Boletín de Asesoría Gerencial Gestión de Riesgo Operacional

Transcripción

1 Espiñeira, Sheldon y Asociados No

2 Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección 4 Introducción 4 Marco de 4 Etapas de Desarrollo de un Marco de Gestión de Riesgo Operacional 4 Beneficios y limitaciones de la implantación de un Marco de 4 Estrategias de implantación del Marco de Gestión de Riesgo Operacional 4 Créditos / Suscribirse

3 Introducción Mientras muchas compañías están estableciendo políticas y procedimientos para sus procesos de control interno contable, pocas compañías tienen un marco integrado de gestión del riesgo operacional. Este artículo presenta una guía para desarrollar una Gestión del Riesgo Operacional en compañías, incluyendo la estrategia para la definición de la estructura organizativa, los roles y responsabilidades del personal involucrado, las políticas, procedimientos, procesos, herramientas y mediciones del riesgo operacional. Asimismo, destaca los beneficios y limitaciones de esta nueva tendencia que ha traído consigo un proceso de transformación de este tipo de riesgos. Operacional Las grandes pérdidas sufridas por fallas operacionales en los procesos administrativos de las compañías, durante los últimos años, y los cambios ocasionados por la presencia de factores externos como la globalización y competencia, incremento de regulaciones y presiones sobre la ética y conducta del personal, así como por factores internos, tales como: automatización de procesos, recursos humanos, plataforma tecnológica, entre otros, ha llevado a la compañías a tener mayor conciencia sobre la importancia del riesgo operacional y ha incrementado su interés por la mejora de los sistemas de control interno. La empresa venezolana no ha sido ajena a tales cambios ni al efecto negativo del riesgo operacional en los costos de operatividad, en los ingresos y en la reputación de las organizaciones. Motivado a la situación planteada, las compañías se han visto en la necesidad de definir e implantar un Marco de administrativo que englobe las estrategias de gestión, los procesos para identificar, evaluar, mitigar, monitorear y comunicar el riesgo operacional, la infraestructura y la relación con su entorno, tal como se muestra en la Figura Nº 1. Para visualizar la Figura N o 1 haga click en el icono. Figura Nº 1: Marco de

4 Operacional (continuación) Etapas de Desarrollo de un Marco de Es importante destacar que en el desarrollo de las etapas preliminares para la instauración del Marco de, las compañías han comenzado un proceso interno de concientización, de definición formal del riesgo operacional y de planificación de la creación de una unidad responsable de su gestión, independiente de las unidades de negocio y apoyo, todo ello con el objetivo principal de lograr una disminución de las pérdidas operacionales y los posibles daños a la reputación de la organización. A continuación se presentan las principales etapas propuestas por PricewaterhouseCoopers para el desarrollo e implantación de un Marco de Gestión de Riesgo Operacional, además se analiza el estado actual de las empresas respecto al Marco de, así como los grandes retos a afrontar. Cambio Cultural La cultura de riesgo y control, acompañada de acciones sobre los valores corporativos y la ética en los negocios, es la base donde reposa la estructura de gestión integral de riesgo. La cultura de riesgo es el conjunto de actitudes compartidas, valores y prácticas que caracterizan cómo la entidad enfrenta el riesgo en el día a día. La cultura de control implica como son vistos colectivamente los controles para mitigar los riesgos. La introducción de una cultura de riesgo y control constituye uno de los retos para la correcta implantación de un marco de gestión de riesgo operacional, ya que todo el personal debe tener la disposición de hacer que sus acciones y decisiones se enmarquen en un conocimiento de riesgo y control homogéneo.

