POLÍTICA CORPORATIVA DE GESTIÓN DE RIESGOS

Transcripción

1 POLÍTICA CORPORATIVA DE GESTIÓN DE RIESGOS

2 Contenido 1. Introducción Objetivo Responsables Alcance Metodología para la Gestión del Riesgo Contexto Grupo Spradling Identificar Riesgos Tipificación de Causas/Fuentes Generadoras Analizar los riesgos Medición de probabilidad e impacto Evaluar el riesgo Tratar el riesgo Monitoreo y Revisión Comunicación y Consulta Información Documentada... 9 Anexo 1 - Glosario Anexo 2 Matriz de Riesgos

3 1. Introducción Toda empresa lleva a cabo sus operaciones con un fin último: la creación de valor, pero este fin no puede alcanzarse sin asumir ciertos riesgos. Por ello, para obtener los resultados deseados gestionar una empresa implica gestionar riesgos y para poder hacerlo con garantías, las empresas deben definir su Sistema de Gestión de Riesgos. Un Sistema de Gestión de Riesgos adecuado debe alinearse con la estrategia del grupo, su cultura corporativa y como punto clave debe tener en cuenta la naturaleza de sus operaciones. Los principales Comités de control de las empresas del grupo deben apoyar e impulsar la gestión de riesgos, con el objetivo de que se transmita a toda la organización y se integren en la operatividad diaria de todas las áreas. La estrategia organizativa de una empresa debe basarse en un proceso continuo de identificación y evaluación de riesgos. Este proceso exige que las compañías analicen los riesgos que se toman y que se establezcan planes de acción y medidas de seguimiento, control y reporte de acuerdo a lo establecido en la presente Política. 2. Objetivo Establecer los lineamientos que permitan al Grupo Spradling a través de un proceso estructurado, consistente y continuo, identificar, evaluar, medir y gestionar los riesgos y oportunidades que puedan afectar el logro de los objetivos. 3. Responsables Responsable Presidencia Comités ejecutivos Auditoría Interna Corporativa Gerencias Actividades Aprobar el Sistema de Gestión de Riesgo y efectuar su revisión continuamente. Garantizar que la organización cuente con los recursos necesarios (humanos, financieros, técnicos, etc.) para la gestión del riesgo. Evaluar los riesgos de la Compañía y determinar si están acordes con el apetito de riesgo definido. Revisar las matrices de riesgos con el fin de determinar su integridad y alineación con la estrategia corporativa. Evaluar nuevos riesgos que deban ser incluidos en la matriz de acuerdo a las decisiones que se toman en pro del cumplimiento de objetivos. Revisar si los controles establecidos permiten llevar el riesgo inherente a un nivel aceptable. Presentar para aprobación de Presidencia la Política Corporativa para la Gestión del Riesgo y revisarla periódicamente para asegurar que siga siendo apropiada según la dinámica y contexto organizacional. Asegurar que el Sistema de Gestión del Riesgo sea revisado en los procesos auditados y este de acuerdo a los lineamientos de la política. Implementar la Política Corporativa de Gestión de Riesgo en los procesos bajo su responsabilidad. Establecer líneas claras de autoridad, responsabilidad y comunicación en sus procesos para asegurar y fomentar la cultura de gestión del riesgo. Mantener actualizadas las matrices de riesgos de sus procesos, así como determinar que los controles tomados llevan el riesgo inherente a un nivel aceptable de acuerdo a los lineamientos del grupo. Reportar a Auditoría Interna Corporativa como mínimo con una periodicidad semestral las matrices de riesgos de sus procesos. 3

