15/11/2012 JOSE DAVID CUARTAS A. 1
DISEÑO, IMPLEMENTACIÓN, SEGUIMIENTO Y
MEJORAMIENTO DEL SISTEMA DE GESTIÓN
DE RIESGOS
UNIVERSIDAD SERGIO ARBOLEDA
SECCIONAL SANTA MARTA
15/11/2012 JOSE DAVID CUARTAS A. 2
GESTIÓN INTEGRAL DEL RIESGO
CONTENIDO
JOSE DAVID CUARTAS A. 3
GESTIÓN INTEGRAL DEL RIESGO
Contenido
15/11/2012
Antecedentes
Gestión
Integral
del
Riesgo
Entorno Regulatorio
Familia ISO 31000 Gestión del Riesgo
Introducción
Conceptos
El Riesgo en la Gestión del día a día
Principios de la Gestión del Riesgo
Estructura de la Gestión del RiesgoProceso para la Gestión del Riesgo
Comunicación y Consulta
Contextualización
Modelo de Madurez en la Gestión del Riesgo
Beneficios de la Gestión del Riesgo
Valoración del Riesgo
Tratamiento y Controles
Otros referentes normativos
Compromiso de la Dirección
Estructura de Soporte
Implantación
Seguimiento y Revisión
Mejora Continua
Seguimiento y Revisión
15/11/2012 JOSE DAVID CUARTAS A. 4
GESTIÓN INTEGRAL DEL RIESGO
1. Introducción
15/11/2012 JOSE DAVID CUARTAS A. 5
GESTIÓN INTEGRAL DEL RIESGO
Introducción
El “Riesgo” es un concepto que bien podríamos llamar vital, por su vínculo con
todo lo que hacemos. Casi podríamos decir que no hay actividad de la vida, de
los negocios o de cualquier asunto que se nos ocurra, que no implique asumir
un riesgo.
15/11/2012 JOSE DAVID CUARTAS A. 6
GESTIÓN INTEGRAL DEL RIESGO
Introducción
Entre las formas de protección del riesgo está la acción colectiva, la
precaución individual o corporativa, las normas comunitarias y en fin tantas
otras, entre las cuales se incluye la tecnología como medio de prevención.
Fue por ello que la humanidad, desde sus inicios, buscó maneras de
protegerse contra las contingencias del que hacer diario y desarrolló al igual
que la mayoría de las especies animales maneras de esquivar, eliminar,
minimizar o enfrentar los riesgos.
15/11/2012 JOSE DAVID CUARTAS A. 7
GESTIÓN INTEGRAL DEL RIESGO
Introducción
¿Qué es riesgo?
Es “el efecto de la incertidumbre en la consecución de los objetivos”
ISO 31000:2009
• 1. Incertidumbre (puede que nunca ocurra).
• 2. El riesgo importa y debe gestionarse porque tiene un efecto (positivo y
negativo).
• 3. Ese efecto es sobre los objetivos fijados.
15/11/2012 JOSE DAVID CUARTAS A. 8
GESTIÓN INTEGRAL DEL RIESGO
Introducción
¿Qué es riesgo?
Es “la proximidad voluntaria o inconsciente a una situación de peligro”. Es la
exposición al peligro o a circunstancias que nos puedan generar daño o
consecuencias.
BASC V4:2012
Es la “combinación de la probabilidad y consecuencia de un evento”.
ISO 27002
15/11/2012 JOSE DAVID CUARTAS A. 9
GESTIÓN INTEGRAL DEL RIESGO
Introducción
¿Por qué no se gestionan los riesgos en las Organizaciones?
PARADIGMAS
• No aporta valor…
• Si pensamos en todo lo malo, no hacemos nada.
• Hay suficientes controles.
• Aquí pensamos en metas, no en riesgos.
• Aceptamos que es común que fallen los sistemas tecnológicos.
• ¡ No hay tiempo para evaluar los riesgos, necesitamos vender !
• Acá nunca pasó nada.
• No tenemos los procesos definidos.
• Gestionar los riesgos no me va a ayudar a vender más.
• Si ocurre algo, ya lo arreglaremos.
15/11/2012 JOSE DAVID CUARTAS A. 10
GESTIÓN INTEGRAL DEL RIESGO
Introducción
Para entender, analizar, valorizar, gerenciar y decidir sobre la manera como
adelantar la gestión corporativa frente al riesgo, la dirección moderna de las
empresas concibió con el apoyo de la academia una disciplina denominada
“Administración de Riesgos” o “Gerencia de Riesgos”, que al final sólo es una
función más, de muy alto nivel dentro de la jerarquía directiva, para darle paso
a dicha necesidad; es así como se considera la Administración de Riesgos
como un conjunto de estrategias que a partir de los recursos (físicos, humanos
y financieros) limitados, busca los siguientes objetivos:
En el corto plazo mantener la estabilidad financiera de la empresa protegiendo
sus activos e ingresos de los riesgos a que está expuesta y en el largo plazo,
minimizar las pérdidas ocasionadas por la ocurrencia de dichos riesgos.
15/11/2012 JOSE DAVID CUARTAS A. 11
GESTIÓN INTEGRAL DEL RIESGO
Introducción
JOSE DAVID CUARTAS A.
GESTIÓN INTEGRAL DEL RIESGO
Introducción
Amplio Espectro de Riesgos
Insolvencia
crediticia
Riesgos de mercados
financieros
Fluctuaciones
cambiarias
Liquidez, flujo
de caja
Capital intelectual
Investigación &
Desarrollo
Cambios en
industria/clientes
Directivos clave
Sistemas de Información
Cadena de suministros
Sistemas
contables/ de
control
Desastres Naturales
Seguridad/
lesiones a
empleados
Responsabilidad
general
Daños
materiales
Canales y
redes
Normatividad
ambiental
Demanda del mercado
Inducidos Externamente
Inducidos Internamente
Continuidad del
Negocio
Valor de activos Alianzas/consorcios
Responsabilidad Contractual
Suministro de Energía
Oportunidad
Retención & atracción
de personal
Pasivos contingentes
Director General
Relaciones
Públicas
Depto.
Legal
Director de
Operaciones
Gestión Humana
Seguridad y
Salud Ocupacional
Gerente de
Riesgos
Director Financiero
Tesorero
Junta Directiva
Pensiones
Garantías
Condiciones económicas
globales
Cambios fiscales
y contables
Terrorismo
Guerra
Incendio/
Explosión
Polución
Seguridad física
Cumplimiento de
regulación/legislación
Acción industrial
Competencia
Marca/reputación
Fusiones & Adquisiciones
Patentes
15/11/2012 JOSE DAVID CUARTAS A. 13
GESTIÓN INTEGRAL DEL RIESGO
Introducción
Diferentes tipos de Gestión de Riesgos en las Organizaciones
15/11/2012 JOSE DAVID CUARTAS A. 14
GESTIÓN INTEGRAL DEL RIESGO
Introducción
Cómo lo cumplo?
