INTRODUCCIÓN.docx

Full Transcript

INTRODUCCIÓN.
Las empresas han incumplido las leyes y regulaciones. Ello ha impactado a consumidores, proveedores, empleados y otros grupos de interés. No han prevenido los incumplimientos ni los han detectado. Los Estados han impuesto más leyes y regulaciones. En varias, se ha previsto la función de Cumplimiento.
Una regulación especialmente importante para España es la que prevé que las personas jurídicas pueden ser penalmente responsables de cometer delitos. La regulación ha contemplado que las personas jurídicas pueden ser absueltas (“exoneradas”) o recibir una pena menor (“atenuación”) si demuestran que tenían un sistema adecuado para prevenir incumplimientos de la ley penal, es decir, un buen programa de Cumplimiento o Compliance.
La eficacia de los programas de Cumplimiento depende en parte de que se integren a la operación diaria de las empresas. La integración a la operación depende del interés de los administradores (Dirección1, Consejos de Administración2) de las empresas en que así ocurra. Hay varios métodos que pueden seguirse en los programas de Cumplimiento.
Otra condición para la eficacia de los programas de Cumplimiento es que se orienten a promover la cultura de legalidad o “cultura ética empresarial” en la empresa, y no únicamente la exoneración de responsabilidad penal o la atenuación de la pena3. Desde la perspectiva funcional, la función de Cumplimiento hace parte la función de gestión de riesgos. La función de gestión de riesgos hace parte de la estructura de Gobernanza4, Gestión de Riesgos5 y Compliance6 (GRC). El GRC regula la dirección y control de la empresa para lograr que funcione éticamente -Gobernanza-, respete su apetito de riesgo -Gestión de Riegos- y cumpla la normativa externa e interna -Compliance-. GRC debe intervenir en la estrategia, la cultura y los valores de la organización.
Un eficaz marco de GRC debe alinear la estrategia, los procesos, la tecnología y las personas. También requiere una comunicación fluida entre los involucrados con el GRC. La comunicación fluida depende de una adecuada distribución de funciones y claros canales de comunicación, como también de la cercanía de personas con función de control a aquellas que deciden, lo que facilita el reporte y la legitimación interna de las primeras.
Historia.

1830: imposición a empresas en Estados Unidos de evitar el uso de mano de obra infantil y condiciones de trabajo insalubres a través de adoptar estándares.
1906: promulgación de Pure Food and Drug Act7, Estados Unidos.
1914: creación de Commoddity Futures Trading Commission (CFTC)8, Estados Unidos, para evitar prácticas empresariales injustas.
1933: creación de la Securities and Exchange Commission (SEC)9, Estados Unidos, para proteger inversionistas ante manipulaciones del mercado.
1976: promulgación de las OECD Guidelines for Multinational Enterprises. Con actualización de 2011.
1977: escándalo Lockheed. Se trató del soborno de funcionarios públicos en el extranjero -sobornos a funcionarios públicos japoneses, a la realeza holandesa y a militares españoles- para hacerse a contratos por parte de una empresa de Estados Unidos.
1977: promulgación de Foreign Corruption Practices Act (FCPA), Estados Unidos. La ley exige a las empresas tener controles internos para prevenir sobornos a funcionarios públicos extranjeros.
1986: escándalo de contratistas del sector defensa, en Estados Unidos. Contratistas crearon el órgano de autorregulación Defense Industry Initiative (DII), que a su vez creó un modelo de programa de ética y cumplimiento para detectar fraudes, una mala gestión y otras conductas en empresas.
1991: publicación de US Federal Sentencing Guidelines (USFSG). Son instrucciones para que los jueces federales que deciden sobre delitos federales cometidos por empresas, atenúen penas ante programas de prevención de delitos eficaces. Con revisiones de 2004, 2010 y 2016.
1997: adopción de OECD Convention on Combating Bribery of Foreign Public Officials in International Business Transactions.
1999: publicación de OECD Principles on Corporate Governance. Con actualización de 2015.
2002: adopción de la U.S. Sarbanes- Oxley Act (SOX), Estados Unidos. La ley busca monitorizar empresas que cotizan en la bolsa de valores para evitar que la valorización de sus acciones sea alterada, y por tanto, fraudes y riesgos de bancarrota. Respondió a los escándalos de Enron, Tyco Internacional, WorldCom y Peregrine Systems.
2005: publicación de OECD Guidelines on Corporate Governance of State-Owned Enterprises. Con actualización de 2015.
2009: publicación de OECD Reccomendation on Further Combating Bribery of Foreign Public Officials in International Business Transactions.
2010: Dodd Frank Act (Wall Street Reform and Consumer Protection), Estados Unidos. La ley revisó la regulación financiera, creó nuevos supervisores, y restringió algunas operaciones especulativas. Eliminó excepciones para swaps y exigió controles a ellas. Reguló temas de buen gobierno corporativo, contratos 1256 y agencias de calificación crediticia.
2010: Foreign Account Tax Compliance Act (FATCA), Estados Unidos. Ley que busca controlar la evasión de impuestos de residentes americanos con inversiones fuera de Estados Unidos. Regula la obtención de información que proviene de entidades financieras por fuera de Estados Unidos.
2010: UK Bribery Act.
2010: OECD Good Practice Guidance on Internal Controls, Ethics and Compliance.
2017: US Department of Justice, Evaluation of Corporate Compliance Programs. Con actualización de 2019.
2017: OECD Recommendation on public integrity.

