TOMA DE DECISIONES BASADO EN RIESGOS PARA UN BUEN GOBIERNO CORPORATIVO R I S K M A N A G E M E N T A S / N Z S I S O

Transcripción

1 TOMA DE DECISIONES BASADO EN RIESGOS PARA UN BUEN GOBIERNO CORPORATIVO R I S K M A N A G E M E N T A S / N Z S I S O Facilitador: Alfonzo Muñoz Granados alfonzo.munoz@gmail.com

2 QUÉ ÍNDICE: ES?

3

4 QUÉ ES? QUÉ ES GOBIERNO CORPORATIVO? Gobierno (Gubernare) : Mandar con autoridad, guiar, dirigir, acción y efecto. Corporativo (Corpus): Corporación /Comunidad La combinación de procesos y estructuras implantadas por el Consejo Directivo para informar, dirigir, gestión y supervisar (vigilar) las actividades de la organización (la gestión) con el fin de lograr su objetivos.

5 ENTORNO DE LA ORGANIZACIÓN Roles y responsabilidad del Gobierno: Supervisión: Consejo de Administración - Responsables de la estructura de Gobierno Corporativo. - Comité de Auditoría (Propósito,Autoridad, Responsabilidad Dirección: Alta Gerencia / Gerencia Ejecutiva - Pautas y estrategias. - El ejecutivo en jefe de la organización y otros miembros de la lata dirección de la entidad se convierten en ejecutor de los procesos de gobierno Desempeño: Gerencia operativa / de Soporte y su personal - Delegación de autoridades, asignación de responsabilidades para la implementación de estrategias y despliegue de recursos y controles de gestión Aseguramiento: Auditoría Interna (y sus funciones de vigilancia relacionadas) - Mecanismos de supervisión y vigilancia tales como auditoría, evaluación, mejora en los procesos y otras actividades internas de consultoría. ( validación de resultados, recomendaciones y apoyo para mejorar la eficacia de la entidad

6 Auditoría Externa Regulador QAR - Evaluación de Calidad... GOBIERNO CORPORATIVO CONSEJO DIRECTIVOS/ COMITÉ DE AUDITORÍA ALTA DIRECCIÓN (GERENCIA) 1 Línea Externa 1 línea de defensa 2 línea de defensa 3 línea de defensa Gestión Operativa Control Interno - Preventivo - Directivo - Correctivo Control financiero Gestión de Riesgos Cumplimiento Normativo Auditoria Interna

7 Evolución de la Administración/Gestión del riesgo RETOS ACTUALES DE LAS ORGANIZACIONES PARA CUMPLIR OBJETIVOS Y METAS Riesgos Cambiantes e Impredecibles Externos FACTORES Factores Internos Medio Ambiente De Negocio Infraestructura Tecnológico Político Económicos Social Tecnología Personal Procesos N

8 EVOLUCIÓN DE LA ADMINISTRACIÓN DEL RIESGO La gestión del riesgo es una responsabilidad de todos, pero aún más si usted es miembro del Cuerpo Directivo o de la Auditoría. En las evaluaciones de la Gestión se debe aportar evidencia de una profunda y continua Administración del Riesgo. Una activa gestión del riesgo, soportada en S.I. y un continuo monitoreo ayuda a proteger el personal, los proyectos y los activos.

9 TENDENCIAS Principales razones, en orden de importancia, para implementar la gestión del riesgo: Evitar sorpresas costosas, estabilidad de las operaciones. Arraigar la cultura de Gestión del Riesgo para asegurar el logro de los objetivos y metas. Hacer realidad la Gobernabilidad Corporativa. Mantener la competitividad. Flexibilidad para afrontar cambios en el ambiente de negocios e implementación de nuevas estrategias. Cumplir con las normas y regulaciones del estado.

