Title: E'R'M' Gestin de Riesgos Empresariales
1E.R.M. GestiĆ³n de Riesgos Empresariales
- Apostando por Sistemas de GestiĆ³n Integral de
Riesgos Sencillos y Progresivos -
JesĆŗs Aisa DĆez
Madrid, 7 de
Noviembre 2008
2Errores que no se pueden repetir
. QuizƔs lo mas importante es que las
entidades tenemos que gestionar el riesgo con
prudencia . Si hay algo que ha quedado claro en
esta crisis es la necesidad de poner el foco en
la gestiĆ³n de los riesgos. Y para esto no hay que
innovar mucho . No hay que inventar nada nuevo.
Hay que dedicarle tiempo y atenciĆ³n al mĆ”s alto
nivel Las subprime activaron la
crisis pero no la causaron Discurso de D.
Emilio BotĆn en la Conferencia de Banca
Internacional del Banco Santander. 16 Octubre 2008
3Concepto de ERM
Es un proceso efectuado por el Directorio, la
Gerencia y otros miembros del personal, aplicado
en el establecimiento de la estrategia a lo
largo de toda la OrganizaciĆ³n, diseƱado para la
identificaciĆ³n de eventos potenciales que puedan
afectarla y administrar las amenazas de acuerdo a
su apetito al riesgo, de modo de proveer
seguridad razonable en cuanto al logro de los
objetivos de la OrganizaciĆ³n
- Se publica en 2004
- Lo promueve COSO
- Es elaborado por PwC ( 2001/ 04)
- Se traduce al espaƱol por el IAI EspaƱa
- No anula al Marco sobre Control
- Interno o COSO I , lo perfecciona e
- integra
-
4COSO II algo mas que gestionar riesgos
Objetivo Nuevo
E.R.M COSO I SGIR
Nuevo Componente
Componente Ampliado
Nuevo Componente
Nuevo Componente
Considera las actividades de todos los niveles
de la organizaciĆ³n
Foco de la ponencia
5COSO I vs COSO II. Conceptos adicionales
Respecto de COSO I se han incluido
Objetivos estratƩgicos , que son los que fijan la
estrategia de la compaƱĆa
Objetivos EstratƩgicos Estrategia
los otros objetivos
(
operativos informativos cumplimiento)
IdentificaciĆ³n de eventos. FenĆ³menos que
afectan a la empresa, bien favorable o
desfavorablemente Respuesta a los
riesgos. Previo anƔlisis del coste-beneficio,
como responder a ellos, evitƔndolos,
reduciƩndolos , compartiƩndolos o
aceptƔndoles.
6Resultados de la implantaciĆ³n de ERM
SegĆŗn la encuesta realizada por PwC a mĆ”s 1.400
CEOs en todo el mundo, la conclusiĆ³n es que ERM
produce grandes beneficios, tales como
gt Incrementa la capacidad objetiva para asumir
los riesgos necesarios para crear
valor. gt Aporta claridad a la toma de
decisiones gt Agrega solvencia a las
operaciones del negocio gt Mejora el
seguimiento del desempeƱo gt Apoya el
establecimiento de procedimientos de gobierno
consistentes gt Refuerza la reputaciĆ³n
Sin oponer ninguna reserva a estas opiniones,
creemos que normalmente su implantaciĆ³n
Ha precisado de un periodo de desarrollo
amplio Se han empleado apoyos de
especialistas externos El coste no ha
resultado irrelevante CONDICIONANTES
DESMOTIVADORES DE SU EMPLEO !
7Rol de AuditorĆa Interna en ERM segĆŗn el IIA
8 Hoja de ruta implantaciĆ³n ERM
- 1. DiseƱo del plan de implantaciĆ³n a desarrollar
( Alcance, objetivos , recursos necesarios ,
participantes, facultades , etc ) - 2. Trasladarlo al CEO solicitando su preceptiva
aprobaciĆ³n - 3. RatificaciĆ³n de la aprobaciĆ³n por parte del
Consejo/ Directorio - 4. DifusiĆ³n de la existencia del proyecto a TODA
la OrganizaciĆ³n - 5. Solicitar copia del Plan EstratĆ©gico del
negocio ( objetivos, Pptos , polĆtica de
inversiĆ³n, de financiaciĆ³n, . ) - 6. Modelo riesgos/procesos a emplear .
