jueves, 6 de marzo de 2014

Gestión del riesgo empresarial y deberes de los administradores (II)


Sicilia, foto @juancla


La gestión de los riesgos forma parte de los deberes generales de los administradores y la asunción de riesgos está cubierta por la business judgment rule


No hay duda, en principio, que las decisiones empresariales que impliquen asunción de riesgos – operativos y financieros – están cubiertas por la business judgment rule o regla de la discrecionalidad de juicio empresarial. Como dice el art. 226 LSC, los administradores no incurren en responsabilidad cuando hayan “actuado de buena fe, sin interés personal en el asunto objeto de decisión, con información suficiente y en el marco de un procedimiento de decisión adecuado”.

En lo que a las decisiones que implican asumir riesgos operativos y financieros se refiere, la legislación vigente concreta en alguna medida los criterios de este precepto referidos a la “información suficiente” y al procedimiento “de decisión adecuado”. Más adelante, examinaremos qué debe entenderse por “buena fe” y por ausencia de “interés personal en el asunto objeto de decisión”.

La legislación vigente ordena a los administradores de sociedades cotizadas la puesta en marcha de mecanismos internos que aseguren la gestión de los riesgos a los que se enfrenta la empresa. Lo hace, por un lado, exigiendo que en las cuentas anuales y, en concreto, en el Informe de Gestión (art. 262 LSC), se haga ”una descripción de los principales riesgos e incertidumbres a los que se enfrentala compañía, incluyendo los riesgos no financieros (v., arts. 4 y 5 Directiva de Transparencia). En relación con los riesgos asociados a instrumentos financieros (activos y pasivos representados por cualquier clase de valores negociables), el art. 262.4 LSC prevé específicamente, que el informe de gestión incluya “los objetivos y políticas de gestión del riesgo financiero de la sociedad, incluida la política aplicada para cubrir cada tipo significativo de transacción prevista para la que se utilice la contabilidad de cobertura” y “la exposición de la sociedad al riesgo de precio (que el valor de los bonos o acciones que tiene la sociedad baje), riesgo de crédito (que los deudores de la sociedad devengan insolventes), riesgo de liquidez (que la sociedad no disponga de efectivo suficiente para atender al pago de sus obligaciones corrientes) y riesgo de flujo de efectivo (que la sociedad no ingrese efectivamente el dinero que prevé que ingresará).


En el Derecho alemán y en el Derecho danés se afina más al obligar a las sociedades a poner en marcha un sistema de control interno que les permita reconocer tempranamente” la existencia y agravamiento de los riesgos, es decir, de hechos que puedan afectar significativamente a la situación financiera y a los resultados (“alerta temprana”). Para ello, la compañía tiene que identificar las fuentes de riesgo en primer lugar y establecer, a continuación, un mecanismo que permita realizar un seguimiento de la evolución de esos riesgos. Si, por ejemplo, el principal suministrador de una materia prima esencial para la actividad de la compañía está situado en un país donde la situación política permite prever expropiaciones, disrupciones de la  cadena de suministro etc., prever una fuente alternativa de suministro o un sistema de almacenaje de la materia prima intermedio entre el país de origen y el de destino.

Además, el Informe de gobierno corporativo y, en su caso, el semestral (art. 61 bis e) LMV) debe incluir referencias a los sistemas “de control del riesgo” que tenga en vigor la compañía y (letra h) “Una descripción de las principales características de los sistemas internos de control y gestión de riesgos en relación con el proceso de emisión de la información financiera”.

En fin, el folleto de emisión, ha de incluir información sobre los riesgos asociados a la compañía cuyas acciones son objeto de una oferta pública (de suscripción o venta) de acuerdo con el art. 25 y ss LMV. Por tanto, – y como establece el Combined Code británico – un sistema adecuado de control de riesgos incluye mecanismos que aseguren que esas conductas no podrán tener lugar fácilmente, que hay mecanismos para detectarlas tempranamente y para sancionar a los que las llevan a cabo.

Normalmente, los estatutos de las sociedades cotizadas incluyen, entre las competencias del Consejo de Administración, la de “identificar los principales riesgos” a los que está sometida la actividad de la compañía y poner en marcha y supervisar los mecanismos de control interno y de información adecuados para dicho control. La función corresponde, específicamente, al comité de auditoría, e incluye el establecimiento de un canal de denuncias - "buzón ético" - que garantice la indemnidad de los denunciantes y la confidencialidad, si no anonimato a pesar de lo que diga la Agencia de Protección de Datos, de las denuncias. El anonimato es, en las denuncias de ilícitos penales, imprescindible para asegurar la eficacia del sistema de control. Según la Disp. Adic. Decimoctava LMV, el comité de auditoría será competente, por lo menos, para “Supervisar la eficacia del control interno de la sociedad, la auditoría interna, en su caso, y los sistemas de gestión de riesgos.