5 Etapas de Desarrollo de un Marco de (cont.) Crear culturas organizativas con climas éticos, donde su principal capital, su gente, actué con ética, es fundamental; justamente porque la cohesión en torno a los valores éticos ayudará a afrontar las presiones y tensiones del personal, los eventos de riesgos, y permitirá ver los controles, no como alcabalas, sino como medios para proteger y minimizar el impacto negativo de los riesgos en el patrimonio. En la medida que el recurso humano de la organización asuma una actitud acorde y cónsona con los valores de la compañía y el conocimiento de riesgo, entonces las organizaciones se aproximarán a tener su propia identidad y una cultura de riesgo positiva. Otros de los retos es la coordinación entre las unidades, dada la amplitud del alcance del riesgo operacional, así como la necesidad de cambiar y crear nuevos circuitos de información dentro de la empresa. En este orden de ideas, conviene recalcar la importancia que tiene la Junta Directiva y la Alta Gerencia en el impulso de la concientización de la compañía en materia de riesgo operacional y en su traducción en iniciativas visibles como la creación de una función de riesgo operacional o la ampliación de la unidad de auditoría interna o control de pérdidas, la asignación de recursos técnicos y humanos y el establecimiento de políticas y procedimientos de gestión de riesgo operacional. Modelo Organizativo A nivel organizativo, la tendencia indica que las organizaciones planificarán la creación de una unidad independiente responsable de la gestión del riesgo operacional. Cabe destacar la participación activa de la unidad de Auditoría Interna en los procesos de gestión, área que suele ser la propulsora de este tipo de iniciativas. El modelo organizativo propuesto por PricewaterhouseCoopers presenta un doble nivel de responsabilidad: por un lado, una unidad centralizada de Riesgo Operacional, encargada de la definición de un marco de gestión; por el otro, la identificación de representantes en las unidades de negocio y de apoyo, que serán los delegados del riesgo operacional.

6 Etapas de Desarrollo de un Marco de (cont.) Perfil de Riesgo Operacional El perfil de riesgo operacional constituye uno de los pasos fundamentales para la gestión del Riesgo Operacional y consiste en entender la naturaleza de los principales riesgos operativos que enfrenta la organización y las medidas que ha adoptado en respuesta a esos riesgos, mediante una visión global de la situación actual. Para obtener la visión global y el perfil de riesgo operacional, se requiere la aplicación de un enfoque Top-Down en la identificación de riesgos, el cual permite determinar aquellos eventos, tanto de origen interno como externo, que pueden generar riesgos e impactar el logro de los objetivos de negocio, así como también las posibles oportunidades que se presenten en el estudio. Por tal razón, es necesario seleccionar adecuadamente los objetivos estratégicos de negocio que serán considerados en la determinación del perfil de riesgo operacional; por lo general, están definidos en el Plan Estratégico y/o Presupuesto. El número exacto, tipo y naturaleza de los objetivos puede variar de una organización a otra; por ejemplo, en algunas organizaciones se pudieran considerar apropiado entre 5 y 10 objetivos de negocio. No obstante, para un mejor análisis de los riesgos que pueden impactar el cumplimiento de los objetivos, es fundamental que los objetivos de la organización sean medibles y estén establecidos a nivel corporativo. Por otra parte, el perfil de riesgo operacional puede ser desarrollado en diferentes niveles de la organización, por ejemplo: a nivel corporativo - en toda la organización, en sus cadenas de valor o macro-procesos relevantes para el negocio -, o a nivel detallado - dentro de unidades de negocios y/o de apoyo específicas, o en operaciones particulares de una localidad, entidad o empresa de la organización -. En caso de requerirse análisis de riesgos a nivel detallado, se recomienda aplicar el enfoque Bottom-Up en los procesos de la compañía, detectando por cada uno de ellos, los riesgos operacionales y los controles existentes.

7 Etapas de Desarrollo de un Marco de (cont.) Herramientas La siguiente etapa consiste en desarrollar e implantar las herramientas para la gestión cualitativa-cuantitativa del riesgo operacional. En este ámbito, el nivel de utilización de herramientas como mapas de procesos y riesgos, indicadores de riesgo, alertas, bases de datos de pérdidas y, sobre todo, de auto-evaluaciones, pone de manifiesto el estado inicial de desarrollo de la gestión del riesgo operacional. Es alentador observar el hecho de que la mayoría de las compañías están en el proceso de desarrollo de una o más herramientas. Una vez que se ha procedido a la implantación de estas herramientas, es preciso avanzar en la interrelación y en el contraste de la consistencia de sus resultados, teniendo en cuenta que éstas proporcionan información de base para la toma de decisiones de gestión. Bases de Datos de Pérdidas Un elemento fundamental para poder pasar hacia un enfoque de gestión cuantitativo es la creación de una base de datos de pérdidas operacionales. Este paso representa uno de los mayores retos a los cuales se enfrentan las organizaciones, ya que una vez finalizada la construcción de las bases de datos, se puede abordar el desarrollo de modelos de cuantificación (estadísticos - probabilísticos) del riesgo operacional, que permiten realizar estimaciones de las pérdidas esperadas en un horizonte de tiempo. Integración Para poder completar el marco de gestión de riesgo operacional, se debe lograr una integración de los aspectos cualitativos y cuantitativos. Esto implica el diseño y establecimiento de relaciones entre los datos recopilados, los indicadores, los mapas de riesgos y controles y las mediciones de capital. Este enfoque debe ser dinámico y decantar en el establecimiento de un plan de acciones correctivas para afrontar las debilidades detectadas.

