Manual - Procedimiento Admon de Riesgos

OPSA, PNSA, EPSA, LFSA

Consejos para la práctica, imple-mentación y fortalecimiento de la

Administración de Riesgos

PPoorr :: NNeellssoonn HHeerrrreerraa

2

Tabla de contenido

PRESENTACION ........................................................................................................................................ 3

Objetivos .............................................................................................................................................................. 4

Sobre La Administracion De Riesgos… .......................................................................................................... 5

PLANEACIÓN DE LA ADMINISTRACIÓN DEL RIESGO .......................................................... 7

1. Diagnostico De La Situación Actual ............................................................................................................ 8

2. Directrices Generales ................................................................................................................................... 13

3. Tareas O Actividades Clave Del Proceso De Administracion De Riesgos ....................................... 15

Actividad 1 - Definir El Contexto ......................................................................................................... 16

Actividad 2 - Identificar Y Documentar Riesgos ............................................................................... 21

Actividad 3 - Analizar Y Evaluar Niveles De Riesgo ......................................................................... 29

Actividad 4 - Definir Tratamiento De Riesgo ..................................................................................... 37

Actividad 5 - Administrar Y Comunicar Incidentes ........................................................................... 43

Actividad 6 –Monitorear ......................................................................................................................... 45

CONSIDERACIONES ESPECIALES PARA LA EVALUACION DE RIESGOS

ESTRATEGICOS ............................................................................................................................................ 49

Análisis 1 –Evaluación De Riesgos Basados En Los Componentes Estratégicos De Porter ............... 52

Análisis 2 – Evaluación De Riesgos Basados En Los Objetivos Estratégicos......................................... 55

Análisis 3 – Relación Existente Entre Los Controles Que Mitigan Los Riesgos Estratégicos Con

Los Procesos ...................................................................................................................................................... 58

Análisis 4 – Nivel De Eficacia De Sus Procesos Para Administra Los Riesgos Y Objetivos

Estratégicos ........................................................................................................................................................ 59

PRESENTACION

PRESENTACION

Los Consejos para la práctica, implementación y fortalecimiento de

la Administración de Riesgos está dirigido a todos aquellos con res-

ponsabilidades gerenciales, que han asumido el compromiso de agregar

valor en las empresas del grupo a través de buenas prácticas de gobierno

que incluye entre otros, un proceso integral de Administración de Ries-

gos.

En cuanto a su contenido, comprende los principios básicos, procedi-

mientos y herramientas que en general integran las 6 etapas o actividades

clave del proceso de administración de riesgos operativos y estratégicos.

Esperamos que esta guía práctica pueda aportar mejoras a sus procesos de

gestión, riesgo, control y gobierno para el logro de los objetivos.

PRESENTACION

OBJETIVOS

Promover el modelo gerencial de buen gobierno y autocontrol a través

de la Administración de Riesgos.

Dar a conocer los principios, procedimientos y herramientas necesarias

para obtener una visión global e integrada de los riesgos y oportunida-

des que tienen potencial de destruir o aumentar el valor.

Promover el establecimiento de una estrategia que guarde equilibrio

entre los objetivos de crecimiento, rentabilidad y los riesgos asociados,

mediante:

- Visualización de los riesgos de la industria desde un contexto in-

terno y externo.

- El alineamiento del riesgo aceptado y la estrategia.

- La mejora de las decisiones de respuesta a los riesgos.

- La reducción de las sorpresas y pérdidas operativas.

- La identificación y gestión de la diversidad de riesgos para toda la

Entidad1 y,

- El aprovechamiento de las oportunidades.

1 Para facilitar el contenido, se utilizará el concepto de entidad, para hacer referencia a la

Unidad de Negocio, área o departamento que será objeto de un proceso de administración

de riesgos.

PRESENTACION

SOBRE LA ADMINISTRACION DE RIESGOS…

La administración de riesgos, es el conjunto de acciones llevadas a cabo

en forma estructurada e integral, que permite a las organizaciones identifi-

car y evaluar los eventos que pueden afectar el cumplimiento de sus obje-

tivos, con el fin de emprender en forma efectiva las medidas necesarias

para responder ante ellos, desde una perspectiva preventiva.

Cualquier actividad que el ser humano realice está expuesta a riesgos de

diversa índole, basando generalmente nuestras decisiones diarias en los

riesgos u oportunidades que percibamos, desde cambiar nuestra ruta al

trabajo para evitar el tráfico (riesgo) o por haber encontrado un atajo que

nos ahorre tiempo y combustible (oportunidad), administramos riesgos

para obtener el mayor beneficio posible o bien evitar alguna situación ne-

gativa.

Esta conciencia sobre el riesgo, vista como un medio para asegurar de

mejor manera la sostenibilidad del negocio, la eficacia de sus recursos y la

consolidación de sus procesos, estructuras y sistemas; ha causado un im-

portante cambio de visión en cuanto a la administración del riesgo.

En los últimos años, la tendencia internacional migra de un enfoque tra-

dicional basado en la detección y reacción de riesgos financieros; a un

PRESENTACION

nuevo enfoque, continuo y recurrente, que anticipa y previene los riesgos,

bajo un contexto holístico, ágil y flexible para lograr la estrategia.

La planeación que debe llevarse a cabo para lograr este nuevo enfoque, se

explicara a partir de la sección siguiente.

.

PLANEACION DE LA ADMINISTRACION DE RIESGOS

PLANEACIÓN DE LA ADMINISTRACIÓN DEL RIESGO

Como cualquier otro proceso institucional, la administración del riesgo

debe planearse y programarse de manera que forme parte de todo el

quehacer de la entidad.

Para el diseño de esta planeación es fundamental tener claridad en la mi-

sión institucional, en sus objetivos y tener una visión sistémica de manera

que no se perciba la administración del riesgo como algo aislado, igual-

mente es necesario dar respuestas a inquietudes comunes en la entidad

por ejemplo: ¿Cuándo va a empezar a manejarse el tema dentro de la en-

tidad?, ¿Quiénes van a participar directamente en el proceso?, ¿Cuándo

van a realizarse las capacitaciones y a quién van a ir dirigidas? y ¿Cómo se

va a articular el tema dentro de la planeación y con los procesos?.

Dentro de los aspectos esenciales que deben planificarse y realizar-

se adecuadamente son los siguientes:

1. Diagnostico de la situación actual como punto de partida para implementar y/o

fortalecer la administración de riesgos

2. Asegurar el compromiso del alta y media Dirección, conformar el equipo de trabajo

y capacitación en la metodología como parte de las Directrices Generales.

3. Implementar íntegramente las 6 actividades del procesos de administración de riesgos


1. DIAGNOSTICO DE LA SITUACIÓN ACTUAL

Iniciamos nuestros Consejos para la Práctica presentando a continuación un

cuestionario que permite realizar un diagnóstico sobre el estado en que se

encuentra la entidad, útil para tomar conciencia y obtener mayor informa-

ción sobre los aspectos que se deben mejorar para administrar adecuada-

mente los riesgos.

1. Esta usted listo para administrar el riesgo?

Responda las siguientes preguntas usando escala desde 1 (nunca), 2 (a ve-

ces) hasta 3 (siempre). Deje casillas en blanco si no conoce la respuesta:

# Criter ios para la auto-evaluación o

diagnóstico Diagnóstico

1 2 3

Tome en cuenta estos criterios para valorar su situación actual:

1 La administración de riesgos es tema de dis-

cusión en nuestros comités de área y de UN.

