sensibilizacion del sistema de administracion de …€¦ · enero de 2005 irbs – irm - ias enero...
TRANSCRIPT
1
SENSIBILIZACION DEL SISTEMA DE ADMINISTRACION DE RIESGOS
IRBS – IRM - IASEnero de 2005
IRBS – IRM - IASEnero de 2005
Magda Giraldo GómezGerente Técnico de Proyectos
Advisory Services Ltda
2
“La idea revolucionaria que define los límites entre los tiempos modernos y
el pasado es el entendimiento del riesgo: la noción de que el futuro es
más que el deseo de los dioses y que las personas no son pasivas ante la
naturaleza.”
Peter Bernstein
Antecedentes
3
Antecedentes
Para el 2007, mínimo una tercera parte de las compañías a nivel
mundial tendrán implementada una estrategia definida de
Administración basada en riesgos.
Fuente: Gartner Group
4
Antecedentes
El 81% de las organizaciones usan un enfoque de administración de riesgos amplio e integrado.Dos de tres compañías están incrementando la inversión en administración del riesgo a través de una amplia variedad de disciplinas.Cerca del 20% de las grandes empresas clasificadas como en Fortune 1000 tiene un oficial de riesgo.
Fuente: KPMG / Colwell & Salmon surveys, 2000, 2001
5
Antecedentes
La estabilidad de la operación es el motivador No 1 (91%)Otros motivadores claves:
El deseo de un marco unificado de aseguramiento del riesgo para alcanzar las metas del negocio (73%)Cumplimiento con las guías del gobierno corporativo (62%)Presión de la competencia (61%)Cambio en el ambiente de negocios o estrategias (57%)Cumplimiento con las regulaciones del gobierno (56%)
Fuente: KPMG / Colwell & Salmon surveys, 2000, 2001
6
Tendencias
NTC 5254
Estándar 4360
SarbanesOxley BASILEA
COSO ERM
Guía de administración
de riesgos del DAFP
Sistemas de Gestión de
Calidad
Organización y su entorno
CONTROL INTERNO
MEJORAMIENTO DEL DESEMPEÑO ORGANIZACIONAL
La integración de herramientas se convierte en
elementos claves para el mejoramiento
del control organizacional
7
Integración entre la educación y el entrenamiento dentro de las organizaciones como elemento de fortalecimiento de la cultura organizacional
Integración entre la educación y el entrenamiento dentro de las organizaciones como elemento de fortalecimiento de la cultura organizacional
MISION
PLAN DE FUERZA DE TRABAJO
INVESTIGACIÓN HABILIDADES
DESEMPEÑO DE LA GERENCIA
Demanda de habilidades y personas
Desempeño actual
Incremento de las capacidades individuales
Proveer habilidades y personas
Demanda de nuevas o del mejoramiento de las habilidades para acompañar al plan de fuerza de trabajo y el desempeño individual
8
Ambiente InternoFilosofía de manejos del riesgo – Cultura del Riesgo – Alta Dirección – Valores Éticos e Integridad, Compromisos con la
competencia de los empleados, Operación y filosofía del Estilo de los Gerentes – Apetito al Riesgo – Estructura Organizacional – Asignación de Autoridad y Responsabilidades – Políticas y Prácticas de Recursos Humanos
Establecimiento de objetivosObjetivos Estratégicos – Objetivos Relacionados – Objetivos Seleccionados – Apetito al Riesgo – Tolerancia al Riesgo
Identificación del EventoEventos – Factores que Influyen Sobre la Estrategia y los Objetivos – Metodologías y Técnicas – Interdependencias del Evento
– Categorías del Evento – Riesgos y Oportunidades.
