Mejores practicasenlagestionintegralderiesgo

*connectedthinkingFirma miembro de

Agosto 2006

*connectedthinking

Gestión Integral de Riesgos: Mejores Prácticas

2

Lo nuevo de COSO ¿Por qué surge COSO II-ERM?

• Debido a la preocupación y al aumento del interés en la gestión de riesgo durante la segunda mitad de los años 90, el comité de las organizaciones que patrocinaban la Comisión de Treadway (COSO) determinó que había una necesidad de un marco común de Gestión Integral de Riesgo

• En el 2001 la Comisión contrató a PricewaterhouseCoopers para desarrollar un marco para evaluar y mejorar la gestión de riesgo en las organizaciones

• COSO - ERM se crea ampliando a COSO I para la gestión integral de riesgo pero no para sustituir el marco de control interno

• En Septiembre de 2004 se publicó el estudio ERM (Enterprise Risk Management) Integrated Framework

Origen del estudio del Committee of Sponsoring Organizations of the Treadway Commission (COSO)

3Espiñeira, Sheldon y Asociados firma miembro de la organización mundial PricewaterhouseCoopers

1. Es un proceso…

2. realizado por la junta directiva, la

gerencia y demás personal de la

entidad,…

3. basado en el establecimiento de

estrategias para toda la empresa, …

4. diseñadas para identificar eventos

potenciales que puedan afectar a la

entidad, y gerenciar los riesgos dentro

del apetito de riesgo…

5. para proporcionar una seguridad

razonable referente al logro de los

objetivos del negocioFuente: Enterprise Risk Management — Integrated Framework Septiembre, 2004


4Espiñeira, Sheldon y Asociados firma miembro de la organización mundial PricewaterhouseCoopers

COSO II - ERM: Marco de Gestión Integral de Riesgo (Enterprise Risk Management)

COSO I: Control Interno - Marco Conceptual Integrado

Ambiente de Control

Un

ida

d A

Un

ida

d B

Ac

tivid

ad

1A

ctiv

ida

d 2

Evaluación de Riesgos

Actividades de Control

Información y Comunicación

Monitoreo


5

Nuevo Componente

Componente Ampliado

Componente Ampliado

Objetivo Nuevo

Considera las actividades de todos los

niveles de la organización

Componentes del COSO-ERM

Nuevo Componente

Nuevo Componente

Componente Ampliado

Componente Ampliado

Componente Ampliado

6

Ambiente de Control

Componentes de COSO-ERM

7

Componente COSO-ERM: Ambiente de Control

Este componente establece:

• Una filosofía de gestión integral de riesgo

• Nivel de riesgo que la alta gerencia asume (Apetito de riesgo)

• Rol supervisorio de la junta directiva en la gestión integral de riesgo

• La integridad y los valores éticos

• Una estructura de gestión integral de riesgos: Sistemas de delegación de autoridad, roles y responsabilidades y líneas de reporte

• Estándares de recursos humanos: habilidad y competencia de los empleados

Enmarca el tono de la organización, influenciando la conciencia del riesgo en su personal.

Es la base del resto de los componentes y provee disciplina y estructura.

8

“ERM debe proveer a nuestra organización de capacidades superiores para identificar, evaluar, y gestionar en amplio espectro los riesgos en todos los niveles de cargo a fin de mejorar el entendimiento y manejo de los riesgos. Para ello debe proveer:

•Aceptación responsable del riesgo

•Apoyo para el comité ejecutivo y junta directiva en la creación de portafolio de riesgos

•Considerar los diferentes riesgos en la toma de decisiones… “


Enseñar con palabras y acciones

Filosofía de Gestión de Riesgo - Ejemplo

9


Cultura de Riesgo y Control

• La cultura de riesgo fluye desde la

filosofía y el apetito de riesgo de la

entidad

• Una gestión integral de riesgo es

exitosa y eficiente, cuando la

organización mantiene una cultura de

riesgo positiva; esto es que toda la

entidad tenga conciencia de los

riesgos y cumpla con los ocho (8)

componentes COSO -ERM

Filosofía de Gestión de Riesgo

10

• Son comunicados por medio de un código formal

de conducta

• Establecimiento de canales de comunicación y

denuncia

• Compromiso de los empleados en comunicar

aquellas situaciones que se consideren

incumplimiento del código de ética y conducta

• Deben ser mostrados con acciones


Integridad y Valores Éticos

La efectividad de la gestión integral de riesgo, nunca superará la integridad y los valores éticos de las personas que crean, administran y monitorean las actividades de la entidad