2 Nuestros reportes sobre decisiones importan-

tes incluyen los riesgos de cada escenario

3

Administradores asisten a los talleres (tanto

internos como conferencias) sobre prácticas

de administración del riesgo.

4

Tenemos una valoración clara de los riesgos

por lo cual la mayoría de eventos no nos to-

man por sorpresa.


5

Cuando una de mis decisiones se torna insa-

tisfactoria, el equipo administrativo trata de

aprender de ello.

6 Estoy provisto de las herramientas que nece-

sito para valorizar el riesgo.

7 Mi jefe respalda la administración del riesgo.

Total de puntos 7 14 21

Puntaje < 13:

Administración del riesgo no es parte de su entidad actual. Trabaje en la

construcción y apreciación para el manejo del riesgo.

Puntaje 13-18:

Administración del riesgo es parte de su entidad, pero se requiere su ayu-

da para convertirla en una mayor parte de la cultura corporativa de la ge-

rencia.

Puntaje >18:

Estructura de éxito. Revise las áreas en que se obtuvo 2 puntos o menos

para ver qué medidas debe tomar.


Diagnóstico de las bases del proceso de administración de riesgos Considere los siguientes elementos que existen en una adecuada adminis-

tración de riesgos. Responda las siguientes preguntas para definir la nece-

sidad de fortalecer la administración de riesgo, usando escala desde 1

(no/inexistente), 2 (insuficiente/requiere mejoras) hasta 3

(si/satisfactorio).

# Criter ios para la auto -eva luación o

Diagnóst ico

Diagnóst ico

1 2 3

1 Propósitos generales claramente definidos,

publicados y comprendidos en la Entidad.

2 Objetivos definidos y comunicados.

3

Personal con claro entendimiento de cómo

sus objetivos personales se relacionan con

los de su área y el resto de la organización.

4 Revisión anual de la relación entre los objet i-

vos organizacionales y personales.

5 Lenguaje común de riesgo

6

Un acuerdo común, parámetros y responsabi-

lidades claras sobre el manejo del riesgo en la

Entidad.

7 Análisis de riesgos inherentes 2 basados en los

siguientes componentes:

Riesgos por fuerzas de la naturaleza

Riesgos por fuerzas sociales

2 El riesgo inherente es aquel a que se expondría la organización en carencia absoluta de controles.



Diagnóst ico

Diagnóst ico

1 2 3

Riesgos por fuerzas políticas y legales

Riesgos por fuerzas económicas

Riesgos por fuerzas tecnológicas

Riesgos por factores relacionados con los

Proveedores

Riesgos por factores relacionados con los

clientes

Riesgos por competidores de la industria

Riesgos por nuevos competidores

Riesgos por productos sustitutos

8

Identificación de nuevos riesgos inherentes

ante cambios en las funciones y responsabil i-

dades.

9

Identificación de riesgos inherentes para ca-

da uno los objetivos estratégicos y operativos

definidos por la Entidad.

10 Conocimiento de los tres riesgos más impor-

tantes a enfrentar en los próximos 12 meses.

11

Conocimiento de las oportunidades de la En-

tidad para lograr sus objetivos en los próx i-

mos 12 meses.

12 Conocimiento y experiencia para priorizar y

manejar los riesgos.

13 Conocimiento sobre los principales riesgos

que administran otras organizaciones.

14 Evaluación de la efectividad de los controles

y el manejo gerencial del riesgo.



Diagnóst ico

Diagnóst ico

1 2 3

15 Evaluación del costo-beneficio de los contro-

les

16 Conocimiento de cuánto riesgo se puede to-

mar en el cumplimiento de objetivos.

17 Revisión rutinaria de la efectividad de la ac-

tividad de administración de riesgos

18

Políticas y procedimientos definidos para re-

portar los cambios de riesgo, los incidentes y

las fallas de control y el desempeño del pro-

ceso en general.

19 Entrenamiento en manejo del riesgo estrat é-

gico y operativo.

20

Procesos de comunicación y reporte debida-

mente soportados con un adecuado mane jo

de riesgo.

21

Receptividad de la Alta Gerencia sobre el

desempeño de la gestión de riesgos incluidas

las malas noticias.

22

Un código de conducta que guía al personal

en las acciones relacionadas para el manejo

de riesgos.

23

Monitoreo de la efectividad del manejo de

riesgo como parte de una rutina integral del

reporte de procesos gerenciales.


2. DIRECTRICES GENERALES

Realizado el diagnóstico sobre la situación actual, conviene en este punto

formalizar los siguientes aspectos clave:

Compromiso de la alta y media dirección: Para el éxito en la imple-

mentación de una adecuada administración del riesgo, es indispensable el

compromiso de la alta gerencia como encargada, en primera instancia, de

definir las políticas y en segunda instancia de estimular la cultura de la

identificación y prevención del riesgo. Para lograrlo es importante la defi-

nición de canales directos de comunicación y el apoyo a todas las acciones

emprendidas en este sentido, propiciando los espacios y asignando los re-

cursos necesarios.

Conformación de un equipo de trabajo: Es importante conformar un

equipo de trabajo que se encargue de liderar el proceso de administración

del riesgo dentro de la entidad y cuente con un canal directo de comuni-

cación con la alta dirección. Dicho equipo lo deben integrar personas de

diferentes áreas que conozcan muy bien la entidad y el funcionamiento de

los diferentes procesos para que se facilite la administración del riesgo y la

construcción de los mapas de riesgos institucionales.


Capacitación en la metodología: Definido el equipo o equipos de tra-

bajo, debe capacitarse a sus integrantes en la metodología de la adminis-

tración del riesgo, para lo cual se podrá contar con el apoyo de estos Con-

sejos para la Práctica y/o personal externo especializado en el tema.


3. TAREAS O ACTIVIDADES CLAVE DEL PROCESO DE ADMINISTRACION DE RIESGOS

Un adecuado proceso de administración de riesgos está compuesto por

un conjunto de 6 tareas o actividades clave que interactúan entre sí para

identificar, documentar, administrar y mantener actualizados los riesgos

estratégicos y operativos que debe administrar la Entidad, tal como se

muestra en la figura abajo.

Estas actividades clave son las explicaremos a continuación, agrupando

por cada actividad, los Consejos para la Práctica que hemos considerado

básicos para la implementación y/o fortalecimiento de la Administración

de Riesgos. Utilizamos la etiqueta para ampliar conceptos esenciales

del contenido así como pies de página que aseguraran la comprensión

inmediata de la metodología propuesta.

DEFINIR TRATAMIENTO DE RIESGO

16

ACTIVIDAD 1 - DEFINIR EL CONTEXTO

Qué es? Es evaluar con claridad la posición actual de la Entidadfrente al entorno

externo e interno de la industria3 y exponer con exactitud los objetivos

estrategicos y operativos a los que dará soporte la Administración de

Riesgos para el cumplimiento de los mismos.

Para qué sirve?

Facilita la asignación de recursos en la administración exclusiva de los

riesgos clave4 del negocio, frente a un universo de riesgos potenciales que

por su relevancia y/o costo/beneficio la Dirección decide descartarlos.

Cosas para hacer

Es estrictamente necesario satisfacer los siguientes pasos:

1. Elabore o documente su plan estratégico.

Permite asegurar el alineamiento de la misión, visión, objetivos es-

tratégicos y metas de la Entidad. Saber responder ¿Quiénes somos?

