Está en la página 1de 82

ADMINISTRACIN DEL RIESGO EN EL CONTEXTO EMPRESARIAL Y DE PROYECTOS

Ing. Mauricio Penagos Acosta AIRM


Consultor en proyectos International Risk Manager
Bogot, D. C Colombia. Octubre de 2011

AGENDA
1. 2. 3. 4. 5. 6. 7. 8. 9. Administracin del riesgo Metodologas y normas para la gestin del riesgo Definicin de riesgo Visin clsica del riesgo Visin estratgica del riesgo Tipos de riesgo Mtodos para identificar riesgos (taller) Valoracin del riesgo Tratamiento del riesgo Tcnicas de control Tcnicas de mitigacin 10. Anlisis del riesgo financiero proyecto de eficiencia energtica 11. Sistema de administracin integral del riesgo 12. Costos de la administracin del riesgo 13. Estndares de administracin del riesgo

La administracin del riesgo es la identificacin, evaluacin y priorizacin del riesgo junto con las gestiones para transformar el riesgo, controlando la probabilidad y mitigando el impacto de los eventos generadores de riesgo.

Una gestin del riesgo eficiente se puede traducir en incalculables beneficios econmicos para la empresa, constituyndose en una herramienta clave para la toma de decisiones. La gestin del riesgo ha pasado a ocupar un importante papel en la empresa moderna, contribuyendo cada vez ms al cumplimiento de los objetivos estratgicos y metas previstas No se concibe una empresa que pretenda avanzar con pasos firmes hacia el xito sin contar con la actividad de gestionar el riesgo bien organizada.

La ISO identifica los siguientes principios de gestin del riesgo:

La gestin del riesgo debe crear valor. Debera ser una parte integrante de los procesos de organizacin. Debe ser parte de la toma de decisiones. Debera abordar explcitamente la incertidumbre. Debe ser sistemtica y estructurada. Debe basarse en la mejor informacin disponible. Debe ser monitoreada. Debe tener en cuenta los factores humanos. Debe ser transparente e inclusiva. Debe ser dinmica, iterativa y de respuesta al cambio. Requiere y propende por la mejora continua.

La mayora de metodologas de gestin del riesgo incluyen como mnimo los siguientes elementos: 1. Identificar, caracterizar y evaluar eventos generadores de riesgo. 2. Evaluar la vulnerabilidad de los activos crticos ante amenazas especficas. 3. Determinar el riesgo: la probabilidad de ocurrencia y la consecuencia de eventos 4. Identificar maneras de evitar, transferir, reducir o asumir los riesgos. 5. Priorizar las acciones basadas en una estrategia de principios y polticas de la gestin del riesgo.

LA METODOLOGA PMI* PARA PROYECTOS PROVEE LOS SIGUIENTES 6 PASOS: 1. PLAN RISK MANAGEMENT 2. INDENTIFY RISK 3. PERFORM QUALITIVE ANALYSIS 4. PERFORM QUANTITATIVE ANALYSIS 5. PLAN RISK RESPONSES 6. MONITOR AND CONTROL RISK RESPONSES
* Project Management Institute, Inc

MODELO DE GESTIN DE RIESGOS NTC 5254


PRINCIPIOS Importancia estratgica de la gestin del riesgo: Es una parte integral del proceso de gestin; es un proceso multifactico realizado por un equipo multidisciplinario; es un proceso interactivo e iterativo de mejora continua. Interactiva porque requiere la participacin de diferentes reas de la empresa y de diferentes disciplinas e iterativa porque se repite en ciclos continuos de retroalimentacin, ya que el riesgo nunca desaparece: se mitiga, se reduce, pero siempre estar presente. Compromiso de la direccin: Debe garantizar que se realice una revisin del SGR a intervalos especificados, para asegurar su continua conveniencia y eficacia para cumplir los requisitos de la norma, la poltica y objetivos de gestin del riesgo establecidos. Es necesario que la direccin defina una poltica y objetivos de la gestin del riesgo y revisar peridicamente su estado en la empresa para tomar las decisiones pertinentes. Flexibilidad en la aplicacin: Se aplica en los niveles: Estratgicos y operacionales y en proyectos especficos. Ayuda en decisiones especficas y a manejar reas de riesgo especficas reconocidas. La aplicacin de esta norma debe ser tan flexible que permita aplicarla en diferentes contextos.

