Consultoría en Administración de Riesgos

Transcripción

1 Consultoría en Administración de Riesgos Actualmente, la alta gerencia está sometida a grandes presiones. Riesgos, complejidad e incertidumbre caracterizan el ambiente de negocios. Una competencia feroz, globalización, las expectativas cambiantes de los clientes, las nuevas tecnologías, los requerimientos regulatorios, la volatilidad financiera y otros innumerables factores obligan a las organizaciones a promover, además de administrar, cambios para satisfacer las exigencias de los accionistas para el logro de un máximo retorno y de valor agregado. Dado que el riesgo es inherente prácticamente a todas las acciones e inacciones, las organizaciones necesitan considerar el riesgo en un contexto integral y estratégico, que abarque a toda la empresa. El administrar eficazmente el riesgo, no sólo permite a las organizaciones minimizarlo cuando ocurre una crisis, sino también ser estratégicamente proactivas para aprovechar las oportunidades para el logro de los objetivos. De hecho, muchas organizaciones han incorporado herramientas y procesos de administración de riesgos en su práctica gerencial en todos los niveles. En otras palabras, las organizaciones se están dando cuenta de que el riesgo no es más un pasivo sino que es, cuando se administra adecuadamente, un activo poderoso que puede ofrecer una ventaja competitiva. Nuestros profesionales en administración de riesgos están capacitados para aplicar un enfoque metodológico respecto de los riesgos de su organización que abarque todos los niveles dentro de ella. Beneficios de una administración de riesgos: Mayor estabilidad en tiempos de crisis internas o trastornos en el mercado. Optimización de la asignación de recursos y del capital. Respuesta más rápida a los cambios y oportunidades del mercado. Protección de marcas, imagen y reputación. Menor probabilidad de fraude. Mayor satisfacción a nivel del Directorio. Mayor valor para los accionistas. Ayudamos a nuestros clientes a construir valor, administrar los riesgos y mejorar su rendimiento. Proporcionamos una amplia gama de servicios de consultoría empresarial a compañías internacionales, nacionales y a entidades públicas. Colaboramos con las Empresas para que sus Procesos, Operaciones y Tecnología sean Seguros y Eficientes

2 Quienes somos Somos una consultora especializada en la prevención y administración de riesgos, relacionados con tecnología, procesos y operaciones. Nuestras actividades se desarrollan a nivel nacional e internacional. Nuestros clientes son de una variada segmentación de industrias, como bancos, compañías financieras, compañías de seguros, empresas de salud, petroleras, empresas de telefonía, automotrices, etc. Las soluciones que brindamos a nuestros clientes son integrales, lo que posibilita que los mismos se sientan tranquilos y seguros de las soluciones que les estamos brindando. La administración de los riesgos es una disciplina y un ambiente de decisiones proactivas y acciones tendientes a asegurar continuamente que puede salir mal, determinar que riesgos es importante controlar e implantar estrategias que controlen dichos riesgos. Principales características de nuestra firma: El Seniority de nuestro personal, altamente experimentado, de trayectoria reconocida y especialización en administración de riesgos en diferentes segmentos de industrias. El acceso a una Red de Profesionales unidos por muchos años de trabajo en común. Enfoque de trabajo orientado al Desarrollo del Negocio y a la Creación de Valor. Atención personalizada y desarrollo de soluciones a medida. Capacitación técnica y profesional constante. Responsabilidad y ética en la prestación de servicios. Nuestra Visión Queremos ser reconocidos como un conjunto de profesionales responsables y abocados a cumplimentar los objetivos que se propongan, en tiempo y forma. Nuestra Misión Nuestro propósito y naturaleza es la de realizar una adecuada y eficiente gestión de los riesgos y de la prevención de fraudes.