¿Por qué existimos? y ¿Hacia dónde vamos? Le asegura mayor efi-

ciencia y eficacia a la administración de riesgos.

3 Ver más sobre el análisis del entorno en Consideraciones especiales para la evaluación de riesgos

estratégicos Pág. 49.

4 En administración de riesgos, los riesgos clave son los que hace referencia a aquellos que

la entidad está obligada a administrar para asegurar los objetivos estratégicos y operativos.

DEFINIR EL CONTEXTO Actividad 1 de 6

2. Identifique las partes interesadas (stakeholders) que son afectadas o

pueden afectar las actividades de la Entidad.

Le permite analizar los objetivos específicos que convergen entre

los accionistas, acreedores, proveedores, clientes, empleados, go-

bierno con la Entidad. Posteriormente se evalúan los riesgos que

deben administrarse para lograr los objetivos entre los stakeholders.

3. Defina la tolerancia al riesgo de los objetivos estratégicos y operativos.

Permite determinar los niveles aceptables de variación entre la meta

planeada y la realidad y tomar decisiones sobre cuánto invertir para

lograr los resultados deseados. Por ejemplo:

Fijar una meta de 95% de calidad, con tolerancia de 90%. Si sus

informes indican 91% de calidad, teóricamente no necesitaría

hacer mayores inversiones en administrar los riesgos del proce-

so de calidad.

Fijar un objetivo del 98% de puntualidad para sus entregas, con

una desviación aceptable entre el 97% y el 100%, pero al medir

resulta una puntualidad de 90%, la Entidad deberá en esas ins-

tancias invertir recursos para alcanzar la meta de 98%.

Esperar que el personal responda a todos los reclamos de los

clientes en un plazo de 24 horas, aunque acepta que hasta un

25% de ellas se atiendan entre 24 y 36 horas.


Representado en una tabla, el ejercicio de alinear objetivos con la

tolerancia al riesgo sería bajo el siguiente ejemplo:

Tabla vinculación de la misión con los objetivos y tolerancia al riesgo

Misión Somos el fabricante líder de productos de cali-dad para el hogar en las regiones en las que operamos.

Objetivo Estratégi-co

Estar en el cuartil superior de ventas de produc-to a nuestros minoristas.

Otros objetivos re-lacionados

Reclutar 180 nuevos empleados cualificados en el conjunto de todas las divisiones de fabrica-ción, con el fin de responder a la demanda de nuestros clientes sin sobrecargar la planilla.

Unidad de medi-da de los objetivos

Número de nuevos empleados cualificados contratados.

Tolerancia (en +/-)

160 - 200 nuevos empleados cualificados.

4. Identifique los procesos clave y documéntelos con diagramas de flujo

y/o narrativas. Para poder identificar sus procesos clave pregúntese y

analice ¿Cómo hace la Entidad para que sus productos o servicios

permitan lograr las metas planteadas?

Los diagramas de flujo sirven como herramienta para el análisis de

flujo de procesos, una técnica sencilla para la identificación de eventos

que veremos posteriormente.


Los pasos formales para la construcción de Diagramas de Flujo in-

cluye:

Paso 1: Establecer quienes deben participar en la construcción

del Diagrama.

Paso 2: Preparar la logística de la sesión.

Paso 3: Establecer el objetivo de los diagramas de flujo y resul-

tado esperado de la sesión de trabajo.

Paso 4: Definir el alcance de cada proceso clave.

Paso 5: Esquematizar la secuencia lógica lo más cercano posi-

ble a la realidad, utilizando la simbología adecuado, tomando en

cuenta el siguiente cuestionario básico para la elaboración de

diagramas:

¿Qué es lo primero que ocurre?

¿Qué es lo siguiente que ocurre?

¿Qué es lo último que ocurre?

¿De dónde viene el (Servicio, Material)?

¿Cómo llega al proceso?

¿Quién toma las decisiones?

¿Qué pasa si la decisión es “Sí”?

¿Qué pasa si es “No”?

¿A dónde va el producto de esta operación?

¿Qué revisiones / verificaciones se realizan en el “producto” en cada par-te del proceso?

¿Qué pasa si la revisión / verificación no cumple con los requisitos?


Paso 6: Revisar el diagrama, verificando que sea una representa-

ción gráfica del proceso apegada a la realidad con el nivel de de-

talle de información necesaria para tener una comprensión preci-

sa del proceso flujogramado.

5. Documente los objetivos de control de cada uno de sus procesos de

negocio.

Los objetivos de control, son declaraciones del resultado deseado o

del propósito a ser alcanzado implementando procedimientos de

control en una actividad particular. Por ejemplo, en el proceso de

Inventario algunos objetivos de control comunes son:

Rotar el inventario por antigüedad del mismo.

Asegurarse del registro de los consumos de inventario.

Asegurar que todo el inventario obsoleto o de lento movimien-

to son identificados y propiamente valuados.


21

ACTIVIDAD 2 - IDENTIFICAR Y DOCUMENTAR RIESGOS

Qué es? Es la identificación de incidentes o acontecimientos que pueden afectar la

implantación de la estrategia o la consecución de los objetivos.

Para qué sirve?

El uso de herramientas o métodos formales de identificación de eventos,

ayuda a la Dirección a tener plena conciencia sobre los riesgos de la

organización, reduciendo lo que sería una especie de ceguera organizacional.

Cosas para hacer

1. Efectúe un análisis de flujo de procesos en un taller de trabajo:

Recorriendo cada paso representado en los diagramas de flujo, vi-

sualice múltiples escenarios y pregúntese:

Qué puede salir mal? Para afectar los objetivos de control defi-

nidos en la etapa anterior.

Cómo puede suceder?

Quién puede generarlo?

Por qué se puede presentar?

Cuándo puede ocurrir?

En función a éstas preguntas, documente su análisis de lo que

puede salir mal en una lista de eventos.

IDENTIFICAR Y DOCUMENTAR RIESGOS Actividad 2 de 6

2. Refuerce el análisis de flujo efectuando una inspección al proceso. Los pa-

sos necesarios para realizar una inspección de procesos son:

1. Realice un recorrido general estableciendo contacto con las instala-

ciones y operaciones realizadas.

2. Compruebe en forma física la manera como se llevan a cabo las ac-

tividades, el estado de los equipos, instalaciones, filtros o controles

y la manera de prestar los servicios ofrecidos.

3. Recoja información adicional entrevistando al personal, utilice en-

tre otras, las siguientes preguntas:

a. Procesos que en su opinión deberían ser evaluados y refor-

mados?

b. Actividades que le ocasionan gran esfuerzo y mayores recur-

sos humanos?

c. Aspectos que le impiden lograr sus tareas u objetivos diarios?

4. Realizar una reunión con el responsable del sitio o del proceso ana-

lizado para aclarar o precisar detalles adicionales y establecer final-

mente la lista de eventos identificados.


5. Concluya el proceso de identificación de eventos, haciendo un aná-

lisis de los factores externos e internos5 que pueden afectar a la or-

ganización. Para mayor comprensión véase Pág. 49, Consideraciones

Especiales para la Evaluación de Riesgos Estratégicos para obtener más in-

formación sobre este paso.

6. Documente la información recopilada en la siguiente sección de la

matriz de evaluación de riesgos - control:

UNIDAD CORPORATIVA DE CONTROL DE GESTION

FORMATO MATRIZ DE EVALUACION DE RIESGO - CONTROL

Riesgo / Impacto Causa Descripción del

riesgo

Tipo de riesgo

Para preparar la matriz anterior tome en cuenta las siguientes considera-

ciones:

1. En la columna Riesgo/Impacto, se conceptualizan los eventos

identificados anteriormente, describiendo el incidente o aconteci-

miento que afectaría el cumplimiento de los objetivos.