NTC 5254 - CONCEPTOS BSICOS


Riesgo la posibilidad de que suceda algo que tendr impacto en los objetivos. Se mide en trminos de consecuencias y posibilidad de ocurrencia Segn esta norma, el riesgo no es necesariamente una afectacin negativa; puede ser tambin la potenciacin de las capacidades de la empresa para cumplir con sus objetivos. Gestin del Riesgo cultura, procesos y estructuras que se dirigen hacia la gestin eficaz de las oportunidades potenciales y los efectos adversos La GR consiste en identificar los eventos que puedan suceder y que afecten a la empresa en el logro de sus objetivos y posteriormente valorar esa afectacin en trminos de la posibilidad de que el evento ocurra y del impacto y sus consecuencias, tanto para la empresa como para las partes interesadas.

NTC 5254 - ESTRUCTURA DEL MODELO


Planear Anlisis del contexto: interno (debilidades y fortalezas) y externo (oportunidades y amenazas) para la GR Formulacin poltica de GR: Establece orientaciones generales a seguir Identificacin y anlisis del riesgo: Utiliza como criterios de calificacin la posibilidad de ocurrencia del riesgo o de sus causas y el impacto de las consecuencias Acciones de tratamiento del riesgo: Descripcin de la accin y la asignacin de responsables, plazos y recursos Hacer Fase de implementacin: Aplicacin de acciones de tratamiento, en los plazos establecidos en la fase de planificacin Verificar Monitoreo de riesgos, de la eficacia del plan de tratamiento, de las estrategias y del SGR para controlar la implementacin y garantizar que las circunstancias cambiantes no alteren las prioridades del riesgo Actuar En la verificacin surgen ajustes a la poltica de GR, una nueva calificacin y anlisis del riesgo o el planteamiento de nuevas acciones de tratamiento

NTC 5254 - ESTRUCTURA DEL MODELO

Establecer el contexto Comunicacin y Consulta

Identificar los riesgos

Analizar los riesgos

Evaluar los riesgos

Tratar los riesgos

NTC 5254: Gestin del riesgo, Pg. 8

Monitoreo y Revisin

AS/NZ 4360 Figura 4.2 Proceso de Tratamiento de Riesgos (pg. 17)

ISO 31000 - DIRECTRICES


El objetivo es ayudar a empresas de todo tipo y tamao a gestionar sus riesgos con efectividad Proporciona principios, el marco y un proceso destinado a gestionar cualquier tipo de riesgo de manera transparente, sistemtica y creble dentro de cualquier alcance o contexto Recomienda desarrollar, implementar y mejorar en forma continua el marco de gestin de riesgos como un componente del sistema integral de gestin de la organizacin Documento prctico que busca ayudar a las empresas en el desarrollo de su propia estrategia para gestionar sus riesgos No es un estndar certificable
ISO/DIS 31000. Gestin de Riesgos

ISO 31000 - ALCANCE


Aumentar la probabilidad de lograr sus objetivos Fomentar la gestin proactiva Ser conscientes de la necesidad de identificar y tratar el riesgo en toda la organizacin Mejorar la identificacin de las oportunidades y amenazas Cumplir con las exigencias legales, reglamentarias y las normas internacionales Mejorar la informacin financiera Mejorar el gobierno de la organizacin Incrementar la confianza de los grupos de inters Establecer una base fiable para la toma de decisiones y planificacin Mejorar los controles Asignar y utilizar efectivamente los recursos para el tratamiento del riesgo Mejorar la eficacia y la eficiencia operacional Aumentar la seguridad y salud as como la proteccin al medio ambiente Mejorar la prevencin y la gestin de incidentes Minimizar las prdidas Mejorar el aprendizaje y la resilencia de la organizacin
ISO/DIS 31000. Gestin de Riesgos

ISO 31000 PRINCIPIOS DE LA GR


Crea valor en la empresa y lo preserva Esta integrada en los procesos de la empresa Forma parte de la toma de decisiones Trata explcitamente la incertidumbre Es sistemtica, estructurada y oportuna Esta basada en la mejor informacin posible Esta hecha a medida Tiene en cuenta factores humanos y culturales Es transparente e inclusiva Es dinmica, iterativa y sensible al cambio Facilita la mejora continua de la empresa
ISO/DIS 31000. Gestin de Riesgos

ISO 31000 - CONCEPTOS BSICOS


Riesgo: Riesgo: Efecto de la incertidumbre en los objetivos. Gestin del Riesgo: Coordinacin de actividades para dirigir y Riesgo: controlar una organizacin en relacin con el riesgo. Stakeholder: Stakeholder: Persona u organizacin que puede afectar, ser afectada o percibir ser afectada por una decisin o actividad. Resilencia: Resilencia: Capacidad de adaptacin de una organizacin en un entorno complejo y cambiante (resistencia, flexibilidad, etc.)

