Sistema Efectivo de Análisis de Riesgo (SEAR)Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE
Taller a Personal Clave
Lima, 20 de octubre 2015
Página 2
Importancia de la Gestión de Riesgo en la Empresa
Sistema Efectivo de Análisis de Riesgo (SEAR)
El rol del personal en el SEAR
I. Planificación de la Gestión de Riesgos1.1 Mapeo de Procesos1.2 Definición de Objetivos1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo1.4 Priorización y Selección de Procesos Críticos
II. Identificación y Clasificación de Riesgos2.1 Identificación de Eventos2.2 Identificación de Riesgos
Cláusula de propiedad intelectualEste documento contiene material, ideas y conceptos que son propiedad de EY. Los materiales, ideas y conceptos aquí vertidos son para uso exclusivo del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado. El contenido de este documento no debe ser reproducido total o parcialmente por ningún medio, ni distribuido a nadie externo a FONAFE, sin el consentimiento previo y por escrito de EY.
Página 4
¿Qué es Gestión de Riesgos y cuál es su importancia?
¿Qué es? ¿Qué Comprende?
¿Cuál es su objetivo?
Es un conjunto de actividades coordinadas a nivel de toda la Empresa para identificar potenciales eventos que le afectarían y gestionarlos de acuerdo a
sus necesidades.
Preservar el valor previniendo eventos internos y externos que puedan impactar negativamente el logro de los objetivos, y aprovechando aquellos que signifiquen
oportunidades de desarrollo.
La implementación de un enfoque y lenguaje común en toda la Empresa.
Página 5
La Gestión de Riesgos debe enfocarse en los temas más relevantes, buscando un óptimo equilibrio entre el impacto del riesgo asumido, el costo de la actividad de control y el valor que ésta agrega a la Empresa, asegurándose de que el costo se mantenga por debajo del valor generado.
¿Qué es Gestión de Riesgos y cuál es su importancia?
Página 6
Impulsa el establecimiento de controles adecuados que mitiguen los efectos ante una interrupción no deseada o desastre
Permite desarrollar una gestión de riesgos que cuente con un flujo de información constante.
Brinda los lineamientos para el desarrollo de la Evaluación de Riesgos.
Brinda un enfoque en el cual deben basarse los procesos para garantizar la calidad de los productos o servicios.
Permite a la dirección contar con una estrategia eficiente para procurar el cumplimiento de los objetivos de la Empresa.
Relación entre Gestión de Riesgos y otros marcos
ISO 9001
Control Interno
Gobierno Corporativo
Continuidadde Negocio
Gestión de Riesgos
ISO 31000
Página 7
Componentes de la Gestión de Riesgos
Ambiente de control
Establecimiento de objetivos
Identificación de eventos
Evaluación de riesgos
Establece la base de la gestión de riesgos de la Empresa, a través de la definición de la filosofía de gestión integral de riesgo, el apetito de riesgo, el rol del Comité de Gestión de Riesgos, y el establecimiento de una estructura de gestión integral de riesgos.
La gestión integral de riesgo se asegura que la gerencia cuente con un proceso para definir objetivos que estén alineados con la misión y visión, con el apetito de riesgo y niveles de tolerancia.
Se identifican los eventos potenciales que afectan la puesta en práctica de la estrategia o el logro de los objetivos, pudiendo tener impactos positivos o negativos. Se reconoce la importancia de entender los factores internos y externos, y el tipo de eventos que pueden generar.
Permite que la Empresa entienda el grado en el cual los eventos potenciales pueden afectar los objetivos del negocio. Evalúa los riesgos desde dos perspectivas: probabilidad e impacto, y en un escenario inherente y otro residual.
Página 8
Componentes de la Gestión de Riesgos
Respuesta al riesgo
Actividades de control
Información y comunicación
Monitoreo
Las respuestas se establecen para alcanzar el riesgo residual alineado con los niveles de tolerancia al riesgo. Los costos de diseñar e implantar una respuesta o estrategia de tratamiento deben ser considerados, así como los costos de mantenerla.