- 7. IdentificaciĆ³n de los procesos del negocio
mas influyentes en la consecuciĆ³n del Plan
EstratĆ©gico - 8. OrdenaciĆ³n de los procesos por su importancia
para alcanzar los objetivos estratƩgicos
9 Hoja de ruta (2 )
9. Decidir nĆŗmero de procesos con los que vamos
a trabajar ( 10 / 15 mƔs relevantes) 10.
IdentificaciĆ³n de los riesgos inherentes que
conviven con los procesos seleccionados 11.
DeterminaciĆ³n factores que pueden generar los
riesgos identificados ( nivel de corrupciĆ³n,
mantenimientos, estado infraestructuras, pericia
profesional, .) 12. Concretar rangos de
evaluaciĆ³n de los atributos de los riesgos.
Impacto y Probabilidad 13. Evaluar los riesgos
existentes ( no riesgos inherentes). 14.
Concretar apetito al riesgo aceptado 15.
Establecer las medidas correctoras para ajustar
el riesgo residual. 16. Evaluar gap entre la
tolerancia al riesgo y el riesgo residual
real
10Desarrollo de la Hoja de Ruta. Puntos 1 a 5
- Se corresponden con las condiciones necesarias
para la implementaciĆ³n - Pretenden tres objetivos fundamentales , sin
ellos no es posible avanzar - Conocer los objetivos estratƩgicos vigentes
- Aseguranos el compromiso de la Gerencia y el
Directorio - Adquirir la autoridad necesaria para actuar y
solicitar la colaboraciĆ³n
- 1. DiseƱo del plan de implantaciĆ³n a desarrollar
- 2. AprobaciĆ³n del CEO
- 3. RatificaciĆ³n por parte del Consejo/
Directorio - 4. DifusiĆ³n del proyecto a TODA la OrganizaciĆ³n
- 5. Solicitar copia del Plan EstratƩgico del
negocio
11Desarrollo de la Hoja de Ruta. Punto 6 . Modelo
R/ P
AUDITORIA DE PROCESOS
A3. RIESGOS DE DIRECCION Recursos
Humanos Incentivos LĆmites Autoridad/SegregaciĆ³n
Funciones Liderazgo Flexibilidad al cambio
INSPECCION
A1. RIESGOS DE OPERACIONES SatisfacciĆ³n del
cliente DuraciĆ³n proceso productivo Desarrollo de
productos y servicios Proveedores - Recursos
externos Obsolescencia- gestiĆ³n
inventarios Incumplimiento de compromisos Facturac
iĆ³n / PĆ©rdida de ingresos ComunicaciĆ³n interna
Eficiencia Capacidad DiferenciaciĆ³n InterrupciĆ³n
del negocio Medio Ambiente Salud y
seguridad Imagen SubcontrataciĆ³n
A2. RIESGOS DE INTEGRIDAD Fraude
interno Fraude externo
AUDITORIA INFORMATICA
AUDITORIA FINANCIERA
A5. RIESGOS FINANCIEROS EvoluciĆ³n mercados
financieros Liquidez CrĆ©dito a clientes GarantĆa
A4. RIESGOS DE PROCESO DE INFORMACIĆN Acceso Inte
gridad Relevancia/Disponibilidad Infraestructura
B3. INFO. FINANCIERA PlanificaciĆ³n y
presupuestaciĆ³n Info. financiero-contable y
fiscal EvaluaciĆ³n de la info. financiera EvaluaciĆ³
n de inversiones Disponibilidad recursos
financieros
B2. ESTRATĆGICA DiversificaciĆ³n del
negocio Valor del negocio PlanificaciĆ³n
estratƩgica y Normativa Ciclo de vida
B1. OPERATIVA FijaciĆ³n de precios Compromisos
adquiridos MediciĆ³n del desempeƱo AlineaciĆ³n con
la estrategia
Competencia Relaciones con accionistas Cambios
en la industria
AUDITORIA FISCAL Y REGULATORIA
Entorno Legal y Fiscal
RegulaciĆ³n
Entorno PolĆtico y EconĆ³mico
Modelo de riesgos ya conocido por los miembros de
ACHIET
12Desarrollo de la Hoja de Ruta. Punto 6. Modelo R/
P
Procesos Corporativos
13Desarrollo de la Hoja de Ruta. Punto 6. Modelo R/
P
Subprocesos Corporativos a dos dĆgitos
14Desarrollo de la Hoja de Ruta. Punto 6 Modelo R/P
RIESGOS DEL ENTORNO
MAPA DE RIESGOS
High Risk 1
Medium Risk 1
DIRECION
High Risk 2
IMPORTANCIA
High Risk 3
Medium Risk 2
Low Risk 1
Medium Risk 3
Low Risk 2
Medium Risk 4
Low Risk 3
RIESGOS DE LA INFORMACION TOMA DE DECISONES
PROBABILIDAD
OPERACIONES
INFORM fINANCIE
ESTRATEGIA
Esquema de ClasificaciĆ³n de Procesos
Procesos Operativos
5. ProducciĆ³n y entrega (Industrias
de TransformaciĆ³n)
1.Entender Mercado y Clientes
2. Desarrollo de la Estrategia
3. DiseƱo de Productos y Servicios
4. Marketing y Venta
7. FacturaciĆ³n y Servicio al Cliente
6. ProducciĆ³n y entrega (Industrias de Servicios)
Procesos de GestiĆ³n y Soporte
8. Desarrollo y GestiĆ³n de Recursos Humanos
9. GestiĆ³n de la InformaciĆ³n
10. GestiĆ³n de Recursos FĆsicos y Financieros
11. EjecuciĆ³n de Programas de GestiĆ³n
Medioambiental
12. GestiĆ³n de Relaciones Externas
Matriz Riesgos/Procesos
13. GestiĆ³n de la Mejora Continua y del Cambio
15Desarrollo de la Hoja de Ruta. Puntos 7, 8 y 9.
