gestión_del_riesgo usergioarboleda

(1)

MEJORAMIENTO DEL SISTEMA DE GESTIÓN

DE RIESGOS

UNIVERSIDAD SERGIO ARBOLEDA

SECCIONAL SANTA MARTA

(2)

GESTIÓN INTEGRAL DEL RIESGO

(3)

Contenido

Antecedentes Gestión Integral del Riesgo Entorno Regulatorio

Familia ISO 31000 Gestión del Riesgo

Introducción

Conceptos

El Riesgo en la Gestión del día a día

Principios de la Gestión del Riesgo

Estructura de la Gestión del Riesgo Proceso para la Gestión del Riesgo

Comunicación y Consulta Contextualización

Modelo de Madurez en la Gestión del Riesgo Beneficios de la Gestión del Riesgo

Valoración del Riesgo Tratamiento y Controles

Otros referentes normativos

Compromiso de la Dirección Estructura de Soporte Implantación

(4)

GESTIÓN INTEGRAL DEL RIESGO

(5)

Introducción

El “Riesgo” es un concepto que bien podríamos llamar vital, por su vínculo con todo lo que hacemos. Casi podríamos decir que no hay actividad de la vida, de los negocios o de cualquier asunto que se nos ocurra, que no implique asumir un riesgo.

(6)

GESTIÓN INTEGRAL DEL RIESGO

Introducción

Entre las formas de protección del riesgo está la acción colectiva, la precaución individual o corporativa, las normas comunitarias y en fin tantas otras, entre las cuales se incluye la tecnología como medio de prevención.

Fue por ello que la humanidad, desde sus inicios, buscó maneras de protegerse contra las contingencias del que hacer diario y desarrolló al igual que la mayoría de las especies animales maneras de esquivar, eliminar, minimizar o enfrentar los riesgos.

(7)

Introducción

¿Qué es riesgo?

Es “el efecto de la incertidumbre en la consecución de los objetivos” ISO 31000:2009

• 1. Incertidumbre (puede que nunca ocurra).

• 2. El riesgo importa y debe gestionarse porque tiene un efecto (positivo y negativo).

(8)

Introducción

¿Qué es riesgo?

Es “la proximidad voluntaria o inconsciente a una situación de peligro”. Es la exposición al peligro o a circunstancias que nos puedan generar daño o consecuencias.

BASC V4:2012

Es la “combinación de la probabilidad y consecuencia de un evento”. ISO 27002

(9)

Introducción

¿Por qué no se gestionan los riesgos en las Organizaciones?

PARADIGMAS

• No aporta valor…

• Si pensamos en todo lo malo, no hacemos nada. • Hay suficientes controles.

• Aquí pensamos en metas, no en riesgos.

• Aceptamos que es común que fallen los sistemas tecnológicos. • ¡ No hay tiempo para evaluar los riesgos, necesitamos vender ! • Acá nunca pasó nada.

• No tenemos los procesos definidos.

• Gestionar los riesgos no me va a ayudar a vender más. • Si ocurre algo, ya lo arreglaremos.

(10)

Introducción

Para entender, analizar, valorizar, gerenciar y decidir sobre la manera como adelantar la gestión corporativa frente al riesgo, la dirección moderna de las empresas concibió con el apoyo de la academia una disciplina denominada

“Administración de Riesgos” o “Gerencia de Riesgos”, que al final sólo es una función más, de muy alto nivel dentro de la jerarquía directiva, para darle paso a dicha necesidad; es así como se considera la Administración de Riesgos como un conjunto de estrategias que a partir de los recursos (físicos, humanos y financieros) limitados, busca los siguientes objetivos:

En el corto plazo mantener la estabilidad financiera de la empresa protegiendo sus activos e ingresos de los riesgos a que está expuesta y en el largo plazo,

(11)

(12)

JOSE DAVID CUARTAS A. GESTIÓN INTEGRAL DEL RIESGO

Introducción

Amplio Espectro de Riesgos

Insolvencia crediticia Riesgos de mercados financieros Fluctuaciones cambiarias Liquidez, flujo de caja Capital intelectual Investigación & Desarrollo Cambios en industria/clientes Directivos clave Sistemas de Información Cadena de suministros Sistemas contables/ de control Desastres Naturales Seguridad/ lesiones a empleados Responsabilidad general Daños materiales Canales y redes Normatividad ambiental Demanda del mercado Inducidos Externamente

Inducidos Internamente

Continuidad del Negocio

Valor de activos Alianzas/consorcios

Responsabilidad Contractual

Suministro de Energía Oportunidad

Retención & atracción de personal Pasivos contingentes Director General Relaciones Públicas Depto. Legal Director de Operaciones Seguridad y Gerente de Riesgos Director Financiero Tesorero Junta Directiva Pensiones Garantías Condiciones económicas globales Cambios fiscales y contables Terrorismo Guerra Incendio/ Explosión Polución Seguridad física Cumplimiento de regulación/legislación Acción industrial Competencia Marca/reputación Fusiones & Adquisiciones

(13)

Introducción

(14)

Introducción

Cómo lo cumplo?

