“Gestión del Riesgo Estratégico ” Marco GRCArturo E. Carvajal O.
Socio - Advisory
KPMG
Panama
Octubre 2015
2© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Actuales Tendencias de Administración de Riesgos y Oportunidades
• Incorporación del concepto de dueño de riesgos en los procesos de administración de riesgos yrequerimientos significativos de información al tomar decisiones basadas en riesgos. (Cultura al Riesgo)
• Proactividad y separación en líneas de defensa como forma de organización integrada y en colaboración delas distintas líneas de negocios . (Gobierno Corporativo)
• Incremento de conciencia y expectación de las distintos espectadores sobre la sostenibilidad y capacidad dela administración de riesgos en la relación efectividad y costo en el negocio. (Rentabilidad)
• Incremento focalizado en probabilidad y en riesgos emergentes en alineamiento a la estrategia del negocio.(Focalización)
• Desarrollo de la responsabilidad social en línea profunda con la administración integral de riesgos.(Comunidad/Ambiente)
• Mejor colaboración en la organización, manejando un lenguaje común, clara comunicación, desagregación yreportes de riesgos (Eficiencia y Efectividad del Negocio)
Podría ser el mejor tiempo de movernos de una administración de riesgos discreta a una integrada e
incorporar una medición implícita de riesgos en el rendimiento del
negocio. Capacidad de administración de riesgo integral ?
3© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Porqué Riesgos es un Tema de Negocios?
Riesgo es ahora visto como un tema que afecta a todas las partes del negocio e influencia en el éxito y en la falla de los negocios …
. . . Consecuentemente, Administración de Riesgos está incrementando su accionar hacia la Junta Directiva, Gerencias y es proactiva versus reactiva
Fuerzas Externa
Competencia
Regulación
Alianzas/Socios
Proveedores
+
Perfil de Riesgo del Negocio
Mercado Capital/Capital
Contable
=Medidas
$
Procesos de Negocios
Áreas de Negocios
Riesgo
Eficiencia y mejoras basados en costos
Executive
Gerencias
Junta Directiva
Riesgos
4© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Cualquier iniciativa de administración de riesgo debe balancear el costo de los negocios y los beneficios que se deben derivar de tal iniciativa. Creación de Valor…
Inherent
Risk
Riesgo Retorno
MitigantesRiesgo Residual Ingreso
Bruto
Costo de
los controles
Retorno Neto
Acción de la Administración
Rechazar
Reducir
Aceptar
Traspasar
Seguros
Controles
Cobertura
Riesgo Inherente
La Administración de Riesgos Integrada a la Estrategia de Negocio…
5© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
La Administración de Riesgos Integrada a la Estrategia de Negocio…
Objetivos Estratégicos
Proceso de Administración Estratégica
Estrategias
Habilitados por
Procesos del Negocio
Seleccionar Medidas
Reduce
Impacto
Amenaza Riesgos
Controles
6© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Visión de Riesgos en Nuestro Actual Ambiente de Negocio
Gobierno• Facilitar una mejor conducción corporativa sobre las prioridades estratégicas
del negocio y en los aspectos no financieros.• Alineamiento a los requerimientos del Organismo Regulador – por ejemplo,
“Conformación de Comité de Riesgos por Directivos”. • Mayor cercanía con las Agencias Calificadoras de Riesgos – Manejo de las
expectativas con respecto a la administración de los riesgos, ayuda a asegurar una cultura de evitar “Sorpresas” .
• Involucramiento en la estructura de adecuación de capital basado en riesgos – consideraciones de Basel II y III.
Estrategia • Más allá de la Regulación – Proveer una ventaja competitiva vs. resto de los
jugadores del mercado.• Realineación Estratégica a través de la evaluación de los riesgos priorizados
por nivel de impacto.• Orientado a Riesgos – Desarrollo de estrategias con entendimiento de los
riesgos corporativos.
Rendimiento• Reducción de la volatilidad del flujo de efectivo mediante instrumentos de
coberturas, seguros y mejora del control interno.• Asignación y evaluación de Capital basado en rendimiento alineado a riesgos. • Reducción de Costos a través de la consolidación de riesgos y eficiencia
funcional cruzada en la organización.• Mejora en el proceso de responsabilidad y transparencia por medio de
reportes y monitoreo de los riesgos en forma integral en la organización.