10 TENDENCIA COMO INTEGRACIÓN Ley Sarbanes Oxley (Sarbox) BSC: Balance Score Card (Indicadores) Gestión del Riesgo y SCI / (S. Público) Gobernabilida d Corporativa Objetivos/Metas Sistema de Gestión Integral del Riesgo ISO AS/NZS: 4360 Exigencias de entidades reguladoras Sistemas de Gestión de Calidad / Salud / M. ambiente COSO ERM / CobIT / ITIL Basilea II III / BIS La Gestión del Riesgo como elemento Integrador de todos los métodos y elementos de gestión y control organizacional

11 PERSPECTIVA MODERNA DEL RIESGO Riesgo es el EFECTO de la INCERTIDUMBRE en los Objetivos Los objetivos pueden abarcar diferentes aspectos (Financieros, bienestar, operativos, salud, seguridad, ambientales) y pueden aplicar a diferentes niveles en la organización (Estratégico, organizacional, procesos, proyectos, productos). El Riesgo es usualmente caracterizado por la referencia de potenciales eventos y consecuencias o la combinación de estos.

12 QUE IMPLICA EL RETO DE LA GESTIÓN DEL RIESGO?

13 QUE IMPLICA EL RETO DE LA GESTIÓN QUE IMPLICA EL RETO DE LA GESTIÓN DEL RIESGO? La Administración del Riesgo el nuevo enfoque de la Gestión Gerencial? Robert Kaplan: Todos a administrar el Riesgo Noviembre 2009

14 RETO DE LAS ORGANIZACIONES A NIVEL MUNDIAL Fracaso /Supervivencia / Éxito? Cumplir Objetivos y Metas Fortalecer la Gestión del Riesgo y Auditoría Estándares Mundiales Implementar la Cultura de Gestión del Riesgo y Auto Evaluación a lo largo de la organización Software Especializado

15

16 RISK MANAGEMENT AS/NZS ISO 31000: 2009 Que es un Proceso de Administración Integral del Riesgo? Es la aplicación sistemática de políticas gerenciales, procedimientos y practicas a las actividades de: Comunicar, consultar, Establecer el contexto e Identificar, analizar, evaluar, Tratar, Monitorear y revisar los riesgos que afectan o podrían afectar. El logro de los objetivos y metas de la organización

17 RISK MANAGEMENT AS/NZS ISO 31000: 2009 MANDATO Y COMPROMISO PRINCIPIOS DE LA ADMINISTRACION DEL RIESGO DISEÑO DEL MARCO / MODELO DE ADMINISTRACION DEL RIESGO MEJORA CONTINUA DE LA ADMINISTRACION DEL RIESGO IMPLEMENTACION DE LA ADMINISTRACION DEL RIESGO. MONITOREO Y REVISION DE LA ADMINISTRACION DEL RIESGO

18 Comunicación y consulta Partes involucradas ESQUEMA DEL PROCESO DEL SAR CUMPLIENDO CON LA: ISO DE 2009 COMUNICACIÓN Y CONSULTA Establecer contexto SAR Externo Interno Especifico MONITOREO REVISION Y ESTABLECIMIENT O DEL CONTEXTO IDENTIFICACIÓN DEL RIESGO ANALISIS DEL RIESGO Definir áreas de impacto Definir fuentes de Riesgo Identificar los Riesgos Riesgo Absoluto (Inherente) OBJETIVOS Y OPORTUNIDADES Moni toreo CAMBIOS Auto evaluación (CRSA) Eventos de Riesgo Indicadores de Riesgo EVALUACION DEL RIESGO TRATAMIENTO DEL RIESGO Riesgo con Controles (Residual) Riesgo con tratamientos Implementar Planes de Acción Audito / Oficina de control interno Evaluaciones Externas Mecanismos de comunicación externa e interna e Informes Registro del Proceso de Gestión del Riesgo para tener trazabilidad y registros base para mejorar el proceso global

19 Comunicación y consulta Partes involucradas Comunicación y Consulta

20 STAKEHOLDERS (PARTES INVOLUCRADAS) Comunicación y Consulta Gerentes de línea El Personal y familias Alta Gerencia Junta y Accionistas Stakeholders Personas, Organizaciones, OTROS. que: Clientes / Electores Legisladores y reguladores Comunidad local Procesos Relacionados Sindicatos y gremios Contratistas / Proveedores Pueden afectar o pueden verse afectadas por, o perciben pueden ser afectadas Por una decisión, actividad o un riesgo. Comunidad internacional Entidades Gobierno Grupos ambientales Medios publicitarios Competencia Asociaciones consumidores

