Post on 28-Jan-2016
*connectedthinkingFirma miembro de
Gestión Integral de Riesgos: Mejores Prácticas
¿Qué significa la palabra RIESGO?
• Proviene del Italiano Risicare, que significa desafiar, retar, enfrentar, atreverse.
• Peligro, prueba, tentativa, exponerse a un peligro, poner en peligro a uno, suscitarle algún peligro, lanzarse.
• Tomado del Nuevo Diccionario español-latino etimológico.
¿Qué significa la palabra RIESGO?
• RIESGO. Del it. risico o rischio, y este del ár. clás. rizq, lo que depara la providencia).1. m. Contingencia o proximidad de un daño.
Diccionario de la Real Academia Española
• RIESGO: Posibilidad de que obtengamos un resultado distinto al que pretendíamos conseguir con nuestra acción.
(Innovación Financiera “Aplicaciones para la Gestión Empresarial”)
¿POR QUÉ NOS ARRIESGAMOS?
• EL RIESGO ELEGIDO
- SABEMOS QUE NOS ESTAMOS ARRIESGANDO
- PERO LO HACEMOS IGUAL, PORQUE...• 1) CREEMOS QUE EL RIESGO ES ÍNFIMO,
• 2) CREEMOS QUE TOMAR ESE “PEQUEÑO RIESGO” NOS BENEFICIA.
¿POR QUÉ NOS ARRIESGAMOS?
El riesgo es inherente a cualquier actividad que realicemos.
Riesgo - Oportunidad
Riesgo es la posibilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos.
Ninguna entidad opera en un ambiente libre de riesgos.
Existe también el riesgo de que no se aproveche la ventaja de una oportunidad.
Riesgo-Reglamentación
Comercio doméstico e Internacional
Financieras, tanto públicas como privadas
Relaciones laborales
Medio ambiente
Impuestos
Bancarrotas
Riesgo-Cultura
Profundamente arraigada e influye en la dinámica organizacional
Ética de trabajo Perspectiva de relaciones jerárquicas Educación Perspectiva sobre ética incluyendo:
• Nepotismo
• Cohechos o mordidas
• Fraude
Conceptos Clave
Todas las entidades existen para darle valor a sus accionistas
Todas las entidades enfrentan la incertidumbre, por lo tanto, ¿cuánta es aceptable?
La incertidumbre puede ser un riesgo o una oportunidad
No se refiere a controles, se refiere a desempeño
Valor
El valor es creado, preservado o erosionado por las decisiones de la Dirección.
Diariamente la Dirección toma decisiones sobre estrategias y operaciones.
Las organizaciones agregan valor cuando se derivan beneficios que satisface a:
- Accionistas
- Clientes o usuarios
- Gobierno
Valor
Aplicación de recursos a modo que los beneficios
sean mayores que los recursos utilizados.
Ampliar y preservar la calidad, capacidad,
satisfacción del cliente.
Equilibrio entre crecimiento, riesgo y retorno
basados en objetivos y estrategias
Más que el valor financiero o económico.
Incertidumbre
Globalización, tecnología, reglamentos, reestructuración, fusiones, adquisiciones, mercados cambiantes, competencia.
No se puede determinar con precisión la probabilidad de que ocurrirán eventos potenciales y sus resultados.
Clasificación de los Riesgos
•Riesgo Operativo u Operacional
•Riesgo Legal
•Riesgo según su Naturaleza Financiera
•Riesgo de Mercado
•Riesgo de Crédito
•Riesgo de Liquidez
*connectedthinkingFirma miembro de
2.Definición de RiesgoRiesgo
• Incidente o situación ocurrida o probable,
• realizada por un directivo, funcionario o empleado de la compañía e
inclusive por un particular,
• que ocurre en un lugar especifico,
• durante un Intervalo de tiempo determinado,
• en la que intervienen uno o varios agentes o factores de riesgo presentes
en situaciones de riesgo
• y que se pueden materializar en riesgos asociados con las consecuentes
perdidas o daños para la empresa.