Rendimiento
Estrategia
Gobierno
Direccionadores
7© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Alineación Gobierno, Estrategia y Rendimiento
Rendimiento Utilización de indicadores claves de riesgos y experiencia provista por los riesgos para la mejora del proceso de toma de decisiones
y rendimiento del negocio
EstrategiaRealineación de estrategias de negocios mediante alternativas
vía análisis de riesgos claves y potenciales impactos financieros
GobiernoMonitoreo y reporte de riesgos claves y acciones
para administrar riesgos por la Gerencia y Junta Directiva
8© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Desafíos de GRC dentro del Entorno Empresarial Actual
Entorno empresarial actual• Conocimiento limitado de riesgo• Falta de confianza para cuantificar y reportar perfiles
de riesgo• Riesgo y controles no se encuentran alineados con la
estrategia corporativa• Junta enfatiza en gobernanza del riesgo y monitoreo• Riesgo y controles no se encuentran implícitos en las
actividades del negocio• Información no-confiable• Sobrecarga de información lleva a ineficiencias en el
manejo y toma de decisiones del negocio• Falta de transparencia del monitoreo y reportes
ineficientes• Incremento de costos para cumplimiento y
divulgación• Incremento de complejidad y estándares más altos
de calidad • Procesos manuales intensivos GRC• Visión de Silos – funciones de Riesgo, Cumplimiento
y Control trabajan separadamente sin cooperación• Ejecución de múltiples actividades de cumplimiento
son costosas e ineficientes• Muchos esquemas diferentes de riesgos y controles
9© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Modelo Holístico Integral GRCDefinición KPMG
Un enfoque que alinea gobierno corporativo, procesos de riesgos y cumplimiento a la estrategia de negocio, permitiendo convergencia y transparencia de información para el manejo del rendimiento y flexibilidad del mismo en un ambiente económico dinámico.
Una definición nuestra
“”Que es GRC Qué no es GRC
Inicia con el entendimiento de los objetivos estratégicos, misión y modelo de negocio. Vista integral de las funciones
expuestas Convergencia de riesgos relacionada
con las funciones expuestas Alineación gente, procesos y
consideraciones de tecnología.
No es una solución tecnológica, pero frecuentemente incorpora soluciones disponibles No es otro nombre de
administración integral de riesgos No elimina la necesidad de las
funciones de cumplimiento. No es conceptual – debe ser
práctico.
10© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Modelo Holístico Integral GRC
Gobierno, Organización e Infraestructura se refiere a las estructuras de organización, funciones y responsabilidades, recursos, procedimientos de escalamiento, y sistemas de información para las funciones de supervisión que gestionan GRC dentro de la empresa
Modelo Operativo GRC abarca la incorporación de controles y la información en los procesos de negocio de la organización
Aseguramiento del negocio, es la presentación coordinada de informes y seguimiento de los controles
La estrategia es el desarrollo y la planificación de los objetivos de negocio
El Cumplimiento y Rendimiento proporciona una garantía interna y externa frente a los riesgos y controles clave
Perfil de riesgo, es la evaluación de las áreas de exposición y los posibles impactos
Los procesos de negocio son el centro del modelo holístico GRC donde las transacciones y actividades de control se llevan a cabo.
La cultura y el comportamiento se relaciona con los cambios organizativos y de gestión de comportamiento necesarios para integrar GRC en las funciones de la organización
11© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Entendiendo el Modelo Holístico GRC Elementos Claves
Gobierno, Organización e Infraestructura
Modelo Operacional GRC
Cultura & Comportamiento
Procesos de NegociosPerfil de Riesgo
Aseguramiento del Negocio
Rendimiento del Negocio Mediciones GRC
Reportes Integrados Rendimiento y Cumplimiento
12© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Entendiendo el Modelo Holístico GRC Misión y Estrategia
GRC sigue a la estrategia
Misión y Estrategia determinan los objetivos del negocio y son los precondicionantes de la estructura GRC.
13© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Vinculo entre estrategia de negocios y riesgo
Estrategia de Riesgos
Apetito y Tolerancia de Riesgo
Junta Directiva y Comité
Estructura de Riesgo
Guías de Riesgo
Roles y Responsabilidades
Toma de Decisión
Definición de Riesgo
Identificación de Riesgo
Priorización y Evaluación
Modelos, y Métodos Cuantitativos
Agregación de Riesgo, Correlación y Concentración
Escenarios de Análisis y Stress Testing
Capital y gestión del rendimiento
Mitigación de Riesgo, Respuesta y Plan de Acción
Testeo, Validación y Aseguramiento de la administración
Monitoreo
Proyectos de Riesgo / Iniciativas
Calidad de la Información y Gobierno
Riesgo Analítico
Disposición de la Tecnología
Reporte de Riesgo
Requerimientos de Negocios / Operaciones
Requerimientos de la Junta Directiva y Alta Gerencia
Requerimientos Externos
Conocimiento y Entendimiento
Creencias y compromiso
Competencias y Contexto
Acción y Determinación
Estrategia y Apetito de Riesgo
Gobierno de Riesgo
Cultura de Riesgo
Evaluación y medición de riesgoManejo y Monitoreo de RiesgoReporte de Riesgo y Perspectivas
Información y Tecnología
Entendiendo el Modelo Holístico GRC Marco de Riesgo Integral (ERM)
Cultura de Riesgo
Gobierno Corporativo de Riesgo
Evaluación y Medición de
Riesgo
Reporte de Riesgo y
Perspectivas
Manejo y Monitoreo de
Riesgo
Estrategia y Apetito
de Riesgo
Datos y Tecnología
14© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Ejemplos Prácticos ligados al Modelo GRCPerfil de Riesgo
Evaluación de áreas de exposición y potenciales impactos:
Procesos Administración de políticas de Cambios de Normas
Regulaciones y leyes claves
SOX 404
Solvencia II
Riesgo Operacional
NIIF
Ley de Pensiones
Riesgos Claves
Entrada incompleta e incorrecta de entradas de cambios
Procesamiento inoportuno de cambios
Daño a la reputación debido a inapropiadas confirmaciones de fallecimientos
Incorrecto cálculo de prima debido a entrada incorrecta de estado salarial
Incorrecto cálculo de prima o previsiones debido a cambios no autorizados en la base de datos maestra
No cumplimiento con políticas estratégicas internas , planes y presupuestos
Riesgo de fraude
Cumplimiento no claro e inoportuno con NIIF , Solvencia II, etc.
15© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Riesgo Reputacional Riesgo Financiero
Key
Top Ten Risks Riesgo Regulatorio y Cumplimiento
3j Pérdida del edificio junto el equipo humano clave o infraestructura tecnológica
1c Cambios adversos en las leyes y gobierno afectando el modelo de negocio de la compañía
5a Pérdida de participación de mercado o ingresos por medio de la competencia o regulación
5b Introducción de productos competitivos y tecnología de otras compañías
5c Inhabilidad para atraer y retener empleados claves
1b Fallas en el desarrollo de los sistemas de información transaccional y gerencial
4d Exposición a litigios judiciales relacionados a los productos y servicios de la compañía
3h Deficientes productos y/o servicios provistos resultando en pérdida de reputación
4a Inhabilidad a reaccionar a los cambios en el ambiente legal, económico, regulatorio o ambientales
3i Incremento en la presión sobre precios por la competencia y/o clientes
1
10 Mayores Riesgos#
2
3
4
5
6
7
8
9
10
Insignificante
Probabilidad de Ocurrencia del Riesgo
Menor
Moderado
Mayor
Remoto Improbable Posible Probable Ciertamente Probable
1f
3e4c
4e4f
4j
1c
1d1e
2b
3g
3b 3d3f
3a
3h
4b
4d
4g
4h
4i
5a
5c
1a2c
2a
5b
3j
3i3c
1b
4a
Catastrófico
Impa
cto
del R
iesg
o
Riesgo Operativo Riesgo Estratégico
Creando Contenido – Perfil de Riesgos
Ejemplos Prácticos ligados al Modelo GRCPerfil de Riesgo
16© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
1f
3e4c
4e4f
4j1d
1e2b
3g
3b 3d3f
3a
4b