Políticas y procedimientos que ayudan a asegurar que las respuestas a los riesgos son ejecutadas, de forma apropiada y oportuna. Están presentes en todos los niveles y áreas de la Empresa.
La información relevante, debe ser identificada, capturada, procesada y comunicada en la oportuna y adecuadamente. La Dirección y Gerencia deben comunicar al personal su responsabilidad ante la gestión de riesgos. El personal debe entender su rol al respecto.
La gestión de riesgos es monitoreada evaluando la presencia consistente y funcionamiento de sus componentes. La eficacia de los otros componentes se sigue mediante actividades de supervisión continua y evaluaciones independientes entre sí.
Página 9
Componentes de la Gestión de RiesgosLos componentes de Gestión de Riesgos buscan contribuir al cumplimiento de las siguientes categorías de objetivos…
… a través del desarrollo de actividades en estos niveles de la Empresa
Estratégicos
Objetivos a alto nivel, alineados con la misión de la
Empresa
Operaciones
Objetivos vinculados al uso eficaz y eficiente de
recursos. Incluye objetivos de rentabilidad y desempeño
Reporte
Objetivos de fiabilidad de la información suministrada y
de las actividades realizadas
Cumplimiento
Objetivos relativos al cumplimiento de leyes y
normas aplicables
Nivel Entidad
Nivel de Procesos
Despliegue de aspectos estratégicos de la gestión de riesgos a nivel corporativo. Identificación de riesgos estratégicos.
Despliegue de la gestión de riesgos en cada proceso. Identificación de riesgos que afectan puntualmente a uno o más procesos.
Página 11
¿Qué es el SEAR?
SEAREl Sistema Efectivo de Análisis de Riesgo es un enfoque estandarizado para la implementación de la Gestiónde Riesgos en las Empresas de la Corporación.
Gestión de Riesgos
HerramientaMetodología
Proceso
Brinda las directivasbasadas en lineamientos teóricos líderes para el desarrollo de la gestión de riesgos.
Es un conjunto de actividadessistematizadas que tienen como fin alcanzar el objetivo de fortalecer la gestión de riesgos.
Proporciona instrumentos prácticos para facilitar el desarrollo de la Gestión de Riesgos.
Página 12
Beneficios de la implementación del SEAR
Crea un ambiente adecuado para el cumplimiento de los objetivos de la Empresa.
Agiliza el proceso de toma de decisión de la dirección al contar con una visión de los riesgos que afectan a la Empresa.
Optimiza los costos de las actividades de control a través de la evaluación oportuna de su diseño y eficacia.
Contribuye a reducir las pérdidas que afecten los resultados de la Empresa al establecer mecanismos de identificación de riesgos y de control.
Mejora el valor percibido de la Empresa y facilita el acceso a capital en mercados internacionales.
Página 14
Responsabilidades del personal
Ejecuta la actividades del SEAR. Incluye al personal clave de cada proceso, asegurando el compromiso a lo largo de toda la Empresa.
Lidera la implementación de las actividades del SEAR de acuerdo a los principios establecidos por la Dirección.
Define un Ambiente de Control apropiado para la Empresa, así como el enfoque y dimensión de la gestión de riesgos. Supervisa las actividades implementadas por la función de gestión de riesgos y asegura su eficiencia.
Nivel 1Nivel 2 Nivel 3
Es importante contar con una estructura organizacional de gestión de riesgos bajo un enfoque centralizado-colaborativo, a través de una dinámica top-down.
Las actividades de gestión de riesgos deben ser estructuradas y lideradas por un nivel Directivo, soportado por una función encargada de la ejecución de los lineamientos establecidos que cuente con el apoyo del resto de unidades orgánicas en su desarrollo y materialización.
► Directorio► Comité de
Riesgos► Ejecutivo responsable del SEAR
► Dueños de procesos y gestores de riesgo
Página 15
Responsabilidades del personal
Nivel 2
Definir el apetito de riesgoProponer Política de Gestión de Riesgos y Plan de
Gestión de Riesgos.Diseñar Metodología para la Gestión de RiesgosMonitorear criticidad de los riesgosAprobar criterios y técnicas para evaluación de
riesgos.Elaborar el plan anual de capacitación de Gestión de
Riesgos.Apoyar en el proceso de evaluación del desarrollo del
SEAR al Nivel 1.
