Sistema Efectivo de Análisis de Riesgo (SEAR)

Transcripción

1 Sistema Efectivo de Análisis de Riesgo (SEAR) Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE Taller a Personal Clave Lima, 20 de octubre 2015

2 Importancia de la Gestión de Riesgo en la Empresa Sistema Efectivo de Análisis de Riesgo (SEAR) El rol del personal en el SEAR I. Planificación de la Gestión de Riesgos 1.1 Mapeo de Procesos 1.2 Definición de Objetivos 1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo 1.4 Priorización y Selección de Procesos Críticos II. Identificación y Clasificación de Riesgos 2.1 Identificación de Eventos 2.2 Identificación de Riesgos Cláusula de propiedad intelectual Este documento contiene material, ideas y conceptos que son propiedad de EY. Los materiales, ideas y conceptos aquí vertidos son para uso exclusivo del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado. El contenido de este documento no debe ser reproducido total o parcialmente por ningún medio, ni distribuido a nadie externo a FONAFE, sin el consentimiento previo y por escrito de EY. Página 2

3 Importancia de la Gestión de Riesgos en la Empresa

4 Qué es Gestión de Riesgos y cuál es su importancia? Qué es? Es un conjunto de actividades coordinadas a nivel de toda la Empresa para identificar potenciales eventos que le afectarían y gestionarlos de acuerdo a sus necesidades. Cuál es su objetivo? Preservar el valor previniendo eventos internos y externos que puedan impactar negativamente el logro de los objetivos, y aprovechando aquellos que signifiquen oportunidades de desarrollo. Qué Comprende? La implementación de un enfoque y lenguaje común en toda la Empresa. Página 4

5 Qué es Gestión de Riesgos y cuál es su importancia? La Gestión de Riesgos debe enfocarse en los temas más relevantes, buscando un óptimo equilibrio entre el impacto del riesgo asumido, el costo de la actividad de control y el valor que ésta agrega a la Empresa, asegurándose de que el costo se mantenga por debajo del valor generado. Página 5

6 Relación entre Gestión de Riesgos y otros marcos Gobierno Corporativo Permite a la dirección contar con una estrategia eficiente para procurar el cumplimiento de los objetivos de la Empresa. Impulsa el establecimiento de controles adecuados que mitiguen los efectos ante una interrupción no deseada o desastre Continuidad de Negocio Gestión de Riesgos ISO 9001 Brinda un enfoque en el cual deben basarse los procesos para garantizar la calidad de los productos o servicios. ISO Control Interno Permite desarrollar una gestión de riesgos que cuente con un flujo de información constante. Brinda los lineamientos para el desarrollo de la Evaluación de Riesgos. Página 6

7 Componentes de la Gestión de Riesgos Ambiente de control Establece la base de la gestión de riesgos de la Empresa, a través de la definición de la filosofía de gestión integral de riesgo, el apetito de riesgo, el rol del Comité de Gestión de Riesgos, y el establecimiento de una estructura de gestión integral de riesgos. Establecimiento de objetivos La gestión integral de riesgo se asegura que la gerencia cuente con un proceso para definir objetivos que estén alineados con la misión y visión, con el apetito de riesgo y niveles de tolerancia. Identificación de eventos Se identifican los eventos potenciales que afectan la puesta en práctica de la estrategia o el logro de los objetivos, pudiendo tener impactos positivos o negativos. Se reconoce la importancia de entender los factores internos y externos, y el tipo de eventos que pueden generar. Evaluación de riesgos Permite que la Empresa entienda el grado en el cual los eventos potenciales pueden afectar los objetivos del negocio. Evalúa los riesgos desde dos perspectivas: probabilidad e impacto, y en un escenario inherente y otro residual. Página 7

