Story Transcript
Sistema Efectivo de Análisis de Riesgo (SEAR) Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE
Taller a Personal Clave Lima, 20 de octubre 2015
Importancia de la Gestión de Riesgo en la Empresa Sistema Efectivo de Análisis de Riesgo (SEAR) El rol del personal en el SEAR I.
Planificación de la Gestión de Riesgos 1.1 Mapeo de Procesos 1.2 Definición de Objetivos 1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo 1.4 Priorización y Selección de Procesos Críticos
II.
Identificación y Clasificación de Riesgos 2.1 Identificación de Eventos 2.2 Identificación de Riesgos
Cláusula de propiedad intelectual Este documento contiene material, ideas y conceptos que son propiedad de EY. Los materiales, ideas y conceptos aquí vertidos son para uso exclusivo del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado. El contenido de este documento no debe ser reproducido total o parcialmente por ningún medio, ni distribuido a nadie externo a FONAFE, sin el consentimiento previo y por escrito de EY.
Página 2
Importancia de la Gestión de Riesgos en la Empresa
¿Qué es Gestión de Riesgos y cuál es su importancia?
¿Qué es?
¿Cuál es su objetivo?
¿Qué Comprende?
Es un conjunto de actividades coordinadas a nivel de toda la Empresa para identificar potenciales eventos que le afectarían y gestionarlos de acuerdo a sus necesidades.
Preservar el valor previniendo eventos internos y externos que puedan impactar negativamente el logro de los objetivos, y aprovechando aquellos que signifiquen oportunidades de desarrollo.
La implementación de un enfoque y lenguaje común en toda la Empresa.
Página 4
¿Qué es Gestión de Riesgos y cuál es su importancia? La Gestión de Riesgos debe enfocarse en los temas más relevantes, buscando un óptimo equilibrio entre el impacto del riesgo asumido, el costo de la actividad de control y el valor que ésta agrega a la Empresa, asegurándose de que el costo se mantenga por debajo del valor generado.
Página 5
Relación entre Gestión de Riesgos y otros marcos Permite a la dirección contar con una estrategia eficiente para procurar el cumplimiento de los objetivos de la Empresa. Gobierno Corporativo
Continuidad de Negocio Impulsa el establecimiento de controles adecuados que mitiguen los efectos ante una interrupción no deseada o desastre
Página 6
Brinda un enfoque en el cual deben basarse los procesos para garantizar la calidad de los productos o servicios.
Gestión de Riesgos
ISO 31000 Permite desarrollar una gestión de riesgos que cuente con un flujo de información constante.
ISO 9001
Control Interno Brinda los lineamientos para el desarrollo de la Evaluación de Riesgos.
Componentes de la Gestión de Riesgos Ambiente de control Establece la base de la gestión de riesgos de la Empresa, a través de la definición de la filosofía de gestión integral de riesgo, el apetito de riesgo, el rol del Comité de Gestión de Riesgos, y el establecimiento de una estructura de gestión integral de riesgos.
Establecimiento de objetivos La gestión integral de riesgo se asegura que la gerencia cuente con un proceso para definir objetivos que estén alineados con la misión y visión, con el apetito de riesgo y niveles de tolerancia.
Identificación de eventos Se identifican los eventos potenciales que afectan la puesta en práctica de la estrategia o el logro de los objetivos, pudiendo tener impactos positivos o negativos. Se reconoce la importancia de entender los factores internos y externos, y el tipo de eventos que pueden generar.
Evaluación de riesgos Permite que la Empresa entienda el grado en el cual los eventos potenciales pueden afectar los objetivos del negocio. Evalúa los riesgos desde dos perspectivas: probabilidad e impacto, y en un escenario inherente y otro residual.
Página 7
Componentes de la Gestión de Riesgos Respuesta al riesgo Las respuestas se establecen para alcanzar el riesgo residual alineado con los niveles de tolerancia al riesgo. Los costos de diseñar e implantar una respuesta o estrategia de tratamiento deben ser considerados, así como los costos de mantenerla.