¿Qué es COSO?
• Committee of Sponsoring Organizations of the Treadway Commission (COSO). Creado en 1985.
• Es una organización del sector privado, dedicada a mejorar la calidad de los reportes financieros mediante la ética de negocio, controles internos eficaces y gobierno corporativo.
Lo nuevo de COSO ¿Por qué surge COSO II-ERM?
• Debido a la preocupación y al aumento del interés en la gestión de riesgo durante la segunda mitad de los años 90, el comité de las organizaciones que patrocinaban la Comisión de Treadway (COSO) determinó que había una necesidad de un marco común de Gestión Integral de Riesgo
• En el 2001 la Comisión contrató a PricewaterhouseCoopers para desarrollar un marco para evaluar y mejorar la gestión de riesgo en las organizaciones
• COSO - ERM se crea ampliando a COSO I para la gestión integral de riesgo pero no para sustituir el marco de control interno
• En Septiembre de 2004 se publicó el estudio ERM (Enterprise Risk Management) Integrated Framework17
Origen del estudio del Committee of Sponsoring Organizations of the Treadway Commission (COSO)
18
Ambiente de Control
Componentes de COSO-ERM
Ambiente de Control
Este componente establece:
• Una filosofía de gestión integral de riesgo
• Nivel de riesgo que la alta gerencia asume (Apetito de riesgo)
• Rol supervisorio de la junta directiva en la gestión integral de riesgo
• La integridad y los valores éticos
• Una estructura de gestión integral de riesgos: Sistemas de delegación de autoridad, roles y responsabilidades y líneas de reporte
• Estándares de recursos humanos: habilidad y competencia de los empleados
19
Enmarca el tono de la organización, influenciando la conciencia del riesgo en su personal.
Es la base del resto de los componentes y provee disciplina y estructura.
20
“ERM debe proveer a nuestra organización de capacidades superiores para identificar, evaluar, y gestionar en amplio espectro los riesgos en todos los niveles de cargo a fin de mejorar el entendimiento y manejo de los riesgos. Para ello debe proveer:
Aceptación responsable del riesgo
Apoyo para el comité ejecutivo y junta directiva en la creación de portafolio de riesgos
Considerar los diferentes riesgos en la toma de decisiones… “
Ambiente de Control
Enseñar con palabras y acciones
Filosofía de Gestión de Riesgo - Ejemplo
21
Ambiente de Control
Cultura de Riesgo y Control
• La cultura de riesgo fluye desde la
filosofía y el apetito de riesgo de la
entidad
• Una gestión integral de riesgo es
exitosa y eficiente, cuando la
organización mantiene una cultura de
riesgo positiva; esto es que toda la
entidad tenga conciencia de los
riesgos y cumpla con los ocho (8)
componentes COSO -ERM
Filosofía de Gestión de Riesgo
22
• Facilita la efectividad de gestión
integral de riesgo
• Define áreas clave de
responsabilidad
• Establece líneas de reporte
Ambiente de Control
Estructura organizacional
Está diseñada de acuerdo al tamaño y naturaleza de las actividades de la entidad
23
Componente COSO-ERM: Ambiente de Control
ROLES Y FUNCIONES DE LA GESTIÓN DE RIESGO
Junta DirectivaVelar y supervisar la adecuada administración y control de los riesgosTomar decisiones sobre las pérdidas financieras por reducción del patrimonio que la
organización pueda sufrir a causa de la materialización de los riesgos
PresidenciaDelegar la responsabilidad, en el Comité de Riesgo, de entender todos los riesgos de la
organización Asegurar que los requisitos sistemáticos, organizativos, procedimentales y culturales
estén establecidos para administrar todos los riesgos
Comité de RiesgoDesignar al responsable de la Unidad de Administración Integral de Riesgo.Supervisar el desempeño y el cumplimiento de los objetivos de la Unidad de
Administración Integral de Riesgo con respecto a la gestión de riesgosAprobar la metodología diseñada por la Unidad de Administración Integral de Riesgo para