4.2 Mandato y compromiso
“La introducción de la gestión del riesgo y el aseguramiento de su eficacia
continua requieren un compromiso fuerte y sostenido de la dirección de la
organización, así como el establecimiento de una planificación estratégica y
rigurosa para conseguir el compromiso a todos los niveles…”
ISO 31000:2009
15/11/2012 JOSE DAVID CUARTAS A. 15
La Alta Gerencia
Tiene responsabilidad dentro del Buen Gobierno de buscar el logro de los
objetivos.
Debe demostrar la debida diligencia.
Debe propender por invertir los recursos en forma ordenada.
Debe conocer los riesgos a que está expuesta (incluso hoy).
Esto se traduce en : mensajes claros, coherentes y continuos a toda la
organización.
GESTIÓN INTEGRAL DEL RIESGO
Introducción
15/11/2012 JOSE DAVID CUARTAS A. 16
GESTIÓN INTEGRAL DEL RIESGO
Introducción
Cómo lo cumplo?
GESTIÓN INTEGRAL DEL RIESGO
Introducción
15/11/2012 JOSE DAVID CUARTAS A. 18
GESTIÓN INTEGRAL DEL RIESGO
Introducción
Gestión Integral del Riesgo
como Proceso
•Política
•Objetivos
•Directrices
•Interacción
15/11/2012 JOSE DAVID CUARTAS A. 19
GESTIÓN INTEGRAL DEL RIESGO
Introducción
Gestión del Riesgo como actividad de un Proceso
•Liderado por un Proceso
•Conocimiento de todos los Procesos
GESTIÓN INTEGRAL DEL RIESGO
Introducción
15/11/2012 JOSE DAVID CUARTAS A. 21
GESTIÓN INTEGRAL DEL RIESGO
Estándares, Marcos de Referencia y Guías
15/11/2012 JOSE DAVID CUARTAS A. 22
GESTIÓN INTEGRAL DEL RIESGO
Introducción
ADMINISTRACIÓN DE
RIESGO EMPRESARIAL
E.R.M
15/11/2012 JOSE DAVID CUARTAS A. 23
GESTIÓN INTEGRAL DEL RIESGO
Introducción
ADMINISTRACIÓN DE RIESGO EMPRESARIAL o E.R.M.®
Enterprise Risk Management.
Definición.
-“Es un proceso efectuado por la Junta de Directores, la administración y otro
personal de la entidad, aplicado en la definición de la estrategia y través del
emprendimiento, diseñado para identificar los eventos potenciales que pueden
afectar la entidad, y para administrar los riesgos que se encuentran dentro de su
apetito por el riesgo, para proveer seguridad razonable en relación con el logro
del objetivo de la Entidad.”
15/11/2012 JOSE DAVID CUARTAS A. 24
GESTIÓN INTEGRAL DEL RIESGO
Introducción
Esta definición refleja ciertos conceptos fundamentales:
1. Un proceso, es un medio para un fin, no un fin en si mismo.
2. Efectuado por Personas -no es solamente política, estudio y forma, sino que
involucra Personas en cada nivel de una organización-.
3. Aplicado en la definición de la estrategia.
4. Aplicado a través de la administración en cada nivel y unidad, incluye asumir
un punto de vista de portafolio de los riesgos a nivel de la entidad.
5. Diseñado para identificar los eventos que potencialmente afectan la entidad y
para administrar los riesgos dentro del apetito por los riesgos.
6. Provee seguridad razonable para la administración y para la Junta de una
entidad.
7. Orientado al logro de los objetivos en una o más categorías separadas pero
al mismo tiempo se sobreponen unas con otras.
15/11/2012 JOSE DAVID CUARTAS A. 25
GESTIÓN INTEGRAL DEL RIESGO
Introducción
E.R.M.®
JOSE DAVID CUARTAS A. 26
GESTIÓN INTEGRAL DEL RIESGO
Introducción
E.R.M.® RENOVADO
Mirar más allá de la Probabilidad
Tres factores clave:
1. Impacto de un evento en el valor del negocio.
2. Vulnerabilidad de la Organización a sus efectos.
3. Velocidad de materialización de los eventos de riesgo.
JOSE DAVID CUARTAS A. 27
GESTIÓN INTEGRAL DEL RIESGO
Introducción
E.R.M.® RENOVADO
Relacionar probabilidad con vulnerabilidad e interacción de riesgos.
• Si un riesgo es relevante y tiene alto impacto, debe ser considerado, aunque
sea “remoto”.
• Utilizar planeación de escenarios para evaluar eventos de impacto alto / baja
productividad.
No olvidad las interdependencias.
• Riesgos agregados.
• Correlaciones ocultas.
• Acciones para mitigar el riesgo en un área puede aumentar el riesgo en otra.
15/11/2012 JOSE DAVID CUARTAS A. 28
GESTIÓN INTEGRAL DEL RIESGO
Introducción
PROCESO
DESEMPEÑO
NO CONFORMIDAD
ACCIÓN
PREVENTIVAACCIÓN
CORRECTIVA
ACCIÓN DE
MEJORA
CONFORMIDAD
15/11/2012 JOSE DAVID CUARTAS A. 29
GESTIÓN INTEGRAL DEL RIESGO
Introducción
15/11/2012 JOSE DAVID CUARTAS A. 30
GESTIÓN INTEGRAL DEL RIESGO
Introducción
RIESGO AMENAZA PELIGRO
EMERGENCIA SINIESTRO RESTITUCIÓN
15/11/2012 JOSE DAVID CUARTAS A. 31
GESTIÓN INTEGRAL DEL RIESGO
Introducción
RIESGO
Es “la proximidad voluntaria o inconsciente a una situación de peligro”. Es la
exposición al peligro o a circunstancias que nos puedan generar daño o
consecuencias.
15/11/2012 JOSE DAVID CUARTAS A. 32
GESTIÓN INTEGRAL DEL RIESGO
Introducción
AMENAZA
Son aquellos factores externos a la organización que advierten proximidad o
propensión a un evento de pérdida (materialización de un riesgo) sobre los
cuales esta no tiene control.
15/11/2012 JOSE DAVID CUARTAS A. 33
GESTIÓN INTEGRAL DEL RIESGO
Introducción
PELIGRO
Es una fuente o situación con potencial capacidad de producir pérdidas en
términos de bienes y daño a la propiedad.