4.2 Mandato y compromiso

“La introducción de la gestión del riesgo y el aseguramiento de su eficacia continua requieren un compromiso fuerte y sostenido de la dirección de la organización, así como el establecimiento de una planificación estratégica y rigurosa para conseguir el compromiso a todos los niveles…”

(15)

La Alta Gerencia

Tiene responsabilidad dentro del Buen Gobierno de buscar el logro de los objetivos.

Debe demostrar la debida diligencia.

Debe propender por invertir los recursos en forma ordenada. Debe conocer los riesgos a que está expuesta (incluso hoy).

Esto se traduce en : mensajes claros, coherentes y continuos a toda la organización.

(16)

Introducción

(17)

(18)

Introducción

Gestión Integral del Riesgo

como Proceso

•Política

•Objetivos

•Directrices

•Interacción

(19)

Introducción

Gestión del Riesgo como actividad de un Proceso

•Liderado por un Proceso

(20)

(21)

(22)

Introducción

ADMINISTRACIÓN DE RIESGO EMPRESARIAL

(23)

Introducción

ADMINISTRACIÓN DE RIESGO EMPRESARIAL o E.R.M.®

Enterprise Risk Management. Definición.

-“Es un proceso efectuado por la Junta de Directores, la administración y otro personal de la entidad, aplicado en la definición de la estrategia y través del emprendimiento, diseñado para identificar los eventos potenciales que pueden afectar la entidad, y para administrar los riesgos que se encuentran dentro de su apetito por el riesgo, para proveer seguridad razonable en relación con el logro del objetivo de la Entidad.”

(24)

Introducción

Esta definición refleja ciertos conceptos fundamentales:

1. Un proceso, es un medio para un fin, no un fin en si mismo.

2. Efectuado por Personas -no es solamente política, estudio y forma, sino que involucra Personas en cada nivel de una organización-.

3. Aplicado en la definición de la estrategia.

4. Aplicado a través de la administración en cada nivel y unidad, incluye asumir un punto de vista de portafolio de los riesgos a nivel de la entidad.

5. Diseñado para identificar los eventos que potencialmente afectan la entidad y para administrar los riesgos dentro del apetito por los riesgos.

6. Provee seguridad razonable para la administración y para la Junta de una entidad.

7. Orientado al logro de los objetivos en una o más categorías separadas pero al mismo tiempo se sobreponen unas con otras.

(25)

Introducción

(26)

Introducción

E.R.M.® RENOVADO

Mirar más allá de la Probabilidad Tres factores clave:

1. Impacto de un evento en el valor del negocio. 2. Vulnerabilidad de la Organización a sus efectos.

(27)

Introducción

E.R.M.® RENOVADO

Relacionar probabilidad con vulnerabilidad e interacción de riesgos.

• Si un riesgo es relevante y tiene alto impacto, debe ser considerado, aunque sea “remoto”.

• Utilizar planeación de escenarios para evaluar eventos de impacto alto / baja productividad.

No olvidad las interdependencias. • Riesgos agregados.

• Correlaciones ocultas.

(28)

Introducción

PROCESO DESEMPEÑO NO CONFORMIDAD ACCIÓN PREVENTIVA ACCIÓN CORRECTIVA ACCIÓN DE MEJORA CONFORMIDAD

(29)

(30)

Introducción

RIESGO AMENAZA PELIGRO

(31)

Introducción

RIESGO

Es “la proximidad voluntaria o inconsciente a una situación de peligro”. Es la exposición al peligro o a circunstancias que nos puedan generar daño o consecuencias.

(32)

Introducción

AMENAZA

Son aquellos factores externos a la organización que advierten proximidad o propensión a un evento de pérdida (materialización de un riesgo) sobre los cuales esta no tiene control.

(33)

Introducción

PELIGRO

Es una fuente o situación con potencial capacidad de producir pérdidas en términos de bienes y daño a la propiedad.

(34)

Introducción

EMERGENCIA

Es la situación producida por una fuente de peligro, la cual genera pérdidas en bienes y daño a la propiedad.

(35)

Introducción

Es la avería, destrucción fortuita o pérdida importante que sufre el bien o la propiedad.

(36)

Introducción

RESTITUCIÓN

Restablecimiento del bien o la propiedad al estado que tenía antes de presentarse una emergencia .