Actividades de control Políticas y procedimientos que ayudan a asegurar que las respuestas a los riesgos son ejecutadas, de forma apropiada y oportuna. Están presentes en todos los niveles y áreas de la Empresa.
Información y comunicación La información relevante, debe ser identificada, capturada, procesada y comunicada en la oportuna y adecuadamente. La Dirección y Gerencia deben comunicar al personal su responsabilidad ante la gestión de riesgos. El personal debe entender su rol al respecto.
Monitoreo La gestión de riesgos es monitoreada evaluando la presencia consistente y funcionamiento de sus componentes. La eficacia de los otros componentes se sigue mediante actividades de supervisión continua y evaluaciones independientes entre sí. Página 8
Componentes de la Gestión de Riesgos Los componentes de Gestión de Riesgos buscan contribuir al cumplimiento de las siguientes categorías de objetivos…
Estratégicos
Operaciones
Objetivos a alto nivel, alineados con la misión de la Empresa
Objetivos vinculados al uso eficaz y eficiente de recursos. Incluye objetivos de rentabilidad y desempeño
Reporte
Cumplimiento
Objetivos de fiabilidad de la información suministrada y de las actividades realizadas
Objetivos relativos al cumplimiento de leyes y normas aplicables
… a través del desarrollo de actividades en estos niveles de la Empresa Despliegue de aspectos estratégicos de la gestión de riesgos a nivel corporativo. Identificación de riesgos estratégicos.
Nivel Entidad
Nivel de Procesos
Despliegue de la gestión de riesgos en cada proceso. Identificación de riesgos que afectan puntualmente a uno o más procesos.
Página 9
Sistema Efectivo de Análisis de Riesgo (SEAR)
¿Qué es el SEAR? SEAR El Sistema Efectivo de Análisis de Riesgo es un enfoque estandarizado para la implementación de la Gestión de Riesgos en las Empresas de la Corporación. Proceso
Metodología Brinda las directivas basadas en lineamientos teóricos líderes para el desarrollo de la gestión de riesgos.
Página 11
Es un conjunto de actividades sistematizadas que tienen como fin alcanzar el objetivo de fortalecer la gestión de riesgos.
Herramienta Proporciona instrumentos prácticos para facilitar el desarrollo de la Gestión de Riesgos.
Gestión de Riesgos
Beneficios de la implementación del SEAR
Crea un ambiente adecuado para el cumplimiento de los objetivos de la Empresa. Agiliza el proceso de toma de decisión de la dirección al contar con una visión de los riesgos que afectan a la Empresa. Contribuye a reducir las pérdidas que afecten los resultados de la Empresa al establecer mecanismos de identificación de riesgos y de control. Optimiza los costos de las actividades de control a través de la evaluación oportuna de su diseño y eficacia. Mejora el valor percibido de la Empresa y facilita el acceso a capital en mercados internacionales.
Página 12
El rol del personal en el SEAR
Responsabilidades del personal Es importante contar con una estructura organizacional de gestión de riesgos bajo un enfoque centralizado-colaborativo, a través de una dinámica top-down. Las actividades de gestión de riesgos deben ser estructuradas y lideradas por un nivel Directivo, soportado por una función encargada de la ejecución de los lineamientos establecidos que cuente con el apoyo del resto de unidades orgánicas en su desarrollo y materialización.
►
Directorio
►
Comité de Riesgos
Ejecutivo responsable del SEAR
Nivel 2 Lidera la implementación de las actividades del SEAR de acuerdo a los principios establecidos por la Dirección.
Página 14
►
Nivel 1 Define un Ambiente de Control apropiado para la Empresa, así como el enfoque y dimensión de la gestión de riesgos. Supervisa las actividades implementadas por la función de gestión de riesgos y asegura su eficiencia.
►
Dueños de procesos y gestores de riesgo
Nivel 3 Ejecuta la actividades del SEAR. Incluye al personal clave de cada proceso, asegurando el compromiso a lo largo de toda la Empresa.
