Consejos para la prctica, implementacin y fortalecimiento de la Administracin de Riesgos

Por: Nelson Herrera

OPSA, PNSA, EPSA, LFSA

Tabla de contenido
PRESENTACION ........................................................................................................................................ 3 Objetivos .............................................................................................................................................................. 4 Sobre La Administracion De Riesgos .......................................................................................................... 5 PLANEACIN DE LA ADMINISTRACIN DEL RIESGO .......................................................... 7 1. Diagnostico De La Situacin Actual ............................................................................................................ 8 2. Directrices Generales ...................................................................................................................................13 3. Tareas O Actividades Clave Del Proceso De Administracion De Riesgos .......................................15 Actividad 1 - Definir El Contexto .........................................................................................................16 Actividad 2 - Identificar Y Documentar Riesgos...............................................................................21 Actividad 3 - Analizar Y Evaluar Niveles De Riesgo .........................................................................29 Actividad 4 - Definir Tratamiento De Riesgo .....................................................................................37 Actividad 5 - Administrar Y Comunicar Incidentes ...........................................................................43 Actividad 6 Monitorear.........................................................................................................................45 CONSIDERACIONES ESPECIALES PARA LA EVALUACION DE RIESGOS ESTRATEGICOS ............................................................................................................................................49 Anlisis 1 Evaluacin De Riesgos Basados En Los Componentes Estratgicos De Porter ...............52 Anlisis 2 Evaluacin De Riesgos Basados En Los Objetivos Estratgicos.........................................55 Anlisis 3 Relacin Existente Entre Los Controles Que Mitigan Los Riesgos Estratgicos Con Los Procesos ......................................................................................................................................................58 Anlisis 4 Nivel De Eficacia De Sus Procesos Para Administra Los Riesgos Y Objetivos Estratgicos ........................................................................................................................................................59
2

PRESENTACION

PRESENTACION Los Consejos para la prctica, implementacin y fortalecimiento de la Administracin de Riesgos est dirigido a todos aquellos con responsabilidades gerenciales, que han asumido el compromiso de agregar valor en las empresas del grupo a travs de buenas prcticas de gobierno que incluye entre otros, un proceso integral de Administracin de Riesgos. En cuanto a su contenido, comprende los principios bsicos, procedimientos y herramientas que en general integran las 6 etapas o actividades clave del proceso de administracin de riesgos operativos y estratgicos. Esperamos que esta gua prctica pueda aportar mejoras a sus procesos de gestin, riesgo, control y gobierno para el logro de los objetivos.

PRESENTACION

OBJETIVOS Promover el modelo gerencial de buen gobierno y autocontrol a travs de la Administracin de Riesgos. Dar a conocer los principios, procedimientos y herramientas necesarias para obtener una visin global e integrada de los riesgos y oportunidades que tienen potencial de destruir o aumentar el valor. Promover el establecimiento de una estrategia que guarde equilibrio entre los objetivos de crecimiento, rentabilidad y los riesgos asociados, mediante: - Visualizacin de los riesgos de la industria desde un contexto interno y externo. - El alineamiento del riesgo aceptado y la estrategia. - La mejora de las decisiones de respuesta a los riesgos. - La reduccin de las sorpresas y prdidas operativas. - La identificacin y gestin de la diversidad de riesgos para toda la Entidad1 y, - El aprovechamiento de las oportunidades.

Para facilitar el contenido, se utilizar el concepto de entidad, para hacer referencia a la Unidad de Negocio, rea o departamento que ser objeto de un proceso de administracin de riesgos.
1

PRESENTACION

SOBRE LA ADMINISTRACION DE RIESGOS La administracin de riesgos, es el conjunto de acciones llevadas a cabo en forma estructurada e integral, que permite a las organizaciones identificar y evaluar los eventos que pueden afectar el cumplimiento de sus objetivos, con el fin de emprender en forma efectiva las medidas necesarias para responder ante ellos, desde una perspectiva preventiva. Cualquier actividad que el ser humano realice est expuesta a riesgos de diversa ndole, basando generalmente nuestras decisiones diarias en los riesgos u oportunidades que percibamos, desde cambiar nuestra ruta al trabajo para evitar el trfico (riesgo) o por haber encontrado un atajo que nos ahorre tiempo y combustible (oportunidad), administramos riesgos para obtener el mayor beneficio posible o bien evitar alguna situacin negativa.

Esta conciencia sobre el riesgo, vista como un medio para asegurar de mejor manera la sostenibilidad del negocio, la eficacia de sus recursos y la consolidacin de sus procesos, estructuras y sistemas; ha causado un importante cambio de visin en cuanto a la administracin del riesgo.

En los ltimos aos, la tendencia internacional migra de un enfoque tradicional basado en la deteccin y reaccin de riesgos financieros; a un

PRESENTACION

nuevo enfoque, continuo y recurrente, que anticipa y previene los riesgos, bajo un contexto holstico, gil y flexible para lograr la estrategia.

La planeacin que debe llevarse a cabo para lograr este nuevo enfoque, se explicara a partir de la seccin siguiente. .

PLANEACION DE LA ADMINISTRACION DE RIESGOS

PLANEACIN DE LA ADMINISTRACIN DEL RIESGO Como cualquier otro proceso institucional, la administracin del riesgo debe planearse y programarse de manera que forme parte de todo el quehacer de la entidad. Para el diseo de esta planeacin es fundamental tener claridad en la misin institucional, en sus objetivos y tener una visin sistmica de manera que no se perciba la administracin del riesgo como algo aislado, igualmente es necesario dar respuestas a inquietudes comunes en la entidad por ejemplo: Cundo va a empezar a manejarse el tema dentro de la entidad?, Quines van a participar directamente en el proceso?, Cundo van a realizarse las capacitaciones y a quin van a ir dirigidas? y Cmo se va a articular el tema dentro de la planeacin y con los procesos?. Dentro de los aspectos esenciales que deben planificarse y realizarse adecuadamente son los siguientes: 1. Diagnostico de la situacin actual como punto de partida para implementar y/o fortalecer la administracin de riesgos 2. Asegurar el compromiso del alta y media Direccin, conformar el equipo de trabajo y capacitacin en la metodologa como parte de las Directrices Generales. 3. Implementar ntegramente las 6 actividades del procesos de administracin de riesgos

PLANEACION DE LA ADMINISTRACION DE RIESGOS

1. DIAGNOSTICO DE LA SITUACIN ACTUAL Iniciamos nuestros Consejos para la Prctica presentando a continuacin un cuestionario que permite realizar un diagnstico sobre el estado en que se encuentra la entidad, til para tomar conciencia y obtener mayor informacin sobre los aspectos que se deben mejorar para administrar adecuadamente los riesgos.

1. Esta usted listo para administrar el riesgo?

Responda las siguientes preguntas usando escala desde 1 (nunca), 2 (a veces) hasta 3 (siempre). Deje casillas en blanco si no conoce la respuesta: Diagnst ico Crit erios para l a aut o -eval uacin o diagnst ico 1 2 3 Tome en cuenta estos criterios para valorar su situacin actual: La administracin de riesgos es tema de dis1 cusin en nuestros comits de rea y de UN. # 2 Nuestros reportes sobre decisiones importa ntes incluyen los riesgos de cada escenario Administradores asisten a los talleres (tanto 3 internos como conferencias) sobre prcticas de administracin del riesgo. Tenemos una valoracin clara de los riesgos 4 por lo cual la mayora de eventos no nos t oman por sorpresa.