11


Integridad y Valores Éticos

Estructura del Código de Conducta

Secciones del Código- Visión, misión y objetivos

- Manifiesto de la Presidencia Ejecutiva exhortando al cumplimiento del Código

- Declaración de los valores éticos de la organización

- Las responsabilidades individuales y organizacionales

- Lineamientos éticos y medidas disciplinarias

- Guía o canales para resolver las cuestiones éticas

- Glosario de términos

Ejemplo

12


Integridad y Valores Éticos Ejemplo

Canales de denuncia

Opción 1

Identificación del denunciante

Opción 2

Anonimato Parcial

Canales abiertos de comunicación

Identificación de la identidad de la persona

que denuncie irregularidades

Esta es una de las opciones más utilizada. Cuenta con canales de comunicación bajo el control de unidades de gestión de ética y conducta

Se conoce al denunciante pero no se divulga su

identidad

Cuenta con canales de comunicación confidenciales para conservar el anonimato

Conservación del anonimato absoluto de la identidad de la persona

que denuncie irregularidades

Opción 3

Anonimato Total

Fax, buzón de voz, números telefónicos directos y correo electrónico

13

• Facilita la efectividad de gestión

integral de riesgo

• Define áreas clave de

responsabilidad

• Establece líneas de reporte


Estructura organizacional

Está diseñada de acuerdo al tamaño y naturaleza de las actividades de la entidad

14

Existen diferentes alternativas de estructura organizacional, donde los roles y responsabilidades, así como las líneas de reporte pueden

presentar debilidades y fortalezas diferentes



• Opción A: Lidera la gestión de riesgo: existe una unidad de gestión de riesgo que coordina todas las actividades en la organización, reporta al comité de riesgo. Auditoría interna es responsable por la evaluación de la efectividad de los procesos, prueba los controles clave establecidos para la repuesta al riesgo

Ejemplo

CEO

Grupo de alta gerencia

Unidades de Negocio

Auditoría Interna

Auditor Interno Senior

Junta Directiva

CFO CTO Legal CIO

PCNSeguroSeguridad de Información

Fraude

Aseguramiento

Gerencia Integral de

riesgo

Comité de riesgo

Comité de auditoría

• Opción A:

15





• Opción B: Lidera la gestión de riesgo y aseguramiento: existe una unidad de gestión de riesgo que es reponsable de los riesgos y el aseguramiento del cumplimiento de las actividades de la gestión de riesgo

Ejemplo

• Opción B:

Unidades de Negocio Auditoría

Interna

Comité de Auditoría



Fraude

Aseguramiento

CEO


Junta Directiva

CFO CTO Legal CIO

Comité de Riesgo

Gerencia Integral de

riesgo

16





• Opción C: Las funciones de la gerencia de riesgo son lideradas por auditoría interna

Ejemplo

• Opción C:

Auditoría Interna y Gerencia de Riesgo

Comité de Auditoría y Riesgo

Auditor Interno Senior/ CRO

SeguroSeguridad de Información

Fraude

CEO


Junta Directiva

CFO CTO Legal CIO

Unidades de Negocio

PCN

Aseguramiento

17





• Opción D: Estructura descentralizada, donde no existe una unidad específica de riesgo sino que cada unidad de negocio es responsable de la gestión de riesgo

CEO


Unidades de Negocio

Auditoría Internal

Comité de Auditoría


Junta Directiva

CFO CTO Legal CIO


Fraude

Aseguramiento

Ejemplo

• Opción D:

18


ROLES Y FUNCIONES DE LA GESTIÓN DE RIESGO

Junta Directiva• Velar y supervisar la adecuada administración y control de los riesgos• Tomar decisiones sobre las pérdidas financieras por reducción del patrimonio que la

organización pueda sufrir a causa de la materialización de los riesgos

Presidencia• Delegar la responsabilidad, en el Comité de Riesgo, de entender todos los riesgos de la

organización • Asegurar que los requisitos sistemáticos, organizativos, procedimentales y culturales

estén establecidos para administrar todos los riesgos

Comité de Riesgo• Designar al responsable de la Unidad de Administración Integral de Riesgo.• Supervisar el desempeño y el cumplimiento de los objetivos de la Unidad de

