Sistema Efectivo de Análisis de Riesgo (SEAR)

Sistema Efectivo de Análisis de

Riesgo (SEAR)

Fondo Nacional de Financiamiento de la

Actividad Empresarial del Estado

FONAFE

Taller a Personal Clave

Lima, 20 de octubre 2015

Página 2

Importancia de la Gestión de Riesgo en la Empresa Sistema Efectivo de Análisis de Riesgo (SEAR) El rol del personal en el SEAR

I. Planificación de la Gestión de Riesgos 1.1 Mapeo de Procesos

1.2 Definición de Objetivos

1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo 1.4 Priorización y Selección de Procesos Críticos

II. Identificación y Clasificación de Riesgos 2.1 Identificación de Eventos

2.2 Identificación de Riesgos

Cláusula de propiedad intelectual

Este documento contiene material, ideas y conceptos que son propiedad de EY. Los materiales, ideas y conceptos aquí vertidos son para uso exclusivo del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado. El contenido de este documento no debe ser reproducido total o parcialmente por ningún medio, ni distribuido a nadie externo a FONAFE, sin el consentimiento previo y por escrito de EY.

Importancia de la Gestión de Riesgos en la

Empresa

Página 4

¿Qué es Gestión de Riesgos y cuál es su importancia?

¿Qué es?

¿Qué

Comprende?

¿Cuál es su

objetivo?

Es un conjunto de actividades

coordinadas a nivel de toda la Empresa para identificar potenciales eventos que le afectarían y gestionarlos de acuerdo a

sus necesidades.

Preservar el valor previniendo eventos internos y externos que puedan impactar negativamente el logro de los objetivos, y aprovechando aquellos que signifiquen

oportunidades de desarrollo.

La implementación de un enfoque y lenguaje común en toda la Empresa.

Página 5

La Gestión de Riesgos debe enfocarse en los temas más relevantes, buscando un óptimo equilibrio entre el impacto del riesgo asumido, el costo de la actividad de control y el valor que ésta agrega a la Empresa, asegurándose de que el costo se mantenga por debajo del valor generado.

Página 6 Impulsa el

establecimiento de controles adecuados que mitiguen los efectos ante una interrupción no deseada o desastre

Permite desarrollar una gestión de riesgos que cuente con un flujo de información constante.

Brinda los lineamientos para el desarrollo de la Evaluación de Riesgos.

Brinda un enfoque en el cual deben basarse los procesos para garantizar la calidad de los productos o servicios.

Permite a la dirección contar con una estrategia eficiente para procurar el cumplimiento de los objetivos de la Empresa.

Relación entre Gestión de Riesgos y otros marcos

ISO 9001 Control Interno Gobierno Corporativo Continuidad de Negocio

Gestión de Riesgos

ISO 31000

Página 7

Componentes de la Gestión de Riesgos

Ambiente de control

Establecimiento de objetivos

Identificación de eventos

Evaluación de riesgos

Establece la base de la gestión de riesgos de la Empresa, a través de la definición de la filosofía de gestión integral de riesgo, el apetito de riesgo, el rol del Comité de Gestión de Riesgos, y el establecimiento de una estructura de gestión integral de riesgos.

La gestión integral de riesgo se asegura que la gerencia cuente con un proceso para definir objetivos que estén alineados con la misión y visión, con el apetito de riesgo y niveles de tolerancia.

Se identifican los eventos potenciales que afectan la puesta en práctica de la estrategia o el logro de los objetivos,

pudiendo tener impactos positivos o negativos. Se reconoce la importancia de entender los factores internos y externos, y el tipo de eventos que pueden generar.

Permite que la Empresa entienda el grado en el cual los eventos potenciales pueden afectar los objetivos del negocio. Evalúa los riesgos desde dos perspectivas: probabilidad e impacto, y en un escenario inherente y otro residual.

Página 8

Componentes de la Gestión de Riesgos

Respuesta al riesgo

Actividades de control

Información y comunicación

Monitoreo

Las respuestas se establecen para alcanzar el riesgo residual alineado con los niveles de tolerancia al riesgo. Los costos de diseñar e implantar una respuesta o estrategia de tratamiento deben ser considerados, así como los costos de mantenerla.