15/11/2012 JOSE DAVID CUARTAS A. 34
GESTIÓN INTEGRAL DEL RIESGO
Introducción
EMERGENCIA
Es la situación producida por una fuente de peligro, la cual genera pérdidas en
bienes y daño a la propiedad.
15/11/2012 JOSE DAVID CUARTAS A. 35
GESTIÓN INTEGRAL DEL RIESGO
Introducción
SINIESTRO
Es la avería, destrucción fortuita o pérdida importante que sufre el bien o la
propiedad.
15/11/2012 JOSE DAVID CUARTAS A. 36
GESTIÓN INTEGRAL DEL RIESGO
Introducción
RESTITUCIÓN
Restablecimiento del bien o la propiedad al estado que tenía antes de
presentarse una emergencia .
15/11/2012 JOSE DAVID CUARTAS A. 37
GESTIÓN INTEGRAL DEL RIESGO
Introducción
El Riesgo en la Gestión del Día a Día
15/11/2012 JOSE DAVID CUARTAS A. 38
GESTIÓN INTEGRAL DEL RIESGO
2. Antecedentes
15/11/2012 JOSE DAVID CUARTAS A. 39
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
PRODUCTIVIDAD
GOBIERNO CORPORATIVO
EFICIENCIA
FINANCIERA
RIESGOS
CALIDAD
MEJORA DE PROCESOS
TECNOLOGÍA
CAMBIOS EN LA
LEGISLACIÓN
ENRON
GP 1000
MECI
COSO II
15/11/2012 JOSE DAVID CUARTAS A. 40
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
Entorno Regulatorio
15/11/2012 JOSE DAVID CUARTAS A. 41
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
A nivel Internacional:
Ley Sarbanes-Oxley (EEUU) Sarbanes-Oxley Act of 2002, Pub. L.No. 107-204, 116 Stat. 745 (30 de julio de 2002)
Acta de Reforma de la Contabilidad Pública de Empresas y deProtección al Inversionista. Nace en Estados Unidos con el fin demonitorear a las empresas que cotizan en bolsa, evitando que lasacciones de las mismas sean alteradas de manera dudosa,mientras que su valor es menor. Su finalidad es evitar fraudes yriesgo de bancarrota, protegiendo al inversor.
15/11/2012 JOSE DAVID CUARTAS A. 42
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
A nivel Internacional:
COSO Committee of Sponsoring Organizations of the TreadwayCommission. En 1992, publicó un informe denominado InternalControl – Integrated Framework (IC-IF), conocido también comoCOSO I. Adoptado por el sector público y privado en USA, por elBanco Mundial y el BID, y se extiende rápidamente por todoLatino América. En septiembre de 2004, se publica el informedenominado Enterprise Risk Management – IntegratedFramework, el cual incluye el marco global para la administraciónintegral de riesgos (Estándar COSO II – ERM).
15/11/2012 JOSE DAVID CUARTAS A. 43
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
A nivel Internacional:
Normas Internacionales para la práctica profesional de laAuditoria Interna “The Institute of Internal Auditors” (IIA).
The Institute of Internal Auditors (IIA, por sus siglas en inglés),
organización fundada en 1941 en Estados Unidos, es la máxima
autoridad reconocida a nivel mundial en el campo de la auditoria interna.
15/11/2012 JOSE DAVID CUARTAS A. 44
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
A nivel Internacional:
La auditoria interna presta dos grandes servicios, el de aseguramiento y
consulta para agregar valor y mejorar las operaciones para evaluar y
mejorar la eficacia de los procesos de la Administración o Gestión de
Riesgos, Control y Gobierno Corporativo.
Dentro de las normas de auditoria interna internacionales, seencuentran varias normas específicas dirigidas a manejar lametodología de la Administración de Riesgos dentro de los dosservicios enunciados, las cuales se recomiendan se apliquen porparte de los auditores internos.
15/11/2012 JOSE DAVID CUARTAS A. 45
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
2110 – Gestión de Riesgos
La actividad de auditoría interna debe asistir a la organización mediante la
identificación y evaluación de las exposiciones significativas a los riesgos, y la
contribución a la mejora de los sistemas de gestión de riesgos y control.
2110.A1 - La actividad de auditoría interna debe supervisar y evaluar la eficacia
del sistema de gestión de riesgos de la organización.
2110.A2 – La actividad de auditoría interna debe evaluar las exposiciones al
riesgo referidas a gobierno, operaciones y sistemas de información de la
organización, con relación a lo siguiente:
· Confiabilidad e integridad de la información financiera y operativa,
· Eficacia y eficiencia de las operaciones,
· Protección de activos, y
· Cumplimiento de leyes, regulaciones y contratos.
15/11/2012 JOSE DAVID CUARTAS A. 46
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
2110 – Gestión de Riesgos
2110.C1 Durante los trabajos de consultoría, los auditores internos deben
considerar el riesgo compatible con los objetivos del trabajo y estar alertas a la
existencia de otros riesgos significativos.
2110.C2 Los auditores internos deben incorporar los conocimientos del riesgo
obtenidos de los trabajos de consultoría en el proceso de identificación y
evaluación de las exposiciones de riesgo significativas en la organización.
15/11/2012 JOSE DAVID CUARTAS A. 47
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
A nivel Internacional:
IAS 39 (International Accounting Standard sobre instrumentosfinancieros).
FAS-133 (Financial Accounting Standard sobre Derivados).
ISO-IEC Guide 73 Vocabulario a ser utilizado en estándares deAdministración de Riesgos.
Estándar Australiano Neozelandés AS/NZS 4360-2004 RiskManagement.
Estándar del Reino Unido IRM-AIRMIC-ALARM sobreAdministración de Riesgos.
15/11/2012 JOSE DAVID CUARTAS A. 48
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
A nivel Internacional:
COSO ERM for Cloud Computing 2012
COSO Entendimiento y Comunicación del Apetito del Riesgo2012
ISO 22301:2012 Sistemas de Gestión de la Continuidad delNegocio
ISO 27005:2008 Seguridad Informática
15/11/2012 JOSE DAVID CUARTAS A. 49
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
A nivel Nacional:
Superintendencia Bancaria:
Circular externa 050 del año 2001 y Carta Circular 031 del 2002 sobre SARC: Sistema de administración de riesgo crediticio
Circular externa 052 del 2002 de la Superbancaria sobre SEARS: Sistema Especial de Administración de riesgos de seguros
Superintendencia de Valores:
Resolución 138 del año 2001 sobre el sistema general de riesgos.