21 COMUNICACIÓN Y CONSULTA Procesos continuos y reiterativos que una organización lleva a cabo para suministrar, compartir u obtener información, e involucrarse en un dialogo con las partes involucradas con respecto a la gestión del riesgo. Que se busca con una adecuada comunicación y consulta? Aprender de los Stakeholders y sus CAMBIOS Mejorar el entendimiento y preocupación de las personas sobre el proceso de Gestión del Riesgo. Asegurar que las diferentes perspectivas de los Stakeholders han sido consideradas. Asegurar que todos los participantes en el proceso de gestión del riesgo, son conscientes de sus roles y responsabilidades. Construir y mantener una cultura de gestión del riesgo.

22

23 ESTABLECER EL CONTEXTO DEL SAR IMPLEMENTACION DEL PROCESO DE ADMINISTRACION DEL RIESGO Establecer contexto SAR Externo Interno Especifico Definir áreas de impacto Definir fuentes de Riesgo Identificar los Riesgos Riesgo Absoluto (Inherente) Riesgo con Controles (Residual) Riesgo con tratamientos Implementar Planes de Acción

24 ESTABLECER CONTEXTO SAR: RIESGO ESTRATÉGICO?? Un buen directivo, no solo debe identificar los riesgos, sino administrarlos correctamente y, más cuando estos entorpecen la estrategia de la organización. Las organizaciones se ha olvidado que la razón de ser de los negocios consiste en asumir riesgos y NO en evitarlos a toda costa. INALDE: Dirección Financiera La correcta conceptualización del riesgo, así como algún tipo de medición clara y objetiva a su exposición, permitirá realmente a los Directivos avanzar todavía más en la administración del riesgo, al poder no solo medir los resultados, sino asegurar su cumplimiento de manera predictiva y preventiva.

25 Establecer contexto: Del SAR Específico ESTABLECER CONTEXTO DEL SAR ESPECIFICO Definir la estructura de la actividad, función o proyecto (escenario) al que se aplicara la Administración del Riesgo. Separar en sus componentes de alto nivel, que provean un modelo o marco para la identificación de los riesgos y obviar que alguno sea omitido, o que se dupliquen riesgos de otros escenarios. Diferentes estructuras pueden ser apropiadas, dependiendo del enfoque deseado, la naturaleza de los riesgos, y el propósito del SAR específico: Unidades / Actividades del Negocio (Planeación Estratégica) Procesos / Sub-procesos (El más recomendable) Estructura Áreas / Dependencias (Áreas jerárquicas) Proyectos / Fases Estructura Contable relevante (Activos, Pasivos, Ingresos, Egresos, etc.) Por tipo riesgos, (Crediticio, Mercado, Operacional, etc.) Localización física / geográfica

26 DEFINIR ÁREAS DE IMPACTO IMPLEMENTACION DEL PROCESO DE ADMINISTRACION DEL RIESGO Establecer contexto SAR Externo Interno Especifico Definir áreas de impacto Definir fuentes de Riesgo Identificar los Riesgos Riesgo Absoluto (Inherente) Riesgo con Controles (Residual) Riesgo con tratamientos Implementar Planes de Acción

27 ÁREA DE IMPACTO Área de Impacto (Objeto en Riesgo) Es todo recurso, bien u oportunidad (Objeto financiero) al cual la Organización le ha (o debe) asignar un valor y su afectación (en mayor o menor valor) podría comprometer el cumplimiento de sus objetivos y metas. Con base en que información se identificarían las Áreas de Impacto???

