Título del apartado. Subtítulo del apartado. Gestión de riesgos corporativos en Corporación Empresarial Pascual

Transcripción

1 Gestión de riesgos corporativos en Corporación Empresarial Pascual

2 Mesa Redonda Gestión de Riesgos 09/02/2017 Asociación Española para la Calidad José María Iglesias, nuestro responsable de Riesgos Corporativo, nos aporta su visión sobre una serie de conceptos relacionados con los riesgos

3 Qué es riesgo? La posibilidad de que se materialice cualquier evento, que ponga en peligro en mayor o menor medida la consecución de uno o varios objetivos de la Organización, Dirección, Departamento, Unidad de Negocio, etc. Por tanto, debemos entender que sólo podemos hablar de riesgos cuando hay objetivos, o dicho de otra manera, si no hay objetivo no hay riesgo. El concepto de riesgo debe ir ineludiblemente ligado a la fijación de uno o varios objetivos. Riesgo frente a oportunidad Realmente son las dos caras de una misma moneda. Es necesario entender que un potencial evento puede ser un riesgo en unos casos, y una oportunidad en otros. Todo dependerá de los objetivos que nos hallamos marcado. De hecho, en una misma compañía lo que es una oportunidad para un área puede convertirse en un riesgo para otra. Por eso es necesario tener una visión global de las oportunidades y riesgos de la compañía, ya que en algunos casos es posible que haya que asumir riesgos en determinadas áreas que supongan grandes oportunidades para otras, y viceversa.

4 Cómo gestionamos los riesgos? 1. Como primera línea de defensa, las áreas operativas son propietarias de los riesgos y los gestionan. Estas áreas también son responsables de la implementación de acciones correctivas para hacer frente a deficiencias de proceso y control, así como de mantener un control interno efectivo y de ejecutar procedimientos de control sobre los riesgos de manera constante en el día a día. Estas áreas identifican, evalúan, controlan y mitigan los riesgos, guiando el desarrollo e implementación de políticas y procedimientos internos que aseguren que las actividades efectuadas son consistentes con las metas y objetivos. A través de una estructura de responsabilidad distribuida en cascada, los mandos intermedios dentro de su ámbito de gestión, por un lado, diseñan e implementan procedimientos detallados que sirven como controles y, por otro, supervisan la ejecución de tales procedimientos por parte de sus empleados.

5 Cómo gestionamos los riesgos? 2. Como segunda línea de defensa, estamos las funciones de gestión de riesgos y cumplimiento. Estas funciones sirven de apoyo para asesorar y monitorear los controles de la primera línea de defensa. Las funciones de esta segunda línea de defensa comprenden: En el caso de la función de gestión de riesgos, facilita y monitorea la implementación de prácticas efectivas de gestión de riesgos por parte de las áreas operativas e informa periódicamente a la CABG sobre la exposición al riesgo en toda la organización. En el caso de la función de cumplimiento, monitorea diversos riesgos específicos tales como el incumplimiento de leyes y regulaciones aplicables. También informa de manera periódica a la CABG sobre el Sistema de Gestión de Cumplimiento. Aunque no siempre es así, en nuestra Organización, estas funciones son completamente independientes de la gerencia operativa. 3. La tercera línea de defensa pertenece en exclusividad a Auditoría Interna. Los auditores internos dan una seguridad razonable sobre la efectividad del gobierno corporativo, de la gestión de riesgos y del control interno, incluyendo la manera en que la primera y segunda línea de defensa alcanzan sus objetivos de gestión de riesgos y control.

6 Metodología aplicada En función del riesgo y de la etapa de la gestión del riesgo en la que nos encontremos podemos aplicar distintas metodologías. En los procesos productivos aplicamos el APPCC. El APPCC es un requisito legal en la industria alimentaria. Pero más allá de la exigencia regulatoria, es una metodología que nos sirve para identificar los riesgos potenciales de nuestros procesos. El alcance del APPCC no son todos los posibles defectos de calidad del producto, sino que se focaliza en aquellos peligros químicos, físicos o biológicos que puedan dañar la salud del consumidor. Para los riesgos que afectan a los Sistemas de Información, aplicamos la metodología Magerit. En esta metodología, los activos esenciales son la información y los servicios prestados, y nuestro análisis alcanza su disponibilidad, su confidencialidad y su integridad. Estos activos, a su vez, dependen de otros activos como pueden ser los equipos, las comunicaciones, las instalaciones y la propias personas que trabajan con aquellos, de manera que los activos vienen a formar árboles de dependencia donde la seguridad de los activos que se encuentran más arriba en la estructura o superiores depende de los activos que se encuentran más abajo o inferiores. Estas estructuras, una vez definidas, reflejan de arriba hacia abajo las dependencias, mientas que de abajo hacia arriba nos indican la propagación del daño caso de materializarse las amenazas.

7 Experiencia práctica de cómo se incorpora el riesgo en la calidad de la organización. Nosotros tenemos un modelo de gestión propio que llamamos Mare Nostrum. Y lo llamamos así porque el entorno en el que nos toca competir es como un océano en el que nunca sabes qué es lo que te espera: mares en calma, olas como rascacielos, mar de fondo, es decir, que tenemos que gestionar constantemente la incertidumbre, y entendemos que la aplicación sistemática, ordenada y escrupulosa de nuestro modelo es el que nos tiene que llevar a buen puerto. Nuestro modelo se compone de siete procesos principales, uno de los cuales es el de anticipar Riesgos y Oportunidades. Este proceso, se aplica a todas las áreas de la Compañía, desde las Compras a las Ventas, pasando cómo no por los Procesos Industriales y sin olvidarnos de áreas como RRHH, Calidad, Innovación, Control de Gestión o Marketing entre otras. Cada una de estas áreas tienen objetivos de gestión, y todas ellas tienen la responsabilidad de identificar los riesgos asociados que sean una amenaza para la consecución de dichos objetivos. Una vez que tienen identificados los riesgos, se valoran los mismos en base a la probabilidad de ocurrencia y al impacto sobre el objetivo, y se definen los controles que se van a implementar para tener el riesgo dentro del umbral de riesgo que la Organización ha definido.