*connectedthinking firma miembro de gestión integral de riesgos: mejores prácticas

*connectedthinkingFirma miembro de

Gestión Integral de Riesgos: Mejores Prácticas

¿Qué significa la palabra RIESGO?

• Proviene del Italiano Risicare, que significa desafiar, retar, enfrentar, atreverse.

• Peligro, prueba, tentativa, exponerse a un peligro, poner en peligro a uno, suscitarle algún peligro, lanzarse.

• Tomado del Nuevo Diccionario español-latino etimológico.

¿Qué significa la palabra RIESGO?

• RIESGO. Del it. risico o rischio, y este del ár. clás. rizq, lo que depara la providencia).1. m. Contingencia o proximidad de un daño.

Diccionario de la Real Academia Española

• RIESGO: Posibilidad de que obtengamos un resultado distinto al que pretendíamos conseguir con nuestra acción.

(Innovación Financiera “Aplicaciones para la Gestión Empresarial”)

¿POR QUÉ NOS ARRIESGAMOS?

• EL RIESGO ELEGIDO

- SABEMOS QUE NOS ESTAMOS ARRIESGANDO

- PERO LO HACEMOS IGUAL, PORQUE...• 1) CREEMOS QUE EL RIESGO ES ÍNFIMO,

• 2) CREEMOS QUE TOMAR ESE “PEQUEÑO RIESGO” NOS BENEFICIA.

¿POR QUÉ NOS ARRIESGAMOS?

El riesgo es inherente a cualquier actividad que realicemos.

http://www.clipart.com/en/close-up?o=4915939&memlevel=A&a=a&q=office%20of%20clients&k_mode=all&s=1&e=2&show=&c=&cid=&findincat=&g=&cc=&page=&k_exc=&pubid=

http://www.clipart.com/en/close-up?o=3643383&memlevel=A&a=a&q=research&k_mode=all&s=145&e=162&show=&c=&cid=&findincat=&g=&cc=&page=9&k_exc=&pubid=

Riesgo - Oportunidad

Riesgo es la posibilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos.

Ninguna entidad opera en un ambiente libre de riesgos.

Existe también el riesgo de que no se aproveche la ventaja de una oportunidad.

Riesgo-Reglamentación

Comercio doméstico e Internacional

Financieras, tanto públicas como privadas

Relaciones laborales

Medio ambiente

Impuestos

Bancarrotas

Riesgo-Cultura

Profundamente arraigada e influye en la dinámica organizacional

Ética de trabajo Perspectiva de relaciones jerárquicas Educación Perspectiva sobre ética incluyendo:

• Nepotismo

• Cohechos o mordidas

• Fraude

Conceptos Clave

Todas las entidades existen para darle valor a sus accionistas

Todas las entidades enfrentan la incertidumbre, por lo tanto, ¿cuánta es aceptable?

La incertidumbre puede ser un riesgo o una oportunidad

No se refiere a controles, se refiere a desempeño

Valor

El valor es creado, preservado o erosionado por las decisiones de la Dirección.

Diariamente la Dirección toma decisiones sobre estrategias y operaciones.

Las organizaciones agregan valor cuando se derivan beneficios que satisface a:

- Accionistas

- Clientes o usuarios

- Gobierno

Valor

Aplicación de recursos a modo que los beneficios

sean mayores que los recursos utilizados.

Ampliar y preservar la calidad, capacidad,

satisfacción del cliente.

Equilibrio entre crecimiento, riesgo y retorno

basados en objetivos y estrategias

Más que el valor financiero o económico.

Incertidumbre

Globalización, tecnología, reglamentos, reestructuración, fusiones, adquisiciones, mercados cambiantes, competencia.

No se puede determinar con precisión la probabilidad de que ocurrirán eventos potenciales y sus resultados.

Clasificación de los Riesgos

•Riesgo Operativo u Operacional

•Riesgo Legal

•Riesgo según su Naturaleza Financiera

•Riesgo de Mercado

•Riesgo de Crédito

•Riesgo de Liquidez

*connectedthinkingFirma miembro de

2.Definición de RiesgoRiesgo

• Incidente o situación ocurrida o probable,

• realizada por un directivo, funcionario o empleado de la compañía e

inclusive por un particular,

• que ocurre en un lugar especifico,

• durante un Intervalo de tiempo determinado,

• en la que intervienen uno o varios agentes o factores de riesgo presentes

en situaciones de riesgo

• y que se pueden materializar en riesgos asociados con las consecuentes

perdidas o daños para la empresa.

¿Qué es COSO?

• Committee of Sponsoring Organizations of the Treadway Commission (COSO). Creado en 1985.

