www.pwc.com/ve

Un elemento clave para las organizaciones de hoy: Resiliencia Boletín de Servicios de Asesoría en Riesgos No. 2 - 2015

 Inicio

Boletín de Servicios de Asesoría en Riesgos - No. 2 - 2015 Contenido

Contenido Haga click en los enlaces para navegar a través del documento 4 Introducción 4Características de una organización resiliente 4Herramientas para hacer de la nuestra, una organización resiliente 4Enfoque Continuado de la Resiliencia 4 Créditos / Suscribirse

Cerrar

Imprimir

Página anterior

Página siguiente

No. 2 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos Un elemento clave para las organizaciones de hoy: Resiliencia Introducción En tiempos complejos, muchos se preguntan: ¿cómo pueden existir organizaciones exitosas bajo tales condiciones?, ¿Cuál es la oportunidad que está viendo esta organización en estos momentos?, ¿Será posible que a esta organización no le afecte los problemas? Todos los países, sociedades, grupos organizados y personas pasamos por momentos complejos, y definitivamente, las dificultades económicas y sociales pueden representar obstáculos para todos por igual. En estos tiempos, cada sector puede tener sus propios inconvenientes, bien sea a nivel de producción, de comercialización, de permisos y autorizaciones, de situaciones laborales, entre otras. Sin embargo, algunas organizaciones han decidido ser exitosas incluso en estos tiempos. ¿Cómo lo han logrado?: Con Resiliencia. La palabra Resiliencia tiene su origen en la propiedad física de los materiales que les permite absorber y almacenar energía de deformación y retomar su forma original.

Esta situación combina en su fórmula una presión externa con el límite elástico del material. En psicología, de acuerdo con la Real Academia Española, la palabra resiliencia representa la capacidad humana de asumir con flexibilidad situaciones límite y sobreponerse a ellas. Numerosos estudios hablan además de la

capacidad de salir fortalecidos ante las situaciones complejas o adversas. En un material publicado en noviembre 2014 por El Prado, centro de psicología en Madrid, España, existe una serie de características que identifica a una persona resiliente. En la Figura N° 1 se pueden observar esas características.

Figura N°1: Características de las personas resilientes. Fuente: www.elpradopsicologos.es Conscientes de sus limitaciones y potencialidades

Creativas

Confian en sus capacidades

Aprenden de las dificultades

Practican el Mindfulness

Objetivos pero optimistas

Se rodean de lo positivo

No intentan controlar todas las situaciones

Flexibles ante los cambios

Tenaces en sus propósitos

Enfrentan la adversidad con humor

Buscan la ayuda de los demás y el apoyo social

No. 2 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos Un elemento clave para las organizaciones de hoy: Resiliencia Introducción (cont.) Estas características pueden ser trasladadas a las organizaciones, y permiten reconocer las acciones que deben ser emprendidas en la organización para llegar a ser un negocio resiliente, que pueda prever los riesgos y que tenga una capacidad de respuesta proactiva ante los posibles eventos que se sucedan. La resiliencia, además, será cada vez más necesaria a medida que el crecimiento de las organizaciones les exija enfrentarse a mayores riesgos, con una sociedad más exigente y con stakeholders que no aceptarán el crecimiento a toda costa, sino bajo la consideración responsable de los riesgos a tomar.

Características de una organización resiliente Basados en la Figura N° 1, a continuación trasladaremos los conceptos allí representados a las organizaciones: Conscientes de sus limitaciones y potencialidades: La organización como un todo debe conocerse, no solo por tener personal con experiencia en sus labores y en sus procesos específicos, sino además por tener y gestionar un conocimiento colectivo de su forma de ser, los riesgos que lo rodean y de su alcance como organización. Herramientas como el FODA (Fortaleza, Oportunidades, Debilidades y Amenazas), permiten hacer un auto-reconocimiento de sus limitaciones y de sus oportunidades internas y externas, así como de su forma de responder estructuralmente ante ciertos eventos, y sirve como base para la conformación de un plan estratégico que permita resaltar sus fortalezas y aminorar sus debilidades. Las empresas pueden también conocer sus limitaciones y potencialidades por medio del

análisis histórico del cumplimiento de sus objetivos, de los resultados obtenidos en sus indicadores y/o de la revisión de las estrategias ejecutadas que la llevaron a su posición actual (sea ésta buena o mala). Esta mirada crítica al pasado debe hacerse de manera puntual y esporádica, y con el objetivo de conocerse mejor para tener una visión más integral para el futuro. Son Creativas: Como dice un proverbio holandés: Cuando soplan los vientos de tempestad unos corren a refugiarse… y otros construyen molinos. Una vez ocurrido un evento, una organización resiliente tendrá la capacidad de responder con soluciones innovadoras, y de convertir esa adversidad en una oportunidad. Es consciente que si las condiciones permitieron que el evento tuviera efectos no deseados, en lugar de buscar excusas u otras vías para continuar bajo las mismas condiciones erróneas, deben hacer un cambio.