15/11/2012 JOSE DAVID CUARTAS A. 50
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
A nivel Nacional:
MECI (Modelo Estándar de Control Interno)
NTC GP 1000:2004 (Norma Técnica de Calidad en la Gestión Pública)
NTC ISO 31000:2011 Gestión de Riesgos
15/11/2012 JOSE DAVID CUARTAS A. 51
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
Otros referentes normativos
15/11/2012 JOSE DAVID CUARTAS A. 52
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
Otros referentes normativos
15/11/2012 JOSE DAVID CUARTAS A. 53
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
Otros referentes normativos
15/11/2012 JOSE DAVID CUARTAS A. 54
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
Otros referentes normativos
4.5.3 No conformidad, acción correctiva y acción preventiva
La organización debe establecer, implementar y mantener uno o varios
procedimientos para tratar las no conformidades reales y potenciales y tomar
acciones correctivas y acciones preventivas. Los procedimientos deben definir
requisitos para:
… c) La evaluación de la necesidad de acciones para prevenir las no
conformidades y la implementación de las acciones apropiadas definidas para
prevenir su ocurrencia;
d) la revisión de la eficacia de las, acciones preventivas y acciones correctiva
tomadas.
Las acciones tomadas deben ser las apropiadas en relación a la magnitud de
los problemas e impactos ambientales encontrados.
15/11/2012 JOSE DAVID CUARTAS A. 55
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
Otros referentes normativos
15/11/2012 JOSE DAVID CUARTAS A. 56
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
Otros referentes normativos
15/11/2012 JOSE DAVID CUARTAS A. 57
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
Otros referentes normativos
JOSE DAVID CUARTAS A. 58
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
15/11/2012 JOSE DAVID CUARTAS A. 59
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
Otros referentes normativos
60
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
Otros referentes normativos
15/11/2012 JOSE DAVID CUARTAS A. 61
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
AS/NZ 4360:2004
Risk Management
Standard
Familia ISO 31000
Risk Management
15/11/2012 JOSE DAVID CUARTAS A. 62
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
Familia ISO 31000 Gestión del Riesgo
En la actualidad, la familia ISO 31000 incluye:
ISO 31000:2009 Principios y Directrices sobre la aplicación
ISO / IEC 31010:2009 Técnicas de evaluación de riesgos
Guía ISO 73:2009 Vocabulario
15/11/2012 JOSE DAVID CUARTAS A. 63
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
ISO 31000:2009 Principios y Directrices
Esta norma internacional proporciona los principios y las directrices genéricas
sobre la gestión del riesgo.
Puede utilizarse por cualquier empresa pública, privada o social, asociación,
grupo o individuo. Por tanto, no es específica de una industria o sector
concreto.
Esta Norma no es certificable…
Ignorar los riesgos de la Organización no es una opción
15/11/2012 JOSE DAVID CUARTAS A. 64
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
ISO 31000:2009 Principios y Directrices
Interesados:
a) Responsables de desarrollar la política de gestión del riesgo dentro de su
organización;
b) Encargados de asegurar que el riesgo se gestiona de manera eficaz
dentro de la organización, considerada en su totalidad o en un área, un
proyecto o una actividad específicos;
c) Los que necesitan evaluar la eficacia de una organización en materia de
gestión del riesgo; y
d) Los que desarrollan normas, guías, procedimientos y códigos de buenas
prácticas que, en su totalidad o en parte, establecen cómo se debe tratar el
riesgo dentro del contexto específico de estos documentos.
15/11/2012 JOSE DAVID CUARTAS A. 65
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
ISO GUÍA 73:2009 Vocabulario
“…proporciona el vocabulario básico para desarrollar una comprensión de los
conceptos y términos que se utilizan en la gestión del riesgo que son
comunes a diferentes organizaciones y funciones, ...”
3.6.1.7 matriz de riesgo:
Herramienta que permite clasificar y visualizar los riesgos (1.1), mediante la
definición de categorías de consecuencias (3.6.1.3) y de su probabilidad
(3.6.1.1).
15/11/2012 JOSE DAVID CUARTAS A. 66
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
ISO IEC 31010:2009 Técnicas de Evaluación de Riesgos
“…Herramientas utilizadas para la evaluación del riesgo…”
67
15/11/2012 JOSE DAVID CUARTAS A. 68
GESTIÓN INTEGRAL DEL RIESGO
Antecedentes
¿Qué pasa cuando coexisten diversas evaluaciones de riesgo?
ISO 14001, OHSAS 18001, ISO 22000, ISO 27000…
“La gestión del riesgo contribuye de manera tangible al logro de los objetivos
y a la mejora del desempeño, por ejemplo, en lo referente a la salud y
seguridad de las personas, a la conformidad con los requisitos legales y
reglamentos, a la aceptación por el público, a la protección ambiental, a la
calidad del producto, a la gestión de proyectos, a la eficacia en las
operaciones, al gobierno corporativo y su reputación.”
REFERENCIA EN LA ISO 31000
15/11/2012 JOSE DAVID CUARTAS A. 69
GESTIÓN INTEGRAL DEL RIESGO
3. Principios de la Gestión del Riesgo
15/11/2012 JOSE DAVID CUARTAS A. 70
GESTIÓN INTEGRAL DEL RIESGO
Principios de la Gestión del Riesgo
15/11/2012 JOSE DAVID CUARTAS A. 71
GESTIÓN INTEGRAL DEL RIESGO
Principios de la Gestión del Riesgo
Los “principios para la gestión del riesgo” buscan establecer el
enfoque cultural e ideológico con que se deben gestionar los riesgos
en toda organización. Estos elementos suelen no ser considerados
relevantes al no ser tangibles y medibles, si bien son tan
importantes como cualquier otro aspecto de la organización.
UNE-ISO 31000 (2009): Gestión …, pp. 13-14.
15/11/2012 JOSE DAVID CUARTAS A. 72
GESTIÓN INTEGRAL DEL RIESGO
Principios de la Gestión del Riesgo
La gestión del riesgo …
… crea y protege el valor
… es una parte integral de todos los procesos
… es parte de la toma de decisiones
… aborda explícitamente la incertidumbre
… es sistemática, estructurada y oportuna
… se basa en la mejor información disponible
15/11/2012 JOSE DAVID CUARTAS A. 73
GESTIÓN INTEGRAL DEL RIESGO
Principios de la Gestión del Riesgo
La gestión del riesgo …
… está adaptada
… toma en consideración los factores humanos y culturales
… es transparente e inclusiva
… es dinámica, reiterativa y receptiva al cambio
… facilita la mejora continua de la organización
15/11/2012 JOSE DAVID CUARTAS A. 74
GESTIÓN INTEGRAL DEL RIESGO
4. Estructura de la Gestión del Riesgo
15/11/2012 JOSE DAVID CUARTAS A. 75
GESTIÓN INTEGRAL DEL RIESGO
Estructura de la Gestión del Riesgo
Modelo Administrativo basado en ISO 31000:2009
15/11/2012 JOSE DAVID CUARTAS A. 76
GESTIÓN INTEGRAL DEL RIESGO
5. Proceso para la Gestión del Riesgo
15/11/2012 JOSE DAVID CUARTAS A. 77
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
15/11/2012 JOSE DAVID CUARTAS A. 78
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
15/11/2012 JOSE DAVID CUARTAS A. 79
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
1. ESTABLECER EL CONTEXTO
Externo - Estratégico
Interno - Organizacional
Proceso para la gestión del riesgo
Definir los criterios del riesgo (Evaluación – Estructura)
Alineado a la planeación estratégica
Partes Interesadas
Alcance y criterios
El respaldo de la Alta Dirección es un elemento clave
15/11/2012 JOSE DAVID CUARTAS A. 80
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
2. IDENTIFICAR LOS RIESGOS
Fuentes del riesgo
Procesos de impacto
Eventos
Causas potenciales
Consecuencias potenciales
APRECIACIÓN O VALORACIÓN DEL RIESGO
Herramientas y técnicas
Defina sus propios riesgos
Ajustados a la gestión empresarial
Participación
15/11/2012 JOSE DAVID CUARTAS A. 81
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
2. IDENTIFICAR LOS RIESGOS
Que puede suceder?
