DISEÑO, IMPLEMENTACIÓN, SEGUIMIENTO Y · PDF fileFamilia ISO 31000 Gestión del Riesgo Introducción Conceptos ... 15/11/2012 JOSE DAVID CUARTAS A. 32 GESTIÓN INTEGRAL DEL RIESGO

15/11/2012 JOSE DAVID CUARTAS A. 1

DISEÑO, IMPLEMENTACIÓN, SEGUIMIENTO Y

MEJORAMIENTO DEL SISTEMA DE GESTIÓN

DE RIESGOS

UNIVERSIDAD SERGIO ARBOLEDA

SECCIONAL SANTA MARTA


GESTIÓN INTEGRAL DEL RIESGO

CONTENIDO

JOSE DAVID CUARTAS A. 3


Contenido

15/11/2012

Antecedentes

Gestión

Integral

del

Riesgo

Entorno Regulatorio

Familia ISO 31000 Gestión del Riesgo

Introducción

Conceptos

El Riesgo en la Gestión del día a día

Principios de la Gestión del Riesgo

Estructura de la Gestión del RiesgoProceso para la Gestión del Riesgo

Comunicación y Consulta

Contextualización

Modelo de Madurez en la Gestión del Riesgo

Beneficios de la Gestión del Riesgo

Valoración del Riesgo

Tratamiento y Controles

Otros referentes normativos

Compromiso de la Dirección

Estructura de Soporte

Implantación

Seguimiento y Revisión

Mejora Continua

Seguimiento y Revisión



1. Introducción



Introducción

El “Riesgo” es un concepto que bien podríamos llamar vital, por su vínculo con

todo lo que hacemos. Casi podríamos decir que no hay actividad de la vida, de

los negocios o de cualquier asunto que se nos ocurra, que no implique asumir

un riesgo.



Introducción

Entre las formas de protección del riesgo está la acción colectiva, la

precaución individual o corporativa, las normas comunitarias y en fin tantas

otras, entre las cuales se incluye la tecnología como medio de prevención.

Fue por ello que la humanidad, desde sus inicios, buscó maneras de

protegerse contra las contingencias del que hacer diario y desarrolló al igual

que la mayoría de las especies animales maneras de esquivar, eliminar,

minimizar o enfrentar los riesgos.



Introducción

¿Qué es riesgo?

Es “el efecto de la incertidumbre en la consecución de los objetivos”

ISO 31000:2009

• 1. Incertidumbre (puede que nunca ocurra).

• 2. El riesgo importa y debe gestionarse porque tiene un efecto (positivo y

negativo).

• 3. Ese efecto es sobre los objetivos fijados.



Introducción

¿Qué es riesgo?

Es “la proximidad voluntaria o inconsciente a una situación de peligro”. Es la

exposición al peligro o a circunstancias que nos puedan generar daño o

consecuencias.

BASC V4:2012

Es la “combinación de la probabilidad y consecuencia de un evento”.

ISO 27002



Introducción

¿Por qué no se gestionan los riesgos en las Organizaciones?

PARADIGMAS

• No aporta valor…

• Si pensamos en todo lo malo, no hacemos nada.

• Hay suficientes controles.

• Aquí pensamos en metas, no en riesgos.

• Aceptamos que es común que fallen los sistemas tecnológicos.

• ¡ No hay tiempo para evaluar los riesgos, necesitamos vender !

• Acá nunca pasó nada.

• No tenemos los procesos definidos.

• Gestionar los riesgos no me va a ayudar a vender más.

• Si ocurre algo, ya lo arreglaremos.



Introducción

Para entender, analizar, valorizar, gerenciar y decidir sobre la manera como

adelantar la gestión corporativa frente al riesgo, la dirección moderna de las

empresas concibió con el apoyo de la academia una disciplina denominada

“Administración de Riesgos” o “Gerencia de Riesgos”, que al final sólo es una

función más, de muy alto nivel dentro de la jerarquía directiva, para darle paso

a dicha necesidad; es así como se considera la Administración de Riesgos

como un conjunto de estrategias que a partir de los recursos (físicos, humanos

y financieros) limitados, busca los siguientes objetivos:

En el corto plazo mantener la estabilidad financiera de la empresa protegiendo

sus activos e ingresos de los riesgos a que está expuesta y en el largo plazo,

minimizar las pérdidas ocasionadas por la ocurrencia de dichos riesgos.



Introducción

JOSE DAVID CUARTAS A.


Introducción

Amplio Espectro de Riesgos

Insolvencia

crediticia

Riesgos de mercados

financieros

Fluctuaciones

cambiarias

Liquidez, flujo

de caja

Capital intelectual

Investigación &

Desarrollo

Cambios en

industria/clientes

Directivos clave

Sistemas de Información

Cadena de suministros

Sistemas

contables/ de

control

Desastres Naturales

Seguridad/

lesiones a

empleados

Responsabilidad

general

Daños

materiales

Canales y

redes

Normatividad

ambiental

Demanda del mercado

Inducidos Externamente

Inducidos Internamente

Continuidad del

Negocio

Valor de activos Alianzas/consorcios

Responsabilidad Contractual

Suministro de Energía

Oportunidad

Retención & atracción

de personal

Pasivos contingentes

Director General

Relaciones

Públicas

Depto.