4g
4h
4i
1a2c
2a
3i3c
4a
1b
5b3h5c
4d
1c
5a
3j
Key
Área de Negocio A Área de Negocio B Área de Negocio C Área de Negocio D Área de Negocio E
Riesgos Mayores
3j Pérdida del edificio junto el equipo humano clave o infraestructura tecnológica
1c Cambios adversos en las leyes y gobierno afectando el modelo de negocio de la compañía
5a Pérdida de participación de mercado o ingresos por medio de la competencia o regulación
5b Introducción de productos competitivos y tecnología de otras compañías
5c Inhabilidad para atraer y retener empleados claves
1b Fallas en el desarrollo de los sistemas de información transaccional y gerencial
4d Exposición a incumplimiento de créditos relacionados a la cartera de préstamos corporativos
3h Deficientes productos y/o servicios provistos resultando en pérdida de reputación
4a Inhabilidad a reaccionar a los cambios en el ambiente legal, económico, regulatorio o ambientales
3i Incremento en la presión sobre precios por la competencia y/o clientes
1
10 Mayores Riesgos#
2
3
4
5
6
7
8
9
10
Insignificante
Menor
Moderado
Mayor
Catastrófico
Impa
cto
del R
iesg
o
Probabilidad de Ocurrencia del Riesgo
Remoto Improbable Posible Probable Ciertamente Probable
Creando Contenido – Riesgos Residuales
Ejemplos Prácticos ligados al Modelo GRCPerfil de Riesgo
17© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
2009
2007
2008
2007
Schedule
(IA/Compliance)
4
3
2
1
O
O
S
Risk Category
(M, C, O, I)
Pérdida por exposición a moneda extranjera por error en la cobertura
Falla en el desarrollo de sistemas y datos
Deficiente productos/servicios resultando en pérdida de reputación
Introducción de productos competitivos y tecnología de otras compañías
BoardOversight
OverallCurrentScore (*)
Risk DirectionRisk Description
2009
2007
2008
2007
Monitoreo(AI/Riesgos)
3
2
1
F
O
O
S
RiesgoCategoría(M, C, O, I)
Comité A
ComiteOversight
Exposición Actual - ScoreRiesgo
DirecciónDescripción del Riesgo
2
2
2
3
Assessment of Actions to Manage Risk(*) Evaluación del Manejo de Riesgo(*)
0
1
2
3
4
5
Definitions of Risk Direction:
Riesgo decreciendo
Riesgo en ascenso
Sin cambio en la dirección del riesgo
Definición de Dirección de Riesgos
Legal y Cumplimiento
Risk Category Abbreviations
OperacionalEstrategicoFinanciero
SF
Categoría de Riesgos
–
–
–
–
–
–
IOL
O
Exposición a los Riesgos Claves
Rendimiento
Estrategia
Gobierno
(Market, Credit, Operations, Infrastructure)
Comité B
Comité C
Comité D
Excede Requerimiento – El proceso de administración de riesgos esta siendo manejado sobre el nivel de riesgo involucrado.Reúne Requerimientos – El proceso de administración de riesgos es apropiado al nivel de riesgo identificado.
Necesita Reforzamiento Menor – Mejoras menores en el proceso de administración de riesgos son necesarias Necesita Reforzamiento Importante – El proceso de administración de riesgos necesita ser reforzado fuertemente Necesita Reforzamiento Crítico – El proceso de administración de riesgos es deficiente de modo crítico.
No Establecido – El proceso de administración de riesgos no ha sido establecido.
Ejemplos Prácticos ligados al Modelo GRCPerfil de Riesgo
18© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Área de Enlace
Comité Ejecutivo
Gerente General
JUNTA DIRECTIVA
Banca Comercial
Instituciones Financieras
Banca de Consumo
Banca CorporativaTecnología
Operaciones
Línea de reporte jerárquico
G.A. Riesgo Crédito
G.A. Riesgo Operacional
G.A. Riesgo Mercado y Liquidez
G.A. Riesgo Legal
Comité de Crédito de Consumo
Comité de Crédito
Corporativo
Mercadeo
Recursos Humanos
G.E. Finanzas
G.E. TesoreríaRiesgo Integral
CumplimientoAuditoría Interna
Comité de Riesgos
Ejecutivo
C.D. De
Crédito
C.D. De
Auditoria
C.D. De
Cumplimiento
C.D. De Riesgo
C.D. Gobierno
CorporativoC.D.