8 Componentes de la Gestión de Riesgos Respuesta al riesgo Las respuestas se establecen para alcanzar el riesgo residual alineado con los niveles de tolerancia al riesgo. Los costos de diseñar e implantar una respuesta o estrategia de tratamiento deben ser considerados, así como los costos de mantenerla. Actividades de control Políticas y procedimientos que ayudan a asegurar que las respuestas a los riesgos son ejecutadas, de forma apropiada y oportuna. Están presentes en todos los niveles y áreas de la Empresa. Información y comunicación La información relevante, debe ser identificada, capturada, procesada y comunicada en la oportuna y adecuadamente. La Dirección y Gerencia deben comunicar al personal su responsabilidad ante la gestión de riesgos. El personal debe entender su rol al respecto. Monitoreo La gestión de riesgos es monitoreada evaluando la presencia consistente y funcionamiento de sus componentes. La eficacia de los otros componentes se sigue mediante actividades de supervisión continua y evaluaciones independientes entre sí. Página 8

9 Componentes de la Gestión de Riesgos Los componentes de Gestión de Riesgos buscan contribuir al cumplimiento de las siguientes categorías de objetivos a través del desarrollo de actividades en estos niveles de la Empresa Estratégicos Objetivos a alto nivel, alineados con la misión de la Empresa Operaciones Objetivos vinculados al uso eficaz y eficiente de recursos. Incluye objetivos de rentabilidad y desempeño Nivel Entidad Despliegue de aspectos estratégicos de la gestión de riesgos a nivel corporativo. Identificación de riesgos estratégicos. Reporte Objetivos de fiabilidad de la información suministrada y de las actividades realizadas Cumplimiento Objetivos relativos al cumplimiento de leyes y normas aplicables Nivel de Procesos Despliegue de la gestión de riesgos en cada proceso. Identificación de riesgos que afectan puntualmente a uno o más procesos. Página 9

10 Sistema Efectivo de Análisis de Riesgo (SEAR)

11 Qué es el SEAR? SEAR El Sistema Efectivo de Análisis de Riesgo es un enfoque estandarizado para la implementación de la Gestión de Riesgos en las Empresas de la Corporación. Proceso Metodología Brinda las directivas basadas en lineamientos teóricos líderes para el desarrollo de la gestión de riesgos. Es un conjunto de actividades sistematizadas que tienen como fin alcanzar el objetivo de fortalecer la gestión de riesgos. Gestión de Riesgos Herramienta Proporciona instrumentos prácticos para facilitar el desarrollo de la Gestión de Riesgos. Página 11

12 Beneficios de la implementación del SEAR Crea un ambiente adecuado para el cumplimiento de los objetivos de la Empresa. Agiliza el proceso de toma de decisión de la dirección al contar con una visión de los riesgos que afectan a la Empresa. Contribuye a reducir las pérdidas que afecten los resultados de la Empresa al establecer mecanismos de identificación de riesgos y de control. Optimiza los costos de las actividades de control a través de la evaluación oportuna de su diseño y eficacia. Mejora el valor percibido de la Empresa y facilita el acceso a capital en mercados internacionales. Página 12

13 El rol del personal en el SEAR

14 Responsabilidades del personal Es importante contar con una estructura organizacional de gestión de riesgos bajo un enfoque centralizado-colaborativo, a través de una dinámica top-down. Las actividades de gestión de riesgos deben ser estructuradas y lideradas por un nivel Directivo, soportado por una función encargada de la ejecución de los lineamientos establecidos que cuente con el apoyo del resto de unidades orgánicas en su desarrollo y materialización. Directorio Ejecutivo responsable del SEAR Comité de Riesgos Dueños de procesos y gestores de riesgo Nivel 2 Lidera la implementación de las actividades del SEAR de acuerdo a los principios establecidos por la Dirección. Nivel 1 Define un Ambiente de Control apropiado para la Empresa, así como el enfoque y dimensión de la gestión de riesgos. Supervisa las actividades implementadas por la función de gestión de riesgos y asegura su eficiencia. Nivel 3 Ejecuta la actividades del SEAR. Incluye al personal clave de cada proceso, asegurando el compromiso a lo largo de toda la Empresa. Página 14