Concepto de Compliance.
Definición de Función de Compliance: Se encarga de asegurar que la organización cumple con las regulaciones y leyes que les resultan de aplicación, pero también con políticas, compromisos y valores internos. Incluye normas de obligatorio acatamiento, y normas adoptadas como obligatorias voluntariamente. El cumplimiento es respecto de la letra, pero también del “espíritu” de las normas. El Compliance es una función. Tiene como tareas, la prevención, detección y gestión de riesgos de cumplimiento, del marco legal y regulatorio, y de las obligaciones autoimpuestas (principio, valores éticos, códigos éticos y/o de conducta)10111213.
¿Quién cumple la función de Compliance? Tiene un máximo responsable, que es el Head, director, responsable o Chief de Compliance. Puede haber un departamento dedicado solo a Compliance. Pero Compliance es una responsabilidad compartida por todos los miembros de la organización, aunque tengan también otras responsabilidades y deber de rendir cuentas sobre ellas.
Definición de programa de Cumplimiento: marco a través del cual se planifica y desarrolla la función de Compliance. Contiene elementos formales: procedimientos y protocolos para identificar, evaluar y actualizar riesgos, establecer normas de conducta, revisar controles, poner en funcionamiento canales de denuncias, entre otros. Contiene elementos informales: la cultura corporativa y el liderazgo ético. Una organización puede tener varios programas de cumplimiento, siempre y cuando exista un responsable de cada uno. Puede haber un encargado de supervisar y coordinar todos los programas de cumplimiento y a todos los responsables.
Definición de sistema de gestión de Compliance (ISO 37201 de 2021): conjunto de elementos de una organización interrelacionados o que interactúan para establecer políticas, objetivos y procesos para lograr los objetivos de Compliance. Incluye mecanismos y estructuras y la incorporación de un marco de GRC.
Hay una tendencia actual de incluir dentro de la función de Compliance la de promover la cultura ética o de integridad. Son conceptos originalmente atados al de Responsabilidad Social Empresarial -RSE-, pero ha migrado a Compliance dado que ésta no se limita a alcanzar un cumplimiento normativo, sino a promover una debida conducta desde la perspectiva ética. Un marco conceptual sobe la ética en las empresas lo ofrecen los 10 principios del Pacto Mundial (UN Global Compact) y los 17 objetivos de desarrollo sostenible de la ONU. Incluye la responsabilidad moral de luchar contra la corrupción, la falta de integridad y de transparencia, para lograr instituciones más sólidas y sostenibles.
Tareas de la función de Compliance.

