Gestión de Riesgos Corporativos: Apetito de Riesgos

Transcripción

2 INTRODUCCION Revisión de Fundamentos y Marco del Programa de ERM en una Empresa, presenta los siguientes objetivos: Identificación de Sponsors o Campeones del ERM y el personal clave. Una evaluación del tono en lo alto del gobierno corporativo en la entidad, evaluación de materialidad y apetito de riesgos. Desarrollo de un lenguaje común de riesgos en la Empresa. Desarrollo de un plan de comunicación sobre riesgos en la Empresa. Evaluación de responsabilidades.

3 MODELO DE MADUREZ- GESTION DE RIESGOS Cuán robusto es el marco de gestión del riesgo en una Empresa? y Cómo puede la empresa generar valor mediante la implementación de fuertes prácticas de gestión de riesgos? " En respuesta a las necesidades de un número creciente de clientes que expresaban preocupaciones como los anteriores, McGladrey (RSM USA) ha desarrollado el Modelo de madurez de Riesgos, una herramienta de diagnóstico innovadora que permite a los gestores de riesgos y líderes financieros de manera eficiente auto-evaluar el riesgo de sus organizaciones, de sus marcos de gestión, recibir retroalimentación inmediata y sugerencias para la promoción de sus capacidades. La madurez de Riesgos evalúa objetivamente las prácticas y estructuras observables relacionadas con el gobierno corporativo, la toma de decisiones de gestión los procesos y la gestión de riesgos. Esta herramienta es mejor frente a encuestas y recursos similares de carácter más subjetivo y otros instrumentos de referencia con recomendaciones prácticas para la mejora. Permite a los directivos de la empresa conocer Dónde se encuentra? A dónde quieren llegar? Qué pasos concretos se tienen que dar para madurar al nivel escogido?

4 MODELO DE MADUREZ- GESTION DE RIESGOS Define 5 niveles de Madurez Nivel 1 (mas bajo) Inicial o Tradicional componentes y actividades asociadas son muy limitadas en su alcance y pueden ser implementados sobre una base ad-hoc para abordar riesgos específicos requeridos por la organización. Nivel 2 Conciencia o básico Capacidades limitadas de identificar, evaluar, gestionar y vigilar los riesgos en general. Nivel 3 Monitoreo o Definido Capacidad suficiente para identificar, medir, gestionar, informar y monitorear riesgos importantes; asimismo, políticas y técnicas se definen y utilizan (quizás inconsistentemente) en toda la organización. Nivel 4 Cuantifica o Predice (Operacional) Capacidad constante para identificar, medir, gestionar, informar y vigilar los riesgos; y consistente aplicación de políticas y técnicas a través de la organización. Nivel 5 Integrado o Avanzado Capacidad bien desarrollada para identificar, medir, gestionar y controlar los riesgos en la organización; se genera un proceso dinámico y capaz de adaptarse a los cambios en el riesgo y la variación los ciclos económicos; consideración explicita del riesgo y gestion del riesgo en las decisiones de gestion.

5 MODELO DE MADUREZ- GESTION DE RIESGOS Evalúa 10 Competencias Corporativas Función de Administración de Riesgos Estructura Organizativa Personal Políticas y procedimientos Mapeo de procesos y mejora continúa Modelos de Riesgos Sistemas y bases de datos Apetito de riesgos Comunicación Monitoreo del Riesgo Aceptación de riesgos por la gerencia Cultura

6 MODELO DE MADUREZ- GESTION DE RIESGOS Evalúa 10 Competencias Corporativas Función de Administración de Riesgos : Manuales, políticas y plan anual de trabajo. Estructura Organizativa: Organigrama, Manuales, reglamento de comité de riesgos. Personal: Hojas de vida, organigrama, descripción de funciones, plan de capacitación. Políticas y procedimientos: políticas de riesgos, metodologías usadas, reportes, documentación de reuniones, actas de comités. Mapeo de procesos y mejora continúa: Mapa de procesos, informes, plan de trabajo anual, actas de reuniones. Modelos de Riesgos: objetivos institucionales, plan estratégico, modelo de riesgos utilizados y formalizados, reportes. Sistemas y bases de datos: herramientas automatizadas, bases de datos para modular riesgos, manuales, políticas y procedimientos. Apetito de riesgos: política y procedimientos, reglamentos, manuales, reportes. Comunicación: reportes, reglamentos, sistemas, actas de reuniones. Monitoreo del Riesgo: indicadores, reportes, actas de reuniones. Aceptación de riesgos por la gerencia: políticas y procedimientos, manuales, actas de reuniones. Cultura: detalle de cursos de riesgos a personal de la empresa, manuales, actas de reuniones, sistemas, magazines, reportes.