No. 2 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos Un elemento clave para las organizaciones de hoy: Resiliencia Características de una organización resiliente (cont.) Una organización innovadora, no necesariamente debe hacer grandes inversiones, tener un Departamento de Investigación y Desarrollo, o contratar a los más expertos en tecnología e innovación. Muchas de las innovaciones nacen de ideas sencillas de los empleados y trabajadores, quienes conocen el día a día de sus procesos y que muchas veces están deseosos de aportar para mejorarlos. Las organizaciones que han aprendido a motivar el surgimiento de estas ideas y a canalizarlas, llegan a tener un mejor tiempo de respuesta ante posibles eventos no deseados. Finalmente, otra de las claves de una organización resiliente es saber emprender un proceso de gestión de cambio, de manera que todos queden alineados a las nuevas condiciones. Confían en sus capacidades: Luego de conocer sus limitaciones y potencialidades desde el punto de vista interno (gente, tecnología, procesos), y externo

(mercado, competencia, regulaciones, entre otros), una organización resiliente debe tener objetivos claramente definidos y alcanzables. La confianza de la organización irá en el sentido de poder cumplir con estos objetivos y de vencer los obstáculos que se presenten en el proceso del cumplimiento. Sabe que puede tener un tiempo de respuesta rápido que permita tomar las mejores decisiones en situaciones de presión, para lo cual debe contar con un proceso de control interno que apoye a la Gerencia con controles preventivos, concurrentes o de supervisión y correctivos, que sean efectivos y aporten al logro de los objetivos. Para que una organización confíe en sus capacidades, debe confiar en su gente. Esquemas de medición de desempeño, de control interno o de coaching de personal, deben orientarse a la motivación al logro, y a la identificación oportuna de la necesidad de sinergias con otras personas, áreas u organizaciones.

Aprenden de las dificultades: En este aspecto, lo primero que saben hacer las organizaciones resilientes es identificar y reconocer las adversidades. Parece una tarea sencilla, pero no siempre es así. Muchas veces la adversidad se identifica cuando ya han causado un daño importante bien sea desde el punto de vista financiero, operativo, de mercado, etc. Ejemplo de ello son aquellas organizaciones que otrora fueron líderes tecnológicos, y que no reaccionaron oportunamente a las innovaciones de sus competidores. Otras adversidades surgen tan repentinamente que dan poco margen para reaccionar, ejemplo de ello son desastres naturales, o los virus tecnológicos que pueden atacar de manera masiva a los sistemas. La velocidad de respuesta dependerá de la preparación que tenga la organización en este sentido, por ejemplo de mantener un adecuado plan de continuidad del negocio.

No. 2 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos Un elemento clave para las organizaciones de hoy: Resiliencia Características de una organización resiliente (cont.) Una vez identificada y solucionada la adversidad, las organizaciones resilientes son capaces de analizar objetivamente lo sucedido, aprender de ello, y en ocasiones convertirlas en oportunidades, incluso si para ello es necesario redefinirse como empresa o dar un viraje a sus productos o servicios. Practican el Mindfulness: Mindfulness ha sido descrito como un proceso de mantener atención plena y aceptar la experiencia presente momento a momento. No vivir en el pasado, y no preocuparse en exceso del futuro y sus incertidumbres. Aunque es una práctica personal aplicada en la medicina y la psicología, así como en doctrinas filosóficas y religiosas, es totalmente aplicable a las organizaciones, bien sea integrando a sus empleados en esta práctica, o aplicándola conceptualmente como consciencia colectiva de la organización. Una visión proactiva de no mirar al pasado para buscar culpables por ciertas situaciones, sino más bien para corregir errores, y una