Identificar riesgos: identificar las obligaciones de cumplimiento, y las causas de la conducta de las personas de la organización frente a normas y controles. Los riesgos no identificados se terminan aceptando.
Analizar riesgos: permite establecer controles necesarios y suficientes para prevenir o detectar la materialización de riesgos.
Evaluar riesgos: permite establecer controles necesarios y suficientes para prevenir o detectar la materialización de riesgos.
Responder a la materialización de riesgos: Los tipos de riesgo, su nivel de impacto y probabilidad, determinar los controles preventivos. Un tipo de riesgo es el riego de conducta14, cuya medición debe incluir su impacto sobre grupos de interés distintos de la empresa como tal. Ante la materialización de riesgos, debe haber mecanismos de tratamiento lo antes posible. Para crearlos, se debe asesorar a cada unidad de negocio, incluyendo la concientización de directivos y profesionales. Para ello, es necesario interactuar con cada unidad, y “sentarse” con ellos, entre otros, en comités y foros de discusión.
Monitorizar- detectar la materialización de riesgos: El monitoreo se hace (i) con actividades de supervisión a los controles y conductas, basado en el nivel de riesgo ya existente para priorizar a más riesgo más control y monitoreo. También, (ii) con canales de comunicación interna que permita denunciar sin miedo a represalias gracias a la confidencialidad.
Reportar la materialización de riesgos: El reporte debe ser (i) suficiente, (ii) correcto, (iv) adecuado y (v) puntual. El reporte se hace a las más altas instancias, como Consejos de Administración, las comisiones que determine, los comités de dirección y riesgos entre otros.

Presupuestos para poder cumplir eficazmente una función de Compliance.

Forma de identificar “hot topics”, significado e implicaciones para el Compliance.
Marco de GRC que permita aplicar y supervisar los mecanismos de control, e.g., claras “líneas de reporte” -de quién a quién-, distribución de funciones, rendición de cuentas, toma de decisiones y seguimiento.
Comprensión de comportamiento de individuos dentro de la organización.

Compliance como costo: Compliance no es un centro de coste -una unidad de la empresa que implica costos y evita otros costos-. Verlo así dificulta la asignación de recursos suficientes para su adecuado desarrollo. La “paradoja de Compliance” es que si las empresas ven el programa de Compliance como un seguro ante penas y sanciones, adoptan menos diligencia en la real prevención y más en “cuestiones formales y cautelares legales”, lo que desde la cultura corporativa y a nivel organizativo puede ser peor que no tener programa de Compliance. Compliance puede ser una inversión en la integridad corporativa, que a su vez causa un mantenimiento y fortalecimiento de la reputación de la empresa, porque se prevendrán escándalos, y permitirá demostrar que si un riesgo ocurre hay un compromiso real con la ética y el cumplimiento legal. Otro beneficio es que una buena reputación a su turno permite retener mejor talento, y mantener y atraer nuevos clientes y proveedores con valores similares. Por último, un buen programa de Cumplimiento lucha contra la corrupción y contribuye a desarrollar instituciones sólidas, como lo pide el Pacto Mundial y los objetivos de desarrollo sostenible de la ONU.
Elementos formales e informales para poder cumplir eficazmente una función de Compliance (US DoJ, Evaluation of Corporate Compliance Programs)15.