PLANEACION DE LA ADMINISTRACION DE RIESGOS

Cuando una de mis decisiones se torna insa5 tisfactoria, el equipo administrativo trata de aprender de ello. 6 Estoy provisto de las herramientas que nec esito para valorizar el riesgo. Total de puntos Puntaje < 13: Administracin del riesgo no es parte de su entidad actual. Trabaje en la construccin y apreciacin para el manejo del riesgo. Puntaje 13-18: Administracin del riesgo es parte de su entidad, pero se requiere su ayuda para convertirla en una mayor parte de la cultura corporativa de la gerencia. Puntaje >18: Estructura de xito. Revise las reas en que se obtuvo 2 puntos o menos para ver qu medidas debe tomar. 7 14 21

7 Mi jefe respalda la administracin del riesgo.

PLANEACION DE LA ADMINISTRACION DE RIESGOS

Diagnstico de las bases del proceso de administracin de riesgos Considere los siguientes elementos que existen en una adecuada administracin de riesgos. Responda las siguientes preguntas para definir la necesidad de fortalecer la administracin de riesgo, usando escala desde 1 (no/inexistente), (si/satisfactorio). # 1 2 3 4 5 6 7
C ri t e r i o s p a ra l a a u t o - e v a lu a c i n o D i a gn s t i c o D i a gn s t i c o

(insuficiente/requiere

mejoras)

hasta

Propsitos generales claramente definidos, publicados y comprendidos en la Entidad. Objetivos definidos y comunicados. Personal con claro entendimiento de cmo sus objetivos personales se relacionan con los de su rea y el resto de la organizacin. Revisin anual de la relacin entre los objet ivos organizacionales y personales. Lenguaje comn de riesgo Un acuerdo comn, parmetros y responsabilidades claras sobre el manejo del riesgo en la Entidad. Anlisis de riesgos inherentes 2 basados en los siguientes componentes: Riesgos por fuerzas de la naturaleza Riesgos por fuerzas sociales

El riesgo inherente es aquel a que se expondra la organizacin en carencia absoluta de controles.

2

PLANEACION DE LA ADMINISTRACION DE RIESGOS

C ri t e r i o s p a ra l a a u t o - e v a lu a c i n o D i a gn s t i c o

D i a gn s t i c o

9 10 11 12 13 14

Riesgos por fuerzas polticas y legales Riesgos por fuerzas econmicas Riesgos por fuerzas tecnolgicas Riesgos por factores relacionados con los Proveedores Riesgos por factores relacionados con los clientes Riesgos por competidores de la industria Riesgos por nuevos competidores Riesgos por productos sustitutos Identificacin de nuevos riesgos inherentes ante cambios en las funciones y responsabil idades. Identificacin de riesgos inherentes para cada uno los objetivos estratgicos y operativos definidos por la Entidad. Conocimiento de los tres riesgos ms importantes a enfrentar en los prximos 12 meses. Conocimiento de las oportunidades de la Entidad para lograr sus objetivos en los prx imos 12 meses. Conocimiento y experiencia para priorizar y manejar los riesgos. Conocimiento sobre los principales riesgos que administran otras organizaciones. Evaluacin de la efectividad de los controles y el manejo gerencial del riesgo.

PLANEACION DE LA ADMINISTRACION DE RIESGOS

# 15 16 17

C ri t e r i o s p a ra l a a u t o - e v a lu a c i n o D i a gn s t i c o

D i a gn s t i c o

18

19 20

21

22

23

Evaluacin del costo-beneficio de los controles Conocimiento de cunto riesgo se puede tomar en el cumplimiento de objetivos. Revisin rutinaria de la efectividad de la actividad de administracin de riesgos Polticas y procedimientos definidos para reportar los cambios de riesgo, los incidentes y las fallas de control y el desempeo del proceso en general. Entrenamiento en manejo del riesgo estrat gico y operativo. Procesos de comunicacin y reporte debidamente soportados con un adecuado mane jo de riesgo. Receptividad de la Alta Gerencia sobre el desempeo de la gestin de riesgos incluidas las malas noticias. Un cdigo de conducta que gua al personal en las acciones relacionadas para el manejo de riesgos. Monitoreo de la efectividad del manejo de riesgo como parte de una rutina integral del reporte de procesos gerenciales.

PLANEACION DE LA ADMINISTRACION DE RIESGOS

2. DIRECTRICES GENERALES Realizado el diagnstico sobre la situacin actual, conviene en este punto formalizar los siguientes aspectos clave: Compromiso de la alta y media direccin: Para el xito en la implementacin de una adecuada administracin del riesgo, es indispensable el compromiso de la alta gerencia como encargada, en primera instancia, de definir las polticas y en segunda instancia de estimular la cultura de la identificacin y prevencin del riesgo. Para lograrlo es importante la definicin de canales directos de comunicacin y el apoyo a todas las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios. Conformacin de un equipo de trabajo: Es importante conformar un equipo de trabajo que se encargue de liderar el proceso de administracin del riesgo dentro de la entidad y cuente con un canal directo de comunicacin con la alta direccin. Dicho equipo lo deben integrar personas de diferentes reas que conozcan muy bien la entidad y el funcionamiento de los diferentes procesos para que se facilite la administracin del riesgo y la construccin de los mapas de riesgos institucionales.

PLANEACION DE LA ADMINISTRACION DE RIESGOS

Capacitacin en la metodologa: Definido el equipo o equipos de trabajo, debe capacitarse a sus integrantes en la metodologa de la administracin del riesgo, para lo cual se podr contar con el apoyo de estos Consejos para la Prctica y/o personal externo especializado en el tema.

PLANEACION DE LA ADMINISTRACION DE RIESGOS

3. TAREAS O ACTIVIDADES CLAVE DEL PROCESO DE ADMINISTRACION DE RIESGOS Un adecuado proceso de administracin de riesgos est compuesto por un conjunto de 6 tareas o actividades clave que interactan entre s para identificar, documentar, administrar y mantener actualizados los riesgos estratgicos y operativos que debe administrar la Entidad, tal como se muestra en la figura abajo.

Estas actividades clave son las explicaremos a continuacin, agrupando por cada actividad, los Consejos para la Prctica que hemos considerado bsicos para la implementacin y/o fortalecimiento de la Administracin de Riesgos. Utilizamos la etiqueta para ampliar conceptos esenciales del contenido as como pies de pgina que aseguraran la comprensin inmediata de la metodologa propuesta.

DEFINIR TRATAMIENTO DE RIESGO

ACTIVIDAD 1 - DEFINIR EL CONTEXTO Qu es? Es evaluar con claridad la posicin actual de la Entidadfrente al entorno externo e interno de la industria y exponer con exactitud los objetivos estrategicos y operativos a los que dar soporte la Administracin de Riesgos para el cumplimiento de los mismos. Para qu sirve? Facilita la asignacin de recursos en la administracin exclusiva de los riesgos clave4 del negocio, frente a un universo de riesgos potenciales que por su relevancia y/o costo/beneficio la Direccin decide descartarlos. Cosas para hacer Es estrictamente necesario satisfacer los siguientes pasos: 1. Elabore o documente su plan estratgico.

16

Permite asegurar el alineamiento de la misin, visin, objetivos estratgicos y metas de la Entidad. Saber responder Quines somos? Por qu existimos? y Hacia dnde vamos? Le asegura mayor eficiencia y eficacia a la administracin de riesgos.

