Gestión Estratégica de Riesgos.Enterprise Risk Services - ERS

14 de abril de 2005

Agenda - Presentación - Conceptos primarios.

La gestión de riesgos empresariales.

Identificando riesgos estratégicos.

Identificación de riesgos en la organización.

Conceptos

primarios.

Revisoría Fiscal

Alta Gerencia

Comité de auditoría

Junta directiva

Mercados de capital

Gobierno corporativo

Regulación

Otros

Modelo de administración

de riesgos

Altos niveles de medición

Complejidad regulatoria sin precedentes

Incremento de reportes a

entidades de vigilancia y

control

Menor tolerancia al riesgo

Altos requerimientos

de calidad

SupersociedadesCNTV

SECSupervalores

DIAN

Banca de inversión

Inversionistas

Prestamistas

Fusiones y adquisiciones

Presión enmárgenes de rentabilidad

Percepción pública

Presión política

InternetGuerra de talentos

GlobalizaciónAvances

tecnológicos

Entorno de negocios

Riesgo

OBJETIVOS

Oportunidades elegidas y que persiguen las

Compañías

Desempeño Empresarial

Riesgo

Es un evento evaluado frente a su probabilidad de materialización, cuyas consecuencias afectan el cumplimiento de los objetivos empresariales.

…qué es un Riesgo?

RecursosFinancieros

Recursosfísicos

• Terrenos• Edificios• Equipos• Inventarios

• Efectivo• Cartera• Obligaciones• Inversiones• Capital

Recursosde clientes

Recursos de empleados & Proveedores

• Clientes• Canales• Afiliados

• Empleados• Proveedores• Socios

estratégicos

• Liderazgo• Estrategia• Conocimiento• Valores

• Marca• Innovación• Sistemas• Procesos

Recursos de laorganización

Nuevas fuentes de valor Proteger, mantener y optimizar…

Modelo de Riesgos de Negocio – Incertidumbres que afectan las fuentes de valor

Fuente: Enterprise-wide Risk Management: Strategies for linking risk and opportunity

Riesgodel entorno

Riesgodel proceso

Riesgo de la informaciónpara la toma de decisiones

Fuentes de incertidumbre

Incertidumbres que afectan la viabilidad de nuestro modelo de negocios

Incertidumbres que afectan la ejecución de nuestro modelo de negocios

Incertidumbres sobre la relevancia y confiabilidad de la información que soporta nuestras decisiones de creación de valor

Clasificación de Riesgos

Procesos/operaciones

Estrategia

Operaciones

Riesgos del entorno

Precio

Liquidez

Crédito

Riesgo de información para la toma de decisiones

Riesgos de procesos

Financieros

Financiero

Tecnología/Procesamiento de información

Integridad

Dirección

Imp

acto d

e Riesg

os

Imp

acto d

e Riesg

os

Cómo calificar? criterios?

Recursos deInformación

Recurso de Medio ambiente

RecursoFinanciero

RecursoImagen

RecursoHumano

La gestión de riesgos

empresariales.

Riesgo de negocio:“Es el nivel de exposición a incertidumbres que la organización debe identificar y efectivamente administrar para alcanzar sus objetivos, ejecutar sus estrategias exitósamente y crear valor”

“Los riesgos de negocio surgen

tanto de la amenaza de que algo malo

ocurra, como de la probabilidad de que

algo bueno no ocurra.”

Es necesario ampliar nuestradefinición de riesgos

El resultado… balanceado, permite a

la organización entender, anticipar y

actuar sobre el riesgo, minimizando las

amenazas y maximizando el

reconocimiento de las oportunidades.

Nuevas operaciones, nuevos elementos!

El elemento fundamental en el negocio que ha sido creado por los “cambios” en las fuerzas del mercado es ……

la administración del riesgo.

El objetivo es ampliar la perspectiva de negocios, integrando un enfoque de administración de riesgos que evite consecuencias no planeadas en las decisiones de negocios.

riesgos = Oportunidad

Nuevas operaciones, nuevos elementos!

Las organizaciones hoy más que nunca están interconectadas, exponiéndolas a mayores oportunidades así como a nuevos factores de riesgo.

Ahora

Outsource Company

Supplier

Supplier

License

Supplier

Enterprise

Customer

Technology

Customer

Content

Customer

Outsource

Provider Competitor

Customer

License

Interconnected and interdependent

AntesEn el pasado, las organizaciones estaban aisladas de eventos externos. Existía una confianza limitada en los terceros y el entorno era predecible.