identificar, medir, controlar, monitorear y valorar los diversos riesgos asumidos por la organización
Asignación de autoridad y responsabilidades
Gerencia de RiesgoGarantizar el cumplimiento del plan estratégico de gestión de riesgo integral de la InstituciónAprobar los planes de acción resultantes de la identificación, evaluación y medición de los
riesgos y las acciones mitigantesEstablecer los mecanismos adecuados para la gestión del riesgo integral asociados al mayor
uso de tecnología Designar delegados de riesgo para cada unidad de negocios y apoyo
Coordinadores de Riesgo por Unidad de Negocio• Administrar los riesgosParticipar activamente en las auto-evaluaciones del riesgo integral en su área.Realizar seguimiento de los indicadores de riesgo.Seguir y reportar las pérdidas por materialización de los riesgos
Auditoría InternaSupervisar el cumplimiento de las políticas y procedimientos de la gestión del riesgo integralRevisar el marco general de la gestión del riesgo integral
24
Establecimiento de ObjetivosComponentes de COSO-ERM
25
Establecimiento de Objetivos
• La gestión integral de riesgo se asegura que la gerencia cuente con un proceso para definir objetivos que estén alineados con la misión y visión, con el apetito de riesgo y niveles de tolerancia
• Los objetivos se clasifican en cuatro categorías:
• Estratégicos• Operacionales• Reporte o presentación de
resultados• Cumplimiento
Dentro del marco de la definición de la misión y visión, la gerencia establece las estrategias y objetivos
Apetito de Riesgo
• Es una guía en el establecimiento de la estrategia
• La gerencia lo expresa como un balance entre: crecimiento, riesgo y retorno.
• Dirige la asignación de recursos
• Alinea la organización, personal, procesos e infraestructura
Establecimiento de Objetivos
Probabilidad
Impa
cto
Bajo Medio Alto
Ba
jo
M
ed
io
Alto Excediendo el
Apetito de Riesgo
Dentro del Apetito de Riesgo
Es el máximo nivel de riesgo que los accionistas están dispuestos a aceptar
27
Tolerancia al Riesgo
• La tolerancia al riesgo se puede medir preferiblemente en las mismas unidades que los objetivos relacionados
Meta Fijada
Tiempo
Estrategia de negocio
Límite de tolerancia
Desempeño Real
Variación Inaceptable
Límite de toleranciaVariación
Inaceptable
Establecimiento de Objetivos
Son los niveles aceptables de variación de las metas fijadas
28
Identificación de Eventos
Componentes de COSO-ERM
29
Identificación de Eventos
• La gerencia reconoce que la
incertidumbre existe, lo cual se
traduce en no poder conocer con
exactitud cuándo y dónde un
evento pudiera ocurrir, así como
tampoco sus consecuencias
financieras
• En este componente se identifican
los eventos con impacto negativo
(riesgos) y con impacto positivo
(oportunidades)
Se identifican eventos potenciales que si ocurren pueden afectar a la entidad. Base para los componentes: evaluación de riesgos y respuesta al riesgo
• La gerencia identifica los eventos potenciales que afectan la puesta en práctica de la estrategia o el logro de los objetivos, pudiendo tener impactos positivos o negativos
• Incluso los eventos con baja posibilidad de ocurrencia se consideran si el impacto en un objetivo es alto
• Los eventos se identifican en todos los niveles de la organización
30
Identificación de Eventos
Eventos
• La gerencia reconoce la importancia de entender los factores internos y externos y el tipo de eventos que pueden generar
Factores Influyentes
31
Factores Externos
Económicos Ambiente Natural PolíticosContaminación
Energía
Desastres naturales
Tendencias tecnológicasE-business, E-commerce
Tecnologías emergentes
Interrupciones
Cambios gubernamentales
Legislación
Regulaciones
Identificación de Eventos
Disponibilidad de capital