Responsabilidades del personal
Nivel 1
Impulsar toma de decisiones de Gestión de Riesgos Definir cultura de Gestión de Riesgos Aprobar declaración del apetito de riesgo, Política de Gestión de Riesgos y Plan de Gestión de Riesgos Velar por alineamiento entre objetivos y actividades de la Gestión de Riesgos con Plan Estratégico Solicitar reportes trimestrales al Nivel 2 Evaluar anualmente el desarrollo del SEAR
Nivel 3
Apoyar al Nivel 2 en elaboración de Política de Gestión de Riesgos Documentar y actualizar del inventario de procesos, riesgos y controles según lo definido en la Metodología de Gestión de Riesgos Brindar soporte al Nivel 2 en actividades de evaluación de riesgos Documentar mapa de riesgos, mantenerlo vigente y reportar su estado al Nivel 2
Página 15
Nivel 2
Definir el apetito de riesgo Proponer Política de Gestión de Riesgos y Plan de Gestión de Riesgos. Diseñar Metodología para la Gestión de Riesgos Monitorear criticidad de los riesgos Aprobar criterios y técnicas para evaluación de riesgos. Elaborar el plan anual de capacitación de Gestión de Riesgos. Apoyar en el proceso de evaluación del desarrollo del SEAR al Nivel 1.
Nivel 2
Nivel 1 Nivel 3
Estructura y principales actividades del SEAR Mapeo de procesos
Identificación de procesos críticos
Definición de apetito de riesgo
Definición de objetivos
Identificación de eventos
SEAR
Identificación de riesgos Determinación de tolerancia de riesgo
! Documentación de matrices (cont.) Definición y documentación de Elaboración de planes de acción KRI’s
Elaboración de Estrategias de tratamiento
Elaboración de mapas de riesgos (Inherente y residual)
Probabilidad
Elaboración de un cronograma de seguimiento a los planes de acción
4
A
A
E
3
M
A
A
E
M
A
B
M
3
4
2
B
M
1
B
B
1
2
Evaluación de riesgo residual
E
Impacto
(cont.) de riesgos y controles a nivel de entidad y de procesos Reporte del avance de la implementación SEAR a FONAFE
Página 16
Evaluación del riesgo residual Evaluación de efectividad y y actualizar su calificación actualización de controles
Evaluación de KRI’s y modificación de estrategias de tratamiento al riesgo y planes de acción
Seguimiento a la implementación de planes de acción de acuerdo al cronograma
Evaluación de la gestión de riesgos y envío de los resultados a FONAFE para su aprobación
Identificación y documentación de actividades de control existentes
Evaluación de riesgo inherente
I. Planificación de la Gestión de Riesgos
I. Planificación de la Gestión de Riesgos La planificación es la fase inicial en el desarrollo de la gestión de riesgos de una Empresa y es fundamental para que las actividades sean implementadas de manera eficiente, oportuna y alineadas a las necesidades de la Empresa.
I. Planificación de la Gestión de Riesgos 1.1 Mapeo de Procesos
Entendimiento de las operaciones y, de acuerdo a ello, dimensionamiento del alcance requerido.
1.2 Definición de Objetivos
Identificación de objetivos para orientar la gestión de riesgos en función a su cumplimiento.
1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo
Establecimiento de parámetros para gestionar los riesgos adecuadamente.
Deberá elaborarse el Plan de Gestión de Riesgos, considerando: ► ► ► ►
Periodicidad de las actividades a desarrollarse. Secuencia en la que se deben llevar a cabo las tareas. Responsables a las actividades (de ejecución y supervisión). Alcance de las tareas (Nivel Entidad o Proceso).
Página 18
1.4 Priorización y Selección de Procesos Críticos
Designación de esfuerzos de manera proporcional a la criticidad de las operaciones.
I. Planificación de la Gestión de Riesgos 1.1 Mapeo de Procesos
Es importante mapear los procesos existentes para lograr un mayor entendimiento del negocio y sus operaciones, identificar los riesgos, e implementar y monitorear los controles de una manera más eficiente. ► Los procesos existentes deben agruparse en estas categorías: Se registran solo los procesos que efectivamente se ejecutan al momento de realizar el mapeo. De Apoyo
Estratégicos Cadena de Valor
Herramientas de documentación
De Negocio
Página 19
• • • • •
Mapa de procesos. Diagrama de Bloques del proceso. Plantilla de Subprocesos. Diagrama de Flujo. Narrativas.
