Академический Документы
Профессиональный Документы
Культура Документы
El riesgo es entendido y gestionado de formas distintas, dependiendo del estilo de gerencia y de como lo percibe cada unidad de negocio
Concepto de Riesgo
La posibilidad de que algo ocurra que impacte determinados objetivos, el cual se mide en trminos de consecuencias y esperanza matemtica Toda aquella probabilidad que pudiese afectar de forma adversa el logro de los objetivos del negocio La combinacin de las probabilidades de ocurrencia de un evento y su consecuencias, haciendo notar que estas pueden ser positivas o negativas, y en algunas circunstancias el riesgo surge de la posibilidad de desviacin de la ocurrencia del evento esperado
qu es un Riesgo?
Oportunidades elegidas y que persiguen las Compaas
Riesgo
De
pe em s
e pr m E
r sa
ia l
Riesgo
Es un evento evaluado frente a su probabilidad de materializacin, cuyas consecuencias afectan el cumplimiento de los objetivos empresariales.
Fuentes de incertidumbre
Incertidumbres sobre la relevancia y confiabilidad de la informacin que soporta nuestras decisiones de creacin de valor
Fuente: Enterprise-wide Risk Management: Strategies for linking risk and opportunity
oportunidades.
Clasificacin de Riesgos
Riesgos del entorno Riesgos de procesos
Direccin Tecnologa/ Procesamiento de informacin Integridad
Financiero
Precio
Operaciones
Liquidez
Crdito
Riesgos Empresariales
RIESGOS ASOCIADOS A LA NATURALEZA En relacin con la naturaleza se pueden establecer dos puntos de vista referentes al manejo del riesgo: los riesgos que la naturaleza puede generar a la organizacin y los riesgos que la organizacin puede generarle a ella. RIESGOS ASOCIADOS AL PAIS, LA REGIN Y LA CUIDAD DE UBICACIN De acuerdo con el pas donde est ubicada la organizacin, se pueden encontrar riesgos como el denominado riesgo pas, que hace referencia al grado de peligro que representa un pas para las inversiones locales o extrajeras.
El riesgo poltico tiene que ver con el manejo poltico de pas y las
implicaciones que tiene sobre la economa nacional y las organizaciones en particular: El anlisis del manejo poltico permite conocer las perspectivas en materia de orientacin macroeconmica, de relaciones gobierno-sociedad, de la estabilidad del poder, del ordenamiento jurdico, lo cual se desprende de los planes del gobierno y de la calidad de sus gobernantes en aspectos tcnicos, administrativos, polticos y ticos (Fernndez, 1994, pp.56).
Tipos de riesgos
1. Multas por violaciones ambientales y sanitarias 2. Deterioro de Imagen 3. Dao en el ambiente 4. Prdida de mercado por precios bajos 5. Litigios clientes por incumplimientos 1. Lenta respuesta a necesidades de clientes 1. Alta concentracin venta en pocos clientes 2. Insatisfaccin de clientes no percibida 9. Plan de contingencia 10. Calidad de servicio 11. Integridad de la informacin
Ej em pl o
Inversin Liquidez RRHH
26. Flujo de caja irreal 27. Costo oportunidad 28. Bajo retorno inversin
Entorno
Co m pe t
en
cia
22. Contrataciones colectivas 23. Huelgas que afecten la produccin 24. Fraudes tica 25. Actos y conductas ilegales
Clientes
Riesgo
ro ncie Fina
or
Logstica
Pr od u cc in
vee d
a g n o ol aci n ec rm T fo In
Pro
19. Obsolescencia de inventario 20. Alto costo materia prima 21. Alto inventario de repuestos
16. Proceso Productivo ineficiente 17. Plan de produccin ineficiente 18. Alto costo laboral 14. Riesgo cambiario 15. Alta inflacin
13
14
Definicin de riesgo
15
Riesgo estratgico
El riesgo estratgico tiene que ver con las prdidas ocasionadas por las definiciones estratgicas inadecuadas y errores en el diseo de planes, programas, estructura, integracin del modelo de operacin con el direccionamiento estratgico, asignacin de recursos, estilo de direccin, adems de ineficiencias en la adaptacin a los cambios constantes del entrono empresarial, entre otros 16
Riesgo operacional
El riesgo operativo consiste en la posibilidad de prdidas ocasionadas en la ejecucin de los procesos y funciones de la empresa por fallas en procesos, sistemas, procedimientos, modelo o personas que participan en dichos procesos.