Legal

Director de

Operaciones

Gestión Humana

Seguridad y

Salud Ocupacional

Gerente de

Riesgos

Director Financiero

Tesorero

Junta Directiva

Pensiones

Garantías

Condiciones económicas

globales

Cambios fiscales

y contables

Terrorismo

Guerra

Incendio/

Explosión

Polución

Seguridad física

Cumplimiento de

regulación/legislación

Acción industrial

Competencia

Marca/reputación

Fusiones & Adquisiciones

Patentes



Introducción

Diferentes tipos de Gestión de Riesgos en las Organizaciones



Introducción

Cómo lo cumplo?

4.2 Mandato y compromiso

“La introducción de la gestión del riesgo y el aseguramiento de su eficacia

continua requieren un compromiso fuerte y sostenido de la dirección de la

organización, así como el establecimiento de una planificación estratégica y

rigurosa para conseguir el compromiso a todos los niveles…”

ISO 31000:2009


La Alta Gerencia

Tiene responsabilidad dentro del Buen Gobierno de buscar el logro de los

objetivos.

Debe demostrar la debida diligencia.

Debe propender por invertir los recursos en forma ordenada.

Debe conocer los riesgos a que está expuesta (incluso hoy).

Esto se traduce en : mensajes claros, coherentes y continuos a toda la

organización.


Introducción



Introducción

Cómo lo cumplo?


Introducción



Introducción

Gestión Integral del Riesgo

como Proceso

•Política

•Objetivos

•Directrices

•Interacción



Introducción

Gestión del Riesgo como actividad de un Proceso

•Liderado por un Proceso

•Conocimiento de todos los Procesos


Introducción



Estándares, Marcos de Referencia y Guías



Introducción

ADMINISTRACIÓN DE

RIESGO EMPRESARIAL

E.R.M



Introducción

ADMINISTRACIÓN DE RIESGO EMPRESARIAL o E.R.M.®

Enterprise Risk Management.

Definición.

-“Es un proceso efectuado por la Junta de Directores, la administración y otro

personal de la entidad, aplicado en la definición de la estrategia y través del

emprendimiento, diseñado para identificar los eventos potenciales que pueden

afectar la entidad, y para administrar los riesgos que se encuentran dentro de su

apetito por el riesgo, para proveer seguridad razonable en relación con el logro

del objetivo de la Entidad.”



Introducción

Esta definición refleja ciertos conceptos fundamentales:

1. Un proceso, es un medio para un fin, no un fin en si mismo.

2. Efectuado por Personas -no es solamente política, estudio y forma, sino que

involucra Personas en cada nivel de una organización-.

3. Aplicado en la definición de la estrategia.

4. Aplicado a través de la administración en cada nivel y unidad, incluye asumir

un punto de vista de portafolio de los riesgos a nivel de la entidad.

5. Diseñado para identificar los eventos que potencialmente afectan la entidad y

para administrar los riesgos dentro del apetito por los riesgos.

6. Provee seguridad razonable para la administración y para la Junta de una

entidad.

7. Orientado al logro de los objetivos en una o más categorías separadas pero

al mismo tiempo se sobreponen unas con otras.



Introducción

E.R.M.®



Introducción

E.R.M.® RENOVADO

Mirar más allá de la Probabilidad

Tres factores clave:

1. Impacto de un evento en el valor del negocio.

2. Vulnerabilidad de la Organización a sus efectos.

3. Velocidad de materialización de los eventos de riesgo.



Introducción

E.R.M.® RENOVADO

Relacionar probabilidad con vulnerabilidad e interacción de riesgos.

• Si un riesgo es relevante y tiene alto impacto, debe ser considerado, aunque

sea “remoto”.

• Utilizar planeación de escenarios para evaluar eventos de impacto alto / baja

productividad.

No olvidad las interdependencias.

• Riesgos agregados.

• Correlaciones ocultas.

• Acciones para mitigar el riesgo en un área puede aumentar el riesgo en otra.



Introducción

PROCESO

DESEMPEÑO

NO CONFORMIDAD

ACCIÓN

PREVENTIVAACCIÓN

CORRECTIVA

ACCIÓN DE

MEJORA

CONFORMIDAD



Introducción



Introducción

RIESGO AMENAZA PELIGRO

EMERGENCIA SINIESTRO RESTITUCIÓN



Introducción

RIESGO

Es “la proximidad voluntaria o inconsciente a una situación de peligro”. Es la

exposición al peligro o a circunstancias que nos puedan generar daño o

consecuencias.