PriorizaciĆ³n Procesos
En reuniĆ³n colegiada del ComitĆ© de DirecciĆ³n, en
sesiĆ³n tipo workshops, todos los ejecutivos
opinan sobre todos los procesos de la
organizaciĆ³n Identificando aquellos con mayor
incidencia en la consecuciĆ³n/ alejamiento de los
objetivos de la empresa. Basta que todos los
ejecutivos les puntĆŗen por su importancia , para
ello deben marcarse los factores sobre los que
opinar. EconĆ³micos, reputacionales, legales,
medioambiente.
- Proceso LogĆstico
- Proceso de SubcontrataciĆ³n
- Proceso FacturaciĆ³n
- Proceso de postventa.
- Etc
ValoraciĆ³n subjetiva pero razonada
16Desarrollo de la Hoja de Ruta. Puntos 10 y 11.
IdentificaciĆ³n Riesgos y Factores de Riesgo
- Decididos los procesos con los que trabajar, se
deben identificar los eventos - que los pueden afectar.
- La matriz riesgos- procesos nos darĆ” una primera
aproximaciĆ³n - Los gestores responsables de los procesos
seleccionados, deben completar la - relaciĆ³n riesgos procesos deducida de la
matriz teĆ³rica, adecuĆ”ndola a la - realidad de la empresa
- De los riesgos seleccionados debemos determinar
los factores que los generarƔn -
-
AverĆas mecĆ”nicas Inclemencias Huelgas Atascos
- DuraciĆ³n proceso productivo
- Continuidad del negocio
- SubcontrataciĆ³n
- Fraudes
- Calidad del servicio
- FacturaciĆ³n/ Perdida de ingresos
Proceso LogĆstica
RIESGOS
FACTORES RIESGO
17Desarrollo de la Hoja de Ruta. Punto 12.
ValoraciĆ³n de los Riesgos
- Probabilidad
- Estimando la frecuencia de apariciĆ³n del evento
- Probabilidad REMOTA Menor que una vez cada X
aƱos. - Ā
- Probabilidad MUY BAJA. EstimaciĆ³n de ocurrencia
menor a X aƱos, pero mayor a cada Y aƱos - Ā
- Probabilidad BAJA Ocurrencia situada entre un
intervalo menor de Y aƱos y mayor de uno. - Ā
- Probabilidad MEDIA. Menos que anual, pero mƔs
que trimestral - Ā
- Probabilidad ALTA. Menos que trimestral, pero
mayor que mensual. - Ā
- Probabilidad MUY ALTA. Menos que mensual.
- Puede resultar muy Ćŗtil medir la frecuencia de la
apariciĆ³n de los FACTORES
18Desarrollo de la Hoja de Ruta. Punto 12
- ValoraciĆ³n de los Riesgos. Impacto
- Relacionar los diferentes daƱos/consecuencias
que pudieran producirse de materializarse cada
riesgo - a) EconĆ³micos
- b) Reputacionales
- c) Laborales
- e) Medioambientales
- f) Informativos
- g) Penales,etc
- Cuantificar cada uno de estos perjuicios segĆŗn
el consenso establecido. - Agregar la cuantificaciĆ³n individualizada
19Desarrollo de la Hoja de Ruta. Punto
12 ValoraciĆ³n de los Riesgos. Impacto(II)
Proponemos trabajar con tƩcnicas cualitativas,
empleando el modelo de mediciĆ³n por ratios La
misma escala, 0 a 10, segĆŗn el nivel de
importancia daƱo. Efectos EconĆ³micos Leves .