• Es una organización del sector privado, dedicada a mejorar la calidad de los reportes financieros mediante la ética de negocio, controles internos eficaces y gobierno corporativo.

Lo nuevo de COSO ¿Por qué surge COSO II-ERM?

• Debido a la preocupación y al aumento del interés en la gestión de riesgo durante la segunda mitad de los años 90, el comité de las organizaciones que patrocinaban la Comisión de Treadway (COSO) determinó que había una necesidad de un marco común de Gestión Integral de Riesgo

• En el 2001 la Comisión contrató a PricewaterhouseCoopers para desarrollar un marco para evaluar y mejorar la gestión de riesgo en las organizaciones

• COSO - ERM se crea ampliando a COSO I para la gestión integral de riesgo pero no para sustituir el marco de control interno

• En Septiembre de 2004 se publicó el estudio ERM (Enterprise Risk Management) Integrated Framework17

Origen del estudio del Committee of Sponsoring Organizations of the Treadway Commission (COSO)

18

Ambiente de Control

Componentes de COSO-ERM

Ambiente de Control

Este componente establece:

• Una filosofía de gestión integral de riesgo

• Nivel de riesgo que la alta gerencia asume (Apetito de riesgo)

• Rol supervisorio de la junta directiva en la gestión integral de riesgo

• La integridad y los valores éticos

• Una estructura de gestión integral de riesgos: Sistemas de delegación de autoridad, roles y responsabilidades y líneas de reporte

• Estándares de recursos humanos: habilidad y competencia de los empleados

19

Enmarca el tono de la organización, influenciando la conciencia del riesgo en su personal.

Es la base del resto de los componentes y provee disciplina y estructura.

20

“ERM debe proveer a nuestra organización de capacidades superiores para identificar, evaluar, y gestionar en amplio espectro los riesgos en todos los niveles de cargo a fin de mejorar el entendimiento y manejo de los riesgos. Para ello debe proveer:

Aceptación responsable del riesgo

Apoyo para el comité ejecutivo y junta directiva en la creación de portafolio de riesgos

Considerar los diferentes riesgos en la toma de decisiones… “

Ambiente de Control

Enseñar con palabras y acciones

Filosofía de Gestión de Riesgo - Ejemplo

21

Ambiente de Control

Cultura de Riesgo y Control

• La cultura de riesgo fluye desde la

filosofía y el apetito de riesgo de la

entidad

• Una gestión integral de riesgo es

exitosa y eficiente, cuando la

organización mantiene una cultura de

riesgo positiva; esto es que toda la

entidad tenga conciencia de los

riesgos y cumpla con los ocho (8)

componentes COSO -ERM

Filosofía de Gestión de Riesgo

22

• Facilita la efectividad de gestión

integral de riesgo

• Define áreas clave de

responsabilidad

• Establece líneas de reporte

Ambiente de Control

Estructura organizacional

Está diseñada de acuerdo al tamaño y naturaleza de las actividades de la entidad

23

Componente COSO-ERM: Ambiente de Control

ROLES Y FUNCIONES DE LA GESTIÓN DE RIESGO

Junta DirectivaVelar y supervisar la adecuada administración y control de los riesgosTomar decisiones sobre las pérdidas financieras por reducción del patrimonio que la

organización pueda sufrir a causa de la materialización de los riesgos

PresidenciaDelegar la responsabilidad, en el Comité de Riesgo, de entender todos los riesgos de la

organización Asegurar que los requisitos sistemáticos, organizativos, procedimentales y culturales

estén establecidos para administrar todos los riesgos

Comité de RiesgoDesignar al responsable de la Unidad de Administración Integral de Riesgo.Supervisar el desempeño y el cumplimiento de los objetivos de la Unidad de

Administración Integral de Riesgo con respecto a la gestión de riesgosAprobar la metodología diseñada por la Unidad de Administración Integral de Riesgo para

identificar, medir, controlar, monitorear y valorar los diversos riesgos asumidos por la organización

Asignación de autoridad y responsabilidades

Gerencia de RiesgoGarantizar el cumplimiento del plan estratégico de gestión de riesgo integral de la InstituciónAprobar los planes de acción resultantes de la identificación, evaluación y medición de los

riesgos y las acciones mitigantesEstablecer los mecanismos adecuados para la gestión del riesgo integral asociados al mayor

uso de tecnología Designar delegados de riesgo para cada unidad de negocios y apoyo

Coordinadores de Riesgo por Unidad de Negocio• Administrar los riesgosParticipar activamente en las auto-evaluaciones del riesgo integral en su área.Realizar seguimiento de los indicadores de riesgo.Seguir y reportar las pérdidas por materialización de los riesgos