28 DEFINIR ÁREAS DE IMPACTO Empleados, Temporales, Asesores Activos Pasivos Capital Recursos de TI - Información Ventas Comisiones Intereses Regalías Patentes Derechos de Autor De la Organización, incluyendo al personal. Activos y Recursos Básicos Ingresos y Derechos Impacto en las personas o en la comunidad (medio ambiente) Gente Comunidad Costos De las actividades tanto directos como indirectos Vecinos Localidad Ciudad País Transeúntes Balance Social Costos directos Costos indirectos Reposición / Reconstrucción Indemnización Sanciones

29 DEFINIR ÁREAS DE IMPACTO Productividad Calidad Inversionistas Inversiones de Oportunidad Nuevos Productos Innovación Tecnológica Afecte la productividad de la organización (eficiencia) Desempeño Oportunidades y Programación de Actividades Perdida de oportunidad e impacto en los proyectos y actividades Afecta el ambiente de control Organizacional Clima Organizacional Intangibles Tales como la reputación, prestigio y calidad de Vida. Valores éticos Moral Empleados Accountability Estabilidad Idoneidad Valores éticos Conocimiento Reputación Good Will Confianza Seguridad

30 DEFINIR FUENTES DE RIESGO IMPLEMENTACION DEL PROCESO DE ADMINISTRACION DEL RIESGO Establecer contexto SAR Externo Interno Especifico Definir áreas de impacto Definir fuentes de Riesgo Identificar los Riesgos Riesgo Absoluto (Inherente) Riesgo con Controles (Residual) Riesgo con tratamientos Implementar Planes de Acción

31 DEFINIR FUENTES DE RIESGO Fuente de Riesgo Es todo individuo, grupo humano, entidad, elemento físico, o fenómeno del entorno, de los cuales se pueden derivar eventos que podrían afectar las áreas de impacto (objetos en riesgo). Elemento que solo o en combinación, tiene el potencial intrínseco de originar un riesgo. AS/ NSZ:ISO 31000: 2009

32 DEFINIR FUENTES DE RIESGO Competencias Proveedores Entidades financieras Clientes o usuarios Aliados de Negocios Relaciones Comerciales y Legales Circunstancias Económicas Organismos Reguladores Mundiales Banca y Organismos de Economía Mundial Banco Emisor y Reguladores Locales Mercado de Valores Fenómeno Macro y Micro Económicos. Fenómenos Eléctricos Fenómenos Marítimos Fenómenos Climatológicos Fenómenos Sísmicos Eventos Naturales Comportamiento humano Gremios Grupos de Presión y Manifestaciones Sindicatos Comunidad local, Nacional, Mundial.

33 DEFINIR FUENTES DE RIESGO Actividades individuales y gerenciales Allegados: cliientes, proveedores, asesores, familiares. Ajenas : bandas, mafias organizadas Hackers : intrusos (Específicos) Crackers : intrusos (premeditados) Empleados : Errores, Delitos Circunstancias Políticas y Legislativas Guerrillas / Paramilitares Órganos Legislativos (inseguridad Jurídica) Aspectos Tecnológicos y Técnicos Software del sistema, de Base y de Aplicación Maquinarias y Equipo (hardware) Telecomunicaciones Instalaciones Estructurales Instalaciones Eléctricas Hidráulicas Equipos de Refrigeración.

34 IDENTIFICAR LOS RIESGOS IMPLEMENTACION DEL PROCESO DE ADMINISTRACION DEL RIESGO Establecer contexto SAR Externo Interno Especifico Definir áreas de impacto Definir fuentes de Riesgo Identificar los Riesgos Riesgo Absoluto (Inherente) Riesgo con Controles (Residual) Riesgo con tratamientos Implementar Planes de Acción

35 IDENTIFICACIÓN DE LOS RIESGOS REFLEXIONES El objeto de esta fase es generar una lista exhaustiva de riesgos con base en aquellos eventos que podrían crear, aumentar, prevenir, degradar, acelerar o retrasar el logro de los Objetivos. La identificación exhaustiva es critica porque un riesgo que no se identifique en esta fase no será incluido en el análisis posterior. ISO 31000: 2009 Cuales y Cuantos Riesgos se deberían identificar y documentar?