Ver ms sobre el anlisis del entorno en Consideraciones especiales para la evaluacin de riesgos estratgicos Pg. 49.
3

En administracin de riesgos, los riesgos clave son los que hace referencia a aquellos que la entidad est obligada a administrar para asegurar los objetivos estratgicos y operativos.
4

DEFINIR EL CONTEXTO

Actividad 1 de 6

2. Identifique las partes interesadas (stakeholders) que son afectadas o pueden afectar las actividades de la Entidad.

Le permite analizar los objetivos especficos que convergen entre los accionistas, acreedores, proveedores, clientes, empleados, gobierno con la Entidad. Posteriormente se evalan los riesgos que deben administrarse para lograr los objetivos entre los stakeholders.

3. Defina la tolerancia al riesgo de los objetivos estratgicos y operativos.

Permite determinar los niveles aceptables de variacin entre la meta planeada y la realidad y tomar decisiones sobre cunto invertir para lograr los resultados deseados. Por ejemplo: Fijar una meta de 95% de calidad, con tolerancia de 90%. Si sus informes indican 91% de calidad, tericamente no necesitara hacer mayores inversiones en administrar los riesgos del proceso de calidad. Fijar un objetivo del 98% de puntualidad para sus entregas, con una desviacin aceptable entre el 97% y el 100%, pero al medir resulta una puntualidad de 90%, la Entidad deber en esas instancias invertir recursos para alcanzar la meta de 98%. Esperar que el personal responda a todos los reclamos de los clientes en un plazo de 24 horas, aunque acepta que hasta un 25% de ellas se atiendan entre 24 y 36 horas.

DEFINIR EL CONTEXTO

Actividad 1 de 6

Representado en una tabla, el ejercicio de alinear objetivos con la tolerancia al riesgo sera bajo el siguiente ejemplo:

Tabla vinculacin de la misin con los objetivos y tolerancia al riesgo Misin Somos el fabricante lder de productos de calidad para el hogar en las regiones en las que operamos.

Objetivo Estratgi- Estar en el cuartil superior de ventas de producco to a nuestros minoristas. Otros objetivos re- Reclutar 180 nuevos empleados cualificados en lacionados el conjunto de todas las divisiones de fabricacin, con el fin de responder a la demanda de nuestros clientes sin sobrecargar la planilla. Unidad de medi- Nmero de nuevos empleados cualificados da de los objetivos contratados. Tolerancia +/-) (en 160 - 200 nuevos empleados cualificados.

4. Identifique los procesos clave y documntelos con diagramas de flujo y/o narrativas. Para poder identificar sus procesos clave pregntese y analice Cmo hace la Entidad para que sus productos o servicios permitan lograr las metas planteadas?

Los diagramas de flujo sirven como herramienta para el anlisis de flujo de procesos, una tcnica sencilla para la identificacin de eventos que veremos posteriormente.

DEFINIR EL CONTEXTO

Actividad 1 de 6

Los pasos formales para la construccin de Diagramas de Flujo incluye: Paso 1: Establecer quienes deben participar en la construccin del Diagrama. Paso 2: Preparar la logstica de la sesin. Paso 3: Establecer el objetivo de los diagramas de flujo y resultado esperado de la sesin de trabajo. Paso 4: Definir el alcance de cada proceso clave. Paso 5: Esquematizar la secuencia lgica lo ms cercano posible a la realidad, utilizando la simbologa adecuado, tomando en cuenta el siguiente cuestionario bsico para la elaboracin de diagramas:

Qu es lo primero que ocurre? Qu es lo siguiente que ocurre? Qu es lo ltimo que ocurre? De dnde viene el (Servicio, Material)? Cmo llega al proceso? Quin toma las decisiones? Qu pasa si la decisin es S? Qu pasa si es No? A dnde va el producto de esta operacin? Qu revisiones / verificaciones se realizan en el producto en cada parte del proceso? Qu pasa si la revisin / verificacin no cumple con los requisitos?

DEFINIR EL CONTEXTO

Actividad 1 de 6

Paso 6: Revisar el diagrama, verificando que sea una representacin grfica del proceso apegada a la realidad con el nivel de detalle de informacin necesaria para tener una comprensin precisa del proceso flujogramado. 5. Documente los objetivos de control de cada uno de sus procesos de negocio.

Los objetivos de control, son declaraciones del resultado deseado o del propsito a ser alcanzado implementando procedimientos de control en una actividad particular. Por ejemplo, en el proceso de Inventario algunos objetivos de control comunes son: Rotar el inventario por antigedad del mismo. Asegurarse del registro de los consumos de inventario. Asegurar que todo el inventario obsoleto o de lento movimiento son identificados y propiamente valuados.

DEFINIR TRATAMIENTO DE RIESGO

ACTIVIDAD 2 - IDENTIFICAR Y DOCUMENTAR RIESGOS Qu es? Es la identificacin de incidentes o acontecimientos que pueden afectar la implantacin de la estrategia o la consecucin de los objetivos. Para qu sirve? El uso de herramientas o mtodos formales de identificacin de eventos, ayuda a la Direccin a tener plena conciencia sobre los riesgos de la organizacin, reduciendo lo que sera una especie de ceguera organizacional. Cosas para hacer 1. Efecte un anlisis de flujo de procesos en un taller de trabajo:

21

Recorriendo cada paso representado en los diagramas de flujo, visualice mltiples escenarios y pregntese: Qu puede salir mal? Para afectar los objetivos de control definidos en la etapa anterior. Cmo puede suceder? Quin puede generarlo? Por qu se puede presentar? Cundo puede ocurrir? En funcin a stas preguntas, documente su anlisis de lo que puede salir mal en una lista de eventos.

IDENTIFICAR Y DOCUMENTAR RIESGOS

Actividad 2 de 6

2. Refuerce el anlisis de flujo efectuando una inspeccin al proceso. Los pasos necesarios para realizar una inspeccin de procesos son: 1. Realice un recorrido general estableciendo contacto con las instalaciones y operaciones realizadas. 2. Compruebe en forma fsica la manera como se llevan a cabo las actividades, el estado de los equipos, instalaciones, filtros o controles y la manera de prestar los servicios ofrecidos. 3. Recoja informacin adicional entrevistando al personal, utilice entre otras, las siguientes preguntas: a. Procesos que en su opinin deberan ser evaluados y reformados? b. Actividades que le ocasionan gran esfuerzo y mayores recursos humanos? c. Aspectos que le impiden lograr sus tareas u objetivos diarios? 4. Realizar una reunin con el responsable del sitio o del proceso analizado para aclarar o precisar detalles adicionales y establecer finalmente la lista de eventos identificados.