8 Contenido Cerrar Imprimir Página anterior Página siguiente Beneficios y limitaciones de la implantación de un Marco de Gestión de Riesgo Operacional Al contar con un adecuado Marco de Gestión de Riesgo Operacional, alineado a las mejores prácticas y a las necesidades del negocio, las empresas podrán aprovechar proactivamente las oportunidades de la gestión de riesgo, convirtiéndola en beneficios presentes y futuros, los cuales se mencionan a continuación: Lograr una efectiva relación entre los objetivos estratégicos de la compañía, los riesgos y el capital. Crear una cultura de riesgo y compromiso en todos los niveles de la organización, concerniente a la gestión diaria del riesgo. Prevenir pérdidas e incrementar el valor de los accionistas, mediante el análisis explícito de las causas de pérdidas y fallas operacionales y el correspondiente establecimiento de acciones correctivas. Optimizar la efectividad y eficiencia de las operaciones del negocio, contribuyendo a la reducción de costos y ahorro de capital. Mejorar la toma de decisiones, incluyendo la precisa inversión de recursos y focos de gestión. Responder rápidamente ante nuevas amenazas y oportunidades de mercado, ganando así ventaja competitiva. Cumplir con los requerimientos regulatorios, tanto a nivel nacional como internacional. Un análisis de costo-beneficio riguroso de las medidas mitigantes facilitará una adecuada priorización de los planes de acción. La cuantificación del riesgo operacional dará la oportunidad de optimizar las políticas de seguros de las compañías. Transmitir al mercado, inversionistas, proveedores y clientes una mayor confianza respecto a sus modelos de gestión de riesgo.

9 Contenido Cerrar Imprimir Página anterior Página siguiente Beneficios y limitaciones de la implantación de un Marco de Gestión de Riesgo Operacional (cont.) Por otro lado, entre las limitaciones al momento de implantar el Operacional en las compañías, se encuentran las siguientes: Carencia de una sólida cultura de riesgo y control, que fluya desde la Junta Directiva y la Alta Gerencia, hasta el resto de la organización. Complejidad en la implantación de los procesos de gestión y la determinación del perfil de riesgo en las cadenas de valor / macro-procesos del negocio, por lo que se requiere de personal altamente capacitado en la materia. Lograr que la administración de los riesgos se convierta en un centro de beneficio y no de costos, capaz de incrementar el valor accionario, a pesar de la inversión de tiempo y recursos. Aunque estas limitaciones pueden ser vistas como barreras para la implantación del Marco de Gestión de Riesgo Operacional en las compañías; de ningún modo deben impedir acometer un proyecto de esta índole. Al contrario, deben ser vistas como retos que al ser vencidos permitirán gerenciar los riesgos dentro del apetito definido por la organización, proveyendo así un nivel razonable de seguridad para cumplir los objetivos del negocio. Estrategias de implantación del Operacional A efectos de implantar el Marco de Gestión de Riesgo Operacional que permita minimizar las pérdidas patrimoniales por materialización de los riesgos operacionales y que de esta forma agregue valor tangible a los accionistas, la alta gerencia de las empresas están utilizando las siguientes estrategias: 1. Medición de la cultura de riesgo y control en la organización. 2. Asignación de responsabilidades en el ámbito de la gestión de riesgo operacional.