15 Responsabilidades del personal Nivel 1 Impulsar toma de decisiones de Gestión de Riesgos Definir cultura de Gestión de Riesgos Aprobar declaración del apetito de riesgo, Política de Gestión de Riesgos y Plan de Gestión de Riesgos Velar por alineamiento entre objetivos y actividades de la Gestión de Riesgos con Plan Estratégico Solicitar reportes trimestrales al Nivel 2 Evaluar anualmente el desarrollo del SEAR Nivel 2 Definir el apetito de riesgo Proponer Política de Gestión de Riesgos y Plan de Gestión de Riesgos. Diseñar Metodología para la Gestión de Riesgos Monitorear criticidad de los riesgos Aprobar criterios y técnicas para evaluación de riesgos. Elaborar el plan anual de capacitación de Gestión de Riesgos. Apoyar en el proceso de evaluación del desarrollo del SEAR al Nivel 1. Nivel 3 Apoyar al Nivel 2 en elaboración de Política de Gestión de Riesgos Documentar y actualizar del inventario de procesos, riesgos y controles según lo definido en la Metodología de Gestión de Riesgos Brindar soporte al Nivel 2 en actividades de evaluación de riesgos Documentar mapa de riesgos, mantenerlo vigente y reportar su estado al Nivel 2 Nivel 2 Nivel 1 Nivel 3 Página 15

16 Estructura y principales actividades del SEAR Mapeo de procesos Definición de objetivos Definición de apetito de riesgo Identificación de procesos Identificación de eventos Identificación de riesgos Determinación de tolerancia de críticos riesgo SEAR! Documentación de matrices (cont.) Elaboración de un cronograma de seguimiento a los planes de acción Definición y documentación de KRI s Elaboración de planes de acción Elaboración de Estrategias de tratamiento Elaboración de mapas de riesgos (Inherente y residual) Evaluación de riesgo residual Identificación y documentación de actividades de control existentes Evaluación de riesgo inherente 4 A A E E 3 M A A E Probabilidad 2 B M M A 1 B B B M Impacto (cont.) de riesgos y controles a nivel de entidad y de procesos Reporte del avance de la implementación SEAR a FONAFE Evaluación del riesgo residual y actualizar su calificación Evaluación de efectividad y actualización de controles Evaluación de KRI s y modificación de estrategias de tratamiento al riesgo y planes de acción Evaluación de la gestión de riesgos y envío de los resultados a FONAFE para su aprobación Página 16 Seguimiento a la implementación de planes de acción de acuerdo al cronograma

17 I. Planificación de la Gestión de Riesgos

18 I. Planificación de la Gestión de Riesgos La planificación es la fase inicial en el desarrollo de la gestión de riesgos de una Empresa y es fundamental para que las actividades sean implementadas de manera eficiente, oportuna y alineadas a las necesidades de la Empresa. I. Planificación de la Gestión de Riesgos 1.1 Mapeo de Procesos 1.2 Definición de Objetivos 1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo 1.4 Priorización y Selección de Procesos Críticos Entendimiento de las operaciones y, de acuerdo a ello, dimensionamiento del alcance requerido. Identificación de objetivos para orientar la gestión de riesgos en función a su cumplimiento. Establecimiento de parámetros para gestionar los riesgos adecuadamente. Designación de esfuerzos de manera proporcional a la criticidad de las operaciones. Deberá elaborarse el Plan de Gestión de Riesgos, considerando: Periodicidad de las actividades a desarrollarse. Secuencia en la que se deben llevar a cabo las tareas. Responsables a las actividades (de ejecución y supervisión). Alcance de las tareas (Nivel Entidad o Proceso). Página 18

19 I. Planificación de la Gestión de Riesgos 1.1 Mapeo de Procesos Es importante mapear los procesos existentes para lograr un mayor entendimiento del negocio y sus operaciones, identificar los riesgos, e implementar y monitorear los controles de una manera más eficiente. Los procesos existentes deben agruparse en estas categorías: Se registran solo los procesos que efectivamente se ejecutan al momento de realizar el mapeo. De Apoyo Estratégicos Cadena de Valor Herramientas de documentación De Negocio Mapa de procesos. Diagrama de Bloques del proceso. Plantilla de Subprocesos. Diagrama de Flujo. Narrativas. Página 19