I. Planificación de la Gestión de Riesgos 1.2 Definición de Objetivos
Los objetivos deben estar alineados a la misión y visión de la Empresa, y ser comunicados a todo el personal. La gestión de riesgos se orienta en función a los objetivos definidos a nivel entidad y por procesos.
Objetivos a nivel entidad
Objetivos a nivel de procesos
Categorías
Estratégicos
De reporte
Página 20
Operacionales
Cumplimiento
El objetivo de un proceso, es la finalidad por la cual el proceso es desarrollado dentro de la cadena de valor de la Empresa. Es decir, la razón por la cual es importante para la Empresa.
I. Planificación de la Gestión de Riesgos 1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo
El apetito de riesgo es el nivel de riesgo que la Empresa desea asumir para la consecución de sus objetivos.
Riesgo
Capacidad Tolerancia Apetito
La tolerancia al riesgo es el umbral de riesgo que la Empresa está dispuesta a asumir considerando el nivel de apetito de riesgo como tope.
Página 21
La tolerancia al riesgo debe determinarse una vez que se hayan identificado los riesgos.
La capacidad de riesgo es el nivel máximo de riesgo que la Empresa puede soportar sin que interfiera en su continuidad.
I. Planificación de la Gestión de Riesgos 1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo Ejemplo de Declaración de Apetito “La reputación de la Empresa, la de sus servicios y nuestro personal conforman nuestros principales activos, razón por la cual no toleramos riesgos que puedan impactar negativamente la imagen de la organización y a las personas que la representan. Nuestro propósito es generar valor a todos nuestros grupos de interés e innovar constantemente para que nuestros servicios cuenten con los más altos estándares de calidad y generen bienestar a nuestros clientes”.
Ejemplo de riesgo identificado Que se registren pérdidas en la Empresa a causa de accidentes ocupacionales.
De acuerdo a la Declaración de Apetito de la Empresa, el nivel de riesgo que se asumirá es: Pérdidas por accidentes ocupaciones hasta de S/. 20 000 ó que se presenten 5 accidentes ocupacionales por mes.
La tolerancia y la capacidad de riesgo para el ejemplo son las siguientes: Tolerancia: Pérdidas desde S/. 0.000 a S/.19 999 ó de 0 a 4 accidentes ocupacionales por mes.
Página 22
Capacidad: Pérdidas entre S/. 20 001 a S/. 30 000 ó 5 a 6 accidentes ocupacionales por mes.
I. Planificación de la Gestión de Riesgos 1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo Proceso de definición del apetito de riesgo Establecer el apetito de riesgo desde la Dirección, alineándolo con los objetivos a nivel entidad.
Modelo Topdown
Validar con los principales stakeholders los niveles de apetito de riesgo. Comunicar el apetito de riesgo a toda la Empresa y alinear la gestión de riesgos a éste.
Considerando el impacto de los siguientes aspectos en los objetivos: -Negocio de la Empresa -Aspectos jurídicos y normativos -Operación de la empresa -Tecnologías -Tecnologías de la información -Aspectos financieros -Factores sociales y humanitarios -Fraude
Proceso de definición de la tolerancia y capacidad de riesgo Criterio Considerando los mismos aspectos analizados en el apetito de riesgo, se definen la tolerancia y capacidad de riesgo
Página 23
Operaciones de la empresa
Ejemplo Que el número de accidentes laborales se encuentre entre # a #. Que la duración promedio de interrupciones del sistema (SAIDI) se encuentre entre # a #.