planificación estratégica que, sin importar el plazo para el cual se desarrolla, mantenga un seguimiento continuo, y sea flexible ante los cambios del entorno, son características de organizaciones resilientes que practican el Mindfulness. Otra característica fundamental es la de responder prontamente a eventos mediante la toma de decisiones pragmáticas, aceptando el evento y viendo el provecho que se le pueda sacar. Son objetivas pero optimistas: Una organización resiliente es totalmente consciente de la necesidad de ser objetiva. Posee indicadores claros y fácilmente medibles y demostrables que permiten evaluar y hacer seguimiento continuo sobre el desempeño. Son conscientes también de los recursos que tienen a su alcance y por lo tanto se plantean metas reales e identifican tempranamente aquellas que no podrán ser alcanzadas. Al mismo tiempo, combinan optimismo con realismo. Se esfuerzan en centrarse en los

aspectos positivos, y disfrutan del proceso de dominar a los retos. Se sobreentiende que se debe trabajar sobre lo negativo, aun cuando admiten que las cosas nunca son totalmente positivas o negativas. Para una organización resiliente no es suficiente llevar un Balanced Scorecard, lo que más importa es el proceso para cumplir con los indicadores y metas en ella definidos. Se rodean de lo positivo: Las organizaciones, como parte de un tejido social, practican una amplia gama de relaciones con diferentes actores: Empleados, proveedores, socios comerciales, clientes, empresas relacionadas, franquiciados, etc. En este sentido, las organizaciones resilientes tratan de rodearse y mantener relaciones proactivas y productivas, con gente u otras organizaciones que mantengan una actitud positiva y que también les interese llevar relaciones ganarganar.

No. 2 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos Un elemento clave para las organizaciones de hoy: Resiliencia Características de una organización resiliente (cont.) Al mismo tiempo, las organizaciones resilientes mantienen mecanismos de protección para identificar oportunamente relaciones ajenas a sus intereses. Estos mecanismos están inmersos en todas las áreas, sus políticas, procesos e indicadores, así como en el proceso de control interno. Por ejemplo, las relaciones positivas con los empleados parten desde el proceso de selección y reclutamiento.

riesgos, así como la configuración de un proceso de control interno que permita dar respuesta a los riesgos desde el punto de vista de eficacia y eficiencia en las operaciones, de la confiabilidad de los informes financieros, y del cumplimiento de los aspectos legales y regulatorios, y que además sea consciente de sus limitaciones y sea apoyado y practicado por todo el personal de la organización, incluyendo los de más alto nivel.

No intentan controlar todas las situaciones: Los riesgos siempre están presentes y deben controlarse, sin embargo una organización resiliente maneja muy bien los conceptos de riesgo inherente y de riesgo residual. Sabe que no todo puede ser controlado y que deben apuntar a crear esquemas para mitigar esos riesgos de una manera razonable. Tal como las personas, una organización que intente abarcar y controlar todo, resultará en una organización burocrática, ineficiente y con controles más costosos que los beneficios que pueda generar. La clave en este sentido, es la correcta identificación, valoración y priorización de los

Son flexibles ante los cambios: Se pudiera pensar que una organización resiliente con todas las características mencionadas, poco debe cambiar en lo interno, y poco debe ser afectada por los cambios externos. Sin embargo, el mundo de los negocios está viviendo cambios vertiginosos cada día, influenciados por la tecnología, las nuevas regulaciones, el ambiente político y económico, y otras circunstancias. Las organizaciones resilientes, no solo se preparan para los continuos cambios, sino que poseen la suficiente flexibilidad para adaptar

sus planes y metas si las circunstancias lo requieren. Son conscientes que existen diferentes vías para lograr los objetivos, y si un cambio en particular obstaculiza una de esas vías, saben buscar la vía alterna sin complejos en desprenderse de la ruta original. Son tenaces en sus propósitos: Ya hemos dicho anteriormente que las organizaciones resilientes fijan objetivos claros y medibles, también hemos dicho que tienen flexibilidad para adaptar sus planes y metas si las circunstancias lo requieren. Pero el hecho que sean flexibles, no debe confundirse con la fortaleza y el empeño que muestran a la hora de lograr sus objetivos. Las organizaciones resilientes son conscientes que un Gran Objetivo es la suma de la consecución de otros objetivos menores. No pierden de vista estos grandes objetivos y lucharán hasta lograrlo, siempre de manera proactiva y constructiva. Son conscientes también que el logro de sus objetivos de hoy será la base para los objetivos de mañana.