36 IDENTIFICAR LOS RIESGOS: AS/NZS ISO La organización debe identificar: Fuentes de Riesgo Áreas de Impacto Eventos (Incluyendo cambios en las circunstancias) Sus causas Y sus Consecuencias potenciales La organización debe identificar: Riesgos cuya fuente no este bajo su control Riesgos cuya fuente de riesgo y causa no sea evidente Riesgos con amplio rango de consecuencias, asi la fuente y causas no sean evidentes. Propietario del Riesgo: Persona o Entidad con la responsabilidad de rendir cuentas y la autoridad para gestionar un riesgo. ISO 31000

37 IDENTIFICACIÓN DE LOS RIESGOS Área de Impacto Fuente de Riesgo Que podría Ocurrir? Porqué podría Ocurrir? Como podría Ocurrir? Consecuencia (Impacto Efecto) Event o Causa (Amenaza)

38 IDENTIFICACIÓN DE LOS RIESGOS Identificar y describir los Riesgos: Ejemplo-1 Ingresos no recibidos de intereses de cartera por alteración por menor valor, del parámetro de la tasa de interés, base del cálculo en el proceso de facturación mediante el acceso en línea de empleados a los archivos de cuentas por cobrar (Cartera) QUE? POR QUE? COMO?

39 Identificar y describir los Riesgos: Ejemplo Ingresos no recibidos de intereses de cartera QUE? Consecuencia Impacto por alteración por menor valor, del parámetro de la tasa de interés, base del cálculo en el proceso de facturación POR QUE? EVENTO Causa Raíz mediante el acceso en línea de empleados a los archivos de cuentas por cobrar (Cartera) COMO? CAUSA Causa (s) Mediata

40 DEFINIR ÁREAS DE IMPACTO IMPLEMENTACION DEL PROCESO DE ADMINISTRACION DEL RIESGO Establecer contexto SAR Externo Interno Especifico Definir áreas de impacto Definir fuentes de Riesgo Identificar los Riesgos Riesgo Absoluto (Inherente) Riesgo con Controles (Residual) Riesgo con tratamientos Implementar Planes de Acción

41 ANÁLISIS / VALORACIÓN Y MEDICIÓN DE LOS RIESGOS Consecuencia Valor Probabilidad Valor Catastrófico 5 Mayor 4 Moderado 3 X Casi Cierta 5 Muy Probable 4 Moderada 3 = Severidad Menor 2 Improbable 2 Insignificante 1 Rara 1 Las criterios y puntajes de medición para cada escala deben ser definidos por cada organización y tener alguna relación con los objetivos / tamaño / apetito al riesgo / etc.

42 TABLA SEMI CUANTITATIVA CONSECUENCIA - EJEMPLOS TIPOS GENERALES DE CONSECUENCIAS RANGO CONSECUENCIA INSIGNIFICANTE RECURSOS HUMANOS Sin lesiones o lesiones con incapacidad hasta 3 días MENOR Incapacidad mayor a 3 días hasta 1 mes MODERADA Incapacidad mayor a 1 mes hasta 3 meses MAYOR Incapacidad mayor a 3 meses hasta 6 meses CATASTRÓFICA Pérdida de vidas humanas Incapacidad total y permanente Más de 6 meses PÉRDIDAS ECONÓMICAS PÉRDIDA DE REPUTACIÓN Hasta US$1.000 Sólo es de conocimiento de los directivos Entre US$1.001 a US$5.000 Entre US$5.001 a US$ Entre US$ a US Mayores US$ a De conocimiento de la empresa De conocimiento a nivel local De conocimiento a nivel nacional De conocimiento a nivel internacional VALOR