Incumplimiento de créditos
Seguros
Incumplimiento
Concentración
Liquidez
Financiamiento
Flujo de caja
Mercado
Precios
Desempleo
Huelgas
32
Factores Internos
Infraestructura
Personal ProcesoTecnología
Componente COSO-ERM: Identificación de Eventos
Diseño
Ejecución
Proveedor / dependencias
Competencia del personal
Salud e higiene
Ética e integridad
Disponibilidad de activos
Capacidad de activos
Acceso a capital
Datos
Mantenimiento
Distribución
Confidencialidad
Integridad
Disponibilidad
Capacidad
Sistemas
Selección
Desarrollo
Implantación
Desempeño y rendimiento
Disponibilidad
33
Evaluación de Riesgo
Componentes de COSO-ERM
34
Evaluación de Riesgo
Determina riesgos a partir de dos perspectivas: Probabilidad e Impacto
Entre las técnicas se utiliza determinar riesgos y normalmente también se utiliza medir los objetivos relacionados
En la evaluación de riesgos, la gerencia considera eventos previstos e inesperados
Los riesgos inherentes y residuales son evaluados
Permite que una entidad entienda el grado en el cual los eventos potenciales pudieran afectar los objetivos del negocio
35
Evaluación de Riesgo
Es el riesgo en una organización en ausencia de acciones que podrían alterar el impacto o la frecuencia de ocurrencia de ese riesgo
Es el riesgo que resulta después que la gerencia ha implantado efectivamente acciones para mitigar el riesgo inherente
Riesgo Inherente
Riesgo Residual
36
Evaluación de Riesgo
• Los acontecimientos potenciales se evalúan a partir de dos perspectivas: probabilidad e impacto
• En la determinación de impacto, la gerencia utiliza normalmente una medida igual, o congruente según lo utilizado para el establecimiento del objetivo
• El horizonte del tiempo usado para determinar riesgos debe ser constante con el horizonte del tiempo de la estrategia y de los objetivos
Estimar probabilidad e impacto
37
• Técnicas Cualitativas - Impacto Vs. Probabilidad
• Técnicas Semi-cuantitativa - Se usa un análisis cualitativo asignando valores monetarios al riesgo
• Técnicas Cuantitativas- Técnicas Probabilísticas
• Valor en Riesgo VaR• Riesgo de Flujo de Caja• Distribuciones de pérdidas• Back-testing
- Técnicas no probabilísticas• Análisis de sensibilidad• Análisis de escenarios• Benchmarking
Evaluación de Riesgo
Técnicas de evaluación
38
Evaluación de Riesgo
• Autoevaluación: Es el proceso en el cual las unidades funcionales de la organización, de forma subjetiva, identifican los riesgos inherentes a sus actividades, evalúan el nivel de control existente y determinan los puntos de mejora que se deben realizar
• Talleres Grupales (Workshops)• Cuestionarios
• Como resultado de la aplicación de cualquiera de esta técnicas se obtiene el catálogo de riesgos, ponderando la probabilidad de ocurrencia e impacto en los objetivos del negocio
Técnicas de evaluación: Cualitativas
Altamente probable
Posiblemente probable
Remotamente probable
Alto
Medio
Bajo
Probabilidad de ocurrencia Impacto
39
Riesgos Probabilidad Impacto
1 Multas por violaciones a las normas
2 Deterioro de imagen
3 Devaluación de la moneda mayor al 15%
4 Huelgas que afectan la respuestas a clientes
5 Morosidad de la cartera
6 Falla en la integridad de la información
7Alta concentración (colocaciones en pocos
clientes)
8 Bajo retorno de la inversión
Evaluación de Riesgo
Técnicas de evaluación
40
Distribución de riesgos de forma representativa, de acuerdo con el nivel de exposición
Impa
cto
Pat
rimon
ial
Impa
cto
Pat
rimon
ial
Probabilidad de ocurrenciaProbabilidad de ocurrencia
Devaluación de la moneda mayor al 15%
Falla en la integridad de la información
Deterioro de imagen
Multas violaciones ambientales y sanitarias
Morosidad de la cartera
Huelgas que afectan las respuestas a clientes
Evaluación de Riesgo
Técnicas de evaluación
41
Respuesta al riesgo