17
Modelo de negocios
Marco externo
M e r c a d o s
A l i a n z a s
P r o d u c t o s
18
C l i e n t e s
Compradores
Sustitutos
Diferenciacin
Liderazgo en Costos
art s E ov t e b O i j
Enfoque
21
22
23
24
25
26
27
28
Riesgos de la industria
Disminucin del mercado Disminucin de la rentabilidad de la industria Prdida de participacin de mercado Espionaje industrial Absorcin del personal clave por los competidores
29
Introduccin de nuevas tecnologas obsolescencia de las inversiones de la Sociedad Poder de lobby y obtencin de regulaciones desestabilizacin de la industria Necesidad de mercado inicial
30
31
32
33
34
35
36
37
Procesos
Un proceso es una secuencia organizada de actividades que, valindose de determinados insumos (input), genera un resultado (output) Los controles son puntos de validacin dentro de los procesos, destinados a mitigar riesgos estratgicos o riesgos del proceso
38
Procesos centrales
Son los vinculados con el ncleo de actividad de la organizacin: Desde la deteccin y cuantificacin del mercado Hasta la administracin de la relacin con los clientes
39
40
41
Insuficiente o excesiva cantidad de produccin Produccin de calidad inferior a la solicitada Excesivo costo de produccin Fraude
42
Inadecuada logstica para distribuir en tiempo y forma Aceptacin de pedidos sin validar stock disponible Entrega sin validar crdito Excesivo costo de la Distribucin Fraude
43
Omisin de facturacin Errnea facturacin de precios o cantidades Incumplimiento fiscal Inadecuada contabilizacin de la facturacin
44
Asignacin de crditos excesivos o deficiente actualizacin del crdito Incorrecto cmputo del crdito disponible Inapropiada gestin de cobranzas Defectuosa imputacin de pagos Errneo otorgamiento e imputacin de Notas de Crdito Fraudes
45
46
47
Alta de proveedores no confiables Omisin de baja o registracin de incumplimientos de proveedores Omisin de alta de proveedores apropiados (fraudulenta)
48
Inadecuada gestin de requerimientos: en exceso o en defecto Compras que no satisfacen en tiempo y forma los requerimientos Manipulacin de compras y licitaciones Sobreprecios Productos defectuosos
49
Desconexin con Compras: compras de items en stock o requerimiento a almacenes de items sin stock Exceso de inventarios Fraude
50
Riesgos referidos a cuentas a pagar y pagos Pagos en exceso Irrecuperabilidad de anticipos a proveedores Inadecuado aprovechamiento de descuentos Incumplimientos fiscales Fraudes
51
Procesos de soporte
Interno
De monitoreo de ambiente externo
52
Administracin de Recursos
Humanos Tecnologa Informtica Contabilidad y Control de Gestin Impuestos Tesorera Seguros
53
54
Riesgos referidos a Tecnologa Informtica Cese de continuidad operativa por prdida de informacin Falla en procesos crticos por sistemas de informacin defectuosos Filtracin de informacin confidencial Fraude por vulnerabilidades de los sistemas informticos
55
Decisiones errneas de inversin, desinversin, endeudamiento o dividendos basados en datos contables Errneo cmputo y pago de obligaciones impositivas Manipulacin de la contabilidad por la gerencia
56
Errnea evaluacin de negocios Sanciones por pago menor al correcto Prdidas econmicas por pago mayor al correcto
57
58
Excesiva o insuficiente cobertura de Seguros Excesivo costo de las plizas Inapropiada gestin de las denuncias de siniestros
59
60
Procesos de soporte
Los procesos de soporte brindan servicio a los procesos centrales, y entre s De modo que los procesos de soporte no son menos crticos que los procesos centrales para el xito de la organizacin
61
Entorno Externo
Entorno interno Mega processes Capital
Nuevos Negocios D iseoProds./ Servicios O peraciones Apoy oPost-venta Recursos Hum anos
Contabilidad
Procesos desoporte
62
Com pras
Legal Tesorera
Interesados
Interesados
Insum os
Ejecutivo
Productos
Salidas
63
Para la administracin de riesgos en la empresa, se han establecido cinco (5) pasos principales, a fin de ofrecer mejor detalle de cada uno de los procesos de administracin del riesgo que sern implantados gradualmente en la empresa: Paso 1: Paso 2: Paso 3: Paso 4: riesgos Paso 5: Identificacin de los riesgos Anlisis y valoracin de los riesgos Estrategias de gestin de los riesgos Informacin y comunicacin de los Monitoreo de los riesgos
Objetivo:
Determinar los riesgos a los cuales se encuentra expuesta la organizacin, considerando tanto factores internos como externos, que puedan afectar adversamente la implantacin de estrategias y el logro de objetivos del negocio.
65
PASO I: Identificacin de los riesgos operativos A continuacin se presenta un resumen de lo concerniente a esta fase :
Insumos
- Informacin referente a la cadena de valor
Sub-Fases
- Planificacin del proceso de identificacin de los riesgos operativos en la cadena de valor - Construccin del inventario de los riesgos - Categorizacin de los riesgos - Determinacin del riesgo legal y reputacional como consecuencia de un riesgo operacional
Productos Entregables --
-Plan de identificacin de los riesgos operativos -Inventario de riesgos operativos -Inventario de riesgos operativos categorizados -Inventario de riesgos operativos con riesgo legal y reputacional
66
Consiste en la obtencin de informacin y anlisis preliminar de los riesgos operativos que podran impactar la cadena de valor seleccionada, con la finalidad de elaborar junto con las unidades de negocio y apoyo un Plan de Identificacin de los Riesgos Operativos que sirva de orientacin para la construccin de un Inventario de Riesgos Operativos. Esta sub-fase debe ser realizada por la unidad de control de riesgos para obtener el Plan de Identificacin de los Riesgos Operativos, que incluye la recoleccin de informacin, el catlogo terico de riesgos operativos, seleccin de la tcnica de identificacin de riesgos operativos y de las reas y personas clave que intervendrn en el trabajo.
