Como maximizar la utilidad en la Gestión de Riesgos

Transcripción

1 14 15 Abril,

2 Como maximizar la utilidad en la Gestión de Riesgos Juan Ignacio Ruiz Zorrilla CIA, CFE, CCSA, CRMA. Secretario General ICPF Vicepresidente IAI Director Corporativo Auditoria Interna - Telefónica 2

3 Sobre el conferencista Licenciado en Ciencias Económicas y Empresariales por la Universidad de Alcalá de Henares- España, con Postgrado en Dirección General por el IESE. <Su foto> Juan Ignacio Ruiz Zorrilla CIA, CFE, CCSA, CRMA Ingresó en Telefónica en 1984, donde ha desarrollado su carrera profesional, siendo su cargo actual de Director Corporativo de Auditoria Interna para el Grupo Telefónica. Secretario General ICPF Vicepresidente IAI España Management Board ECIIA 3

4 Índice 1.- Introducción 2.- Teoría Gestión de Riesgos y CSA. 3.- Experiencia Telefónica en Gestión de Riesgos a) Cuestionario b) Workshop Gestión de Riesgos: Votaciones Comité de Dirección c) Workshop Gestión de Riesgos: Entrevistas d) Workshop Gestión de Riesgos: Modelo Actual 4.- Apetito al Riesgo 4

5 1. 1. Introducción 5

6 1.-Introducción Como consecuencia de la crisis económica y financiera, diversos organismos internacionales, como por ejemplo la OCDE o la Unión Europea han mostrado especial preocupación por el establecimiento de un adecuado control y una eficiente y prudente gestión de los riesgos. Pasando en muchos casos de las recomendaciones de Buen Gobierno a Obligaciones. En los Códigos de Buen Gobierno Corporativo aparecen con mayor frecuencia que: La sociedad dispondrá de una función de control y gestión de riesgos ejercida por una unidad o departamento interno, bajo la supervisión directa de la comisión de auditoría o, en su caso, de otra comisión especializada del consejo de administración Que la política de control y gestión de riesgos identifique al menos: a) Los distintos tipos de riesgo, financieros y no financieros (entre otros los operativos, tecnológicos, legales, sociales, medio ambientales, políticos y reputacionales) a los que se enfrenta la sociedad, incluyendo entre los financieros o económicos, los pasivos contingentes y otros riesgos fuera de balance. b) La fijación del nivel de riesgo que la sociedad considere aceptable. c) Las medidas previstas para mitigar el impacto de los riesgos identificados, en caso de que llegaran a materializarse. d) Los sistemas de información y control interno que se utilizarán para controlar y gestionar los citados riesgos, incluidos los pasivos contingentes o riesgos fuera de balance. 6

7 1.-Introducción La función interna de control y gestión de riesgos ejercida por una unidad o departamento interno de la sociedad debe tener atribuidas expresamente las siguientes funciones: a) Asegurar el buen funcionamiento de los sistemas de control y gestión de riesgos y, en particular, que se identifican, gestionan, y cuantifican adecuadamente todos los riesgos importantes que afecten a la sociedad. b) Participar activamente en la elaboración de la estrategia de riesgos y en las decisiones importantes sobre su gestión. c) Velar por que los sistemas de control y gestión de riesgos mitiguen los riesgos adecuadamente en el marco de la política definida por el consejo de administración. 7

8 2. Teoría Gestión de Riesgos y CSA 8

9 2.- Teoría Gestión Riesgos y CSA Definición de la Gestión de Riesgos Corporativos (COSO - ERM) «La Gestión de Riesgos Corporativa (Enterprise Risk Management o ERM) es un proceso efectuado por el Consejo de Administración de una entidad, su Dirección y personal, aplicable a la definición de estrategias en toda la empresa y diseño para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos, dentro del riesgo aceptado y proporcionar una seguridad razonable de alcanzar los objetivos» (COSO II)» La Gestión de Riesgos no es un proyecto con fecha de finalización, sino un proceso continuo. La Gestión de Riesgos aplica a todos los niveles de la organización y a todas las actividades. 9