No. 2 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos Un elemento clave para las organizaciones de hoy: Resiliencia Características de una organización resiliente (cont.) Enfrentan la adversidad con humor: ¿Pueden las organizaciones tener buen humor?: Definitivamente sí. El humor de las organizaciones viene atada al humor de su gente. Y es aquí donde las organizaciones ponen énfasis en la tranquilidad y la libertad que necesita su personal para ejecutar adecuadamente sus funciones, sin temor a represalias, o a liderazgos abusivos o negativos.

conformado por equipos multidisciplinarios que tenga varios enfoques de los asuntos a resolver, y con objetivos y reglas claras para su debida interacción y solución de conflictos. Más allá del humor, son también necesarios: la confianza, el respeto, la motivación, la sensibilidad, la creatividad, la espontaneidad y la imaginación.

Buscan la ayuda de los demás y el apoyo social: También la organización resiliente debe dar a su En épocas de crisis, las organizaciones gente el respaldo necesario para que su principal resilientes saben unirse y trabajar en conjunto, incluso si es necesaria una alianza estratégica preocupación sea el logro de sus objetivos laborales, apoyando a su gente en otros ámbitos temporal con su competencia. Para ello debe tenerse un plan que permita definir los como personales, académicos, etc, así como no mecanismos y los límites para esta cooperación. distrayéndolos con la asignación de tareas innecesarias o fuera de su función. Otras fuentes que ayudan a superar los momentos difíciles, son las asociaciones que Por otra parte, la organización resiliente es reúnen a organizaciones con naturaleza similar, consciente que el trabajo en equipo es tales como Cámaras o Federaciones. Las fundamental para el logro de sus objetivos. La consultorías sobre temas específicos también organización debe contribuir a que el ambiente de trabajo sea altamente productivo, son un excelente mecanismo para obtener una

visión independiente y experimentada, sobre cómo enfrentar estas situaciones. Por otra parte, es importante que la organización pueda divulgar adecuadamente la contribución que hace a la sociedad que le rodea, de manera de recibir su apoyo en el momento requerido. Para esto, los reportes integrados permiten, entre otros temas, tener una visión interna de su aporte, y divulgarlo a la sociedad.

No. 2 - 2015 Cerrar

Contenido

Página anterior

Imprimir

Página siguiente

Boletín de Servicios de Asesoría en Riesgos Un elemento clave para las organizaciones de hoy: Resiliencia Herramientas para hacer de la nuestra, una organización resiliente

Figura N°.2: Marco Conceptual COSO II – ERM os

gic

té tra

Es

es

ion

c era

Op

te

li mp

to

en

mi

or

p Re

Cu

Información y Comunicación Actividades de Control Respuesta al Riesgo Evaluación de Riesgos Identificación de Eventos Establecimiento de Objetivos Ambiente de Control

Subsidiaria

Monitoreo

División

Cuando una organización presenta algunas de estas señales, son signos claros que requieren Pudieran existir otras señales, sin embargo, construir una base más sólida para la resiliencia: incluso si la organización no ha recibido manifestaciones en este sentido, PwC - Se han dejado de cumplir los objetivos recomienda repasar la existencia de las estratégicos, operacionales, de reporte o de siguientes herramientas y evaluar su idoneidad, cumplimiento considerando el ambiente actual y los nuevos - Se han consumado eventos que no habían sido riesgos a los que puede enfrentarse cualquier organización. Estas herramientas, aunque cada considerado como riesgos - Han tenido poca capacidad de respuesta ante una posee una función específica, y pueden la competencia o ante eventos externos nacer por separado, tenderán a integrarse como - Han perdido clientes y mercado parte de un solo marco de resiliencia - Esperan con temor la reacción de un tercero organizacional: ante cualquier reporte suministrado (accionistas, entes regulatorios, etc.)

1. Gestión Integral de Riesgos: Una organización resiliente parte de la identificación, valoración y mitigación de los riesgos. El marco conceptual COSO II (ERM) aborda la gestión de los riesgos con un enfoque integrador. En ella se establecen una serie de dominios y objetivos que permiten ocuparse de los riesgos y oportunidades que afectan a la creación de valor o su preservación. En la Figura N° 2, puede observarse el cubo que contiene los componentes de ERM.