No cabe duda, pues, que la puesta en marcha y supervisión de los sistemas de control de riesgos forma parte de los deberes de los administradores. Tampoco hay duda de que, salvo el caso de conductas fraudulentas, se trata de una obligación que forma parte del deber de diligencia ya que, en principio, no hay conflicto de interés entre el administrador y la sociedad en relación con la gestión y control de los riesgos. Es más, los intereses del administrador y de la sociedad están especialmente alineados porque la producción del siniestro, si es de cierta envergadura, acaba con la dimisión o destitución del administrador y le expone a acciones de responsabilidad por los daños sufridos por la sociedad. Los administradores deben, pues, formarse un juicio independiente de la adecuación y eficacia de los sistemas de control de riesgos de la compañía y actuar consecuentemente con dicho juicio.


El papel de los ejecutivos y el del Consejo de Administración


es diferente. Corresponde a los primeros la implantación y el control del funcionamiento de estos sistemas de control del riesgo y al Consejo la supervisión que incluirá, normalmente, la obtención de información sobre las características generales del sistema de control; la manera en que se ha puesto en funcionamiento y la revisión periódica de dicho funcionamiento. Esta división del trabajo se corresponde con los datos empíricos que indican que la implantación de un sistema de gestión integrada de los riesgos se produce a iniciativa del Consejo y no de los propios ejecutivos. Estos últimos, si tienen ligada su remuneración a la evolución de la cotización, preferirán mayor volatilidad de ésta y, en la medida en que el sistema de gestión reduce dicha volatilidad, no tienen especiales incentivos para proponer su implantación. Es lógico deducir, pues, que mayores niveles de independencia del Consejo y de separación entre la posición de primer ejecutivo y de presidente del consejo irán asociados con la implantación de estos sistemas, algo semejante a lo que sucede con la probabilidad de manipulación de la contabilidad.

Esta responsabilidad por la existencia y supervisión de un sistema de gestión del riesgo adecuado corresponde al Consejo de Administración en su conjunto, de acuerdo con las reglas generales sobre “división del trabajo”, lo que significa que no puede evaluarse de forma idéntica la conducta de un consejero independiente que la de otro que forma parte del comité de auditoría o la de un ejecutivo. Algunos estudios indican que la posición del primer ejecutivo de la compañía dentro del Consejo tiene influencia sobre la gestión del riesgo y que éste es más intenso cuando el Consejo está formado mayoritariamente por independientes y se separan las posiciones de primer ejecutivo y presidente del Consejo.

La tarea del Consejo – de supervisión – se concreta en examinar que el sistema permite

(i) identificar los riesgos significativos a que está sometida la compañía y que los procedimientos internos permiten 
(ii) obtener y transmitir la información necesaria para 
(iii) adoptar las decisiones que sean adecuadas para gestionarlos. 

Su función es la de asegurarse que el sistema de control de riesgos está bien diseñado para lograr sus fines y que está poniéndose en práctica adecuadamente lo que implica exigir la información correspondiente de los ejecutivos (que, consecuentemente, han de elaborar y poner a disposición del Consejo los correspondientes informes), revisar dicha información y formarse su propio juicio acerca de su adecuación y efectividad. Tal evaluación no debería limitarse a “bendecir” la actuación de los ejecutivos sino que debería reflejarse expresa y detalladamente identificando qué riesgos no se encuentran suficientemente atendidos o gestionados. La periodicidad de su actuación dependerá de las circunstancias concretas de la empresa pero, dada la legislación vigente, ha de ser, al menos, anual. La forma más racional de cumplir con esta función por parte del Consejo pasa por adoptar una perspectiva evolutiva examinando qué riesgos se han agravado o se han hecho más remotos y evaluando, desde esta perspectiva, la eficacia y razonabilidad de los sistemas para su control. La identificación de fallos en el sistema de control obliga al Consejo a actuar. En términos menos abstractos, los ejecutivos deben “llamar la atención del Consejo sobre los riesgos más significativos que corre la empresa de forma que el Consejo 
(i) pueda entender y evaluar su correlación y  
(ii) de qué modo afectan a la compañía y  
(iii) cómo está gestionando esos riesgos la dirección de la compañía”. 

Sin duda estas funciones deberían afectar a la selección de los consejeros.. El cumplimiento de esta funciones de supervisión del riesgo puede atenderse mediante la creación de un comité dentro del Consejo específicamente dedicado a estas tareas o, en función de las circunstancias de la compañía, asignarse al comité de auditoría.

No hay comentarios:

Archivo del blog