ISO/DIS 31000. Gestin de Riesgos

ISO 31000 - ESTRUCTURA DEL MODELO


GENERALIDADES El xito de la GR depender de la efectividad de la estructura de gestin que proporcione la base y las disposiciones que permitan su integracin en todos los niveles de la organizacin. Esta estructura no est destinada a prescribir un sistema de gestin, sino ms bien a ayudar a la organizacin a integrar la GR en su sistema de gestin. Las empresas deben adaptar los componentes de esta estructura a sus necesidades.

ISO/DIS 31000. Gestin de Riesgos

ISO 31000 - ESTRUCTURA DEL MODELO


ATRIBUTOS PARA LA MEJORA DE LA GERENCIA DE RIESGOS
Establecimiento de metas de desempeo organizacional, medicin, revisin y posterior modificacin de procesos, sistemas, recursos, capacidad y habilidades Controles y tratamiento del riesgo exhaustivos Toda toma de decisiones dentro de la empresa, cualquiera que sea el nivel de importancia y trascendencia, implica la consideracin explcita de los riesgos y la aplicacin de la GR en la medida adecuada Comunicacin continua con los stakeholder internos y externos, incluida la elaboracin de informes completos y frecuentes del desempeo de la GR como parte del buen gobierno corporativo La efectividad de la GR es esencial para el logro de los objetivos de la organizacin
ISO/DIS 31000. Gestin de Riesgos

ISO 31000 - Componentes de la estructura para la GR


Mandato y Compromiso

Diseo de la estructura para gestionar los riesgos


Comprender

la organizacin y su contexto Establecer la poltica de gestin de riesgos Responsabilidad Integrar los procesos de la organizacin Recursos Establecer mecanismos de comunicacin interna e informacin Establecer mecanismos de comunicacin externa e informacin

Mejora Continua de la Estructura

Implantacin de la gestin de riesgos


Implantacin de la gestin de riesgos

Implantacin del proceso de gestin de riesgos

Seguimiento y revisin de la Estructura


ISO/DIS 31000. Gestin de Riesgos: Principios y lneas directrices. Figura: Componentes de la estructura para la gestin de los riesgos. Pg. 3.

ISO 31000 - Proceso de Gestin del Riesgo


Establecer el contexto

Valoracin de Riesgos Comunicacin y Consulta Monitoreo y Revisin Identificar los riesgos


Dnde, qu, cundo, cmo, porqu

Analizar los riesgos

Matriz de riesgos - Nivel de seguridad actual

Evaluar los riesgos

Resultados Matriz vs criterios Priorizar

Tratar los riesgos

Controlar Probabilidad Mitigar Consecuencia

ISO/DIS 31000. Gestin de Riesgos: Principios y lneas directrices. Figura Proceso de Gestin del Riesgo. Pg. 8.

ISO 27001
MODELO DEL SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN (SGSI)
PRINCIPIOS Importancia de la informacin. El aseguramiento de la informacin y de los sistemas que la procesan es un objetivo de primer nivel para una empresa ya que la informacin es un activo vital para el xito y la continuidad en el mercado de la misma. Enfoque de sistemas. Una empresa debe implantar un SGSI de forma metdica, documentada y basada en unos objetivos claros de seguridad y en evaluacin del riesgo a que est sometida su informacin.

CONCEPTOS BSICOS Confidencialidad: Asegurar que la informacin es accesible solo a las personas que estn autorizadas para tener acceso. Integridad: Salvaguarda de la precisin y totalidad de la informacin y los mtodos de procesamiento Disponibilidad: Asegurar que los usuarios autorizados tienen acceso a la informacin y a los activos asociados.

ISO 27001 - ESTRUCTURA DEL MODELO


Planear. Planear. definicin del alcance del SGSI
determinando reas o procesos, en los que se va a aplicar el sistema. Formulacin y divulgacin de la poltica GSI que establezca los lineamientos a tener en cuenta frente a los riesgos de la informacin (requisitos legales, requisitos contractuales, requisitos propios de la empresa, etc.). Definicin de planes de control o tratamiento del riesgo, a partir de la identificacin de los riesgos, su anlisis y valoracin.

