Riesgo_GestionIntegral

ADMINISTRACIÓN DEL RIESGO EN EL CONTEXTO EMPRESARIAL Y DE PROYECTOS Ing. Mauricio Penagos Acosta – AIRM Consultor en proyectos International Risk Manager Bogotá, D. C Colombia. Octubre de 2011

AGENDA 1. 2. 3. 4. 5. 6. 7. 8. 9.

Administración del riesgo Metodologías y normas para la gestión del riesgo Definición de riesgo Visión clásica del riesgo Visión estratégica del riesgo Tipos de riesgo Métodos para identificar riesgos (taller) Valoración del riesgo Tratamiento del riesgo • Técnicas de control • Técnicas de mitigación 10. Análisis del riesgo financiero proyecto de eficiencia energética 11. Sistema de administración integral del riesgo 12. Costos de la administración del riesgo 13. Estándares de administración del riesgo

La administración del riesgo es la identificación, evaluación y priorización del riesgo junto con las gestiones para transformar el riesgo, controlando la probabilidad y mitigando el impacto de los eventos generadores de riesgo.

Una gestión del riesgo eficiente se puede traducir en incalculables beneficios económicos para la empresa, constituyéndose en una herramienta clave para la toma de decisiones. La gestión del riesgo ha pasado a ocupar un importante papel en la empresa moderna, contribuyendo cada vez más al cumplimiento de los objetivos estratégicos y metas previstas No se concibe una empresa que pretenda avanzar con pasos firmes hacia el éxito sin contar con la actividad de gestionar el riesgo bien organizada.

La ISO identifica los siguientes principios de gestión del riesgo:

• La gestión del riesgo debe crear valor. • Debería ser una parte integrante de los procesos de organización. • Debe ser parte de la toma de decisiones. • Debería abordar explícitamente la incertidumbre. • Debe ser sistemática y estructurada. • Debe basarse en la mejor información disponible. • Debe ser monitoreada. • Debe tener en cuenta los factores humanos. • Debe ser transparente e inclusiva. • Debe ser dinámica, iterativa y de respuesta al cambio. • Requiere y propende por la mejora continua.

La mayoría de metodologías de gestión del riesgo incluyen como mínimo los siguientes elementos: 1. Identificar, caracterizar y evaluar eventos generadores de riesgo. 2. Evaluar la vulnerabilidad de los activos críticos ante amenazas específicas. 3. Determinar el riesgo: la probabilidad de ocurrencia y la consecuencia de eventos 4. Identificar maneras de evitar, transferir, reducir o asumir los riesgos. 5. Priorizar las acciones basadas en una estrategia de principios y políticas de la gestión del riesgo.

LA METODOLOGÍA PMI* PARA PROYECTOS PROVEE LOS SIGUIENTES 6 PASOS: 1. PLAN RISK MANAGEMENT 2. INDENTIFY RISK 3. PERFORM QUALITIVE ANALYSIS 4. PERFORM QUANTITATIVE ANALYSIS 5. PLAN RISK RESPONSES 6. MONITOR AND CONTROL RISK RESPONSES * Project Management Institute, Inc

MODELO DE GESTIÓN DE RIESGOS NTC 5254 PRINCIPIOS Importancia estratégica de la gestión del riesgo: Es una parte integral del proceso de gestión; es un proceso multifacético realizado por un equipo multidisciplinario; es un proceso interactivo e iterativo de mejora continua. Interactiva porque requiere la participación de diferentes áreas de la empresa y de diferentes disciplinas e iterativa porque se repite en ciclos continuos de retroalimentación, ya que el riesgo nunca desaparece: se mitiga, se reduce, pero siempre estará presente. Compromiso de la dirección: Debe garantizar que se realice una revisión del SGR a intervalos especificados, para asegurar su continua conveniencia y eficacia para cumplir los requisitos de la norma, la política y objetivos de gestión del riesgo establecidos. Es necesario que la dirección defina una política y objetivos de la gestión del riesgo y revisar periódicamente su estado en la empresa para tomar las decisiones pertinentes. Flexibilidad en la aplicación: Se aplica en los niveles: Estratégicos y operacionales y en proyectos específicos. Ayuda en decisiones específicas y a manejar áreas de riesgo específicas reconocidas. La aplicación de esta norma debe ser tan flexible que permita aplicarla en diferentes contextos.

NTC 5254 - CONCEPTOS BÁSICOS Riesgo “la posibilidad de que suceda algo que tendrá impacto en los objetivos. Se mide en términos de consecuencias y posibilidad de ocurrencia” Según esta norma, el riesgo no es necesariamente una afectación negativa; puede ser también la potenciación de las capacidades de la empresa para cumplir con sus objetivos.