(37)

Introducción

(38)

GESTIÓN INTEGRAL DEL RIESGO

(39)

Antecedentes

PRODUCTIVIDAD

GOBIERNO CORPORATIVO

EFICIENCIA

FINANCIERA

RIESGOS

CALIDAD

MEJORA DE PROCESOS

TECNOLOGÍA

CAMBIOS EN LA

LEGISLACIÓN

ENRON

GP 1000

MECI

COSO II

(40)

Antecedentes

(41)

Antecedentes

 A nivel Internacional:

 Ley Sarbanes-Oxley (EEUU) Sarbanes-Oxley Act of 2002, Pub. L.

No. 107-204, 116 Stat. 745 (30 de julio de 2002)

Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista. Nace en Estados Unidos con el fin de monitorear a las empresas que cotizan en bolsa, evitando que las acciones de las mismas sean alteradas de manera dudosa, mientras que su valor es menor. Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inversor.

(42)

Antecedentes

 COSO Committee of Sponsoring Organizations of the Treadway

Commission. En 1992, publicó un informe denominado Internal Control – Integrated Framework (IC-IF), conocido también como COSO I. Adoptado por el sector público y privado en USA, por el Banco Mundial y el BID, y se extiende rápidamente por todo Latino América. En septiembre de 2004, se publica el informe denominado Enterprise Risk Management – Integrated Framework, el cual incluye el marco global para la administración integral de riesgos (Estándar COSO II – ERM).

(43)

Antecedentes

 Normas Internacionales para la práctica profesional de la

Auditoria Interna “The Institute of Internal Auditors” (IIA).

The Institute of Internal Auditors (IIA, por sus siglas en inglés), organización fundada en 1941 en Estados Unidos, es la máxima autoridad reconocida a nivel mundial en el campo de la auditoria interna.

(44)

Antecedentes

La auditoria interna presta dos grandes servicios, el de aseguramiento y consulta para agregar valor y mejorar las operaciones para evaluar y mejorar la eficacia de los procesos de la Administración o Gestión de Riesgos, Control y Gobierno Corporativo.

 Dentro de las normas de auditoria interna internacionales, se

encuentran varias normas específicas dirigidas a manejar la metodología de la Administración de Riesgos dentro de los dos servicios enunciados, las cuales se recomiendan se apliquen por parte de los auditores internos.

(45)

Antecedentes

2110 – Gestión de Riesgos

La actividad de auditoría interna debe asistir a la organización mediante la identificación y evaluación de las exposiciones significativas a los riesgos, y la contribución a la mejora de los sistemas de gestión de riesgos y control.

2110.A1 - La actividad de auditoría interna debe supervisar y evaluar la eficacia

del sistema de gestión de riesgos de la organización.

2110.A2 – La actividad de auditoría interna debe evaluar las exposiciones al

riesgo referidas a gobierno, operaciones y sistemas de información de la organización, con relación a lo siguiente:

· Confiabilidad e integridad de la información financiera y operativa, · Eficacia y eficiencia de las operaciones,

(46)

Antecedentes

2110 – Gestión de Riesgos

2110.C1 Durante los trabajos de consultoría, los auditores internos deben

considerar el riesgo compatible con los objetivos del trabajo y estar alertas a la existencia de otros riesgos significativos.

2110.C2 Los auditores internos deben incorporar los conocimientos del riesgo

obtenidos de los trabajos de consultoría en el proceso de identificación y evaluación de las exposiciones de riesgo significativas en la organización.

(47)

Antecedentes

 IAS 39 (International Accounting Standard sobre instrumentos

financieros).

 FAS-133 (Financial Accounting Standard sobre Derivados).

 ISO-IEC Guide 73 Vocabulario a ser utilizado en estándares de

Administración de Riesgos.

 Estándar Australiano Neozelandés AS/NZS 4360-2004 Risk

Management.

 Estándar del Reino Unido IRM-AIRMIC-ALARM sobre

(48)

Antecedentes

 COSO ERM for Cloud Computing 2012

 COSO Entendimiento y Comunicación del Apetito del Riesgo

2012

 ISO 22301:2012 Sistemas de Gestión de la Continuidad del

Negocio

(49)

Antecedentes

 A nivel Nacional:

 Superintendencia Bancaria:

 Circular externa 050 del año 2001 y Carta Circular 031 del 2002 sobre SARC: Sistema de administración de riesgo crediticio

 Circular externa 052 del 2002 de la Superbancaria sobre SEARS: Sistema Especial de Administración de riesgos de seguros

 Superintendencia de Valores:

 Resolución 138 del año 2001 sobre el sistema general de riesgos.