Liderazgo y compromiso de la Dirección: Necesidad del “tone at the top”, es decir, importancia al Compliance dada desde la administración y dirección de la empresa, y su comunicación a los demás. Se evidencia en la disposición de recursos a los encargados del Compliance. El “tone at the middle”, es decir, la importancia dada al Compliance por mandos medios, también es relevante porque ellos determinan los objetivos diarios de trabajo y tienen trato más directo con los empleados.
Cultura corporativa, ética y de Compliance: parte de los objetivos del programa de Compliance debe ser promover una cultura corporativa ética. Se demuestra con el compromiso de cumplir normas imperativas, pero también normas voluntariamente consideradas obligatorias. Se demuestra también vinculando la cultura ética en la toma de decisiones. La adopción de un Código Ético (declaración de valores éticos) ayuda. Se logra al alinear exigencias a directivos y mandos medios.
Identificación, análisis y evaluación de riesgos: es esencial.
Existencia de un Compliance Officer: debe ser el líder en la supervisión del sistema de Compliance. Su equipo debe ser compuesto por especialistas capacitados para cumplir su función. Debe dinamizar la cultura corporativa, asesorar a quienes operan el negocio, educar y concientizar.
Políticas, procedimientos e instrucciones: son la respuesta a la identificación de riesgos. Deben estar por escrito, ser claros, prácticos, accesibles a los miembros de la empresa y tener un “Risk-Based Aproche” -RBA-.
Comunicación, formación y concienciación: del compromiso de la dirección de la empresa, y del programa de Compliance. Debe tener en cuenta los roles y características de los destinatarios.
Sistemas de monitorización y detección: periódico. Sobre controles y riesgos.
Canales de información: foco en el diseño y contenido de informes, así como de las estructuras para pasarlos de un lado a otro (Gobernanza).
Sistemas de incentivos y evaluación del desempeño: Es necesario establecer causales de mala conducta de directivos y empleados alineados con el código ético y/o de conducta, y el programa de cumplimiento. Los incentivos y la evaluación de desempeño deben estar alineados con los objetivos del Compliance y sus criterios. Por ejemplo, se puede medir los perfiles de riesgo de los miembros de la empresa y otros grupos de interés, a partir de conductas positivas cometidas, como detectar y reportar riesgos, ayudar con la prevención, gestionar y mitigar sus efectos, entregar información al órgano competente, cumplir y entregar una declaración de conformidad con las normas, asistir a la formación en Compliance, difundir las políticas de Compliance, y tener o no sanciones internas. También, como conductas negativas cometidas, haber contribuido a un riesgo de incumplimiento, no entregar información al competente o hacerlo tarde, no haber entregado o hacerlo tardíamente la información de cumplimiento, no asistir a la formación en Compliance, no haber comprendido la información en la capacitación según un examen, comportarse en contra de las políticas de Compliance, y haber tenido una investigación interna en contra.
Mecanismos de reacción ante los incumplimientos: régimen disciplinario: la reacción es para remediar la situación y prevenir futuros incumplimientos. La reacción debe incluir sanciones disciplinarias, aplicables por igual a todos, que en todo caso respeten la legislación (derecho laboral, convenios colectivos).

Mención de estándares y marcos de referencia de sistemas de Compliance.

Industria financiera.

Comité de Supervisión Bancaria de Basilea (1975):

Historia: foro mundial de supervisión bancaria compuesto por presidentes de Bancos Centrales del G-1016. En 2005, adoptó el principio de “tone from the top”, y 10 principios. Luego, en 2015 adoptó el Guidelines Corporate Governance Principles for Banks.

European Securities Markets Authority -ESMA- (2013):

Directiva MiFID -Markets in Financial Instruments Directive-Compliance function requirements. MiFID II (Resolución 2014/65/EU, vigente desde enero 3 de 2018). MiFIR.

Reglamento delegado UE 2017/565 de abril 25 de 2016 de la Unión Europea. Complementa Directiva 2014/65/UE del Parlamento Europeo y del Consejo, sobre requisitos y condiciones de funcionamiento de empresas de servicios de inversión:

Obliga a tener (i) líneas de rendición de cuentas y asignación de funciones y responsabilidades en una documentación clara con una estructura organizativa y procedimientos de toma de decisiones, (ii) difusión sobre procedimientos de cumplimiento de responsabilidades, (iii) tener mecanismos adecuados de control interno para cumplir decisiones y procedimientos, (iv) tener empleados con conocimientos y experiencia necesarios para cumplir responsabilidades, (v) tener un sistema interno efectivo de rendición de cuentas y comunicación, (vi) tener un registro de negocios y organización interna, (vii) garantizar que las varias funciones de mismas personas no impidan cumplir adecuadamente con ellas, (viii) contar con una función permanente y efectiva de verificación del cumplimiento que actúe con independencia y cumpla supervisión de medidas, de información a la dirección y supervisión, y (ix) tener recursos y atribuciones necesarias, información e independencia.

COSO (Committee of Sponsoring Organizations of the Treadway): sus estándares son acogidos como válidos para empresas vigiladas por la SEC, EEUU. Los dos estándares COSO son complementarios.

COSO Control Interno17 (1992, 2013):

Tiene tres aristas:

categorías de objetivos: (1) Operativos, (2) información (3) Cumplimiento.
Componentes: (1) Entorno de control18, (2) Evaluación de riesgos19, (3) Actividades de control20, (4) Información y comunicación21, (5) Actividades de supervisión22.
Estructuras de organización encargadas (niveles organizacionales): (1) Entidad, (2) División, (3) Unidad operativa, (4) Función.

COSO Riesgos Empresariales (2004, 2017)23:

Contiene 20 principios, organizados en cinco componentes.