Investigación del RiesgoRiesgo Inherente y residual – Probabilidad e Impacto del Riesgo – Metodologías y Técnicas – Correlación
Respuesta al RiegoIdentificar las Repuestas frente al Riesgo – Evaluar Posibles Respuestas frente al Riesgo – Seleccionar Respuestas frente al
Riesgo
Actividades de ControlIntegración con la Respuesta al Riesgo – Tipos de Actividades de Control – Controles Generales – Aplicación de Controles –
Entidad Específica
Información y ComunicaciónInformación – Sistemas Estratégicos e Integrados - Comunicación
MonitoreoEvaluaciones Separadas – Evaluaciones Sobre la Marcha
Riesgos y controles para mejorar el desempeño y el Sistema de Control Interno organizacional Riesgos y controles para mejorar el desempeño y el Sistema de Control Interno organizacional
9
Madurez en la administración de riesgo
Reactivo Táctico Estratégico“Reactivo a los
riesgos”“Preparado para los
riesgos”“Anticipa los
riesgos”Acercamiento para asociar y manejar riesgos basado en los
objetivos y estrategias corporativas.
Acercamiento para soportar y asegurar la estrategia y responsabilidades de los riesgos.
Balancear riesgos potenciales contra Oportunidades dentro del portafolio establecido basado en la disposición o apetito y
capacidad de aceptar el riesgo
Establecimiento del criterio de medición (e.g., KPI’s) y el proceso continuo de medición y mejoramiento del trabajo.
Procesos para identificación, asesorar y categorizar riesgos a través de la compañía
Estrategia de Riesgos
Estructura del riesgo
Medición y monitoreo
Portafolio
Optimización
10
Algunos antecedentes de la NTC 5254
ANZ 4360, desarrollada por Standars Australia.
Actualizada en 1999.
Mayor utilización que ISO 9000.2000.
En Australia: Quantas, Pionnner, Australia Stock
Exchange, ANZ Banking Corp.
En Inglaterra: Helath National Service
11
Proceso de Gestión del Riesgo.
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONI
TORE
AR Y
REV
ISAR
COMU
NICA
R Y
CONS
ULTA
R
12
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONI
TORE
AR Y
REV
ISAR
COMU
NICA
R Y
CONS
ULTA
R
Establecer el contexto estratégicoEstablecer el contexto organizacionalEstablecer el contexto de la gestión del riesgoDesarrollar criterios de evaluación del riesgoDefinir la estructura
Pretende establecer el contexto estratégico, organizacional y de administración de riesgos en el cual tendrá lugar el resto del proceso. El respaldo de la alta dirección es un elemento clave en el desarrollo de esta etapa.
Proceso de Gestión del RiesgoEstablecer el ContextoEstablecer el Contexto
13
Estrecha relación entre la misión u objetivos estratégicos de una organización y la gestión de todos los riesgos a los cuales estáexpuesta.
Alto respaldo y convencimiento de la alta dirección.
Relación entre la organización y su entorno, identificando las fortalezas, debilidades, oportunidades y amenazas de la organización.
Identifica las partes interesadas.
El contexto incluye los aspectos financieros, operacionales, competitivos, políticos (percepciones / imagen ante el público), sociales, del cliente, culturales y legales de las funciones de una organización.
Proceso de Gestión del RiesgoEstablecer el ContextoEstablecer el Contexto
14
La política y metas organizacionales ayudan a definir los criterios por los cuales se decide si un riesgo es aceptable o no, y forma la base de opciones para su tratamiento.
En la definición de la estructura se involucra la separación de la actividad o proyecto en un conjunto de elementos. Estos elementos ofrecen una estructura lógica para la identificación y análisis que ayuda a garantizar que no se pasen por alto riesgos significativos.
Proceso de Gestión del RiesgoEstablecer el ContextoEstablecer el Contexto
15
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONI
TORE
AR Y
REV
ISAR
COMU
NICA
R Y
CONS
ULTA
R
Analizar:¿Qué puede suceder?¿Cómo y por qué puede suceder?
Definir herramientas y técnicas apropiadas para la identificación
Identificar los riesgos a administrar a través de un proceso amplio, sistemático y estructurado. Se debe incluir todos los riesgos potenciales (estén o no bajo control) para no excluirlos del análisis posterior.
Proceso de Gestión del RiesgoIdentificar riesgosIdentificar riesgos
16
Entre los métodos mas empleados para identificar riesgos se encuentran:
Las Listas de Chequeo,Juicios basados en la experiencia y registros, Diagramas de flujo,Lluvia de ideas,Análisis de sistemas,Análisis de escenarios.