(50)

Antecedentes

 A nivel Nacional:

 MECI (Modelo Estándar de Control Interno)

 NTC GP 1000:2004 (Norma Técnica de Calidad en la Gestión

Pública)

(51)

Antecedentes

(52)

Antecedentes

(53)

Antecedentes

(54)

Antecedentes

Otros referentes normativos

4.5.3 No conformidad, acción correctiva y acción preventiva

La organización debe establecer, implementar y mantener uno o varios procedimientos para tratar las no conformidades reales y potenciales y tomar acciones correctivas y acciones preventivas. Los procedimientos deben definir requisitos para:

… c) La evaluación de la necesidad de acciones para prevenir las no conformidades y la implementación de las acciones apropiadas definidas para prevenir su ocurrencia;

d) la revisión de la eficacia de las, acciones preventivas y acciones correctiva tomadas.

Las acciones tomadas deben ser las apropiadas en relación a la magnitud de los problemas e impactos ambientales encontrados.

(55)

Antecedentes

(56)

Antecedentes

(57)

Antecedentes

(58)

(59)

Antecedentes

(60)

Antecedentes

(61)

Antecedentes

AS/NZ 4360:2004 Risk Management Standard Familia ISO 31000 Risk Management

(62)

Antecedentes

Familia ISO 31000 Gestión del Riesgo

En la actualidad, la familia ISO 31000 incluye:

 ISO 31000:2009 Principios y Directrices sobre la aplicación  ISO / IEC 31010:2009 Técnicas de evaluación de riesgos

(63)

Antecedentes

ISO 31000:2009 Principios y Directrices

Esta norma internacional proporciona los principios y las directrices genéricas sobre la gestión del riesgo.

Puede utilizarse por cualquier empresa pública, privada o social, asociación, grupo o individuo. Por tanto, no es específica de una industria o sector concreto.

Esta Norma no es certificable…

(64)

Antecedentes

ISO 31000:2009 Principios y Directrices

Interesados:

a) Responsables de desarrollar la política de gestión del riesgo dentro de su organización;

b) Encargados de asegurar que el riesgo se gestiona de manera eficaz dentro de la organización, considerada en su totalidad o en un área, un proyecto o una actividad específicos;

c) Los que necesitan evaluar la eficacia de una organización en materia de gestión del riesgo; y

d) Los que desarrollan normas, guías, procedimientos y códigos de buenas prácticas que, en su totalidad o en parte, establecen cómo se debe tratar el riesgo dentro del contexto específico de estos documentos.

(65)

Antecedentes

ISO GUÍA 73:2009 Vocabulario

“…proporciona el vocabulario básico para desarrollar una comprensión de los conceptos y términos que se utilizan en la gestión del riesgo que son comunes a diferentes organizaciones y funciones, ...”

3.6.1.7 matriz de riesgo:

Herramienta que permite clasificar y visualizar los riesgos (1.1), mediante la definición de categorías de consecuencias (3.6.1.3) y de su probabilidad (3.6.1.1).

(66)

Antecedentes

ISO IEC 31010:2009 Técnicas de Evaluación de Riesgos

(67)

(68)

Antecedentes

¿Qué pasa cuando coexisten diversas evaluaciones de riesgo?

ISO 14001, OHSAS 18001, ISO 22000, ISO 27000…

“La gestión del riesgo contribuye de manera tangible al logro de los objetivos y a la mejora del desempeño, por ejemplo, en lo referente a la salud y seguridad de las personas, a la conformidad con los requisitos legales y reglamentos, a la aceptación por el público, a la protección ambiental, a la calidad del producto, a la gestión de proyectos, a la eficacia en las operaciones, al gobierno corporativo y su reputación.”

(69)

(70)

(71)

Principios de la Gestión del Riesgo

Los “principios para la gestión del riesgo” buscan establecer el enfoque cultural e ideológico con que se deben gestionar los riesgos en toda organización. Estos elementos suelen no ser considerados relevantes al no ser tangibles y medibles, si bien son tan importantes como cualquier otro aspecto de la organización.

(72)

Principios de la Gestión del Riesgo

La gestión del riesgo … … crea y protege el valor

… es una parte integral de todos los procesos … es parte de la toma de decisiones

… aborda explícitamente la incertidumbre … es sistemática, estructurada y oportuna … se basa en la mejor información disponible

(73)

Principios de la Gestión del Riesgo

La gestión del riesgo …

… está adaptada

… toma en consideración los factores humanos y culturales … es transparente e inclusiva

… es dinámica, reiterativa y receptiva al cambio … facilita la mejora continua de la organización

(74)

GESTIÓN INTEGRAL DEL RIESGO

(75)

Estructura de la Gestión del Riesgo

(76)

GESTIÓN INTEGRAL DEL RIESGO

(77)

(78)

(79)

Proceso para la Gestión del Riesgo

1. ESTABLECER EL CONTEXTO

 Externo - Estratégico  Interno - Organizacional

 Proceso para la gestión del riesgo

 Definir los criterios del riesgo (Evaluación – Estructura)

Alineado a la planeación estratégica Partes Interesadas

Alcance y criterios

(80)

Proceso para la Gestión del Riesgo

2. IDENTIFICAR LOS RIESGOS

 Fuentes del riesgo  Procesos de impacto  Eventos

 Causas potenciales

 Consecuencias potenciales

APRECIACIÓN O VALORACIÓN DEL RIESGO

Herramientas y técnicas Defina sus propios riesgos

Ajustados a la gestión empresarial Participación

(81)

Proceso para la Gestión del Riesgo

2. IDENTIFICAR LOS RIESGOS

 Que puede suceder?  Por qué sucede?  Como sucede?