Nivel 1
Impulsar toma de decisiones de Gestión de RiesgosDefinir cultura de Gestión de RiesgosAprobar declaración del apetito de riesgo, Política de
Gestión de Riesgos y Plan de Gestión de RiesgosVelar por alineamiento entre objetivos y actividades de
la Gestión de Riesgos con Plan EstratégicoSolicitar reportes trimestrales al Nivel 2Evaluar anualmente el desarrollo del SEAR
Nivel 1Nivel 2Nivel 3
Nivel 3
Apoyar al Nivel 2 en elaboración de Política de Gestión de RiesgosDocumentar y actualizar del inventario de procesos,
riesgos y controles según lo definido en la Metodología de Gestión de RiesgosBrindar soporte al Nivel 2 en actividades de
evaluación de riesgosDocumentar mapa de riesgos, mantenerlo vigente y
reportar su estado al Nivel 2
Página 16
Mapeo de procesos Definición de objetivos Identificación de procesos
críticosDefinición de apetito de riesgo Identificación de eventos Identificación de riesgos Determinación de tolerancia de
riesgo
Evaluación de riesgo
inherente
Identificación y documentación de
actividades de control
existentes
Evaluación de riesgo
residual
Elaboración de mapas de
riesgos (Inherente y residual)
Elaboración de Estrategias de
tratamientoDefinición y documentación de
KRI’s
Evaluación del riesgo residual
y actualizar su calificaciónEvaluación de efectividad y
actualización de controles
Evaluación de KRI’s y modificación de estrategias de tratamiento al riesgo y
planes de acción
Reporte del avance de la implementación SEAR a
FONAFE
Evaluación de la gestión de riesgos y envío de los resultados
a FONAFE para su aprobación
SEARSEAR
(cont.) de riesgos y controles a nivel de entidad y de procesos
Seguimiento a la implementación de planes de acción de acuerdo al cronograma
Elaboración de planes de acción
Elaboración de un cronograma de seguimiento
a los planes de acción
Documentación de matrices (cont.)
4 A A E E
3 M A A
E
Prob
abili
dad
2 B M M
A
1 B B B
M
1 2 3 4 Impacto
!
Estructura y principales actividades del SEAR
Página 18
I. Planificación de la Gestión de RiesgosLa planificación es la fase inicial en el desarrollo de la gestión de riesgos de una Empresa y es fundamental para que las actividades sean implementadas de manera eficiente, oportuna y alineadas a las necesidades de la Empresa.
I. Planificación de la Gestión de Riesgos
1.1 Mapeo de Procesos
Entendimiento de las operaciones y, de acuerdo a ello, dimensionamiento del alcance requerido.
1.2 Definición de Objetivos
Identificación de objetivos para orientar la gestión de riesgos en función a su cumplimiento.
1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo
Establecimiento de parámetros para gestionar los riesgos adecuadamente.
1.4 Priorización y Selección de Procesos Críticos
Designación de esfuerzos de manera proporcional a la criticidad de las operaciones.
Deberá elaborarse el Plan de Gestión de Riesgos, considerando:
► Periodicidad de las actividades a desarrollarse.► Secuencia en la que se deben llevar a cabo las tareas.► Responsables a las actividades (de ejecución y supervisión).► Alcance de las tareas (Nivel Entidad o Proceso).
Página 19
Es importante mapear los procesos existentes para lograr un mayor entendimiento del negocio y sus operaciones, identificar los riesgos, e implementar y monitorear los controles de una manera más eficiente.
► Los procesos existentes deben agruparse en estas categorías:
Se registran solo los procesos que efectivamente se ejecutan al momento de realizar el mapeo.
Herramientas de documentación
• Mapa de procesos.• Diagrama de Bloques del proceso.• Plantilla de Subprocesos.• Diagrama de Flujo.• Narrativas.