4 Comunicar y consultar Monitorear y revisar Política Corporativa de Gestión de Riesgos Responsable Todo el personal de la compañía Actividades Participar activamente en la identificación y gestión del riesgo de sus procesos, de conformidad con los lineamientos de esta Política. 4. Alcance Aplica para todas las Compañías del Grupo Spradling en los diferentes procesos de negocio manejados, los cuales deben ser definidos por el Comité Ejecutivo de cada Compañía. 5. Metodología para la Gestión del Riesgo La gestión del riesgo consiste en actuar de una manera preventiva y como parte integral de toda la gestión de la compañía, para ello se empleará una metodología basada en los estándares y mejores prácticas, tales como AS/NZS 4360:1999. Estándar Australiano para la Administración de Riesgos y Norma Técnica Colombiana NTC-ISO 31000:2011.Gestión del Riesgo. Principios y Directrices que está fundamentada en las siguientes etapas: Contexto Identificar riesgos Analizar riesgos Evaluar riesgos Tratar riesgos 5.1 Contexto Grupo Spradling Spradling Group Inc. ha definido y divulgado los pilares de su Direccionamiento Estratégico los cuales son la guía para las operaciones de las diferentes Compañías y las cuales se encuentran orientados a los siguientes pilares: Orientación al mercado. Crecimiento global Innovación y diversificación. Excelencia Operacional. Talento y estructura de clase mundial 4

5 Figura 2. Direccionamiento Estratégico Teniendo en cuenta lo anterior, cada compañía del grupo debe definir los elementos propios de su contexto externo e interno, analizando cómo pueden incidir en el logro de los objetivos. Dentro de los elementos del contexto es importante considerar: Contexto Externo Ambiente social, cultural, político, legal, reglamentario, financiero, tecnológico, económico, natural, competitivo. Los impulsores clave y las tendencias que tienen impacto en los objetivos de la organización. Las relaciones con las partes interesadas externas, sus percepciones y valores. Contexto Interno Gobierno y cultura organizacional, funciones y responsabilidades. Políticas, objetivos y estrategias Capacidades y recursos (conocimientos, capital, personas, procesos, etc.) Las relaciones con las partes interesadas internas, sus percepciones y valores. Sistemas y flujos de información y procesos de toma de decisiones. Normas y políticas corporativas. 5.2 Identificar Riesgos Debe realizarse un análisis exhaustivo de los eventos que podrían crear, aumentar, evitar, degradar, acelerar o retrasar el logro de los objetivos. Es una actividad que requiere compromiso y diligencia por parte de todo el personal de la compañía, y en especial de los líderes de proceso, ya que debe convertirse en parte natural de la operación. 5

6 5.2.1 Tipificación de Causas/Fuentes Generadoras Son los medios o circunstancias generadoras del riesgo. Pueden se internas o externas. Existen numerosas fuentes y clasificaciones; no obstante, para efectos de facilitar la administración de los mismos, el Grupo ha estandarizado las siguientes fuentes de riesgo sin que sea limitante para identificar fuentes adicionales: N Tipo Causa Generadora Ejemplos 1 2 Circunstancias económicas, financieras y legales Circunstancias Ambientales y Desastres Naturales 3 Circunstancias Políticas 4 Comportamiento Humano 5 Aspectos tecnológicos y técnicos 6 Desempeño de los Procesos 7 Salud y Seguridad en el Trabajo 8 Seguridad 9 Lavado de activos y Financiación del terrorismo (LA/FT) Fluctuación de divisas, tasas de interés, inflación, etc. Condiciones climáticas, sismos, incendios, maremotos, plagas, etc. Cambios legislativos, cambios de gobiernos con nuevas políticas, impuestos, etc. Errores involuntarios, negligencia, huelgas, desmotivación, falta de incentivos, falta de competencia, alta rotación, etc. Obsolescencia, dependencia, sistemas ineficientes, virus, planes de contingencia, accesos, etc. Errores de diseño, bajos estándares de calidad, pruebas y controles inadecuados Medidas de seguridad inadecuadas, administración de seguridad, Accidentes de Trabajo. Desfalcos, vandalismo, robo, apropiación indebida de información, etc. Relaciones comerciales con clientes, proveedores, empleados, asociados, vinculados a actividades de LA/FT. 5.3 Analizar los riesgos Implica comprender los riesgos, se debe cuantificar su magnitud, proyectar su probabilidad y sus posibles consecuencias. El análisis puede ser de tipo cualitativo, semi-cuantitativo, cuantitativo o una combinación de estos los cuales dependen del tipo de riesgo analizado y de la información disponible. El análisis cualitativo utiliza formatos de palabras o escalas descriptivas para expresar la magnitud de las consecuencias y su probabilidad de ocurrencia. En el análisis sema-cuantitativo, a las escalas cualitativas se les asignan valores, ello con el objetivo de producir un ordenamiento de prioridades más detallado. El análisis cuantitativo utiliza valores numéricos para evaluar las consecuencias y probabilidades, mediante técnicas como el modelado de eventos, estudios experimentales, criterios monetarios, coeficientes de probabilidad, entre otros Medición de probabilidad e impacto. La probabilidad es la posibilidad de materialización de un riesgo y el impacto se refiere a la magnitud de las consecuencias para la organización, si el evento ocurriera, este análisis debe realizarse de manera inicial sin tener en cuenta los controles que tenemos o planeamos implementar para tratarlo, de esta forma calcularemos el riesgo inherente. 6