ALCO
Admón. Crédito
Línea de reporte funcional
Planificación
Área de Control Área de Negocio
Ejemplos Prácticos ligados al Modelo GRC Gobierno, Organización e Infraestructura
19© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Equipo Gerencial
Junta Directiva
Áreas de Soporte
Línea de Negocios
1
Actividades
Primera Línea de Defensa
Función de Riesgos Roles y Responsabilidades
Segunda Línea de Defensa
Tercera Línea de Defensa
Línea de Negocios 2
Línea de Negocios
3
Auditoría Interna
Auditores Internos
Áreas Especializadas
LegalCumplimiento
Seguridadetc
Estructura de Organización: Diagrama de Tres Líneas de Defensa
Ejemplos Prácticos ligados al Modelo GRC Gobierno, Organización e Infraestructura
20© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Estructura de Organización
DUEÑO DE ADMINISTRACIÓN RIESGOS• Administrar riesgos/ acciones de implementación para manejar y tratar riesgos• Cumplimiento con proceso de administración de riesgos• Implementación proceso de administración de riesgos donde sea aplicable • Ejecutar evaluación de riesgos e identificar riesgos emergentes
PrimeraLínea de Defensa
Dueños
NegociosD
ueño
s N
egoc
ios
GESTIÓN DE RIESGOS• Definición de políticas y procesos de administración de riesgos• Estrategia de gestión alineada al negocio en términos de riesgos• Proveer guías y coordinación entre las distintas áreas del negocio• Identificar tendencias del negocio, sinergia y oportunidades para cambios
en la administración de riesgos.• Facilitador y comunicador entre la tercera y primera línea de defensa• Vigilancia sobre ciertas áreas de riesgos y los objetivos de negocios
Segunda Línea de DefensaEs
tabl
ecim
ient
o Es
tánd
ares
Establecimiento
Estándares
VALIDACIÓN PROCESO DE ADMINISTRACIÓN Y GESTIÓN DE RIESGOS• Comunicación con Alta Gerencia y Junta Directiva• Evaluación del proceso de administración de riesgos en su conjunto• Verificación de la administración de riesgos con relación a contenido y
proceso y gestión de riesgos• Proveer razonable aseguramiento que el proceso de administración de
riesgos es adecuado y apropiado al perfil de riesgo del negocio
Tercera Línea de DefensaPr
ovee
r As
egur
amie
nto
Gobierno de Riesgos
Ejemplos Prácticos ligados al Modelo GRC Gobierno, Organización e Infraestructura
Proveer Aseguram
iento
21© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
RESILIENCE
MISSIO
N
Values
Strategy
Value Drivers
Model
Risk Profile
Governance, Organization, &
Infrastructure
Culture & Behavior
Enterprise AssuranceBusiness
ProcessesBusiness Processes
Compliance
PerformanceBusiness
RESILIENCE
MISSIO
N
Values
Strategy
Value Drivers
Model
Risk Profile
Governance, Organization, &
Infrastructure
Culture & Behavior
Enterprise AssuranceBusiness
ProcessesBusiness Processes
Compliance
PerformanceBusiness
Mapeo de las 3 Líneas de Defensa para un Modelo GRC Holístico
GRC soporta 3 Líneas de Defensa en protección y aumento del valor del negocio. Dentro de una organización hay típicamente 3 Líneas de Defensa:
- 1ra Línea: Dueños de Negocios
- 2da Línea: Establecimiento Estándares
- 3ra Línea: Auditoría Interna
La conexión entre las 3 Líneas de Defensa y los elementos aplicables claves dentro del GRC de KPMG, modelo holístico, son gráficamente representados
22© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Ejemplos Prácticos ligados al Modelo GRC Alineación de Gobierno Corporativo a Riesgo Integral - Sector Financiero
Junta Directiva
Bca. Corporativa
Bca. Comercial
Bca.Corresponsalia
Bca. Consumo
Tesorería
Comités Directivos de Riesgo y Cumplimiento
Comité Ejecutivo de
Riesgos
Comité de RO
Control Interno
Comité Directivo de Auditoría
Auditoría Interna
Auditoría Externa
RRHH
Legal Seguridad IT
Comités Directivos/ Ejecutivos (ALCO, Crédito,
otros)
Operaciones IT Planificación
Procesos
Bca. Inversión
CumplimientoSeguimiento y Ejecución
Admin.