Actuar. Actuar.

Mejoramiento y actualizacin de los planes de seguridad. Definicin e implementacin de Acciones Correctivas y Preventivas necesarias.

Verificar.

Medicin del desempeo del SGSI, de la evaluacin de los riesgos y la de los controles eficacia implementados. Realizacin de auditoras internas al sistema y la revisin del mismo por parte de la direccin.

Hacer. Hacer. Implementacin de planes de control o


tratamiento del riesgo. Documentacin y aplicacin de procedimientos necesarios para aplicacin de los controles. Formacin y concientizacin respecto a la seguridad de la informacin y los controles por aplicar.

ISO 27001 - MODELO DEL SGSI

Planificar Partes Interesadas


Establecer el SGSI

Partes Interesadas

Hacer
Implementar y operar el SGSI

Actuar
Mantener y mejorar el SGSI

Requisitos y expectativas de seguridad de la informacin

Hacer seguimiento y revisar el SGSI

Verificar

Seguridad de la Informacin gestionada

Administracin Integral del Riesgo


Visin de Silos vs Visin Integral Visin de Silos Cada administracin de riesgo posee su propia poltica, proceso, programas y funcin organizacional. No responde a criterios uniformes en la toma de decisiones respecto al tratamiento y al criterio de apetito de riesgo. Visin Integrada: Una nica filosofa de AR genera polticas, procesos, programas y responsabilidades entre y en las reas funcionales. Responde a criterios uniformes en relacin a la toma de decisiones respecto al tratamiento y al criterio de apetito de riesgo.

Ventajas de la Administracin Integral del Riesgo


Se aumenta el valor de la organizacin. Se asegura que todos los riesgos estn manejados en lnea con la estrategia de la organizacin. Se evita duplicidad de costos: Optimizacin del costo de riesgo Se optimiza el capital al existir un solo proceso de distribucin del capital a riesgo (capital-at-risk allocation). Se optimiza el flujo de caja en relacin a las prdidas esperadas Se generan potenciales fuentes alternas de financiamiento de prdidas por el efecto balance entre diferentes tipos de riesgos (visin de portafolio) Se asegura que se estn manejando todas las fuentes de riesgo al eliminarse el efecto borde (separacin entre silos)

Administracin Integral del Riesgo


Objetivo: Hacer del riesgo parte de la mentalidad y de la responsabilidad de cada empleado de la organizacin
James Lam Enterprise Risk Management From Incentives to Controls

Desafortunadamente la gerencia de riesgos se valora como un costo para la empresa. Lo correcto es considerarse como una inversin que previene muchos riesgos y garantiza la continuidad de la empresa

DEFINICIONES DE RIESGO
AS/NZ 4360: La Posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo en trminos de una combinacin de un evento o circunstancia y su probabilidad NTC 5254: La posibilidad de que suceda algo que tendr impacto en los objetivos. Se mide en trminos de consecuencias y posibilidad de ocurrencia ISO*: Combinacin de la Probabilidad de un Evento y su Consecuencia siempre y cuando exista la posibilidad de prdidas
*Definicin anterior a la ISO 31000

Qu es RIESGO?
Efecto de la incertidumbre en los objetivos Efecto objetivos*
Un efecto es una desviacin de lo esperado positivo y/o negativo. La incertidumbre es el estado (total o parcial) de deficiencia de informacin en relacin al entendimiento o conocimiento de un evento, su consecuencia o su probabilidad. El riesgo es casi siempre caracterizado en referencia a potenciales eventos y sus consecuencias o por una combinacin de stas. El riesgo es casi siempre expresado en trminos de una combinacin de las consecuencias de un evento (incluyendo cambio en circunstancias) y probabilidad asociada de ocurrencia.
*ISO-GUIDE 73:2009, Risk Management - Vocabulary

Valoracin del Riesgo


RIESGO(E) = Probabilidad(E) x Consecuencia(E)
E = Evento*
* Un evento es una ocurrencia o un cambio de un grupo particular de circunstancias; este puede tener una o mas ocurrencias y puede tener varias causas, adems algunas veces puede ser referido como incidente o accidente.
*ISO-GUIDE

73:2009, Risk Management - Vocabulary

Visin clsica del riesgo


Desviacin negativa*
Debilidades, amenazas, etc.

riesgo

* La desviacin negativa es la desmejora del resultado esperado, producto de la materializacin u ocurrencia de un evento o un grupo de estos y que afecta negativamente el logro de uno o varios objetivos.
Fuente: Fundacin Latinoamericana de Administracin de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

Visin estratgica del riesgo


(Risk & Reward)

Desviacin Positiva*
(fortalezas, oportunidades, etc.)