Unidad de Negocios

- Han escaseado los argumentos para defender elementos clave para el cumplimiento de los objetivos - Han sido víctimas recurrentes de fraude - No se encuentran preparados ante posibles eventos contingentes - Dependen plenamente de personas en particular para operar los procesos o tomar decisiones

Nivel de Entidad

Todas las organizaciones que han logrado tener éxitos en su haber, poseen algún grado de resiliencia, algunas por convicción y porque han sabido canalizar y organizar su pensamiento colectivo hacia esta cualidad, y otras simplemente porque han contado con personas resilientes que han sabido trasladar este beneficio a la organización.

No. 2 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos Un elemento clave para las organizaciones de hoy: Resiliencia Herramientas para hacer de la nuestra, una organización...(cont.) La gestión integral de riesgos es un proceso ejecutado por toda la organización, entendiéndose esto como toda su gente, que permite pensar premeditadamente sobre aquellos posibles eventos que pudieran obstaculizar el cumplimiento de los objetivos estratégicos, operativos, de reporte o de cumplimiento. Estos riesgos deben ser administrados hasta un nivel razonable, bien sea evitándolos, reduciéndolos, compartiéndolos o aceptándolos, sobre la base del apetito de riesgo de la organización. La implementación del ERM constará de una serie de documentos con la identificación y la valoración de los riesgos, así como la estrategia para mitigarlos y las actividades de control a ser implantadas, informadas y supervisadas. Pero una organización resiliente, no se conforma con tener implantado un ERM, sino que busca atarlo inseparablemente a la estrategia del negocio. Si no es así, el ERM se convierte en un elemento estático ante el dinamismo del negocio. Por otra parte, también busca no solo mitigar los riesgos, sino prever las

oportunidades que puedan surgir por cada evento que se materialice. Las siguientes preguntas nos pueden ayudar a identificar si el actual programa de gestión integral de riesgos, en caso que exista, apoya a la resiliencia organizacional: - ¿Quién es el dueño del riesgo?. Muchas organizaciones descansa la responsabilidad de los riesgos sobre personas que no poseen una potestad directa en el negocio. La organización debe colocar a las personas del negocio como responsable directo de los riesgos asociados. Hacer esto involucra identificar los tipos de riesgos que cada quien manejará y el esquema de cascada que decante estos riesgos a nivel más operativo y a los responsables operativos. - ¿Qué tan efectivo es el Directorio al supervisar la administración del riesgo? La Junta Directiva requiere de información realmente útil para la evaluación de los riesgos y actuar en consecuencia. Comúnmente, la Directiva

resulta inundada en un mar de datos, incluso muchas veces operativos, que no están alineados con el apetito de riesgo definido por la propia Directiva. En este sentido, el reporte a la Directiva debería orientarse solo a aquellos aspectos estratégicamente críticos y alineados al nivel de tolerancia definido. - ¿Qué tan proactivamente son administrados los riesgos?. Ser proactivos significa tener presente que los riesgos cambian y que por lo tanto su evaluación y actualización debe hacerse con una periodicidad razonable. Muchas organizaciones son buenas administrando solamente aquellos riesgos que conocen, pero pueden aportar un valor mucho mayor al identificar riesgos emergentes o no vistos anteriormente, así como la evolución de otros riesgos acorde al avance de la tecnología, tal como el riesgo de fraude. Para esto las organizaciones resilientes crean análisis de escenarios innovadores que incluye factores internos y externos que pueden generar la identificación de nuevos riesgos.

No. 2 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos Un elemento clave para las organizaciones de hoy: Resiliencia Herramientas para hacer de la nuestra, una organización...(cont.) - ¿Pueden los Cisnes Negros ser administrados?: Los Cisnes Negros son eventos que ocurren sorpresivamente y no pueden ser previstos (sin prospección), que tienen un alto impacto en la organización, y que luego de ocurrido pueden ser racionalizados o explicados (retrospección). Una organización resiliente reconoce la importancia de estar preparado para lo imprevisto, cómo recuperarse ante esta situación, y finalmente cómo ver las oportunidades que se desprenden del evento. Más adelante se hará referencia a otra de las herramientas que apoya a la organización resiliente y que puede ser incorporada al ERM: Planes de continuidad del negocio.

parte de la naturaleza de sus procesos y su negocio, por ejemplo, un banco tiene sus bóvedas y sus sistemas de protección con o sin ERM. El costo de implantar un ERM irá orientado básicamente al esfuerzo de integrar al ERM a los objetivos estratégicos y al desempeño gerencial, así como las metodologías y adiestramiento al personal, los cuales son devengados una única vez con un mantenimiento de muy bajo costo en años subsiguientes. El retorno incluye el logro efectivo de los objetivos, la disminución de las sorpresas, menor costo de interrupciones y remediaciones más rápidas luego de posibles eventos.

nuevas regulaciones y que funja como consultor ante cualquier duda en esta materia.