Introducción

AMENAZA

Son aquellos factores externos a la organización que advierten proximidad o

propensión a un evento de pérdida (materialización de un riesgo) sobre los

cuales esta no tiene control.



Introducción

PELIGRO

Es una fuente o situación con potencial capacidad de producir pérdidas en

términos de bienes y daño a la propiedad.



Introducción

EMERGENCIA

Es la situación producida por una fuente de peligro, la cual genera pérdidas en

bienes y daño a la propiedad.



Introducción

SINIESTRO

Es la avería, destrucción fortuita o pérdida importante que sufre el bien o la

propiedad.



Introducción

RESTITUCIÓN

Restablecimiento del bien o la propiedad al estado que tenía antes de

presentarse una emergencia .



Introducción

El Riesgo en la Gestión del Día a Día



2. Antecedentes



Antecedentes

PRODUCTIVIDAD

GOBIERNO CORPORATIVO

EFICIENCIA

FINANCIERA

RIESGOS

CALIDAD

MEJORA DE PROCESOS

TECNOLOGÍA

CAMBIOS EN LA

LEGISLACIÓN

ENRON

GP 1000

MECI

COSO II



Antecedentes

Entorno Regulatorio



Antecedentes

A nivel Internacional:

Ley Sarbanes-Oxley (EEUU) Sarbanes-Oxley Act of 2002, Pub. L.No. 107-204, 116 Stat. 745 (30 de julio de 2002)

Acta de Reforma de la Contabilidad Pública de Empresas y deProtección al Inversionista. Nace en Estados Unidos con el fin demonitorear a las empresas que cotizan en bolsa, evitando que lasacciones de las mismas sean alteradas de manera dudosa,mientras que su valor es menor. Su finalidad es evitar fraudes yriesgo de bancarrota, protegiendo al inversor.

http://es.wikipedia.org/wiki/30_de_julio





http://es.wikipedia.org/wiki/2002

http://es.wikipedia.org/wiki/Estados_Unidos



http://es.wikipedia.org/wiki/Bolsa



Antecedentes


COSO Committee of Sponsoring Organizations of the TreadwayCommission. En 1992, publicó un informe denominado InternalControl – Integrated Framework (IC-IF), conocido también comoCOSO I. Adoptado por el sector público y privado en USA, por elBanco Mundial y el BID, y se extiende rápidamente por todoLatino América. En septiembre de 2004, se publica el informedenominado Enterprise Risk Management – IntegratedFramework, el cual incluye el marco global para la administraciónintegral de riesgos (Estándar COSO II – ERM).



Antecedentes


Normas Internacionales para la práctica profesional de laAuditoria Interna “The Institute of Internal Auditors” (IIA).

The Institute of Internal Auditors (IIA, por sus siglas en inglés),

organización fundada en 1941 en Estados Unidos, es la máxima

autoridad reconocida a nivel mundial en el campo de la auditoria interna.



Antecedentes


La auditoria interna presta dos grandes servicios, el de aseguramiento y

consulta para agregar valor y mejorar las operaciones para evaluar y

mejorar la eficacia de los procesos de la Administración o Gestión de

Riesgos, Control y Gobierno Corporativo.

Dentro de las normas de auditoria interna internacionales, seencuentran varias normas específicas dirigidas a manejar lametodología de la Administración de Riesgos dentro de los dosservicios enunciados, las cuales se recomiendan se apliquen porparte de los auditores internos.



Antecedentes

2110 – Gestión de Riesgos

La actividad de auditoría interna debe asistir a la organización mediante la

identificación y evaluación de las exposiciones significativas a los riesgos, y la

contribución a la mejora de los sistemas de gestión de riesgos y control.

2110.A1 - La actividad de auditoría interna debe supervisar y evaluar la eficacia

del sistema de gestión de riesgos de la organización.

2110.A2 – La actividad de auditoría interna debe evaluar las exposiciones al

riesgo referidas a gobierno, operaciones y sistemas de información de la

organización, con relación a lo siguiente:

· Confiabilidad e integridad de la información financiera y operativa,

· Eficacia y eficiencia de las operaciones,

· Protección de activos, y

· Cumplimiento de leyes, regulaciones y contratos.



Antecedentes

2110 – Gestión de Riesgos

2110.C1 Durante los trabajos de consultoría, los auditores internos deben

considerar el riesgo compatible con los objetivos del trabajo y estar alertas a la

existencia de otros riesgos significativos.

2110.C2 Los auditores internos deben incorporar los conocimientos del riesgo

obtenidos de los trabajos de consultoría en el proceso de identificación y

evaluación de las exposiciones de riesgo significativas en la organización.



Antecedentes


IAS 39 (International Accounting Standard sobre instrumentosfinancieros).

FAS-133 (Financial Accounting Standard sobre Derivados).

ISO-IEC Guide 73 Vocabulario a ser utilizado en estándares deAdministración de Riesgos.

Estándar Australiano Neozelandés AS/NZS 4360-2004 RiskManagement.