Estratégicos
De Negocio
De Apoyo
Cadena de Valor
I. Planificación de la Gestión de Riesgos1.1 Mapeo de Procesos
Página 20
Objetivos a nivel entidad Objetivos a nivel de procesos
Categorías
Estratégicos Operacionales
De reporte Cumplimiento
El objetivo de un proceso, es la finalidad por la cual el proceso es desarrollado dentro de la cadena de valor de la Empresa. Es decir, la razón por la cual es importante para la Empresa.
I. Planificación de la Gestión de Riesgos1.2 Definición de Objetivos
Los objetivos deben estar alineados a la misión y visión de la Empresa, y ser comunicados a todo el personal. La gestión de riesgos se orienta en función a los objetivos definidos a nivel entidad y por procesos.
Página 21
Tolerancia
Capacidad
Ries
go
El apetito de riesgo es el nivel de riesgo que la Empresa desea asumir para la consecución de sus objetivos.
La tolerancia al riesgo es el umbral de riesgo que la Empresa está dispuesta a asumir considerando el nivel de apetito de riesgo como tope.
La capacidad de riesgo es el nivel máximo de riesgo que la Empresa puede soportar sin que interfiera en su continuidad.
Apetito
I. Planificación de la Gestión de Riesgos1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo
La tolerancia al riesgo debe determinarse una vez que se hayan identificado los riesgos.
Página 22
Ejemplo de Declaración de Apetito
“La reputación de la Empresa, la de sus servicios y nuestro personal conforman nuestros principales activos, razón por la cual no toleramos riesgos que puedan impactar negativamente la imagen de la organización y a las personas que la representan. Nuestro propósito esgenerar valor a todos nuestros grupos de interés e innovar constantemente para que nuestros servicios cuenten con los más altos estándares de calidad y generen bienestar a nuestros clientes”.
Que se registren pérdidas en la Empresa a causa de accidentes ocupacionales.
Tolerancia: Pérdidas desde S/. 0.000 a S/.19 999 ó de 0 a 4 accidentes ocupacionales por mes.
Pérdidas por accidentes ocupaciones hasta de S/. 20 000 ó que se presenten 5 accidentes ocupacionales por mes.
Capacidad: Pérdidas entre S/. 20 001 a S/. 30 000 ó 5 a 6 accidentes ocupacionales por mes.
Ejemplo de riesgo identificado
De acuerdo a la Declaración de Apetito de la Empresa, el nivel de riesgo que se asumirá es:
La tolerancia y la capacidad de riesgo para el ejemplo son las siguientes:
I. Planificación de la Gestión de Riesgos1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo
Página 23
Proceso de definición del apetito de riesgo
Modelo Top-down
Establecer el apetito de riesgo desde la Dirección, alineándolo con los objetivos a nivel entidad.
Validar con los principales stakeholders los niveles de apetito de riesgo.
Comunicar el apetito de riesgo a toda la Empresa y alinear la gestión de riesgos a éste.
Considerando el impacto de los siguientes aspectos en los objetivos:
-Negocio de la Empresa-Aspectos jurídicos y normativos-Operación de la empresa-Tecnologías-Tecnologías de la información-Aspectos financieros-Factores sociales y humanitarios-Fraude
Proceso de definición de la tolerancia y capacidad de riesgo
Criterio Ejemplo
Operaciones de la empresa
Que el número de accidentes laborales se encuentre entre # a #.
Que la duración promedio de interrupciones del sistema (SAIDI) se encuentre entre # a #.
I. Planificación de la Gestión de Riesgos1.3 Definición del Apetito, Tolerancia y Capacidad al Riesgo
Considerando los mismos aspectos analizados en el apetito de riesgo, se definen la tolerancia y capacidad de riesgo
Página 24
Criterios de priorización que deben considerarse al seleccionar un proceso crítico:
• Materialidad• Las expectativas de la dirección y la alta gerencia• Impacto en objetivos estratégicos • Complejidad de las operaciones• Volumen de las operaciones• Nivel de automatización• Importancia en la continuidad del negocio
Procedimiento
• Establecer rangos por cada criterio para identificar si el proceso cumple con el criterio
• Asignar un puntaje por criterio.• Se sumarán los puntajes obtenidos.• Se considerará un procesos crítico si la suma es mayor a siete (7).