10 Estrategias de implantación del Operacional (cont.) 3. Definición de políticas corporativas y procedimientos para la gestión de los riesgos operacionales. Todo ello dirigido por la principal unidad responsable de la gestión del riesgo operacional. 4. Identificación, evaluación, mitigación y seguimiento de los riesgos operacionales en las cadenas de valor/ procesos clave, por ejemplo: inventario, ventas, tiendas, cuentas por pagar, entre otros. 5. Recolección de pérdidas y preparación para la cuantificación de los riesgos operacionales. A continuación se detallan las estrategias de implantación del Operacional, incorporando elementos prácticos de acuerdo con las mejores prácticas: 1. Medición de la cultura de riesgo y control en la organización La realización de estudios de medición de la cultura de riesgo y control en la organización constituye el primer paso que están dando las empresas para obtener la percepción de su personal en las diferentes áreas, niveles de cargos y localidades, con respecto al ambiente de riesgo y control, en función de los componentes COSO. La aplicación de estos estudios de medición en empresas en Venezuela ha arrojado resultados interesantes sobre la cultura de riesgo. Por ejemplo, la tendencia general del cumplimiento de las compañías en relación con los ocho (8) componentes COSO-ERM-GIR Enterprise Risk Management - Integrated Framework, Gestión Integral de Riesgo, se ubican en la categoría Buena Cultura, a excepción del componente Evaluación de Riesgo que se encuentra en la categoría Precaución. Ver figura Nº 2. Para visualizar la Figura N o 2 3 haga click en el icono. Figura Nº 2: Promedio de mediciones de cultura de riesgo y control realizadas por Espiñeira, Sheldon y Asociados, firma miembro de PricewaterhouseCoopers, a diferentes empresas en Venezuela, en los últimos tres (3) años

11 Contenido Cerrar Imprimir Página anterior Página siguiente Estrategias de implantación del Operacional (cont.) Es importante destacar que la diferencia que separa a las compañías del cumplimiento de las prácticas COSO II-ERM, está representado por respuestas Indiferentes y Desfavorables del personal encuestado, lo que permite inferir deficiencias en la cultura de riesgo y control. A continuación, se menciona un resumen de los aspectos indiferentes y desfavorables más resaltantes en el estudio: Al personal que presenta una conducta profesional impropia no se le aplican sanciones disciplinarias. Los gerentes y supervisores no han logrado una base a partir de la cual se puedan evaluar riesgos y controles de los procesos. Los empleados no poseen adiestramiento especializado sobre aplicaciones del control interno. Los controles existentes en las áreas no son suficientes para controlar el aumento del volumen de transacciones del negocio. Las diferentes áreas no disponen de herramientas adecuadas que ayuden a evaluar y medir el impacto de los riesgos. No reciben información ni listados de los sistemas de información computarizados, en forma oportuna. La gerencia no solicita regularmente una retroalimentación de los clientes internos y externos con el objeto de medir su satisfacción. Las diferentes áreas no hacen seguimiento permanentemente de los indicadores de riesgos y de las situaciones críticas. Los resultados de la medición de la cultura de riesgo y control en las organizaciones conducen a la definición de acciones estratégicas enfocadas en el establecimiento de una cultura de riesgo positiva que siente las bases de un sólido ámbito de control. Asimismo, provee información para identificar áreas más proclives al riesgo, en las cuales se podría iniciar una evaluación de riesgo mas detallada y de forma prioritaria.

12 Estrategias de implantación del Operacional (cont.) 2. Asignación de responsabilidades en el ámbito de la gestión de riesgo operacional La definición de un modelo organizativo es uno de los aspectos clave para la instauración y desarrollo de la gestión del riesgo operacional, lo cual permitirá lograr el establecimiento de un lenguaje homogéneo del riesgo, así como, identificar, medir, monitorear, controlar e informar la exposición de riesgo de la organización. A continuación se presentan los modelos organizativos para la implantación de la función de en las compañías: Creación de una Unidad Funcional de Gestión de Riesgo Operacional, como una función interna con su propio proceso, estructura y metodologías y herramientas, bajo el concepto de ser un centro de beneficios y no de costos, demostrable con la reducción de pérdidas a corto y mediano plazo. Este esquema incluye la conformación de un comité de supervisión de la gestión de riesgo operacional. Redefinición de las funciones de las gerencias encargadas de velar por el control interno en la compañía, generalmente Auditoría Interna o Gerencia de Control, con la finalidad de conocer el ambiente de riesgo y control que rodea a la compañía. La elección del modelo organizativo más adecuado, dependerá de la dimensión y naturaleza del negocio. Independientemente de cual sea el modelo, lo cierto es que debe existir una definición clara de las funciones, cargos y responsabilidades de la unidad encargada de la gestión del riesgo operacional, su personal adscrito y su entorno organizacional.