Estándar del Reino Unido IRM-AIRMIC-ALARM sobreAdministración de Riesgos.



Antecedentes


COSO ERM for Cloud Computing 2012

COSO Entendimiento y Comunicación del Apetito del Riesgo2012

ISO 22301:2012 Sistemas de Gestión de la Continuidad delNegocio

ISO 27005:2008 Seguridad Informática



Antecedentes

A nivel Nacional:

Superintendencia Bancaria:

Circular externa 050 del año 2001 y Carta Circular 031 del 2002 sobre SARC: Sistema de administración de riesgo crediticio

Circular externa 052 del 2002 de la Superbancaria sobre SEARS: Sistema Especial de Administración de riesgos de seguros

Superintendencia de Valores:

Resolución 138 del año 2001 sobre el sistema general de riesgos.



Antecedentes

A nivel Nacional:

MECI (Modelo Estándar de Control Interno)

NTC GP 1000:2004 (Norma Técnica de Calidad en la Gestión Pública)

NTC ISO 31000:2011 Gestión de Riesgos



Antecedentes




Antecedentes




Antecedentes




Antecedentes


4.5.3 No conformidad, acción correctiva y acción preventiva

La organización debe establecer, implementar y mantener uno o varios

procedimientos para tratar las no conformidades reales y potenciales y tomar

acciones correctivas y acciones preventivas. Los procedimientos deben definir

requisitos para:

… c) La evaluación de la necesidad de acciones para prevenir las no

conformidades y la implementación de las acciones apropiadas definidas para

prevenir su ocurrencia;

d) la revisión de la eficacia de las, acciones preventivas y acciones correctiva

tomadas.

Las acciones tomadas deben ser las apropiadas en relación a la magnitud de

los problemas e impactos ambientales encontrados.



Antecedentes




Antecedentes




Antecedentes




Antecedentes



Antecedentes


60


Antecedentes




Antecedentes

AS/NZ 4360:2004

Risk Management

Standard

Familia ISO 31000

Risk Management



Antecedentes

Familia ISO 31000 Gestión del Riesgo

En la actualidad, la familia ISO 31000 incluye:

ISO 31000:2009 Principios y Directrices sobre la aplicación

ISO / IEC 31010:2009 Técnicas de evaluación de riesgos

Guía ISO 73:2009 Vocabulario



Antecedentes

ISO 31000:2009 Principios y Directrices

Esta norma internacional proporciona los principios y las directrices genéricas

sobre la gestión del riesgo.

Puede utilizarse por cualquier empresa pública, privada o social, asociación,

grupo o individuo. Por tanto, no es específica de una industria o sector

concreto.

Esta Norma no es certificable…

Ignorar los riesgos de la Organización no es una opción



Antecedentes

ISO 31000:2009 Principios y Directrices

Interesados:

a) Responsables de desarrollar la política de gestión del riesgo dentro de su

organización;

b) Encargados de asegurar que el riesgo se gestiona de manera eficaz

dentro de la organización, considerada en su totalidad o en un área, un

proyecto o una actividad específicos;

c) Los que necesitan evaluar la eficacia de una organización en materia de

gestión del riesgo; y

d) Los que desarrollan normas, guías, procedimientos y códigos de buenas

prácticas que, en su totalidad o en parte, establecen cómo se debe tratar el

riesgo dentro del contexto específico de estos documentos.



Antecedentes

ISO GUÍA 73:2009 Vocabulario

“…proporciona el vocabulario básico para desarrollar una comprensión de los

conceptos y términos que se utilizan en la gestión del riesgo que son

comunes a diferentes organizaciones y funciones, ...”

3.6.1.7 matriz de riesgo:

Herramienta que permite clasificar y visualizar los riesgos (1.1), mediante la

definición de categorías de consecuencias (3.6.1.3) y de su probabilidad

(3.6.1.1).



Antecedentes

ISO IEC 31010:2009 Técnicas de Evaluación de Riesgos

“…Herramientas utilizadas para la evaluación del riesgo…”

67



Antecedentes

¿Qué pasa cuando coexisten diversas evaluaciones de riesgo?

ISO 14001, OHSAS 18001, ISO 22000, ISO 27000…

“La gestión del riesgo contribuye de manera tangible al logro de los objetivos

y a la mejora del desempeño, por ejemplo, en lo referente a la salud y

seguridad de las personas, a la conformidad con los requisitos legales y

reglamentos, a la aceptación por el público, a la protección ambiental, a la

calidad del producto, a la gestión de proyectos, a la eficacia en las

operaciones, al gobierno corporativo y su reputación.”

REFERENCIA EN LA ISO 31000



3. Principios de la Gestión del Riesgo







Los “principios para la gestión del riesgo” buscan establecer el

enfoque cultural e ideológico con que se deben gestionar los riesgos

en toda organización. Estos elementos suelen no ser considerados

relevantes al no ser tangibles y medibles, si bien son tan

importantes como cualquier otro aspecto de la organización.