Gestión del Riesgo “cultura, procesos y estructuras que se dirigen hacia la gestión eficaz de las oportunidades potenciales y los efectos adversos” La GR consiste en identificar los eventos que puedan suceder y que afecten a la empresa en el logro de sus objetivos y posteriormente valorar esa afectación en términos de la posibilidad de que el evento ocurra y del impacto y sus consecuencias, tanto para la empresa como para las partes interesadas.

NTC 5254 - ESTRUCTURA DEL MODELO Planear Análisis del contexto: interno (debilidades y fortalezas) y externo (oportunidades y amenazas) para la GR Formulación política de GR: Establece orientaciones generales a seguir Identificación y análisis del riesgo: Utiliza como criterios de calificación la posibilidad de ocurrencia del riesgo o de sus causas y el impacto de las consecuencias Acciones de tratamiento del riesgo: Descripción de la acción y la asignación de responsables, plazos y recursos

Hacer Fase de implementación: Aplicación de acciones de tratamiento, en los plazos establecidos en la fase de planificación Verificar Monitoreo de riesgos, de la eficacia del plan de tratamiento, de las estrategias y del SGR para controlar la implementación y garantizar que las circunstancias cambiantes no alteren las prioridades del riesgo Actuar En la verificación surgen ajustes a la política de GR, una nueva calificación y análisis del riesgo o el planteamiento de nuevas acciones de tratamiento

NTC 5254 - ESTRUCTURA DEL MODELO

Identificar los riesgos

Analizar los riesgos

Evaluar los riesgos

Tratar los riesgos

NTC 5254: Gestión del riesgo, Pág. 8

Monitoreo y Revisión

Comunicación y Consulta

Establecer el contexto

AS/NZ 4360 Figura 4.2 Proceso de Tratamiento de Riesgos (pág. 17)

ISO 31000 - DIRECTRICES El objetivo es ayudar a empresas de todo tipo y tamaño a gestionar sus riesgos con efectividad Proporciona principios, el marco y un proceso destinado a gestionar cualquier tipo de riesgo de manera transparente, sistemática y creíble dentro de cualquier alcance o contexto Recomienda desarrollar, implementar y mejorar en forma continua el marco de gestión de riesgos como un componente del sistema integral de gestión de la organización Documento práctico que busca ayudar a las empresas en el desarrollo de su propia estrategia para gestionar sus riesgos No es un estándar certificable ISO/DIS 31000. Gestión de Riesgos

ISO 31000 - ALCANCE • Aumentar la probabilidad de lograr sus objetivos • Fomentar la gestión proactiva • Ser conscientes de la necesidad de identificar y tratar el riesgo en toda la organización • Mejorar la identificación de las oportunidades y amenazas • Cumplir con las exigencias legales, reglamentarias y las normas internacionales • Mejorar la información financiera • Mejorar el gobierno de la organización • Incrementar la confianza de los grupos de interés • Establecer una base fiable para la toma de decisiones y planificación • Mejorar los controles • Asignar y utilizar efectivamente los recursos para el tratamiento del riesgo • Mejorar la eficacia y la eficiencia operacional • Aumentar la seguridad y salud así como la protección al medio ambiente • Mejorar la prevención y la gestión de incidentes • Minimizar las pérdidas • Mejorar el aprendizaje y la ‘resilencia’ de la organización ISO/DIS 31000. Gestión de Riesgos

ISO 31000 – PRINCIPIOS DE LA GR • Crea valor en la empresa y lo preserva • Esta integrada en los procesos de la empresa • Forma parte de la toma de decisiones • Trata explícitamente la incertidumbre • Es sistemática, estructurada y oportuna • Esta basada en la mejor información posible • Esta hecha a medida • Tiene en cuenta factores humanos y culturales • Es transparente e inclusiva • Es dinámica, iterativa y sensible al cambio • Facilita la mejora continua de la empresa ISO/DIS 31000. Gestión de Riesgos

ISO 31000 - CONCEPTOS BÁSICOS Riesgo:: Efecto de la incertidumbre en los objetivos. Riesgo Gestión del Riesgo Riesgo:: Coordinación de actividades para dirigir y controlar una organización en relación con el riesgo. Stakeholder: Persona u organización que puede afectar, ser Stakeholder: afectada o percibir ser afectada por una decisión o actividad. Resilencia: Capacidad de adaptación de una organización en un Resilencia: entorno complejo y cambiante (resistencia, flexibilidad, etc.)

ISO/DIS 31000. Gestión de Riesgos

ISO 31000 - ESTRUCTURA DEL MODELO GENERALIDADES El éxito de la GR dependerá de la efectividad de la estructura de gestión que proporcione la base y las disposiciones que permitan su integración en todos los niveles de la organización. Esta estructura no está destinada a prescribir un sistema de gestión, sino más bien a ayudar a la organización a integrar la GR en su sistema de gestión. Las empresas deben adaptar los componentes de esta estructura a sus necesidades.