Riesgo

Desviacin Negativa
(Debilidades, amenazas, etc.)
* La Desviacin Positiva es la mejora del resultado esperado, producto de la materializacin u ocurrencia de un evento o un grupo de estos y que afecta positivamente el logro de uno o varios objetivos
Fuente: Fundacin Latinoamericana de Administracin de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

CAPACIDAD DE RETENCIN DEL RIESGO Es la mxima cantidad de riesgo que una APETITO DE RIESGO organizacin est en capacidad de absorber Cantidad total de riesgo que una organizacin o cualquier otra entidad esta dispuesta a aceptar para alcanzar su misin (o visin)

TOLERANCIA DE RIESGO La variacin relativa aceptable para el cumplimiento de un objetivo.

Fuente: Fundacin Latinoamericana de Administracin de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

CLASIFICACIN DEL RIESGO SEGN EVENTOS


SEGN SU NATURALEZA Riesgos Accidentales Riesgos Operativos Riesgos Financieros Otros tipos de Riesgos SEGN EL TIPO DE OBJETIVO Nivel Estratgico Nivel Tctico Nivel Operacional Otros Niveles SEGN EL ORIGEN Origen Interno Origen Externo
Fuente: Fundacin Latinoamericana de Administracin de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

MATRIZ DE RELACIN ENTRE LOS DIFERENTES CRITERIOS DE CLASIFICACIN DEL RIESGO


NATURALEZA RIESGO ACCIDENTAL RIESGO OPERATIVO RIESGO FINANCIERO OTROS TIPOS DE RIESGOS ESTRATEGICO NIVELES (OBJETIVOS) TCTICO OPERACIONAL OTROS NIVELES

ORIGEN

INTERNO

EXTERNO

Fuente: Fundacin Latinoamericana de Administracin de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

TIPOS DE RIESGOS
RIESGO ACCIDENTAL Es el asociado a los eventos sbitos e imprevistos no predecibles (accidentes) a los que est expuesta la empresa. RIESGO OPERATIVO Es el asociado a eventos no accidentales originados por el no funcionamiento o el funcionamiento inadecuado de procesos internos, del personal y/o de los sistemas de la empresa. RIESGO FINANCIERO Es el asociado al impacto en los resultados financieros debido a cambios en las condiciones del mercado y por el no cumplimiento por parte de terceros de las obligaciones financieras para con la empresa o debido al no cumplimiento de las obligaciones financieras con terceros.

Fuente: Fundacin Latinoamericana de Administracin de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

RIESGO ACCIDENTAL
PROPIEDADES Bienes Inmuebles Bienes Muebles Bienes Monetarios PERSONAS Enfermedad Muerte Lesin Incapacidad RESPONSABILIDADES penal Civil Extracontractual Contractual BENEFICIO BRUTO Disminucin de los ingresos Incremento de los gastos

Fuente: Fundacin Latinoamericana de Administracin de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

RIESGO OPERATIVO
EVENTOS OPERATIVOS Fallas de control No funcionamiento o falta de procesos internos
PROCESOS PERSONAL SISTEMAS

FACTORES DE RIESGO OPERATIVO

Errores del personal Sistemas Inadecuados (tecnologa) Problemas asociados a la cultura de la organizacin Polticas internas mal diseadas Otros

TECNOLOGIA NO ADECUADA NO FUNCIONAMIENTO

Fuente: Fundacin Latinoamericana de Administracin de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

RIESGO FINANCIERO
Mercado Es el asociado al impacto en los resultados financieros de una organizacin debido a cambios en las condiciones del mercado Crdito Es el asociado al impacto en los resultados financieros de una organizacin por el no cumplimiento por parte de terceros de las obligaciones financieras para con la misma Liquidez Es el asociado al impacto en los resultados financieros de una organizacin que se origina debido al no cumplimiento de las obligaciones financieras para con terceros. TIPOS
Tasas de Cambio Tasas de inters Precios de los commodities Precios de los instrumentos financieros

FACTORES
Perfil del deudor Probabilidad de incumplimiento Tasa de recuperacin

FACTORES
Altos egresos Ventas bajas Otros

Fuente: Fundacin Latinoamericana de Administracin de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

Riesgos del Entorno


Riesgos del entorno de la organizacin o contexto del proyecto: Ambiente y naturaleza circundante Condiciones sociales, legales, polticas, culturales y econmicas donde opera Ubicacin Tamao Sector industrial

Riesgos Tecnolgicos
Riesgos que genera la Tecnologa: virus, hackers, daos o perdidas de informacin Constante evolucin de la tecnologa: Implica constantes cambios, dinero y dependencia a proveedores, entre otros.