67
Recoleccin de informacin
Se debe obtener la siguiente informacin en el marco de la cadena de valor, canalizada mediante la Direccin o Gerencia responsable: Objetivos y metas del negocio Leyes, normas y regulaciones en general. Polticas y procedimientos. Mapa de procesos / reas involucradas Hallazgos de auditoria interna, si existen Informes de auditoria externa, si existen Datos histricos de prdidas operativas, si existen Data externa de prdidas y/o tendencias del sector en que opera la empresa. Auto-evaluaciones de riesgo y controles, si existen. Informacin sobre futuros cambios, si existe
68
Consiste
en
examinar
los
procesos
con
el
mejor
entendimiento de las interrelaciones de sus componentes, entradas, actividades, salidas y responsabilidades, para facilitar la identificacin de los posibles riesgos operativos en cada uno de los procesos. Para ello, se construye un listado de procesos de la cadena de valor evaluada.
69
Una vez recolectada la informacin y analizado el flujo de procesos, se proceder a generar el Catlogo Terico de Riesgos Operativos, en el cual se debern sealar todos los riesgos operativos de forma terica, los procesos y las reas directas de apoyo, lo que servir de gua a las unidades de negocio y apoyo para identificar los riesgos operativos que realmente se presentan en la cadena de valor y obtener con mayor detalle el inventario de todos los riesgos
70
Realizar una sesin de induccin sobre la Metodologa de Gestin Riesgo Operacional (MGRO), a fin de preparar a los participantes y garantizar el acceso a la informacin. Los participantes deben ser personas que conozcan el proceso que se est analizando y que tengan capacidad y disponibilidad de cumplir con todas las fases de la metodologa y presentar su punto de vista frente a los dems miembros del taller Las sesiones deben ser conducidas de manera que incentiven la participacin activa de todos los integrantes del grupo. Cada sesin debe indicar la agenda y los pasos a seguir para que sirvan de gua en el desarrollo efectivo del taller de trabajo (workshop). Los resultados obtenidos en la identificacin de riesgos deben analizarse y expresarse de forma que recoja una percepcin consensual de los riesgos operativos. Facilitar la retroalimentacin permanente de los anlisis y conclusiones, a los fines de incorporar posibles cambios que surjan en los talleres.
71
RESUMEN: Ejemplo de los lineamientos que debe contener un taller de trabajo(workshop), incluyendo una agenda recomendada :
Agenda recomendada
72
13
10 18 5 22 27 3
Cules son sus niveles de conocimiento de la cadena de valor?
11 12
17 2 8 6 9
20 14
15 25 21
73
A efectos de lograr una adecuada identificacin de los riesgos operativos, es importante considerar lo siguiente:
En caso de no contar con la documentacin de los procesos de la cadena de valor, bajo el enfoque de modelos extendidos de negocio, se sugiere realizar una diagramacin de los principales flujos de procesos asociados a la cadena de valor y efectuar la identificacin de los riesgos operativos con narrativas descriptivas, en donde el funcionario principal del proceso describe las actividades / pasos que ejecuta y el especialista de la unidad de control de riesgos facilitar la identificacin de los riesgos. Se recomienda que los participantes se a abstraigan de los controles existentes, a fin de que puedan visualizar los riesgos inherentes a la cadena de valor, ya que en caso de fallar el control se materializara el riesgo. A fin de facilitar una gua para la identificacin de los riesgos operativos, se podra utilizar el Catlogo Terico de Riesgos Operativos, que ha sido elaborado en el paso 1.1.2
74
Procesos: Posibles prdidas por ausencias o deficiencias en los procedimientos que originan debilidades en la ejecucin,
Eventos Externos: Posibles prdidas por cambios adversos en el entorno de la organizacin, generados por fuerzas de la naturaleza o por terceros. 75
Categora de RO / Nivel II: El origen potencial de las prdidas de acuerdo a lo establecido por Basilea II:
F raude interno (actos internos) P rcticas de em pleo y seguridad laboral
E jecuci entrega y gesti de n, n procesos C lientes, productos cticas y pr com erciales Interrupci de operaciones o n fallos de sistem as D aos o p rdidas de activos fsicos F raude externo
76
Ej em pl o
Factores / Categoras
Tecnologa Clientes Proceso productivo
Eventos
Nueva tecnologa disponible para la lnea de produccin Sistema de informacin obsoleto Cambio en el patrn de consumo Deterioro del poder adquisitivo del mercado Determinacin de baja calidad de los productos Aumento del nmero de accidentes Adquisicin de un nuevo software de control Huelga del personal Cambio en la productividad del personal
Riesgo / Oportunidad
Oportunidad Riesgo Ambos Riesgo Riesgo Riesgo Oportunidad Riesgo Ambos
Capital Humano
78
Riesgo legal: Prdidas por incumplimientos de leyes, normas, reglamentos, prcticas prescritas o normas de tica. Riesgo reputacional: El Riesgo Reputacional surge cuando la forma de conducir el negocio no satisface las expectativas de los grupos de inters
79
Identificacin de riesgos
Identificacin de riesgos
Company Logo
Company Logo
Actividad Riesgo
Descripcin
Efecto
Company Logo
Paso 2: riesgos
Objetivo:
Realizar un anlisis y valoracin de los riesgos operativos, que permita comprender el perfil de riesgo y dirigir de manera ms efectiva los recursos para la gestin de los riesgos identificados. A tal efecto, se tomarn como insumo los inventarios de riesgos operativos obtenidos durante la Fase 1 de identificacin de riesgos, para analizar y valorar los riesgos inherente, residual y reputacional y determinar aquellos riesgos operativos que requieran una auto-evaluacin de los controles de forma prioritaria.