 Donde puede suceder?  Cuando puede suceder?

 Definición de Herramientas y técnicas para la identificación (listas de

(82)

Proceso para la Gestión del Riesgo

Eventos Naturales Aspectos Tecnológicos y Técnicos (int./ext.) Actividades Individuales Circunstancias Económicas (Int./Ext.) Eventos Causas Amenazas Relaciones Comerciales Y Legales Comportamiento Recursos Humanos Circunstancias Políticas y Legislativas Actividades y Controles Gerenciales

(83)

Proceso para la Gestión del Riesgo

Gestión del Cambio

Financieros Productos / Servicios Medio Ambiente Consecuencias Gestión de Activos Cumplimiento de la Normatividad

Gestión (Dirección General)

Riesgos a Personas

Áreas de Impacto Genéricas

(84)

Proceso para la Gestión del Riesgo

3. ANALIZAR LOS RIESGOS

Cuál es la probabilidad que un riesgo produzca una pérdida con los actuales controles?

Con qué frecuencia puede ocurrir una pérdida?

(85)

Proceso para la Gestión del Riesgo

 Cuál es el impacto o magnitud del riesgo?

 Qué tan grande puede ser la pérdida producida por el riesgo con los controles actuales?

CONSECUENCIAS – SEVERIDAD - IMPACTO

Se miden en cuatro frentes; Personas (Vidas Humanas), Operaciones (Empresa, Tiempo), Dinero (Sanciones) e Imagen.

(86)

Proceso para la Gestión del Riesgo

El análisis puede ser:  Cualitativo

 Semicuantitativo  Cuantitativo

(87)

Proceso para la Gestión del Riesgo

Análisis Cualitativo

Utiliza palabras para describir la magnitud de las consecuencias potenciales y la posibilidad de que ocurran tales consecuencias. Estas escalas se pueden adaptar o ajustar para satisfacer las circunstancias y se pueden usar diferentes descripciones para los diferentes riesgos.

(88)

Proceso para la Gestión del Riesgo

Análisis Semicuantitativo

En el análisis semicuantitativo, las escalas cualitativas, como las cuantitativas, se dan en valores. El objetivo es producir una escala de clasificación más amplia que la que se obtiene usualmente en el análisis cualitativo, sin sugerir valores realistas para riesgos, como se pretende en el análisis cuantitativo . Sin embargo, debido a que el valor asignado a cada descripción puede no tener una relación exacta con la magnitud real de las consecuencias o la posibilidad, los números solo se deberían combinar usando una fórmula que reconozca las limitaciones de los tipos de escalas empleadas.

(89)

Proceso para la Gestión del Riesgo

Análisis Cuantitativo

Utiliza valores numéricos (a diferencia de las escalas descriptivas usadas en los análisis cualitativo y semicuantitativo) tanto para las consecuencias como para la posibilidad, empleando datos provenientes de una variedad de fuentes.

La calidad del análisis depende de la exactitud y cabalidad de los valores numéricos y de la validez de los modelos empleados.

(90)

(91)

Proceso para la Gestión del Riesgo

 Determinación de los Controles Existentes

(92)

Proceso para la Gestión del Riesgo

(93)

Proceso para la Gestión del Riesgo

APLICACIÓN DE CONTROLES

- En la Fuente. (Que busquen la eliminación del Riesgo)

- En el Medio. (Sustitución, Controles de Ingeniería en Procesos, Maquinaria o Equipo, Señalización, Advertencias, Controles Administrativos)

(94)

Proceso para la Gestión del Riesgo

GRADOS DE CONTROL

- Fuerte. (Se presta una atención significativa al riesgo. Se han adoptado la

mayoría de los controles económicamente viables. Se mantiene un sistema de monitoreo constante).

- Moderado. (Los controles aplicados proporcionan una certeza razonable

de control, aunque no permiten la gestión de todos los eventos de riesgo potenciales).

- Débil. (Los controles aplicados son insuficientes para prevenir o mitigar el

riesgo).

- Incontrolable. (Fuera del control de la Organización en cuanto a su

(95)

(96)

Proceso para la Gestión del Riesgo

4. EVALUAR LOS RIESGOS

 Nivel de riesgo  Comparación  Prioridades  Aceptar o no?