2. La causa, es el motivo, la vulnerabilidad o circunstancia por las cua-

les se considera que un evento puede ocurrir. ¿Qué es lo que falta?

5 Este paso se realiza después de haber hecho el análisis de flujo de procesos y la ins-

pección a fin de tener un conocimiento profundo de los procesos del negocio.


¿Qué es lo que falla? ¿Qué excesos existen? Por ejemplo, ¿Qué es

lo que falla en una Entidad para que ocurra el riesgo de fraude?:

a. Falta de políticas de selección de proveedores.

b. Falta de normas para el proceso de compras.

c. Exceso de poder.

d. Ausencia del perfil del cargo de Jefe de compras.

e. Fallas en la selección del Jefe de compras.

f. Ausencia de procedimientos de validación y verificación de

los productos o servicios comprados.

3. La descripción del riesgo le permite ampliar la perspectiva bajo la

cual ciertos eventos se consideran riesgos, facilitando la compren-

sión de cómo estos pueden suceder. A mayor comprensión del

riesgo, mayor seguridad de que se implementen y ejecuten las acti-

vidades de control por parte del personal.

En la práctica, muchos riesgos llegan a ocurrir por desestimar que

estos pudieran materializarse al no comprender la vulnerabilidad y

su impacto.

4. Tipificar el riesgo, es clasificarlo de acuerdo a sus consecuencias es-

tratégicas y operativas, las cuales suelen ser de tipo 1) financiero 2)

laboral 3) operativo 4) medio ambiental 5) de imagen y 6) de mer-

cado. Estas clasificaciones permiten obtener con un enfoque de


administración de riesgos, una referencia rápida de las debilidades y

fortalezas de la Entidad.

A estos 6 elementos, se les llama sistemas de referencia por ser donde se ob-

serva la repercusión de un riesgo.

Métodos alternativos para la identificación de riesgos

Existen otros métodos que al combinarlos, aportan información impor-

tante que puede servir en la tarea de identificación.

Lista de chequeo de las pólizas de seguro

Cosas para hacer

1. Consulte en las compañías aseguradoras o libros publicados sobre se-

guros

Los catálogos de los diferentes riesgos que pueden cubrir las pólizas

de seguros proporcionan un amplio panorama de análisis, aunque

generalmente excluyen los no asegurables, pone en la conciencia de

la organización riesgos como los del cuadro a continuación.

Cuadro 2. Lista de chequeo de las pólizas de seguro (tomado de Mapfre)

Grupo Riesgo

Riesgos de la naturaleza

Terremoto, lluvia torrencial, caída de rayo, inundación, ola de calor o frío, sequía, moho, hongos, etc.

Riesgos tecno-lógicos

Incendio, explosión, humo, polvo, derrame de produc-tos químicos, escape de gases y vapores, contaminación súbita, avería mecánica o eléctrica de maquinaria, corte súbito de energía eléctrica, desmoronamiento de mate-


rial apilado, obsolescencia de equipo.

Riesgos de transporte

Averías de medios de transporte, colisión, pérdida o deterioro de mercancía, errores de conducción.

Riesgos políti-cos-sociales

Guerra civil, acto bélico, levantamiento militar o civil, revolución, motín, huelga legal, confiscación, etc.

Riesgos antiso-ciales

Terrorismo, sabotaje, huelga ilegal, acto vandálico, pi-romanía, asesinato, atentado, secuestro, robo, hurto, desaparición misteriosa, mermas, infidelidad de em-pleados, falsificación, desfalco, fraude, intrusión y es-pionaje industrial

Riesgos indirec-tos

Daños a bienes arrendados a terceros, o bajo dominio de terceros o bajo su responsabilidad civil.

Riesgos conse-cuenciales

Demolición necesaria de partes ilesas, pérdida de uso, pérdida de personal clave, gastos financieros extraordi-narios.

Responsabilidad civil empresarial

Daño a edificio o local arrendado, daño a bien de terce-ros en: depósito, proceso de transformación, mezcla o ensamble, incumplimiento de contrato, difamación, ca-lumnia, piratería industrial o comercial, competencia desleal.

Responsabilidad civil patronal

Incumplimiento de normas de higiene, de seguridad, de convenio colectivo, de contrato individual, daños a bie-nes de empleados, etc.

Responsabilidad civil profesional

Error técnico, de diseño o cálculo, error administrativo, abandono de funciones profesionales, negligencia, dolo de personal directivo.

Responsabilidad civil ecológica

Contaminación gradual del ambiente, contaminación súbita o accidental, delito ecológico.


Riesgos perso-nales

Muerte por accidente laboral, muerte por accidente no laboral, invalidez permanente, incapacidad profesional, incapacidad laboral transitoria, secuestro, asesinato, atentado.

Riesgos finan-cieros

Riesgo de crédito, riesgo de inversión en el exterior, riesgo de caución, riesgo de cambio.

Análisis de estados financieros y otra información de la empresa

Cosas para hacer

1. Analice los indicadores financieros, tales como rentabilidad, liqui-

dez, nivel de endeudamiento, rotación de inventarios o de cartera.

2. Efectúe análisis comparativos de las cifras del balance y el estado de

resultado, entre años y entre rubros. Adicionalmente analice las ci-

fras más representativas de los activos, los pasivos, el patrimonio,

los ingresos y los gastos.

i. Esta herramienta indiscutiblemente requiere de un conocimiento

amplio de los aspectos financieros, contables y del funcionamien-

to de la empresa. El análisis puede ampliarse con entrevistas a los

responsables de las cuentas o centros de costos.


El análisis de información adicional de la empresa incluye el estudio de

documentos que pueden ayudar a identificar sus riesgos, si se revisan con

cuidado y con mirada amplia y creativa.

Documentos tales como organigramas, informe anual de actividades, con-

tratos, informes de auditorías o de entidades de vigilancia, planes de desa-

rrollo, manuales de operación, folletos, publicidad de la empresa, registros

de siniestralidad, informes de sugerencias, quejas y reclamos, etc.


29

ACTIVIDAD 3 - ANALIZAR Y EVALUAR NIVELES DE RIESGO

Qué es? Consiste en cuantificar, mediante métodos cualitativos y cuantitativos -

dependiendo de la importancia o disponibilidad de la información- que

tan probable es que un riesgo ocurra y que impacto tendría en los objeti-

vos de la organización. En este punto, se evalúa el listado de even-

tos/riesgos identificados y documentados en la sección anterior.

Para qué sirve?

Permite tomar decisiones sobre la forma en que la Entidad administra los

riesgos de negocio. Una organización no puede dedicar toda su atención

(y su dinero) en administrar y mitigar el universo de riesgos sin importar

su probabilidad e impacto. Mediante un proceso formal de análisis y eva-

luación se definen prioridades y el tipo de respuesta6.

Cosas para hacer

1. Efectúe una encuesta al personal para que dé una valoración de los

riesgos identificados.

Los pasos formales para efectuar un análisis y evaluación del nivel de

riesgo basado en el criterio o juicio profesional de las personas, em-

pleados o grupos de interés son:

6En materia de administración de riesgos, la respuesta a los riesgos son: Evitar, Reducir, Compartir y Aceptar. Véase más en el proceso 4 “Definir tratamiento de riesgo” en Pág. 37

ANALIZAR Y EVALUAR NIVELES DE RIESGO Actividad 3 de 6

Defina los criterios cualitativos de medición tanto para la probabi-

lidad de ocurrencia como para el impacto. Prepare estos criterios en

escalas descriptivas como los ejemplos de abajo.