UNE-ISO 31000 (2009): Gestión …, pp. 13-14.




La gestión del riesgo …

… crea y protege el valor

… es una parte integral de todos los procesos

… es parte de la toma de decisiones

… aborda explícitamente la incertidumbre

… es sistemática, estructurada y oportuna

… se basa en la mejor información disponible




La gestión del riesgo …

… está adaptada

… toma en consideración los factores humanos y culturales

… es transparente e inclusiva

… es dinámica, reiterativa y receptiva al cambio

… facilita la mejora continua de la organización



4. Estructura de la Gestión del Riesgo



Estructura de la Gestión del Riesgo

Modelo Administrativo basado en ISO 31000:2009



5. Proceso para la Gestión del Riesgo



Proceso para la Gestión del Riesgo







1. ESTABLECER EL CONTEXTO

Externo - Estratégico

Interno - Organizacional

Proceso para la gestión del riesgo

Definir los criterios del riesgo (Evaluación – Estructura)

Alineado a la planeación estratégica

Partes Interesadas

Alcance y criterios

El respaldo de la Alta Dirección es un elemento clave




2. IDENTIFICAR LOS RIESGOS

Fuentes del riesgo

Procesos de impacto

Eventos

Causas potenciales

Consecuencias potenciales

APRECIACIÓN O VALORACIÓN DEL RIESGO

Herramientas y técnicas

Defina sus propios riesgos

Ajustados a la gestión empresarial

Participación




2. IDENTIFICAR LOS RIESGOS

Que puede suceder?

Por qué sucede?

Como sucede?

Donde puede suceder?

Cuando puede suceder?

Definición de Herramientas y técnicas para la identificación (listas deverificación, experiencia, registros, lluvia de ideas, etc.)





Eventos Naturales

Aspectos Tecnológicos y Técnicos (int./ext.)

Actividades Individuales

Circunstancias Económicas(Int./Ext.)

Eventos

Causas

Amenazas

Relaciones ComercialesY Legales

ComportamientoRecursos Humanos

CircunstanciasPolíticas y Legislativas

Actividades y Controles Gerenciales

Criterios de Riesgo Genéricas



Gestión del Cambio

Financieros

Productos / Servicios

Medio Ambiente

Impacto

Consecuencias

Gestión de Activos

Cumplimiento de la Normatividad

Gestión (Dirección General)

Riesgos a Personas

Áreas de Impacto Genéricas

Tecnología




3. ANALIZAR LOS RIESGOS

Cuál es la probabilidad que un riesgo produzca una pérdida con los actuales

controles?

Con qué frecuencia puede ocurrir una pérdida?


PROBABILIDAD





Cuál es el impacto o magnitud del riesgo?

Qué tan grande puede ser la pérdida producida por el riesgo con los

controles actuales?


CONSECUENCIAS – SEVERIDAD - IMPACTO

Se miden en cuatro frentes; Personas (Vidas Humanas),Operaciones (Empresa, Tiempo), Dinero (Sanciones) eImagen.





El análisis puede ser:

Cualitativo

Semicuantitativo

Cuantitativo





Análisis Cualitativo

Utiliza palabras para describir la magnitud de las consecuencias potenciales y

la posibilidad de que ocurran tales consecuencias. Estas escalas se pueden

adaptar o ajustar para satisfacer las circunstancias y se pueden usar

diferentes descripciones para los diferentes riesgos.




Análisis Semicuantitativo

En el análisis semicuantitativo, las escalas cualitativas, como las cuantitativas,

se dan en valores. El objetivo es producir una escala de clasificación más

amplia que la que se obtiene usualmente en el análisis cualitativo, sin sugerir

valores realistas para riesgos, como se pretende en el análisis cuantitativo .

Sin embargo, debido a que el valor asignado a cada descripción puede no

tener una relación exacta con la magnitud real de las consecuencias o la

posibilidad, los números solo se deberían combinar usando una fórmula que

reconozca las limitaciones de los tipos de escalas empleadas.




Análisis Cuantitativo

Utiliza valores numéricos (a diferencia de las escalas descriptivas usadas en

los análisis cualitativo y semicuantitativo) tanto para las consecuencias como

para la posibilidad, empleando datos provenientes de una variedad de

fuentes.

La calidad del análisis depende de la exactitud y cabalidad de los valores

numéricos y de la validez de los modelos empleados.








Determinación de los Controles Existentes


CONTROLES




TIPOS DE CONTROL




APLICACIÓN DE CONTROLES

- En la Fuente. (Que busquen la eliminación del Riesgo)

- En el Medio. (Sustitución, Controles de Ingeniería en Procesos,

Maquinaria o Equipo, Señalización, Advertencias, Controles

Administrativos)

- En el Trabajador. (Equipos de Protección Personal)




GRADOS DE CONTROL

- Fuerte. (Se presta una atención significativa al riesgo. Se han adoptado la

mayoría de los controles económicamente viables. Se mantiene un

sistema de monitoreo constante).