Gerencia General
Áreas EspecializadasÁreas Soporte / Operaciones
Fuente:Basado en “Principles for the sound Management of Operational Risk” Basel Committee on Banking SupervisionJunio 2011
23© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Junta Directiva
Comité de Tecnología
Comité de Ventas
Comité de RRHH
Comité de Operación
Comités Directivos/Ejecutivos
Comité Plan Estratégico/
Riesgos
Comité de Compensación
Control
Comité Directivo de Auditoría
Auditoría Interna
Auditoría Externa
RRHHLegal
Seguridad IT
Comités Directivos/Ejecutivos
Operaciones IT Presupuesto
Procesos y Mejora Continua Serv. Admin.
Gerencia General
Áreas EspecializadasÁreas Soporte y Operaciones
Comité de Finanzas
Comité de Gobierno
Corporativo
Ejemplos Prácticos ligados al Modelo GRC Alineación de Gobierno Corporativo a Riesgo Integral - Sector No Financiero
24© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Ejemplos Prácticos ligados al Modelo GRCIntegración Gobierno, Riesgo y Cumplimiento (GRC)
VP Banca Comercial
VP Banca Consumo
VP de Tesorería
VP de Banca Corporativa
VP de Operaciones
VP Nuevos Mercados
VP Banca Privada
Otras áreas Ventas
Auditoría Interna y Auditoría Externa
Junta Directiva
Objetivos Generales(Estratégicos)
Objetivos por área o sección del negocio
Tácticos
Comité Directivo de Auditoría
Comités Directivos de Riesgo y Cumplimiento
Riesgo Estratégico
Riesgo de Crédito
Riesgo de Mercado
Riesgo de Liquidez
Riesgo de Contraparte
Riesgo de Contagio
Riesgo de País
Riesgo Operacional
Riesgo de TI
Riesgo Concentración
Riesgo de Reputación
VP de Planeación
VP de Finanzas
VP de Mercadeo
VP Administración
VP de Procesos
VP de Banca (Ventas)
Otras áreas soporte
Due
ños
de lo
s R
iesg
os
Impa
ctan
el l
ogro
de
los
Obj
. Est
raté
gico
s
Comités Ejecutivos
Ofre
cen
Sopo
rte
25© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Ejemplos Prácticos ligados al Modelo GRC Procesos de Negocios
Controles implícitos y reportes en los procesos de negocios de la organización:
Procesos
Riesgos Claves & Controles Claves
Roles & Responsabilidades
Detalle de los Procesos
Segregación de Funciones
26© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Ejemplos Prácticos ligados al Modelo GRC Cultura & Comportamiento
Sostenibilidad implícita de varios aspectos de GRC dentro del corazón y mente de las funciones organizacionales:
27© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Comité de Auditoría Vigilancia y Monitoreo Continuo
Responsabilidad de Riesgos (Dueño de Riesgos)(e.g., Legal, Cumplimiento, Operaciones, Finanzas)
Implementación y Reporte de Acciones de Adm. de Riesgos
Auditoria InternaVerificación y Evaluación
Independiente
Responsabilidad del Proceso de Adm. De Riesgos (Áreas de Negocio y Soporte)
Visión Integral, Calidad de la Estructura de Riesgos y Aplicación de Políticas
Comité de Riesgos Directrices y Estrategia de Riesgos
Cultura Orientado a Riesgos
Ejemplos Prácticos ligados al Modelo GRC Cultura & Comportamiento
28© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Ejemplos Prácticos ligados al Modelo GRC Aseguramiento del Negocio
Reportes integrados y monitoreo de controles
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Plan Supply Chain
Manage Supply Chain
Goods Flow
Sourcing
Purchase to Pay
Manufacturing
Prospect to Order
Order to Cash
Control & Accounting
Insurance
Fiscal affairs
Treasury
Human Resources
ICT
Corporate directives
CompliantInsufficientNon Conforming
29© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Ejemplos Prácticos ligados al Modelo GRC Cumplimiento, Rendimiento y Flexibilidad
Adecuada conformidad de cumplimiento y rendimiento llevan a una organización a ser flexible, siendo capaz de llevar cambios a lo interno y externo. Esas organizaciones pueden adaptarse rápidamente a circunstancias imprevistas.
30© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Análisis de Estrategia vs. Rendimiento ajustado a Riesgos
5%
Rendimiento ajustado a Riesgos
Incorporación de alternativas de
inversión en títulos de deuda con grado de
inversión y alta presencia de mercado.
Realineación de la Iniciativa
Estratégica
4.5%
Diversificación de cartera de inversión de al menos un 60% en
instrumentos soberanos con grado de
inversión
7%
Mantención de posiciones en fondos de inversión con un valor en riesgo ajustado a
liquidez por un máximo del 5%
Iniciativa 1Incorporación en el plan estratégico del Banco la actividad de inversiones
Iniciativa Estratégica
EstrategiaMaximizar la Rentabilidad
de las Inversiones
por exceso de liquidez
Rendimiento Económico Planeado
Riesgo 3Pérdida por liquidez de posiciones en fondos de inversión.
Riesgo 1Pérdida de oportunidad por no incorporar alternativas de inversiones en títulos de deuda con presencia en el mercado.
Riesgos a la Iniciativa
Riesgo 2Pérdida potencial por rendimiento en posiciones de instrumentos financieros de alto grado especulativo y de crédito
8%
6%
12%
Análisis de Impacto de Valor Económico en el Margen Financiero
Iniciativa 2Plan estratégico de diversificación de las inversiones con su perfil de riesgo y límites
Rendimiento
Estrategia
Gobierno
Ejemplos Prácticos ligados al Modelo GRCCumplimiento, Rendimiento y Flexibilidad
31© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Fortalecer Rendimiento Basado en Riesgos
Componente 1Incapacidad de
atraer talento clave
Componente de Riesgo
Riesgo 6Incapacidad de atraer y retener
talento
Origen de la Causa
Componente 2Incapacidad de retener talento
clave
Causa 1 Paquete de compensación no atractivo
Causa 2Empleados insatisfechos con el trabajo y la Compañía
Causa 3Excesiva carga de Trabajo
Indicador de estudios de
compensación comparables con mercado
Indicador de Riesgos
Diferencia máxima de 10% en compensación por niveles comparado
con competidores
Valor Meta
Encuestas a empleados
Mínimo 80% de empleados
insatisfechos o alta satisfacción con el
trabajo y la Compañía
Trabajo de sobre tiempo
Indicadores de Riesgos Valor Meta Valor Actual- Indicador de Compensación Max. 10% 12.5% - Indicador de Empleado Insatisfecho Min. 80% 83%- Indicador de Sobrecarga Max. 100 horas Todo el staff bajo 100 horas
Máximo 100 horastotal acumulada de
sobretiempo por empleado
Rendimiento
Estrategia
Gobierno
Ejemplos Prácticos ligados al Modelo GRCCumplimiento, Rendimiento y Flexibilidad
32© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Perspectiva IT del modelo holístico GRC Tecnología como un Habilitador Clave
Tecnología es un habilitador clave en el proceso de implementación para alcanzar una estructura integrada GRC
33© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Perspectiva IT del modelo holístico GRC Aplicando la Tecnología GRC para soportar el Modelo Holístico
Qué clase de tablero o reportes de riesgos son preparados? Cómo pueden
ser preparados?
Esta usando tecnología para la estructura de riesgo/control,
automatización de control por autorregulación? Cómo son los eventos de pérdidas, registro y
administración de pérdidas?
Tiene la organización establecidos procesos de
auditoría y monitoreo continuo? Implementación
de herramientas de control?
34© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Perspectiva IT del modelo holístico GRC La Estructura de los Servicios Tecnológicos GRCTecnología de GRC se pueden clasificar en tres dimensiones basada en las capacidades que ofrecen las herramientas y su aplicación en el modelo holístico de GRC. Estas dimensiones son Estratégico, Táctico y Operativo.