Políticas y procedimientos que ayudan a asegurar que las respuestas a los riesgos son ejecutadas, de forma apropiada y oportuna. Están presentes en todos los niveles y áreas de la Empresa.

La información relevante, debe ser identificada, capturada, procesada y comunicada en la oportuna y adecuadamente. La Dirección y Gerencia deben comunicar al personal su responsabilidad ante la gestión de riesgos. El personal debe entender su rol al respecto.

La gestión de riesgos es monitoreada evaluando la presencia consistente y funcionamiento de sus componentes. La eficacia de los otros componentes se sigue mediante actividades de supervisión continua y evaluaciones independientes entre sí.

Página 9

Componentes de la Gestión de Riesgos

Los componentes de Gestión de Riesgos buscan contribuir al

cumplimiento de las siguientes categorías de objetivos… … a través del desarrollo de actividades en estos niveles de la Empresa

Estratégicos

Objetivos a alto nivel, alineados con la misión de la

Empresa

Operaciones

Objetivos vinculados al uso

eficaz y eficiente de recursos. Incluye objetivos de rentabilidad y desempeño

Reporte

Objetivos de fiabilidad de la información suministrada y de las actividades realizadas

Cumplimiento

Objetivos relativos al cumplimiento de leyes y normas aplicables Nivel Entidad Nivel de Procesos Despliegue de aspectos estratégicos de la gestión de riesgos a nivel corporativo. Identificación de riesgos estratégicos.

Despliegue de la gestión de riesgos en cada proceso. Identificación de riesgos que afectan puntualmente a uno o más procesos.

Sistema Efectivo de Análisis de Riesgo

(SEAR)

Página 11

¿Qué es el SEAR?

SEAR

El Sistema Efectivo de Análisis de Riesgo es un enfoque estandarizado para la implementación de la Gestión

de Riesgos en las Empresas de la Corporación.

Gestión

de Riesgos

Herramienta

Metodología

Proceso

Brinda las directivas basadas en lineamientos teóricos líderes para el desarrollo de la gestión de riesgos. Es un conjunto de actividades sistematizadas que tienen como fin alcanzar el objetivo de fortalecer la gestión de riesgos. Proporciona instrumentos prácticos para facilitar el desarrollo de la Gestión de Riesgos.

Página 12

Beneficios de la implementación del SEAR

Crea un ambiente adecuado para el cumplimiento de los

objetivos de la Empresa.

Agiliza el proceso de toma de decisión de la dirección al

contar con una visión de los riesgos que afectan a la Empresa.

Optimiza los costosde las actividades de control a través

de la evaluación oportuna de su diseño y eficacia. Contribuye a reducir las pérdidas que afecten los resultados de la Empresa al establecer mecanismos de

identificación de riesgos y de control.

Mejora el valor percibidode la Empresa y facilita el

Página 14

Responsabilidades del personal

Ejecuta la actividades del SEAR. Incluye al personal clave de cada proceso, asegurando el compromiso a lo largo de toda la Empresa. Lidera la implementación de las

actividades del SEAR de acuerdo a los principios establecidos por la Dirección.

Define un Ambiente de Control apropiado para la Empresa, así como el enfoque y dimensión de la gestión de riesgos. Supervisa las actividades implementadas por la función de gestión de riesgos y asegura su eficiencia.

Nivel 1

Nivel 2

_{Nivel 3}

Es importante contar con una estructura organizacional de gestión de riesgos bajo un enfoque centralizado-colaborativo, a través de una dinámica top-down.

Las actividades de gestión de riesgos deben ser estructuradas y lideradas por un nivel Directivo, soportado por una función encargada de la ejecución de los lineamientos establecidos que cuente con el apoyo del resto de unidades orgánicas en su desarrollo y materialización. ► Directorio ► Comité de Riesgos ► Ejecutivo responsable del SEAR ► Dueños de procesos y gestores de riesgo

Página 15

Responsabilidades del personal

Nivel 2

Definir el apetito de riesgo

Proponer Política de Gestión de Riesgos y Plan de Gestión de Riesgos.