43 TABLA SEMI -CUANTITATIVA: PROBABILIDAD - EJEMPLOS RANGO PROBABILIDAD POSIBILIDAD PROBABILIDAD MATEMATICA FRECUENCIA VALOR RARA Puede ocurrir en circunstancias excepcionales < 10 % Error cada operaciones 1 IMPROBABLE Insignificante posibilidad de que el evento ocurra 10.1 % - 40 % Error cada operaciones 2 MODERADA Alguna posibilidad de que el evento ocurra 40.1 % - 60 % Error cada 100 operaciones 3 PROBABLE Posiblemente ocurra varias veces a 60.1 % y < a 90% Error cada 10 operaciones 4 CASI CERTEZA Ocurra la mayoría de veces > 90% Error cada 2 operaciones 5

44 INDEPENDENCIA DE LOS MÉTODOS Y TÉCNICAS DE VALORACIÓN TABLAS DE MEDICION Perspectiva Unificada de la valoración de todos los riesgos de la organización (MAPAS / Matrices) RESULTADOS FINALES (C y P) DE METODOS Y/O TECNICAS DE VALORACION UTILIZADAS

45 Probabilidad ESCALAS DE MEDICIÓN - SEVERIDAD E Extremo A Alto M Moderado B Bajo Nivel de Severidad Riesgos según combinaciones de Consecuencia y Probabilidad Casi Certeza (5) A A E E E Probable (4) M A A E E Moderado (3) B M A E E Improbable (2) B B M A E Raro (1) B B M A A Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5) Consecuencia

46 DISTRIBUCIÓN RIESGOS EN LOS MAPAS SEGÚN SEVERIDAD Severidad Consecuencia Probabilidad

47 EJEMPLOS DE SEVERIDAD Y PROTOCOLOS DE ACCIÓN EXTREMA ALTA MODERADA BAJA Riesgo extremo, se requiere acción inmediata. Planes de Tratamiento requeridos, implementados y reportados a la Junta de Directores y al Presidente Riesgo alto requiere atención de la alta gerencia. Planes de Tratamiento requeridos, implementados y reportados a los Gerentes de Unidades Riesgo moderado, la responsabilidad gerencial debe ser especificada. Riesgo aceptable Administrado con procedimientos normales de control Riesgo bajo, se administra con procedimientos rutinarios. Riesgo insignificante no se requiere ninguna acción N O A C E P T A B L E A C E P T A B L E N i v e l J e r á r q u i c o N i v e l D e c i s i ó n

48 VALORACIÓN RIESGO ABSOLUTO: SCORING - PROBABILIDAD A más Factores evaluados, mayor precisión y complejidad. La incidencia de cada factor se podría diferenciar con la ponderación. Sobre algunos factores se podría ejercer influencia (control) sobre otros no. Según el contexto del riesgo, pueden aplicar diferentes y diversos factores: Varias Tablas? Factores comodín? Este ejemplo supone que todos los factores aplican y con el máximo puntaje (probabilidad)

49 ANÁLISIS / VALORACIÓN RIESGO ABSOLUTO: EJEMPLO Riesgo-1: Ingresos no percibidos de intereses de cartera, por alteración por menor valor de los parámetros de tasas de interés, base de los cálculos en el proceso de Facturación, mediante el acceso en línea de empleados a los archivos de cuentas por cobrar (Cartera). Valoración Consecuencia: Valor intereses cada proceso de cartera: US$ = Valor intereses C x C promedio = = Valor Intereses C x C de mayor valor: US$ = Medición Consecuencia Valoración Probabilidad: Tabla Factores Fraude (5 x 5 = 25 máximo): 1. Valores empleados = 4 2. Motivación (C/B) delito = 2 3. Capacidad técnica requerida = 5 4. Facilidades de acceso = 3 5. Número Fraudes históricos = 0 Total puntos (scoring): 14 Medición Probabilidad US Moderada 3 14 / 25 = 56% Posible 3 Nivel de Riesgo (Severidad) = 3 x 3 ALTA

50 Proceso ANÁLISIS / VALORACIÓN RIESGO ABSOLUTO: EJEMPLO Riesgos del Proceso con Valoración/medición ABSOLUTA

51 MAPA RIESGOS: CON VALORACIÓN ABSOLUTA

52 VALORAR / MEDIR EL RIESGO CON CONTROLES (RESIDUAL) IMPLEMENTACION DEL PROCESO DE ADMINISTRACION DEL RIESGO Establecer contexto SAR Externo Interno Especifico Definir áreas de impacto Definir fuentes de Riesgo Identificar los Riesgos Riesgo Absoluto (Inherente) Riesgo con Controles (Residual) Riesgo con tratamientos Implementar Planes de Acción