Por qué sucede?
Como sucede?
Donde puede suceder?
Cuando puede suceder?
Definición de Herramientas y técnicas para la identificación (listas deverificación, experiencia, registros, lluvia de ideas, etc.)
APRECIACIÓN O VALORACIÓN DEL RIESGO
15/11/2012 JOSE DAVID CUARTAS A. 82
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
Eventos Naturales
Aspectos Tecnológicos y Técnicos (int./ext.)
Actividades Individuales
Circunstancias Económicas(Int./Ext.)
Eventos
Causas
Amenazas
Relaciones ComercialesY Legales
ComportamientoRecursos Humanos
CircunstanciasPolíticas y Legislativas
Actividades y Controles Gerenciales
Criterios de Riesgo Genéricas
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
Gestión del Cambio
Financieros
Productos / Servicios
Medio Ambiente
Impacto
Consecuencias
Gestión de Activos
Cumplimiento de la Normatividad
Gestión (Dirección General)
Riesgos a Personas
Áreas de Impacto Genéricas
Tecnología
15/11/2012 JOSE DAVID CUARTAS A. 84
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
3. ANALIZAR LOS RIESGOS
Cuál es la probabilidad que un riesgo produzca una pérdida con los actuales
controles?
Con qué frecuencia puede ocurrir una pérdida?
APRECIACIÓN O VALORACIÓN DEL RIESGO
PROBABILIDAD
15/11/2012 JOSE DAVID CUARTAS A. 85
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
3. ANALIZAR LOS RIESGOS
Cuál es el impacto o magnitud del riesgo?
Qué tan grande puede ser la pérdida producida por el riesgo con los
controles actuales?
APRECIACIÓN O VALORACIÓN DEL RIESGO
CONSECUENCIAS – SEVERIDAD - IMPACTO
Se miden en cuatro frentes; Personas (Vidas Humanas),Operaciones (Empresa, Tiempo), Dinero (Sanciones) eImagen.
15/11/2012 JOSE DAVID CUARTAS A. 86
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
3. ANALIZAR LOS RIESGOS
El análisis puede ser:
Cualitativo
Semicuantitativo
Cuantitativo
APRECIACIÓN O VALORACIÓN DEL RIESGO
15/11/2012 JOSE DAVID CUARTAS A. 87
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
Análisis Cualitativo
Utiliza palabras para describir la magnitud de las consecuencias potenciales y
la posibilidad de que ocurran tales consecuencias. Estas escalas se pueden
adaptar o ajustar para satisfacer las circunstancias y se pueden usar
diferentes descripciones para los diferentes riesgos.
15/11/2012 JOSE DAVID CUARTAS A. 88
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
Análisis Semicuantitativo
En el análisis semicuantitativo, las escalas cualitativas, como las cuantitativas,
se dan en valores. El objetivo es producir una escala de clasificación más
amplia que la que se obtiene usualmente en el análisis cualitativo, sin sugerir
valores realistas para riesgos, como se pretende en el análisis cuantitativo .
Sin embargo, debido a que el valor asignado a cada descripción puede no
tener una relación exacta con la magnitud real de las consecuencias o la
posibilidad, los números solo se deberían combinar usando una fórmula que
reconozca las limitaciones de los tipos de escalas empleadas.
15/11/2012 JOSE DAVID CUARTAS A. 89
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
Análisis Cuantitativo
Utiliza valores numéricos (a diferencia de las escalas descriptivas usadas en
los análisis cualitativo y semicuantitativo) tanto para las consecuencias como
para la posibilidad, empleando datos provenientes de una variedad de
fuentes.
La calidad del análisis depende de la exactitud y cabalidad de los valores
numéricos y de la validez de los modelos empleados.
15/11/2012 JOSE DAVID CUARTAS A. 90
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
15/11/2012 JOSE DAVID CUARTAS A. 91
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
3. ANALIZAR LOS RIESGOS
Determinación de los Controles Existentes
APRECIACIÓN O VALORACIÓN DEL RIESGO
CONTROLES
15/11/2012 JOSE DAVID CUARTAS A. 92
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
TIPOS DE CONTROL
15/11/2012 JOSE DAVID CUARTAS A. 93
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
APLICACIÓN DE CONTROLES
- En la Fuente. (Que busquen la eliminación del Riesgo)
- En el Medio. (Sustitución, Controles de Ingeniería en Procesos,
Maquinaria o Equipo, Señalización, Advertencias, Controles
Administrativos)
- En el Trabajador. (Equipos de Protección Personal)
15/11/2012 JOSE DAVID CUARTAS A. 94
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
GRADOS DE CONTROL
- Fuerte. (Se presta una atención significativa al riesgo. Se han adoptado la
mayoría de los controles económicamente viables. Se mantiene un
sistema de monitoreo constante).
- Moderado. (Los controles aplicados proporcionan una certeza razonable
de control, aunque no permiten la gestión de todos los eventos de riesgo
potenciales).
- Débil. (Los controles aplicados son insuficientes para prevenir o mitigar el
riesgo).
- Incontrolable. (Fuera del control de la Organización en cuanto a su
probabilidad de ocurrencia y la gestión de sus consecuencias).
15/11/2012 JOSE DAVID CUARTAS A. 95
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
15/11/2012 JOSE DAVID CUARTAS A. 96
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
4. EVALUAR LOS RIESGOS
Nivel de riesgo
Comparación
Prioridades
Aceptar o no?