Diseñar Metodología para la Gestión de Riesgos

Monitorear criticidad de los riesgos

Aprobar criterios y técnicas para evaluación de riesgos.

Elaborar el plan anual de capacitación de Gestión de Riesgos.

Apoyar en el proceso de evaluación del desarrollo del SEAR al Nivel 1.

Nivel 1

Impulsar toma de decisiones de Gestión de Riesgos

Definir cultura de Gestión de Riesgos

Aprobar declaración del apetito de riesgo, Política de Gestión de Riesgos y Plan de Gestión de Riesgos

Velar por alineamiento entre objetivos y actividades de la Gestión de Riesgos con Plan Estratégico

Solicitar reportes trimestrales al Nivel 2

Evaluar anualmente el desarrollo del SEAR

Nivel 1

Nivel 2

Nivel 3

Nivel 3

 Apoyar al Nivel 2 en elaboración de Política de Gestión de Riesgos

Documentar y actualizar del inventario de procesos, riesgos y controles según lo definido en la

Metodología de Gestión de Riesgos

Brindar soporte al Nivel 2 en actividades de evaluación de riesgos

Documentar mapa de riesgos, mantenerlo vigente y reportar su estado al Nivel 2

Página 16

Mapeo de procesos Definición de objetivos Identificación de procesos

críticos

Definición de apetito de riesgo Identificación de eventos Identificación de riesgos Determinación de tolerancia de riesgo Evaluación de riesgo inherente Identificación y documentación de actividades de control existentes Evaluación de riesgo residual Elaboración de mapas de

riesgos (Inherente y residual) Elaboración de Estrategias de

tratamiento Definición y documentación de

KRI’s

Evaluación del riesgo residual

y actualizar su calificación Evaluación de efectividad y _{actualización de controles} Evaluación de KRI’s y modificación de _{estrategias de tratamiento al riesgo y} planes de acción Reporte del avance de la

implementación SEAR a FONAFE

Evaluación de la gestión de riesgos y envío de los resultados

a FONAFE para su aprobación

SEAR

SEAR

(cont.) de riesgos y controles a nivel de entidad y de procesos

Seguimiento a la implementación de planes de acción de acuerdo al cronograma

Elaboración de planes de acción Elaboración de un

cronograma de seguimiento a los planes de acción

Documentación de matrices (cont.) 4 A A E E 3 M A A E P rob abi lid ad 2 B M M A 1 B B B M 1 2 3 4 Impacto

!

Página 18

I. Planificación de la Gestión de Riesgos

La planificación es la fase inicial en el desarrollo de la gestión de riesgos de una Empresa y es fundamental para que las actividades sean implementadas de manera eficiente, oportuna y alineadas a las necesidades de la Empresa.

I. Planificación de la Gestión de Riesgos 1.1 Mapeo de Procesos

Entendimiento de las operaciones y, de acuerdo a ello,

dimensionamiento del alcance requerido.

1.2 Definición de Objetivos

Identificación de objetivos para orientar la gestión de riesgos en función a su cumplimiento.

1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo

Establecimiento de parámetros para gestionar los riesgos adecuadamente.

1.4 Priorización y Selección de Procesos Críticos

Designación de esfuerzos de manera proporcional a la criticidad de las operaciones.

Deberá elaborarse el Plan de Gestión de Riesgos, considerando: ► Periodicidad de las actividades a desarrollarse.

► Secuencia en la que se deben llevar a cabo las tareas. ► Responsables a las actividades (de ejecución y supervisión). ► Alcance de las tareas (Nivel Entidad o Proceso).

Página 19

Es importante mapear los procesos existentes para lograr un mayor entendimiento del negocio y sus operaciones, identificar los riesgos, e implementar y monitorear los controles de una manera más eficiente.

► Los procesos existentes deben agruparse en estas categorías:

Se registran solo los procesos que

efectivamente se ejecutan al momento de realizar el mapeo.

Herramientas de documentación

• Mapa de procesos.

• Diagrama de Bloques del proceso.