10 2.- Teoría Gestión Riesgos y CSA Los objetivos ERM de COSO: Estratégicos: asociados a los objetivos de más alto nivel y como apoyo de la misión de la organización. Operaciones: se relacionan con el uso efectivo y eficaz de los recursos. De información: relacionados con la fiabilidad de la información. Conformidad: vinculados a las leyes y regulaciones aplicables. Componentes ERM de COSO: Se derivan del modo de gestión de la empresa y están integrados en el proceso de gestión. Los componentes son: 1. Entorno interno de control 2. Fijación de objetivos 3. Identificación de eventos 4. Evaluación de riesgos 5. Respuesta al riesgo 6. Actividades de control 7. Información y comunicación 8. Supervisión 10

11 2.- Teoría Gestión Riesgos y CSA Rol de la Auditoría Interna en la Gestión de Riesgos - Posición IIA 11

12 2.- Teoría Gestión Riesgos y CSA Control Self Assessment (CSA) The IIA la define como un proceso que permite a la dirección y al personal participar en la revisión de los controles existentes para comprobar su adecuación y recomendar, acordar e implementar las mejoras a los controles existentes. El proceso permite a la gerencia y/o grupos de trabajo responsables de una función: Participar en la evaluación del control interno. Evaluar riesgos. Desarrollar planes de acción destinados a subsanar debilidades identificadas. Evaluar la probabilidad de alcanzar objetivos determinados. 12

13 2.- Teoría Gestión Riesgos y CSA Formas primarias del CSA Taller de facilitación: La meta de los equipos de trabajo es identificar debilidades de control y riesgos, y desarrollar formas para manejar y supervisar esos riesgos. El proceso implica a un facilitador de CSA que instruye a los gerentes y empleados sobre cómo evaluar el control interno y los riesgos. (Basado en: 1-objetivos,2-riesgos,3-controles,4-procesos) Las encuestas: Esta forma de CSA usa un cuestionario que tiende a hacer preguntas simples del tipo «Si-No» o «Tengo-No tengo», preguntas que son cuidadosamente escritas para ser comprendidas por los encuestados. Las encuestas a menudo se utilizan cuando los encuestados deseados son muy numerosos o están muy dispersos como para participar en un taller. También se las prefiere cuando la cultura de la organización puede obstaculizar debates abiertos y francos en los talleres de acuerdos, o cuando la gerencia desea minimizar el tiempo dedicado y los costos incurridos en la obtención de información. Análisis producidos por la gerencia: El análisis producido por la gerencia es comúnmente utilizado para producir una respuesta rápida a preguntas específicas o preocupaciones acerca de un proceso particular, actividad o procedimiento. Los auditores internos y gerentes de unidad pueden usar los resultados de los análisis producidos por la gerencia, en combinación con los resultados de los talleres de CSA o los resultados de las encuestas, para aumentar su entendimiento de los procesos de control. 13

14 2.- Teoría Gestión Riesgos y CSA Métodos de Aplicación - CSA Auto-aplicación de cuestionarios de Control Interno Cuestionarios Adaptados Específicamente Guía de Control Técnicas de Entrevistas Talleres de Modelos de Control Talleres Interactivos 14

15 3. Experiencia de Telefónica en Gestión de Riesgos 15

16 3.- Experiencia de Telefónica en la Gestión de Riesgos a) Cuestionario b) Workshop Gestión de Riesgos Votaciones Comité de Dirección c) Workshop Gestión de Riesgos: Entrevistas d) Workshop Gestión de Riesgos: Modelo Actual 16

17 3.- Experiencia de Telefónica en la Gestión de Riesgos a) Cuestionario - El CSA de Telefónica Cuestionario adaptado específicamente Experiencia de Telefónica en Take Over Normativa Corporativa de Control Adaptada al Modelo Corporativo de Riesgos y Procesos Respetuosa con otras áreas de Control Sencilla de cumplimentar y con datos relevantes MEDICIÓN AUTOMATICA Y HOMOGENEA DEL C.I. 17