Administración Integral de Riesgo con respecto a la gestión de riesgos• Aprobar la metodología diseñada por la Unidad de Administración Integral de Riesgo

para identificar, medir, controlar, monitorear y valorar los diversos riesgos asumidos por la organización

Asignación de autoridad y responsabilidades

Gerencia de Riesgo• Garantizar el cumplimiento del plan estratégico de gestión de riesgo integral de la Institución• Aprobar los planes de acción resultantes de la identificación, evaluación y medición de los

riesgos y las acciones mitigantes• Establecer los mecanismos adecuados para la gestión del riesgo integral asociados al mayor

uso de tecnología Designar delegados de riesgo para cada unidad de negocios y apoyo

Coordinadores de Riesgo por Unidad de Negocio• Administrar los riesgos• Participar activamente en las auto-evaluaciones del riesgo integral en su área.• Realizar seguimiento de los indicadores de riesgo.• Seguir y reportar las pérdidas por materialización de los riesgos

Auditoría Interna• Supervisar el cumplimiento de las políticas y procedimientos de la gestión del riesgo integral• Revisar el marco general de la gestión del riesgo integral

Ejemplo

19

• Establecen las normas de orientación, adiestramiento, evaluación,

promoción, compensación, y acciones de remediación, manejo

esperado de niveles de integridad, comportamiento ético y

competencia

• Envían mensajes de acciones disciplinarias ante violaciones de

comportamiento esperado que no pueden ser toleradas

• La capacidad del personal de la organización refleja el conocimiento

y las habilidades necesitados para realizar las tareas asignadas

• Permite a la gerencia alinear los costos-beneficios


Normas de recursos humanos, habilidades y competencias

20

Establecimiento de ObjetivosComponentes de COSO-ERM

21

Componente COSO-ERM: Establecimiento de Objetivos

• La gestión integral de riesgo se asegura que la gerencia cuente con un proceso para definir objetivos que estén alineados con la misión y visión, con el apetito de riesgo y niveles de tolerancia

• Los objetivos se clasifican en cuatro categorías:

• Estratégicos• Operacionales• Reporte o presentación de

resultados• Cumplimiento

Dentro del marco de la definición de la misión y visión, la gerencia establece las estrategias y objetivos

Apetito de Riesgo

• Es una guía en el establecimiento de la estrategia

• La gerencia lo expresa como un balance entre: crecimiento, riesgo y retorno.

• Dirige la asignación de recursos

• Alinea la organización, personal, procesos e infraestructura


Probabilidad

Imp

acto

Bajo Medio Alto

Ba

jo

M

ed

io

Alt

o

Excediendo el Apetito de

Riesgo

Dentro del Apetito de

Riesgo

Es el máximo nivel de riesgo que los accionistas están dispuestos a aceptar

23

Tolerancia al Riesgo

• La tolerancia al riesgo se puede medir preferiblemente en las mismas unidades que los objetivos relacionados

Meta Fijada

Tiempo

Estrategia de negocio

Límite de tolerancia

Desempeño Real

Variación Inaceptable

Límite de toleranciaVariación

Inaceptable


Son los niveles aceptables de variación de las metas fijadas

24

Tolerancia al Riesgo

20% TDC en relación con la cartera total

Tiempo

Estrategia de negocio


Desempeño Real

18%


22%


Colocación de tarjeta de crédito

Ejemplo

25

Identificación de Eventos


26

Componente COSO-ERM: Identificación de Eventos

• La gerencia reconoce que la

incertidumbre existe, lo cual se

traduce en no poder conocer con

exactitud cuándo y dónde un

evento pudiera ocurrir, así como

tampoco sus consecuencias

financieras

• En este componente se identifican

los eventos con impacto negativo

(riesgos) y con impacto positivo

(oportunidades)

Se identifican eventos potenciales que si ocurren pueden afectar a la entidad. Base para los componentes: evaluación de riesgos y respuesta al riesgo

27


Evento: Devaluación cambiaria

Impacto positivo – impacto negativoEjem

plo

Riesgo:

Oportunidad:

Deuda Externa

Inversión en moneda extranjera

Evento: Aumento de precios afectando los productos de 1000 grs

Disminución de las ventas

Ventas de productos de 250 grs

Riesgo:

Oportunidad:

28

• La gerencia identifica los eventos potenciales que afectan la puesta en práctica de la estrategia o el logro de los objetivos, pudiendo tener impactos positivos o negativos

• Incluso los eventos con baja posibilidad de ocurrencia se consideran si el impacto en un objetivo es alto

• Los eventos se identifican en todos los niveles de la organización


Eventos

• La gerencia reconoce la importancia de entender los factores internos y externos y el tipo de eventos que pueden generar

Factores Influyentes

29

Factores Externos

Económicos Ambiente Natural Políticos• Contaminación

• Energía

• Desastres naturales

Tendencias tecnológicas• E-business, E-commerce

• Tecnologías emergentes

• Interrupciones

• Cambios gubernamentales

• Legislación

• Regulaciones


• Disponibilidad de capital

• Incumplimiento de créditos

• Seguros

• Incumplimiento

• Concentración

• Liquidez

• Financiamiento

• Flujo de caja

• Mercado

• Precios

• Desempleo

• Huelgas

Ejemplo

30

Factores Internos

Infraestructura

Personal ProcesoTecnología


• Diseño

• Ejecución

• Proveedor / dependencias

• Competencia del personal

• Salud e higiene

• Ética e integridad

• Disponibilidad de activos

• Capacidad de activos

• Acceso a capital

• Datos

• Mantenimiento

• Distribución

• Confidencialidad

• Integridad

• Disponibilidad

• Capacidad

• Sistemas

• Selección

• Desarrollo

• Implantación

• Desempeño y rendimiento

• Disponibilidad

Ejemplo

31

Económicos

Medio Ambiente

Políticos

Personal

Procesos

Infraestructura

Objetivo mantener

margen 10%


EjemploNuevos competidores

LluviasControl de comisiones

Nuevos canales

Lentitud respuesta

Expira contrato colectivo

Aumenta

elección del

cliente

Aumenta

demandaBaja margen

32

Evaluación de Riesgo


33

Componente COSO-ERM: Evaluación de Riesgo

• Determina riesgos a partir de dos perspectivas: Probabilidad e Impacto

• Entre las técnicas se utiliza determinar riesgos y normalmente también se utiliza medir los objetivos relacionados

• En la evaluación de riesgos, la gerencia considera eventos previstos e inesperados

• Los riesgos inherentes y residuales son evaluados

Permite que una entidad entienda el grado en el cual los eventos potenciales pudieran afectar los objetivos del negocio

34


Es el riesgo en una organización en ausencia de acciones que podrían alterar el impacto o la frecuencia de ocurrencia de ese riesgo

Es el riesgo que resulta después que la gerencia ha implantado efectivamente acciones para mitigar el riesgo inherente

Riesgo Inherente

Riesgo Residual

35


• Los acontecimientos potenciales se evalúan a partir de dos perspectivas: probabilidad e impacto

• En la determinación de impacto, la gerencia utiliza normalmente una medida igual, o congruente según lo utilizado para el establecimiento del objetivo

• El horizonte del tiempo usado para determinar riesgos debe ser constante con el horizonte del tiempo de la estrategia y de los objetivos

Estimar probabilidad e impacto

36

• Técnicas Cualitativas - Impacto Vs. Probabilidad

• Técnicas Semi-cuantitativa - Se usa un análisis cualitativo asignando valores monetarios al riesgo

• Técnicas Cuantitativas- Técnicas Probabilísticas

• Valor en Riesgo VaR• Riesgo de Flujo de Caja• Distribuciones de pérdidas• Back-testing

- Técnicas no probabilísticas• Análisis de sensibilidad• Análisis de escenarios• Benchmarking


Técnicas de evaluación

37


• Autoevaluación: Es el proceso en el cual las unidades funcionales de la organización, de forma subjetiva, identifican los riesgos inherentes a sus actividades, evalúan el nivel de control existente y determinan los puntos de mejora que se deben realizar

• Talleres Grupales (Workshops)• Cuestionarios

• Como resultado de la aplicación de cualquiera de esta técnicas se obtiene el catálogo de riesgos, ponderando la probabilidad de ocurrencia e impacto en los objetivos del negocio