7 Para evitar juicios subjetivos y un mayor nivel de confianza en la medición, deben utilizarse las mejores técnicas y fuentes de información disponibles, por ejemplo: Registros anteriores, experiencia relevante, investigaciones de mercado, juicios de expertos, etc. El análisis de probabilidad e impacto para el Grupo debe desarrollarse basado en los siguientes criterios: MEDIDAS DE PROBABILIDAD Nivel Descriptor Descripción Frecuencia 5 Casi Seguro Se espera que ocurra en la mayoría de las circunstancias. Una o más veces al mes 4 Probable Ocurrirá probablemente en la mayoría de las circunstancias Una vez al trimestre 3 Posible Podría ocurrir en algún momento Una vez al semestre 2 Improbable Puede ocurrir en algún momento Una vez al año 1 Raro Puede ocurrir en circunstancias excepcionales. Al menos una vez cada 5 años MEDIDAS DE IMPACTO Nivel Descriptor Descripción Magnitud 5 Catastrófico 4 Mayor 3 Moderado 2 Menor 1 Insignificante Consecuencias fatales. Enorme pérdida financiera Consecuencias altas y extensas para la organización, pérdida financiera mayor. De presentarse tendría medianas consecuencias para la organización De presentarse tendría un bajo impacto para la organización De presentarse los efectos sería mínimos para la organización. 5% Ingresos Operacionales 2% Ingresos Operacionales 1% Ingresos Operacionales 0.5% Ingresos Operacionales 0.1% Ingresos Operacionales 10% EBITDA 5% EBITDA 2% EBITDA 1% EBITDA 0.5% EBITDA Pérdidas humanas, incapacidad total y permanente mayor o mayor a 6 meses Incapacidad mayor a 3 meses y hasta 6 meses Incapacidad mayor a 1 mes y hasta 3 meses Incapacidad mayor a 3 días y hasta 1 mes Sin lesiones o con incapacidad de hasta 3 días La identificación y análisis de los riesgos debe registrase en la matriz de riesgo anexa a la presente Política. 5.4 Evaluar el riesgo Consiste en comparar el nivel de riesgo detectado durante la etapa de análisis descrita anteriormente, en donde se ha determinado la probabilidad y el impacto con el fin de evaluar el riesgo de acuerdo a los criterios que se encuentran a continuación con el fin de darles una prioridad: 7