13 Estrategias de implantación del Operacional (cont.) Los roles y responsabilidades de los principales actores del modelo de gestión de riesgo operacional se describen a continuación: Junta Directiva Asegurar el establecimiento de la estrategia de gestión de riesgo operacional y su alineación con los objetivos de negocio y el apetito de riesgo. Aprobar las políticas, procedimientos, metodologías (cualitativas - cuantitativas) y límites de riesgos operacionales propuestas por el Comité de Riesgo Operacional. Monitorear los cambios en el perfil de riesgo y su impacto en los objetivos estratégicos del negocio. Monitorear el funcionamiento continuo de los procesos de gestión de riesgo reportados por el Comité de Riesgo Operacional. Gerencia General Supervisar globalmente que los riesgos operacionales no sobrepasen los niveles de tolerancia de la Compañía. Monitorear el perfil de riesgo de la Compañía y asegurar que los riesgos sean adecuadamente controlados. Velar por el establecimiento de un marco de gestión de riesgo operacional acorde con los lineamientos de la Compañía, donde se garantice la identificación, evaluación, medición, mitigación y monitoreo de los riesgos operacionales. Asegurar que los requisitos sistemáticos, prácticos y culturales estén establecidos para la gestión de los riesgos operacionales, a los cuales se expone la Compañía.

14 Estrategias de implantación del Operacional (cont.) Comité de Riesgo Operacional Mantener la visión y el compromiso para una gestión efectiva del riesgo operacional. Revisar el perfil de riesgo de alto nivel y los indicadores clave de riesgos. Informar a la Gerencia General y Junta Directiva sobre la eficiencia de los sistemas de administración y mitigación del riesgo operacional. Revisar los cambios en las estrategias, políticas y procedimientos de gestión del riesgo operacional en la Compañía. Revisar las modificaciones al Marco de, cuando se presenten cambios externos o internos que impacten al modelo de gestión instaurado. Asegurar que los roles y responsabilidades, en cuanto a la gestión de los riesgos operacionales, estén claramente comunicados y entendidos en las diferentes áreas y niveles de cargo de la Compañía. Asegurar que las políticas y los procedimientos para identificar, evaluar, mitigar, monitorear y comunicar los riesgos operacionales, sean implantados de forma consistente y homogénea en toda la Compañía. Monitorear los eventos de pérdidas significativos y evaluar su impacto. Monitorear el funcionamiento del plan de contingencia del negocio. Garantizar el establecimiento de una cultura de riesgo operacional positiva y un sólido ambiente de control.

15 Estrategias de implantación del Operacional (cont.) Unidad de Proponer las políticas y estrategias de gestión de riesgo operacional. Proponer los roles y el nivel de responsabilidad de cada ente involucrado en la gestión de los riesgos operacionales en la Compañía. Proveer metodologías y procedimientos para la identificación, evaluación, mitigación, seguimiento y comunicación de los riesgos operacionales de la Compañía. Determinar los recursos, herramientas y sistemas de información necesarios para la adecuada gestión del riesgo operacional. Promover las acciones para fortalecer la cultura de riesgo y el ambiente de control interno en la compañía. Aportar recomendaciones prácticas para el mejoramiento de la gestión del riesgo operacional al Comité de Riesgo Operacional. Apoyar a las unidades de negocio y apoyo en la implantación de los procesos de gestión de los riesgos operacionales. Velar por el seguimiento a los incidentes de riesgo operacional y la implantación de acciones de mitigación en las unidades de negocio y de apoyo. Asegurar niveles aceptables de exposición de riesgo operacional, de conformidad con los límites fijados por el Comité de Riesgo Operacional. Desarrollar modelos de cuantificación de pérdidas operacionales históricas e indicadores de riesgo operacional.