- ¿Se es consciente del retorno de inversión sobre el ERM?: Muchas organizaciones piensan que la implantación de un ERM es muy costosa y que no vale la pena ante los riesgos que pudieran materializarse. En realidad una organización resiliente es consciente que la mayoría de los recursos de control ya están presentes con o sin ERM como

2. Esquemas para el cumplimiento regulatorio: Uno de los aspectos más importantes para una organización resiliente, es asegurar, de manera proactiva, su fortaleza en el ámbito de Cumplimiento. Muchas organizaciones hoy en día, aún gestionan este tema con simplemente tener un abogado que esté pendiente de las

Las funciones del DC, que existía de manera muy básica hace una década atrás, actualmente abarcan la supervisión de un amplio rango de actividades de cumplimiento en todos los procesos del negocio, incluyendo aspectos relacionados al cumplimiento de códigos de conducta, estándares internacionales y otros, además de las normas y regulaciones del

Sin embargo, otras organizaciones han comenzado a darle mayor preeminencia a esta función. En el caso de la industria financiera, existe por regulación la figura del Oficial de Cumplimiento, que tradicionalmente se ha encargado de los aspectos referidos a la prevención de legitimación de capitales y financiamiento al terrorismo, pero en el ámbito internacional y en otras industrias, la figura del Chief Compliance Officer o Director de Cumplimiento (DC), ha venido evolucionando vertiginosamente.

No. 2 - 2015 Contenido

Cerrar

Página anterior

Imprimir

Página siguiente

Boletín de Servicios de Asesoría en Riesgos Un elemento clave para las organizaciones de hoy: Resiliencia Herramientas para hacer de la nuestra, una organización...(cont.) Estado. El DC también provee al Directorio y a la Por el otro lado, desde el punto de vista de los dueños de las unidades del negocio, Alta Gerencia reportes sobre la efectividad de los programas de cumplimiento. manifestaron que el principal reto que observan hacia el DC, es el reconocimiento de riesgos relacionados directamente con los objetivos El crecimiento de la importancia del DC, sigue siendo un reto para las organizaciones y para la estratégicos, así como riesgos emergentes, tales como aquellos asociados al rápido cambio cultura organizacional. En encuesta realizada por PwC en el año 2014, la mayoría de los regulatorio. encuestados miembros de la Dirección de Cumplimiento, manifestaron que el principal La encuesta también reveló, tal como se puede reto al que se enfrentan hoy en día es el crear observar en la Figura N° 3, que la DC aún se está lazos más cercanos con los dueños de las enfocando en áreas de riesgo que le han sido diferentes unidades del negocio, así como hacer tradicionales, tales como temas de confidencialidad y de soborno y corrupción, entender que la responsabilidad del cumplimiento recae sobre cada uno de los aunque ya ha comenzado a aparecer en el mapa temas menos tradicionales. miembros de la organización y no solo sobre la Dirección de Cumplimiento.

Figura N° 3: Áreas de riesgo abarcadas por la DC Regulaciones especificas de la industria

31%

Privacidad y confidencialidad

25%

Soborno y corrrupción

22%

Conflictos de interés

21%

Fraude

20%

Riesgo estratégico

19%

Calidad regulatoria

15%

Continuidad del negocio

13%

Protección al consumidor

13%

Seguridad

12%

Control comercial (import./export.)

