Sistema de Administración del Riesgos Empresariales

Transcripción

1 Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola (agosto de 1980 hasta octubre de 1997) (+)

2 Agenda Antecedentes Definición Objetivos Beneficios Fortalecimiento de la cultura Metodología Factores de riesgo con sus matrices Pirámide de alineación estratégica Plan de Continuidad del Negocio (BCP)

3 Antecedentes Todas las actividades de las organizaciones están sometidas de forma permanente a una serie de amenazas, por lo cual las hace vulnerables en mayor o menor medida, comprometiendo su estabilidad en el tiempo. Eventos de riesgos económicos, personales, físicos, naturales, etc. son una muestra de este panorama sin olvidar las amenazas propias de cada negocio. Las organizaciones, no importa cual sea su actividad y tamaño, afrontan una serie de riesgos que pueden afectar a la consecución de sus objetivos. Director Ejecutivo

4 Deficiencias en la gestión del riesgo Pérdida Financiera para la Organización por : Fraude Interno y/o Externo. Control Interno aplicado ad hoc (para un propósito específico o temporal). No estar preparado para la Continuidad del Negocio ante interrupciones. Procesos no estandarizados o poco efectivos y eficientes. Errores en sistemas de información gerenciales. Proceso tecnológicos no estandarizados, poco o ningún control en cambios y seguridad de la información. Cultura de riesgo y de control no forman parte de las actividades diarias. Información no confiable, incompleta e inexacta. Información distribuida en forma desorganizada en la organización y reprocesos. Proyectos poco efectivos o con problemas recurrentes. Incumplimiento normativo.

5 Definición del riesgo empresarial 1.- El riesgo empresarial es la posibilidad de que los flujos en efectivo sean insuficientes para cubrir los gastos de operación. 2.- También los riesgos de la empresa considera la probabilidad originada por fallas e insuficiencias en: Procesos- Personas- Tecnología y Eventos Externos. 3.- Finalmente considera también el desaprovechamiento de de los objetivos empresariales. El riesgo es intangible e invisible; sin embargo, es necesario evaluarlo, pues el riesgo de ahora puede transformarse en la pérdida de mañana.

6 Objetivos : Tangibles Mejora la participación de mercado Conocimiento de los riesgos organizacionales Definición de controles sólidos Reducción de pérdidas operativas Mejora la calidad del servicio ( Enfoque al cliente ) Mejorar la Eficiencia / Optimización de costos Apalanca el Plan estratégico Lenguaje y cultura vivir el riesgo Integración de objetivos riesgos y control de los procesos Intangibles Mejoramiento continuo Transferencia de conocimiento

7 Beneficios Tener organizaciones más seguras y conscientes de los riesgos que les afectan y pueden afectar. Consolidar la Imagen Organizacional (Socios, Clientes, Auditores Externos, Certificadoras nacionales e internacionales ) Propiciar la mejora en la calidad de los productos y servicios ofertados en función de un análisis de riesgo y de medición de capacidades de gestión. Aportar en la mejora del índice de eficiencia operativa a consecuencia de la disminución de los costos a efecto de las oportunidades de mejora a realizarse. Administración R.E. Controles Monitoreo Mantenimiento

8 Fortalecimiento de la Cultura Hitos que deben lograrse durante la implementación del sistema de administración de riesgos empresariales: 8. El riesgo integrado en la cultura de la organización 1. Entendimiento del significado del riesgo a través de toda la organización 7. Aceptación del nivel de riesgo y planes de acción asociados 2. Identificar riesgos de tipo estratégico y operativo 6. Administración de riesgos integrada en las decisiones estratégicas y operativas de la organización 3. Establecer el nivel de tolerancia al riesgo / Fomentar la cultura de riesgo 5. Alcanzar los objetivos del negocio entendiendo y analizando el nivel de riesgo al cual está expuesto la organización y quienes se definan como responsables de administrarlo 4. Estructura organizacional que soporte el proceso de administración de riesgos: competencias y responsabilidades

9 Fortalecimiento de la Cultura Definir y establecer Incorporar El modelo que será utilizado al interior de la Organización para administrar los riesgos. La terminología en la cultura organizacional. Generar Boletines informativos para refrescar los conocimientos. Desarrollar Conciencia de gestión de riesgos. Implementar Esquemas de auto-evaluación. Consolidar El sistema de Control Interno. Definir Programas de capacitación y entrenamiento. Establecer Mecanismos de monitoreo e indicadores de desempeño (riesgos, controles)