Proceso de Gestión del RiesgoIdentificar riesgosIdentificar riesgos
17
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONI
TORE
AR Y
REV
ISAR
COMU
NICA
R Y
CONS
ULTA
R
Definir las herramientas y técnicas para el análisisAnalizar los controles existentesAnalizar riesgos en términos de consecuencias y probabilidades Definir el tipo de análisis (cualitativo y/o cuantitativo)
El objeto del análisis es separar los riesgos menores aceptables de los riesgos mayores, y proveer datos para asistir la evaluación y tratamiento de los riesgos.Consecuencias y probabilidades pueden ser combinadas para producir un nivel estimado de riesgo.
Proceso de Gestión del RiesgoAnalizar riesgosAnalizar riesgos
18
A fin de evitar los sesgos subjetivos, al analizar las consecuencias y la posibilidad, se recomienda emplear los mejores recursos y técnicas de información disponibles. Entre las fuentes de información se pueden incluir:
• Registros pasados.• Experiencia pertinente.• Práctica y experiencia industrial.• Literatura publicada pertinente.• Marketing de ensayo e investigación de mercado.• Juicios de especialistas y expertos.
Entre las técnicas, se emplean:• Entrevistas estructuradas con expertos en el área de interés.• Empleo de grupos de expertos multidisciplinarios.• Evaluaciones individuales empleando cuestionarios.
Proceso de Gestión del RiesgoAnalizar riesgosAnalizar riesgos
19
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONI
TORE
AR Y
REV
ISAR
COMU
NICA
R Y
CONS
ULTA
RComparar niveles estimados de riesgos contra los criterios preestablecidos.Establecer prioridades de los riesgos para su tratamiento
El resultado de una evaluación del riesgo es una lista priorizada de riesgos para tomar acciones posterioresLas decisiones del análisis deben dar cuenta de la consideración de tolerabilidad de los riesgos asumidos.
Proceso de Gestión del RiesgoEvaluar riesgosEvaluar riesgos
20
El resultado de una evaluación del riesgo es una lista priorizada de riesgos, para tomar acciones posteriores.
Se deben considerar los objetivos de la organización y el grado de oportunidad que pudiera resultar de asumir el riesgo.
Si los riesgos resultantes se encuentran en las categorías de riesgo bajo o aceptable, pueden aceptarse con mínimo tratamiento posterior. Los riegos bajos y aceptados deben monitorearse y revisarse periódicamente para garantizar que siguen siendo aceptables.
El tratamiento de los riesgos deberá orientarse principalmente a los riegos altos o a los medios que de acuerdo a la experiencia, la organización considera que podrían materializarse
Proceso de Gestión del RiesgoEvaluar riesgosEvaluar riesgos
21
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONI
TORE
AR Y
REV
ISAR
COMU
NICA
R Y
CONS
ULTA
R
Identificar opciones de tratamiento de riesgos
a) Evitar el riesgob) Reducir probabilidad c) Reducir consecuenciasd) Transferir el riesgoe) Retener el riesgo
Evaluar opciones de tratamiento (costo/beneficio)Preparar planes de tratamientoImplementar planes
Si los riesgos no caen dentro de la categoría de riesgos bajos o aceptables, se tratan utilizando las opciones consideradas.Aceptar y monitorear permanentemente los riesgos de baja prioridad.
Proceso de Gestión del RiesgoTratar los riesgosTratar los riesgos
22
Para definir la mejor alternativa para administrar y mitigar los riesgos, la Compañía debe tomar en cuenta los siguientes aspectos y posteriormente establecer la estrategia:
Beneficios al implementar el tratamiento del riesgo.
Costo de la implementación del tratamiento del riesgo seleccionado.
Esfuerzo requerido para la implementación del tratamiento de riesgo.
Tiempo para impactar la gestión del proceso a través de la implementación del tratamiento del riesgo.
Proceso de Gestión del RiesgoTratar los riesgosTratar los riesgos
23
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONI
TORE
AR Y
REV
ISAR
COMU
NICA
R Y
CONS
ULTA
R
Monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos, las estrategias y el sistema de administración que se establece para controlar la implementación.