ISO/DIS 31000. Gestión de Riesgos

ISO 31000 - ESTRUCTURA DEL MODELO ATRIBUTOS PARA LA MEJORA DE LA GERENCIA DE RIESGOS Establecimiento de metas de desempeño organizacional, medición, revisión y posterior modificación de procesos, sistemas, recursos, capacidad y habilidades Controles y tratamiento del riesgo exhaustivos Toda toma de decisiones dentro de la empresa, cualquiera que sea el nivel de importancia y trascendencia, implica la consideración explícita de los riesgos y la aplicación de la GR en la medida adecuada Comunicación continua con los ‘stakeholder’ internos y externos, incluida la elaboración de informes completos y frecuentes del desempeño de la GR como parte del buen gobierno corporativo La efectividad de la GR es esencial para el logro de los objetivos de la organización ISO/DIS 31000. Gestión de Riesgos

ISO 31000 - Componentes de la estructura para la GR Mandato y Compromiso

Diseño de la estructura para gestionar los riesgos • Comprender

la organización y su contexto • Establecer la política de gestión de riesgos • Responsabilidad • Integrar los procesos de la organización • Recursos • Establecer mecanismos de comunicación interna e información • Establecer mecanismos de comunicación externa e información

Mejora Continua de la Estructura

Implantación de la gestión de riesgos • Implantación de la gestión de riesgos

• Implantación del proceso de gestión de riesgos

Seguimiento y revisión de la Estructura ISO/DIS 31000. Gestión de Riesgos: Principios y líneas directrices. Figura: Componentes de la estructura para la gestión de los riesgos. Pág. 3.

ISO 31000 - Proceso de Gestión del Riesgo Establecer el contexto

Identificar los riesgos

Analizar los riesgos

Evaluar los riesgos

Monitoreo y Revisión

Comunicación y Consulta

Valoración de Riesgos

Tratar los riesgos

ISO/DIS 31000. Gestión de Riesgos: Principios y líneas directrices. Figura Proceso de Gestión del Riesgo. Pág. 8.

Dónde, qué, cuándo, cómo, porqué

Matriz de riesgos - Nivel de seguridad actual

Resultados Matriz vs criterios Priorizar

Controlar Probabilidad Mitigar Consecuencia

ISO 27001 MODELO DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) PRINCIPIOS Importancia de la información. El aseguramiento de la información y de los sistemas que la procesan es un objetivo de primer nivel para una empresa ya que la información es un activo vital para el éxito y la continuidad en el mercado de la misma. Enfoque de sistemas. Una empresa debe implantar un SGSI de forma metódica, documentada y basada en unos objetivos claros de seguridad y en evaluación del riesgo a que está sometida su información.

CONCEPTOS BÁSICOS Confidencialidad: Asegurar que la información es accesible solo a las personas que están autorizadas para tener acceso. Integridad: Salvaguarda de la precisión y totalidad de la información y los métodos de procesamiento Disponibilidad: Asegurar que los usuarios autorizados tienen acceso a la información y a los activos asociados.

ISO 27001 - ESTRUCTURA DEL MODELO Planear.. definición del alcance del SGSI Planear determinando áreas o procesos, en los que se va a aplicar el sistema. Formulación y divulgación de la política GSI que establezca los lineamientos a tener en cuenta frente a los riesgos de la información (requisitos legales, requisitos contractuales, requisitos propios de la empresa, etc.). Definición de planes de control o tratamiento del riesgo, a partir de la identificación de los riesgos, su análisis y valoración.

Hacer.. Implementación de planes de control o Hacer tratamiento del riesgo. Documentación y aplicación de procedimientos necesarios para aplicación de los controles. Formación y concientización respecto a la seguridad de la información y los controles por aplicar.

Actuar.. Actuar

Mejoramiento y actualización de los planes de seguridad. Definición e implementación de Acciones Correctivas y Preventivas necesarias.

Verificar.

Medición del desempeño del SGSI, de la evaluación de los riesgos y la de los controles eficacia implementados. Realización de auditorías internas al sistema y la revisión del mismo por parte de la dirección.

ISO 27001 - MODELO DEL SGSI

Planificar Establecer el SGSI

Partes Interesadas

Requisitos y expectativas de seguridad de la información

Partes Interesadas

Hacer

Actuar

Implementar y operar el SGSI

Mantener y mejorar el SGSI

Hacer seguimiento y revisar el SGSI

Verificar

Seguridad de la Información gestionada

Administración Integral del Riesgo Visión de Silos vs Visión Integral Visión de Silos Cada administración de riesgo posee su propia política, proceso, programas y función organizacional. No responde a criterios uniformes en la toma de decisiones respecto al tratamiento y al criterio de apetito de riesgo. Visión Integrada: Una única filosofía de AR genera políticas, procesos, programas y responsabilidades entre y en las áreas funcionales. Responde a criterios uniformes en relación a la toma de decisiones respecto al tratamiento y al criterio de apetito de riesgo.