3 Nuestros valores Para tener éxito, debemos crecer y desarrollarnos como individuos y en equipo. Nuestros Valores nos ayudarán a alcanzar este crecimiento. Excelencia Entregamos lo que prometemos y agregamos valor mas allá de lo esperado. Innovación Desarrollamos soluciones creativas y las convertimos en acción. Aprendizaje Desarrollamos continuamente el conocimiento de nuestro negocio y las habilidades de cada persona. Agilidad Estamos alertas a los cambios y nos movemos rápido, con flexibiliad y decisión. EXCELENCIA Innovación Aprendizaje - Agilidad TRABAJO EN EQUIPO LIDERAZGO Relacionamiento Respeto - Compartir Coraje Visión - Integridad Trabajo en equipo Las mejores soluciones surgen trabajando en equipo con clientes y colaboradores. Relacionamiento Acogemos diversas culturas, comunicaciones y puntos de vista. Respeto Consideramos activamente las necesidades individuales, incluso las de calidad de vida. Compartir Compartimos intensamente conocimiento, experiencias, recursos y oportunidades. Liderazgo Significa ser líderes con los clientes, ser líderes con las personas y liderar en la visión. Coraje Somos osados. Capitalizamos oportunidades y asumimos responsabilidades. Visión Tenemos una visión amplia y objetiva. Un sentido claro de donde queremos llegar, lo que nos inspira y motiva. Integridad Somos confiables y honorables. Nuestros socios fundadores Licenciado en Sistemas. Cuenta con experiencia en servicios de desarrollo de sistemas, auditoría de sistemas y operativa y consultoría relacionados con la administración de riesgos de procesos, tecnológicos y operativos. Experiencia adquirida principalmente en el segmento financiero, salud, retail, petrolero y seguros. Ha trabajado para Swiss Medical Group, PricewaterhouseCoopers, BBVA, TGV y BNL. Gustavo Quevedo gquevedo@bsec.com.ar Desarrollos a nivel Internacional Uruguay / Ecuador / Brasil Licenciado en Informática. Cuenta con experiencia en servicios de auditoría y consultoría relacionados con la administración de riesgos operacionales y tecnológicos. Experiencia adquirida principalmente en el segmento financiero, telefónico, call centers, tarjetas de crédito y débito, petrolero, seguros y AFJP. Ha trabajado para BBVA, Previnter AFJP, PricewaterhouseCoopers y Red Link S.A. Claudio Ronchi cronchi@bsec.com.ar Desarrollos a nivel Internacional EEUU / Colombia / Uruguay / Panamá / Ecuador / Perú / Bolivia

4 Nuestro Enfoque Entendemos que el riesgo es la probabilidad de ocurrencia de un hecho NEGATIVO que impida el cumplimiento parcial o total de nuestros OBJETIVOS. La habilidad para administrar los riesgos es el factor determinante en el éxito de un proyecto. Tratar con los riesgos requiere que la administración de los mismos sea vista como parte de un proceso dinámico y competitivo en lugar de un análisis adicional e inicial completamente estático. Nuestro enfoque de administración del riesgo es novedoso y diferente. Le damos al riesgo un significado muy amplio. Los riesgos son: eventos futuros inciertos que podrían influir sobre el logro de los objetivos estratégicos, financieros y operativos de la organización ; Nos focalizamos en agregar valor. Miramos más allá de los riesgos como amenazas identificables, administramos la incertidumbre y explotamos las oportunidades. Sólo este enfoque permite detectar oportunidades de ahorro en la estructura de controles y a su vez oportunidades de servicios no explotados; Como marco utilizamos un lenguaje amplio e integrado de administración del riesgo que permite el logro de las oportunidades, para asegurar así que la administración del riesgo sólo exista para favorecer y asegurar el cumplimiento de los objetivos de negocio. Nos focalizamos inicialmente en construir el correcto contexto para la estructura. El objetivo final es mejorar la administración integral del riesgo ayudándolos a implantar la estructura integral, de forma tal de permitir un exitoso proceso de cambio en lugar de intentar cambios prematuros a nivel de procedi mientos o riesgos aislados únicamente. Se está produciendo un fuerte cambio en la perspectiva del riesgo. La administración del riesgo no significa hoy en día tan sólo cumplir las normas y evitar o administrar las crisis. Los accionistas vuelcan sus expectativas en los directores para aumentar su retorno a través de la explotación de las oportunidades que origina el riesgo y, ciertamente, a través de la prevención de las pérdidas. Adicionalmente, otras partes intervinientes -público, gobierno y personal- están tras una actitud más proactiva respecto de la administración del riesgo. Ser parte del negocio requiere tomar riesgos. Las organizaciones exitosas enfrentan los riesgos y capturan las oportunidades que ellos presentan. Los directores necesitan de un nuevo marco que asegure que pueden satisfacer las demandas de sus stakeholders (accionistas, clientes, empleados, gobierno y organismos reguladores) y administrar el riesgo efectivamente. Para cumplir con las expectativas de los stakeholders y administrar efectivamente al riesgo, la estructura de administración del riesgo debe adaptarse a las necesidades del mercado global, el cual se encuentra atravesando cambios significativos que introducen nuevos factores críticos de éxito y, nuevas amenazas, incertidumbres y oportunidades. Presión Competitiva Algunas de las muchas presiones del Negocio... Inversores CAPITAL CRÉDITO TECNOLOGÍA Nuevas Tecnologías FRAUDE IMPUESTOS Cambios Políticos CLEARING COMMODITY LIQUIDEZ RECURSOS HUMANOS REGULACIONES... y todas introducen nuevos tipos de riesgos que hay que administrar y por lo tanto un nuevo enfoque de administración del riesgo Globalización REPUTACIÓN Regulaciones Crecientes SEGURIDAD MONEDA E-Business TASA DE INTERÉS Volatilidad Financiera