Análisis de escenarios Escalas a la medida Participación Gerencial Proactividad procesos

(97)

Proceso para la Gestión del Riesgo

5. TRATAR LOS RIESGOS

 Valoración del tratamiento del riesgo

 Decisión sobre si los niveles de riesgo residual son tolerables

 Si no son tolerables, generación de un nuevo tratamiento para el riesgo  Valoración de la eficacia de dicho tratamiento

(98)

Proceso para la Gestión del Riesgo

Opciones de tratamiento:

 Evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el riesgo.

 Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.  Eliminar la fuente del riesgo.

 Modificar la probabilidad.

 Cambiando las consecuencias.

 Compartir el riesgo con otras partes (incluyendo los contratos y la financiación del riesgo).

(99)

Proceso para la Gestión del Riesgo

Preparar, documentar e implementar planes:

 Razones para la elección de las opciones de tratamiento  Beneficios a obtener

 Aprobar el plan y responsables de implementarlo  Acciones propuestas

 Requisitos de recursos, incluyendo las contingencias  Medidas y restricciones de desempeño

(100)

Proceso para la Gestión del Riesgo

(101)

Proceso para la Gestión del Riesgo

6. SEGUIMIENTO Y REVISIÓN

 Controles eficaces y eficientes  Mejorar la valoración del riesgo  Analizar y aprender lecciones  Detectar cambios en el contexto

(102)

Proceso para la Gestión del Riesgo

6. SEGUIMIENTO Y REVISIÓN

 Deben monitorearse los riesgos, la eficacia del plan de tratamiento del riesgo, las estrategias y el sistema de gestión que se establecen para controlar la implementación.

 Resulta esencial la revisión permanente para asegurarse que el plan de gestión continúa siendo pertinente.

(103)

Proceso para la Gestión del Riesgo

7. COMUNICACIÓN Y CONSULTA

 Intercambio de información  Partes involucradas

 Bilateral

 Toma de decisiones _{Actualización}

Seguimiento y control

Registros para la trazabilidad Entrenamiento del personal Auditorías internas

(104)

Proceso para la Gestión del Riesgo

La comunicación interna y externa efectiva es importante para garantizar que quienes son responsables de implementar la Gestión del Riesgo y quienes tienen un interés creado, comprendan la base sobre la cual se toman decisiones y por qué se requieren acciones particulares.

(105)

Proceso para la Gestión del Riesgo

Partes Interesadas

• Individuos dentro de la Organización (Empleados, Visitantes, Contratistas). • Quienes tomen decisiones.

• Sindicato.

• Instituciones financieras. • Compañías de seguros. • Clientes.

(106)

Proceso para la Gestión del Riesgo

Documentar

 Cada etapa del Proceso de Gestión del Riesgo se debe documentar.

 La documentación debe incluir los métodos, fuentes de datos y resultados.

(107)

(108)

Modelo de Madurez en la Gestión del Riesgo

Construya a partir de lo que la Organización ya tiene

Para la mayoría de las organizaciones la buena noticia es que probablemente ya tienen en funcionamiento muchos de los elementos de la administración de la empresa inteligente frente al riesgo. El camino a seguir debe ser mucho más un asunto de construir en lo que actualmente existe que iniciar a partir de cero. Por esta razón, es importante que las organizaciones hagan un inventario de sus capacidades de administración del riesgo, antes de hacer cambios o inversiones importantes en administración del riesgo.

(109)

Modelo de Madurez en la Gestión del Riesgo

Cuando se realice tal valoración, es vital entender no solo dónde actualmente se encuentra la empresa, sino a dónde quiere y necesita ir a partir de la perspectiva de la administración del riesgo – lo cual, puede no siempre estar en lo alto de la pila. Las diferentes áreas de riesgo difieren en importancia de industria a industria, e incluso de compañía a compañía dentro de la misma industria.

Por consiguiente, para la administración del riesgo no siempre es necesario mantener capacidades de primera categoría con relación a cada aspecto posible de riesgo. El desafío es entender exactamente en cuales áreas “suficiente bueno” realmente es suficientemente bueno – y en cuáles áreas la empresa realmente necesita capacidades de primera categoría para satisfacer las expectativas que sobre la administración del riesgo tienen los stakeholders.

(110)

Modelo de Madurez en la Gestión del Riesgo

Una forma de entender mejor tanto dónde está la Organización y dónde “debe” estar, es evaluar las capacidades de administración del riesgo contra un modelo de madurez. Para los líderes del proceso, la valoración contra tal modelo puede ser una forma útil para enmarcar la discusión de qué tipos de iniciativas buscar en las diversas áreas de riesgo, así como qué tantos de los recursos limitados de la organización invertir en cada iniciativa.