20 I. Planificación de la Gestión de Riesgos 1.2 Definición de Objetivos Los objetivos deben estar alineados a la misión y visión de la Empresa, y ser comunicados a todo el personal. La gestión de riesgos se orienta en función a los objetivos definidos a nivel entidad y por procesos. Objetivos a nivel entidad Objetivos a nivel de procesos Categorías Estratégicos Operacionales De reporte Cumplimiento El objetivo de un proceso, es la finalidad por la cual el proceso es desarrollado dentro de la cadena de valor de la Empresa. Es decir, la razón por la cual es importante para la Empresa. Página 20

21 I. Planificación de la Gestión de Riesgos 1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo El apetito de riesgo es el nivel de riesgo que la Empresa desea asumir para la consecución de sus objetivos. Capacidad Riesgo Tolerancia Apetito La capacidad de riesgo es el nivel máximo de riesgo que la Empresa puede soportar sin que interfiera en su continuidad. La tolerancia al riesgo es el umbral de riesgo que la Empresa está dispuesta a asumir considerando el nivel de apetito de riesgo como tope. La tolerancia al riesgo debe determinarse una vez que se hayan identificado los riesgos. Página 21

22 I. Planificación de la Gestión de Riesgos 1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo Ejemplo de Declaración de Apetito La reputación de la Empresa, la de sus servicios y nuestro personal conforman nuestros principales activos, razón por la cual no toleramos riesgos que puedan impactar negativamente la imagen de la organización y a las personas que la representan. Nuestro propósito es generar valor a todos nuestros grupos de interés e innovar constantemente para que nuestros servicios cuenten con los más altos estándares de calidad y generen bienestar a nuestros clientes. Ejemplo de riesgo identificado Que se registren pérdidas en la Empresa a causa de accidentes ocupacionales. De acuerdo a la Declaración de Apetito de la Empresa, el nivel de riesgo que se asumirá es: Pérdidas por accidentes ocupaciones hasta de S/ ó que se presenten 5 accidentes ocupacionales por mes. La tolerancia y la capacidad de riesgo para el ejemplo son las siguientes: Tolerancia: Pérdidas desde S/ a S/ ó de 0 a 4 accidentes ocupacionales por mes. Capacidad: Pérdidas entre S/ a S/ ó 5 a 6 accidentes ocupacionales por mes. Página 22

23 I. Planificación de la Gestión de Riesgos 1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo Proceso de definición del apetito de riesgo Modelo Topdown Establecer el apetito de riesgo desde la Dirección, alineándolo con los objetivos a nivel entidad. Validar con los principales stakeholders los niveles de apetito de riesgo. Comunicar el apetito de riesgo a toda la Empresa y alinear la gestión de riesgos a éste. Considerando el impacto de los siguientes aspectos en los objetivos: -Negocio de la Empresa -Aspectos jurídicos y normativos -Operación de la empresa -Tecnologías -Tecnologías de la información -Aspectos financieros -Factores sociales y humanitarios -Fraude Proceso de definición de la tolerancia y capacidad de riesgo Considerando los mismos aspectos analizados en el apetito de riesgo, se definen la tolerancia y capacidad de riesgo Criterio Operaciones de la empresa Ejemplo Que el número de accidentes laborales se encuentre entre # a #. Que la duración promedio de interrupciones del sistema (SAIDI) se encuentre entre # a #. Página 23