18 PROCESOS DE GESTIÓN Y SOPORTE PROCESOS OPERATIVOS 3.- Experiencia de Telefónica en la Gestión de Riesgos a) Cuestionario Matriz de Áreas del CSA con Procesos Compras y Cuentas a Pagar Nóminas y Costes de Personal Ventas y Cuentas a Cobrar 1 Conocimiento del mercado y los consumidores x 2 Desarrollo de la estrategia corporativa x 3 Diseño de productos y servicios x 4 Comercialización y ventas x x 5 Producción y distribución de productos x 6 Producción y distribución de servicios x 7 Facturación cliente x 8 Gestión de la función de RR.HH. x 9 Gestión de la información y tecnología x x 10 Gestión de los recursos financieros y físicos x x x x x 11 Gestión medio ambiente y seguridad laboral x 12 Gestión de las relaciones externas x 13 Gestión de mejora continua x Activos Fijos ÁREAS Existencias Tesorería Sistemas de Información Inform. Contable y Ctrol Económico Otras Áreas 18

19 3.- Experiencia de Telefónica en la Gestión de Riesgos a) Cuestionario Certificación Cuestionario Reporte Financiero (CUARF) Yo, (nombre), Chief Executive Officer y yo, (nombre), Chief Financial Officer, certificamos que: 1. Hemos revisado la totalidad de las respuestas de este cuestionario, cumplimentado en base a la operativa real de la compañía: (nombre compañía) 2. Basándonos en nuestro conocimiento las respuestas no incluyen ningún error u omisión. 3. Conocemos que las respuestas a las cuestiones planteadas formarán parte de la evaluación del Sistema de Control Interno sobre el reporte financiero en el Grupo Telefónica, exigida por la Ley Sarbanes-Oxley. 4. En caso de que la Unidad de Auditoría Interna proceda a auditar alguna de las respuestas a las cuestiones planteadas, facilitaremos toda la información soporte que evidencie las mismas. Fecha: (Chief Executive Officer, o cargo equivalente) (Chief Financial Officer, o cargo equivalente) 19

20 3.- Experiencia de Telefónica en la Gestión de Riesgos a) Cuestionario Productos del CSA Medidas objetivas de Control de las distintas áreas de la empresa Mapa de control priorizado por empresa, línea de actividad, etc.. Análisis dinámico de indicadores sintomáticos. Datos significativos. Identifica controles básicos que no se cumplen. Resumen para la dirección ( Introducción, Conclusiones, Recomendaciones) Programa de trabajo. Certificación de Control Interno. 20

21 3. Experiencia de Telefónica en la Gestión de Riesgos a) Cuestionario b) Workshop Gestión de Riesgos Votaciones Comité de Dirección c) Workshop Gestión de Riesgos: Entrevistas d) Workshop Gestión de Riesgos: Modelo Actual 21

22 3.- Experiencia de Telefónica en la Gestión de Riesgos b) Desarrollo de la Reunión 22

23 3.- Experiencia de Telefónica en la Gestión de Riesgos b) Ordenación del Modelo de Riesgos por Especialidades de Auditoría 23

24 3. Experiencia de Telefónica en la Gestión de Riesgos a) Cuestionario b) Workshop Gestión de Riesgos Votaciones Comité de Dirección c) Workshop Gestión de Riesgos - ENTREVISTAS d) Workshop Gestión de Riesgos: Modelo Actual 24

25 3.- Experiencia de Telefónica en la Gestión de Riesgos c) Cuáles son las Fases del proceso de GR? 3 1 Identificación con los Gestores 2 Participación de todas las unidades de la Compañía TELEF ÓNICA ESPA ÑA ÁREA 1 ÁREA 2 ÁREA 3 ÁREA 4 ÁREA 5 ÁREA 6 ÁREA 7 Elaboración de un Plan de Acción ÓN 1 ÓN 2 ÓN 3 ÓN 4 ÓN 1 ÓN 2 ÓN 3 ÓN 1 ÓN 2 ÓN 3 ÓN 1 ÓN 2 ÓN 3 ÓN 4 ÓN 5 ÓN 1 ÓN 2 ÓN 1 ÓN 2 ÓN 3 ÓN 4 ÓN 5 ÓN 1 ÓN 2 ÓN 3 Evaluación y Cuantificación 4 MAPA DE RIESGOS Reporte a: Los Gestores La Alta Dirección La Comisión de Auditoria y Control 25 Reporte y Seguimiento 25