APRECIACIÓN O VALORACIÓN DEL RIESGO
Análisis de escenarios
Escalas a la medida
Participación Gerencial
Proactividad procesos
15/11/2012 JOSE DAVID CUARTAS A. 97
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
5. TRATAR LOS RIESGOS
Valoración del tratamiento del riesgo
Decisión sobre si los niveles de riesgo residual son tolerables
Si no son tolerables, generación de un nuevo tratamiento para el riesgo
Valoración de la eficacia de dicho tratamiento
15/11/2012 JOSE DAVID CUARTAS A. 98
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
5. TRATAR LOS RIESGOS
Opciones de tratamiento:
Evitar el riesgo decidiendo no iniciar o continuar con la actividad que
causa el riesgo.
Aceptar o aumentar el riesgo a fin de perseguir una oportunidad.
Eliminar la fuente del riesgo.
Modificar la probabilidad.
Cambiando las consecuencias.
Compartir el riesgo con otras partes (incluyendo los contratos y la
financiación del riesgo).
Retener el riesgo en base a una decisión informada.
15/11/2012 JOSE DAVID CUARTAS A. 99
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
5. TRATAR LOS RIESGOS
Preparar, documentar e implementar planes:
Razones para la elección de las opciones de tratamiento
Beneficios a obtener
Aprobar el plan y responsables de implementarlo
Acciones propuestas
Requisitos de recursos, incluyendo las contingencias
Medidas y restricciones de desempeño
Requisitos de monitoreo y reporte
Tiempo y cronograma
15/11/2012 JOSE DAVID CUARTAS A. 100
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
5. TRATAR LOS RIESGOS
15/11/2012 JOSE DAVID CUARTAS A. 101
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
6. SEGUIMIENTO Y REVISIÓN
Controles eficaces y eficientes
Mejorar la valoración del riesgo
Analizar y aprender lecciones
Detectar cambios en el contexto
15/11/2012 JOSE DAVID CUARTAS A. 102
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
6. SEGUIMIENTO Y REVISIÓN
Deben monitorearse los riesgos, la eficacia del plan de tratamiento
del riesgo, las estrategias y el sistema de gestión que se establecen
para controlar la implementación.
Resulta esencial la revisión permanente para asegurarse que el plan
de gestión continúa siendo pertinente.
15/11/2012 JOSE DAVID CUARTAS A. 103
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
7. COMUNICACIÓN Y CONSULTA
Intercambio de información
Partes involucradas
Bilateral
Toma de decisiones Actualización
Seguimiento y control
Registros para la trazabilidad
Entrenamiento del personal
Auditorías internas
15/11/2012 JOSE DAVID CUARTAS A. 104
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
7. COMUNICACIÓN Y CONSULTA
La comunicación interna y externa efectiva es importante para garantizar que
quienes son responsables de implementar la Gestión del Riesgo y quienes
tienen un interés creado, comprendan la base sobre la cual se toman
decisiones y por qué se requieren acciones particulares.
15/11/2012 JOSE DAVID CUARTAS A. 105
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
7. COMUNICACIÓN Y CONSULTA
Partes Interesadas
• Individuos dentro de la Organización (Empleados, Visitantes, Contratistas).
• Quienes tomen decisiones.
• Sindicato.
• Instituciones financieras.
• Compañías de seguros.
• Clientes.
• Sociedad en general.
15/11/2012 JOSE DAVID CUARTAS A. 106
GESTIÓN INTEGRAL DEL RIESGO
Proceso para la Gestión del Riesgo
Documentar
Cada etapa del Proceso de Gestión del Riesgo se debe documentar.
La documentación debe incluir los métodos, fuentes de datos y
resultados.
15/11/2012 JOSE DAVID CUARTAS A. 107
GESTIÓN INTEGRAL DEL RIESGO
6. Modelo de Madurez en la Gestión del Riesgo
15/11/2012 JOSE DAVID CUARTAS A. 108
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
Construya a partir de lo que la Organización ya tiene
Para la mayoría de las organizaciones la buena noticia es que probablemente
ya tienen en funcionamiento muchos de los elementos de la administración de
la empresa inteligente frente al riesgo. El camino a seguir debe ser mucho más
un asunto de construir en lo que actualmente existe que iniciar a partir de cero.
Por esta razón, es importante que las organizaciones hagan un inventario de
sus capacidades de administración del riesgo, antes de hacer cambios o
inversiones importantes en administración del riesgo.
15/11/2012 JOSE DAVID CUARTAS A. 109
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
Cuando se realice tal valoración, es vital entender no solo dónde actualmente
se encuentra la empresa, sino a dónde quiere y necesita ir a partir de la
perspectiva de la administración del riesgo – lo cual, puede no siempre estar en
lo alto de la pila. Las diferentes áreas de riesgo difieren en importancia de
industria a industria, e incluso de compañía a compañía dentro de la misma
industria.
Por consiguiente, para la administración del riesgo no siempre es necesario
mantener capacidades de primera categoría con relación a cada aspecto
posible de riesgo. El desafío es entender exactamente en cuales áreas
“suficiente bueno” realmente es suficientemente bueno – y en cuáles áreas la
empresa realmente necesita capacidades de primera categoría para satisfacer
las expectativas que sobre la administración del riesgo tienen los stakeholders.
15/11/2012 JOSE DAVID CUARTAS A. 110
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
Una forma de entender mejor tanto dónde está la Organización y dónde “debe”
estar, es evaluar las capacidades de administración del riesgo contra un
modelo de madurez. Para los líderes del proceso, la valoración contra tal
modelo puede ser una forma útil para enmarcar la discusión de qué tipos de
iniciativas buscar en las diversas áreas de riesgo, así como qué tantos de los
recursos limitados de la organización invertir en cada iniciativa.
15/11/2012 JOSE DAVID CUARTAS A. 111
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
15/11/2012 JOSE DAVID CUARTAS A. 112
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
15/11/2012 JOSE DAVID CUARTAS A. 113
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
15/11/2012 JOSE DAVID CUARTAS A. 114
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
15/11/2012 JOSE DAVID CUARTAS A. 115
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
Nueve principios fundamentales de un programa de Inteligencia frente al
riesgo
1. En la empresa inteligente frente al riesgo, una definición común de riesgo,
que aborda tanto la preservación de valor como la creación de valor, es usada
consistentemente a través de toda la organización.
Risk Intelligent enterprise management – Running the Risk Intelligent Enterprise, publicado por Deloitte Development LLC – 2010
15/11/2012 JOSE DAVID CUARTAS A. 116
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
2. En la empresa inteligente frente al riesgo, una estructura común del riesgo
respaldada por estándares apropiados, es usada a través de toda la
organización para administrar los riesgos.