• Plantilla de Subprocesos. • Diagrama de Flujo. • Narrativas. Estratégicos De Negocio De Apoyo Cadena de Valor

I. Planificación de la Gestión de Riesgos

Página 20

Objetivos a nivel entidad

Objetivos a nivel de procesos

Categorías

Estratégicos Operacionales

De reporte Cumplimiento

El objetivo de un proceso, es la finalidad por la cual el proceso es desarrollado dentro de la cadena de valor de la Empresa. Es decir, la razón por la cual es importante para la Empresa.

I. Planificación de la Gestión de Riesgos

1.2 Definición de Objetivos

Los objetivos deben estar alineados a la misión y visión de la Empresa, y ser comunicados a todo el personal. La gestión de riesgos se orienta en función a los objetivos definidos a nivel entidad y por procesos.

Página 21

Tolerancia

Capacidad

Riesgo

El apetito de riesgo es el nivel de riesgo que la Empresa desea asumir para la consecución de sus objetivos.

La tolerancia al riesgo es el umbral de riesgo que la Empresa está dispuesta a asumir considerando el nivel de apetito de riesgo como tope.

La capacidad de riesgo es el nivel máximo de riesgo que la Empresa puede soportar sin que interfiera en su

continuidad.

Apetito

I. Planificación de la Gestión de Riesgos

1.3

Definición del Apetito, Tolerancia y Capacidad al Riesgo

La tolerancia al riesgo debe determinarse una vez que se hayan identificado los riesgos.

Página 22

Ejemplo de Declaración de Apetito

“La reputación de la Empresa, la de sus servicios y nuestro personal conforman nuestros principales activos, razón por la cual no toleramos riesgos que puedan impactar negativamente la imagen de la organización y a las personas que la representan. Nuestro propósito es generar valor a todos nuestros grupos de interés e innovar constantemente para que nuestros servicios cuenten con los más altos estándares de calidad y generen bienestar a nuestros clientes”.

Que se registren pérdidas en la Empresa a causa de accidentes ocupacionales.

Tolerancia: Pérdidas desde S/. 0.000 a S/.19 999 ó de 0 a 4 accidentes ocupacionales por mes.

Pérdidas por accidentes ocupaciones hasta de S/. 20 000 ó que se presenten 5 accidentes ocupacionales por mes.

Capacidad: Pérdidas entre S/. 20 001 a S/. 30 000 ó 5 a 6 accidentes ocupacionales por mes.

Ejemplo de riesgo identificado

De acuerdo a la Declaración de Apetito de la Empresa, el nivel de riesgo que se asumirá es:

La tolerancia y la capacidad de riesgo para el ejemplo son las siguientes:

I. Planificación de la Gestión de Riesgos

Página 23

Proceso de definición del apetito de riesgo

Modelo Top-down

Establecer el apetito de riesgo desde la Dirección, alineándolo con los objetivos a nivel entidad.

Validar con los principales stakeholders los niveles de apetito de riesgo.

Comunicar el apetito de riesgo a toda la Empresa y alinear la gestión de riesgos a éste.

Considerando el impacto de los siguientes aspectos en los objetivos:

-Negocio de la Empresa

-Aspectos jurídicos y normativos -Operación de la empresa

-Tecnologías

-Tecnologías de la información -Aspectos financieros

-Factores sociales y humanitarios -Fraude

Proceso de definición de la tolerancia y capacidad de riesgo

Criterio Ejemplo

Operaciones de la empresa

Que el número de accidentes laborales se encuentre entre # a #.

Que la duración promedio de interrupciones del sistema (SAIDI) se encuentre entre # a #.

I. Planificación de la Gestión de Riesgos

1.3

Definición del Apetito, Tolerancia y Capacidad al Riesgo

Considerando los mismos aspectos analizados en el apetito de riesgo, se definen la tolerancia y capacidad de riesgo

Página 24

Criterios de priorización que deben considerarse al seleccionar un proceso crítico:

• Materialidad

• Las expectativas de la dirección y la alta gerencia • Impacto en objetivos estratégicos

• Complejidad de las operaciones • Volumen de las operaciones • Nivel de automatización

• Importancia en la continuidad del negocio Procedimiento

• Establecer rangos por cada criterio para identificar si el proceso cumple con el criterio

• Asignar un puntaje por criterio. • Se sumarán los puntajes obtenidos.