53 QUE ES CONTROL? ISO Medida que modifica el riesgo. AS/NZS Son las políticas, procesos, dispositivos, prácticas u otras acciones que actúan para eliminar o minimizar los riesgos adversos o mejorar oportunidades positivas. Proveen una seguridad razonable relativa al logro de los Objetivos. IIA Es toda acción tomada por la gerencia para mejorar la probabilidad de que los Objetivos y metas establecidas sean alcanzadas. El control es el resultado de la adecuada planeación, organización y dirección por la gerencia.

54 VALORACIÓN DEL RIESGO CON CONTROLES: FACTORES DE RIESGO DEL CONTROL Según Su Implementación Manual Automatizado Combinado Según su alcance Discreto (Muestreo) De Aplicación Continua Según Su Frecuencia?? (Oportunidad??) Periódico (Obligatorio) Continuo (Obligatorio) Esporádico (Obligat.) Discrecional Según su Complejidad Muy Complejo Sencillo Documentación NO Documentado Documentado Responsabilidad???? NO Asignada Asignada Efecto Políticas Otros factores Políticas Directrices Gerenciales Entorno - Ambiente Interno de Control (Ej. Control cambios Software Aplicativo)

55 VALORACIÓN DEL RIESGO CON CONTROLES: EFECTIVIDAD INDIVIDUAL DEL CONTROL Efectividad de los Controles Idoneidad Valores / Ética Grado Monitoreo Auditoria: Calidad / Oportunidad Otros EFECTIVIDAD Descriptor Valor POBRE 10% INSATISFACTORIA 30% MODERADA 50% BUENA 70% EXCELENTE 90%

56 VALORACIÓN DEL RIESGO CON CONTROLES: EFECTIVIDAD Controles actuales: Password para permitir el acceso a los archivos solo a los empleados autorizados: Característica Efectividad Selección Ponderación Puntaje Manual: 1 Combinado: 3 Automatizado / Mecánico: 5 Sin documentar: 1 Parcialmente documentado: 3 Documentado: 5 Discretos (Muestreo): 1 De Aplicación Continua: 5 Discrecional: 1 Esporádico: 2 Periódicos: 3 Continuos: 5 Responsable no idóneo: 1 Responsable algo idóneo: 3 Responsable idóneo: 5 No aplica: 0 Moral baja: 1 Moral moderada: 3 Moral Alta: 5 No aplica: 0 Valores bajos: 1 Valores moderados: 3 Valores altos: 5 No aplica: 0 No asignada responsabilidad: 1 Asignada responsabilidad: 5 Puntaje Total Puntaje Máximo tabla = 75 = 100 % Efectividad Control Combinado : 3 3,0 9 Documentado : 5 1,0 5 Discreto : 1 1,0 1 Discrecional: 1 1,0 1 No aplica: 0 3,0 0 Moral moderada: 3 2,0 6 Valores moderados: 5 2,0 10 Asignada responsabilidad: 5 2, Rango Efectividad 42 / 75 = 56 % = Moderada

57 MAPA RIESGOS: VALORACIÓN ABSOLUTA Y CON CONTROLES

58 VALORAR / MEDIR EL RIESGO CON CONTROLES (RESIDUAL) IMPLEMENTACION DEL PROCESO DE ADMINISTRACION DEL RIESGO Establecer contexto SAR Externo Interno Especifico Definir áreas de impacto Definir fuentes de Riesgo Identificar los Riesgos Riesgo Absoluto (Inherente) Riesgo con Controles (Residual) Riesgo con tratamientos Implementar Planes de Acción