10 Fundamento metodológico Fuente: Norma ISO 31000:2009 Risk Management

11 Pasos metodológicos Talento Humano / Procesos / Tecnología / Eventos Externos Definir criterios de calificación de riesgos Identificar Controles Definir Plan de Mitigación Identificar riesgos Identificar características de los controles Cultura de riesgos organizacional Calificar riesgos Valorar controles Monitoreo de los riesgos Riesgos Brutos Riesgos Residuales Gestión de riesgos

12 Metodología En la práctica, los riesgos se expresan : El primer gráfico se denomina matriz de riesgos brutos y el segundo matriz de riesgos residuales. Los riesgos residuales con mayor debilidad de sus controles se dará tratamiento a través de planes de mitigación y los riesgos de mayor fortaleza en sus controles se definirán cronogramas para su monitoreo. Probabilidad de ocurrencia Riesgos Brutos Magnitud del impacto Pruebas a controles Evaluación de controles (diseño y eficiencia operativa de los controles) Riesgos Residuales Riesgo Bruto Solidez de los controles Extremos Altos Moderados Bajos Planes de mitigación Monitoreo de riesgos La gestión del riesgo tiene que ver tanto con su identificación cuanto con su tratamiento.

13 En resumen: Metodología Definir criterios de calificación Extremo R1 Determinar los riesgos y controles Riesgo Bruto Alto Moderado R3 R2 Bajo Registrar los eventos de pérdida Débil Moderado Fuerte Solidez del control Tratar el riesgo Monitorear los riesgos y tomar acción Cuantificar las pérdidas

14 Personas Eventos externos Procesos Tecnología Factores de Riesgo 1. Documentar proceso. 2. Evaluar riesgos. 3. Implementar controles. 4. Identificar procesos críticos. 5. Monitoreo de procesos. 1. Procesos de administración de la tecnologia. 2. Procesos de seguridad informática. 3. Levantamiento de la infraestructura. 4. Identificar infraestructura crítica. 1. Procesos de vinculación. 2. Procesos de permanencia. 3. Procesos de desvinculación. 4. Lineamientos para definición de competencias técnicas y de gestión. 5. Código de ética y políticas de RRHH. 1. Evaluación de procesos e infraestructura crítica. 2. Conformación del Comité de Continuidad y Contingencia. 3. Implementación de los Planes de Continuidad y Contingencia. 4. Implementación de la infraestructura de continuidad y contingencia. 5. Plan de pruebas y simulacros.

15 Matriz de riesgos brutos - Ejemplo - P R O B A B I L I D A D Muy alta Alta Moderada Baja Muy baja Inferior Menor Importante Mayor Superior IMPACTO Riesgo Bruto Bajo Riesgo Bruto Moderado Riesgo Bruto Alto Riesgo Bruto Extremo

16 Matriz de riesgos residuales - Ejemplo - R I E S G O B R U T O Extremo Alto Moderado Bajo Débil Moderado Fuerte SOLIDEZ DE LO CONTROLES Riesgo Residual Bajo Riesgo Residual Moderado Riesgo Residual Alto Riesgo Residual Extremo

17 Administración de riesgos Pirámide de alineación estratégica Riesgo Logro de resultados Visión Qué queremos ser? Misión Valores Objetivos corporativos Objetivos estratégicos Iniciativas tácticas Planes operacionales Satisfacción de grupos de interés Porqué existimos? En qué creemos? Qué queremos lograr? Cuál es el plan para lograrlo? Qué programas permiten lograr los objetivos? Qué tengo que hacer? Responsabilidad social empresarial

18 Rentabilidad

19 Disponibilidad Servicios Personas e Infraestructura Activación Infraestructura alterna Procesos y proveedores Tecnología y proveedores Activación infraestructura Principal Plan de continuidad y contingencia 100% D2 D1 0% Normalidad T0 Plan de Emergencia T1 Plan de Continuidad T2 Recuperación T3 Plan de Contingencia T4 Restauración T5 Normalidad Tx Tiempo

20 Plan de continuidad y contingencia Criticidad Basado en Servicios Procesos Tecnología Proveedores

21 La gestión adecuada del riesgo reduce las pérdidas, mejora la eficiencia e incrementa la ventaja competitiva, por consiguiente mejora los ingresos.

22 Gracias