8 Impacto Probabilidad Insignificante Menor Moderado Mayor Catastrófico Casi seguro Alto Alto Extremo Extremo Extremo Probable Moderado Alto Alto Extremo Extremo Posible Bajo Moderado Alto Extremo Extremo Improbable Bajo Bajo Moderado Alto Extremo Raro Bajo Bajo Moderado Alto Alto Criterios de Riesgo para Spradling Group Inc. 5.5 Tratar el riesgo Existen diferentes opciones para tratar los riesgos, estos dependen de la naturaleza del riesgo y de los controles que podamos implementar para minimizar su probabilidad y/o impacto, es por esto que se han definido ciertos criterios de tratamiento que sirven como guía los cuales pueden ser consideradas individualmente o combinadas: N Tratamiento Ejemplos 1 Evitar el Riesgo Esto implicaría no iniciar o continuar con la actividad que lo genera, se debe ser muy cauteloso al tomar esta decisión ya que puede conllevar a un aumento en los riesgos o perder una oportunidad al perseguir opciones con riesgos más bajos. Incluye acciones como aumentar el número de auditorías, inspecciones y controles, mantenimiento preventivo, 2 Reducir Probabilidad condiciones contractuales, especificaciones y diseño, administración de proyectos, calidad, capacitación estructurada, entre otros. Incluye acciones tales como contar con planes de 3 Reducir Impacto contingencia, arreglos contractuales, controles de fraude, planeación de cartera, políticas de precios, reubicación de actividades, entre otros. 4 Compartir el riesgo Implica que otra parte comparte o soporta parte del riesgo, incluye mecanismos tales como arreglos de seguros, uso de contratos, joint ventures entre otros. Sin embargo, al transferir un riesgo ya sea de manera parcial o total, la empresa adquiere un nuevo riesgo y es que la organización que lo ha adquirido no pueda administrarlo efectivamente. 5 Retener el Riesgo Implica aceptar el riesgo y monitorearlo con completa conciencia de las posibles consecuencias en caso de materialización. La medición y análisis de estas variables en el contexto de los controles existentes, produce el nivel de riesgo residual al disminuir su probabilidad y/o impacto. El tratamiento, los controles, así como el riesgo residual al que se llega debe ser incluidos dentro de la matriz de riesgos. La decisión de tratamiento de los riesgos implica analizar y procurar equilibrar los costos y esfuerzos de la implementación, frente a los beneficios derivados de su implementación. Todo riesgo que a pesar de los Planes de Tratamiento genere un riesgo residual alto o extremo requiere ser analizado de nuevo, para la definición de un nuevo plan de acción. 8

9 En general el tratamiento de los riesgos debe llevar los mismos a un riesgo residual tan bajo como sea razonablemente posible, si el nivel de riesgo es alto, pero podrían resultar oportunidades considerables si se retiene, tal como el uso de una nueva tecnología entonces la aceptación del riesgo debe estar basada en una evaluación de los costos y beneficios que podrían generarse de tomar el riesgo. 5.6 Monitoreo y Revisión La efectividad del Sistema de Gestión de Riesgos debe ser monitoreada y revisada para asegurar que las circunstancias a las cuales se encuentra enfrentado el Grupo, no hayan traído nuevos riesgos que deben ser analizados, no se hayan alterado las prioridades de los riesgos y que los planes de acción siguen siendo apropiados. Por lo anterior, cada Compañía debe como revisar la integridad de los riesgos identificados en la matriz y validar si estos siguen siendo aplicables o hay nuevos que deban ser incluidos, medir nuevamente la probabilidad e impacto, validar los controles asociados para conocer el riesgo residual y tomar acciones de ser necesario. Esta actividad se desarrollará como mínimo anualmente o antes de ser requerido. 5.7 Comunicación y Consulta La comunicación entre todas las partes interesadas del proceso desde la etapa más temprana de la gestión del riesgo, es clave para obtener la mayor efectividad posible y serán los líderes quienes definan los canales al interior de sus procesos, para asegurar una mejor administración de sus riesgos. La comunicación involucra un diálogo en ambas direcciones, esto es importante, ya que las percepciones de los riesgos pueden variar debido a diferencias en los supuestos, conceptos, necesidades, aspectos y preocupaciones de los interesados, según se relacionen con el riesgo. Dado que los interesados pueden tener un impacto significativo en las decisiones tomadas, es importante que sus percepciones de los riesgos así como sus percepciones de los beneficios sean identificadas y documentadas en las matrices de riesgos. 6. Información Documentada La gestión del riesgo debe permitir la trazabilidad; en virtud de lo anterior, se debe conservar como información documentada la evidencia de las actividades desarrolladas en las diferentes etapas de la gestión del riesgo. El período de retención será de mínimo 5 años sin perjuicio de las necesidades legales o reglamentarias. Tipo de documento Políticas corporativas Proceso del que depende - Fecha de creación Responsable de la actualización Director de Auditoría Interna Corporativa Comité de Presidencia Aprobó Gerente Financiero Presidencia No. Revisión 00 9