Hasta 100.000 Euros ..
Valor ponderaciĆ³n 1 Bajos. De 100.000 a
1.000.000 Euros.. Valor
ponderaciĆ³n 3 Intermedios . De 1 millĆ³n a 5
millones de Euros.
Valor 6 Elevados . De 5 millones a 10
millones Euros ..
Valor 8 Extremos . Superiores a 20
millones de Euros
Valor 10 Efectos Reputacionales Leves .
El evento afecta mĆnimamente a la imagen o
reputaciĆ³n Valor 0 Moderados. El
evento afecta a i/ r apreciablemente
Valor 1 Importantes. El daƱo puede
considerarse importante
Valor 3 CrĆticos. La imagen es daƱada en forma
grave pero recuperable Valor
6 Extremos. Los daƱos son graves y de difĆcil
recuperaciĆ³n. Valor 8
20Desarrollo de la Hoja de Ruta. Punto
12 ValoraciĆ³n de los Riesgos. Impacto (III)
Ā Efectos Laborales. Ā Leves. Lesiones poco
importantes que no requieren hospitalizaciĆ³n
Valor 1 Moderados. Lesiones o politraumatismos
menores con hospitalizaciĆ³n Valor 2 Elevados.
Lesiones incapacitantes con hospitalizaciĆ³n
.. Valor 4 Criticos. Lesiones con
muertes
Valor 10 Ā Efectos Medioambientales
Ā Reversible inmediato.
Valor 0 Reversible en el corto
plazo..
Valor 1 Reversible en el medio
plazo
Valor 3 Mitigable-compensable
.. Valor 5 Irreversible de
pequeƱa magnitud
Valor 6 Irreversible de eleva magnitud
.. Valor 10
21Desarrollo de la Hoja de Ruta. Punto
12 ValoraciĆ³n de los Riesgos. Impacto (IV)
- Efectos Informativos
- Ā
- Leve. No afecta datos confidenciales y puede
ser recuperada ..Valor 1 - Moderado. IdƩm a lo anterior, pero no puede ser
recuperada Valor 2 - CrĆtico. Afecta a datos confidenciales pero
puede ser recuperada Valor 3 - Muy crĆtico. IdĆ©m al anterior pero sin
posibilidad de recuperaciĆ³n. Valor 4 - La severidad de cada Riesgo serĆ” la suma de los
valores de los Efectos EconĆ³micos Efectos
Reputacionales Efectos Laborales Efectos
Medioambientales Efectos Informativos - Debemos considerar que estamos sumando elementos
diferentes, por lo que - el valor de la escala deben ajustarse para
conseguir una adecuada ponderaciĆ³n de las
diferentes perturbaciones
22Desarrollo de la Hoja de Ruta. Punto 13
EvaluaciĆ³n
Si trabajƔsemos en el Marco de COSO I
22
23Desarrollo de la Hoja de Ruta. Punto 13.
EvaluaciĆ³n
Pero como estamos trabajando con COSO II
Impacto
Riesgo inherente
Apetito al Riesgo
Riesgo residua
Riesgo residual
23
Probabilidad
24Desarrollo de la Hoja de Ruta. Punto 14 y
15 ConcreciĆ³n apetito al riesgo y medidas
correctoras
Apetito al riesgo, mƔximo riesgo que la
OrganizaciĆ³n estĆ” en condiciones de aceptar para
no interferir en la consecuciĆ³n de los
objetivos Del riesgo inherente pasamos al riesgo
aceptable ( apetito al riesgo) adoptando una
serie medidas , todas ellas encaminadas a
gestionarlos, dentro de las siguientes
posibilidades Aceptarlos
Compartirlos Reducirlos
Rechazarlos La elecciĆ³n de
alguna de estas cuatro alternativas dependerĆ”
del coste- beneficio esperado.
25Desarrollo de la Hoja de Ruta. Punto 14 y
15 ConcreciĆ³n apetito al riesgo y medidas
correctoras (II)
Determinado el nivel de los riesgos asumibles,
nos centraremos en los factores que pueden
desencadenar los eventos indeseados, definiendo
las medidas que permitan reducir su impacto y/o
probabilidad de ocurrencia . Riesgo Continuidad
del Negocio. Factores que lo pueden inducir-
Medidas . Huelgas. Coexistencia varias
Subcontrataciones alternativas. .