Ventajas de la Administración Integral del Riesgo • Se aumenta el valor de la organización. • Se asegura que todos los riesgos estén manejados en línea con la estrategia de la organización. • Se evita duplicidad de costos: Optimización del costo de riesgo • Se optimiza el capital al existir un solo proceso de distribución del capital a riesgo (capital-at-risk allocation). • Se optimiza el flujo de caja en relación a las pérdidas esperadas • Se generan potenciales fuentes alternas de financiamiento de pérdidas por el efecto “balance” entre diferentes tipos de riesgos (visión de portafolio) • Se asegura que se estén manejando todas las fuentes de riesgo al eliminarse el efecto “borde” (separación entre silos)

Administración Integral del Riesgo Objetivo: “Hacer del riesgo parte de la mentalidad y de la responsabilidad de cada empleado de la organización” James Lam Enterprise Risk Management From Incentives to Controls

Desafortunadamente la gerencia de riesgos se valora como un costo para la empresa. Lo correcto es considerarse como una inversión que previene muchos riesgos y garantiza la continuidad de la empresa

DEFINICIONES DE RIESGO AS/NZ 4360: “La Posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo en términos de una combinación de un evento o circunstancia y su probabilidad” NTC 5254: “La posibilidad de que suceda algo que tendrá impacto en los objetivos. Se mide en términos de consecuencias y posibilidad de ocurrencia” ISO*: “Combinación de la Probabilidad de un Evento y su Consecuencia siempre y cuando exista la posibilidad de pérdidas” *Definición anterior a la ISO 31000

¿Qué es RIESGO? “Efecto Efecto de la incertidumbre en los objetivos*” objetivos • Un efecto es una desviación de lo esperado – positivo y/o negativo. • La incertidumbre es el estado (total o parcial) de deficiencia de información en relación al entendimiento o conocimiento de un evento, su consecuencia o su probabilidad. • El riesgo es casi siempre caracterizado en referencia a potenciales eventos y sus consecuencias o por una combinación de éstas. • El riesgo es casi siempre expresado en términos de una combinación de las consecuencias de un evento (incluyendo cambio en circunstancias) y probabilidad asociada de ocurrencia. *ISO-GUIDE 73:2009, Risk Management - Vocabulary

Valoración del Riesgo RIESGO(E) = Probabilidad(E) x Consecuencia(E) E = Evento* * Un evento es una ocurrencia o un cambio de un grupo particular de circunstancias; este puede tener una o mas ocurrencias y puede tener varias causas, además algunas veces puede ser referido como “incidente” o “accidente”. *ISO-GUIDE

73:2009, Risk Management - Vocabulary

Visión clásica del riesgo

riesgo

Desviación negativa* Debilidades, amenazas, etc.

* La desviación negativa es la desmejora del resultado esperado, producto de la materialización u ocurrencia de un evento o un grupo de estos y que afecta negativamente el logro de uno o varios objetivos. Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

Visión estratégica del riesgo (Risk & Reward)

Desviación Positiva* (fortalezas, oportunidades, etc.)

Riesgo

Desviación Negativa (Debilidades, amenazas, etc.) * La Desviación Positiva es la mejora del resultado esperado, producto de la materialización u ocurrencia de un evento o un grupo de estos y que afecta positivamente el logro de uno o varios objetivos Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

CAPACIDAD DE RETENCIÓN DEL RIESGO Es la máxima cantidad de riesgo que una APETITO DE RIESGO organización está en capacidad de absorber Cantidad total de riesgo que una organización o cualquier otra entidad esta dispuesta a aceptar para alcanzar su misión (o visión)

TOLERANCIA DE RIESGO La variación relativa aceptable para el cumplimiento de un objetivo.

Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

CLASIFICACIÓN DEL RIESGO SEGÚN EVENTOS SEGÚN SU NATURALEZA • Riesgos Accidentales • Riesgos Operativos • Riesgos Financieros • Otros tipos de Riesgos

SEGÚN EL TIPO DE OBJETIVO • Nivel Estratégico • Nivel Táctico SEGÚN EL ORIGEN

• Nivel Operacional • Otros Niveles

• Origen Interno • Origen Externo

Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

MATRIZ DE RELACIÓN ENTRE LOS DIFERENTES CRITERIOS DE CLASIFICACIÓN DEL RIESGO NATURALEZA

ORIGEN

NIVELES (OBJETIVOS) RIESGO ACCIDENTAL

RIESGO OPERATIVO

RIESGO FINANCIERO

OTROS TIPOS DE RIESGOS

ESTRATEGICO

TÁCTICO

OPERACIONAL

INTERNO

EXTERNO

Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

OTROS NIVELES

TIPOS DE RIESGOS RIESGO ACCIDENTAL Es el asociado a los eventos súbitos e imprevistos no predecibles (accidentes) a los que está expuesta la empresa.

RIESGO OPERATIVO Es el asociado a eventos no accidentales originados por el no funcionamiento o el funcionamiento inadecuado de procesos internos, del personal y/o de los sistemas de la empresa.