26 3.- Experiencia de Telefónica en la Gestión de Riesgos c) Relación Causa-Riesgos-Efectos-Objetivos CAUSAS Externas CLIENTE TECNOLOGÍA Y REDES EFECTOS Económicos Medioambientales ASEGURAMIENTO INGRESOS IMPACTO ECONÓMICO Políticos Sociales Tecnológicos INMOVILIZADO EXISTENCIAS RIESGOS COMUNICACIÓN IMPACTO NO ECONÓMICO OBJETIVOS TELEFÓNICA ESPÁÑA Internas Infraestructura PROVEEDORES TERCEROS CUMPLIMIENTO Personal Procesos Tecnología RECURSOS HUMANOS FRAUDE REPUTACIÓN, M. AMBIENTE TERCERAS PARTES IMPACTO REPUTACIONAL 26

27 3.- Experiencia de Telefónica en la Gestión de Riesgos c) Registro de Riesgos REGISTRO DE RIESGOS Nombre de la compañía: País: Función de Riesgos: Ref Nº o Ref. Riesgo Denominación Denominación del Riesgo según Modelo Corporativo Descripción Descripción del Riesgo en cada operadora Categoría de riesgo: R. Operacionales Tipo Riesgo * Proximidad ** Impacto *** Impacto *** Bruto de Neto de controles controles Máximo impacto en OIBDA Impacto actual en OIBDA Fecha: Probabilidad **** Probabilidad neta de controles existentes Controles actuales Breve descripción de las actividades de control existentes Estado Actual controles ROJO AMBAR VERDE Tipo Respuesta Aceptar Evitar Reducir Transferir Planes de Acción Breve descripción de los planes de acción para mejorar el control, incluyendo fechas previstas de implantación Categoría de riesgo: R. Negocio Categoría de riesgo: R. Financieros Categoría de riesgo: R. Crédito (*) Tipo de Riesgo (***) Impacto (****) Probabilidad 1. Externo-no controlable Cuantitativamente: OIBDA 1. Remota (0-9%) 2. Externo-controlable Cualitativamente: 2. Posible (10-29%) 3. Interno 1. Insignificante 3. Probable (30-49%) 2. Bajo 4. Muy Probable (50-69%) (**) Proximidad 3. Moderado 5. Cierta (70-100%) 1. Recurrente (frecuencia diaria, habitual ) 4. Alto 2. Ocurrencia inmediata (0-6 meses) 5. Muy Alto 3. Ocurrencia en futuro cercano (6-12 meses) 4. Ocurrencia en futuro lejano (12+ meses) 27

28 3. Experiencia de Telefónica en la Gestión de Riesgos a) Cuestionario b) Workshop Gestión de Riesgos Votaciones Comité de Dirección c) Workshop Gestión de Riesgos: ENTREVISTAS d) Workshop Gestión de Riesgos - MODELO ACTUAL 28

29 3.- Experiencia de Telefónica en la Gestión de Riesgos d) Modelo Integral 29

30 ESTRATEGIA COMPAÑÍA / OBJETIVOS 3.- Experiencia de Telefónica en la Gestión de Riesgos d) Modelo Integral MODELO GESTIÓN DE RIESGOS / ERM METODOLOGÍA GESTIÓN Límites / Distribución IDENTIFICACIÓN Evaluación / Medición + Seguimiento + KRI s RESPUESTA Planes de Mitigación Transferencia Evitar Aceptación Apetito y tolerancia al riesgo INFORMACIÓN AL EXTERIOR (STAKEHOLDERS) GESTIÓN INTERNA : LOCAL (Micro) + GLOBAL (Macro) DEFINICIÓN PLANES DE AUDITORÍA Y REFUERZO ESTRUCTURAS DE CONTROL INTERNO 30

31 3.- Experiencia de Telefónica en la Gestión de Riesgos d) Mapa de Riesgos Es el formato utilizado para representar gráficamente los riesgos, en función de su impacto y probabilidad, y constituye una herramienta útil para su priorización y tratamiento. El Mapa de Riesgos definido a nivel Corporativo en Telefónica es una matriz de 5x5 que representa la probabilidad de ocurrencia y el potencial impacto económico Los intervalos que se consideran a efectos de representar la probabilidad de ocurrencia de un evento son los siguientes: 31

32 3.- Experiencia de Telefónica en la Gestión de Riesgos d) Categorías de Riesgos 32