Dificultad de aprovisionamiento de materias
primas. Aumentos de stock . Fallos de
suministro de energĆa elĆ©ctrica. InstalaciĆ³n de
grupos electrĆ³nicos. . RestricciĆ³n del
crƩdito. Aumento de capital. Todas estas medidas
tienen un coste, que debe ser evaluado y
comparado con los riesgos que eliminan, que ha
controlarse, asĆ como los beneficios reales
obtenidos de acuerdo con el riesgo remanente
resultante.
26CuantificaciĆ³n riesgo residual. Punto 16
Factores Riesgo Probabilidad
Impacto
Coste Huelgas
Alta a Baja 30 d a 10 d
X miles Dificultad de
Media a Muy Baja 5 d a 1 d
Z miles aprovisionamientos
Fallos energĆa Muy Alta
a Baja 60 h a 0 h W
miles RestricciĆ³n crĆ©dito
Muy Baja a Remota 15 d a 0 d
T miles La nueva probabilidad ha
pasado de MedĆa- Alta a Baja- Muy Baja, mientras
que el impacto tambiƩn se ha visto reducido de
XXX h/d a YYY h/d La DirecciĆ³n deberĆ”
aprobar el plan para reducir el riego ( impacto
diferencial x variaciĆ³n probabilidad) mediante
un plan que tiene un coste de ZZZ miles de euros
27CuantificaciĆ³n riesgo residual. Punto 16
Medir el coste-beneficio esperado por implantar
una determinada estrategia de gestiĆ³n de un
riesgo, exige decidir previamente que respuesta
damos al riesgo segĆŗn las posibilidades (
Aceptar, Rechazar, Reducir, Compartir ) Riesgo
de Continuidad del Negocio, las formas de actuar
con los factores de riesgo no son Ćŗnicas. Por
cual debemos decantarnos ? Veamos, p. e. , el
factor fallos de energĆa. Posible formas de
atajarlo InstalaciĆ³n de un grupo
electrĆ³geno. Incide sobre el impacto y
probabilidad ContrataciĆ³n con una
segunda compaƱĆa elĆ©ctrica. Sobre los 2
atributos Suscribir una pĆ³liza de seguros
por los posibles daƱos. Solo sobre el impacto
Trasladar la fƔbrica a otro Ɣmbito. Incide
sobre la probabilidad y el impacto .
28CuantificaciĆ³n riesgo residual. Punto 16
Dado que las tƩcnicas empleadas para estimar la
probabilidad han sido cualitativas, puede
dificultar la concreciĆ³n del cĆ”lculo coste-
beneficio. Una soluciĆ³n sencilla consistirĆa en
convertir los atributos cualitativos en
porcentuales Como el propio Marco sobre
ERM seƱala, las tĆ©cnicas probabilĆsticas miden la
probabilidad y el impacto basƔndose en premisas
del comportamiento de los eventos en forma de
distribuciĆ³n estadĆstica, en base a modelos en
riesgos ( VaR) , pero requieren disponer de
informaciĆ³n estadĆstica abundante. Es un estadio
posterior.
PROBABILIDAD
Remota Muy Baja Baja Media
Alta Muy alta Total
0
100
50
75
25
29Desarrollo de la Hoja de Ruta. Punto 16
El gap entre lo esperado y lo conseguido debe
medirse para actuar
Impacto
Riesgo residual
Riesgo inherente
Apetito al Riesgo
Riesgo residua
29
Probabilidad
30En conclusiĆ³n
La implantaciĆ³n de un ERM, como cualquier
proyecto ambicioso, debe seguir una serie de
pautas.
1ĀŖ ) Planificar detalladamente su desarrollo.
Obtener aprobaciĆ³n Directorio 2ĀŖ ) Disponer de
los medios humanos y tƩcnicos precisos. Formar el
equipo 3ĀŖ) Desarrollarlo progresivamente en
etapas. Empezar por lo sencillo 4ĀŖ) Aplicar las
experiencias previas. No seamos utĆ³picos
5ĀŖ ) Tomarse el tiempo que sea necesario. No
nos precipitemos, objetivos realistas 6ĀŖ )
Aprovechar el momento oportuno . Cuando la
empresa lo haya asumido 7Āŗ) Establecer objetivos
a corto plazo. Huir de proyectos con tiempos
prolongados
31Un ejemplo vƔlido.
32(No Transcript)