Auditoría InternaSupervisar el cumplimiento de las políticas y procedimientos de la gestión del riesgo integralRevisar el marco general de la gestión del riesgo integral

24

Establecimiento de ObjetivosComponentes de COSO-ERM

25

Establecimiento de Objetivos

• La gestión integral de riesgo se asegura que la gerencia cuente con un proceso para definir objetivos que estén alineados con la misión y visión, con el apetito de riesgo y niveles de tolerancia

• Los objetivos se clasifican en cuatro categorías:

• Estratégicos• Operacionales• Reporte o presentación de

resultados• Cumplimiento

Dentro del marco de la definición de la misión y visión, la gerencia establece las estrategias y objetivos

Apetito de Riesgo

• Es una guía en el establecimiento de la estrategia

• La gerencia lo expresa como un balance entre: crecimiento, riesgo y retorno.

• Dirige la asignación de recursos

• Alinea la organización, personal, procesos e infraestructura


Probabilidad

Impa

cto

Bajo Medio Alto

Ba

jo

M

ed

io

Alto Excediendo el

Apetito de Riesgo

Dentro del Apetito de Riesgo

Es el máximo nivel de riesgo que los accionistas están dispuestos a aceptar

27

Tolerancia al Riesgo

• La tolerancia al riesgo se puede medir preferiblemente en las mismas unidades que los objetivos relacionados

Meta Fijada

Tiempo

Estrategia de negocio

Límite de tolerancia

Desempeño Real

Variación Inaceptable

Límite de toleranciaVariación

Inaceptable


Son los niveles aceptables de variación de las metas fijadas

28

Identificación de Eventos


29


• La gerencia reconoce que la

incertidumbre existe, lo cual se

traduce en no poder conocer con

exactitud cuándo y dónde un

evento pudiera ocurrir, así como

tampoco sus consecuencias

financieras

• En este componente se identifican

los eventos con impacto negativo

(riesgos) y con impacto positivo

(oportunidades)

Se identifican eventos potenciales que si ocurren pueden afectar a la entidad. Base para los componentes: evaluación de riesgos y respuesta al riesgo

• La gerencia identifica los eventos potenciales que afectan la puesta en práctica de la estrategia o el logro de los objetivos, pudiendo tener impactos positivos o negativos

• Incluso los eventos con baja posibilidad de ocurrencia se consideran si el impacto en un objetivo es alto

• Los eventos se identifican en todos los niveles de la organización

30


Eventos

• La gerencia reconoce la importancia de entender los factores internos y externos y el tipo de eventos que pueden generar

Factores Influyentes

31

Factores Externos

Económicos Ambiente Natural PolíticosContaminación

Energía

Desastres naturales

Tendencias tecnológicasE-business, E-commerce

Tecnologías emergentes

Interrupciones

Cambios gubernamentales

Legislación

Regulaciones


Disponibilidad de capital

Incumplimiento de créditos

Seguros

Incumplimiento

Concentración

Liquidez

Financiamiento

Flujo de caja

Mercado

Precios

Desempleo

Huelgas

32

Factores Internos

Infraestructura

Personal ProcesoTecnología

Componente COSO-ERM: Identificación de Eventos

Diseño

Ejecución

Proveedor / dependencias

Competencia del personal

Salud e higiene

Ética e integridad

Disponibilidad de activos

Capacidad de activos

Acceso a capital

Datos

Mantenimiento

Distribución

Confidencialidad

Integridad

Disponibilidad

Capacidad

Sistemas

Selección

Desarrollo

Implantación

Desempeño y rendimiento

Disponibilidad

33

Evaluación de Riesgo


34


Determina riesgos a partir de dos perspectivas: Probabilidad e Impacto

Entre las técnicas se utiliza determinar riesgos y normalmente también se utiliza medir los objetivos relacionados

En la evaluación de riesgos, la gerencia considera eventos previstos e inesperados

Los riesgos inherentes y residuales son evaluados

Permite que una entidad entienda el grado en el cual los eventos potenciales pudieran afectar los objetivos del negocio

35


Es el riesgo en una organización en ausencia de acciones que podrían alterar el impacto o la frecuencia de ocurrencia de ese riesgo

Es el riesgo que resulta después que la gerencia ha implantado efectivamente acciones para mitigar el riesgo inherente

Riesgo Inherente

Riesgo Residual

36


• Los acontecimientos potenciales se evalúan a partir de dos perspectivas: probabilidad e impacto

• En la determinación de impacto, la gerencia utiliza normalmente una medida igual, o congruente según lo utilizado para el establecimiento del objetivo