Gobierno y cultura: El esquema y funcionamiento del gobierno empresarial determina la importancia y distribución de funciones de la gestión de riesgos. La cultura, compuesta por valores éticos, comportamientos esperados y comprensión del riesgo, determina la conducta de los miembros de la organización.
Estrategia y establecimiento de objetivos: en la planificación de la estrategia interviene también la gestión de riesgos y el establecimiento de objetivos. La estrategia debe ir alineada con el “apetito al riesgo”. Los objetivos ponen en práctica de la estrategia, y son base para identificar, evaluar y responder a los riesgos.
Desempeño (performance): Los riesgos se identifican y evalúan según afecten los objetivos. Los riesgos se priorizan según su gravedad y el apetito al riesgo. Las respuestas (controles) se comunican a los interesados en el riesgo.
Revisión y monitorización: Los miembros de la organización deben conocer el sistema de gestión de riesgos, y los aspectos que se pueden revisar y cambiar.
Información, comunicación y reporte: Es necesario obtener e intercambiar información con fuentes internas y externas, para gestionar riesgos.

AS 3806-2006 (Australia):

12 principios agrupados en 4 categorías. Cada categoría desarrolla los 12 principios e incluye indicadores de nivel de cumplimiento:

Compromiso
Desarrollo
Monitorización
Mejora continua.

IDW (Instituto de Auditores Públicos de Alemania) AssS 980 o PS 980 (2011):

Se basa en las directices del International Auditing and Assurance Board -IAAB-, para trabajar en control de calidad, metodologías de trabajo y documentación de procesos.

Normas ISO

ISO 37001 – Sistema de gestión anti soborno (2015)
ISO 19600 – Sistema de gestión de compliance (2015)
ISO 37301 – Sistema de gestión de compliance (2021). Incluye guía anexo.
ISO 37002 – Sistema de gestión de denuncias de irregularidades (2021)
ISO 37000 – Guía para la gobernanza en las organizaciones (2021)