Evolución del entorno de negocios

… Modelos propuestos Sistema de Control Interno : COSO II

CO

MP

ON

EN

TES

OBJETIVOS

Ambiente de Control

Evaluación de Riesgos

Actividades de Control

Información yComunicación

Monitoreo

Establecimiento de Objetivos

Identificación de eventos

Respuesta a los Riesgos

AS/NZ 4360:1999. Estándar Australiano.

Evaluación de riesgos/ controles

Establecer contextoEstablecer contexto

Identificar RiesgosIdentificar Riesgos

Tratar RiesgosTratar Riesgos

Evaluar RiesgosEvaluar Riesgos

Analizar RiesgosAnalizar Riesgos

Identificación: Qué está andando mal?Oportunidades perdidas

Contexto: Evaluar el contexto estratégico y organizacional.

Análisis/Medición:Evaluar la probabilidad del riesgos y las consecuencias. Revisar controles.

Evaluación/Priorización:Comparar riesgos. Definir las prioridades de riesgos.

Opciones de Tratamiento: Reducir, evitar, transferir o retener.

Otra Metodología: Estándar Australiano

Relevancia y beneficios de un enfoque

No a grandes sorpresas

Infraestructura Integrada Asegurarse que las noticias malas viajen rápido, pero

internamente – Sistemas de Alerta Temprana. Prevenir y responder rápidamente a potenciales pérdidas

catastróficas. Mejorar la habilidad de anticiparse y prepararse para el cambio. Establecer una cultura basada en el riesgo. Asegurar que los riesgos claves son entendidos y mitigados.

Sistemas de Alertas Tempranas

Sistemáticamente identificar, evaluar y priorizar riesgos.

Evitar riesgos no identificados y proteger los activos.

Promover el aprendizaje organizacional.

Reducir la probabilidad de repetir errores.

No perder grandes oportunidades

Políticas y Procedimientos Comprensivos Buscar crecimiento asegurando que los riesgos

estratégicos son mitigados. Maximizar oportunidades de alcanzar el éxito en planes

de negocio. Acelerar la habilidad de responder al cambio y a las

oportunidades. Implementar una apropiada infraestructura de control.

No a grandes errores

Datos

interesantes.

Barings 1995 Ninguna persona o comité de supervisión

de riesgos (“risk manager”) Sin segregación de funciones entre “front”

y “back-office”. Sistemas incapaces de trazar el flujo de

operaciones y errores en “trading”. Movimientos sin aprobación. Reportes de auditoría ignorados

ValorEstudio de “Fortune 1000”: 100 empresas perdieron 25% de valor

mercado en menos de un mes. 87% de estas fueron asociadas con

riesgos que pudieron ser previstos y administrados.

Preservar valor = prevenir riesgos

Inversión Estudio en 200 inversionistas institucionales en

USA, Europa, Asia y Latinoamérica indica: Están preparados para pagar un “premium” de

20% por corporate governance. 75% de los inversionistas consideran las

practicas de la “Junta Directiva” tan importantes como los resultados financieros cuando evalúan inversiones.

CREACIÓN DE VALORBuen “governance” = mejor inversión

Identificando riesgos

estratégicos.

Evaluar los riesgos de negocio• Identificar • Localizar • Medir

2

Monitorear procesos

5

Sistema deInformación y comunicación

Alta Dirección

Metas y objetivosCreación del entorno general de control

• Límites de Riesgo • Tolerancia al Riesgo

1

Mejora continua6

Desarrollar estrategias de administración de riesgos

3

Diseño e implantaciónde procesos de respuesta

al riesgo

4

Gestión integral de administración de riesgos

… Cómo evaluar los Riesgos ?

Preparación APro

babi

lidadRe-

direccionar recursos

BImp

acto

B

A

Atención crítica

Evaluar riesgo

residual

Monitorear

Criterios de Calificación Escala de probabilidad

Muy baja

Remota probabilidad de que se presente o ha ocurrido en periodos de 10 años

Muy baja

Remota probabilidad de que se presente o ha ocurrido en periodos de 10 años

Baja

Baja probabilidad de que se presente o ha ocurrido en periodos de 5 años

Baja

Baja probabilidad de que se presente o ha ocurrido en periodos de 5 años

Media

Media probabilidad de que se presente o ha sido de ocurrencia ocasional

(una vez al año)

Media

Media probabilidad de que se presente o ha sido de ocurrencia ocasional

(una vez al año)

Alta

Alta probabilidad de que se presente o ha sido de frecuente ocurrencia

(varias veces al año)

Alta

Alta probabilidad de que se presente o ha sido de frecuente ocurrencia

(varias veces al año)

21 3 4BAJA ALTA

Criterios de Calificación Escala de impacto – Recurso Información

Leve

El evento no afecta

información confidencial ni estratégica. La

información involucrada o su calidad puede ser recuperada oportunamente.