IDENTIFICAR Y DOCUMENTAR RIESGOS

Actividad 2 de 6

5. Concluya el proceso de identificacin de eventos, haciendo un anlisis de los factores externos e internos5 que pueden afectar a la organizacin. Para mayor comprensin vase Pg. 49, Consideraciones Especiales para la Evaluacin de Riesgos Estratgicos para obtener ms informacin sobre este paso. 6. Documente la informacin recopilada en la siguiente seccin de la matriz de evaluacin de riesgos - control:
UNIDAD CORPORATIVA DE CONTROL DE GESTION FORMATO MATRIZ DE EVALUACION DE RIESGO - CONTROL Riesgo / Impacto Causa Descripcin del riesgo Tipo de riesgo

Para preparar la matriz anterior tome en cuenta las siguientes consideraciones: 1. En la columna Riesgo/Impacto, se conceptualizan los eventos identificados anteriormente, describiendo el incidente o acontecimiento que afectara el cumplimiento de los objetivos. 2. La causa, es el motivo, la vulnerabilidad o circunstancia por las cuales se considera que un evento puede ocurrir. Qu es lo que falta?
Este paso se realiza despus de haber hecho el anlisis de flujo de procesos y la inspeccin a fin de tener un conocimiento profundo de los procesos del negocio.
5

IDENTIFICAR Y DOCUMENTAR RIESGOS

Actividad 2 de 6

Qu es lo que falla? Qu excesos existen? Por ejemplo, Qu es lo que falla en una Entidad para que ocurra el riesgo de fraude?: a. b. c. d. e. f. Falta de polticas de seleccin de proveedores. Falta de normas para el proceso de compras. Exceso de poder. Ausencia del perfil del cargo de Jefe de compras. Fallas en la seleccin del Jefe de compras. Ausencia de procedimientos de validacin y verificacin de los productos o servicios comprados.

3. La descripcin del riesgo le permite ampliar la perspectiva bajo la cual ciertos eventos se consideran riesgos, facilitando la comprensin de cmo estos pueden suceder. A mayor comprensin del riesgo, mayor seguridad de que se implementen y ejecuten las actividades de control por parte del personal. En la prctica, muchos riesgos llegan a ocurrir por desestimar que estos pudieran materializarse al no comprender la vulnerabilidad y su impacto. 4. Tipificar el riesgo, es clasificarlo de acuerdo a sus consecuencias estratgicas y operativas, las cuales suelen ser de tipo 1) financiero 2) laboral 3) operativo 4) medio ambiental 5) de imagen y 6) de mercado. Estas clasificaciones permiten obtener con un enfoque de

IDENTIFICAR Y DOCUMENTAR RIESGOS

Actividad 2 de 6

administracin de riesgos, una referencia rpida de las debilidades y fortalezas de la Entidad. A estos 6 elementos, se les llama sistemas de referencia por ser donde se observa la repercusin de un riesgo. Mtodos alternativos para la identificacin de riesgos Existen otros mtodos que al combinarlos, aportan informacin importante que puede servir en la tarea de identificacin.

Lista de chequeo de las plizas de seguro

Cosas para hacer 1. Consulte en las compaas aseguradoras o libros publicados sobre seguros Los catlogos de los diferentes riesgos que pueden cubrir las plizas de seguros proporcionan un amplio panorama de anlisis, aunque generalmente excluyen los no asegurables, pone en la conciencia de la organizacin riesgos como los del cuadro a continuacin. Cuadro 2. Lista de chequeo de las plizas de seguro (tomado de Mapfre) Grupo Riesgos de la naturaleza Riesgos tecnolgicos Riesgo Terremoto, lluvia torrencial, cada de rayo, inundacin, ola de calor o fro, sequa, moho, hongos, etc. Incendio, explosin, humo, polvo, derrame de productos qumicos, escape de gases y vapores, contaminacin sbita, avera mecnica o elctrica de maquinaria, corte sbito de energa elctrica, desmoronamiento de mate-

IDENTIFICAR Y DOCUMENTAR RIESGOS

Actividad 2 de 6

rial apilado, obsolescencia de equipo. Riesgos de transporte Riesgos polticos-sociales Averas de medios de transporte, colisin, prdida o deterioro de mercanca, errores de conduccin. Guerra civil, acto blico, levantamiento militar o civil, revolucin, motn, huelga legal, confiscacin, etc.

Terrorismo, sabotaje, huelga ilegal, acto vandlico, piromana, asesinato, atentado, secuestro, robo, hurto, Riesgos antisodesaparicin misteriosa, mermas, infidelidad de emciales pleados, falsificacin, desfalco, fraude, intrusin y espionaje industrial Riesgos indirec- Daos a bienes arrendados a terceros, o bajo dominio tos de terceros o bajo su responsabilidad civil. Demolicin necesaria de partes ilesas, prdida de uso, Riesgos conseprdida de personal clave, gastos financieros extraordicuenciales narios. Dao a edificio o local arrendado, dao a bien de terceros en: depsito, proceso de transformacin, mezcla o Responsabilidad ensamble, incumplimiento de contrato, difamacin, cacivil empresarial lumnia, piratera industrial o comercial, competencia desleal. Incumplimiento de normas de higiene, de seguridad, de Responsabilidad convenio colectivo, de contrato individual, daos a biecivil patronal nes de empleados, etc. Error tcnico, de diseo o clculo, error administrativo, Responsabilidad abandono de funciones profesionales, negligencia, dolo civil profesional de personal directivo. Responsabilidad Contaminacin gradual del ambiente, contaminacin civil ecolgica sbita o accidental, delito ecolgico.

IDENTIFICAR Y DOCUMENTAR RIESGOS

Actividad 2 de 6

Riesgos personales Riesgos financieros

Muerte por accidente laboral, muerte por accidente no laboral, invalidez permanente, incapacidad profesional, incapacidad laboral transitoria, secuestro, asesinato, atentado. Riesgo de crdito, riesgo de inversin en el exterior, riesgo de caucin, riesgo de cambio.

Anlisis de estados financieros y otra informacin de la empresa

Cosas para hacer 1. Analice los indicadores financieros, tales como rentabilidad, liquidez, nivel de endeudamiento, rotacin de inventarios o de cartera. 2. Efecte anlisis comparativos de las cifras del balance y el estado de resultado, entre aos y entre rubros. Adicionalmente analice las cifras ms representativas de los activos, los pasivos, el patrimonio, los ingresos y los gastos. i. Esta herramienta indiscutiblemente requiere de un conocimiento amplio de los aspectos financieros, contables y del funcionamiento de la empresa. El anlisis puede ampliarse con entrevistas a los responsables de las cuentas o centros de costos.

IDENTIFICAR Y DOCUMENTAR RIESGOS

Actividad 2 de 6

El anlisis de informacin adicional de la empresa incluye el estudio de documentos que pueden ayudar a identificar sus riesgos, si se revisan con cuidado y con mirada amplia y creativa. Documentos tales como organigramas, informe anual de actividades, contratos, informes de auditoras o de entidades de vigilancia, planes de desarrollo, manuales de operacin, folletos, publicidad de la empresa, registros de siniestralidad, informes de sugerencias, quejas y reclamos, etc.