- Moderado. (Los controles aplicados proporcionan una certeza razonable

de control, aunque no permiten la gestión de todos los eventos de riesgo

potenciales).

- Débil. (Los controles aplicados son insuficientes para prevenir o mitigar el

riesgo).

- Incontrolable. (Fuera del control de la Organización en cuanto a su

probabilidad de ocurrencia y la gestión de sus consecuencias).







4. EVALUAR LOS RIESGOS

Nivel de riesgo

Comparación

Prioridades

Aceptar o no?


Análisis de escenarios

Escalas a la medida

Participación Gerencial

Proactividad procesos




5. TRATAR LOS RIESGOS

Valoración del tratamiento del riesgo

Decisión sobre si los niveles de riesgo residual son tolerables

Si no son tolerables, generación de un nuevo tratamiento para el riesgo

Valoración de la eficacia de dicho tratamiento





Opciones de tratamiento:

Evitar el riesgo decidiendo no iniciar o continuar con la actividad que

causa el riesgo.

Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.

Eliminar la fuente del riesgo.

Modificar la probabilidad.

Cambiando las consecuencias.

Compartir el riesgo con otras partes (incluyendo los contratos y la

financiación del riesgo).

Retener el riesgo en base a una decisión informada.





Preparar, documentar e implementar planes:

Razones para la elección de las opciones de tratamiento

Beneficios a obtener

Aprobar el plan y responsables de implementarlo

Acciones propuestas

Requisitos de recursos, incluyendo las contingencias

Medidas y restricciones de desempeño

Requisitos de monitoreo y reporte

Tiempo y cronograma








6. SEGUIMIENTO Y REVISIÓN

Controles eficaces y eficientes

Mejorar la valoración del riesgo

Analizar y aprender lecciones

Detectar cambios en el contexto




6. SEGUIMIENTO Y REVISIÓN

Deben monitorearse los riesgos, la eficacia del plan de tratamiento

del riesgo, las estrategias y el sistema de gestión que se establecen

para controlar la implementación.

Resulta esencial la revisión permanente para asegurarse que el plan

de gestión continúa siendo pertinente.




7. COMUNICACIÓN Y CONSULTA

Intercambio de información

Partes involucradas

Bilateral

Toma de decisiones Actualización

Seguimiento y control

Registros para la trazabilidad

Entrenamiento del personal

Auditorías internas





La comunicación interna y externa efectiva es importante para garantizar que

quienes son responsables de implementar la Gestión del Riesgo y quienes

tienen un interés creado, comprendan la base sobre la cual se toman

decisiones y por qué se requieren acciones particulares.





Partes Interesadas

• Individuos dentro de la Organización (Empleados, Visitantes, Contratistas).

• Quienes tomen decisiones.

• Sindicato.

• Instituciones financieras.

• Compañías de seguros.

• Clientes.

• Sociedad en general.




Documentar

Cada etapa del Proceso de Gestión del Riesgo se debe documentar.

La documentación debe incluir los métodos, fuentes de datos y

resultados.



6. Modelo de Madurez en la Gestión del Riesgo




Construya a partir de lo que la Organización ya tiene

Para la mayoría de las organizaciones la buena noticia es que probablemente

ya tienen en funcionamiento muchos de los elementos de la administración de

la empresa inteligente frente al riesgo. El camino a seguir debe ser mucho más

un asunto de construir en lo que actualmente existe que iniciar a partir de cero.

Por esta razón, es importante que las organizaciones hagan un inventario de

sus capacidades de administración del riesgo, antes de hacer cambios o

inversiones importantes en administración del riesgo.




Cuando se realice tal valoración, es vital entender no solo dónde actualmente

se encuentra la empresa, sino a dónde quiere y necesita ir a partir de la

perspectiva de la administración del riesgo – lo cual, puede no siempre estar en

lo alto de la pila. Las diferentes áreas de riesgo difieren en importancia de

industria a industria, e incluso de compañía a compañía dentro de la misma

industria.

Por consiguiente, para la administración del riesgo no siempre es necesario

mantener capacidades de primera categoría con relación a cada aspecto

posible de riesgo. El desafío es entender exactamente en cuales áreas

“suficiente bueno” realmente es suficientemente bueno – y en cuáles áreas la

empresa realmente necesita capacidades de primera categoría para satisfacer

las expectativas que sobre la administración del riesgo tienen los stakeholders.




Una forma de entender mejor tanto dónde está la Organización y dónde “debe”

estar, es evaluar las capacidades de administración del riesgo contra un

modelo de madurez. Para los líderes del proceso, la valoración contra tal

modelo puede ser una forma útil para enmarcar la discusión de qué tipos de

iniciativas buscar en las diversas áreas de riesgo, así como qué tantos de los

recursos limitados de la organización invertir en cada iniciativa.
