Estas escalas y la forma en que se interpretará cada una de ellas de-

be ser consensuada con el equipo y de preferencia ser aprobadas

por la Dirección

Vacíe su listado de riesgos identificados anteriormente en un for-

mato encuesta como el ejemplo y solicítele al personal involucrado

a que le asigne la calificación que considere más apropiada, sobre la

probabilidad de ocurrencia de sus riesgos clave:

EMPRESA XYZ

PROCESO DE EVALUACION DE RIESGOS CALIFICACION DE LA PROBABILIDAD DE OCURRENCIA DE RIESGOS CLAVE

PROCESO:

# Riesgo

Calificación

1 2 3 4 5

1 Accidente laboral

2 Fallas de software

… …

Clave Calificación

1 Extremadamente Improbable

2 Improbable

3 Posible

4 Probable

5 Casi Segura


De la misma forma, solicítele al personal involucrado a que le asig-

ne la calificación que considere más apropiada para determinar el

impacto de ocurrencia de sus riesgos clave:

EMPRESA XYZ

PROCESO DE EVALUACION DE RIESGOS CALIFICACION DEL IMPACTO

TIPO DE RIESGO: DE IMAGEN (*)

PROCESO ABC.

# Riesgo

Calificación

1 2 5 10 20

1 Accidente Laboral

2 Fallas de software

… …

Clave Calificación

1 Insignificante

2 Menor

5 Moderado

10 Grave

20 Catastrófico

Notas:

(*) Se debe realizar una encuesta por cada tipo de riesgos, para calificar el im-pacto de cada uno de ellos en: Lo Financiero, Laboral, Ambiental, Operativo y de Mercado.


Con la información anterior completamos nuestra Matriz de Eva-

luación de Riesgo - Control.

Riesgo / Impacto Causa Descripción del

Riesgo

Tipo de Riesgo

Continúa

Probabilidad Severidad del Impacto Impacto en Lps.

Se utiliza escalas principalmente cua-

litativas:

- 5 (Casi segura)

- 4 (Probable)

- 3 (Posible)

- 2 (Improbable)

- 1 (Extremadamente Improbable)

La escala más común:

- 20 (Catastrófico)

- 10 (Grave)

- 5 (Moderado)

- 2 (Menor)

- 1 (Insignificante)

Mapas de Riesgo

Los riesgos evaluados por lo general se grafican en un mapa de riesgos, los cuales mediante escala de colores dan una visualización rápida sobre la criticidad de los riesgos inherentes,7 residuales8y tratados9 a los cuales se enfrenta la Entidad.

7El riesgo inherente es aquel a que se expondría la organización en carencia absoluta de

controles. 8 El riesgo residual es el que enfrenta la organización como consecuencia del efecto miti-gante de sus controles actualmente vigentes. 9El riesgo tratado es el que subsistirá después de haber incorporado nuevos controles y optimizado los actualmente vigentes.


Para la elaboración de los mapas de riesgos, en función a las calificaciones

obtenidas en el paso anterior, resta únicamente ubicar los riesgos en las

zonas que corresponden a la calificación obtenida.

Cód. Evento Probabilidad Impacto

A1 Accidente laboral 3 5

A2 Fallas de Software 1 10

Empresa XYZ Mapa de riesgos Financieros*

*En la práctica conviene construir un mapa de riesgos por cada sis-

tema de referencia sobre el cual se hizo la evaluación de riesgos, de

manera que un riesgo con una gravedad insignificante en las finan-

zas puede tener un impacto grave en el medio ambiente.

Ejemplos de escalas cualitativas de probabilidad e impacto


ESCALAS DE PROBABILIDAD


ESCALAS DE IMPACTO


37

ACTIVIDAD 4 - DEFINIR TRATAMIENTO DE RIESGO

Qué es? Es determinar cómo la Dirección va a responder a cada uno de los riesgos

evaluados. Las opciones en administración de riesgos son: evitar, redu-

cir, compartir y aceptar el riesgo.

En esta etapa se definen además las actividades de control para evitar, re-

ducir o compartir los riesgos así como los criterios para aceptarlos. En

este proceso se evalúan y/o diseñan las medidas que tomará la dirección

para mejorar la gestión de riesgos y aumentar la probabilidad de alcanzar

los objetivos y metas establecidas.

Para qué sirve? Es fundamental para un adecuado sistema de administración de riesgos.

Una decisión errónea puede dejar a la Entidad expuesta a riesgos clave o

agravar el costo operativo por evaluar erróneamente el costo/beneficio de

las respuestas seleccionadas.

Cosas para hacer 1. Determine la respuesta a los riesgos, tomando en cuenta lo siguiente:

El efecto que pueda tener las posibles respuestas sobre la probabili-

dad y el impacto del riesgo.

Los costes y beneficios de las respuestas potenciales.

Las posibles oportunidades para alcanzar los objetivos de la entidad.

DEFINIR TRATAMIENTO DE RIESGO Actividad 4 de 6

2. Establezca políticas y procedimientos para asegurar que las respuestas

a los riesgos son ejecutadas efectivamente.

Las políticas y procedimientos proveen un marco normativo a

las respuestas al riesgo que se definen en esta etapa. Por su

criticidad y los recursos que se comprometen según la res-

puesta al riesgo que se defina, tres aspectos importantes deben

considerarse:

i. Proveer las instrucciones precisas sobre como la Dirección pre-

vé evitar, reducir, compartir o aceptar el riesgo.

ii. Proveer los recursos para reducir o compartir riesgos.

iii. Dejar canales de comunicación abiertos en caso se identifiquen

oportunidades de mejora en las políticas o procedimientos que

dan respuesta a los riesgos. La Entidad debe preguntarse conti-

nuamente si hay modos más eficientes o eficaces, o sí es equi-

vocada el tipo de respuesta actual.

Las 4 posibles respuestas al riesgo se basan en los conceptos siguientes:

Evitar

Supone salir de las actividades que generan riesgos.

Prescindir de una unidad de negocio, línea de producto o segmen-to geográfico.

No emprender nuevas iniciativas/actividades que podrían dar lugar a riesgos.


Reducir

Implica llevar a cabo acciones para reducir la probabilidad o el impac-to del riesgo o ambos conceptos a la vez.

Diversificar las ofertas de productos.

Establecer límites operativos.

Establecer procesos de negocio eficaces.

Aumentar la implicación de la dirección en la toma de decisiones y el seguimiento.

Reasignar el capital entre las unidades operativas.

Compartir

La probabilidad o el impacto se reducen trasladando o, de otro modo, compartiendo una parte del riesgo.

Adoptar seguros contra pérdidas inesperadas significativas.

Entrar en una sociedad de capital de riesgo/sociedad compartida.

Establecer acuerdos con otras empresas.

Utilizar instrumentos del mercado de capital a largo plazo.

Acuerdos con clientes, proveedores u otros socios de negocio.

Aceptar

No se emprende ninguna acción que afecte la probabilidad o impacto

Provisionar las posibles pérdidas.

Se desestima la adquisición de nuevos sistemas de información.

No se producen esfuerzos por afectar el status quo.

Los procesos no sufren cambio alguno.