(111)

(112)

(113)

(114)

(115)

Modelo de Madurez en la Gestión del Riesgo

Nueve principios fundamentales de un programa de Inteligencia frente al riesgo

1. En la empresa inteligente frente al riesgo, una definición común de riesgo, que aborda tanto la preservación de valor como la creación de valor, es usada consistentemente a través de toda la organización.

(116)

Modelo de Madurez en la Gestión del Riesgo

2. En la empresa inteligente frente al riesgo, una estructura común del riesgo respaldada por estándares apropiados, es usada a través de toda la organización para administrar los riesgos.

(117)

Modelo de Madurez en la Gestión del Riesgo

3. En la empresa inteligente frente al riesgo, los roles clave, las responsabilidades y la autoridad. relacionados con la administración del riesgo, están claramente definidos y delineados dentro de la organización.

(118)

Modelo de Madurez en la Gestión del Riesgo

4. En la empresa inteligente frente al riesgo, una infraestructura común de administración del riesgo es usada para respaldar las unidades y funciones de negocio en el desempeño de sus responsabilidades frente al riesgo.

Risk Intelligent enterprise management – Running the Risk Intelligent Enterprise, publicado por Deloitte Development LLC – 2010

(119)

Modelo de Madurez en la Gestión del Riesgo

5. En la empresa inteligente frente al riesgo, los cuerpos de gobierno (e.g., Juntas, Comités de Auditoría, etc.) tienen la transparencia y visibilidad apropiadas en las prácticas de administración del riesgo de la organización a fin de descargar sus responsabilidades.

(120)

Modelo de Madurez en la Gestión del Riesgo

6. En la empresa inteligente frente al riesgo, la administración ejecutiva tiene a su cargo la responsabilidad principal por diseñar, implementar, y mantener un programa efectivo frente al riesgo.

(121)

Modelo de Madurez en la Gestión del Riesgo

7. En la empresa inteligente frente al riesgo, las unidades de negocio (departamentos, agencias, etc.) son responsables por el desempeño de sus negocios y por la administración de los riesgos que asumen dentro de la estructura de riesgo establecida por la administración ejecutiva.

(122)

Modelo de Madurez en la Gestión del Riesgo

8. En la empresa inteligente frente al riesgo, ciertas funciones (e.g., Recursos humanos, finanzas, tecnología de la información, impuestos, legal, etc.) tienen un impacto generalizado en los negocios y proporcionan soporte a las unidades de negocio en lo que se relaciona con el programa de riesgo de la organización.

(123)

Modelo de Madurez en la Gestión del Riesgo

9. En la empresa inteligente frente al riesgo, ciertas funciones (e.g., auditoría interna, administración del riesgo, cumplimiento, etc.) proporcionan aseguramiento objetivo, e igualmente monitorean y reportan, a los cuerpos de gobierno y a la administración ejecutiva, sobre la efectividad del programa de riesgo de la organización.

(124)

(125)

(126)

Beneficios de la Gestión del Riesgo

 Se define una estructura de riesgos corporativa que soporta toda la gestión de una manera adecuada.

 Facilita el acercamiento de la Junta Directiva y la Alta Dirección a la estrategia de negocio y sus impedimentos.

 Facilita un involucramiento de las personas en la administración y evaluación del riesgo en toda la Organización.

 Los Responsables de la administración del riesgo son plenamente identificados.

(127)

Beneficios de la Gestión del Riesgo

 El Lenguaje y el enfoque son comunes con respecto al riesgo.

 Se da Tratamiento y Optimización del riesgo en procesos críticos.

A Nivel

Corporativo

(128)

Beneficios de la Gestión del Riesgo

A Nivel

Estratégico

 Se identifican los impedimentos (Peligros) que no le permiten a la compañía alcanzar sus objetivos del negocio clasificados según su impacto en la Organización y su probabilidad de ocurrencia (Riesgo).

 Se evalúan las acciones que a nivel estratégico está tomando la Gerencia para mitigar esos riesgos.

 Se define el mapa de Riesgos estratégicos del negocio.

(129)

Beneficios de la Gestión del Riesgo

A Nivel de Procesos

 Se identifica y se discute para la Organización su Cadena de Valor y su ciclo de negocio. (Herramientas para el Direccionamiento Estratégico de la Compañía).

 Se identifican de manera concertada a nivel Gerencial los procesos primarios del negocio y sus actividades de apoyo, como herramienta estratégica para la Organización.

(130)

Beneficios de la Gestión del Riesgo

A Nivel de Procesos

 A partir del ciclo del negocio y del análisis financiero que hace la Organización, se comienzan a identificar los procesos críticos (Administrativos, productivos, comerciales, etc.).

 Se cuenta con los procesos críticos del negocio identificados.

 Se identifican todos los posibles riesgos (debilidades, problemas, amenazas, obstáculos), con los cuales cuentan los procesos críticos y que le impiden cumplir con su finalidad.