16 Contenido Cerrar Imprimir Página anterior Página siguiente Estrategias de implantación del Operacional (cont.) Comunicarse regularmente con los Delegados de Riesgo Operacional, a fin de garantizar la aplicación consistente de la metodología y procedimientos de gestión de riesgos operacionales. Asegurar que las actividades de gestión de los riesgos operacionales sean conducidas por personal calificado con la experiencia necesaria, las capacidades técnicas y el acceso a los recursos adecuados. Proveer adiestramiento y capacitación, en materia de riesgo operacional, a los gerentes de áreas, delegados de riesgo operacional y personal de apoyo, directamente relacionado con la gestión de los riesgos operacionales, de forma continua. Asegurar la calidad y funcionamiento del plan de recuperación y continuidad del negocio. Unidades de Negocio y Apoyo Cumplir las políticas y procedimientos, aprobados para la gestión de los riesgos operacionales, en los procesos y actividades de sus departamentos. Coordinar y realizar seguimientos periódicos al esquema de control del riesgo operacional. Identificar, evaluar, mitigar y monitorear los riesgos operacionales inherentes a sus departamentos. Comunicar de forma proactiva, cualquier exposición de riesgo operacional o incidente de riesgo ocurrido en su departamento. Participar en la definición e implantación de las acciones correctivas de los riesgos. Designar los delegados de riesgo operacional necesarios en cada unidad. Asegurar la inclusión de aspectos relacionados con el adecuado manejo de los riesgos operacionales en las evaluaciones de desempeño del personal.

17 Estrategias de implantación del Operacional (cont.) Implementar las acciones mitigantes para cada uno de los riesgos operacionales identificados, de acuerdo con las prioridades establecidas. Asegurar la eficacia del control interno en relación con el manejo de los riesgos de su unidad. Realizar auto-evaluaciones de riesgo operacional periódicamente. Actualizar recurrentemente las bases de datos históricas de riesgos operacionales. Contribuir en el diseño, obtención y seguimiento de los indicadores de riesgo y la cuantificación de riesgos operacionales. Delegado de Riesgo Operacional Las unidades de negocio y apoyo en conjunto con la Unidad de podrán designar Delegados de Riesgo Operacional en los diferentes departamentos de la Compañía, con las siguientes funciones: Apoyar a su unidad funcional en el proceso de identificación de riesgos operacionales y evaluación de su impacto y frecuencia de ocurrencia. Colaborar en la definición e implantación de planes de acción para mitigar los riesgos operacionales de su unidad funcional. Definir y proponer indicadores de riesgo operacional, así como la fijación de los límites de tolerancia. Monitorear la implantación de los planes de acción e indicadores de riesgo operacional. Reportar los incidentes o eventos de pérdidas a la Unidad de. Apoyar a la Unidad de Riesgo Operacional en los procesos de recolección de eventos de pérdidas, asegurando el seguimiento de dichos eventos en términos de causa, efecto y medida de mitigación.

18 Estrategias de implantación del Operacional (cont.) Comunicar de forma proactiva a la Unidad de el manejo oportuno y eficaz de los incidentes y vulnerabilidades de riesgo operacional, así como la necesidad de desarrollar y/o utilizar técnicas óptimas en el control de los riesgos operacionales. Auditoría Interna Revisar el cumplimiento de las políticas y procedimientos de gestión de riesgo operacional, por parte de las unidades de negocio y apoyo. Elaborar o adaptar los programas de auditoría para incluir en sus revisiones aspectos relacionados con la gestión de riesgo operacional. Revisar los procesos de administración de riesgo operacional, tanto en su diseño como en sus funciones. Incluir dentro de las revisiones de auditoría aquellas áreas o procesos prioritarios, de acuerdo con los resultados de las evaluaciones de riesgo operacional. Realizar pruebas de efectividad de los controles asociados a los riesgos operacionales identificados por las unidades de negocio y apoyo. Proveer opinión independiente a la Junta Directiva y al Comité Ejecutivo, sobre la efectividad de la gestión de riesgo. 3. Definición de políticas corporativas y procedimientos para la gestión del riesgo operacional El objetivo general de las políticas de gestión de riesgo operacional es definir, promover e implementar un conjunto de políticas y procedimientos, consistente con las metas y los objetivos estratégicos de la compañía, que eviten la erosión del patrimonio ocasionado por pérdidas operacionales. De esta manera se salvaguarda el patrimonio de la Compañía mientras se permite suficiente libertad operativa para lograr resultados satisfactorios para los accionistas.