Nueve principios fundamentales de un programa de Inteligencia frente al
riesgo
Risk Intelligent enterprise management – Running the Risk Intelligent Enterprise, publicado por Deloitte Development LLC – 2010
15/11/2012 JOSE DAVID CUARTAS A. 117
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
3. En la empresa inteligente frente al riesgo, los roles clave, las
responsabilidades y la autoridad. relacionados con la administración del riesgo,
están claramente definidos y delineados dentro de la organización.
Risk Intelligent enterprise management – Running the Risk Intelligent Enterprise, publicado por Deloitte Development LLC – 2010
Nueve principios fundamentales de un programa de Inteligencia frente al
riesgo
15/11/2012 JOSE DAVID CUARTAS A. 118
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
4. En la empresa inteligente frente al riesgo, una infraestructura común de
administración del riesgo es usada para respaldar las unidades y funciones de
negocio en el desempeño de sus responsabilidades frente al riesgo.
Risk Intelligent enterprise management – Running the Risk Intelligent Enterprise, publicado por Deloitte Development LLC – 2010
Nueve principios fundamentales de un programa de Inteligencia frente al
riesgo
15/11/2012 JOSE DAVID CUARTAS A. 119
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
5. En la empresa inteligente frente al riesgo, los cuerpos de gobierno (e.g.,
Juntas, Comités de Auditoría, etc.) tienen la transparencia y visibilidad
apropiadas en las prácticas de administración del riesgo de la organización a
fin de descargar sus responsabilidades.
Risk Intelligent enterprise management – Running the Risk Intelligent Enterprise, publicado por Deloitte Development LLC – 2010
Nueve principios fundamentales de un programa de Inteligencia frente al
riesgo
15/11/2012 JOSE DAVID CUARTAS A. 120
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
6. En la empresa inteligente frente al riesgo, la administración ejecutiva tiene a
su cargo la responsabilidad principal por diseñar, implementar, y mantener un
programa efectivo frente al riesgo.
Risk Intelligent enterprise management – Running the Risk Intelligent Enterprise, publicado por Deloitte Development LLC – 2010
Nueve principios fundamentales de un programa de Inteligencia frente al
riesgo
15/11/2012 JOSE DAVID CUARTAS A. 121
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
7. En la empresa inteligente frente al riesgo, las unidades de negocio
(departamentos, agencias, etc.) son responsables por el desempeño de sus
negocios y por la administración de los riesgos que asumen dentro de la
estructura de riesgo establecida por la administración ejecutiva.
Risk Intelligent enterprise management – Running the Risk Intelligent Enterprise, publicado por Deloitte Development LLC – 2010
Nueve principios fundamentales de un programa de Inteligencia frente al
riesgo
15/11/2012 JOSE DAVID CUARTAS A. 122
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
8. En la empresa inteligente frente al riesgo, ciertas funciones (e.g., Recursos
humanos, finanzas, tecnología de la información, impuestos, legal, etc.) tienen
un impacto generalizado en los negocios y proporcionan soporte a las
unidades de negocio en lo que se relaciona con el programa de riesgo de la
organización.
Risk Intelligent enterprise management – Running the Risk Intelligent Enterprise, publicado por Deloitte Development LLC – 2010
Nueve principios fundamentales de un programa de Inteligencia frente al
riesgo
15/11/2012 JOSE DAVID CUARTAS A. 123
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
Risk Intelligent enterprise management – Running the Risk Intelligent Enterprise, publicado por Deloitte Development LLC – 2010
Nueve principios fundamentales de un programa de Inteligencia frente al
riesgo
9. En la empresa inteligente frente al riesgo, ciertas funciones (e.g., auditoría
interna, administración del riesgo, cumplimiento, etc.) proporcionan
aseguramiento objetivo, e igualmente monitorean y reportan, a los cuerpos de
gobierno y a la administración ejecutiva, sobre la efectividad del programa de
riesgo de la organización.
15/11/2012 JOSE DAVID CUARTAS A. 124
GESTIÓN INTEGRAL DEL RIESGO
Modelo de Madurez en la Gestión del Riesgo
15/11/2012 JOSE DAVID CUARTAS A. 125
GESTIÓN INTEGRAL DEL RIESGO
7. Beneficios de la Gestión del Riesgo
15/11/2012 JOSE DAVID CUARTAS A. 126
GESTIÓN INTEGRAL DEL RIESGO
Beneficios de la Gestión del Riesgo
Se define una estructura de riesgos corporativa que soporta toda la
gestión de una manera adecuada.
Facilita el acercamiento de la Junta Directiva y la Alta Dirección a la
estrategia de negocio y sus impedimentos.
Facilita un involucramiento de las personas en la administración y
evaluación del riesgo en toda la Organización.
Los Responsables de la administración del riesgo son plenamente
identificados.
A Nivel Corporativo
15/11/2012 JOSE DAVID CUARTAS A. 127
GESTIÓN INTEGRAL DEL RIESGO
Beneficios de la Gestión del Riesgo
El Lenguaje y el enfoque son comunes con respecto al riesgo.
Se da Tratamiento y Optimización del riesgo en procesos críticos.
A Nivel Corporativo
15/11/2012 JOSE DAVID CUARTAS A. 128
GESTIÓN INTEGRAL DEL RIESGO
Beneficios de la Gestión del Riesgo
A Nivel Estratégico
Se identifican los impedimentos (Peligros) que no le permiten a la
compañía alcanzar sus objetivos del negocio clasificados según su
impacto en la Organización y su probabilidad de ocurrencia
(Riesgo).
Se evalúan las acciones que a nivel estratégico está tomando la
Gerencia para mitigar esos riesgos.
Se define el mapa de Riesgos estratégicos del negocio.
Se desarrolla a nivel Gerencial el Concepto de visión sistémica.
15/11/2012 JOSE DAVID CUARTAS A. 129
GESTIÓN INTEGRAL DEL RIESGO
Beneficios de la Gestión del Riesgo
A Nivel de Procesos
Se identifica y se discute para la Organización su Cadena de Valor
y su ciclo de negocio. (Herramientas para el Direccionamiento
Estratégico de la Compañía).
Se identifican de manera concertada a nivel Gerencial los procesos
primarios del negocio y sus actividades de apoyo, como
herramienta estratégica para la Organización.
15/11/2012 JOSE DAVID CUARTAS A. 130
GESTIÓN INTEGRAL DEL RIESGO
Beneficios de la Gestión del Riesgo
A Nivel de Procesos
A partir del ciclo del negocio y del análisis financiero que hace la
Organización, se comienzan a identificar los procesos críticos
(Administrativos, productivos, comerciales, etc.).
Se cuenta con los procesos críticos del negocio identificados.
Se identifican todos los posibles riesgos (debilidades, problemas,
amenazas, obstáculos), con los cuales cuentan los procesos
críticos y que le impiden cumplir con su finalidad.
