¿Cómo sé si mi CEO representa un riesgo para la empresa?

El riesgo ejecutivo como concepto técnico

En el ámbito del gobierno corporativo, el riesgo ejecutivo (también denominado riesgo del director general o CEO risk) se define como la probabilidad de que las decisiones, omisiones, conductas o perfil personal del director general causen un daño material —financiero, reputacional, legal u operativo— a la organización que dirige. Este tipo de riesgo pertenece a la categoría de riesgo no sistemático, es decir, aquel que es específico de la entidad y, en principio, reducible mediante mecanismos internos de control.

Identificar oportunamente si el CEO representa una amenaza para la empresa no es un ejercicio de desconfianza arbitraria: es una obligación fiduciaria del Consejo de Administración y, en muchos contextos, una exigencia regulatoria explícita.

Dimensiones del riesgo ejecutivo

El riesgo que emana de un director general puede clasificarse en cuatro dimensiones que, con frecuencia, se superponen:

• Riesgo de integridad: conductas que vulneran estándares éticos o legales, incluyendo conflictos de interés no revelados, nepotismo, apropiación indebida de activos corporativos o corrupción.
• Riesgo de competencia: toma de decisiones estratégicas sistemáticamente erróneas, incapacidad para leer el entorno competitivo, o ausencia de habilidades técnicas requeridas por la etapa de la empresa.
• Riesgo reputacional: comportamiento público —incluyendo redes sociales, declaraciones fuera de sede o controversias personales— que transfiere daño de imagen al nombre comercial de la organización.
• Riesgo de concentración de poder: ausencia de contrapesos internos que permita al CEO tomar decisiones materiales sin supervisión adecuada, bloqueando los mecanismos de control interno.

Señales de alerta temprana (red flags)

La literatura de gobierno corporativo y la práctica de la auditoría interna identifican ciertos indicadores observables que, de manera aislada pueden ser ambiguos, pero en conjunto configuran un patrón de riesgo significativo:

• Resistencia sistemática a la auditoría externa o a la revisión del Comité de Auditoría.
• Rotación inusualmente alta de directivos de primer nivel (C-suite turnover) en períodos cortos.
• Concentración de autorizaciones financieras en una sola persona sin límites de delegación formalmente establecidos.
• Discrepancias entre información reportada al Consejo y datos verificables en sistemas operativos.
• Transacciones con partes relacionadas no divulgadas o aprobadas en condiciones de mercado dudosas.
• Litigios recurrentes de carácter laboral, civil o penal vinculados al funcionario.
• Variaciones abruptas en el estilo de liderazgo ante episodios de presión externa (fusiones, auditorías regulatorias, crisis de liquidez).

Marco jurídico aplicable en México

En México, el gobierno corporativo de sociedades mercantiles está regulado principalmente por la Ley General de Sociedades Mercantiles (LGSM), que establece, conforme a la legislación vigente, las obligaciones de diligencia y lealtad de los administradores. La diligencia debida implica que el director general debe actuar como lo haría un gestor prudente en circunstancias similares; la lealtad exige que anteponga el interés social al interés personal.

Para sociedades que cotizan en Bolsa, la Ley del Mercado de Valores (LMV) eleva estos estándares de forma notable. El Artículo 30 de la LMV establece el deber de diligencia del director general de una emisora, mientras que el Artículo 34 regula el deber de lealtad, prohibiendo de manera explícita la divulgación de información privilegiada y los actos de competencia desleal frente a la sociedad. La interpretación práctica de estas disposiciones implica que el Consejo de Administración tiene no solo la facultad, sino la obligación legal, de supervisar activamente la gestión del CEO y de removerlo cuando existan indicios razonables de incumplimiento.

El Código de Mejores Prácticas Corporativas —emitido por el Consejo Coordinador Empresarial (CCE) y la Bolsa Mexicana de Valores, y que constituye un estándar de autorregulación, no una ley— recomienda la existencia de Comités de Auditoría y de Evaluación como mecanismos institucionales de supervisión ejecutiva. Su adopción, aunque voluntaria para sociedades no cotizadas, es ampliamente reconocida como parámetro de buen gobierno.

En materia de manejo de información personal del CEO durante procesos de due diligence o investigación interna, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) obliga a que cualquier tratamiento de datos personales del funcionario cuente con una base legítima, un aviso de privacidad y observe los principios de finalidad, proporcionalidad y responsabilidad. Esto aplica especialmente en evaluaciones de antecedentes o investigaciones de conducta.

Protocolo de evaluación y acción

Ante la sospecha fundada de riesgo ejecutivo, el Consejo de Administración debe seguir un proceso estructurado que preserve tanto los intereses de la empresa como las garantías del funcionario:

• Documentar evidencia objetiva antes de iniciar cualquier acción formal; evitar actuar sobre rumores o percepciones no verificadas.
• Activar al Comité de Auditoría —o en su ausencia, a un asesor externo independiente— para realizar una revisión forense o de integridad.
• Evaluar la exposición legal de la empresa: revisar contratos, seguros de responsabilidad civil de directivos (D&O insurance) y cláusulas de rescisión.
• Aplicar el principio de proporcionalidad: la respuesta institucional debe calibrarse al nivel de riesgo confirmado; no toda señal de alerta amerita remoción inmediata.
• Garantizar el plan de sucesión: antes de tomar cualquier decisión disruptiva, verificar que exista un sucesor identificado o un esquema de dirección interina.
• Comunicar con precisión y control a audiencias internas y externas, evitando filtraciones que amplifiquen el daño reputacional.

Glosario

• Riesgo ejecutivo: probabilidad de que las decisiones, omisiones o conductas del director general generen un daño material a la organización.
• Deber de diligencia: obligación legal del administrador de actuar con el cuidado que emplearía un gestor prudente en circunstancias similares.
• Deber de lealtad: obligación de anteponer el interés social al interés personal, absteniéndose de conflictos de interés y uso de información privilegiada.
• Gobierno corporativo: conjunto de reglas, prácticas y procesos por los cuales una empresa es dirigida y controlada.
• Conflicto de interés: situación en que el interés personal de un funcionario puede influir indebidamente en sus decisiones corporativas.
• Due diligence: proceso de investigación y evaluación exhaustiva de una persona, empresa o activo antes de tomar una decisión de negocio relevante.
• D&O Insurance: seguro de responsabilidad civil para directivos (Directors & Officers) que cubre reclamaciones por actos u omisiones en el ejercicio de sus funciones.
• Riesgo no sistemático: riesgo específico de una entidad o sector, reducible mediante diversificación o controles internos, a diferencia del riesgo de mercado.

Referencias

• Ley General de Sociedades Mercantiles [LGSM]. Diario Oficial de la Federación, última reforma publicada. Cámara de Diputados, México.
• Ley del Mercado de Valores [LMV]. Diario Oficial de la Federación, última reforma publicada. Cámara de Diputados, México. Artículos 30 y 34.
• Ley Federal de Protección de Datos Personales en Posesión de los Particulares [LFPDPPP]. (2010). Diario Oficial de la Federación, 5 de julio de 2010. Cámara de Diputados, México.
• Consejo Coordinador Empresarial & Bolsa Mexicana de Valores. (2018). Código de Mejores Prácticas Corporativas [Estándar de autorregulación]. CCE, México.