84
L1
Tcnicas cualitativas
Mientras algunas mediciones cualitativas son definidas en trminos subjetivos y otras en ms de un trmino objetivo, la calidad de la evaluacin depende en gran parte del conocimiento y juicio de los individuos involucrados y que adems entiendan los eventos potenciales y el entorno que les rodea.
Las tcnicas cuantitativas pueden ser usadas cuando existe suficiente informacin estadstica o numrica para estimar la frecuencia de ocurrencia o el impacto del riesgo, usando escalas de intervalos o de razn. Adicionalmente, son comnmente utilizadas para el anlisis de riesgos en procesos o reas especficas de una organizacin.
L2
Tcnicas cuantitativas
85
Para propsitos de ilustracin, se puede indicar que existen cuatro tipos generales de medidas:
Escala nominal
Escala de razn
Escala ordinal
Escala de intervalos
86
A continuacin se presenta un resumen de esta fase, que abarca insumos, sub-fases, productos entregables y referencias.
Insumos
-Inventario de riesgos operativos
RESUMEN:
-Inventario de riesgos operativos categorizados -identificacin del riesgo legal y reputacional como consecuencia del riesgo operacional Sub-Fases - Anlisis y valoracin del riesgo inherente - Anlisis y valoracin del riesgo residual - Anlisis y valoracin del riesgo reputacional
--
Productos Entregables -Mapa de riesgo inherente -Mapa de riesgo residual -Matriz del impacto del riesgo reputacional
87
88
En esta sub-fase se determinarn el nivel de impacto por evento y la frecuencia de ocurrencia de cada riesgo operacional. Para esta actividad, se tomar como base los inventarios de riesgos operativos elaborados en la Fase 1. Finalmente, se obtendr el impacto anualizado o riesgo inherente, como resultado de multiplicar el impacto por cada evento y la frecuencia de ocurrencia de este evento en un ao. Para la determinacin del impacto y la frecuencia de ocurrencia, se utilizarn los intervalos de escalas definidos en los pasos.
89
En este paso se persigue determinar el impacto que podra tener un evento, por cada riesgo operacional identificado, sobre el patrimonio de la empresa. Para ello, se utilizar una escala valorativa. De esta manera, se obtiene el impacto de un evento al ao para cada riesgo operacional identificado.
90
A continuacin, se muestra la tabla con los valores que corresponden a esta escala:
Cdigo Indicado Color r Bajo Grado de Escala 1 2 3 4 5 6
7
Orden de Magnitud en US$ 0 100 101 - 1.000 1.001 - 10.000 10.001 - 100.000 100.001 1.000.000 1.000.001 10.000.000
10,000,001
Descripcin El riesgo afecta poco al patrimonio de la Empresa. El riesgo afecta significativamente al patrimonio de la Empresa. -El riesgo afecta seriamente al patrimonio de la Empresa .
Medio
Alto
91
Color
Cdigo Color
Grado de Escala
Descripcin
Ocurrencia Annual
Bajo
Medio
Alto
1 2 3 4 5 6 7 8 9 10 11 12
92
Una vez determinado el impacto unitario y la frecuencia de ocurrencia de cada riesgo operacional, se elaborar una Matriz de Anlisis y Valoracin del Riesgo Inherente, en la cual se consoliden el impacto unitario y la frecuencia de ocurrencia de los riesgos. En otras palabras, se proceder a multiplicar el impacto determinado de cada riesgo por la frecuencia de ocurrencia de cada uno de esos riesgos, a fin de obtener el riesgo inherente; este ltimo monto se debe ubicar en la escala de impacto del riesgo patrimonial, para determinar que grado le corresponde.