Riesgos Estratgicos
Generan prdidas por definiciones estratgicas inadecuadas, errores en el diseo de planes, programas, integracin del plan estratgico con la operacin y asignacin de recursos, entre otros: VISIN MISIN OBJETIVOS ESTRATGICOS ANALISIS DOFA PLAN DE ACCIN La Gestin de Riesgos debe basarse en el cumplimiento de los objetivos estratgicos de la Organizacin.

reas crticas de una empresa o proyecto


Daos en propiedades e inventarios (inmuebles y muebles) Prdidas por delitos de terceros Contingencias comerciales y financieras Proveedores no adecuados Reclamos por responsabilidad civil Contingencias tecnolgicas Contingencias operativas Riesgos profesionales Contingencias en logstica Daos en vehculos

MTODOS PARA IDENTIFICAR RIESGOS


Lista de chequeo Lista por categoras Anlisis PESTA (entorno) Revise hechos histricos y documentacin de soporte Tormenta de ideas Anlisis de supuestos del proyecto Anlisis DOFA Realice un pre-mortem Ingeniera inversa Diagramas de Afinidad Entrevistas de Expertos Tcnica Delphi Diagramas Causa-Efecto Diagramas de flujo Anlisis de fallas y efectos rboles de decisin

ARBOL CAUSA - EFECTO


Efectos

RIESGO

Causas

MATRIZ DE PLANIFICACIN DEL PROYECTO


DESCRICION JERARQUICA FIN / FINALIDAD / OBJETIVO SUPERIOR PROPSITO / OBJETIVO GENERAL COMPONENTES / RESULTADOS / PRODUCTOS / OBJETIVOS ESPECFICOS ACTIVIDADES INDICADORES VERIFICABLES MEDIOS DE VERIFICACIN SUPUESTOS / RIESGOS

Matriz Marco Lgico desarrollada para la USAID

INDICADORES CLAVES DE RIESGO - KRI Los indicadores son las medidas utilizadas para monitorear y predecir eventos Complementan el proceso de auto evaluacin para monitorear la efectividad de los controles Los indicadores de riesgo ayudan a mantener el proceso GR dinmico y los perfiles de riesgo actualizados Dan informacin precisa del riesgo de un rea de negocio o proceso No se deben confundir con indicadores de desempeo Son una herramienta para proporcionar transparencia y comunicar el apetito de riesgo Un tablero eficaz de indicadores de riesgo combina medidas ex ante y ex post

Caractersticas de los indicadores


cantidad, calidad y tiempo

Objetivo Cuantificable Clave Especfico Prctico y fcil de medir Plazo claro de definir
E.J. Mishan, "es mejor tener una medida bruta del concepto adecuado, que una medida perfecta del concepto errneo."
Indicadores Verificables

ALGUNAS GUIAS PARA DISEAR KRI Estudie detenidamente los riesgos y disee KRI simples Seleccione KRI prospectivos para cada categora de riesgo Independientemente de la disponibilidad de datos disee los mejores KRI Desarrolle KRI para los tipos de riesgo que consideran a todos los involucrados Las medidas Ex Ante tiene el mayor valor para dar seales sobre futuros acontecimientos Equilibre las medidas ex post objetivo con las medidas ex ante ms predictivas. Vincule los KRI con el Balance Scorecard de desempeo Invierta en tecnologa para extraer y presentar informacin Use criterios de priorizacin Los niveles esperados de los KRI son establecidos a partir de una lnea base, utilizando el historial disponible