Nueve principios fundamentales de un programa de Inteligencia frente al

riesgo

1. En la empresa inteligente frente al riesgo, una definición común de riesgo,

que aborda tanto la preservación de valor como la creación de valor, es usada

consistentemente a través de toda la organización.

Risk Intelligent enterprise management – Running the Risk Intelligent Enterprise, publicado por Deloitte Development LLC – 2010




2. En la empresa inteligente frente al riesgo, una estructura común del riesgo

respaldada por estándares apropiados, es usada a través de toda la

organización para administrar los riesgos.


riesgo





3. En la empresa inteligente frente al riesgo, los roles clave, las

responsabilidades y la autoridad. relacionados con la administración del riesgo,

están claramente definidos y delineados dentro de la organización.



riesgo




4. En la empresa inteligente frente al riesgo, una infraestructura común de

administración del riesgo es usada para respaldar las unidades y funciones de

negocio en el desempeño de sus responsabilidades frente al riesgo.



riesgo




5. En la empresa inteligente frente al riesgo, los cuerpos de gobierno (e.g.,

Juntas, Comités de Auditoría, etc.) tienen la transparencia y visibilidad

apropiadas en las prácticas de administración del riesgo de la organización a

fin de descargar sus responsabilidades.



riesgo




6. En la empresa inteligente frente al riesgo, la administración ejecutiva tiene a

su cargo la responsabilidad principal por diseñar, implementar, y mantener un

programa efectivo frente al riesgo.



riesgo




7. En la empresa inteligente frente al riesgo, las unidades de negocio

(departamentos, agencias, etc.) son responsables por el desempeño de sus

negocios y por la administración de los riesgos que asumen dentro de la

estructura de riesgo establecida por la administración ejecutiva.



riesgo




8. En la empresa inteligente frente al riesgo, ciertas funciones (e.g., Recursos

humanos, finanzas, tecnología de la información, impuestos, legal, etc.) tienen

un impacto generalizado en los negocios y proporcionan soporte a las

unidades de negocio en lo que se relaciona con el programa de riesgo de la

organización.



riesgo






riesgo

9. En la empresa inteligente frente al riesgo, ciertas funciones (e.g., auditoría

interna, administración del riesgo, cumplimiento, etc.) proporcionan

aseguramiento objetivo, e igualmente monitorean y reportan, a los cuerpos de

gobierno y a la administración ejecutiva, sobre la efectividad del programa de

riesgo de la organización.






7. Beneficios de la Gestión del Riesgo




Se define una estructura de riesgos corporativa que soporta toda la

gestión de una manera adecuada.

Facilita el acercamiento de la Junta Directiva y la Alta Dirección a la

estrategia de negocio y sus impedimentos.

Facilita un involucramiento de las personas en la administración y

evaluación del riesgo en toda la Organización.

Los Responsables de la administración del riesgo son plenamente

identificados.

A Nivel Corporativo




El Lenguaje y el enfoque son comunes con respecto al riesgo.

Se da Tratamiento y Optimización del riesgo en procesos críticos.

A Nivel Corporativo




A Nivel Estratégico

Se identifican los impedimentos (Peligros) que no le permiten a la

compañía alcanzar sus objetivos del negocio clasificados según su

impacto en la Organización y su probabilidad de ocurrencia

(Riesgo).

Se evalúan las acciones que a nivel estratégico está tomando la

Gerencia para mitigar esos riesgos.

Se define el mapa de Riesgos estratégicos del negocio.

Se desarrolla a nivel Gerencial el Concepto de visión sistémica.




A Nivel de Procesos

Se identifica y se discute para la Organización su Cadena de Valor

y su ciclo de negocio. (Herramientas para el Direccionamiento

Estratégico de la Compañía).

Se identifican de manera concertada a nivel Gerencial los procesos

primarios del negocio y sus actividades de apoyo, como

herramienta estratégica para la Organización.




A Nivel de Procesos

A partir del ciclo del negocio y del análisis financiero que hace la

Organización, se comienzan a identificar los procesos críticos

(Administrativos, productivos, comerciales, etc.).

Se cuenta con los procesos críticos del negocio identificados.

Se identifican todos los posibles riesgos (debilidades, problemas,

amenazas, obstáculos), con los cuales cuentan los procesos

críticos y que le impiden cumplir con su finalidad.




A Nivel de Procesos

Se identifican todos los posibles peligros con los cuales cuentan los

procesos críticos y que le impiden cumplir con su finalidad.

Se define una matriz y un mapa de riesgos de cada proceso crítico,

como herramienta fundamental para:

Adelantar los nuevos procesos de auditoria del negocio

Adelantar los programas y proyectos de mejora en esos

procesos críticos, buscando generar un impacto positivo en la

rentabilidad del negocio.




A Nivel de Procesos

Se están implementando de manera simple los criterios iniciales de

autocontrol.

Se puede comenzar un proceso de Gerencia con Base en la

Administración de Riesgos Corporativos.