Revisar sobre la marcha para asegurar que el plan de administración se mantiene relevante.
Monitorear y revisar el desempeño del sistema de administración de riesgos y los cambios que podrían afectarlo.Repetir y revisar regularmente el ciclo de administración de riesgos.
Proceso de Gestión del RiesgoMonitorear y revisarMonitorear y revisar
24
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONI
TORE
AR Y
REV
ISAR
COMU
NICA
R Y
CONS
ULTA
R
Desarrollar un plan de comunicación para los interesadosCrear diálogo en ambas direcciones entre los interesadosIdentificar y documentar percepciones de los riesgos de los interesados.Llevar registros de cada etapa y ciclos
Comunicar y consultar con interesados internos y externos según corresponda en cada etapa del proceso de administración de riesgos y concerniendo al proceso como un todo.
Proceso de Gestión del RiesgoComunicar y consultarComunicar y consultar
25
Establecer el contexto
Obtener un entendimiento de la Dirección General de
Sanidad Militar
Técnicas para analizar los negocios y los riesgos de los negocios.
Análisis político,económico,
social,tecnológico.
Análisis defortalezas,
oportunidades,Amenazas y debilidades
Análisis declientes,
productos,servicios y
proveedores de los procesos.
Análisis depresupuestal y
financiero (optimización de
recursos)
26
EMPLEADOS
ACCIONISTAS
ALIADOSDE NEGOCIO
REGULADORES
PROVEEDORES
LA CIUDADANÍA
DGSM
FUERZAS EXTERNAS
FUERZAS EXTERNAS
FUERZAS EXTERNAS
Establecer el contexto
Definición de grupos de interés
FUERZAS EXTERNAS
FUERZAS EXTERNAS
FUERZAS EXTERNAS
27
Establecer el contexto
Comité de Riesgos
Dependencia para laAdministración Integral
De Riesgos(Oficina de Planeación)
Proceso 1 Proceso 2 Proceso n
Oficina deControl interno
Comité deCoordinación
controlInterno.
28
Identificar y analizar los riesgos.
Objetivos Estrategias
Riesgos asociados a los objetivos
Procesos
Riesgos asociados a la operación de la
Compañía.
29
Identificar y analizarlos riesgos
Cuáles de ellos podrían impedir
el logro del objetivo?
Cómo alcanzarán ellos el objetivo?
Cómo medirán ellos el éxito?
Riesgos del
Negocio
Respuesta de la Gerencia a estos Riesgos
Indicadores de Gestión
Factores Críticos de
Exito
Objetivos Estratégicos
Ejemplo:
Asegurar el Crecimiento
de la Empresa y mejorar
la rentabilidad para los
accionistas
Matriz de evaluación de riesgos asociados a objetivos:
Alto
Bajo
MagnitudMagnituddeldel
ImpactoImpacto
AltoBajo ProbabilidadProbabilidadde que Ocurrade que Ocurra
Matriz de análisis:(Riesgos asociados a objetivos).
RiesgosAltos
Implicacionesde negocios
Respuestasde la
gerencia
RiesgosResiduales
ProcesosAfectados
30
Identificar y analizar los riesgos.Ejemplo práctico.
ObjetivosEstratégicos
Logra la Presencia de
La fuerza Pública en todo
El territorionacional
Estrategias
CONTROLESESTRATÉGICOS
Riesgos estratégicos
Respuesta de la DGSM Procesos
31
Identificar y analizar los riesgos
Identificar riesgos que amenazan el objeto del proceso.
•Autoridad•Liderazgo•Desempeño•IncentivosLímites•Auditoria Interna
Gobernabilidad
•Fraude de la gerencia•Fraude de los empleados•Actos ilícitos•Uso no autorizado
Integridad
•Impuestos•Salud y seguridad ambiental•Fondo de pensiones•Control
Cumplimiento
•Tecnología•Calidad•Satisfacción ciudadana•Metas y objetivos propuestos
Operacional
•Obsolescencia•Merma•Eficiencia•Capacidad
•Origen•Estrategia militar•Fallas del servicio•Lucro cesante
•Administración de Desempeño.•Aptitud recursos humanos•Motivación.•Capacitación.