Técnicas de evaluación: Cualitativas

Altamente probable

Posiblemente probable

Remotamente probable

Alto

Medio

Bajo

Probabilidad de ocurrencia Impacto

38

Riesgos Probabilidad Impacto

1 Multas por violaciones a las normas

2 Deterioro de imagen

3 Devaluación de la moneda mayor al 15%

4 Huelgas que afectan la respuestas a clientes

5 Morosidad de la cartera

6 Falla en la integridad de la información

7Alta concentración (colocaciones en pocos

clientes)

8 Bajo retorno de la inversión


Técnicas de evaluación Ejemplo

39

Distribución de riesgos de forma representativa, de acuerdo con el nivel de exposición

Imp

acto

Pat

rim

on

ial

Imp

acto

Pat

rim

on

ial

Probabilidad de ocurrenciaProbabilidad de ocurrencia

Devaluación de la moneda mayor al

15%

Falla en la integridad de la información

Deterioro de imagen

Multas violaciones ambientales y

sanitarias

Morosidad de la cartera

Huelgas que afectan las respuestas a

clientes


Técnicas de evaluaciónEjem

plo

40

Respuesta al riesgo


41

Las respuestas deben ser evaluadas en función de alcanzar el riesgo residual alineado con los niveles de tolerancia al riesgo y pueden estar enmarcadas en las siguientes categorías:

Componente COSO-ERM: Respuesta al riesgo

Evaluar posibles respuestas

Mitigar el Riesgo

Compartir el Riesgo

42

Aceptar el Riesgo

• Auto-asegurarse (Self-insuring) contra pérdidas

• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo

Compartir el Riesgo• Compra de seguros contra pérdidas

inesperadas significativas• Contratación de outsourcing para

procesos del negocio• Compartir el riesgo con acuerdos

sindicales o contractuales con clientes, proveedores u otros socios de negocio

Mitigar el Riesgo• Fortalecimiento del control interno

en los procesos del negocio• Diversificación de productos• Establecimiento de límites a las

operaciones y monitoreo• Reasignación de capital entre

unidades operativas

Evitar el Riesgo• Reducir la expansión de una línea

de productos a nuevos mercados• Vender una división, unidad de

negocio o segmento geográfico altamente riesgoso

• Dejar de producir un producto o servicio altamente riesgoso


Evaluar posibles respuestas Ejemplo

43

• Los costos de diseñar e implantar una respuesta deben ser considerados, así como los costos de mantenerla

• Los costos y los beneficios de la implantación de las respuestas al riesgo pueden ser medidos cualitativa o cuantitativamente, típicamente la unidad de medición es consistente con la utilizada en el establecimiento de los objetivos y tolerancia al riesgo

• La gerencia debe considerar los riesgos adicionales que pueden resultar de una respuesta, así como también las posibles oportunidades


Evaluar los costos versus beneficios de las respuestas

44

Actividades de Control


45

Componente COSO-ERM: Actividades de Control

Políticas y procedimientos que ayudan a la gerencia a asegurar que las respuestas a los riesgos son ejecutadas, de forma apropiada y oportuna

• Están presentes en todos los niveles y áreas funcionales de la organización para lograr los objetivos del negocio

• Incluye un rango de actividades, tales como:- Aprobaciones

- Autorizaciones

- Verificaciones

- Conciliaciones

- Seguridad de los activos

- Desempeño de las operaciones

- Segregación de funciones

46


Políticas y procedimientos• Las actividades de control usualmente involucran el establecimiento

de una política (lo que debe ser hecho) y los procedimientos para

ejecutar la política

• Cuando las políticas están formalmente documentadas pueden ser

implementadas amplia, consciente y consistentemente en toda la

organización

• Si se identifican desviaciones en el cumplimiento de las políticas y

procedimientos deben ser investigadas y tomar las acciones

correctivas

47

La selección de las actividades de control incluye: • Considerar su relevancia y lo adecuado para responder ante el riesgo• Cómo se interrelacionan con otras actividades de control y con los

objetivos de la entidad


Integración con las respuestas al riesgo

Respuesta: Reducir el riesgo mediante el análisis del comportamiento histórico de los clientes y realizar investigaciones de mercado