DEFINIR TRATAMIENTO DE RIESGO

ACTIVIDAD 3 - ANALIZAR Y EVALUAR NIVELES DE RIESGO

Qu es? Consiste en cuantificar, mediante mtodos cualitativos y cuantitativos dependiendo de la importancia o disponibilidad de la informacin- que tan probable es que un riesgo ocurra y que impacto tendra en los objetivos de la organizacin. En este punto, se evala el listado de eventos/riesgos identificados y documentados en la seccin anterior. Para qu sirve? Permite tomar decisiones sobre la forma en que la Entidad administra los riesgos de negocio. Una organizacin no puede dedicar toda su atencin (y su dinero) en administrar y mitigar el universo de riesgos sin importar su probabilidad e impacto. Mediante un proceso formal de anlisis y evaluacin se definen prioridades y el tipo de respuesta6. Cosas para hacer 1. Efecte una encuesta al personal para que d una valoracin de los riesgos identificados. Los pasos formales para efectuar un anlisis y evaluacin del nivel de riesgo basado en el criterio o juicio profesional de las personas, empleados o grupos de inters son:
29

6En

materia de administracin de riesgos, la respuesta a los riesgos son: Evitar, Reducir, Compartir y Aceptar. Vase ms en el proceso 4 Definir tratamiento de riesgo en Pg. 37

ANALIZAR Y EVALUAR NIVELES DE RIESGO

Actividad 3 de 6

Defina los criterios cualitativos de medicin tanto para la probabilidad de ocurrencia como para el impacto. Prepare estos criterios en escalas descriptivas como los ejemplos de abajo. Estas escalas y la forma en que se interpretar cada una de ellas debe ser consensuada con el equipo y de preferencia ser aprobadas por la Direccin

Vace su listado de riesgos identificados anteriormente en un formato encuesta como el ejemplo y solictele al personal involucrado a que le asigne la calificacin que considere ms apropiada, sobre la probabilidad de ocurrencia de sus riesgos clave:

EMPRESA XYZ PROCESO DE EVALUACION DE RIESGOS CALIFICACION DE LA PROBABILIDAD DE OCURRENCIA DE RIESGOS CLAVE PROCESO: # 1 2 Riesgo Calificacin 1 2 3 4 5

Accidente laboral Fallas de software

Clave 1 2 3 4 5

Calificacin Extremadamente Improbable Improbable Posible Probable Casi Segura

ANALIZAR Y EVALUAR NIVELES DE RIESGO

Actividad 3 de 6

De la misma forma, solictele al personal involucrado a que le asigne la calificacin que considere ms apropiada para determinar el impacto de ocurrencia de sus riesgos clave:

EMPRESA XYZ PROCESO DE EVALUACION DE RIESGOS CALIFICACION DEL IMPACTO TIPO DE RIESGO: DE IMAGEN (*) PROCESO ABC.

#
1 2

Riesgo

Calificacin 1 2 5 10 20

Accidente Laboral Fallas de software

Clave 1 2 5 10 20

Calificacin Insignificante Menor Moderado Grave Catastrfico

Notas: (*) Se debe realizar una encuesta por cada tipo de riesgos, para calificar el impacto de cada uno de ellos en: Lo Financiero, Laboral, Ambiental, Operativo y de Mercado.

ANALIZAR Y EVALUAR NIVELES DE RIESGO

Actividad 3 de 6

Con la informacin anterior completamos nuestra Matriz de Evaluacin de Riesgo - Control.

Riesgo / Impacto Causa

Descripcin del Riesgo

Tipo de Riesgo Contina

Probabilidad Se utiliza escalas principalmente cualitativas: - 5 (Casi segura) - 4 (Probable) - 3 (Posible) - 2 (Improbable) - 1 (Extremadamente Improbable)

Severidad del Impacto La escala ms comn: - 20 (Catastrfico) - 10 (Grave) - 5 (Moderado) - 2 (Menor) - 1 (Insignificante)

Impacto en Lps.

Mapas de Riesgo Los riesgos evaluados por lo general se grafican en un mapa de riesgos, los cuales mediante escala de colores dan una visualizacin rpida sobre la criticidad de los riesgos inherentes,7 residuales8y tratados9 a los cuales se enfrenta la Entidad.
7

El riesgo inherente es aquel a que se expondra la organizacin en carencia absoluta de controles. El riesgo residual es el que enfrenta la organizacin como consecuencia del efecto mitigante de sus controles actualmente vigentes.
8

El riesgo tratado es el que subsistir despus de haber incorporado nuevos controles y optimizado los actualmente vigentes.
9

ANALIZAR Y EVALUAR NIVELES DE RIESGO

Actividad 3 de 6

Para la elaboracin de los mapas de riesgos, en funcin a las calificaciones obtenidas en el paso anterior, resta nicamente ubicar los riesgos en las zonas que corresponden a la calificacin obtenida.
Cd. A1 A2 Evento Accidente laboral Fallas de Software Probabilidad 3 1 Impacto 5 10

Empresa XYZ Mapa de riesgos Financieros*

*En la prctica conviene construir un mapa de riesgos por cada sistema de referencia sobre el cual se hizo la evaluacin de riesgos, de manera que un riesgo con una gravedad insignificante en las finanzas puede tener un impacto grave en el medio ambiente. Ejemplos de escalas cualitativas de probabilidad e impacto

ANALIZAR Y EVALUAR NIVELES DE RIESGO

Actividad 3 de 6

ESCALAS DE PROBABILIDAD

ANALIZAR Y EVALUAR NIVELES DE RIESGO

Actividad 3 de 6

ESCALAS DE IMPACTO

ANALIZAR Y EVALUAR NIVELES DE RIESGO

Actividad 3 de 6

DEFINIR TRATAMIENTO DE RIESGO

ACTIVIDAD 4 - DEFINIR TRATAMIENTO DE RIESGO Qu es? Es determinar cmo la Direccin va a responder a cada uno de los riesgos evaluados. Las opciones en administracin de riesgos son: evitar, reducir, compartir y aceptar el riesgo. En esta etapa se definen adems las actividades de control para evitar, reducir o compartir los riesgos as como los criterios para aceptarlos. En este proceso se evalan y/o disean las medidas que tomar la direccin para mejorar la gestin de riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidas. Para qu sirve? Es fundamental para un adecuado sistema de administracin de riesgos. Una decisin errnea puede dejar a la Entidad expuesta a riesgos clave o agravar el costo operativo por evaluar errneamente el costo/beneficio de las respuestas seleccionadas. Cosas para hacer 1. Determine la respuesta a los riesgos, tomando en cuenta lo siguiente: El efecto que pueda tener las posibles respuestas sobre la probabilidad y el impacto del riesgo. Los costes y beneficios de las respuestas potenciales. Las posibles oportunidades para alcanzar los objetivos de la entidad.

37

DEFINIR TRATAMIENTO DE RIESGO

Actividad 4 de 6

2. Establezca polticas y procedimientos para asegurar que las respuestas a los riesgos son ejecutadas efectivamente. Las polticas y procedimientos proveen un marco normativo a las respuestas al riesgo que se definen en esta etapa. Por su criticidad y los recursos que se comprometen segn la respuesta al riesgo que se defina, tres aspectos importantes deben considerarse: i. Proveer las instrucciones precisas sobre como la Direccin prev evitar, reducir, compartir o aceptar el riesgo. ii. Proveer los recursos para reducir o compartir riesgos. iii. Dejar canales de comunicacin abiertos en caso se identifiquen oportunidades de mejora en las polticas o procedimientos que dan respuesta a los riesgos. La Entidad debe preguntarse continuamente si hay modos ms eficientes o eficaces, o s es equivocada el tipo de respuesta actual. Las 4 posibles respuestas al riesgo se basan en los conceptos siguientes: Evitar Supone salir de las actividades que generan riesgos. Prescindir de una unidad de negocio, lnea de producto o segmento geogrfico. No emprender nuevas iniciativas/actividades que podran dar lugar a riesgos.