I. Planificación de la Gestión de Riesgos 1.4 Priorización y Selección de Procesos Críticos
La priorización de procesos permite identificar los procesos críticos de la Empresa, y así poder organizar la designación de esfuerzos de la gestión de riesgos en función a la criticidad de las operaciones. Criterios de priorización que deben considerarse al seleccionar un proceso crítico: • • • • • • •
Materialidad Las expectativas de la dirección y la alta gerencia Impacto en objetivos estratégicos Complejidad de las operaciones Volumen de las operaciones Nivel de automatización Importancia en la continuidad del negocio
Procedimiento • • • • Página 24
Establecer rangos por cada criterio para identificar si el proceso cumple con el criterio Asignar un puntaje por criterio. Se sumarán los puntajes obtenidos. Se considerará un procesos crítico si la suma es mayor a siete (7).
I. Planificación de la Gestión de Riesgos 1.4 Priorización y Selección de Procesos Críticos Criterios Materialidad
Expectativas de la Dirección y la Alta Gerencia
Volumen de Operaciones
Página 25
Impacto en Objetivos Estratégicos
Nivel de Automatización
Complejidad de las Operaciones
Importancia en la Continuidad del Negocio
II. Identificación y Clasificación de riesgos
II. Identificación y Clasificación de Riesgos La identificación y clasificación de riesgos es fundamental para hacer frente a los eventos que afecten el cumplimiento de los objetivos de la entidad y los procesos.
II. Identificación y Clasificación de Riesgos 2.1 Identificación de Eventos
2.2 Identificación de Riesgos
! Identificación de eventos positivos que deben ser aprovechados y de eventos negativos que deben prevenirse para no convertirse en riesgos.
Página 27
Identificación de los riesgos que afectan a los procesos y a la Empresa para, de acuerdo al apetito de riesgo, orientar la gestión de los mismos.
II. Identificación y Clasificación de Riesgos 2.1 Identificación de Eventos ¿Qué es un evento? Es una situación o elemento potencial de origen externo o interno que afecte a la entidad, el cual puede tener consecuencias positivas o negativas.
¿Cómo identificarlos?
¿En qué destaca la Empresa?
¿Qué se puede mejorar?
¿Tiene algo que la diferencie?
¿La Empresa tiene menos ventajas que otras similares?
¿Qué oportunidades tiene la Empresa a su alcance?
¿Qué podría desviar a la Empresa?
¿De qué tendencias se puede beneficiar?
Página 28
¿Qué hace la competencia?
II. Identificación y Clasificación de Riesgos 2.1 Identificación de Eventos
¿Por qué identificarlos? Los eventos negativos son el punto de partida para poder identificar los riesgos que afronta la Empresa. Es importante mapearlos pues permite desarrollar una cultura de prevención en la gestión de riesgos.
Los eventos positivos son relevantes para tener conocimiento de aquellas oportunidades que deben ser aprovechadas por la Empresa pues contribuyen al cumplimiento de objetivos.
Página 29
II. Identificación y Clasificación de Riesgos 2.2 Identificación de Riesgos ¿Qué es un riesgo? Es la amenaza que enfrenta una Empresa cuando un evento o acción puede afectar adversamente su habilidad de alcanzar sus objetivos y maximizar valor.
►
Riesgo a nivel entidad: Que no se comunique oportunamente la información que debe transmitirse a los accionistas debido a que no se ha definido de manera clara y formal al responsable de organizar dicha información y comunicarla.
►
Riesgo a nivel de proceso: Que se produzcan errores en los pagos a proveedores o dobles procesamientos debido a la recepción de información duplicada.
Página 30
!
II. Identificación y Clasificación de Riesgos 2.2 Identificación de Riesgos
¿Cómo documentarlo? Considerar su composición: 1. Consecuencia: Es el impacto que tendrá un riesgo al momento de materializarse. 2. Causa : Es el motivo por el cual se presenta el riesgo.
Tener en consideración Se identifican los riesgos que afectan a los procesos y a la entidad (Riesgos Estratégicos). Es importante tener especial consideración con los riesgos múltiples (riesgos que impactan a más de un proceso en la Empresa).
Página 31
!
II. Identificación y Clasificación de Riesgos
!
2.2 Identificación de Riesgos
Naturaleza y clasificación de riesgos La definición de la naturaleza y clasificación de los riesgos según su causa es necesaria para la organización de la gestión de los riesgos identificados. Naturaleza del riesgo Se refiere a las características propias del sector en el que se encuentra la Empresa que puede ocasionar determinadas clases de riesgos.