93
Impacto Patrimonial
Frecuencia de ocurrencia
94
7 77 7 -7 7 77 7 77 77 7
Frecuencia ($)
7 77 -777 77 77
7 77-77 7 77
7 7 77 - 7
7 7 7 7 7 7 7 7 7 7 77 7 77 7 11 11 77 77 7 77 77 1 11 11
1 1
7 7
7 7
95
En esta sub-fase se identificarn los controles de los riesgos inherentes, que mitiguen la frecuencia, el impacto o ambos, para determinar el riesgo residual. De esta manera, se obtendr la Matriz de Anlisis y Valoracin del Riesgo Residual
96
Un control interno se define como el proceso efectuado por la Junta Directiva, la Gerencia y el resto del personal de una organizacin, diseado para proveer una seguridad razonable. El control interno no debe ser acontecimientos, mecanismos o decretos aislados de la gerencia. Son mucho ms efectivos cuando se crean en los procesos de negocios. El control interno se refiere a la gente, por lo cual todas las personas en sus diferentes niveles de cargo deben estar conscientes de la evaluacin y los controles de los riesgos, a fin de responder de manera apropiada. No se puede esperar que los controles internos eviten todos los problemas, aborden todos los asuntos o permitan la suficiencia organizacional.
97
El personal de las unidades de negocios y apoyo, deber identificar los controles, que mitigan los riesgos operativos, tomando en cuenta lo siguiente:
Quin ejecuta el control ? (una persona / sistema de informacin) Qu tarea pone en accin el control? (aprobacin, comparacin, reconciliacin) Cundo? (frecuencia de ejecucin del control: tiempo real, lotes, diario, semanal) Dnde? (punto de la transaccin donde se ejecuta el control) Cmo se realiza el control y su evidencia?
98
Efectividad
Descripcin
Ponderacin
Control efectivo El control identificado reduce los niveles0,25 inherentes de impacto, frecuencia de ocurrencia(un control no elimina el o ambos en un 75% riesgo) Control medio El control identificado reduce los niveles0,50 inherentes de impacto, frecuencia de ocurrencia o ambos en un 50% Sin control control inefectivo oNo se identificaron controles, por lo que los1 niveles inherentes de impacto y frecuencia de ocurrencia quedan iguales. El control es inefectivo
99
En este paso se determinar el impacto de cada riesgo operacional identificado, considerando los controles que la gerencia ha identificado para mitigar ese riesgo. En este sentido, se proceder a calcular, para cada riesgo operacional identificado, el impacto unitario residual mediante la siguiente frmula:Impacto Unitario Residual = (Impacto Unitario Inherente) * (Efectividad del Control)
100
En este paso, se revaluar la frecuencia anual de cada riesgo operacional identificado, considerando los controles identificados que mitigan ese Para obtener la frecuencia anualizada residual, se utilizan los resultados obtenidos al valorar la efectividad de los controles implantados. Se proceder a calcular, para cada riesgo operacional identificado, la frecuencia anualizada residual mediante la siguiente frmula: Frecuencia Anualizada Residual = (Frecuencia Anualizada Inherente) * (Efectividad del control)
101
Una vez calculada el impacto y la frecuencia anualizada inherente, se procede a calcular el riesgo residual. Para esto se toma el total del riesgo inherente multiplicado por la efectividad del control. Para cada uno de los riesgos es importante determinar cul de las dos dimensiones est disminuyendo el riesgo, (ya sea el impacto, la probabilidad o ambos). Una vez que se ha calculado la dimensin que afecta la efectividad del control, se procede a ubicar el resultado en la escala del mapa.
102
Ej em pl o Si el impacto de un riesgo inherente es $50 000 y su frecuencia de ocurrencia es 12 veces en un ao, el total del riesgo inherente es: $600 000. Si se determin que el grado de efectividad del control es medianamente efectivo, el riesgo residual es el resultado de multiplicar $600 000 X 0.5, lo que da un riesgo residual de $300 000.
103
Como producto de este paso se obtendr el Mapa de Riesgo Residual. En este sentido, se elabora el Mapa de Riesgo Residual, de la misma forma como se construy el Mapa de Riesgo Inherente, pero utilizando los valores de frecuencia anualizada residual e impacto anualizado residual.
104
Los riesgos operativos identificados que puedan desencadenar riesgos reputacionales. En este sentido, se podr utilizar la escala definida en la Tabla N 8, donde se establecen valores cualitativos. Ello permitir centrar los esfuerzos en aquellos riesgos operativos que, a su vez, tengan implcito un riesgo reputacional, como elemento de decisin, dentro de un grupo de riesgos.