•Reparación yMantenimiento.
•Sistemas de Seguridad.
Manejo de la información
•Sistema información gerencia.•Dependencia de IT•Confiabilidad•IT externo•Acceso/disponibilidad•Integridad/seguridadAplicabilidad
Manejo financiero
• Presupuesto y planeación•Flujo de caja•Evaluación de inversiones•Informes financieros•Instrumentos financieros•Provisión de fondos•Información contable
Recursos humanos
•Manejo de RH•Aptitudes•Reclutamiento•Reconocimiento/Conservación?Remuneración.
•Manejo del desempeño.•Desarrollo del liderazgo.
32
Identificar y analizar los riesgos
Riesgo Controles PO I C CU SA R CUImplicaciones
No procesar oportunamente la información enviada por el cliente.
- Demoras en la actualización de bases de datos.
- Falta de oportunidad al momento de reconocer derechos ante el cliente.
- Pérdida de imagen ante el cliente.
- Dificultad al generar las notas.
- Se llevan a cabo revisiones aleatorias para verificar el tiempo transcurrido entre la recepción de la información y el ingreso a bases de datos.
- En la actualidad, se estápromocionando el uso de Internet.
2 3 6 A 3 18 A El análisis de controles
y la definición de estrategias
de minimización se realizaráen primer
lugar sobre los riesgos
ALTOS
33
Evaluación de riesgosPr
obab
ilida
d de
ocur
renc
ia
2.0% 5.0% 16% 40% 100%
1.6% 4.0% 12.8% 32.0% 80.0%
1.2% 3.0% 9.6% 24.0% 60.0%
0.8% 2.0% 6.4% 16.0% 40.0%
0.4 % 1.0% 3.2% 8.0% 20.0%
Criticidad
Extremo
Alto
Moderado
Bajo
Muy alta
Alta
Moderada
Baja
Muy baja1
2
3
4
5
Magnitud del impacto
<$738 $738 - 2953 $2953-8859 $8859-22.148 >22.148
Inferior Menor Importante Mayor Superior
1 2,5 8 20 50
250
34
Tratar los riesgos
Perfil de riesgos
Apetito De riesgo
Transferir
Reducir
Evitar
Aceptar
Transferir el Riesgo a un tercero u
organización
Aceptar el Riesgo sin tomar
Acciones adicionales
Aceptar el riesgo pero Tomar algunas acciones
Para disminuir suProbabilidad de
Ocurrencia oMagnitud de impacto
Evitar el riesgo por elRetiro o cesación del
Desarrollo o ejecución De la actividad o
Función causante deEste.
35
Comunicar y consultar
La transferencia del conocimiento es el pilar de nuestros servicios, el cual se logra con el trabajo conjunto vinculando el equipo de profesionales asignados
por la empresa a la ejecución del proyecto.
Interpretación de la información
Conocimientoindividual
Conocimientoorganizacional
Compartir información
36
Importancia y Beneficios
La utilización de la NTC 5254 para la implementación de un sistema de administración de riesgos, permite:
Control de costos.Minimizar pérdidas.Maximización oportunidades.Gestión más flexible.Nuevas habilidades de gestión.Mejor aprovechamiento de las oportunidades.Cada quien es responsable de administrar riesgos en su trabajo.Los líderes de las organizaciones son los encargados de incentivar al personal en el manejo de riesgos.Aumento de responsabilidad.Decisiones transparentes.
37
Importancia y Beneficios
La utilización de la NTC 5254 para la implementación de un sistema de administración de riesgos, permite:
Se tienen en cuenta los requisitos legales, ambientales, sociales y económicos en el manejo del riesgo.
La gestión del riesgo efectiva genera buena calidad de la información.
El proceso de gestión es sistemático. Es un hábito.
Las acciones tomadas de gestión de riesgos integra la planeación y la operación.
Se subsana las debilidades detectadas por las entidades de control.
38
Contactos
Magda Giraldo
Carlos Mario Duque
Telefóno
3140404
Medellín