7 RIESGO CORPORATIVO- McGladrey Escalamiento en Madurez de Gestión de Riesgos (ejemplo) SISTEMAS Y BASE DE DATOS APETITO DE RIESGOS COMUNICACION MONITOREO DEL RIESGO ACEPTACIÓN DE LOS RIESGOS POR LA GERENCIA CULTURA Integrado (5) La gestión de riesgos esta integrada a los sistemas de la entidad y se modelan riesgos con una base de datos robusta. El Consejo monitorea el apetito de riesgos y la tolerancia al riesgo. La administración incorpora el apetito en todas sus decisiones. Grupos de interés claves perciben la calidad y valor de los reportes de riesgos; los indicadores de riesgos son entendidos y monitoreados El monitoreo es autoreportado por la gerencia con la revisión del Comité de Riesgos; Riesgos facilita la remediación según sea necesario Hay una clara definición del nivel de riesgo que puede ser asumido sin que sea necesario aplicar un protocolo de escalamiento Se requiere un entrenamiento anual para fortalecer los conceptos riesgos y certificación de Modelos Realización de la Propuesta de Valor Cuantifica y predice (4) La gestión de riesgos se empieza a integrar con los otros sistemas de la entidad. Se empieza a generar modelos con la base de datos. El Comité de Riesgos monitorea el apetito de riesgos y la tolerancia al riesgo, y la entidad los incorpora en los procedimientos. La calidad de los reportes es un tema de atención clave de Riesgos; indicadores de riesgos son sometidos a feedback El monitoreo se apoya en herramientas automatizados; se usan informes de variación para gestionar la resolución de problemas La aceptación de riesgos es gestionada por el Consejo y la Gerencia; se aplica un enfoque colaborativo para la resolución Revisión anual respecto al cumplimiento del modelo de riesgos y capacitación permanente al perosnal. Monitoreo (3) La gestión de riesgos se realiza con herramientas automatizadas limitadas, se inicia la documentación de la base de datos. El Consejo aprueba el apetito de riesgos y la tolerancia al riesgo, y se inicia su inclusión en los procedimientos de la entidad Los reportes e indicadores de riesgos han sido coordinados con los usuarios y se encuentran en la fase de ajustes. Las políticas y procedimientos define un protocolo para el monitoreo, incluyendo el reporte a la gerencia y al Comité de Riesgos Las políticas y procedimientos define un protocolo para el escalamiento; el proceso es claramente entendido por Riesgos y la gerencia El requerimiento de cumplir con el Modelo de Riesgos está definido en las políticas y procedimientos Conciencia (2) La gestión de riesgos se realiza con herramientas semi automatizadas para todos los proyectos, se inicia el diseño de una base de datos. Se ha definido el apetito de riesgos de manera limitada; pero no se delega operativamente de manera formal en la entidad Se preparan reportes e indicadores desde un punto de vista de contenido y formato por la unidad de riesgos unilateralmente; no hay un protocolo definido con los usuarios Se realiza consistentemente un seguimiento a los indicadores de riesgos pero sin protocolo establecido No hay un protocolo de escalamiento; no hay evidencia de que la gerencia haya asumido un nivel de riesgos inapropiado Existe un Modelo de Riesgos formal pero no hay una definición integral del mismo y capacitación al personal. Inicial o Tradicional (1) La gestión de riesgos se realiza de manera manual en todos los proyectos; la base de datos no se ha definido. No se han implementado de manera formal la definición y documentación de apetito de riesgos. No existe un protocolo para la comunicación de riesgos; el reporte a la gerencia es limitado El Monitoreo de Riesgos no se realizan consistentemente; no existe un protocolo establecido No hay un protocolo de escalamiento; la gerencia ha asumido un nivel de riesgos inapropiado No existe un Modelo de Riesgos de Negocios conocido por el personal de la entidad. Riesgo de Fracaso

8 ESCALAMIENTO EN MADUREZ DE GESTION DE RIESGOS (Ejemplo)

9 RIESGO CORPORATIVO (Ejemplo) Nivel de Madurez McGladrey EMPRESA Nivel Nivel CORPORATIVO FUNCION DE ADMINISTRACION DE RIESGOS 3 3 ESTRUCTURA ORGANIZATIVA 3 3 PERSONAL 2 Entre 2 y 3 POLITICAS Y PROCEDIMIENTOS 2 2 MAPEO DE PROCESOS Y MEJORA CONTINUA 2 1 MODELOS DE RIESGOS 2 2 SISTEMAS Y BASE DE DATOS 2 2 APETITO DE RIESGOS 2 Entre 2 y 3 COMUNICACION 2 3 MONITOREO DEL RIESGO 2 Entre 2 y 3 ACEPTACION RIESGOS POR GERENCIA 2 2 CULTURA 1 Entre 1 y 2

10 Proceso del apetito de riesgo Procesos Riesgos Tomados Tono Palabras Acciones

11 Cómo se establecen y miden los objetivos? El riesgo debe ser medido utilizando los mismos indicadores como los objetivos. La Tolerancia al Riesgo debe ser mapeada al apetito de riesgo Quien es responsable del desempeño también es responsable del riesgo. La experiencia nos demuestra que existe la necesidad de una función de supervisión.