RIESGO FINANCIERO Es el asociado al impacto en los resultados financieros debido a cambios en las condiciones del mercado y por el no cumplimiento por parte de terceros de las obligaciones financieras para con la empresa o debido al no cumplimiento de las obligaciones financieras con terceros.

Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

RIESGO ACCIDENTAL • PROPIEDADES • Bienes Inmuebles • Bienes Muebles • Bienes Monetarios • PERSONAS • Enfermedad • Muerte • Lesión • Incapacidad

• RESPONSABILIDADES • penal • Civil • Extracontractual • Contractual • BENEFICIO BRUTO • Disminución de los ingresos • Incremento de los gastos

Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

RIESGO OPERATIVO EVENTOS OPERATIVOS FACTORES DE RIESGO OPERATIVO

• Fallas de control • No funcionamiento o falta de procesos internos

PROCESOS

• Errores del personal • Sistemas Inadecuados (tecnología)

TECNOLOGIA NO ADECUADA NO FUNCIONAMIENTO

• Problemas asociados a la cultura de la organización • Políticas internas mal diseñadas • Otros Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

PERSONAL

SISTEMAS

RIESGO FINANCIERO • Mercado Es el asociado al impacto en los resultados financieros de una organización debido a cambios en las condiciones del mercado • Crédito Es el asociado al impacto en los resultados financieros de una organización por el no cumplimiento por parte de terceros de las obligaciones financieras para con la misma • Liquidez Es el asociado al impacto en los resultados financieros de una organización que se origina debido al no cumplimiento de las obligaciones financieras para con terceros.

TIPOS • Tasas de Cambio • Tasas de interés • Precios de los commodities • Precios de los instrumentos financieros

FACTORES • Perfil del deudor • Probabilidad de incumplimiento • Tasa de recuperación

FACTORES • Altos egresos • Ventas bajas • Otros

Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

Riesgos del Entorno Riesgos del entorno de la organización o contexto del proyecto: • Ambiente y naturaleza circundante • Condiciones sociales, legales, políticas, culturales y económicas donde opera • Ubicación • Tamaño • Sector industrial

Riesgos Tecnológicos • Riesgos que genera la Tecnología: virus, hackers, daños o perdidas de información • Constante evolución de la tecnología: Implica constantes cambios, dinero y dependencia a proveedores, entre otros.

Riesgos Estratégicos Generan pérdidas por definiciones estratégicas inadecuadas, errores en el diseño de planes, programas, integración del plan estratégico con la operación y asignación de recursos, entre otros: • • • • •

VISIÓN MISIÓN OBJETIVOS ESTRATÉGICOS ANALISIS DOFA PLAN DE ACCIÓN La Gestión de Riesgos debe basarse en el cumplimiento de los objetivos estratégicos de la Organización.

Áreas críticas de una empresa o proyecto • Daños en propiedades e inventarios (inmuebles y muebles) • Pérdidas por delitos de terceros • Contingencias comerciales y financieras • Proveedores no adecuados • Reclamos por responsabilidad civil • Contingencias tecnológicas • Contingencias operativas • Riesgos profesionales • Contingencias en logística • Daños en vehículos

MÉTODOS PARA IDENTIFICAR RIESGOS • Lista de chequeo • Lista por categorías • Análisis PESTA (entorno) • Revise hechos históricos y documentación de soporte • Tormenta de ideas • Análisis de supuestos del proyecto • Análisis DOFA • Realice un “pre-mortem” • Ingeniería inversa • Diagramas de Afinidad • Entrevistas de Expertos • Técnica Delphi

• • • •

Diagramas Causa-Efecto Diagramas de flujo Análisis de fallas y efectos Árboles de decisión

ARBOL CAUSA - EFECTO Efectos

RIESGO

Causas

MATRIZ DE PLANIFICACIÓN DEL PROYECTO DESCRICION JERARQUICA

INDICADORES VERIFICABLES

FIN / FINALIDAD / OBJETIVO SUPERIOR PROPÓSITO / OBJETIVO GENERAL COMPONENTES / RESULTADOS / PRODUCTOS / OBJETIVOS ESPECÍFICOS ACTIVIDADES

Matriz Marco Lógico desarrollada para la USAID

MEDIOS DE VERIFICACIÓN

SUPUESTOS / RIESGOS

INDICADORES CLAVES DE RIESGO - KRI • Los indicadores son las medidas utilizadas para monitorear y predecir eventos • Complementan el proceso de auto evaluación para monitorear la efectividad de los controles • Los indicadores de riesgo ayudan a mantener el proceso GR dinámico y los perfiles de riesgo actualizados • Dan información precisa del riesgo de un área de negocio o proceso • No se deben confundir con indicadores de desempeño • Son una herramienta para proporcionar transparencia y comunicar el apetito de riesgo • Un tablero eficaz de indicadores de riesgo combina medidas ex ante y ex post

Características de los indicadores cantidad, calidad y tiempo

• Objetivo • Cuantificable • Clave

Indicadores Verificables

• Específico • Práctico y fácil de medir • Plazo claro de definir E.J. Mishan, "es mejor tener una medida bruta del concepto adecuado, que una medida perfecta del concepto erróneo."