33 3.- Experiencia de Telefónica en la Gestión de Riesgos d) Enfoque Top Down Con el objetivo de fomentar un enfoque top-down, se ha elaborado una lista de riesgos básicos, para las principales áreas globales del Grupo (Red, TI, Estrategia, Regulación, Reputación, etc). Estos riesgos serán analizados semestralmente en las principales compañías del Grupo. Asimismo, se han definido indicadores de riesgos o KRIs (Key Risk Indicators) para la mayor parte de estos riesgos básicos, que permitirán evaluar de forma homogénea la situación de dichos riesgos en elgrupo. Una vez recibida la evaluación de los riesgos básicos y sus indicadores desde las compañías, se consolidarán dichas valoraciones, para obtener una visión global de la situación de dichos riesgos en el Grupo. 33

34 Reporte bottom-up 3.- Experiencia de Telefónica en la Gestión de Riesgos d) Gestión Top Down de los riesgos GLOBAL Riesgos TOP GLOBAL Riesgos Básicos por áreas Seguimiento riesgos en OBs (KRIs) Otros riesgos locales Gestión top-down LOCAL LOCAL 34

35 3.- Experiencia de Telefónica en la Gestión de Riesgos d) Utilidad de la gestión de riesgos en proyectos En el actual entorno de negocios, con rápidos cambios tecnológicos, entorno fuertemente competitivo y recesión económica, resulta imprescindible gestionar los riesgos asociados a los principales proyectos de las compañías. Los proyectos se lanzan en respuesta a oportunidades, pero la incertidumbre está presente en todos los proyectos, y ello implica un riesgo. RISK VERSUS REWARD La aplicación de la Gestión de Riesgos en proyectos tiene como objetivo ayudar a los gestores en el buen gobierno del proyecto, identificando de forma proactiva los posibles riesgos que puedan afectar a la consecución de los objetivos del proyecto, facilitando la implantación de controles y planes de acción que traten de mitigarlos, y aprovechando la experiencia adquirida en la implantación del Modelo en las principales compañías del Grupo (95% del OIBDA). De esta forma se maximiza la utilidad del Modelo y se potencia el carácter preventivo del Control Interno, ampliándolo a más ámbitos de actuación. La gestión de riesgos es aplicable tanto a proyectos internos como externos, habiéndose iniciado la aplicación del mismo en proyectos internos de transformación del Grupo. Está amparado en referentes externos de gestión de proyectos como la guía PMBOK A Guide to the Project Management Body of Knowledge, emitida por el Project Management Institute, cuyo apartado 11 está dedicado a la gestión de riesgos en proyectos. UTILIDAD PREVENTIVA DE LA GESTIÓN DE RIESGOS, APLICADA A PROYECTOS ANTES DE SU IMPLEMENTACIÓN 35

36 4. Apetito al Riesgos 36

37 4. Apetito al Riesgo Se define el concepto de Apetito al Riesgo como el riesgo que está dispuesta a aceptar la compañía en la búsqueda de su misión/visión. (*) (*) Según el último modelo para la práctica del Control Interno, actualizado a Mayo de 2013 (COSO). 37

38 4. Apetito al Riesgo Apetito al Riesgo Nivel de riesgo que la empresa quiere aceptar, aquel con el que se siente cómoda. Tolerancia al Riesgo Desviación con respecto al nivel en el que la empresa se siente cómoda, alerta para evitar llegar a la capacidad. Capacidad de Riesgo Nivel máximo de riesgo que la empresa puede soportar. (*) Según el último modelo para la práctica del Control Interno, actualizado a Mayo de 2013 (COSO). 38

39 4. Apetito al Riesgo ( Alinear con la estrategia Alinear con la capacidad y la cultura de riesgo Personalizar para la compañía Medir adecuadamente para toma de decisiones 8 CLAVES DE ÉXITO PARA DEFINIR EL APETITO DE RIESGO Alinear con las expectativas de los stakeholders Adecuar equilibrio coste/beneficio Comunicar internamente (top down) Revisar continuamente 39

40 Como maximizar la utilidad en la Gestión de Riesgos Gracias por su Atención! PREGUNTAS 40

41 Como maximizar la utilidad en la Gestión de Riesgos INFORMACIÓN DE CONTACTO Juan Ignacio Ruiz Zorrilla 41