3. Evalúe los controles que están funcionando actualmente. Tómele una

fotografía a la situación actual.

Reúna a su equipo y demás personal que tenga conocimiento so-

bre su área. Examine cada objetivo de control, los riesgos rela-

cionados y pregúntense ¿Qué actividades permiten detectar y/o

reducir los riesgos para lograr los objetivos?

Determine qué tipo de controles son con los que cuenta actual-

mente, en cuanto a si es preventivo, detectivo, de protección o

correctivo, así como la eficacia que a juicio del equipo tiene cada

control para mitigar los riesgos.

4. Defina los controles que le den una cobertura razonable a los riesgos.

Considere cual sería la situación deseada, lo que debería existir en contra-

posición a la situación actual.

Se requiere mucho juicio estimar hasta donde es necesario definir

controles para mitigar los riesgos, básicamente es hasta donde la

administración pueda tener confianza, transparencia y competi-

tividad de las operaciones del negocio.

Se requiere conocer perfectamente los tipos de controles, para

aplicar algunas fórmulas o criterios utilizados en la práctica, tales

como:


i. Diseñar objetivos preventivos, si el riesgo residual continúa

siendo crítico, formule entonces controles detectivos, luego de

ser necesario los controles de protección y los correctivos.

ii. De preferencia, los controles deben ser automatizados antes

que manuales ya que los primeros gozan de un mayor nivel de

seguridad.

iii. Equilibre los controles a nivel de entidad con los controles deta-

llados a nivel de transacción. Los primeros suelen consumir me-

nos recursos, son menos costosos que los diseñados a nivel de

transacción.

5. Analice la efectividad de los controles

Una vez definidos los controles actuales y los que decidió im-

plementar, se calcula su efectividad, es decir, se establece su con-

tribución a la disminución del riesgo (eficacia) con un uso ade-

cuado de los recursos (eficiencia). Este paso en la práctica puede

ejecutarse en forma paralela o aún antes del paso Definición de con-

troles anterior.

Para establecer la efectividad de los controles propuestos se utili-

za el cuadro siguiente, el cual se estructura con tres niveles de

eficacia de los controles: baja, media y alta, al igual que tres nive-

les para la eficiencia.


Efectividad de los controles

Eficacia

Alta Media Alta Muy alta

Media Baja Media Alta

Baja Muy Baja Baja Media

Baja Media Alta

Eficiencia

La efectividad de los controles se determina calificando la eficiencia

y la eficacia en forma cualitativa, de la siguiente manera: si un con-

trol tiene una eficiencia baja y una eficacia baja, la efectividad es

muy baja, tal como figura en la celda de intersección entre la califi-

cación de la eficiencia y la eficacia; si por el contrario, la eficiencia

es alta y la eficacia también, su efectividad es muy alta.

Cabe mencionar que la eficacia es en referencia a la capacidad del

control para reducir la probabilidad de ocurrencia o frecuencia del

riesgo así como su impacto. La eficiencia hace referencia al costo

del control en relación a la envergadura del riesgo que mitiga.

La eficiencia y eficacia de un control se valora de acuerdo a la per-

cepción de valor que tenga sobre el mismo los evaluadores de con-

trol en esta fase


43

ACTIVIDAD 5 - ADMINISTRAR Y COMUNICAR INCIDENTES

Qué es? Es un proceso mediante el cual, al presentarse eventos de pérdida, estos

son administrados a través de un proceso que asegure que:

Son registrados en estadísticas de incidentes de manera oportuna y fi-

dedigna,

Generan una respuesta en cuanto a posibles acciones contingentes,

Son analizados para retroalimentar las estimaciones de probabilidad e

impacto de los riesgos y

Generan “inteligencia” a la empresa.

Para qué sirve? Registrar los incidentes en el proceso de administración y comunicación

de incidentes, es importante porque es una especie de “comprobación de

hipótesis” sobre las estimaciones de probabilidad e impacto de los ries-

gos. Además el análisis histórico de eventos permite hacer pronósticos de

posibles eventos futuros.

Cosas para hacer 1. Consolide los siguientes procesos de administración y comunicación

de incidentes:

1. Proporcionar y capturar

Tiene que ver con la forma en que se genera y capta la informa-

ción, ya sea desde fuentes internas o externas. Se abordan en este

ADMINISTRAR Y COMUNICAR INCIDENTES Actividad 5 de 6

nivel las reglas para captar y registrar la información, los métodos

y los criterios de selección de los incidentes relevantes.

2. Procesar y analizar

Se analiza la información para evaluar el riesgo de la información,

comprobar la hipótesis sobre probabilidad e impacto previsto y

modificar proyecciones de riesgo futuros.

3. Informar

Se relaciona con la forma de distribuir la información a los usua-

rios finales. Ya sea de manera formal, informal o personalizada

mediante escritos o reuniones sobre el proceso de administración

de riesgos y los incidentes registrados.

Los incidentes registrados se archivan y mantienen disponibles

para futuras evaluaciones de riesgo periódicas.

MONITOREAR Actividad 6 de 6

ACTIVIDAD 6 –MONITOREAR

Qué es? Nos proporciona una vigilancia rutinaria del desempeño actual para compa-

rar con el desempeño esperado o requerido. Involucra la investigación pe-

riódica de la situación actual, la comparación continua, dinámica y desea-

blemente automatizada para determinar si la administración del riesgo está

operando eficazmente.

Para qué sirve?

Informa sobre la efectividad de las estrategias y los sistemas de administra-

ción establecidos para el tratamiento de riesgos.

Cosas para hacer

1. Establezca las bases del sistema de monitoreo.

Los pasos formales para hacer esto incluye:

i. Defina y publique ante toda la Entidad el “tono en la organiza-

ción”: estándares y principios éticos que guían a la Alta Dirección,

sobre los cuales los empleados y demás grupos de interés tendrán

confianza sobre las actuaciones y decisiones que tome la Alta Di-

rección.

La forma en que ésta exprese sus creencias acerca de la importancia

del monitoreo, tiene un impacto directo sobre la eficacia de la ad-

ministración del riesgo.


ii. Integre su sistema de monitoreo a las funciones y responsabilidades

de vigilancia a la estructura organizacional responsable de la empresa

misma o Unidad de Negocio: Consejo de Administración, Alta Di-

rección y Comités Ejecutivos, evite aislar su sistema de administra-

ción de riesgo con el del resto de la Organización.

iii. Asegúrese de tener una comprensión básica de la eficacia del pro-

ceso de administración de riesgos que ha implementado.

Esta comprensión le permite monitorear en tiempo real si:

o Los controles se han diseñado y aplicado correctamente

desde el principio.

o Si existe la necesidad de efectuar cambios en alguna parte

del sistema de administración de riesgos y controles ope-

rando.

o Si el entorno en el cual se han implementado controles ha

respondido adecuadamente y se están logrando los objeti-

vos previstos.

2. Diseñe y ejecute procedimientos de monitoreo.

El monitoreo es un proceso dinámico, que puede ser implementado

a través de los siguientes pasos:


Paso 1: Priorice los riesgos. De mayor a menor en la medida en que

estos son determinantes en la consecución de los objetivos.

Paso 2: Identifique los controles clave. Oriente las funciones de

monitoreo de su estructura organizacional en aquellos controles ca-

paces de mitigar los riesgos seleccionados anteriormente.

Paso 3: Identifica información concluyente. Implica estudiar el tipo

de información que necesitará para monitorear la eficacia del control

interno para gestionar o mitigar los riesgos identificados.