• El horizonte del tiempo usado para determinar riesgos debe ser constante con el horizonte del tiempo de la estrategia y de los objetivos

Estimar probabilidad e impacto

37

• Técnicas Cualitativas - Impacto Vs. Probabilidad

• Técnicas Semi-cuantitativa - Se usa un análisis cualitativo asignando valores monetarios al riesgo

• Técnicas Cuantitativas- Técnicas Probabilísticas

• Valor en Riesgo VaR• Riesgo de Flujo de Caja• Distribuciones de pérdidas• Back-testing

- Técnicas no probabilísticas• Análisis de sensibilidad• Análisis de escenarios• Benchmarking


Técnicas de evaluación

38


• Autoevaluación: Es el proceso en el cual las unidades funcionales de la organización, de forma subjetiva, identifican los riesgos inherentes a sus actividades, evalúan el nivel de control existente y determinan los puntos de mejora que se deben realizar

• Talleres Grupales (Workshops)• Cuestionarios

• Como resultado de la aplicación de cualquiera de esta técnicas se obtiene el catálogo de riesgos, ponderando la probabilidad de ocurrencia e impacto en los objetivos del negocio

Técnicas de evaluación: Cualitativas

Altamente probable

Posiblemente probable

Remotamente probable

Alto

Medio

Bajo

Probabilidad de ocurrencia Impacto

39

Riesgos Probabilidad Impacto

1 Multas por violaciones a las normas

2 Deterioro de imagen

3 Devaluación de la moneda mayor al 15%

4 Huelgas que afectan la respuestas a clientes

5 Morosidad de la cartera

6 Falla en la integridad de la información

7Alta concentración (colocaciones en pocos

clientes)

8 Bajo retorno de la inversión



40

Distribución de riesgos de forma representativa, de acuerdo con el nivel de exposición

Impa

cto

Pat

rimon

ial

Impa

cto

Pat

rimon

ial

Probabilidad de ocurrenciaProbabilidad de ocurrencia

Devaluación de la moneda mayor al 15%

Falla en la integridad de la información

Deterioro de imagen

Multas violaciones ambientales y sanitarias

Morosidad de la cartera

Huelgas que afectan las respuestas a clientes



41

Respuesta al riesgo


42

Las respuestas deben ser evaluadas en función de alcanzar el riesgo residual alineado con los niveles de tolerancia al riesgo y pueden estar enmarcadas en las siguientes categorías:

Respuesta al riesgo

Evaluar posibles respuestas

Mitigar el Riesgo

Compartir el Riesgo

43

Aceptar el Riesgo

• Auto-asegurarse (Self-insuring) contra pérdidas

• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo

Compartir el Riesgo• Compra de seguros contra pérdidas

inesperadas significativas• Contratación de outsourcing para

procesos del negocio• Compartir el riesgo con acuerdos

sindicales o contractuales con clientes, proveedores u otros socios de negocio

Mitigar el Riesgo• Fortalecimiento del control interno

en los procesos del negocio• Diversificación de productos• Establecimiento de límites a las

operaciones y monitoreo• Reasignación de capital entre

unidades operativas

Evitar el RiesgoReducir la expansión de una línea de

productos a nuevos mercadosVender una división, unidad de

negocio o segmento geográfico altamente riesgoso

Dejar de producir un producto o servicio altamente riesgoso

Respuesta al riesgo

Evaluar posibles respuestas

44

• Los costos de diseñar e implantar una respuesta deben ser considerados, así como los costos de mantenerla

• Los costos y los beneficios de la implantación de las respuestas al riesgo pueden ser medidos cualitativa o cuantitativamente, típicamente la unidad de medición es consistente con la utilizada en el establecimiento de los objetivos y tolerancia al riesgo

• La gerencia debe considerar los riesgos adicionales que pueden resultar de una respuesta, así como también las posibles oportunidades

Respuesta al riesgo

Evaluar los costos versus beneficios de las respuestas

45

Actividades de Control


46


Políticas y procedimientos que ayudan a la gerencia a asegurar que las respuestas a los riesgos son ejecutadas, de forma apropiada y oportuna

• Están presentes en todos los niveles y áreas funcionales de la organización para lograr los objetivos del negocio

• Incluye un rango de actividades, tales como:- Aprobaciones

- Autorizaciones

- Verificaciones

- Conciliaciones

- Seguridad de los activos

- Desempeño de las operaciones

- Segregación de funciones

47


Políticas y procedimientos

• Las actividades de control usualmente involucran el establecimiento

de una política (lo que debe ser hecho) y los procedimientos para

ejecutar la política

• Cuando las políticas están formalmente documentadas pueden ser

implementadas amplia, consciente y consistentemente en toda la

organización

• Si se identifican desviaciones en el cumplimiento de las políticas y

procedimientos deben ser investigadas y tomar las acciones

correctivas

48

La selección de las actividades de control incluye:

Considerar su relevancia y lo adecuado para responder ante el riesgo

Cómo se interrelacionan con otras actividades de control y con los objetivos

de la entidad


Integración con las respuestas al riesgo

Respuesta: Reducir el riesgo mediante el análisis del comportamiento histórico de los clientes y realizar investigaciones de mercado

Objetivo: Conocer el cliente objetivo (target) de ventas de un nuevo producto

Riesgo: Carencia de suficiente conocimiento de factores externos, tales como necesidades potenciales de los clientes

Actividad de control: Monitorear el comportamiento de los clientes mediante reportes mensuales y la validación de la data existente

49

Diferentes tipos de controles:


Tipo de Actividades de Control

Diseñados para detectar de forma rápida riesgos, errores o incidentes

Controles detectivos

Diseñados para evitar riesgos, errores o incidentes antes de su ocurrencia

Controles preventivos

Diseñados para remediar o reducir daños como consecuencia de riesgos, errores o incidentes ocurridos

Controles correctivos

50

Información y comunicación


51


• Los sistemas de información deben apoyar la toma de decisiones y la gestión de riesgo (ERM)

• La gerencia debe enviar un mensaje al personal resaltando su responsabilidad ante el ERM

• El personal debe entender su rol en el ERM así como su contribución individual en relación con el trabajo de otros

La información relevante, debe ser identificada, capturada, procesada y comunicada en la oportunidad y forma adecuada

52

• Estrategia y sistemas integrados• Integración con las operaciones• Profundidad y puntualidad de la información• Calidad de la información• Se puede obtener de fuentes internas y externas


Información

Uso de Sistemas Integrados. Disponibilidad de consultas vía Intranet o Internet

Ejemplo

Revisión de información histórica vs. actual

53


La comunicación interna debe proveer al personal y a la organización en relación al ERM:- Un lenguaje común de riesgo- La importancia y relevancia del ERM- Los objetivos de la organización- El apetito de riesgo y la tolerancia al riesgo de la organización- Los roles y responsabilidades del personal y sus funciones de apoyo a la

gestión de riesgos- Los comportamientos aceptables y no aceptables son claramente

transmitidos al personal- Existencia de canales de comunicación internos y externos

Los canales de comunicación externos (ejemplo: proveedores, consumidores y reguladores) proveen información necesaria para mejorar la calidad de productos y servicios, así como anticiparse a las tendencias de mercado, problemas u oportunidades

Comunicación

54


• Creación de Comités de atención de reclamos o de calidad• Convenciones internas de ventas y conferencias de resultados del

negocio• Líneas internas de denuncias anónimas y políticas de

“whistleblower”• Carteleras, publicaciones, e-mails informativos• Independencia de funciones• Lineamientos de interacción con la alta gerencia y junta directiva• Interacción y definición de canales para compartir información del

Back y Front-Office

Comunicación

Ejemplo

55

Monitoreo


56

Componente COSO-ERM: Monitoreo

La eficacia de los otros componentes del ERM se sigue mediante:

- Actividades de supervisión continua

- Evaluaciones separadas

El ERM es monitoreado, evaluando la presencia y funcionamientos de sus componentes a lo largo del tiempo

57

• Se realizan normal y recurrentemente en cada una de las actividades de la organización

• Son ejecutadas sobre la base de un esquema de tiempo real

• Son más efectivas que las evaluaciones separadas, lo cual hace que el monitoreo continuo pueda identificar rápidamente cualquier desviación


Actividades de supervisión continua

58

• Se enfocan directamente a la efectividad del ERM y las actividades de supervisión continua

• El responsable de la evaluación debe entender las actividades de la entidad y de cada componente del ERM evaluado

• Se debe corroborar el diseño del ERM y los resultados de las pruebas realizadas contra los indicadores establecidos inicialmente por la gerencia


Evaluaciones separadas

59

• Autoevaluación de las áreas de la organización

• Evaluaciones de auditoría interna

• Evaluaciones de auditoría externa


Evaluaciones separadas

GerAuditoríaInterna

RiesgosFinancieros

RiesgosTecnológicos

Riesgosde Fraude

Riesgos deManufactura

RiesgosSeguridad Lógica

RiesgosRegulatorios

Riesgos deSeguridad deInformación

Riesgos deReputación

*connectedthinking firma miembro de gestión integral de riesgos: mejores prácticas

Documents