DEFINIR TRATAMIENTO DE RIESGO

Actividad 4 de 6

Reducir Implica llevar a cabo acciones para reducir la probabilidad o el impacto del riesgo o ambos conceptos a la vez. Diversificar las ofertas de productos. Establecer lmites operativos. Establecer procesos de negocio eficaces. Aumentar la implicacin de la direccin en la toma de decisiones y el seguimiento. Reasignar el capital entre las unidades operativas. Compartir La probabilidad o el impacto se reducen trasladando o, de otro modo, compartiendo una parte del riesgo. Adoptar seguros contra prdidas inesperadas significativas. Entrar en una sociedad de capital de riesgo/sociedad compartida. Establecer acuerdos con otras empresas. Utilizar instrumentos del mercado de capital a largo plazo. Acuerdos con clientes, proveedores u otros socios de negocio. Aceptar No se emprende ninguna accin que afecte la probabilidad o impacto Provisionar las posibles prdidas. Se desestima la adquisicin de nuevos sistemas de informacin. No se producen esfuerzos por afectar el status quo. Los procesos no sufren cambio alguno.

DEFINIR TRATAMIENTO DE RIESGO

Actividad 4 de 6

3. Evale los controles que estn funcionando actualmente. Tmele una fotografa a la situacin actual. Rena a su equipo y dems personal que tenga conocimiento sobre su rea. Examine cada objetivo de control, los riesgos relacionados y pregntense Qu actividades permiten detectar y/o reducir los riesgos para lograr los objetivos? Determine qu tipo de controles son con los que cuenta actualmente, en cuanto a si es preventivo, detectivo, de proteccin o correctivo, as como la eficacia que a juicio del equipo tiene cada control para mitigar los riesgos. 4. Defina los controles que le den una cobertura razonable a los riesgos. Considere cual sera la situacin deseada, lo que debera existir en contraposicin a la situacin actual. Se requiere mucho juicio estimar hasta donde es necesario definir controles para mitigar los riesgos, bsicamente es hasta donde la administracin pueda tener confianza, transparencia y competitividad de las operaciones del negocio. Se requiere conocer perfectamente los tipos de controles, para aplicar algunas frmulas o criterios utilizados en la prctica, tales como:

DEFINIR TRATAMIENTO DE RIESGO

Actividad 4 de 6

i. Disear objetivos preventivos, si el riesgo residual contina siendo crtico, formule entonces controles detectivos, luego de ser necesario los controles de proteccin y los correctivos. ii. De preferencia, los controles deben ser automatizados antes que manuales ya que los primeros gozan de un mayor nivel de seguridad. iii. Equilibre los controles a nivel de entidad con los controles detallados a nivel de transaccin. Los primeros suelen consumir menos recursos, son menos costosos que los diseados a nivel de transaccin. 5. Analice la efectividad de los controles Una vez definidos los controles actuales y los que decidi implementar, se calcula su efectividad, es decir, se establece su contribucin a la disminucin del riesgo (eficacia) con un uso adecuado de los recursos (eficiencia). Este paso en la prctica puede ejecutarse en forma paralela o an antes del paso Definicin de controles anterior. Para establecer la efectividad de los controles propuestos se utiliza el cuadro siguiente, el cual se estructura con tres niveles de eficacia de los controles: baja, media y alta, al igual que tres niveles para la eficiencia.

DEFINIR TRATAMIENTO DE RIESGO

Actividad 4 de 6

Efectividad de los controles Eficacia Alta Media Baja Media Baja Muy Baja Baja Alta Media Baja Media Eficiencia La efectividad de los controles se determina calificando la eficiencia y la eficacia en forma cualitativa, de la siguiente manera: si un control tiene una eficiencia baja y una eficacia baja, la efectividad es muy baja, tal como figura en la celda de interseccin entre la calificacin de la eficiencia y la eficacia; si por el contrario, la eficiencia es alta y la eficacia tambin, su efectividad es muy alta. Cabe mencionar que la eficacia es en referencia a la capacidad del control para reducir la probabilidad de ocurrencia o frecuencia del riesgo as como su impacto. La eficiencia hace referencia al costo del control en relacin a la envergadura del riesgo que mitiga. La eficiencia y eficacia de un control se valora de acuerdo a la percepcin de valor que tenga sobre el mismo los evaluadores de control en esta fase Muy alta Alta Media Alta

DEFINIR TRATAMIENTO DE RIESGO

ACTIVIDAD 5 - ADMINISTRAR Y COMUNICAR INCIDENTES

Qu es? Es un proceso mediante el cual, al presentarse eventos de prdida, estos son administrados a travs de un proceso que asegure que: Son registrados en estadsticas de incidentes de manera oportuna y fidedigna, Generan una respuesta en cuanto a posibles acciones contingentes, Son analizados para retroalimentar las estimaciones de probabilidad e impacto de los riesgos y Generan inteligencia a la empresa. Para qu sirve? Registrar los incidentes en el proceso de administracin y comunicacin de incidentes, es importante porque es una especie de comprobacin de hiptesis sobre las estimaciones de probabilidad e impacto de los riesgos. Adems el anlisis histrico de eventos permite hacer pronsticos de posibles eventos futuros. Cosas para hacer 1. Consolide los siguientes procesos de administracin y comunicacin de incidentes: 1. Proporcionar y capturar Tiene que ver con la forma en que se genera y capta la informacin, ya sea desde fuentes internas o externas. Se abordan en este
43

ADMINISTRAR Y COMUNICAR INCIDENTES

Actividad 5 de 6

nivel las reglas para captar y registrar la informacin, los mtodos y los criterios de seleccin de los incidentes relevantes. 2. Procesar y analizar Se analiza la informacin para evaluar el riesgo de la informacin, comprobar la hiptesis sobre probabilidad e impacto previsto y modificar proyecciones de riesgo futuros. 3. Informar Se relaciona con la forma de distribuir la informacin a los usuarios finales. Ya sea de manera formal, informal o personalizada mediante escritos o reuniones sobre el proceso de administracin de riesgos y los incidentes registrados. Los incidentes registrados se archivan y mantienen disponibles para futuras evaluaciones de riesgo peridicas.

MONITOREAR

Actividad 6 de 6

ACTIVIDAD 6 MONITOREAR Qu es? Nos proporciona una vigilancia rutinaria del desempeo actual para comparar con el desempeo esperado o requerido. Involucra la investigacin peridica de la situacin actual, la comparacin continua, dinmica y deseablemente automatizada para determinar si la administracin del riesgo est operando eficazmente. Para qu sirve? Informa sobre la efectividad de las estrategias y los sistemas de administracin establecidos para el tratamiento de riesgos. Cosas para hacer 1. Establezca las bases del sistema de monitoreo. Los pasos formales para hacer esto incluye: i. Defina y publique ante toda la Entidad el tono en la organizacin: estndares y principios ticos que guan a la Alta Direccin, sobre los cuales los empleados y dems grupos de inters tendrn confianza sobre las actuaciones y decisiones que tome la Alta Direccin. La forma en que sta exprese sus creencias acerca de la importancia del monitoreo, tiene un impacto directo sobre la eficacia de la administracin del riesgo.