Existe dos tipos de información concluyente: la información directa,

proveniente de la observación de los controles en la operación o de

su propia evaluación independiente; la indirecta proviene de 1) esta-

dísticas 2) indicadores clave de riesgos 3) indicadores clave de ren-

dimientos 4) indicadores comparativos de la industria.

3. Comunique los resultados

Tomando en cuenta la información recopilada en la actividad 5 -

Administración y Comunicación de Incidentes que vimos en la pág. 41 y los

procedimientos de monitoreo anteriores, se preparan Reportes Internos

y Reportes externos.


Reportes Internos

Informes dirigidos a la Dirección y Comités Ejecutivos sobre las de-

ficiencias detectadas y las medidas implementadas para corregir y

mejorar el proceso de administración de riesgos.

Reportes Externos

Estos reportes son diseñados para respaldar las afirmaciones o certi-

ficaciones externas, ya que proporcionan información concluyente

sobre la eficacia del control interno durante un periodo determinado.

ANEXOS

CONSIDERACIONES ESPECIALES PARA LA EVALUACION DE RIESGOS ESTRATEGICOS

EVALUACION DE RIESGOS ESTRATEGICOS

Los riesgos estratégicos son aquellos que destruyen el valor de la

empresa por efecto de cambios que ocurren en el entorno país (po-

lítico, económico y social), el entorno competitivo de la empresa, la

posición estratégica del producto (tendencias de consumo y ten-

dencias tecnológicas), la implementación de proyectos y el vinculo

con los principales grupos de interés de la empresa.”

En el apartado anterior, desde la actividad 1 al 6 se utilizó un enfoque pa-

ra identificar y evaluar riesgos operacionales, estos se refieren a varia-

bles enteramente bajo el dominio de la organización, tales como el evitar

despachar a clientes en exceso de su límite de crédito asignado y por tal

razón se utiliza un enfoque de análisis de flujo de procesos.

En esta sección ya con el aprendizaje de haber evaluado riesgos operati-

vos nos centraremos en el riesgo estratégico que se diferencian de los an-

teriores porque se refieren a variables que la organización no domina pero

que podemos controlar, entendiendo que hay una diferencia entre dominar

y controlar. No podemos evitar que llueva (riesgo estratégico) pero po-

demos mitigar sus efectos con un paraguas (controles).

Para la evaluación y mitigación de este tipo de riesgos tome en cuenta lo

siguiente:

ANEXOS

Consideraciones para la evaluación de riesgos estratégicos

Utilice el modelo de Estrategia Competitiva de Porter, que aparece

graficada más abajo, para analizar los riesgos desde una perspectiva

estratégica. A partir de este modelo se crea la Matriz de Estrategia

Competitiva, que permite evaluar los riesgos a partir de sus Compo-

nentes estratégicos y de sus Objetivos estratégicos.

Considere que entre mejor definido tenga el contexto bajo el cual opera la En-

tidad, mayor es la probabilidad de administrar precisamente los ries-

gos clave del negocio sin que estos no se dispersen al infinito.

Figura 1 – Estrategia competitiva (Porter, Modificada)

Competidores de la industria

Estrategia

Mercados Productos

Alianzas Clientes

C

l

i

e

n

t

e

s

P

r

o

v

e

e

d

o

r

e

s

Nuevos competidores

Productos sustitutos

ANEXOS

Desarrolle su evaluación de riesgos estratégicos analizando lo si-

guiente:

1. Su posición actual frente a los componentes estratégicos de la fi-

gura anterior.

2. Lo que puede salir mal para no lograr sus objetivos estratégicos.

3. La relación existente entre los controles que mitigan los riesgos

estratégicos con los procesos.

4. El nivel de eficacia de sus procesos para administrar los riesgos y

objetivos estratégicos.

Estos 4 análisis se efectúan con el fin de asegurar la adecuada inter-

relación entre riesgos, objetivos, controles y procesos. Considere

que los riesgos y objetivos estratégicos se administran por medio de

procesos, que se prestan servicios unos a otros; de modo que la falla

de un proceso puede generar un efecto “cascada” e impactar en

riesgos y objetivos no directamente ligados a ese proceso.

Por ejemplo, fallas en el reclutamiento y capacitación de vendedores

(Proceso de RRHH), genera desatención de clientes importantes.

Por eso, aunque se esfuerce en administrar los riesgos de “sus” pro-

cesos, si desconoce y/o no tiene aseguramiento de que se adminis-

tran los riesgos de los procesos relacionados, puede menoscabarse

el cumplimiento de sus objetivos estratégicos.

ANEXOS

Análisis 1 –Evaluación de riesgos basados en los componentes es-tratégicos de Porter

Utilizando la experiencia y conocimiento adquirido en la sección anterior

de evaluación de riesgos operativos, prepare la siguiente matriz desde una

perspectiva estratégica considerando los componentes del entorno ex-

terno que pueden afectar o reorientar su estrategia al identificar riesgos y

oportunidades:

Matriz de Evaluación de Riesgos por Componente Estratégico

Id Componentes Estratégicos Riesgo Estratégico Impacto Inherente

Continúa

Probabilidad inherente Controles

estratégicos

Reducción

impacto

Reducción Probabilidad

Cosas para hacer

Para preparar la matriz anterior haga lo siguiente:

1. Plasme los componentes estratégicos en la primera columna, estos

son: a) Fuerzas de la naturaleza b) fuerzas sociales c) fuerzas políti-

cas y legales d) fuerzas económicas e) fuerzas tecnológicas f) pro-

ANEXOS

veedores g) clientes h) nuevos competidores i ) competidores de la

industria j) productos sustitutos.

2. Contraste los componentes estratégicos contra la posición actual de

la Entidad, cuando encuentre brechas o cosas que pueden salir mal

estos eventos se plasman en la columna Riesgo estratégico.

3. Pregúntese ¿De cuánto dinero sería el impacto si se materializara un

riesgo? Calcúlelo a través de herramientas financieras o estadísticas

y coloque los valores resultantes en la columna impacto inherente10.

4. Pregúntese ¿De1 a 100 que probabilidad hay de que ocurra un ries-

go? Inicialmente hágalo basado en un juicio de valor por el equipo

evaluador y coloque los valores resultantes en la columna probabili-

dad inherente11, considere que posteriormente el propio proceso de

administración de riesgos generara información estadística para

ajustar la probabilidad a valores más exactos.

5. Identifique las acciones, procesos o actividades que sean capaces de

mitigar los riesgos estratégicos identificados y coloque dicha infor-

mación en la columna Controles estratégicos. Los valores de juicio que

10 El impacto inherente son las pérdidas que le acarrea la ocurrencia de un riesgo a la Enti-

dad si no existiera ningún control que reduzca la probabilidad o su impacto.

11 La probabilidad inherente es la frecuencia de ocurrencia de un riesgo si no existiera nin-

gún control que lo prevenga o corrija.