ALGUNAS GUIAS PARA DISEÑAR KRI • Estudie detenidamente los riesgos y diseñe KRI simples • Seleccione KRI prospectivos para cada categoría de riesgo • Independientemente de la disponibilidad de datos diseñe los mejores KRI • Desarrolle KRI para los tipos de riesgo que consideran a todos los involucrados • Las medidas Ex Ante tiene el mayor valor para dar señales sobre futuros acontecimientos • Equilibre las medidas ex post objetivo con las medidas ex ante más predictivas. • Vincule los KRI con el Balance Scorecard de desempeño • Invierta en tecnología para extraer y presentar información • Use criterios de priorización • Los niveles esperados de los KRI son establecidos a partir de una línea base, utilizando el historial disponible

MATRIZ DE RIESGOS PROBABILIDAD

VALOR

ZONAS DE RIESGO

5

5 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

10 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

15 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

20 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

25 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

4

4 Zona de Riesgo Moderado Asumir o reducir el riesgo

8 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

12 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

16 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

20 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

Posible

3

3 Zona de Riesgo Baja Asumir el riesgo

6 Zona de Riesgo Moderado Asumir o reducir el riesgo

9 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

12 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

15 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

Improbable

2

2 Zona de Riesgo Baja Asumir el riesgo

4 Zona de Riesgo Baja Asumir el riesgo

6 Zona de Riesgo Moderado Asumir o reducir el riesgo

8 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

10 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

1

1 Zona de Riesgo Baja Asumir el riesgo

2 Zona de Riesgo Baja Asumir el riesgo

3 Zona de Riesgo Moderado Asumir o reducir el riesgo

4 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

5 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

Casi Certeza

Muy Probable

Raro

IMPACTO

INSIGNIFICANTE

MENOR

MODERADO

MAYOR

CATASTRÓFICO

Valor

1

2

3

4

5

Planeación para riesgos extremos

Alto Apetito de Riesgo

Gerente

Impacto


Impacto


CEO

Subgerente Jefe dpto

Probabilidad


Probabilidad


Estándar

Impacto


Impacto


Adverso al riesgo

Probabilidad


Probabilidad


Fuente: Presentación “ISO 31000 AND INTEGRATED RISK MANAGEMENT “ RIMS Breakfast John Lark, Stratos Inc. 2008

VALORACIÓN DEL RIESGO Y ACCION A TOMAR Probabilidad

Impacto

Acción

Baja

Baja

Retener

Baja

Alta

Transferir-Financiar

Alta

Baja

Prevención-Retener

Alta

Alta

Evitar

MATRIZ DE RIESGO DE LA OSFI Junta Directiva

A lta Gerencia

A dministración de Riesgos Auditoria Interna

Actuarial

Cum plimiento

Financiero

Gestión Operativa

3. Administración de Riesgos Estratégico

Cum plimiento de la Norma

Operativo

Tecnológico

Mercado

1. Actividades Significativas

Crédito

2. Riesgo Inherente

4. Riesgo Neto

Calificación General

Clasificación

Dirección

Rentabilidad Capital Liquidez Composición del riesgo Fuente: OSFI Oficina del Superintendente de Instituciones Financiera de Canadá

Tiempos Calificación de Intervención

5. Dirección 6. Importancia del Riesgo

RIESGO NETO Agregado de riesgos por Actividad Significativa

Nivel de Riesgo Inherente por Actividad Significativa Encima del Bajo Moderado Alto Promedio Evaluación de Riesgo Neto

Fuerte

Bajo

Bajo

Moderado

Encima del Promedio

Aceptable

Bajo

Moderado

Encima del Promedio

Alto

Necesita Mejoras

Moderado

Encima del Promedio

Alto

Alto

Débil

Encima del Promedio

Alto

Alto

Alto

Relación entre calificación de Riesgo e Intervención Calificación de Riesgo Bajo

0 0 Moderado 1 1 Por Encima del Promedio 2 2 Alto 3 4

Fuente: OSFI Oficina del Superintendente de Instituciones Financiera de Canadá

Calificación de Intervención Normal Normal Alarmas Tempranas Alarmas Tempranas En riesgo la viabilidad financiera y la solvencia En riesgo la viabilidad financiera y la solvencia Viabilidad financiera futura está en duda No viable / Insolvencia enminente

Overall Project Threats Threat Cause

Fuente: www.rmcproject.com

Risk

Effect

Risks per Activity Activity

Fuente: www.rmcproject.com

Cause

Risk

Effect

Risk Activity Cause

Risk

Effect

Fuente: www.rmcproject.com

Risk Rating Probability

Impact

Risk Score PxI

Ranking

Source

Tratamiento del Riesgo (Proceso para modificarlo o transformarlo)