59 TRATAMIENTOS Tratamiento: es el proceso de modificar el Riesgo. Puede involucrar: Evitar el riesgo Tomar o incrementar el riesgo, para obtener una oportunidad Remover la Fuente de Riesgo Cambiar la Probabilidad Cambiar la Consecuencia Compartir el riesgo con otra(s) parte(s) Retener el riesgo por una decisión informada

60 Costo del Tratamiento COMPENSACIÓN ENTRE COSTOS Y BENEFICIOS Alto Bajo Bajo Reducción del Riesgo Alto

61 EJEMPLOS PARA REDUCIR O CONTROLAR PROBABILIDAD APÉNDICE G. IDENTIFICANDO OPCIONES PARA EL TRATAMIENTO DEL RIESGO. G1 Acciones para reducir o controlar la probabilidad Estas pueden ser: a) Auditoría y programas de cumplimiento ii) Condiciones contractuales. iii) Revisiones formales de requerimientos, especificaciones, diseños, ingeniería y operaciones. iv) Inspecciones y control de los procesos. v) Administración de Inversiones y del portafolio. vi) Administración de proyectos. vii) Mantenimiento preventivo viii) Aseguramiento de la calidad, administración y estándares. ix) Investigación y desarrollo, desarrollo tecnológico. x) Entrenamiento estructurado y otros programas. xi) Supervisión. xii) Pruebas preventivas. xiii) Reestructuraciones organizacionales; y xiv) Controles técnicos.

62 EJEMPLOS PARA REDUCIR O CONTROLAR PROBABILIDAD G2 Procedimientos para reducir o controlar consecuencias Estos incluyen: a) Planes de contingencia ii) Acuerdos contractuales iii) Condiciones contractuales iv) Funciones de diseño v) Planes de recuperación de desastres vi) Planes para control del fraude vii) Minimización de exposición a la fuente del riesgo viii) Planeamiento del portafolio ix) Políticas de precios y controles x) Separación o relocalización de una actividad y recursos xi) Relaciones públicas; y xii) Pagos parciales.

63 MAPAS DE RIESGO: ABSOLUTO, CON CONTROLES Y TRATAMIENTOS

64 VALORACIÓN RIESGO CON TRATAMIENTOS: INDIVIDUALES Y EN CONJUNTO PERFIL DEL RIESGO: Descripción de cualquier conjunto de Riesgos.

65 IMPLEMENTAR PLANES DE ACCIÓN IMPLEMENTACION DEL PROCESO DE ADMINISTRACION DEL RIESGO Establecer contexto SAR Externo Interno Especifico Definir áreas de impacto Definir fuentes de Riesgo Identificar los Riesgos Riesgo Absoluto (Inherente) Riesgo con Controles (Residual) Riesgo con tratamientos Implementar Planes de Acción

66 ... DEFINIR LOS PLANES DE ACCIÓN Los planes de tratamiento deben: Identificar responsables, cronogramas, los resultados esperados de los tratamientos, presupuesto, indicadores clave de desempeño y el proceso de revisión que debe ser establecido. Incluir mecanismos para evaluar y monitorear la efectividad de los tratamientos con respecto a los objetivos del tratamiento, responsabilidades individuales y objetivos de la organización y procesos para monitorear el progreso de los planes de tratamiento contra los hitos críticos de implementación. Documentar de una manera práctica, como serán implementadas las opciones seleccionadas.

67 DEFINIR LOS PLANES DE ACCIÓN Conjunto de Tratamientos para mitigar los Riesgos Agrupación lógica de los Tratamientos por objetivos, por responsables, por sectores, por prioridades, u otra clasificación, a fin de controlar su implementación y monitorear los resultados esperados. PROPIETARIO : Responsable Plan de Acción ACCIONES PROPUESTAS: Compendio de Tratamientos RECURSOS: Humanos, Financieros, Tecnológicos, etc. RESPONSABILIDES: Asignaciones a responsables CRONOGRAMA: Actividades y compromisos INFORMES: Mecanismos y frecuencia revisión Plan MONITOREO: Estado de avance en cada seguimiento FECHAS CLAVE: Registrado/ Terminado/ Seguimiento

68