Objetivo: Conocer el cliente objetivo (target) de ventas de un nuevo producto

Riesgo: Carencia de suficiente conocimiento de factores externos, tales como necesidades potenciales de los clientes

Actividad de control: Monitorear el comportamiento de los clientes mediante reportes mensuales y la validación de la data existente

Ejemplo

48

Diferentes tipos de controles:


Tipo de Actividades de Control

Diseñados para detectar de forma rápida riesgos, errores o incidentes

Controles detectivos

Diseñados para evitar riesgos, errores o incidentes antes de su ocurrencia

Controles preventivos

Diseñados para remediar o reducir daños como consecuencia de riesgos, errores o incidentes ocurridos

Controles correctivos

49

Información y comunicación


50

Componente COSO-ERM: Información y comunicación

• Los sistemas de información deben apoyar la toma de decisiones y la gestión de riesgo (ERM)

• La gerencia debe enviar un mensaje al personal resaltando su responsabilidad ante el ERM

• El personal debe entender su rol en el ERM así como su contribución individual en relación con el trabajo de otros

La información relevante, debe ser identificada, capturada, procesada y comunicada en la oportunidad y forma adecuada

51

• Estrategia y sistemas integrados• Integración con las operaciones• Profundidad y puntualidad de la información• Calidad de la información• Se puede obtener de fuentes internas y externas


Información

Uso de Sistemas Integrados SAP, Peoplesoft, JD Edwards. Disponibilidad de consultas vía Intranet o Internet

EjemploRevisión de información histórica vs. actual

52


• La comunicación interna debe proveer al personal y a la organización en relación al ERM:- Un lenguaje común de riesgo- La importancia y relevancia del ERM- Los objetivos de la organización- El apetito de riesgo y la tolerancia al riesgo de la organización- Los roles y responsabilidades del personal y sus funciones de apoyo a la

gestión de riesgos- Los comportamientos aceptables y no aceptables son claramente

transmitidos al personal- Existencia de canales de comunicación internos y externos

• Los canales de comunicación externos (ejemplo: proveedores, consumidores y reguladores) proveen información necesaria para mejorar la calidad de productos y servicios, así como anticiparse a las tendencias de mercado, problemas u oportunidades

Comunicación

53


• Creación de Comités de atención de reclamos o de calidad• Convenciones internas de ventas y conferencias de resultados del

negocio• Líneas internas de denuncias anónimas y políticas de “whistleblower”• Carteleras, publicaciones, e-mails informativos• Independencia de funciones• Lineamientos de interacción con la alta gerencia y junta directiva• Interacción y definición de canales para compartir información del Back

y Front-Office

Comunicación

Ejemplo

54

Monitoreo


55

Componente COSO-ERM: Monitoreo

La eficacia de los otros componentes del ERM se sigue mediante:

- Actividades de supervisión continua

- Evaluaciones separadas

El ERM es monitoreado, evaluando la presencia y funcionamientos de sus componentes a lo largo del tiempo

56

• Se realizan normal y recurrentemente en cada una de las actividades de la organización

• Son ejecutadas sobre la base de un esquema de tiempo real

• Son más efectivas que las evaluaciones separadas, lo cual hace que el monitoreo continuo pueda identificar rápidamente cualquier desviación


Actividades de supervisión continua

57

• Se enfocan directamente a la efectividad del ERM y las actividades de supervisión continua

• El responsable de la evaluación debe entender las actividades de la entidad y de cada componente del ERM evaluado

• Se debe corroborar el diseño del ERM y los resultados de las pruebas realizadas contra los indicadores establecidos inicialmente por la gerencia


Evaluaciones separadas

58

• Autoevaluación de las áreas de la organización

• Evaluaciones de auditoría interna

• Evaluaciones de auditoría externa


Evaluaciones separadas

GerAuditoríaInterna

RiesgosFinancieros

RiesgosTecnológicos

Riesgosde Fraude

Riesgos deManufactura

RiesgosSeguridad Lógica

RiesgosRegulatorios

Riesgos deSeguridad deInformación

Riesgos deReputación

Ejemplo

© 2006. “PricewaterhouseCoopers”. Todos los derechos reservados.

Su mundoSu mundo Nuestra gente*Nuestra gente*

Documents

Mejores practicasenlagestionintegralderiesgo