5 Servicios AER ARP ARO Administración de Riesgos en Tecnología Administración de Riesgos en Procesos Administración de Riesgos en Operaciones ARC AI Administración de Riesgos de Cumplimiento Auditoría Interna de Procesos / Sistemas / Operativa PRM Administración de Riesgos de Proyectos CMR Seminarios, Capacitación y Culturización en Administración y Mitigación de Riesgos AER AER ART Administración Estratégica de Riesgos Administración Estratégica de Riesgos Administración Estratégica de Riesgos Administración Estratégica de Riesgos AER Administración Estratégica de Riesgos (AER). El objetivo principal de la administración estratégica de los riesgos es garantizarle a la Alta Dirección de la Empresa que sus procesos de negocio estarán preparados para enfrentar escenarios estratégicos de riesgos y cuyos efectos nocivos para el valor del negocio podrán ser anticipados y por lo tanto convertidos en oportunidades de mejora. Los riesgo estratégicos son aquellos que destruyen o dañan severamente el valor de las empresas por efecto de cambios que ocurren en el país, en el entorno competitivo de la empresa, la posición estratégica de sus productos, la implementación de proyectos y el vínculo con los principales stakeholders de la empresa, que no fueron previstos o gestionados. Gap Analysis. Desarrollo de Planes Estratégicos y/o Planes Operativos sobre Protección de Activos de Información, Sistemas, Auditorías Internas y OyM. Desarrollo de Tableros de Control. ART Administración de Riesgos en Tecnología. La administración de riesgos de tecnología es un costo inevitable que las organizaciones deben enfrentar y deberá ser proporcional a la importancia que tengan los sistemas de procesamiento de datos donde circula la información de los diferentes procesos de negocio. La seguridad en la información es imprescindible para cualquier entidad, en especial, donde existe una mayor unión entre los procesos de negocios y los sistemas de información que los soportan. En una empresa hoy día sólo dos elementos son tangibles, dinero e información. Pero la inversión en seguridad no otorga mayor valor agregado a los procesos de negocio, sólo debería beneﬁciar al negocio en la disminución de los riesgos operativos característicos en los procesos automatizados, es decir, debería limitarse a una prevención del riesgo operativo. La teoría difiere de la práctica ya que sabemos por nuestra experiencia que una adecuada seguridad ayuda a la mayoría de las organizaciones, en algunos aspectos que podrían considerarse un valor agregado, estos son: Disminución de las interrupciones de procesamiento debido a: Cambios realizados sin autorización. Cambios realizados sin pruebas adecuadas. Falta de resguardos adecuados. Pérdida de información por tareas inadecuadas o no autorizadas. Mejoramiento del ﬂujo del proceso de implantación de nuevos sistemas/programas. Reducción de la utilización innecesaria, inadecuada o no autorizada de la capacidad de procesamiento de la organización. Reducción en los costos de mantenimiento en general por la estandarización de muchos parámetros de instalación de plataformas, ya sea por facilitar el control de dichas plataformas, o por disminución de los tiempos de recupero ante incidencias.