19 Estrategias de implantación del Operacional (cont.) El desarrollo de las políticas de gestión de riesgo operacional permitirá manejar eficientemente los riesgos operacionales, dentro de la Compañía, apoyando a la Gerencia en la toma de decisiones, considerando niveles aceptables de exposición a dichos riesgos. Los objetivos específicos de las políticas de gestión de riesgo operacional son: Definir el marco conceptual para gestionar el riesgo operacional, principalmente en cuanto a: conceptos, categorías y subcategorías del riesgo, causas, efectos e impacto del riesgo en el patrimonio de la Compañía y el modelo de gestión. Definir los lineamientos para identificar, evaluar, mitigar y controlar los riesgos operacionales. Establecer las principales actividades y funciones para la gestión de riesgo operacional. Definir los elementos estratégicos del proceso de gestión de riesgo operacional. Un ejemplo de las políticas en el ámbito de la gestión de riesgo operacional se muestra a continuación: La Junta Directiva, la Alta Gerencia y todos los niveles del personal, deberán entender y cumplir con sus responsabilidades en relación con la gestión del riesgo operacional. La Junta Directiva deberá aprobar la implementación de un esquema para gestionar los riesgos operacionales para la seguridad y solidez de la Compañía. Este esquema debe proporcionar una definición del riesgo operacional y establecer los principios para asegurar la identificación, evaluación, mitigación, seguimiento y comunicación del referido riesgo. Todo el personal es responsable de estar plenamente familiarizado con el marco de gestión de riesgo operacional de la Compañía, así como también tendrá un rol delegado en el cumplimiento de las políticas, normas y procedimientos definidas en este ámbito.

20 Si desea suscribirse haga click en la barra El Boletín Asesoría Gerencial es publicado por la Línea de Servicios de Asesoría Gerencial (Advisory) de Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers. El presente boletín es de carácter informativo y no expresa opinión de la Firma. Si bien se han tomado todas las precauciones del caso en la preparación de este material, Espiñeira, Sheldon y Asociados no asume ninguna responsabilidad por errores u omisiones; tampoco asume ninguna responsabilidad por daños y perjuicios resultantes del uso de la información contenida en el presente documento. Todas las marcas mencionadas son propiedad de sus respectivos dueños. PricewaterhouseCoopers niega cualquier derecho sobre estas marcas Editado por Espiñeira, Sheldon y Asociados Depósito Legal pp CS141 Teléfono master: (58-212) Espiñeira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se refiere a la firma venezolana Espiñeira, Sheldon y Asociados, o según el contexto, a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. RIF: J

21 Figura Nº 1: Marco de Objetivos estratégicos y apetito de riesgo Estrategia de Gestión de Riesgo de Operacional (GRO) Generación de Valor Perfil de Riesgo de alto nivel Políticas y estrategia de gestión de riesgos Comunicar y monitorear RO Herramientas GRO Organización GRO Identificación RO Evaluación RO Mitigación RO Procedimientos GRO Socios Accionistas Metodología GRO Competidores Cultura de riesgo y control Sistema de Información GRO Clientes Infraestructura GRO Sociedad y Regulaciones Entorno

22 Figura Nº 2: Promedio de mediciones de cultura de riesgo y control Coso II - ERM - GIR Fuerte Bueno Promedio Sector Retail Precaución 0.0 Ambiente de Control Establecimiento Identificación de Objetivos de Eventos Evaluación de Riesgos Respuesta al Riesgo Actividades de Control Información y Comunicación Monitoreo Revisión sugerida Realizadas por Espiñeira, Sheldon y Asociados, firma miembro de PricewaterhouseCoopers, a diferentes empresas en Venezuela, en los últimos tres (3) años