Riesgo Inherente

Tratamiento de Riesgo (criterio: Apetito de Riesgo)

(COSO ERM –Integrated Framework) Riesgo expuesto en ausencia de cualquier acción (sin alterar probabilidad o consecuencia)

Riesgo Residual (COSO ERM –Integrated Framework) Riesgo “remanente” después de tomadas acciones

Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

Control del Riesgo (Intervención de la Probabilidad) Riesgo (E) = Probabilidad (E) x Consecuencia (E)

Actividades para disminuir la probabilidad de ocurrencia de un evento, mejorando el perfil del riesgo asociado a dicho evento

TECNICAS DE CONTROL • • • • • • • • • • •

Sistema de Control Interno Auditoria Interna Sistemas de información y registro Normas y procedimientos por línea de negocios Adiestramiento Marketing en cultura preventiva Sistemas de Prevención y monitoreo Sistemas de Seguridad Herramientas tecnológicas Soluciones a partir de Hazop Soluciones BPM, etc.

Mitigación del Riesgo (Intervención de la Consecuencia) Riesgo (E) = Probabilidad (E) x Consecuencia (E)

Actividades para reducir la consecuencia una vez ocurrido un evento, mejorando el perfil del riesgo asociado a dicho evento

TECNICAS DE MITIGACIÓN Técnicas de Mitigación Técnica: • Plan de Recuperación de Desastres (DRP). • Plan de Continuidad del Negocio (BCP). BS 25999 • ISO 27001 • Otros Técnicas de Mitigación Financiera: Procesos e instrumentos para generar los recursos necesarios para provisionar, indemnizar y/o compensar las pérdidas asociadas a los riesgos. Contratos - Pólizas de Seguros – ART (Transferencia Alternativa de Riesgos)

Risk Register Threats and opportunities

cause

risk

Overall Project Risks Risks per activity A B C D

Fuente: www.rmcproject.com

effect

Root Potential Potential triggers category cause risk owner responses

Risk Response Form for Threats Threats Cause

Risk

Effect

Activity

Fuente: www.rmcproject.com

Rating P

I

Score PxI

Ranking

Trigger

Fallback Plan

Risk Owner

Control y Mitigación del riesgo Financiero Las decisiones financieras requirieren de 3 factores básicos:

dinero, tiempo y riesgo

Control y Mitigación del riesgo Financiero

“No coloque todos lo huevos en una canasta” La tasa interés que determina el valor de un activo con riesgo depende del nivel general de las tasa de interés (medido por la tasa de interés sobre los bonos del tesoro del gobierno de los EEUU) más una prima que depende del riesgo del ingreso del activo. Cuanto más riesgos más alta será la prima. Tasa de retorno esperada = tasa libre de riesgo + prima de riesgo ESTO SIGNIFICA REALIZAR UN AJUSTE EN LA TASA DE DESCUENTO (WACC) UTILIZADA PARA LA EVALUACION DEL VPN

Prima de riesgo MODELO CAPM: Prima de riesgo = β *(Rm – Rlr) β = Factor que mide el riesgo del mercado: Pendiente de la línea de regresión entre variaciones de la tasa de retorno del mercado y la tasa de retorno del activo en particular

Re = Rlr + β*(Rm – Rlr) Re = Tasa de Retorno Esperada Rlr = Tasa libre de riesgo Rm = Tasa de retorno del mercado

OTRO MÉTODO PARA INCORPORAR EL RIESGO EL METODO DE LOS INDICADORES DE CERTEZA

FLUJO DE CAJA ESPERADO

tiempo (t) AÑO O AÑO 1 AÑO 2 AÑO 3

´(1) (300.000) 100.000 180.000 150.000

FLUJO EQUIVALENTE CON RIESGO

FACTOR EQUIVALENTE DE CERTEZA α

´(2) ´(3)=(2)/(1) (300.000) 1,00 96.000 0,96 165.000 0,92 130.000 0,87

VPNt= ∑αt*Flujo de caja esperado t / (1+i)t

Simulación de Montecarlo Y1 = f (x1, x2, x3…xn) Variables independientes que introducen riesgo

Procedimiento de la simulación: 1. Se seleccionan las variables a estudiar 2. Se asigna una distribución de probabilidades a los valores que tomarán las variables seleccionadas 3. Generación de un número aleatorio entre 0 y 1 4. Se le asigna a la variable el valor que corresponda al número aleatorio generado 5. Se resuelve el modelo una cantidad elevada de veces