105
106
El objetivo de esta fase es determinar las acciones que se emprendern para reducir y/o mantener el riesgo dentro de los niveles aceptables para la organizacin
107
Riesgo Inherente
M s d e 7 7 7 77 77 7
77 77 7- 7 7 7 7 7 77 77 7
Impacto 3
Riesgo Residual
7 77 7 77 77 7 7 77 7
777 777 7 7- 7 7 7
7 7- 7 7 7 77 77
77 77 7- 77
7- 7 7 7
7 7
7 7
7 7
77 7
77 7
11 1 1
77 7 7
7 7 77 7
1 1 11 1
108
Insumos
-Mapa de riesgo inherente Mapa de riesgo residual Matriz de evaluacin
Sub-Fases
-Definicin de las estrategias de gestin de los riesgos operativos -Priorizacin de los riesgos operativos -Evaluacin de las estrategias de los riesgos operativos -Seleccin de la estrategia de gestin del riesgo -Integracin de las actividades de control con la estrategia de gestin de riesgo -Determinacin de la prioridad y responsable de implantacin --
Productos Entregables
Plan de implantacin
109
Definicin de las estrategias de gestin de los riesgos operativos Priorizacin de los riesgos operativos Evaluacin de las estrategias de gestin de los riesgos operativos Seleccin de la estrategia de gestin del riesgo Seleccin de la estrategia de gestin del riesgo Determinacin de la prioridad y responsables de implantacin
110
En esta sub-fase, el rea operativa y riesgo operativos, definirn las estrategias de gestin que seleccionarn para cada riesgo, las cuales debern estar sujetas al apetito de riesgo y al nivel de tolerancia al riesgo establecidos por la institucin. Esto se terminar de definir y ajustar, con el apoyo brindado por la Gerencia de las unidades de negocio.
111
112
Company Logo
En esta sub-fase se establecer la prioridad de los riesgos operativos residuales, calculados en la Fase 2, sobre los cuales la Gerencia focalizar las estrategias de gestin. Para ello, se ordenan los riesgos operativos segn su nivel de criticidad y se seleccionan aquellos riesgos que requieren de una accin inmediata.
114
Riesgo
Riesgo
3
Impacto
Riesgo
Riesgo
10
11
12
115
En esta sub-fase, la Gerencia de las unidades de negocio y apoyo evaluarn la viabilidad de las estrategias de gestin determinadas anteriormente. Dicha viabilidad se determinar en trminos del efecto de la estrategia de gestin sobre el impacto y la frecuencia de ocurrencia del riesgo, del anlisis del costo-beneficio y de la identificacin de posibles oportunidades. reducir el riesgo residual. El objetivo fundamental es evaluar cuan efectiva es la estrategia de gestin para
116
Evaluacin del efecto de la estrategia de gestin del riesgo sobre el impacto y la frecuencia de ocurrencia
Una de las opciones para evaluar las estrategias de gestin de los riesgos operativos es determinar su efecto sobre el impacto, sobre la probabilidad de ocurrencia o sobre ambos. Por ejemplo, una institucin podra movilizar sus servidores principales desde una regin geogrfica de alta peligrosidad por fenmenos naturales devastadores hacia otra de mayor estabilidad, pero ello no disminuir el impacto, aunque si la probabilidad de ocurrencia.
117
El anlisis de costo-beneficio permite establecer la factibilidad financiera de las estrategias de gestin del riesgo operacional determinadas. Su objetivo fundamental es proporcionar una medida de los costos en que se podra incurrir, y, a su vez, comparar dichos costos previstos con los beneficios esperados.
118
Anlisis costo-beneficio
Anlisis Costo -Beneficio
Im la t ci n p na d la Est t g s d e s rae ia e G st e ind Rie o e sg Prio ci nd lo riza e s Rie o O e t o sg s p raiv s p ra la Im la t ci n a p na
Alto
Bajo
Medio
N e nm o co ico
Bajo
Medio
Alto
119
Cuando se evalan las estrategias de gestin de riesgos, tambin se podran identificar nuevas oportunidades para la organizacin. Para la Gerencia de las unidades de negocio y apoyo, la evaluacin de estrategias de gestin de riesgos podra ser innovadora y podran surgir algunas oportunidades. De esta manera, al momento de seleccionar la estrategia de gestin, la Gerencia podra inclinarse por la estrategia en la cual identific alguna nueva oportunidad de negocio o mejora.
120
En esta sub-fase, se deber elegir la estrategia de gestin, para cada riesgo operacional, de forma que se ubiquen los riesgos dentro de los lmites de tolerancia establecidos por la organizacin.
121
En esta sub-fase, se deben definir las actividades de control a ser implantadas acordes con la estrategia de gestin de riesgo. En la seleccin de las actividades de control, la Gerencia deber considerar como se pueden integrar a una o varias estrategias de gestin de riesgo.
122
Preventivos
Detectivos
Correctivos
123
Se deber establecer la prioridad y los responsables de implantacin de la estrategia de gestin de riesgo. El plan de prioridades de implantacin debe contemplar los siguientes aspectos:
- Indicar las acciones estratgicas para gestionar el riesgo operacional con la asignacin de la unidad organizativa o persona responsable. -Establecer el perodo de tiempo requerido para la implantacin de los planes de accin. El perodo de tiempo requerido de implantacin definido por el Empresa, consta de los plazos siguientes: Corto plazo: 0 a 6 meses. Mediano plazo: 6 a 12 meses. Largo plazo: Mayor a 12 meses.
124
medios para comunicar la informacin significativa desde los niveles operativos hasta la alta gerencia, los comits y la Junta Directiva. Tambin debe haber una comunicacin eficaz con terceros, como es el caso de clientes, proveedores y accionistas.