MATRIZ DE RIESGOS
PROBABILIDAD VALOR ZONAS DE RIESGO

Casi Certeza

5 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

10 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

15 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

20 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

25 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

Muy Probable

4 Zona de Riesgo Moderado Asumir o reducir el riesgo

8 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

12 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

16 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

20 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

Posible

3 Zona de Riesgo Baja Asumir el riesgo

6 Zona de Riesgo Moderado Asumir o reducir el riesgo

9 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

12 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

15 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

Improbable

2 Zona de Riesgo Baja Asumir el riesgo

4 Zona de Riesgo Baja Asumir el riesgo

6 Zona de Riesgo Moderado Asumir o reducir el riesgo

8 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

10 Zona de Riesgo Extrema Evitar, reducir, compartir o transferir el riesgo

Raro

1 Zona de Riesgo Baja Asumir el riesgo

2 Zona de Riesgo Baja Asumir el riesgo

3 Zona de Riesgo Moderado Asumir o reducir el riesgo

4 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

5 Zona de Riesgo Alta Reducir, evitar, compartir o transferir el riesgo

IMPACTO

INSIGNIFICANTE

MENOR

MODERADO

MAYOR

CATASTRFICO

Valor

Alto Apetito de Riesgo

Planeacin para riesgos extremos CEO

Impacto

Impacto

Gerente Subgerente Jefe dpto

Probabilidad

Probabilidad

Estndar

Adverso al riesgo

Impacto

Probabilidad

Impacto

Probabilidad

Fuente: Presentacin ISO 31000 AND INTEGRATED RISK MANAGEMENT RIMS Breakfast John Lark, Stratos Inc. 2008

VALORACIN DEL RIESGO Y ACCION A TOMAR Probabilidad


Baja Baja Alta Alta

Impacto
Baja Alta Baja Alta

Accin
Retener Transferir-Financiar Prevencin-Retener Evitar

MATRIZ DE RIESGO DE LA OSFI


2. Riesgo Inherente
Cum plimiento de la Norma Tecnolgico Estratgico Operativo Gestin Operativa

3. Administracin de Riesgos
A dministracin de Riesgos Auditoria Interna Junta Directiva A lta Gerencia Cum plimiento Financiero Actuarial

1. Actividades Significativas

Calificacin General

Clasificacin

Mercado

Crdito

4. Riesgo Neto

5. Direccin 6. Importancia del Riesgo

Direccin

Tiempos Calificacin de Intervencin

Rentabilidad Capital Liquidez Composicin del riesgo


Fuente: OSFI Oficina del Superintendente de Instituciones Financiera de Canad

RIESGO NETO
Agregado de riesgos por Actividad Significativa Fuerte Aceptable Necesita Mejoras Dbil Nivel de Riesgo Inherente por Actividad Significativa Encima del Bajo Moderado Alto Promedio Evaluacin de Riesgo Neto Bajo Bajo Moderado Encima del Promedio Bajo Moderado Encima del Promedio Alto Moderado Encima del Promedio Alto Alto Encima del Promedio Alto Alto Alto

Relacin entre calificacin de Riesgo e Intervencin


0 0 Moderado 1 1 Por Encima del Promedio 2 2 Alto 3 4 Calificacin de Riesgo Bajo Calificacin de Intervencin Normal Normal Alarmas Tempranas Alarmas Tempranas En riesgo la viabilidad financiera y la solvencia En riesgo la viabilidad financiera y la solvencia Viabilidad financiera futura est en duda No viable / Insolvencia enminente

Fuente: OSFI Oficina del Superintendente de Instituciones Financiera de Canad

Overall Project Threats Threat Cause

Risk

Effect

Fuente: www.rmcproject.com

Risks per Activity Activity

Cause

Risk

Effect

Fuente: www.rmcproject.com

Risk Activity Cause Risk Effect

Risk Rating Probability Impact

Risk Score PxI

Ranking

Source

Fuente: www.rmcproject.com

Tratamiento del Riesgo


(Proceso para modificarlo o transformarlo)

Riesgo Inherente

Tratamiento de Riesgo (criterio: Apetito de Riesgo)

Riesgo Residual
(COSO ERM Integrated Framework) Riesgo remanente despus de tomadas acciones

(COSO ERM Integrated Framework) Riesgo expuesto en ausencia de cualquier accin (sin alterar probabilidad o consecuencia)

Fuente: Fundacin Latinoamericana de Administracin de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo

Control del Riesgo (Intervencin de la Probabilidad)


Riesgo (E) = Probabilidad (E) x Consecuencia (E)

Actividades para disminuir la probabilidad de ocurrencia de un evento, mejorando el perfil del riesgo asociado a dicho evento

TECNICAS DE CONTROL
Sistema de Control Interno Auditoria Interna Sistemas de informacin y registro Normas y procedimientos por lnea de negocios Adiestramiento Marketing en cultura preventiva Sistemas de Prevencin y monitoreo Sistemas de Seguridad Herramientas tecnolgicas Soluciones a partir de Hazop Soluciones BPM, etc.