15/11/2012 JOSE DAVID CUARTAS A. 131
GESTIÓN INTEGRAL DEL RIESGO
Beneficios de la Gestión del Riesgo
A Nivel de Procesos
Se identifican todos los posibles peligros con los cuales cuentan los
procesos críticos y que le impiden cumplir con su finalidad.
Se define una matriz y un mapa de riesgos de cada proceso crítico,
como herramienta fundamental para:
Adelantar los nuevos procesos de auditoria del negocio
Adelantar los programas y proyectos de mejora en esos
procesos críticos, buscando generar un impacto positivo en la
rentabilidad del negocio.
15/11/2012 JOSE DAVID CUARTAS A. 132
GESTIÓN INTEGRAL DEL RIESGO
Beneficios de la Gestión del Riesgo
A Nivel de Procesos
Se están implementando de manera simple los criterios iniciales de
autocontrol.
Se puede comenzar un proceso de Gerencia con Base en la
Administración de Riesgos Corporativos.
15/11/2012 JOSE DAVID CUARTAS A. 133
GESTIÓN INTEGRAL DEL RIESGO
8. Conclusiones
15/11/2012 JOSE DAVID CUARTAS A. 134
GESTIÓN INTEGRAL DEL RIESGO
Conclusiones
1. La adecuada implantación de la Gestión Integral de Riesgos depende,
principalmente de la Alta Dirección. Sin embargo, todo el personal tiene
responsabilidad en su ejecución, sin importar el nivel del cargo que una
persona en particular ocupe dentro de la Organización.
2. Las mejores prácticas indican que la aplicación de la Gestión Integral de
riesgos es fundamental para el éxito de toda Organización y el cumplimiento de
sus objetivos y metas.
15/11/2012 JOSE DAVID CUARTAS A. 135
GESTIÓN INTEGRAL DEL RIESGO
Conclusiones
3. Las Organizaciones deben desarrollar una estrategia de adecuación de
Perfiles y Responsabilidades de su personal en torno a la gestión de los riesgos
a todo nivel.
4. La gestión integral del riesgo debe estar centrada en un proceso de creación
de cultura organizacional cuyo objetivo sea el lograr que cada empleado
administre el riesgo inherente a sus actividades.
15/11/2012 JOSE DAVID CUARTAS A. 136
GESTIÓN INTEGRAL DEL RIESGO
Conclusiones
6. La administración de la empresa inteligente frente al riesgo se refiere a la
toma de decisiones estratégicas y del día a día a través de toda la empresa,
haciéndolo con plena conciencia de los riesgos y oportunidades concomitantes.
5. Aunque ninguna organización está inmune ante los eventos generadores de
riesgo, aquellas que cuentan con una efectiva gestión pueden detectar los
riesgos potenciales más oportunamente y pueden establecer estrategias que
mitiguen el impacto que estos generen.
15/11/2012 JOSE DAVID CUARTAS A. 137
GESTIÓN INTEGRAL DEL RIESGO
Conclusiones
7. Un enfoque sistemático para identificar, valorar y planear los riesgos es
esencial, así como un proceso bien definido para hacer disponible a los
tomadores de decisión, en cada nivel organizacional, la información clave sobre
el riesgo.
8. La administración del riesgo es hoy un concepto más amplio que como lo fue
hace años, cuando las personas de negocios la percibieron principalmente
como asegurar los activos contra pérdida o daño. Los líderes tienen que
reconocer que la búsqueda de valor inevitablemente significa exposición frente
al riesgo – y que por lo tanto tienen que asumir la responsabilidad por abordar
el riesgo en cada decisión que toman.
15/11/2012 JOSE DAVID CUARTAS A. 138
GESTIÓN INTEGRAL DEL RIESGO
9. Bibliografía – Páginas WEB
15/11/2012 JOSE DAVID CUARTAS A. 139
GESTIÓN INTEGRAL DEL RIESGO
Bibliografía
• COMITÉ DE SUPERVISIÓN BANCARIA DE BASILEA II (2005):
Basel II: International Convergence of Capital Measurement and
Capital Standards: A Revised Framework, Basel Committee on
Banking Supervision, Basilea.
• COSO II (2004): Enterprise Risk Management. Integrated
Framework, COSO.
• COSO II (2004): Gestión de Riesgos Corporativos- Marco
Integrado: Técnicas de Aplicación, Committee of Sponsoring
Organizations of Treadway Commission, Septiembre.
• ESCORIAL BONET, A. (2010): ISO 31000:2009 – La gestión de
riesgos como componente integral de la gestión empresarial.
• HAMPTON, J. J. (2009): Fundamentals of Enterprise Risk
Management, AMACOM, Litchfi eld, Connecticut, USA.
15/11/2012 JOSE DAVID CUARTAS A. 140
GESTIÓN INTEGRAL DEL RIESGO
Bibliografía
• IEC/ISO 31010: 2009, Risk Management-Risk Assessment
Techniques.
• INFORME UNE-ISO GUÍA 73 IN (2009): Gestión del riesgo.
Vocabulario. Traducido por AENOR
(Asociación Española de Normalización y Certificación).
• INTERNATIONAL STANDARD ISO/FDIS 31000:2009 (E). Risk
Management. Principles and guidelines.
• ISO GUIDE 73:2009 (E). Risk Management. Vocabulary.
• ISO 31000:2009, de Gestión de Riesgos - Principios y
Directrices.
• ISO/CEI 73:2002: Risk management – Vocabulary – Guidelines
for use in standards.
15/11/2012 JOSE DAVID CUARTAS A. 141
GESTIÓN INTEGRAL DEL RIESGO
Páginas WEB
• AENOR
http://www.aenor.es
• AGERS
http://www.agers.es
• CEIOPS
http://www.ceiops.org
• FERMA
http://www.ferma.eu
• FUNDACIÓN MAPFRE
http://www.fundacionmapfre.com/cienciasdelseguro
• CEA
http://www.icea.es
15/11/2012 JOSE DAVID CUARTAS A. 142
GESTIÓN INTEGRAL DEL RIESGO
Páginas WEB
• ISO
http://www.iso.org
• KPMG
http://www.kpmg.com
• PRICEWATERHOUSECOOPERS
http://www.pwc.com
• TIEMS
http://www.tiems.org
• DELOITTE
www.deloitte.com/RiskIntelligence
15/11/2012 JOSE DAVID CUARTAS A. 143
GESTIÓN INTEGRAL DEL RIESGO
MUCHAS GRACIAS !!!
15/11/2012 JOSE DAVID CUARTAS A. 144
JOSE DAVID CUARTAS A.
Cel: 310 3741082
GESTIÓN INTEGRAL DEL RIESGO
Top Related