• Se considerará un procesos crítico si la suma es mayor a siete (7).

I. Planificación de la Gestión de Riesgos

1.4 Priorización y Selección de Procesos Críticos

La priorización de procesos permite identificar los procesos críticos de la Empresa, y así poder organizar la designación de esfuerzos de la gestión de riesgos en función a la criticidad de las operaciones.

Página 25

Criterios

I. Planificación de la Gestión de Riesgos

1.4 Priorización y Selección de Procesos Críticos

Materialidad Expectativas de la Dirección y la

Alta Gerencia Impacto en Objetivos Estratégicos Complejidad de lasOperaciones

Volumen de Operaciones Nivel de Automatización Importancia en la Continuidad del Negocio

Página 27

II. Identificación y Clasificación de Riesgos

La identificación y clasificación de riesgos es fundamental para hacer frente a los eventos que afecten el cumplimiento de los objetivos de la entidad y los procesos.

II. Identificación y Clasificación de Riesgos 2.1 Identificación de Eventos

Identificación de eventos positivos que deben ser aprovechados y de eventos negativos que deben prevenirse para no convertirse en riesgos.

2.2 Identificación de Riesgos

Identificación de los riesgos que afectan a los procesos y a la Empresa para, de acuerdo al apetito de riesgo, orientar la gestión de los mismos.

Página 28

II. Identificación y Clasificación de Riesgos

2.1 Identificación de Eventos

¿Qué es un evento?

Es una situación o elemento potencial de origen externo o interno que afecte a la entidad, el cual puede tener consecuencias positivas o negativas.

¿Cómo identificarlos?

¿En qué destaca la Empresa? ¿Tiene algo que la

diferencie?

¿Qué se puede mejorar? ¿La Empresa tiene menos ventajas que

otras similares?

¿Qué

oportunidades tiene la Empresa a su

alcance? ¿De qué tendencias

se puede beneficiar? ¿Qué podría desviar a la Empresa? ¿Qué hace la competencia?

Página 29

¿Por qué identificarlos?

Los eventos negativos son el punto de partida para poder identificar los riesgos que afronta la Empresa. Es importante mapearlos pues permite desarrollar una cultura de prevención en la gestión de riesgos.

Los eventos positivos son relevantes para tener conocimiento de aquellas oportunidades que deben ser aprovechadas por la Empresa pues contribuyen al cumplimiento de objetivos.

II. Identificación y Clasificación de Riesgos

Página 30

II. Identificación y Clasificación de Riesgos

2.2 Identificación de Riesgos

¿Qué es un riesgo?

Es la amenaza que enfrenta una Empresa cuando un evento o acción puede afectar adversamente su habilidad de alcanzar sus objetivos y maximizar valor.

!

►

Riesgo a nivel entidad:

Que no se comunique oportunamente la información que debe transmitirse a los accionistas

debido a que no se ha definido de manera clara y formal al responsable de organizar dicha

información y comunicarla.

►

Riesgo a nivel de proceso:

Que se produzcan errores en los pagos a proveedores o dobles procesamientos debido a la

recepción de información duplicada

.

Página 31

II. Identificación y Clasificación de Riesgos

2.2 Identificación de Riesgos

Se identifican los riesgos que afectan a los procesos y a la entidad (Riesgos Estratégicos).

¿Cómo documentarlo?

Tener en consideración

Considerar su composición:

1. Consecuencia: Es el impacto que tendrá un riesgo al momento de materializarse. 2. Causa: Es el motivo por el cual se presenta el riesgo.

Es importante tener especial consideración con los riesgos múltiples (riesgos que impactan a más de un proceso en la Empresa).

Página 32

Naturaleza del riesgo

Clasificación de riesgos

Se refiere a las características propias del sector en el que se encuentra la Empresa que puede ocasionar determinadas clases de riesgos.