8. Conclusiones



Conclusiones

1. La adecuada implantación de la Gestión Integral de Riesgos depende,

principalmente de la Alta Dirección. Sin embargo, todo el personal tiene

responsabilidad en su ejecución, sin importar el nivel del cargo que una

persona en particular ocupe dentro de la Organización.

2. Las mejores prácticas indican que la aplicación de la Gestión Integral de

riesgos es fundamental para el éxito de toda Organización y el cumplimiento de

sus objetivos y metas.



Conclusiones

3. Las Organizaciones deben desarrollar una estrategia de adecuación de

Perfiles y Responsabilidades de su personal en torno a la gestión de los riesgos

a todo nivel.

4. La gestión integral del riesgo debe estar centrada en un proceso de creación

de cultura organizacional cuyo objetivo sea el lograr que cada empleado

administre el riesgo inherente a sus actividades.



Conclusiones

6. La administración de la empresa inteligente frente al riesgo se refiere a la

toma de decisiones estratégicas y del día a día a través de toda la empresa,

haciéndolo con plena conciencia de los riesgos y oportunidades concomitantes.

5. Aunque ninguna organización está inmune ante los eventos generadores de

riesgo, aquellas que cuentan con una efectiva gestión pueden detectar los

riesgos potenciales más oportunamente y pueden establecer estrategias que

mitiguen el impacto que estos generen.



Conclusiones

7. Un enfoque sistemático para identificar, valorar y planear los riesgos es

esencial, así como un proceso bien definido para hacer disponible a los

tomadores de decisión, en cada nivel organizacional, la información clave sobre

el riesgo.

8. La administración del riesgo es hoy un concepto más amplio que como lo fue

hace años, cuando las personas de negocios la percibieron principalmente

como asegurar los activos contra pérdida o daño. Los líderes tienen que

reconocer que la búsqueda de valor inevitablemente significa exposición frente

al riesgo – y que por lo tanto tienen que asumir la responsabilidad por abordar

el riesgo en cada decisión que toman.



9. Bibliografía – Páginas WEB



Bibliografía

• COMITÉ DE SUPERVISIÓN BANCARIA DE BASILEA II (2005):

Basel II: International Convergence of Capital Measurement and

Capital Standards: A Revised Framework, Basel Committee on

Banking Supervision, Basilea.

• COSO II (2004): Enterprise Risk Management. Integrated

Framework, COSO.

• COSO II (2004): Gestión de Riesgos Corporativos- Marco

Integrado: Técnicas de Aplicación, Committee of Sponsoring

Organizations of Treadway Commission, Septiembre.

• ESCORIAL BONET, A. (2010): ISO 31000:2009 – La gestión de

riesgos como componente integral de la gestión empresarial.

• HAMPTON, J. J. (2009): Fundamentals of Enterprise Risk

Management, AMACOM, Litchfi eld, Connecticut, USA.



Bibliografía

• IEC/ISO 31010: 2009, Risk Management-Risk Assessment

Techniques.

• INFORME UNE-ISO GUÍA 73 IN (2009): Gestión del riesgo.

Vocabulario. Traducido por AENOR

(Asociación Española de Normalización y Certificación).

• INTERNATIONAL STANDARD ISO/FDIS 31000:2009 (E). Risk

Management. Principles and guidelines.

• ISO GUIDE 73:2009 (E). Risk Management. Vocabulary.

• ISO 31000:2009, de Gestión de Riesgos - Principios y

Directrices.

• ISO/CEI 73:2002: Risk management – Vocabulary – Guidelines

for use in standards.



Páginas WEB

• AENOR

http://www.aenor.es

• AGERS

http://www.agers.es

• CEIOPS

http://www.ceiops.org

• FERMA

http://www.ferma.eu

• FUNDACIÓN MAPFRE

http://www.fundacionmapfre.com/cienciasdelseguro

• CEA

http://www.icea.es

http://www.aenor.es/

http://www.agers.es/

http://www.ceiops.org/

http://www.ferma.eu/

http://www.fundacionmapfre.com/cienciasdelseguro

http://www.icea.es/



Páginas WEB

• ISO

http://www.iso.org

• KPMG

http://www.kpmg.com

• PRICEWATERHOUSECOOPERS

http://www.pwc.com

• TIEMS

http://www.tiems.org

• DELOITTE

www.deloitte.com/RiskIntelligence

http://www.iso.org/

http://www.kpmg.com/

http://www.pwc.com/

http://www.tiems.org/

http://www.deloitte.com/RiskIntelligence



MUCHAS GRACIAS !!!


JOSE DAVID CUARTAS A.

[email protected]

Cel: 310 3741082


mailto:[email protected]



Documents

DISEÑO, IMPLEMENTACIÓN, SEGUIMIENTO Y · PDF fileFamilia ISO 31000 Gestión del Riesgo Introducción Conceptos ... 15/11/2012 JOSE DAVID CUARTAS A. 32 GESTIÓN INTEGRAL DEL RIESGO