MONITOREAR

Actividad 6 de 6

ii. Integre su sistema de monitoreo a las funciones y responsabilidades de vigilancia a la estructura organizacional responsable de la empresa misma o Unidad de Negocio: Consejo de Administracin, Alta Direccin y Comits Ejecutivos, evite aislar su sistema de administracin de riesgo con el del resto de la Organizacin. iii. Asegrese de tener una comprensin bsica de la eficacia del proceso de administracin de riesgos que ha implementado. Esta comprensin le permite monitorear en tiempo real si: o Los controles se han diseado y aplicado correctamente desde el principio. o Si existe la necesidad de efectuar cambios en alguna parte del sistema de administracin de riesgos y controles operando. o Si el entorno en el cual se han implementado controles ha respondido adecuadamente y se estn logrando los objetivos previstos. 2. Disee y ejecute procedimientos de monitoreo. El monitoreo es un proceso dinmico, que puede ser implementado a travs de los siguientes pasos:

MONITOREAR

Actividad 6 de 6

Paso 1: Priorice los riesgos. De mayor a menor en la medida en que estos son determinantes en la consecucin de los objetivos. Paso 2: Identifique los controles clave. Oriente las funciones de monitoreo de su estructura organizacional en aquellos controles capaces de mitigar los riesgos seleccionados anteriormente. Paso 3: Identifica informacin concluyente. Implica estudiar el tipo de informacin que necesitar para monitorear la eficacia del control interno para gestionar o mitigar los riesgos identificados. Existe dos tipos de informacin concluyente: la informacin directa, proveniente de la observacin de los controles en la operacin o de su propia evaluacin independiente; la indirecta proviene de 1) estadsticas 2) indicadores clave de riesgos 3) indicadores clave de rendimientos 4) indicadores comparativos de la industria. 3. Comunique los resultados Tomando en cuenta la informacin recopilada en la actividad 5 Administracin y Comunicacin de Incidentes que vimos en la pg. 41 y los procedimientos de monitoreo anteriores, se preparan Reportes Internos y Reportes externos.

MONITOREAR

Actividad 6 de 6

Reportes Internos Informes dirigidos a la Direccin y Comits Ejecutivos sobre las deficiencias detectadas y las medidas implementadas para corregir y mejorar el proceso de administracin de riesgos. Reportes Externos Estos reportes son diseados para respaldar las afirmaciones o certificaciones externas, ya que proporcionan informacin concluyente sobre la eficacia del control interno durante un periodo determinado.

ANEXOS

CONSIDERACIONES ESPECIALES PARA LA EVALUACION DE RIESGOS ESTRATEGICOS

EVALUACION DE RIESGOS ESTRATEGICOS

Los riesgos estratgicos son aquellos que destruyen el valor de la empresa por efecto de cambios que ocurren en el entorno pas (poltico, econmico y social), el entorno competitivo de la empresa, la posicin estratgica del producto (tendencias de consumo y tendencias tecnolgicas), la implementacin de proyectos y el vinculo con los principales grupos de inters de la empresa. En el apartado anterior, desde la actividad 1 al 6 se utiliz un enfoque para identificar y evaluar riesgos operacionales, estos se refieren a variables enteramente bajo el dominio de la organizacin, tales como el evitar despachar a clientes en exceso de su lmite de crdito asignado y por tal razn se utiliza un enfoque de anlisis de flujo de procesos. En esta seccin ya con el aprendizaje de haber evaluado riesgos operativos nos centraremos en el riesgo estratgico que se diferencian de los anteriores porque se refieren a variables que la organizacin no domina pero que podemos controlar, entendiendo que hay una diferencia entre dominar y controlar. No podemos evitar que llueva (riesgo estratgico) pero podemos mitigar sus efectos con un paraguas (controles). Para la evaluacin y mitigacin de este tipo de riesgos tome en cuenta lo siguiente:

ANEXOS

Consideraciones para la evaluacin de riesgos estratgicos Utilice el modelo de Estrategia Competitiva de Porter, que aparece graficada ms abajo, para analizar los riesgos desde una perspectiva estratgica. A partir de este modelo se crea la Matriz de Estrategia Competitiva, que permite evaluar los riesgos a partir de sus Componentes estratgicos y de sus Objetivos estratgicos. Considere que entre mejor definido tenga el contexto bajo el cual opera la Entidad, mayor es la probabilidad de administrar precisamente los riesgos clave del negocio sin que estos no se dispersen al infinito. Figura 1 Estrategia competitiva (Porter, Modificada)

P r o v e e d o r e s

Nuevos competidores Competidores de la industria Estrategia Mercados Productos Alianzas Clientes Productos sustitutos C l i e n t e s

ANEXOS

Desarrolle su evaluacin de riesgos estratgicos analizando lo siguiente: 1. Su posicin actual frente a los componentes estratgicos de la figura anterior. 2. Lo que puede salir mal para no lograr sus objetivos estratgicos. 3. La relacin existente entre los controles que mitigan los riesgos estratgicos con los procesos. 4. El nivel de eficacia de sus procesos para administrar los riesgos y objetivos estratgicos. Estos 4 anlisis se efectan con el fin de asegurar la adecuada interrelacin entre riesgos, objetivos, controles y procesos. Considere que los riesgos y objetivos estratgicos se administran por medio de procesos, que se prestan servicios unos a otros; de modo que la falla de un proceso puede generar un efecto cascada e impactar en riesgos y objetivos no directamente ligados a ese proceso. Por ejemplo, fallas en el reclutamiento y capacitacin de vendedores (Proceso de RRHH), genera desatencin de clientes importantes. Por eso, aunque se esfuerce en administrar los riesgos de sus procesos, si desconoce y/o no tiene aseguramiento de que se administran los riesgos de los procesos relacionados, puede menoscabarse el cumplimiento de sus objetivos estratgicos.

ANEXOS

Anlisis 1 Evaluacin de riesgos basados en los componentes estratgicos de Porter Utilizando la experiencia y conocimiento adquirido en la seccin anterior de evaluacin de riesgos operativos, prepare la siguiente matriz desde una perspectiva estratgica considerando los componentes del entorno externo que pueden afectar o reorientar su estrategia al identificar riesgos y oportunidades: Matriz de Evaluacin de Riesgos por Componente Estratgico
Id Componentes Estratgicos Riesgo Estratgico Impacto Inherente Contina Probabilidad inherente Controles estratgicos Reduccin impacto Reduccin Probabilidad

Cosas para hacer Para preparar la matriz anterior haga lo siguiente: 1. Plasme los componentes estratgicos en la primera columna, estos son: a) Fuerzas de la naturaleza b) fuerzas sociales c) fuerzas polticas y legales d) fuerzas econmicas e) fuerzas tecnolgicas f) pro-

ANEXOS

veedores g) clientes h) nuevos competidores i ) competidores de la industria j) productos sustitutos. 2. Contraste los componentes estratgicos contra la posicin actual de la Entidad, cuando encuentre brechas o cosas que pueden salir mal estos eventos se plasman en la columna Riesgo estratgico. 3. Pregntese De cunto dinero sera el impacto si se materializara un riesgo? Calclelo a travs de herramientas financieras o estadsticas y coloque los valores resultantes en la columna impacto inherente10. 4. Pregntese De1 a 100 que probabilidad hay de que ocurra un riesgo? Inicialmente hgalo basado en un juicio de valor por el equipo evaluador y coloque los valores resultantes en la columna probabilidad inherente11, considere que posteriormente el propio proceso de administracin de riesgos generara informacin estadstica para ajustar la probabilidad a valores ms exactos. 5. Identifique las acciones, procesos o actividades que sean capaces de mitigar los riesgos estratgicos identificados y coloque dicha informacin en la columna Controles estratgicos. Los valores de juicio que
El impacto inherente son las prdidas que le acarrea la ocurrencia de un riesgo a la Entidad si no existiera ningn control que reduzca la probabilidad o su impacto.
10

La probabilidad inherente es la frecuencia de ocurrencia de un riesgo si no existiera ningn control que lo prevenga o corrija.
11