10 Anexo 1 - Glosario Administración del Riesgo: Conjunto de elementos de control que al interrelacionarse permiten evaluar diferentes eventos internos o externos, que puedan influir en el logro de los objetivos positiva o negativamente. Análisis de Riesgo: Elemento de control que permite establecer la probabilidad de ocurrencia de los eventos positivos y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de la organización para su aceptación y manejo. Compartir el Riesgo: Es la acción de reducir el efecto de un riesgo a través del traspaso de la pérdida a otra empresa u organización, como en el caso de las pólizas de seguros. Control: Cualquier acción tomada por la gerencia y otras partes para gestionar el riesgo y aumentar las posibilidades de que los objetivos y metas se alcancen. Establecimiento del Contexto: Definición de los parámetros internos y externos que se han de tomar en consideración cuando se gestiona el riesgo, y establecimiento del alcance y los criterios para la política para la gestión del riesgo. Evaluación del Riesgo: Proceso de comparación de los resultados del análisis del riesgo con los criterios, para así determinar si su magnitud o impacto son aceptables o tolerables. Permite decidir el tratamiento que se va a dar los riesgos. Evento: Presencia o cambio de un conjunto particular de circunstancias. Fuente de Riesgo: Elemento que solo o en combinación tiene el potencial intrínseco de originar un riesgo, puede ser tangible o intangible. Identificación del Riesgo: Proceso de encontrar, reconocer y describir los riesgos. Implica la identificación de las fuentes de riesgo, eventos, sus causas y sus posibles consecuencias. Impacto: Resultado de un evento que afecta a los objetivos. Un evento puede originar un rango de impactos o consecuencias, las cuales pueden ser ciertas o inciertas y tener efectos positivos o negativos en los objetivos. Mapa de Riesgo: Matriz de los riesgos clave que enfrenta la organización o sus procesos y que incluye el nivel de impacto (ejemplo: alto, medio, bajo) junto con la probabilidad de que el evento ocurra. Monitoreo del Riesgo: Actividad que busca asegurar que los controles operen como se requiere y que sean modificados apropiadamente de acuerdo a los cambios en las condiciones. Nivel de Riesgo: Magnitud de un riesgo o una combinación de estos, expresada en términos de probabilidad de ocurrencia y magnitud de impacto. Probabilidad: Oportunidad de que algo suceda. Índice por medio del cual se mide qué tan factible es la materialización del riesgo. Consiste en analizar las causas que permiten estimar la factibilidad de materialización del riesgo. Riesgo: Efecto de la incertidumbre sobre los objetivos, corresponde a la posibilidad de que ocurra algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias. - Riesgo Inherente: Riesgo existente ante la ausencia de alguna acción que la dirección pueda tomar para alterar tanto la probabilidad o el impacto del mismo. - Riesgo Residual: Corresponde al riesgo que permanece después del tratamiento del mismo. Tratamiento del riesgo: Proceso para modificar el riesgo. 10

11 Anexo 2 Matriz de Riesgos