PROBABILIDAD

Distribución de Probabilidad

RIESGO Probabilidad < 1

Resultado Esperado

Resultado No esperado

RESULTADO DEL PROYECTO

ARTICULACIÓN: ADMINISTRACION Y EVALUACION DEL RIESGO

www.google.com – esquemas de riesgo

Sistema de Administración del Riesgo Principios y Políticas frente al riesgo

Coherencia y funcionalidad orgánica

SAR

Programa de Administración

Proceso de Administración

Política de Administración del Riesgo • Fija criterios para el diseño del programa de manejo de los riesgos (apetito de riesgo, etc.) • Incluye niveles de responsabilidad y deberes. • Establece la cultura de control interno con base al riesgo • Establece el rol de la auditoria interna. • Establece un proceso efectivo de información y reporte interno. Principios y Políticas frente al riesgo

Coherencia y funcionalidad orgánica

SAR

Programa de Administración

Proceso de Administración

Proceso de Administración del Riesgo

ESTABLECIMIENTO DEL CONTEXTO

DETERMINACIÓN DE TÉCNICAS PARA EL TRATAMIENTO DE LOS RIESGOS • Control/mitigación • Aprovechamiento

IDENTIFICACIÓN DE EVENTOS •Peligros •Oportunidades

EVALUACIÓN DE RIESGOS

Principios y Políticas frente al riesgo

Coherencia y funcionalidad orgánica

SAR

Programa de Administración

Proceso de Administración

Programa de Administración del Riesgo Conjunto de actividades para ejecución de las técnicas de tratamiento del riesgo previamente definidas en el PAR. Los programas pueden clasificarse por tipos de riesgo, por objetivos, por líneas de negocio, por proceso, por producto, etc. Principios y Políticas frente al riesgo

Coherencia y funcionalidad orgánica

SAR

Programa de Administración

Proceso de Administración

Coherencia y funcionalidad orgánica Con el fin de que las empresas puedan lograr los objetivos en relación con la administración del riesgo, los esquemas organizacionales de las mismas se dividen en dos grandes estructuras de responsabilidad según su gobierno corporativo: • Estructura estratégica • Estructura ejecutiva Principios y Políticas frente al riesgo

Coherencia y funcionalidad orgánica

SAR

Programa de Administración

Proceso de Administración

GERENCIA GENERAL Comité Adm Riesgo Int

GERENCIA ADMON Y FINANZAS

GERENCIA TECNICA

U.A.R.I

Gestión Humana

Servicios Grales

GERENCIA COMERCIAL

U.A.R.I

Finanzas

Jefe S.O

U.A.R.I

=

UNIDAD DE ADMINISTRACION DEL RESGO INTEGRAL

© 2010. Mauricio Penagos Acosta. Prohibida la reproducción sin previa autorización

U.A.R.I

Pasos a seguir para la gestión del riesgo en proyectos 1. Sensibilización 2. Definición de principios y políticas 3. Análisis de los procesos según objetivos específicos 4. Identificación de eventos por proceso o actividad 5. Análisis de eventos vs objetivos específicos 6. Evaluación y Valoración del Riesgo Inherente 7. Definición de opciones de control y mitigación 8. Evaluación y Valoración del Riesgo Residual 9. Desarrollo del Programa de Administración Integral del Riesgo 10.Coherencia y funcionalidad orgánica Metodología desarrollada por Mauricio Penagos Acosta AIRM, de acuerdo con la NTC 5254 y la ISO 31000

COSTO DE LA ADMINISTRACIÓN INTEGRAL DEL RIESGO

Estándares Internacionales de Administración del Riesgo • Norma australiana neozelandesa AS/NZ 4360 • ISO 31000: 2009 - Risk Management • COSO-Enterprise Risk Management Integrated Framework (The Committee Of Sponsoring Organizations of the Treadway Commission) • IFRIMA (International Federation of Risk and Insurance Management Associations) • FERMA (Federation of European Risk Management Associations)

ALGUNA NORMATIVIDAD Y GUIAS DE REFERENCIA • NTC 5254 • Cumplimiento del artículo 4 de la ley 1150 de 2007: Distribución de riesgos en los procesos de contratación estatal. • Ley 87 de 1993, Ley 489 de 1998 y Decreto 1599 de 2005 : Obligatoria implementación del Modelo Estándar de Control Interno (MECI 1000) en lo referente al subsistema de control estratégico, componente de la administración de riesgos. • Ley 448 de 1998 y Dec. 423 de 2001: Manejo de obligaciones contingentes en entidades estatales. Identificación matrices de riesgo. • Ley 872 de 2003, Dec. 4110 de 2004 y 4485 de 2009: Obligatoria implementación del sistema de gestión de la calidad y controles sobre los riesgos que puedan afectar al cliente y el logro de los objetivos de entidades estatales. (NTCGP 1000:2009). • CONPES 3107 y 3133 de 2001 Política de Manejo de Riesgo Contractual del Estado para Procesos de Participación Privada en Infraestructura

MUCHAS GRACIAS !!

Mauricio Penagos Acosta Móvil: 310 2434450 Tel. (1) 4704187 / 3997 [email protected] [email protected]