126
Ejemplo del proceso de informacin y comunicacin sobre la gestin de los riesgos operativos
Proceso de Informacin y Comunicacin de la Gestin de los Riesgos Operativos
Junta Directiva / Comit de Riesgo
Lnea gerencial
Reporte Externo
Reporte interno
Alta Gerencia
Perfil de riesgo operacional Acciones para mitigar riesgos Efectividad y avance de las acciones aplicadas Estado del marco de gestin de riesgos operativos Principales eventos / incidentes de riesgo Resultados de los indicadores clave de desempeo (Ley Performance Indicator / KPI) Resultados de los indicadores clave de riesgo (Key Risk Indicator / KRI) Comentarios de los principales eventos / incidentes de riesgo reas donde los riesgos cambian adversamente Nueva exposicin al riesgo Avance de las acciones en riesgos Comentario de los principales eventos / potenciales riesgo incidentes de Principales eventos / incidentes de riesgo reas donde los riesgos cambian adversamente. Avances de las acciones en riesgos Divulgacin de los riesgos y prcticas para potenciales gerenciar los riesgos a los entes relacionados
127
RESUMEN:
Insumos
-Plan de implantacin
Sub-Fases
-Definicin de las directrices para informar el estado de la gestin de los
riesgos operativos . -Establecimiento del proceso de informacin y comunicacin del estado de la gestin de los riesgos Productos Entregables
operativos.
128
Establecimiento del proceso de informacin y comunicacin del estado de la gestin de los riesgos.
129
En esta sub-fase, se describen los lineamientos que deben ser considerados al comunicar la gestin de los riesgos operativos, a fin de que la informacin pueda fluir de manera precisa y oportuna.
130
Establecimiento del proceso de informacin y comunicacin del estado de la gestin de los riesgos
En esta sub-fase, se establece el proceso que se debe seguir a fin de comunicar la situacin o avance de la gestin de los riesgos operativos, de manera efectiva, para lo cual se requiere definir la estructura de informacin y comunicacin, el alcance, la frecuencia de la informacin y los canales de comunicacin a ser utilizados.
131
En este paso, la Gerencia de las unidades de negocio y apoyo deber acordar con su personal y con la unidad de control de riesgos la estructura, para que la informacin se comunique de forma fluida a las partes interesadas, tanto internas como externas.
132
Ej em pl o
133
ENTES INTERNOS:
El proceso de comunicacin con entes internos debe producirse de forma clara y directa, para que la informacin se direcciones especficamente a los entes revisores de la gestin de los riesgos operativos y que reflejen correctamente las acciones, expectativas, roles y responsabilidades del personal involucrado. La comunicacin con entes internos debe proveer al personal y a la organizacin, principalmente, lo siguiente: La importancia y relevancia de la gestin de los riesgos operativos. La alineacin de la gestin de los riesgos con los objetivos de la organizacin. El apetito y la tolerancia al riesgo operacional. Un lenguaje comn de riesgo operacional. Las funciones y responsabilidades del personal de la organizacin en el apoyo a la gestin de los riesgos operativos.
134
Ej em pl o
135
ENTES EXTERNOS:
Dentro de la estructura de informacin y comunicacin, tambin se debe estructurar una comunicacin apropiada a los entes externos, tales como: clientes, proveedores, auditores, reguladores y otros relacionados.
136
En este paso, se establecer el alcance y frecuencia de la informacin a reportar, lo cual debe ser consistente con las necesidades de informacin de la organizacin sobre la situacin o avance de la gestin de los riesgos operativos. La informacin debe fluir de manera oportuna, para reaccionar proactivamente sobre cualquier cambio que se requiera en la estrategia de gestin de los riesgos operativos.
137
Ej em p Reporte lo
del estado financiero
ndares y protocolos
Zona 3 Sistemas de gesti incidentes: n de Sistemas de alerta de fraude Informaci de rdidas por fraude n p
Reglas, est
Reporte de la situaciavance de la n de los riesgos operacionales, por ejemplo: n o gesti Indicadores clave de riesgos, reporte de incidentes / eventos de prdida operacional.
138
En este paso se determinarn los canales de comunicacin que las unidades de negocio y apoyo debern utilizar para realizar un reporte efectivo de la situacin o avance de la gestin de los riesgos operativos.
139
Fase 5:
Monitoreo de los riesgos operativos
Objetivo:
Establecer un efectivo proceso de seguimiento de los riesgos operativos, lo cual permitir velar por la implantacin de las estrategias de gestin de los riesgos, recopilar la informacin sobre sus avances o reestructuraciones a que dieran lugar o su culminacin; as como tambin asegurar que se detecten, comuniquen y gestionen los eventos de prdidas / incidentes de riesgos operativos. La gestin de riesgo operacional se monitorea revisando la presencia y funcionamiento de sus fases a lo largo del tiempo, lo cual se puede llevar a cabo mediante monitoreo continuo, auto-evaluaciones separadas, anlisis de eventos de prdidas operativos y medicin de la cultura de riesgo y control.