11%

Seguridad ambiental

9%

Propiedad intelectual

9%

Contratación con gobierno

9%

Lavado de dinero

9%

Antimonopolio y justa competencia

9%

Cumplimiento laboral

8%

Cumplimiento con proveedores

7%

Responsabilidad Social Corporativa

7%

Conducta ética

6%

Administración de libros y registros

6%

Abuso de información privilegiada

6%

Medios sociales

3%

Fuente: PwC – State of Compliance 2014 Survey

No. 2 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos Un elemento clave para las organizaciones de hoy: Resiliencia Herramientas para hacer de la nuestra, una organización...(cont.) El reto de la organización resiliente es integrar estratégicamente el concepto de cumplimiento en las operaciones de la organización, así como prever, medir y supervisar aquellos riesgos asociados a estos temas, y a los temas de comportamiento ético. 3. Plan de Continuidad del negocio: Las dos herramientas anteriores (Gestión Integral de Riesgos y Esquemas para el Cumplimiento), nos dan luces sobre cómo prevenir eventos no deseados, de manera de evitarlos o en todo caso mitigar sus efectos para no perjudicar las operaciones del negocio. Pero, existen eventos que no pueden ser previstos o que simplemente no podrán ser mitigados suficientemente con los recursos con los que cuenta la organización. Para estos casos, el Plan de Continuidad del Negocio (PCN), permite responder oportunamente y recuperar las funciones críticas en un tiempo determinado, mientras se normaliza la situación.

En la Figura N°4, se observan los elementos y pasos necesarios para la implantación de un Plan de Continuidad de Negocios. Figura N°.4: Pasos para implementar un PCN La Oficina de Continuidad de Negocios establece las directrices en la Organización para formar un Sistema de Gestión de Continuidad de Negocios Incluye las pruebas y el mantenimiento requerido para cada una de las fases de Continuidad del Negocio y sus Planes (Crisis, BCP y DRP)

Incluye los planes de respuesta que deben ejecutar las unidades de negocio y de tecnología al ocurrir una contingencia

Análisis de impacto al Negocio (BIA)

Planes de Prueba y Mantenimiento

Incluye el análisis de impacto legal, reputacional e imagen, clientes y financieros de los servicios y procesos críticos

Análisis de Riesgo y Planes Preventivos

Incluye el análisis de riesgos para dar el tratamiento de los mismos mediante planes preventivos

Estrategias de Continuidad

Incluye el diseño tecnológico de la plataforma requierida para la continuidad de los servicios críticos de la organización

Oficina de Continuidad de Negocios Plan de recuperación del negocio (BCP) y Tecnología (DRP)

Incluye los planes de respuesta de toda la organización durante una contingencia, así como la vuelta a la normalidad

Plan de Gestión de Crisis

No. 2 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos Un elemento clave para las organizaciones de hoy: Resiliencia Herramientas para hacer de la nuestra, una organización...(cont.)

Enfoque Continuado de la Resiliencia

Una organización resiliente tiene una mayor dosis de prevención que de reacción, pero incluso en los momentos que es necesario responder por reacción, mientras más preparada y planificada se encuentre la respuesta, sabe que va a salir mejor de la situación. Asimismo, para ellas no basta con tener un Plan de Continuidad del Negocio, sino que amplían su concepto hacia la Gestión de Continuidad del Negocio, el cual es un proceso de revisión continua de los planes y actividades orientado a que las funciones críticas del negocio continúen operando ante incidentes graves.

La Figura N° 5, explica la evolución que va a tener una organización en la búsqueda de la resiliencia, dando un enfoque continuo basado en la gestión de los riesgos y mediante las

herramientas mencionadas, así como en la gestión continua que debe instalarse como parte de un proceso de cultura organizacional.

Figura N°5: Enfoque continuo para implantar Resiliencia como parte de la cultura organizacional Etapa Cuatro

Valor

Cambio de enfoque

Etapa Tres

u

foq

En

Etapa Dos

os

ces

Etapa Uno

En

u foq

ee

ro nP

Cambio de enfoque

Inicio Tiempo

al

ltur

u eC

Resiliente

No. 2 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos Un elemento clave para las organizaciones de hoy: Resiliencia Enfoque Continuado de la Resiliencia (cont.)

Etapa Uno

El riesgo es administrado bajo un enfoque centralizado. Se evalúan los procesos para determinar riesgos y niveles de tolerancia al riesgo. El enfoque es principalmente sobre riesgos conocidos históricamente. Se 4documentan y comunican los riesgos, los cuales apoyan decisiones de la Alta Gerencia y los Directores. Sin embargo, la perspectiva de los riesgos se limita al punto de vista del área que evalúa los procesos y determina los riesgos, lo que pudiera afectar la toma de decisiones desde el punto de vista de negocios. Riesgos emergentes y Cisnes Negros son poco considerados.