6 Servicios Pese a estos beneﬁcios tangenciales que por deﬁciencias operativas podría otorgar la seguridad informática, ésta, como cualquier medida de control en los procesos de negocio de una organización debe ser tomada como un gasto directo y como tal, debe ser de la mayor calidad posible a fin de no tener que repetirlo o mejorarlos sucesivamente. A su vez debe guardar una relación proporcional al valor de lo que se desea controlar e implantado de la manera más eficiente posible ya que debe ser objetivo de toda organización la maximización de la eficiencia operativa para el mantenimiento de su competitividad en el mercado. Gap Analysis (diagnósticos). Identity management. Seguridad de la infraestructura. Sistemas operativos. Aplicaciones (puede o no incluir pruebas). Bases de datos. Comunicaciones. Políticas. Plan de recuperación ante desastres (DRP/DCP). Escaneo de vulnerabilidades. Implementación de recomendaciones. ARP Disaster Recovery Planning. Pruebas de intrusión (externo y/o interno). Desarrollo del Plan Estratégico de Seguridad. Desarrollo y/o Implementación del Modelo de Seguridad (IT Security Governance). Cybercrime / Análisis Forense / e-discovery. Software Legal. PKI (Public Key Infrastructure). QA (Quality Assurance). SGSI (Sistema de Gestión de Sistemas de Información). Outsoursing de la Administración de la Seguridad. Desarrollo de infraestructura de seguridad. Administración de Riesgos en Procesos. Todo cambio en los procesos organizacional, generalmente producidos por implementación de sistemas core, trae aparejado potenciales riesgos a la empresa. Adicionalmente, en cualquiera de los procesos o sub procesos de las empresas se pueden evidenciar riesgos que son inherentes a la propia operatoria cotidiana, sin ser éstos riesgos visualizados por los funcionarios debido a su cotidianeidad. Estos procesos están muy relacionados con las tareas recurrentes que realizan las personas, en sus tareas diarias, y a fallas de diseño en los procesos de las empresas. ARO Gap Analysis (diagnóstico). Reingeniería de procesos. Implementación de Recomendaciones. Desarrollo de Procedimientos/Manuales. Informes de Opinión. Desarrollo de Pruebas. QA (Quality Assurance). Riesgos de Fraudes en Tarjetas (débito y crédito). Administración de Riesgos en Operaciones. El riesgo operacional es el que se materializa en pérdidas resultantes de la inadecuación o fallas en los procesos, las personas o por eventos externos. El hecho novedoso que surge a partir del enfoque propuesto por Basilea II es el de medir las pérdidas ocasionadas por la explotación de éstos riesgos y requerir capital para afrontarlos. La administración de riesgos operativos se focaliza en dos aspectos claves: la integridad de los procesos de negocios y la habilidad de mantener el delivery en forma consistente y oportuna. Ayudamos a nuestros clientes a establecer marcos efectivos de administración de riesgos operativos a través de los siguientes servicios: Revisiones de los procesos de administración de riesgos operativos. Evaluaciones de riesgos operativos. Diseño e implantación de un marco para la administración de riesgos operativos. Asistencia en la administración de riesgos en proceso de cambio: Revisiones de los procesos de administración de riesgos operativos - A través de las mismas ayudamos a nuestros clientes a determinar si la función y procesos existentes para la administración de riesgos operativos, y el nivel de concientización de la organización respecto al riesgo, son adecuados.

7 Servicios Evaluaciones de riesgos operativos - Llevamos a cabo evaluaciones de los procesos clave para identificar y evaluar los riesgos que afectan los recursos críticos de los mismos, determinar las medidas de reducción de dichos riesgos, y formular recomendaciones y eventualmente brindar asistencia para la implantación de las mismas. Diseño e implantación de un marco para la administración de riesgos operativos - Ayudamos a nuestros clientes en el diseño e implantación de la función para administrar riesgos operativos (framework, estructura, procedimientos, indicadores, y herramientas), incluyendo el desarrollo de modelos de risk capital allocation. Asistencia en la administración de riesgos en proceso de cambio - Ayudamos a nuestros clientes a administrar mejor grandes procesos de cambio: Outsourcing. Implantación de Sistemas. Reorganizaciones. Gap Analysis (diagnóstico). Plan de Continuidad del Negocio (BCP). Desarrollo Business Continuity Planning. ARC Desarrollo de Disaster Recovery Planning. QA (Quality Assurance). Administración de Riesgos de Cumplimiento. El cumplimiento comienza en la cima de la Pirámide Organizacional. Este será mucho más efectivo en una cultura organizacional que enfatiza estándares de honestidad e integridad y en la que el Directorio y la alta dirección lideran con su ejemplo. Involucra a todos dentro de la empresa y debe verse como parte integral de las actividades de negocio. Una empresa debe someterse a normas del alto nivel cuando está realizando sus actividades, y en todo momento debe esforzarse por observar el espíritu así como la letra de la ley. La falta de considerar el impacto de sus acciones en sus accionistas, clientes, empleados y en los mercados, puede resultar en significativa publicidad adversa y daño reputacional, aún cuando no se haya violado ninguna ley. La expresión riesgo de cumplimiento es definida como el riesgo de sanciones legales o normativas, pérdida financiera material, o pérdida de reputación que una empresa puede sufrir como resultado de incumplir con las leyes, regulaciones, normas, estándares de auto-regulación de la organización, y códigos de conducta aplicables a sus actividades. Las leyes, reglas y normas de cumplimiento tienen varias fuentes, que incluyen legislación primaria, reglas y normas emitidas por legisladores y supervisores, convenciones de mercado, códigos de prácticas promovidos por asociaciones de la industria y códigos internos de conducta aplicables a funcionarios de la empresa. Por las razones previamente mencionadas, éstas pueden ir más allá de lo que es legalmente vinculante y abarcar normas más amplias de integridad y conducta ética. Comunicación A 4609 B.C.R.A. ISO y familia (27001/2/3/4/5/6.) SOX (Sarbanes Oxley). Ley Protección de Datos Personales CoBIT (Control Objectives for Information and related Technology). Basilea II. Itil (Information Technology Infrastructure Library). Gap Analysis. (Habeas Data). AI Auditoría Interna de Procesos / Sistemas / Operativa. La tecnología y los cambios en los procesos desactualizados generan deficiencias en los esquemas de control de los sistemas de información. Los clásicos enfoques de auditoría no son suficientes para evitar daños en la información. En los distintos sistemas se pueden realizar peritajes para comprobar el correcto funcionamiento de los mismos, por ende la auditoría debe ser ejercida sobre procesos administrativos y computacionales.