(131)

Beneficios de la Gestión del Riesgo

A Nivel de Procesos

 Se identifican todos los posibles peligros con los cuales cuentan los procesos críticos y que le impiden cumplir con su finalidad.

 Se define una matriz y un mapa de riesgos de cada proceso crítico, como herramienta fundamental para:

 Adelantar los nuevos procesos de auditoria del negocio

 Adelantar los programas y proyectos de mejora en esos

procesos críticos, buscando generar un impacto positivo en la rentabilidad del negocio.

(132)

Beneficios de la Gestión del Riesgo

A Nivel de Procesos

 Se están implementando de manera simple los criterios iniciales de autocontrol.

 Se puede comenzar un proceso de Gerencia con Base en la Administración de Riesgos Corporativos.

(133)

(134)

Conclusiones

1. La adecuada implantación de la Gestión Integral de Riesgos depende, principalmente de la Alta Dirección. Sin embargo, todo el personal tiene responsabilidad en su ejecución, sin importar el nivel del cargo que una persona en particular ocupe dentro de la Organización.

2. Las mejores prácticas indican que la aplicación de la Gestión Integral de riesgos es fundamental para el éxito de toda Organización y el cumplimiento de sus objetivos y metas.

(135)

Conclusiones

3. Las Organizaciones deben desarrollar una estrategia de adecuación de Perfiles y Responsabilidades de su personal en torno a la gestión de los riesgos a todo nivel.

4. La gestión integral del riesgo debe estar centrada en un proceso de creación de cultura organizacional cuyo objetivo sea el lograr que cada empleado administre el riesgo inherente a sus actividades.

(136)

Conclusiones

6. La administración de la empresa inteligente frente al riesgo se refiere a la toma de decisiones estratégicas y del día a día a través de toda la empresa, haciéndolo con plena conciencia de los riesgos y oportunidades concomitantes. 5. Aunque ninguna organización está inmune ante los eventos generadores de riesgo, aquellas que cuentan con una efectiva gestión pueden detectar los riesgos potenciales más oportunamente y pueden establecer estrategias que mitiguen el impacto que estos generen.

(137)

Conclusiones

7. Un enfoque sistemático para identificar, valorar y planear los riesgos es esencial, así como un proceso bien definido para hacer disponible a los tomadores de decisión, en cada nivel organizacional, la información clave sobre el riesgo.

8. La administración del riesgo es hoy un concepto más amplio que como lo fue hace años, cuando las personas de negocios la percibieron principalmente como asegurar los activos contra pérdida o daño. Los líderes tienen que reconocer que la búsqueda de valor inevitablemente significa exposición frente al riesgo – y que por lo tanto tienen que asumir la responsabilidad por abordar el riesgo en cada decisión que toman.

(138)

GESTIÓN INTEGRAL DEL RIESGO

(139)

Bibliografía

• COMITÉ DE SUPERVISIÓN BANCARIA DE BASILEA II (2005):

Basel II: International Convergence of Capital Measurement and

Capital Standards: A Revised Framework, Basel Committee on

Banking Supervision, Basilea.

• COSO II (2004): Enterprise Risk Management. Integrated

Framework, COSO.

• COSO II (2004): Gestión de Riesgos Corporativos- Marco

Integrado: Técnicas de Aplicación, Committee of Sponsoring

Organizations of Treadway Commission, Septiembre.

• ESCORIAL BONET, A. (2010): ISO 31000:2009 – La gestión de

riesgos como componente integral de la gestión empresarial.

(140)

Bibliografía

• IEC/ISO 31010: 2009, Risk Management-Risk Assessment

Techniques.

• INFORME UNE-ISO GUÍA 73 IN (2009): Gestión del riesgo.

Vocabulario. Traducido por AENOR

(Asociación Española de Normalización y Certificación).

• INTERNATIONAL STANDARD ISO/FDIS 31000:2009 (E). Risk

Management. Principles and guidelines.

• ISO GUIDE 73:2009 (E). Risk Management. Vocabulary.

• ISO 31000:2009, de Gestión de Riesgos - Principios y

Directrices.

• ISO/CEI 73:2002: Risk management – Vocabulary – Guidelines

for use in standards.

(141)

Páginas WEB

• AENOR

http://www.aenor.es

• AGERS

http://www.agers.es

• CEIOPS

http://www.ceiops.org

• FERMA

http://www.ferma.eu

• FUNDACIÓN MAPFRE

http://www.fundacionmapfre.com/cienciasdelseguro

• CEA

http://www.icea.es

(142)

Páginas WEB

• ISO

http://www.iso.org

• KPMG

http://www.kpmg.com

• PRICEWATERHOUSECOOPERS

http://www.pwc.com

• TIEMS

http://www.tiems.org

• DELOITTE

www.deloitte.com/RiskIntelligence

(143)

(144)