24 I. Planificación de la Gestión de Riesgos 1.4 Priorización y Selección de Procesos Críticos La priorización de procesos permite identificar los procesos críticos de la Empresa, y así poder organizar la designación de esfuerzos de la gestión de riesgos en función a la criticidad de las operaciones. Criterios de priorización que deben considerarse al seleccionar un proceso crítico: Materialidad Las expectativas de la dirección y la alta gerencia Impacto en objetivos estratégicos Complejidad de las operaciones Volumen de las operaciones Nivel de automatización Importancia en la continuidad del negocio Procedimiento Establecer rangos por cada criterio para identificar si el proceso cumple con el criterio Asignar un puntaje por criterio. Se sumarán los puntajes obtenidos. Se considerará un procesos crítico si la suma es mayor a siete (7). Página 24

25 I. Planificación de la Gestión de Riesgos 1.4 Priorización y Selección de Procesos Críticos Criterios Materialidad Expectativas de la Dirección y la Alta Gerencia Impacto en Objetivos Estratégicos Complejidad de las Operaciones Volumen de Operaciones Nivel de Automatización Importancia en la Continuidad del Negocio Página 25

26 II. Identificación y Clasificación de riesgos

27 II. Identificación y Clasificación de Riesgos La identificación y clasificación de riesgos es fundamental para hacer frente a los eventos que afecten el cumplimiento de los objetivos de la entidad y los procesos. II. Identificación y Clasificación de Riesgos 2.1 Identificación de Eventos 2.2 Identificación de Riesgos! Identificación de eventos positivos que deben ser aprovechados y de eventos negativos que deben prevenirse para no convertirse en riesgos. Identificación de los riesgos que afectan a los procesos y a la Empresa para, de acuerdo al apetito de riesgo, orientar la gestión de los mismos. Página 27

28 II. Identificación y Clasificación de Riesgos 2.1 Identificación de Eventos Qué es un evento? Es una situación o elemento potencial de origen externo o interno que afecte a la entidad, el cual puede tener consecuencias positivas o negativas. Cómo identificarlos? En qué destaca la Empresa? Tiene algo que la diferencie? Qué se puede mejorar? La Empresa tiene menos ventajas que otras similares? Qué oportunidades tiene la Empresa a su alcance? De qué tendencias se puede beneficiar? Qué podría desviar a la Empresa? Qué hace la competencia? Página 28

29 II. Identificación y Clasificación de Riesgos 2.1 Identificación de Eventos Por qué identificarlos? Los eventos negativos son el punto de partida para poder identificar los riesgos que afronta la Empresa. Es importante mapearlos pues permite desarrollar una cultura de prevención en la gestión de riesgos. Los eventos positivos son relevantes para tener conocimiento de aquellas oportunidades que deben ser aprovechadas por la Empresa pues contribuyen al cumplimiento de objetivos. Página 29

30 II. Identificación y Clasificación de Riesgos 2.2 Identificación de Riesgos! Qué es un riesgo? Es la amenaza que enfrenta una Empresa cuando un evento o acción puede afectar adversamente su habilidad de alcanzar sus objetivos y maximizar valor. Riesgo a nivel entidad: Que no se comunique oportunamente la información que debe transmitirse a los accionistas debido a que no se ha definido de manera clara y formal al responsable de organizar dicha información y comunicarla. Riesgo a nivel de proceso: Que se produzcan errores en los pagos a proveedores o dobles procesamientos debido a la recepción de información duplicada. Página 30

31 II. Identificación y Clasificación de Riesgos 2.2 Identificación de Riesgos! Cómo documentarlo? Considerar su composición: 1. Consecuencia: Es el impacto que tendrá un riesgo al momento de materializarse. 2. Causa : Es el motivo por el cual se presenta el riesgo. Tener en consideración Se identifican los riesgos que afectan a los procesos y a la entidad (Riesgos Estratégicos). Es importante tener especial consideración con los riesgos múltiples (riesgos que impactan a más de un proceso en la Empresa). Página 31