Para este caso, podrían considerarse, por ejemplo, estos aspectos:

• Regulaciones • Infraestructura • Operaciones • Tipo de servicio • Medio ambiente

• Relaciones con la comunidad • Seguridad ocupacional Origen Externo Interno Nivel Entidad Proceso Frecuencia Rutinarios No rutinarios

!

Naturaleza y clasificación de riesgos

II. Identificación y Clasificación de Riesgos

2.2 Identificación de Riesgos

La definición de la naturaleza y clasificación de los riesgos según su causa es necesaria para la organización

de la gestión de los riesgos identificados.

Página 33

Estratégicos Operacionales

De Reporte De Tecnologías de la _información

Son los riesgos que tienen impacto directo a nivel de entidad debido a que afectan el cumplimiento de los objetivos estratégicos de la Empresa.

Son los riesgos vinculados a la parte operativa. Incluye los riesgos

originados por deficiencias en los procesos o en la estructura organizacional.

Son los riesgos asociados a los procesos de reporte, sean internos o externos, así como al de sus entregables.

Son los riesgos que tienen impacto tanto en la gestión de las tecnologías de la información como en la seguridad de la información.

!

Tipos de riesgo

II. Identificación y Clasificación de Riesgos

2.2 Identificación de Riesgos

Para organizar los riesgos y definir adecuadamente las estrategias de respuesta a cada uno de ellos, es

importante que se los categorice por tipos de riesgo.

Página 34

De Cumplimiento De Fraude

Son los riesgos que

impactan en la capacidad para cumplir con los requisitos normativos internos y externos.

Son los riesgo asociados a las conductas que

incumplen las obligaciones legales con la finalidad de obtener un beneficio.

!

Tipos de riesgo

II. Identificación y Clasificación de Riesgos

Página 35

Tormenta de ideas Técnica Delphi Cuestionario / Encuestas

Entrevistas Análisis FODA Diagrama de Ishikawa

!

II. Identificación y Clasificación de Riesgos

2.2 Identificación de Riesgos

Técnicas para la identificación de riesgos

Los riesgos identificados deberán documentarse en una Matriz de Riesgos y Controles a nivel entidad y por proceso

Sistema Efectivo de Análisis de

Riesgo (SEAR)

Fondo Nacional de Financiamiento de la

Actividad Empresarial del Estado

FONAFE

Taller a Personal Clave

Lima, 20 de octubre 2015

Página 37

Página 38

Anexos

Mapa de Procesos

Documento Mapa de Procesos

Nombre Proceso Fecha

Dueños de Proceso

A. DIAGRAMA DE BLOQUES

B. OBJETIVO / DESCRIPCIÓN – ANTECEDENTES

C. ÁREAS QUE INTERVIENEN

Subproceso Gerencia/ Subgerencia Departamento / Sección Responsable

(nombre y cargo)

Participantes de Talleres (nombre y cargo)

Página 39

Anexos

Diagrama de Bloques del proceso

Proceso : Fecha : Fin Inicio Subproceso 2 Inicio: Fin: Subproceso 3 Inicio: Fin: Subproceso 1 Inicio: Fin: Subproceso 4 Inicio: Fin: Subproceso 5 Inicio: Fin: Subproceso 6 Inicio: Fin:

Página 40

Anexos

Plantilla de Subprocesos

Proceso: Fecha: Sub procesos:

Objetivo del subproceso:



Responsables del subproceso:



Áreas y cargos clave del subproceso:



Comienzo del subproceso:



Final del subproceso:

 Entradas:  Salidas:  Sistemas clave:  Productos relacionados: 

Riesgos del proceso:



Controles relacionados a los riesgos:



Actividades clave:



Otra información relevante:

Página 41

Anexos

Página 42

Anexos

Narrativas

Proceso Subproceso Sitio

Owner del proceso Personal involucrado en los controles

Autor

Fecha última revisión Objetivo

Inputs (subproceso) Outputs (subproceso)

Aplicaciones informáticas asociadas Indicadores claves de rendimiento

Cuentas financieras asociadas

Subproceso:

# Actividad Responsable Descripción de la actividad Referencia del control

Observaciones