar
informes sobre el cumplimiento con los límites de riesgo que aplican.
d) actuar oportunamente para garantizar una gestión eficaz, y donde sea necesario
mitigar, las exposiciones de riesgo importantes, en particular aquellas que están
próximas a o que ya han rebasado el apetito de riesgo aprobado y/o los límites de
riesgo dentro de la función del CFO; y
e) enviar puntualmente al CEO y a la junta (en caso necesario) las violaciones a los
límites de riesgo y exposiciones importantes de riesgo que podrían poner en peligro
la situación financiera de la institución.
4.5 Los líderes de las líneas de negocios y la gerencia a nivel legal deben:
a) rendir cuentas sobre la gestión eficaz de riesgo dentro de sus unidades de negocios
y entidades legales.
b) cerciorarse del alineamiento entre el apetito por el riesgo y los procesos de
planificación, compensación y toma de decisiones de la unidad de negocios y la
entidad legal;12
c) integrar la declaración del apetito por el riesgo y los límites de riesgo dentro de sus
actividades para incluir la toma de riesgo prudente dentro de la cultura de riesgo y
la gestión de riesgo cotidiana de la institución;
d) establecer y de forma activa monitorear el cumplimiento con los límites de riesgo
aprobados;
e) cooperar con el CRO y la función de gestión de riesgo y no interferir con sus
obligaciones independientes.
f) implementar controles y procesos para poder identificar, monitorear e informar
eficazmente en contra de los límites de riesgo asignados;
g) actuar de forma oportuna para asegurar la gestión eficaz, y donde sea necesario, la
mitigación de exposiciones de riesgo importantes, en particular aquellas que
12
Esto incluye, pero no está limitado a: planes de negocios estratégicos y anuales y decisiones respecto a los nuevos mercados y a los
nuevos productos y servicios modificados
rebasan el apetito por el riesgo o los límites de riesgo; y
g) enviar puntualmente las violaciones a los límites de riesgo y las exposiciones de riesgo
importantes al CRO y a la alta gerencia de forma oportuna.
4.6 Auditoría interna (u otro asesor independiente) debe13
:
a) de forma rutinaria incluir las evaluaciones del RAF de toda la institución, así como
de forma individual de las líneas de negocios y de las entidades legales.
b) identificar si las violaciones a los límites de riesgo se están identificando
adecuadamente, si se envían y se generan informes sobre las mismas y en enviar
un informe a la junta y a la alta gerencia sobre la implementación del RAF según
sea necesario;
c) evaluar de forma independiente y periódicamente el diseño y la eficacia del RAF y
su alineación con las expectativas de supervisión;
d) evaluar la eficacia de la implementación del RAF, incluyendo la vinculación con la
cultura organizacional, así como los procesos de planeación estratégica del
negocio, compensación y toma de decisiones;
e) evaluar el diseño y la eficacia de las técnicas de medición de riesgo y MIS que se
utilizan para monitorear el perfil de riesgo de la institución de acuerdo con su
apetito por el riesgo;
f) enviar un informe sobre las deficiencias importantes en el RAF y en la alineación
(o bien) del apetito por el riesgo y perfil de riesgo con la cultura de riesgo a la
junta y alta gerencia de forma oportuna; y
g) evaluar la necesidad de complementar su propia evaluación independiente con
información experta de terceros para entregar un punto de vista independiente e
integral de la eficacia del RAF.
13
Para cerciorarse de la eficacia, auditoría interna u otros asesores independientes deben realizar su trabajo de acuerdo con un conjunto de
normas profesionales mundialmente aceptadas, tales como el documento de 2012 del BCBS The Internal Audit Function in Banks y del
Chartered Institute of Internal Auditors International Standards for the Professional Practice of Internal Auditing.