32 II. Identificación y Clasificación de Riesgos 2.2 Identificación de Riesgos Naturaleza y clasificación de riesgos La definición de la naturaleza y clasificación de los riesgos según su causa es necesaria para la organización de la gestión de los riesgos identificados.! Naturaleza del riesgo Clasificación de riesgos Se refiere a las características propias del sector en el que se encuentra la Empresa que puede ocasionar determinadas clases de riesgos. Para este caso, podrían considerarse, por ejemplo, estos aspectos: Regulaciones Infraestructura Operaciones Tipo de servicio Medio ambiente Relaciones con la comunidad Seguridad ocupacional Origen Nivel Frecuencia Externo Interno Entidad Proceso Rutinarios No rutinarios Página 32

33 II. Identificación y Clasificación de Riesgos 2.2 Identificación de Riesgos Tipos de riesgo Para organizar los riesgos y definir adecuadamente las estrategias de respuesta a cada uno de ellos, es importante que se los categorice por tipos de riesgo.! Son los riesgos que tienen impacto directo a nivel de entidad debido a que afectan el cumplimiento de los objetivos estratégicos de la Empresa. Estratégicos Operacionales Son los riesgos vinculados a la parte operativa. Incluye los riesgos originados por deficiencias en los procesos o en la estructura organizacional. Son los riesgos asociados a los procesos de reporte, sean internos o externos, así como al de sus entregables. De Reporte De Tecnologías de la información Son los riesgos que tienen impacto tanto en la gestión de las tecnologías de la información como en la seguridad de la información. Página 33

34 II. Identificación y Clasificación de Riesgos 2.2 Identificación de Riesgos Tipos de riesgo! Son los riesgos que impactan en la capacidad para cumplir con los requisitos normativos internos y externos. De Cumplimiento De Fraude Son los riesgo asociados a las conductas que incumplen las obligaciones legales con la finalidad de obtener un beneficio. Página 34

35 II. Identificación y Clasificación de Riesgos 2.2 Identificación de Riesgos Técnicas para la identificación de riesgos Tormenta de ideas Técnica Delphi Cuestionario / Encuestas! Entrevistas Análisis FODA Diagrama de Ishikawa Los riesgos identificados deberán documentarse en una Matriz de Riesgos y Controles a nivel entidad y por proceso Página 35

36 Sistema Efectivo de Análisis de Riesgo (SEAR) Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE Taller a Personal Clave Lima, 20 de octubre 2015

37 Anexos Página 37

38 Anexos Mapa de Procesos Documento Mapa de Procesos Nombre Proceso Fecha Dueños de Proceso A. DIAGRAMA DE BLOQUES B. OBJETIVO / DESCRIPCIÓN ANTECEDENTES C. ÁREAS QUE INTERVIENEN Subproceso Gerencia/ Subgerencia Departamento / Sección Responsable (nombre y cargo) Participantes de Talleres (nombre y cargo) D. APLICATIVOS Página 38

39 Anexos Diagrama de Bloques del proceso Proceso : Fecha : Inicio Fin Subproceso 1 Subproceso 2 Subproceso 3 Subproceso 4 Subproceso 5 Subproceso 6 Inicio: Inicio: Inicio: Inicio: Inicio: Inicio: Fin: Fin: Fin: Fin: Fin: Fin: Página 39

40 Anexos Plantilla de Subprocesos Proceso: Fecha: Sub procesos: Objetivo del subproceso: Responsables del subproceso: Áreas y cargos clave del subproceso: Comienzo del subproceso: Entradas: Sistemas clave: Riesgos del proceso: Actividades clave: Final del subproceso: Salidas: Productos relacionados: Controles relacionados a los riesgos: Otra información relevante: Página 40

41 Anexos Diagrama de Flujo Página 41

42 Anexos Narrativas Proceso Subproceso Sitio Owner del proceso Personal involucrado en los controles Autor Fecha última revisión Objetivo Inputs (subproceso) Outputs (subproceso) Aplicaciones informáticas asociadas Indicadores claves de rendimiento Cuentas financieras asociadas Subproceso: # Actividad Responsable Descripción de la actividad Referencia del control Observaciones <Comentar respecto a cambios significativos en el proceso o en los sistemas que soportan el proceso> Página 42