140
Reestructuracin del plan de implantacin producto del monitoreo de las estrategias de gestin de los riesgos operativos
Identifica si el existente plan de estrategias de gestin se ha implantado en las cadenas de valor. Establece los objetivos del plan de estrategias de gestin; por ejemplo, cuales riesgos estn siendo mitigados. Evala si las estrategias de gestin existentes satisface los objetivos fijados. Determina si el plan de estrategias de gestin es suficiente y relevante, es decir, si no se requiere agregar o eliminar alguna(s) de las estrategia(s) de gestin.
Evala si la gestin de los riesgos est diseada para considerar nuevos riesgos, en funcin del apetito y niveles de tolerancia. Determina si el plan de estrategias de gestin existente puede ser modificado para mitigar/controlar los nuevos riesgos identificados. Identifica y evala un rango de opciones de respuesta /estrategias de gestin de los riesgos. Disea un plan de implantacin de las estrategias de gestin seleccionadas, incluyendo los indicadores clave de riesgo (KRIs). Ejecuta el plan de implantacin.
141
Insumos
-Monitoreo
Productos Entregables
142
Mtodos de monitoreo
143
En esta sub-fase, las unidades de negocio y apoyo deben velar por la implantacin de las estrategias de gestin de los riesgos operativos y deben informar a la unidad de control de riesgos sobre la culminacin o reestructuracin de cronogramas de todas las estrategias de gestin de los riesgos operativos, establecidas en la Fase 3, y del proceso de informacin y comunicacin, establecido en la Fase 4; adicionalmente, tambin deben realizar el monitoreo de los indicadores de riesgo operacional.
144
Mtodos de monitoreo
En esta sub-fase se presentan cuatro (4) mtodos que pueden ser utilizados para monitorear las estrategias de gestin de los riesgos operativos: Monitoreo continuo, autoevaluaciones separadas, anlisis de eventos de prdida operacional y medicin de la cultura de riesgo y control. Tambin puede utilizarse combinaciones de las cuatro, para asegurar la efectividad del monitoreo.
145
Auto-evaluaciones separadas
Consiste en monitorear el estado de la gestin de los riesgos operativos en un momento determinado (por ejemplo: trimestral, semestral o anualmente) o cuando ocurran eventos como: L Reestructuracin. Incremento en el volumen de transacciones. Nuevas tecnologas. Cambios organizacionales. Nuevos productos. Eventos externos que impacten a la organizacin
146
Los elementos que deben ser considerados al aplicar auto-evaluaciones separadas, son los siguientes:
147
El anlisis de eventos de prdida operacional es un proceso importante en demostracin de la necesidad de gestionar los riesgos operativos y permite demostrar como la unidad de control de riesgos puede mejorar los procesos utilizados para reducir las prdidas y agregar valor al negocio.
148
presentar los
Ej em pl o
149
La cultura de riesgo y control es definida como el conjunto de valores, conocimientos y prcticas compartidas que indican cmo la organizacin considera los riesgos en las actividades del da a da. Constituye un factor clave de xito para la gestin de los riesgos operativos.
150
Proporciona una visin global de cmo la estrategia de control interno y gestin de riesgo est integrado y se ha alineado en todos los niveles de cargo y reas de la organizacin. Provee informacin para desarrollar acciones que contribuyan con el fortalecimiento de la cultura de riesgo y control. Provee informacin sobre los atributos clave de una efectiva y slida gestin integral de riesgos. Permite establecer un indicador que puede ser medido regularmente para monitorear e identificar posibles desviaciones y evoluciones en el mbito de la cultura y prctica de gestin de riesgo y control interno
151
El marco metodolgico contenido en este documento de trabajo debe ser actualizado cuando se presenten cambios externos o internos que impacten al Marco de Gestin de Riesgo Operacional de la empresa. A tal efecto, se deben considerar los siguientes aspectos:
Se debe actualizar el marco metodolgico y de procedimientos para la gestin de riesgo operacional, de forma anual o cuando se presenten cambios externos o internos de gran impacto sobre el Empresa Las enmiendas del marco metodolgico y los procedimientos para la gestin de riesgo operacional deben ser discutidos y aprobados por el Comit de Riesgos. Las revisiones frecuentes, bajo la asistencia de profesionales calificados, ayudarn a asegurar que el marco metodolgico y de procedimientos para la gestin de riesgo operacional estn actualizadas y reflejen cambios de cualquier circunstancia.
152
Ap n di ce
Cultura de riesgo
24 5
Tolerancia al riesgo Riesgo inherente
4 26 7 8 11 12
Organizacin MGRO
1
Apetito de riesgo
22
Auto-evaluacin
17 18
Riesgo residual
17
23
Riesgo operaciona l
Evento
2 3
Impacto Control interno
Monitoreo
22
13
20 14
15
10 21
19 9
Oportunidad 16
16
Riesgo
Riesgo reputacional
Frecuencia de ocurrencia
153