En Latinoamérica se suele denominar a la Alta Dirección o la dirección, “administración”. Cuando existe una alta dirección, se suele utilizar el anglicismo “c-suite”.↩
En Latinoamérica se suele denominar al órgano o consejo de administración “junta directiva”.↩
Por ejemplo, Circular 1/2016, Fiscalía General del Estado.↩
Definición: Conjunto de mecanismos par asegurar que la información que llega a los órganos de decisión es suficiente, completa, correcta y puntual, con el fin de que se adopten decisiones bien informadas y para garantizar que se establecen los controles necesarios para confirmar que las instrucciones y la estrategia de la empresa, se lleven a cabo de forma efectiva y ética.↩
Definición: Identificar, analizar y tratar aquellos riesgos que puedan afectar de forma adversa a la estrategia de la organización y a su capacidad para operar. La gestión de dichos riesgos puede realizarse a través de su mitigación (reducir impacto o probabilidad), prevención (evitar el riesgo), aceptación o compartiéndolos, es decir, transfiriéndolos a terceros o suscribiendo una póliza de seguros.↩
Definición: Se encarga de asegurar que la organización cumple con las regulaciones y leyes que les resultan de aplicación, pero también con políticas, compromisos y valores internos. Incluye normas de obligatorio acatamiento, y normas adoptadas como obligatorias voluntariamente.↩
Protegía a consumidores al prohibir el tráfico internacional e interestatal de comida o medicina adulteradas o rotuladas defectuosamente, y permitía la inspección de productos al US Bureau of Chemistry, ahora Food and Drug Administration -FDA-.↩
Es la autoridad encargada de advertir a inversones de precaverse ante fraudes en mercancías. Regula los mercados de futuros y opciones, y fomenta mercados abiertos, transparentes, competitivos y financieramente sólidos, para evitar riesgos sistémicos. La regula la Commodity Exchange Act.↩
Es la autoridad a cargo de proteger inversionistas y mantener la integridad del mercado de valores, así como evitar fraudes en el sector de inversión en valores.↩
Definición del riesgo de Compliance del Comité de Supervisión Bancaraia de Basilea (2005): “riesgo de sanciones legales o regulatorias, pérdidas financieras o pérdida de su reputación que una organización puede sufrir como resultado del incumplimiento de las leyes, regulaciones, normas de autorregulación y códigos de conducta que se aplican a sus actividades”.↩
Definición de función de Compliance del Comité de Supervisión Bancaraia de Basilea (2005) y de la Autoridad Europea de Valores y Mercados -ESMA- (2012): “el personal y los recursos que las entidades que prestan servicios financieros establecen para identificar, evaluar, asesorar, monitorizar e informar sobre el riesgo de Compliance”.↩
Definición de función de Compliance de UNE-ISO 19600 de 2015: implica también gestionar el cumplimiento de otra serie de obligaciones y compromisos “no legales” que las empresas eligen cumplir y reflejan que los objetivos de las empresas no se limitan a obtener beneficios económicos mientras se cumple la ley.↩
Definición de Compliance según el Libro Blanco de ASCOM (2017): “riesgos relacionados con el incumplimiento de las obligaciones de Compliance, esto es, aquellas que una organización debe cumplir, y también las que elige voluntariamente cumplir”.↩
Pérdidas que sufre una entidad debido a su propia conducta.↩
Pregunta por el buen diseño del programa de cumplimiento, la eficacia en la implementación y su funciona o no en la práctica.↩
Grupo de países que participaron en el “Acuerdo General de Préstamos” (GAB), de 1962, Bélgica, Canadá, Francia, Italia, Japón, los Países Bajos, el Reino Unido y los Estados Unidos— y los bancos centrales de Alemania y Suecia, que aportaron recursos adicionales para aumentar los préstamos del FMI.↩
Definición de control interno: “proceso llevado a cabo por el consejo de administración, la dirección y el resto de personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos relacionados con las operaciones, la información y el cumplimiento”.↩
Entorno de control: “(i) La organización demuestra compromiso con la integridad y los valores éticos. (ii) El consejo de administración demuestra independencia de la dirección y ejerce la supervisión del desempeño del sistema de control interno. (iii) la dirección establece, con la supervisión del consejo, las estructuras, las líneas de reporte y los niveles de autoridad y responsabilidad apropiados para la consecución de los objetivos. (iv) La organización demuestra compromiso para atraer, desarrollar y retener a profesionales competentes, en alineación con los objetivos de la organización. (v) La organización define las responsabilidades de las personas a nivel de control interno para la consecución de los objetivos.”. Se relaciona principalmente con sistemas de buen gobierno corporativo -BGC- y cultura ética empresarial.↩
Evaluación de riesgos: “(i) La organización define los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados. (ii) la organización identifica los riesgos para la consecución de sus objetivos en todos los niveles de la entidad y los analiza como base sobre la cual determinar cómo se deben gestionar. (iii) La organización considera la probabilidad de fraude al evaluar los riesgos para la consecución de los objetivos. (iv) La organización identifica y evalúa los cambios que podrían afectar significativamente al sistema de control interno”.↩
Actividades de control:” (i) La organización define y desarrolla actividades de control que contribuyen a la mitigación de los riesgos hasta niveles aceptables para la consecución de los objetivos. (ii) La organización define y desarrolla actividades de control a nivel de entidades sobre la tecnología para aportar la consecución de los objetivos. (iii) la organización despliega las actividades de control a través de políticas que establecen las líneas generales del control interno y procedimientos que llevan dichas políticas a la práctica”.↩
Información y comunicación: “(i) La organización obtiene o genera y utiliza información relevante y de calidad para apoyar el funcionamiento del control interno. (ii) La organización comunica la información internamente, incluidos los objetivos y responsabilidades que son necesarios para apoyar el funcionamiento del sistema de control interno. (iii) La organización se comunica con los grupos de interés externos sobre los aspectos clave que afectan al funcionamiento del control interno.”.↩
Actividades de supervisión: “(i) La organización selecciona, desarrolla y realiza evaluaciones continuas y/o independientes para determinar si los componentes del sistema de control interno están presentes y en funcionamiento. (ii) La organización evalúa y comunica las deficiencias de control interno de forma oportuna a las partes responsables de aplicar medidas correctivas, incluyendo la alta dirección y el consejo, según corresponda”.↩
Definición del riesgo empresarial: “No es una función ni un departamento. Es la cultura, las capacidades y las prácticas que las organizaciones integran con el proceso de definición de la estrategia y aplican cuando la llevan a la práctica, con el propósito de gestionar el riesgo a la hora de crear, preservar y materializar el valor”.↩