Componentes de COSO-ERM
42
Las respuestas deben ser evaluadas en función de alcanzar el riesgo residual alineado con los niveles de tolerancia al riesgo y pueden estar enmarcadas en las siguientes categorías:
Respuesta al riesgo
Evaluar posibles respuestas
Mitigar el Riesgo
Compartir el Riesgo
43
Aceptar el Riesgo
• Auto-asegurarse (Self-insuring) contra pérdidas
• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo
Compartir el Riesgo• Compra de seguros contra pérdidas
inesperadas significativas• Contratación de outsourcing para
procesos del negocio• Compartir el riesgo con acuerdos
sindicales o contractuales con clientes, proveedores u otros socios de negocio
Mitigar el Riesgo• Fortalecimiento del control interno
en los procesos del negocio• Diversificación de productos• Establecimiento de límites a las
operaciones y monitoreo• Reasignación de capital entre
unidades operativas
Evitar el RiesgoReducir la expansión de una línea de
productos a nuevos mercadosVender una división, unidad de
negocio o segmento geográfico altamente riesgoso
Dejar de producir un producto o servicio altamente riesgoso
Respuesta al riesgo
Evaluar posibles respuestas
44
• Los costos de diseñar e implantar una respuesta deben ser considerados, así como los costos de mantenerla
• Los costos y los beneficios de la implantación de las respuestas al riesgo pueden ser medidos cualitativa o cuantitativamente, típicamente la unidad de medición es consistente con la utilizada en el establecimiento de los objetivos y tolerancia al riesgo
• La gerencia debe considerar los riesgos adicionales que pueden resultar de una respuesta, así como también las posibles oportunidades
Respuesta al riesgo
Evaluar los costos versus beneficios de las respuestas
45
Actividades de Control
Componentes de COSO-ERM
46
Actividades de Control
Políticas y procedimientos que ayudan a la gerencia a asegurar que las respuestas a los riesgos son ejecutadas, de forma apropiada y oportuna
• Están presentes en todos los niveles y áreas funcionales de la organización para lograr los objetivos del negocio
• Incluye un rango de actividades, tales como:- Aprobaciones
- Autorizaciones
- Verificaciones
- Conciliaciones
- Seguridad de los activos
- Desempeño de las operaciones
- Segregación de funciones
47
Actividades de Control
Políticas y procedimientos
• Las actividades de control usualmente involucran el establecimiento
de una política (lo que debe ser hecho) y los procedimientos para
ejecutar la política
• Cuando las políticas están formalmente documentadas pueden ser
implementadas amplia, consciente y consistentemente en toda la
organización
• Si se identifican desviaciones en el cumplimiento de las políticas y
procedimientos deben ser investigadas y tomar las acciones
correctivas
48
La selección de las actividades de control incluye:
Considerar su relevancia y lo adecuado para responder ante el riesgo
Cómo se interrelacionan con otras actividades de control y con los objetivos
de la entidad
Actividades de Control
Integración con las respuestas al riesgo
Respuesta: Reducir el riesgo mediante el análisis del comportamiento histórico de los clientes y realizar investigaciones de mercado
Objetivo: Conocer el cliente objetivo (target) de ventas de un nuevo producto
Riesgo: Carencia de suficiente conocimiento de factores externos, tales como necesidades potenciales de los clientes
Actividad de control: Monitorear el comportamiento de los clientes mediante reportes mensuales y la validación de la data existente
49
Diferentes tipos de controles:
Actividades de Control
Tipo de Actividades de Control
Diseñados para detectar de forma rápida riesgos, errores o incidentes
Controles detectivos
Diseñados para evitar riesgos, errores o incidentes antes de su ocurrencia
Controles preventivos