Etapa Dos

Se comienzan a considerar los riesgos emergentes, así como se comienzan a vincular los riesgos identificados en las áreas operacionales con los identificados a nivel estratégico. La evaluación de los riesgos y la determinación de la Etapa 4tolerancia pasan a contar con un Dos marco metodológico más organizado. Se incorpora el punto de vista de riesgo a la planificación estratégica. Los reportes de riesgos a la Alta Gerencia y Directiva son más robustos, aunque el análisis de los riesgos no determina aún, cambios en los procesos operativos. Se comienza a establecer responsables de la administración de los riesgos a los niveles adecuados, incluyendo líderes de las áreas de negocio, lo cual los hace comenzar a tener una mentalidad más abierta a los riesgos, y a considerarlos como amenaza al

logro de sus objetivos. También comienzan a determinar su propia tolerancia al riesgo. En esta Etapa, la administración de los riesgos es más efectiva, pero es episódica, no se desarrolla de forma rutinaria, tal como lo requiere un ambiente 4cambiante.

No. 2 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos Un elemento clave para las organizaciones de hoy: Resiliencia Enfoque Continuado de la Resiliencia (cont.)

Etapa Tres

En esta etapa, la cultura de riesgos de los responsables se irá afianzando. La Gestión de Riesgos pasa a ser una herramienta de apoyo para la Gerencia. La organización tenderá a ver más los riesgos emergentes y los Cisnes 4Negros, sin descuidar los riesgos históricos. Las herramientas para la resiliencia ya estarán integradas en la planificación del negocio, y los riesgos son discutidos en conexión con los objetivos estratégicos, lo cual da luces sobre nuevos riesgos no considerados anteriormente, y permitirá trasladar acciones a los planes operacionales, e incluso hacer ajustes al plan estratégico para reflejar cambios en los perfiles de riesgo.

Etapa Cuatro

Las unidades de negocio desarrollan indicadores clave y métricas de desempeño para ayudarlos a manejar sus operaciones considerando las tolerancias de riesgo definidas. En esta etapa, la administración de 4riesgo ya es algo rutinario, y que atañe a todos los empleados de la organización, por lo que mantiene programas de adiestramiento continuos, y sobre todo para sus nuevos empleados. Se puede comenzar a desarrollar una cultura de prevención al riesgo. En este ambiente, la Directiva y la Alta Gerencia pueden tomar decisiones confiados en que sus empleados han logrado lidiar con los riesgos de bajo nivel, así como que los riesgos más complejos son debidamente escalados hasta sus instancias. Muchas organizaciones generan pruebas continuas para

Etapa Cuatro

medir el impacto de posibles riesgos severos y desarrollar planes de mitigación para incorporarlos en sus planes de continuidad del negocio. La organización resiliente en esta Etapa, también buscará extender esta cualidad más allá de 4sus fronteras, involucrando a proveedores, relacionados y otros, de manera de atacar posibles riesgos asociados a estos actores, y ayudarlos también en su proceso de búsqueda de su propia resiliencia.

No. 2 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Créditos Contactos de este boletín: Jonathan Gónzalez [email protected] +58 (xxx) xxxxxxx

José Miguel Chirinos [email protected] +58 (212) 700 62 46

Para suscribirse al Boletín Consultoría

Síganos en

@PwC_Venezuela

pwcVenezuela

pwc-Venezuela

pwcvenezuela

Editado por Espiñeira, Pacheco y Asociados Teléfono master: (58-212) 700 6666 Esta publicación ha sido elaborada para una orientación general sobre asuntos de interés solamente, y no constituye asesoramiento profesional. Usted no debe actuar sobre la información contenida en esta publicación sin obtener asesoramiento profesional específico. Ninguna representación o garantía (expresa o implícita) se da en cuanto a la exactitud o integridad de la información contenida en esta publicación, y, en la medida permitida por la ley, Espiñeira, Pacheco y Asociados (PricewaterhouseCoopers), sus miembros, empleados y agentes no aceptan ni asumen ninguna obligación, responsabilidad o deber de cuidado de las consecuencias de que usted o cualquier otra persona actuando o absteniéndose de actuar, basándose en la información contenida en esta publicación o por cualquier otra decisión basada en ella. ©2015 Espiñeira, Pacheco y Asociados (PricewaterhouseCoopers). Todos los derechos reservados. “PwC“ se refiere a la firma venezolana Espiñeira Pacheco y Asociados (PricewaterhouseCoopers), o según el contexto, a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. RIF: J-00029977-3.