I. Planificación de la Gestión de Riesgos1.4 Priorización y Selección de Procesos Críticos
La priorización de procesos permite identificar los procesos críticos de la Empresa, y así poder organizar la designación de esfuerzos de la gestión de riesgos en función a la criticidad de las operaciones.
Página 25
Criterios
I. Planificación de la Gestión de Riesgos1.4 Priorización y Selección de Procesos Críticos
Materialidad Expectativas de la Dirección y la Alta Gerencia
Impacto en Objetivos Estratégicos Complejidad de lasOperaciones
Volumen de Operaciones Nivel de Automatización Importancia en la Continuidad del Negocio
Página 27
II. Identificación y Clasificación de Riesgos
La identificación y clasificación de riesgos es fundamental para hacer frente a los eventos que afecten el cumplimiento de los objetivos de la entidad y los procesos.
II. Identificación y Clasificación de Riesgos
2.1 Identificación de Eventos
Identificación de eventos positivos que deben ser aprovechados y de eventos negativos que deben prevenirse para no convertirse en riesgos.
2.2 Identificación de Riesgos
Identificación de los riesgos que afectan a los procesos y a la Empresa para, de acuerdo al apetito de riesgo, orientar la gestión de los mismos.
!
Página 28
II. Identificación y Clasificación de Riesgos2.1 Identificación de Eventos
¿Qué es un evento?Es una situación o elemento potencial de origen externo o interno que afecte a la entidad, el cual puede tener consecuencias positivas o negativas.
¿Cómo identificarlos?
¿En qué destaca la Empresa?
¿Tiene algo que la diferencie?
¿Qué se puede mejorar?
¿La Empresa tiene menos ventajas que
otras similares?
¿Qué oportunidades tiene
la Empresa a su alcance?
¿De qué tendencias se puede
beneficiar?
¿Qué podría desviar a la Empresa?
¿Qué hace la competencia?
Página 29
¿Por qué identificarlos?
Los eventos negativos son el punto de partida para poder identificar los riesgos que afronta la Empresa. Es importante mapearlos pues permite desarrollar una cultura de prevención en la gestión de riesgos.
Los eventos positivos son relevantes para tener conocimiento de aquellas oportunidades que deben ser aprovechadas por la Empresa pues contribuyen al cumplimiento de objetivos.
II. Identificación y Clasificación de Riesgos2.1 Identificación de Eventos
Página 30
II. Identificación y Clasificación de Riesgos2.2 Identificación de Riesgos
¿Qué es un riesgo?Es la amenaza que enfrenta una Empresa cuando un evento o acción puede afectar adversamente su habilidad de alcanzar sus objetivos y maximizar valor.
!
► Riesgo a nivel entidad:Que no se comunique oportunamente la información que debe transmitirse a los accionistas debido a que no se ha definido de manera clara y formal al responsable de organizar dicha información y comunicarla.
► Riesgo a nivel de proceso:Que se produzcan errores en los pagos a proveedores o dobles procesamientos debido a la recepción de información duplicada.
Página 31
II. Identificación y Clasificación de Riesgos2.2 Identificación de Riesgos
Se identifican los riesgos que afectan a los procesos y a la entidad (Riesgos Estratégicos).
¿Cómo documentarlo?
Tener en consideración
Considerar su composición:1. Consecuencia: Es el impacto que tendrá un riesgo al momento de materializarse.2. Causa : Es el motivo por el cual se presenta el riesgo.
Es importante tener especial consideración con los riesgos múltiples (riesgos que impactan a más de un proceso en la Empresa).
!
Página 32
Naturaleza del riesgo Clasificación de riesgos
Se refiere a las características propias del sector en el que se encuentra la Empresa que puede ocasionar determinadas clases de riesgos.