Diseñados para remediar o reducir daños como consecuencia de riesgos, errores o incidentes ocurridos
Controles correctivos
50
Información y comunicación
Componentes de COSO-ERM
51
Información y comunicación
• Los sistemas de información deben apoyar la toma de decisiones y la gestión de riesgo (ERM)
• La gerencia debe enviar un mensaje al personal resaltando su responsabilidad ante el ERM
• El personal debe entender su rol en el ERM así como su contribución individual en relación con el trabajo de otros
La información relevante, debe ser identificada, capturada, procesada y comunicada en la oportunidad y forma adecuada
52
• Estrategia y sistemas integrados• Integración con las operaciones• Profundidad y puntualidad de la información• Calidad de la información• Se puede obtener de fuentes internas y externas
Información y comunicación
Información
Uso de Sistemas Integrados. Disponibilidad de consultas vía Intranet o Internet
Ejemplo
Revisión de información histórica vs. actual
53
Información y comunicación
La comunicación interna debe proveer al personal y a la organización en relación al ERM:- Un lenguaje común de riesgo- La importancia y relevancia del ERM- Los objetivos de la organización- El apetito de riesgo y la tolerancia al riesgo de la organización- Los roles y responsabilidades del personal y sus funciones de apoyo a la
gestión de riesgos- Los comportamientos aceptables y no aceptables son claramente
transmitidos al personal- Existencia de canales de comunicación internos y externos
Los canales de comunicación externos (ejemplo: proveedores, consumidores y reguladores) proveen información necesaria para mejorar la calidad de productos y servicios, así como anticiparse a las tendencias de mercado, problemas u oportunidades
Comunicación
54
Información y comunicación
• Creación de Comités de atención de reclamos o de calidad• Convenciones internas de ventas y conferencias de resultados del
negocio• Líneas internas de denuncias anónimas y políticas de
“whistleblower”• Carteleras, publicaciones, e-mails informativos• Independencia de funciones• Lineamientos de interacción con la alta gerencia y junta directiva• Interacción y definición de canales para compartir información del
Back y Front-Office
Comunicación
Ejemplo
55
Monitoreo
Componentes de COSO-ERM
56
Componente COSO-ERM: Monitoreo
La eficacia de los otros componentes del ERM se sigue mediante:
- Actividades de supervisión continua
- Evaluaciones separadas
El ERM es monitoreado, evaluando la presencia y funcionamientos de sus componentes a lo largo del tiempo
57
• Se realizan normal y recurrentemente en cada una de las actividades de la organización
• Son ejecutadas sobre la base de un esquema de tiempo real
• Son más efectivas que las evaluaciones separadas, lo cual hace que el monitoreo continuo pueda identificar rápidamente cualquier desviación
Componente COSO-ERM: Monitoreo
Actividades de supervisión continua
58
• Se enfocan directamente a la efectividad del ERM y las actividades de supervisión continua
• El responsable de la evaluación debe entender las actividades de la entidad y de cada componente del ERM evaluado
• Se debe corroborar el diseño del ERM y los resultados de las pruebas realizadas contra los indicadores establecidos inicialmente por la gerencia
Componente COSO-ERM: Monitoreo
Evaluaciones separadas
59
• Autoevaluación de las áreas de la organización
• Evaluaciones de auditoría interna
• Evaluaciones de auditoría externa
Componente COSO-ERM: Monitoreo
Evaluaciones separadas
GerAuditoríaInterna
RiesgosFinancieros
RiesgosTecnológicos
Riesgosde Fraude
Riesgos deManufactura
RiesgosSeguridad Lógica
RiesgosRegulatorios
Riesgos deSeguridad deInformación
Riesgos deReputación
© 2006. “PricewaterhouseCoopers”. Todos los derechos reservados.