Clasificación de riesgos Externo Origen Interno
Para este caso, podrían considerarse, por ejemplo, estos aspectos: • • • • • • •
Regulaciones Infraestructura Operaciones Tipo de servicio Medio ambiente Relaciones con la comunidad Seguridad ocupacional
Entidad Nivel Proceso Rutinarios Frecuencia No rutinarios
Página 32
II. Identificación y Clasificación de Riesgos
!
2.2 Identificación de Riesgos Tipos de riesgo
Para organizar los riesgos y definir adecuadamente las estrategias de respuesta a cada uno de ellos, es importante que se los categorice por tipos de riesgo. Son los riesgos que tienen impacto directo a nivel de entidad debido a que afectan el cumplimiento de los objetivos estratégicos de la Empresa.
Son los riesgos asociados a los procesos de reporte, sean internos o externos, así como al de sus entregables.
Página 33
Estratégicos
De Reporte
Operacionales
De Tecnologías de la información
Son los riesgos vinculados a la parte operativa. Incluye los riesgos originados por deficiencias en los procesos o en la estructura organizacional.
Son los riesgos que tienen impacto tanto en la gestión de las tecnologías de la información como en la seguridad de la información.
II. Identificación y Clasificación de Riesgos 2.2 Identificación de Riesgos
!
Tipos de riesgo
Son los riesgos que impactan en la capacidad para cumplir con los requisitos normativos internos y externos.
Página 34
De Cumplimiento
De Fraude
Son los riesgo asociados a las conductas que incumplen las obligaciones legales con la finalidad de obtener un beneficio.
II. Identificación y Clasificación de Riesgos
!
2.2 Identificación de Riesgos
Técnicas para la identificación de riesgos Tormenta de ideas
Entrevistas
Técnica Delphi
Análisis FODA
Los riesgos identificados deberán documentarse en una Matriz de Riesgos y Controles a nivel entidad y por proceso Página 35
Cuestionario / Encuestas
Diagrama de Ishikawa
Sistema Efectivo de Análisis de Riesgo (SEAR) Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE
Taller a Personal Clave Lima, 20 de octubre 2015
Anexos
Página 37
Anexos
Mapa de Procesos Documento
Mapa de Procesos
Nombre Proceso Fecha Dueños de Proceso
A. DIAGRAMA DE BLOQUES
B. OBJETIVO / DESCRIPCIÓN – ANTECEDENTES
C. ÁREAS QUE INTERVIENEN Subproceso
D. APLICATIVOS
Página 38
Gerencia/ Subgerencia
Departamento / Sección
Responsable (nombre y cargo)
Participantes de Talleres (nombre y cargo)
Anexos
Diagrama de Bloques del proceso
Proceso : Fecha : Inicio
Subproceso 1
Fin
Subproceso 2
Subproceso 3
Subproceso 4
Subproceso 5
Subproceso 6
Inicio:
Inicio:
Inicio:
Inicio:
Inicio:
Inicio:
Fin:
Fin:
Fin:
Fin:
Fin:
Fin:
Página 39
Anexos
Plantilla de Subprocesos Proceso: Fecha: Sub procesos: Objetivo del subproceso: Responsables del subproceso: Áreas y cargos clave del subproceso:
Página 40
Comienzo del subproceso:
Final del subproceso:
Entradas:
Salidas:
Sistemas clave:
Productos relacionados:
Riesgos del proceso:
Controles relacionados a los riesgos:
Actividades clave:
Otra información relevante:
Anexos
Diagrama de Flujo
Página 41
Anexos Narrativas
Proceso Subproceso Sitio Owner del proceso Personal involucrado en los controles Autor Fecha última revisión Objetivo
Inputs (subproceso)
Outputs (subproceso)
Aplicaciones informáticas asociadas Indicadores claves de rendimiento
Cuentas financieras asociadas
Subproceso: # Actividad
Responsable
Descripción de la actividad
Observaciones
Página 42
Referencia del control