ANEXOS

mejoraran su criterio para identificar los controles adecuados son

los siguientes:

a. Son suficientes? Valorado en cuanto a cantidad; ni tantos que

entorpezcan el proceso y causen ineficiencias, demoras o dete-

rioro ni tan pocos que sean insuficientes para actuar adecua-

damente.

b. Son comprensibles? Valorado en cuanto a la claridad, sencillez

y facilidad de interpretación. Un control complicado crea con-

fusiones, genera equivocaciones y propicia el rechazo que po-

dría conducir a que el empleado en la práctica no lo ejecute.

c. Son económicos? Valorado en cuanto al beneficio que apor-

tan en relación al costo del mismo. Para que resulten econó-

micos deben implantarse para los riesgos que realmente lo re-

quieran.

d. Son eficaces? Valorado en cuanto a la capacidad de detectar el

riesgo y disminuir la probabilidad de ocurrencia o su impacto,

para lo cual deben establecerse con un objetivo de control es-

pecifico.

e. Son eficientes? Valorado en cuanto a la capacidad de ejecutar

el control con el mínimo de recursos posibles, la valoración

ANEXOS

incluye considerar el número de personal requerido, tiempo,

dinero, infraestructura, etc.

f. Son oportunos? Valorado en cuanto al momento en que debe

actuar un control frente a los riesgos que mitiga; controles eje-

cutados mensualmente frente a riesgos que pueden materiali-

zarse a diario evidentemente se consideraría inoportuno.

g. Están inmersos en los procesos? Valorado en cuanto a la ga-

rantía de que los mismos se ejecutan en la rutina y periodici-

dad misma en que ejecutan las actividades las personas o sis-

temas.

6. Finalmente haga la valoración de la reducción del impacto y la reducción

de la probabilidad, el cual será un valor de 1 a 99 que determina cuán-

to es la probabilidad de ocurrencia y su impacto después de imple-

mentados los controles estratégicos. Haga su valoración con su

equipo de trabajo, considere que los riesgos no pueden ser mitiga-

dos en un 100%.

Análisis 2 – Evaluación de riesgos basados en los objetivos estraté-gicos

El segundo análisis de riesgos después de evaluar el entorno para identifi-

car riesgos y oportunidades, que en la práctica hacen que los objetivos de

su planeamiento estratégico se reafirmen o reajusten, consiste en analizar-

ANEXOS

los riesgos estratégicos12 y operativos de los objetivos estratégicos13 ha-

ciendo uso de la siguiente matriz:

Id Objetivos estratégicos Riesgos Estratégicos Impacto Inherente

Continúa

Riegos Operacionales de

Objetivos Estratégicos

Probabilidad

inherente

Controles

Aplicables

Reducción

impacto

Reducción

Probabilidad

Cosas para hacer


1. Plasme sus objetivos estratégicos en la primera columna, estos pro-

vienen de su planeación estratégica y en los mejores casos de las 4

perspectivas del Balance Scorecard: a) Aprendizaje y Conocimiento

b) procesos c) clientes f) financiera.

2. Pregúntese ¿De cuánto dinero sería el impacto si se materializara un

riesgo? Calcúlelo a través de herramientas financieras o estadísticas

12 Recuerde que los riesgos estratégicos se diferencian porque son eventos externos que

afectan la estrategia, que prácticamente no pueden evitarse pero si controlarse.

13 Riesgos que ocurren por eventos internos de la Entidad y que tienen un efecto “en cas-

cada” hasta afectar la estrategia misma.

ANEXOS

considerando periodos anteriores o presupuestos del periodo actual

y coloque los valores resultantes en la columna impacto inherente14.

3. Identifique eventos que pueden ocurrir en el entorno y analice si es-

tos pueden afectar los objetivos estratégicos definidos, coloque los

eventos que se producirían en la columna Riesgo estratégico de objetivos.

4. Identifique eventos que pueden ocurrir a lo interno de la Entidad,

por fallas en los procesos o controles que administran sus riesgos

estratégicos, coloque los eventos que se producirían en la columna

Riesgos operacionales de objetivos estratégicos.

5. Pregúntese ¿De 1 a 99 que probabilidad hay de que ocurra un ries-

go? Inicialmente hágalo basado en un juicio de valor por el equipo

evaluador y coloque los valores resultantes en la columna probabili-

dad inherente15, considere que posteriormente el propio proceso de

administración de riesgos generara información estadística para

ajustar la probabilidad a valores más exactos.

6. Considere el tipo de análisis descrito en la pág. 51 inciso 5 para

identificar los controles que incluirá en la columna Controles aplicables

14 El impacto inherente son las pérdidas que le acarrea la ocurrencia de un riesgo a la Enti-

dad si no existiera ningún control que reduzca la probabilidad o su impacto.

15 La probabilidad inherente es la frecuencia de ocurrencia de un riesgo si no existiera nin-

gún control que lo prevenga o corrija.

ANEXOS

7. Finalmente haga la valoración de la reducción del impacto y la reducción

de la probabilidad, el cual será un valor de 1 a 100 que determina

cuánto es la probabilidad de ocurrencia y su impacto después de

implementados los controles estratégicos. Haga su valoración con

su equipo de trabajo, considere que los riesgos no pueden ser miti-

gados en un 100%.

Análisis 3 – Relación existente entre los controles que mitigan los riesgos estratégicos con los procesos

Como se ha mencionado anteriormente, la falta de aseguramiento de que

todos los controles estén vinculados con un proceso pueden generarle

perdidas a la Entidad. Sucede comúnmente cuando un área “X” asume

que existen ciertos controles en un área “Z”, sin embargo, esta área no

tiene contemplada la ejecución de dicho control dentro de sus procesos.

La matriz utilizada para realizar este análisis es la siguiente:

Id Descripción del

control

Cobertura del

control

Proceso

relacionado

Evaluación de

controles

Cosas para hacer


1. Enliste en la primera columna los controles identificados hasta el

momento.

ANEXOS

2. Pregúntese ¿Me ayuda este control a reducir la probabilidad y/o

impacto de mis riesgos? Recuerde tener en claro estos dos concep-

tos. La respuesta consígnela en la columna Cobertura del control.

3. Consigne en la columna Proceso relacionado, los procesos en los cuales

se implementaron o identificaron dichos controles. El paso clave en

este punto es indagar con los dueños de procesos y/o dueños de

controles si estos están realmente presentes y operando.

4. Consigne el nivel de efectividad del control en la columna Evaluación

de controles. Puede obtener mayor información sobre cómo hacer es-

to en el Actividad 4 - Definir tratamiento de riesgos.

Análisis 4 – Nivel de eficacia de sus procesos para administra los riesgos y objetivos estratégicos

Este análisis especifico, resulta necesario para poder formarse el criterio

necesario para determinar la eficacia de los procesos. Considere lo dicho

anteriormente, las fallas en los procesos tienden a tener un impacto “en

cascada” en los objetivos estratégicos.

ANEXOS

La matriz utilizada para realizar este análisis es la siguiente:

Id Descripción del

Proceso

Riesgos del

Proceso

Controles del Pro-

ceso

Evaluación del

Proceso

Cosas para hacer


1. Enliste en la primera columna la lista de procesos evaluados.

2. Enliste los riesgos inherentes que ha identificado para cada proceso

evaluado.

3. Enliste los controles relacionados con los riesgos y procesos evaluados.

4. Evalúe la eficacia del proceso, considerando la confianza que a su cri-

terio le brinden los controles para mitigar los riesgos. La valoración

puede ser: “satisfactoria”, “insatisfactoria” y “deficiente”.

La valoración de “insatisfactorio” significará que usted aun no alcance

la confianza adecuada sobre sus procesos, en cuanto existen aspectos

del control que podrían mejorarse; en cambio, una opinión de “defi-

ciente” indicará que el proceso no es apto para lograr los objetivos es-

tratégicos a los cuales responde.

Manual - Procedimiento Admon de Riesgos

Documents

Transcript of Manual - Procedimiento Admon de Riesgos