ANEXOS

mejoraran su criterio para identificar los controles adecuados son los siguientes: a. Son suficientes? Valorado en cuanto a cantidad; ni tantos que entorpezcan el proceso y causen ineficiencias, demoras o deterioro ni tan pocos que sean insuficientes para actuar adecuadamente. b. Son comprensibles? Valorado en cuanto a la claridad, sencillez y facilidad de interpretacin. Un control complicado crea confusiones, genera equivocaciones y propicia el rechazo que podra conducir a que el empleado en la prctica no lo ejecute. c. Son econmicos? Valorado en cuanto al beneficio que aportan en relacin al costo del mismo. Para que resulten econmicos deben implantarse para los riesgos que realmente lo requieran. d. Son eficaces? Valorado en cuanto a la capacidad de detectar el riesgo y disminuir la probabilidad de ocurrencia o su impacto, para lo cual deben establecerse con un objetivo de control especifico. e. Son eficientes? Valorado en cuanto a la capacidad de ejecutar el control con el mnimo de recursos posibles, la valoracin

ANEXOS

incluye considerar el nmero de personal requerido, tiempo, dinero, infraestructura, etc. f. Son oportunos? Valorado en cuanto al momento en que debe actuar un control frente a los riesgos que mitiga; controles ejecutados mensualmente frente a riesgos que pueden materializarse a diario evidentemente se considerara inoportuno. g. Estn inmersos en los procesos? Valorado en cuanto a la garanta de que los mismos se ejecutan en la rutina y periodicidad misma en que ejecutan las actividades las personas o sistemas. 6. Finalmente haga la valoracin de la reduccin del impacto y la reduccin de la probabilidad, el cual ser un valor de 1 a 99 que determina cunto es la probabilidad de ocurrencia y su impacto despus de implementados los controles estratgicos. Haga su valoracin con su equipo de trabajo, considere que los riesgos no pueden ser mitigados en un 100%. Anlisis 2 Evaluacin de riesgos basados en los objetivos estratgicos El segundo anlisis de riesgos despus de evaluar el entorno para identificar riesgos y oportunidades, que en la prctica hacen que los objetivos de su planeamiento estratgico se reafirmen o reajusten, consiste en analizar-

ANEXOS

los riesgos estratgicos12 y operativos de los objetivos estratgicos13 haciendo uso de la siguiente matriz:
Id Objetivos estratgicos Riesgos Estratgicos Impacto Inherente Contina Riegos Operacionales de Probabilidad Objetivos Estratgicos inherente Controles Aplicables Reduccin impacto Reduccin Probabilidad

Cosas para hacer Para preparar la matriz anterior haga lo siguiente: 1. Plasme sus objetivos estratgicos en la primera columna, estos provienen de su planeacin estratgica y en los mejores casos de las 4 perspectivas del Balance Scorecard: a) Aprendizaje y Conocimiento b) procesos c) clientes f) financiera. 2. Pregntese De cunto dinero sera el impacto si se materializara un riesgo? Calclelo a travs de herramientas financieras o estadsticas

Recuerde que los riesgos estratgicos se diferencian porque son eventos externos que afectan la estrategia, que prcticamente no pueden evitarse pero si controlarse.
12

Riesgos que ocurren por eventos internos de la Entidad y que tienen un efecto en cascada hasta afectar la estrategia misma.
13

ANEXOS

considerando periodos anteriores o presupuestos del periodo actual y coloque los valores resultantes en la columna impacto inherente14. 3. Identifique eventos que pueden ocurrir en el entorno y analice si estos pueden afectar los objetivos estratgicos definidos, coloque los eventos que se produciran en la columna Riesgo estratgico de objetivos. 4. Identifique eventos que pueden ocurrir a lo interno de la Entidad, por fallas en los procesos o controles que administran sus riesgos estratgicos, coloque los eventos que se produciran en la columna Riesgos operacionales de objetivos estratgicos. 5. Pregntese De 1 a 99 que probabilidad hay de que ocurra un riesgo? Inicialmente hgalo basado en un juicio de valor por el equipo evaluador y coloque los valores resultantes en la columna probabilidad inherente15, considere que posteriormente el propio proceso de administracin de riesgos generara informacin estadstica para ajustar la probabilidad a valores ms exactos. 6. Considere el tipo de anlisis descrito en la pg. 51 inciso 5 para identificar los controles que incluir en la columna Controles aplicables
El impacto inherente son las prdidas que le acarrea la ocurrencia de un riesgo a la Entidad si no existiera ningn control que reduzca la probabilidad o su impacto.
14

La probabilidad inherente es la frecuencia de ocurrencia de un riesgo si no existiera ningn control que lo prevenga o corrija.
15

ANEXOS

7. Finalmente haga la valoracin de la reduccin del impacto y la reduccin de la probabilidad, el cual ser un valor de 1 a 100 que determina cunto es la probabilidad de ocurrencia y su impacto despus de implementados los controles estratgicos. Haga su valoracin con su equipo de trabajo, considere que los riesgos no pueden ser mitigados en un 100%. Anlisis 3 Relacin existente entre los controles que mitigan los riesgos estratgicos con los procesos Como se ha mencionado anteriormente, la falta de aseguramiento de que todos los controles estn vinculados con un proceso pueden generarle perdidas a la Entidad. Sucede comnmente cuando un rea X asume que existen ciertos controles en un rea Z, sin embargo, esta rea no tiene contemplada la ejecucin de dicho control dentro de sus procesos. La matriz utilizada para realizar este anlisis es la siguiente:
Id Descripcin del control Cobertura del control Proceso relacionado Evaluacin de controles

Cosas para hacer Para preparar la matriz anterior haga lo siguiente: 1. Enliste en la primera columna los controles identificados hasta el momento.

ANEXOS

2. Pregntese Me ayuda este control a reducir la probabilidad y/o impacto de mis riesgos? Recuerde tener en claro estos dos conceptos. La respuesta consgnela en la columna Cobertura del control. 3. Consigne en la columna Proceso relacionado, los procesos en los cuales se implementaron o identificaron dichos controles. El paso clave en este punto es indagar con los dueos de procesos y/o dueos de controles si estos estn realmente presentes y operando. 4. Consigne el nivel de efectividad del control en la columna Evaluacin de controles. Puede obtener mayor informacin sobre cmo hacer esto en el Actividad 4 - Definir tratamiento de riesgos. Anlisis 4 Nivel de eficacia de sus procesos para administra los riesgos y objetivos estratgicos Este anlisis especifico, resulta necesario para poder formarse el criterio necesario para determinar la eficacia de los procesos. Considere lo dicho anteriormente, las fallas en los procesos tienden a tener un impacto en cascada en los objetivos estratgicos.

ANEXOS

La matriz utilizada para realizar este anlisis es la siguiente:

Id Descripcin del Proceso Riesgos del Proceso Controles del Proceso Evaluacin del Proceso

Cosas para hacer Para preparar la matriz anterior haga lo siguiente: 1. Enliste en la primera columna la lista de procesos evaluados. 2. Enliste los riesgos inherentes que ha identificado para cada proceso evaluado. 3. Enliste los controles relacionados con los riesgos y procesos evaluados. 4. Evale la eficacia del proceso, considerando la confianza que a su criterio le brinden los controles para mitigar los riesgos. La valoracin puede ser: satisfactoria, insatisfactoria y deficiente. La valoracin de insatisfactorio significar que usted aun no alcance la confianza adecuada sobre sus procesos, en cuanto existen aspectos del control que podran mejorarse; en cambio, una opinin de deficiente indicar que el proceso no es apto para lograr los objetivos estratgicos a los cuales responde.