12 Apetito de riesgo: objetivos y tolerancias al riesgo

13 Apetito de riesgo La cantidad de riesgo, en un nivel amplio, que una entidad está dispuesta a aceptar en la búsqueda del valor. Refleja la filosofía de gestión de riesgos de la entidad, y a su vez influye en la cultura y estilo operativo de la entidad.... El apetito de riesgo guía la asignación de recursos.... El apetito de riesgo [asiste a la entidad] en la alineación de la organización, del personal y de los procesos en [el diseño de] la infraestructura necesaria para responder eficazmente a los riesgos y monitorearlos. COSO ERM, 2004

14 Elementos clave del apetito de riesgo Es estratégico y es parte integral del Gobierno Corporativo Cumple un rol importante en la Asignación de Recursos Afecta el diseño de los recursos de una organización Influencia la cultura y actitud frente al riesgo de una organización Puede ser Multi-dimensional Requiere un monitoreo efectivo del riesgo mismo y del apetito de riesgo continuo de una organización

15 Factores que afectan el apetito de riesgo rentabilidad

16 Estableciendo el apetito de riesgo El Rol del Directorio y de la Gerencia: Establecer y comunicar el apetito de riesgo: Puede ser muy específico o comunicado en términos tales como alto, mediano, bajo. Deben ser propios de cada componente de los objetivos: Estratégico Operaciones Reporte Cumplimiento Puede variar entre organizaciones de la misma industria. Los inversionistas tienen un interés creciente en el apetito de riesgo y en cómo la gerencia se asegura de que éste se cumpla.

17 Caracteristicas de un buen enunciado de apetito de riesgo

18 Ejemplos de declaraciones de apetito de riesgo Organización Hospitalaria: La Organización opera bajo un rango general de bajo riesgo. El apetito de riesgo más bajo de la organización se relaciona a los objetivos de seguridad y cumplimiento, incluyendo la salud y seguridad del personal, con un apetito de riesgo mayor frente a sus objetivos estratégicos, de reporte y operativos. Esto quiere decir que reducir a niveles razonables y prácticos los riesgos originados por diferentes sistemas, productos y equipo médicos, junto con nuestro ambiente de trabajo, así como cumplir con nuestras obligaciones legales tendrán prioridad frente a otros objetivos de negocios.

19 Apetito de riesgo: propios de las categorías de los objetivos Empresa minorista: tiene un apetito de riesgo bajo con respecto a los costos sociales y económicos de los productos procedentes de fábricas en el exterior que podrían ser acusadas de explotan a los niños o de operar bajo condiciones insalubres. Fabricante de Productos de Madera Laminada en una industria altamente competitiva: Para competir, la compañía ha adoptado un apetito de riesgo más alto con respecto a las imperfecciones del producto al aceptar la reducción de costos que resulta debido a materia prima de baja calidad.

20 Tolerancias al Riesgo Tolerancia al Riesgo: El nivel de variación aceptable con respecto al logro de un objetivo específico, a menudo es medido mejor usando los mismos indicadores utilizados para medir el objetivo relacionado. Al establecer la tolerancia al riesgo, la gerencia considera la importancia relativa de los objetivos relacionados y alinea las tolerancias al riesgo con el apetito de riesgo. Operar dentro de las tolerancias al riesgo ayuda a asegurar que la entidad permanezca dentro de su apetito de riesgo y, en su momento, que la entidad logrará sus objetivos. Nota: Tolerancia al Riesgo: Lleva el apetito de riesgo al nivel operativo. Es más específico. Promueve lineamientos que también afectarán la performance. Es aplicado a las cuatro categorías de los objetivos. Es implementado a través de todas las operaciones.

21 Ejemplo: enlazando el apetito y las tolerancias APETITO DE RIESGO TOLERANCIAS Organización Hospitalaria Nos esforzamos por tratar a todos los pacientes de la sala de emergencias en dos horas y a los pacientes que padecen enfermedades crónicas en 15 minutos. Sin embargo, la gerencia acepta que en raras situaciones (5% de las veces) los pacientes que necesitan atención en circunstancias que su vida no está amenazada no sean atendidos en un plazo máximo de cuatro horas.

22 Ejemplo: enlazando el apetito y las tolerancias APETITO DE RIESGO Minorista: Importar de países que puedan tener leyes laborales diferentes. Empresa Fabricante de Madera TOLERANCIA AL RIESGO Para los agentes de compras, la tolerancia al riesgo es cercana a cero para la adquisición de productos que no cumplen con los requerimientos de calidad y abastecimiento de la organización. La compañía ha establecido un objetivo para defectos de producción: una falla por cada 1,000 pies tablares. El personal de producción puede aceptar tasas de defectos de hasta 50% por sobre este objetivo (es decir : 1.5 fallas por cada 1,000 pies tablares) si la reducción de costos al utilizar materiales de bajo costo es al menos del 10%

23 Preguntas de Reflexión 1. Cuáles son los mayores atributos de los buenos enunciados de tolerancia al riesgo? 2. Cómo facilitan el reporte y monitoreo de la gestión de riesgos? 3. Por qué la mayoría de organizaciones no dedica mucho tiempo a desarrollar los enunciados de apetito de riesgo y tolerancia de riesgo? 4. Cuál es el rol de la auditoría con respecto al apetito de riesgo y las tolerancias al riesgo?

24 Preguntas