8 Servicios PRM Administración de Riesgos de Proyectos. Todos los proyectos y negocios, sin excepción alguna, tienen implícitos algún tipo de riesgo. Esto es válido tanto para los pequeños proyectos o para proyectos millonarios. En los últimos años se llevaron a cabo proyectos que terminaron costando más del doble de lo presupuestado, abrieron un par de años más tarde de lo previsto, no cumplieron con los objetivos esperados o terminaron con resultados negativos, entre otras cosas. Como consecuencia de estos fracasos, las empresas, los gobiernos, los inversores y prestamistas se han vuelto extremadamente reacios a aceptar riesgos o participar en este tipo de emprendimientos. Se pueden eliminar todos los riesgos? La causa del fracaso de estos proyectos no tiene relación con el tamaño de los mismos. Las consecuencias de una falla o fracaso en los proyectos pequeños pueden ser insigniﬁcantes en comparación con los costos catastróficos de un gran proyecto. En la práctica, es imposible evitar todos los riesgos asociados a un proyecto. A lo sumo, estos riesgos pueden reducirse aplicando técnicas eficientes de administración de riesgos o pueden transferirse en parte como en el caso particular de los seguros o la tercerización de servicios. Todo proyecto tiene riesgos. Sin embargo, por más que el riesgo se reduzca o se transfiera siempre seguirán existiendo riesgos residuales inevitables. Minimización de riesgos. La clave del éxito en los proyectos no consiste en ignorar los riesgos o estar plenamente pendientes de ellos, sino en analizarlos y controlarlos de manera efectiva. Una de las mayores ventajas del análisis y control del riesgo es que permite descubrir oportunidades de proyectos que de otra forma no se llevarían a cabo por ser considerados, a priori, demasiado riesgosos. Además, una eficiente administración del riesgo permitirá minimizar los peligros adversos dentro de los límites prácticos y económicos permitidos. Por ejemplo, si en el análisis de riesgo se detecta que un posible corte de luz puede disminuir significativamente las ventas de una empresa, puede justificarse la compra de un equipo electrógeno para utilizar en caso de emergencia. QA (Quality Assurance). CMR Gap Analysis. Seminarios, Capacitación y Culturización en Administración y Mitigación de Riesgos En los tiempos de hoy, el tema de la capacitación y mantenerse informado tiene un papel importante, ya sea por la adquisición de conocimientos nuevos o para la ampliación de conocimientos ya adquiridos. La capacitación puede ser tomada a través de cursos, talleres o seminarios, con las más modernas técnicas de aprendizaje. Cualquier empresa en el mundo está compuesta por Personas, las cuales poseen: Ideas. Conceptos. Procesos a ejecutar. Datos. La conjunción de estos elementos genera lo que se denomina INFORMACIÓN. Por tanto, que la Empresa tenga un alto nivel de Seguridad es una cuestión de subsistencia para la misma. Todas las Empresas quieren ser líderes en su segmento, por lo tanto el resguardo del CAPITAL INTELECTUAL debe ser prioritario. La amenaza mayor en la Seguridad es la carencia de apreciación para serias amenazas que usualmente existen. EDUCACIÓN y CONCIENCIA son esenciales. Todo empleado o funcionario de una Empresa debe comprender que soportar y mantener la seguridad es una RESPONSABILIDAD de todos. Para lograr que en una Empresa se implanten medidas de seguridad y controles, se requiere trabajar en lo más profundo de ellas, es decir, en la CONCIENCIA COLECTIVA y en la CONCIENCIA INDIVIDUAL de los que la componen. Adicionalmente, la evolución en la tecnología y la utilización cada vez mayor de esta en los procesos no viene sola, sino que tiene repercusión en lo cultural, en lo económico y en lo social.