Leve

El evento no afecta

información confidencial ni estratégica. La

información involucrada o su calidad puede ser recuperada oportunamente.

Moderado

El evento no afecta

información confidencial o estratégica. La

información involucrada o su calidad no puede ser recuperada o

consolidada oportunamente.

Moderado

El evento no afecta

información confidencial o estratégica. La

información involucrada o su calidad no puede ser recuperada o

consolidada oportunamente.

Crítico

El evento puede afectar

información confidencial o estratégica. La

información involucrada o su

calidad solo puede ser

recuperada o consolidad

parcialmente.

Crítico

El evento puede afectar

información confidencial o estratégica. La

información involucrada o su

calidad solo puede ser

recuperada o consolidad

parcialmente.

Muy crítico

El evento afecta información

confidencial o estratégica. La

información involucrada o su calidad no puede ser recuperada.

Muy crítico

El evento afecta información

confidencial o estratégica. La

información involucrada o su calidad no puede ser recuperada.

21 3 4BAJO ALTA

FOCO

Impacto

Probabilidad de ocurrencia

11

22

Men

or

Mod

era

do

1. Definición de Objetivos2. Estructura y/o definición de autoridad3. Liderazgo4. Cumplimiento5. Efectividad de la comunicación6. Cultura de Control7. Motivación8. Disponibilidad de Sistemas/ Oportunidad en la información9. Seguridad de Acceso10. Exactitud y registro11. Liquidez12. Crédito13 Calidad, diseño y funcionamiento de los procesos14. Subcontratación /outsourcing15. Falla en el servicio o producto16. Cambios legales /regulatorios17. Delincuencia / Grupos armados

Sig

nif

ican

te

Bajo Medio Alto

335 / 65 / 6

998 /410

8 /410

1111

1212

1313

1414

1515

1616

1717

77

Herramientas: Mapa de Riesgos Consolidado

Informationfor

Decision-Making

Develop Business RiskManagement Strategies Avoid Retain

Transfer

Reduce Exploit

EXPLOTAR

• Asignar• Diversificar• Expandir• Crear• Re-diseñar

• Reorganizar• Precio• Arbitrar• Re-negociar• Influenciar

TRANSFERIR

• Asegurar• Reasegurar

remanente• Indemnizar

• Compartir• Entregar

EVITAR• Despojar• Prohibir• Detener

• Enfocar• Filtrar• Eliminar

RETENER• Aceptar• Reajustar• Auto-asegurar

• contrarrestar• Planear

REDUCIR • Dispersar • Controlar

Respuestas a los riesgos

La organización

está focalizada en el

mejoramiento continuo de la administración de riesgos de

negocio

Optimizado

Capacidades y características de individuos,

no de la organización

Inicial

Políticas, procedimientos

y estándares definidos y

formalizados en toda la compañía

Definido

Riesgos medidos y

administrados en toda la

organización

Administrado

Fortalecer la construcción y mejoramiento sistemáticode las capacidades de administrar el riesgo

Procesos establecidos y

replicados; dependencia

en las personas reducida

Repetible

Evolución del modelo

Estrategias y políticas

Proceso de administr.de riesgos

GenteReportes

gerencialesMetodologia

Sistemas e información

Identificando, midiendo y evaluando las habilidades internas para la administración de riesgos, reflejadas en la organización:

Cómo?

Riesgo

operacional.

En

resumen.

Integrar la planeación con su proceso de administración de valor.

Evitar el no analizar riesgos claves y perder oportunidades de negocio.

Optimizar el balance entre la preservación de capital frente al crecimiento y la generación de utilidades.

Complementar sus herramientas de gestión estratégica.

Estableciendo una ventaja competitiva

Expandir la gobernabilidad corporativa.

Minimizar el comportamiento de aversión al riesgo y al cambio.

Enfocar la transferencia de riesgo.

Eliminar controles irrelevantes o redundantes.

Administrando costo al menor

valor

Beneficios

Mejorando el desempeño del negocio

Facilitar la toma de decisiones, asegurando la alineación con los objetivos y estrategias del negocio.

Complementar la medición y el monitoreo de su operación.

Reducir la volatilidad y prevenir sorpresas.

Facilitar el cumplimiento de los objetivos del proceso.

Beneficios - continuación

Caso Práctico.

Dudas y comentarios

graciasMuchas