Para este caso, podrían considerarse, por ejemplo, estos aspectos:
• Regulaciones• Infraestructura• Operaciones• Tipo de servicio• Medio ambiente• Relaciones con la comunidad• Seguridad ocupacional
Origen
Externo
Interno
Nivel
Entidad
Proceso
Frecuencia
Rutinarios
No rutinarios
!Naturaleza y clasificación de riesgos
II. Identificación y Clasificación de Riesgos2.2 Identificación de Riesgos
La definición de la naturaleza y clasificación de los riesgos según su causa es necesaria para la organización de la gestión de los riesgos identificados.
Página 33
Estratégicos Operacionales
De Reporte De Tecnologías de la información
Son los riesgos que tienen impacto directo a nivel de entidad debido a que afectan el cumplimiento de los objetivos estratégicos de la Empresa.
Son los riesgos vinculados a la parte operativa. Incluye los riesgos originados por deficiencias en los procesos o en la estructura organizacional.
Son los riesgos asociados a los procesos de reporte, sean internos o externos, así como al de sus entregables.
Son los riesgos que tienen impacto tanto en la gestión de las tecnologías de la información como en la seguridad de la información.
!Tipos de riesgo
II. Identificación y Clasificación de Riesgos2.2 Identificación de Riesgos
Para organizar los riesgos y definir adecuadamente las estrategias de respuesta a cada uno de ellos, es importante que se los categorice por tipos de riesgo.
Página 34
De Cumplimiento De Fraude
Son los riesgos que impactan en la capacidad para cumplir con los requisitos normativos internos y externos.
Son los riesgo asociados a las conductas que incumplen las obligaciones legales con la finalidad de obtener un beneficio.
!Tipos de riesgo
II. Identificación y Clasificación de Riesgos2.2 Identificación de Riesgos
Página 35
Tormenta de ideas Técnica Delphi Cuestionario / Encuestas
Entrevistas Análisis FODA Diagrama de Ishikawa
!II. Identificación y Clasificación de Riesgos2.2 Identificación de Riesgos
Técnicas para la identificación de riesgos
Los riesgos identificados deberán documentarse en una Matriz de Riesgos y Controles a nivel entidad y por proceso
Sistema Efectivo de Análisis de Riesgo (SEAR)Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE
Taller a Personal Clave
Lima, 20 de octubre 2015
Página 38
AnexosMapa de Procesos
Documento Mapa de Procesos
Nombre Proceso
Fecha
Dueños de Proceso
A. DIAGRAMA DE BLOQUES
B. OBJETIVO / DESCRIPCIÓN – ANTECEDENTES
C. ÁREAS QUE INTERVIENEN
Subproceso Gerencia/ Subgerencia Departamento / SecciónResponsable
(nombre y cargo)Participantes de Talleres
(nombre y cargo)
D. APLICATIVOS
Página 39
AnexosDiagrama de Bloques del proceso
Proceso :
Fecha :
FinInicio
Subproceso 2
Inicio:
Fin:
Subproceso 3
Inicio:
Fin:
Subproceso 1
Inicio:
Fin:
Subproceso 4
Inicio:
Fin:
Subproceso 5
Inicio:
Fin:
Subproceso 6
Inicio:
Fin:
Página 40
AnexosPlantilla de Subprocesos
Proceso:
Fecha:Sub procesos:Objetivo del subproceso:
Responsables del subproceso:
Áreas y cargos clave del subproceso:
Comienzo del subproceso:
Final del subproceso:
Entradas:
Salidas:
Sistemas clave:
Productos relacionados:
Riesgos del proceso:
Controles relacionados a los riesgos:
Actividades clave:
Otra información relevante:
Página 42
AnexosNarrativas
Proceso
Subproceso
Sitio
Owner del procesoPersonal involucrado en los controlesAutor
Fecha última revisión
Objetivo
Inputs (subproceso) Outputs (subproceso)
Aplicaciones informáticas asociadas
Indicadores claves de rendimiento
Cuentas financieras asociadas
Subproceso: # Actividad Responsable Descripción de la actividad Referencia del control
Observaciones
<Comentar respecto a cambios significativos en el proceso o en los sistemas que soportan el proceso>