Estratégico – Soporta aseguramiento del negocio , proporcionando capacidades de monitoreo nivel ejecutivo en forma de cuadros de mando y análisis a nivel macro
Táctico - Permite la gestión GRC al proporcionar un repositorio de documentación de los procesos de negocio, las políticas, los riesgos, los objetivos de control y riesgos. Evaluaciones de control y gestión de mejoras automatizadas a través de flujos de trabajo y aprobaciones. Los informes proporcionan información sobre Gestión de Riesgos y Cumplimiento
Operacional - Soporta el modelo deGRC operacional, proporcionandocapacidades en las áreas de:• Monitoreo de los controles configurables• Control de acceso / análisis de SOD• Automatización de la autorización de
acceso• Certificación periódica de los privilegios
del sistema• Análisis de transacciones
35© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Perspectiva IT del modelo holistico GRC Como la Tecnología GRC soporta el Modelo Holistico?
La capacidad de la tecnología GRC soporta todas las fases de utilización del modelo holístico GRC.
36© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
• La tecnología de GRC apoya el modelo holístico GRC al proporcionar aplicaciones que puede ser estructurado, adaptado e implementado en el entorno de la organización. Por lo tanto, permite el aprovechamiento de las capacidades automatizadas para apoyar un ambiente de GRC integrada y holística.
• La dimensión estratégica de la tecnología de GRC apoya principalmente el perfil de riesgo y los componentes de aseguramiento del negocio del modelo holístico GRC.
• La dimensión táctica proporciona capacidades de gestión de GRC y sobre todo apoya la gobernabilidad, organización e infraestructura, y los componentes de la cultura y el comportamiento del modelo holístico GRC.
• La dimensión operacional de la tecnología de GRC apoya principalmente el modelo de GRC a través del monitoreo continuo y controles preventivos.
• El centro de GRC son los procesos de negocios que se apoyan en sistemas ERP y en otras aplicaciones de terceros. Las capacidades de la tecnología de GRC se puede utilizar para implementar los controles preventivos y de detección dentro de los procesos de mitigación de riesgos y el logro de cumplimiento.
Perspectiva IT del modelo holístico GRC Aplicando la Tecnología GRC para soportar el Modelo Holístico
37© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.
Como podemos ayudar a la implementación de GRC?
RESILIEN
CE
MISSIO
N
Values
Strategy
Value Drivers
Model
Risk Profile
Governance, Organization, &
Infrastructure
Culture & Behavior
Enterprise AssuranceBusiness
ProcessesBusiness Processes
Compliance
PerformanceBusiness
RESILIEN
CE
MISSIO
N
Values
Strategy
Value Drivers
Model
Risk Profile
Governance, Organization, &
Infrastructure
Culture & Behavior
Enterprise AssuranceBusiness
ProcessesBusiness Processes
Compliance
PerformanceBusiness
• Integración gobierno y estrategia de riesgo
• Cumplimiento unificación IT
• Evaluación gestión integral riesgo (GRI)• Desarrollo e implementación GRI• Desarrollo apetito al riesgo• Evaluación continua administración integral de riesgo en el negocio
• Cultura al riesgo• Adm. del Cambio• Entrenamiento • Riesgo trabajar en silos
• Proceso de reingeniería• Reducción de controles duplicados y procesos
• Infraestructura de controles IT • Controles automatizados en procesos
• Desarrollo de matrices de rendimiento ajustadas a riesgos
• Due diligence• Posible M&A
• Identificación de riesgo & mitigación
• Estrategia negocio / IT y alineación
• Integración de sistemas
• Selección tecnología GRC
• Implementación de GRC
• Evaluación brecha con nuevas y actuales regulaciones
• Estructura de reporte a Junta Directiva/ Alta Administración
• Desarrollo de reportes matriz de riesgo • Reporte a Comités de AI, Riesgo y Cumplimiento
© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados. KPMG International Cooperative (“KPMG International”) es una entidad suiza. Las firmas miembro de la red de firmas independientes de KPMG están afiliadas a KPMG International. KPMG International no provee servicios a clientes.
KPMG y el logotipo de KPMG son marcas registradas de KPMG International Cooperative (“KPMG International”), una entidad suiza.
Gracias
Arturo E. Carvajal
Socio
Risk & Compliance