Mitigacin del Riesgo (Intervencin de la Consecuencia)


Riesgo (E) = Probabilidad (E) x Consecuencia (E)

Actividades para reducir la consecuencia una vez ocurrido un evento, mejorando el perfil del riesgo asociado a dicho evento

TECNICAS DE MITIGACIN
Tcnicas de Mitigacin Tcnica: Plan de Recuperacin de Desastres (DRP). Plan de Continuidad del Negocio (BCP). BS 25999 ISO 27001 Otros Tcnicas de Mitigacin Financiera: Procesos e instrumentos para generar los recursos necesarios para provisionar, indemnizar y/o compensar las prdidas asociadas a los riesgos. Contratos - Plizas de Seguros ART (Transferencia Alternativa de Riesgos)

Risk Register
Threats and opportunities Root Potential Potential triggers category cause risk owner responses

cause

risk

effect

Overall Project Risks Risks per activity A B C D

Fuente: www.rmcproject.com

Risk Response Form for Threats


Threats
Cause Risk Effect

Activity

Rating
P I

Score
PxI

Ranking

Trigger

Fallback Plan

Risk Owner

Fuente: www.rmcproject.com

Control y Mitigacin del riesgo Financiero


Las decisiones financieras requirieren de 3 factores bsicos:

dinero, tiempo y riesgo

Control y Mitigacin del riesgo Financiero

No coloque todos lo huevos en una canasta


La tasa inters que determina el valor de un activo con riesgo depende del nivel general de las tasa de inters (medido por la tasa de inters sobre los bonos del tesoro del gobierno de los EEUU) ms una prima que depende del riesgo del ingreso del activo. Cuanto ms riesgos ms alta ser la prima. Tasa de retorno esperada = tasa libre de riesgo + prima de riesgo
ESTO SIGNIFICA REALIZAR UN AJUSTE EN LA TASA DE DESCUENTO (WACC) UTILIZADA PARA LA EVALUACION DEL VPN

Prima de riesgo
MODELO CAPM:
Prima de riesgo = *(Rm Rlr)
= Factor que mide el riesgo del mercado: Pendiente de la lnea de regresin entre variaciones de la tasa de retorno del mercado y la tasa de retorno del activo en particular

Re = Rlr + *(Rm Rlr)


Re = Tasa de Retorno Esperada Rlr = Tasa libre de riesgo Rm = Tasa de retorno del mercado

OTRO MTODO PARA INCORPORAR EL RIESGO


EL METODO DE LOS INDICADORES DE CERTEZA

FLUJO DE CAJA ESPERADO

FLUJO EQUIVALENTE CON RIESGO

FACTOR EQUIVALENTE DE CERTEZA

tiempo (t) AO O AO 1 AO 2 AO 3

(1) (300.000) 100.000 180.000 150.000

(2) (3)=(2)/(1) (300.000) 1,00 96.000 0,96 165.000 0,92 130.000 0,87

VPNt= t*Flujo de caja esperado t / (1+i)t

Simulacin de Montecarlo
Y1 = f (x1, x2, x3xn)
Variables independientes que introducen riesgo

Procedimiento de la simulacin: 1. Se seleccionan las variables a estudiar 2. Se asigna una distribucin de probabilidades a los valores que tomarn las variables seleccionadas 3. Generacin de un nmero aleatorio entre 0 y 1 4. Se le asigna a la variable el valor que corresponda al nmero aleatorio generado 5. Se resuelve el modelo una cantidad elevada de veces

Distribucin de Probabilidad

PROBABILIDAD

RIESGO Probabilidad < 1

Resultado Esperado

Resultado No esperado

RESULTADO DEL PROYECTO

ARTICULACIN: ADMINISTRACION Y EVALUACION DEL RIESGO

www.google.com esquemas de riesgo

Sistema de Administracin del Riesgo


Principios y Polticas frente al riesgo

Coherencia y funcionalidad orgnica

SAR

Proceso de Administracin

Programa de Administracin

Poltica de Administracin del Riesgo


Fija criterios para el diseo del programa de manejo de los riesgos (apetito de riesgo, etc.) Incluye niveles de responsabilidad y deberes. Establece la cultura de control interno con base al riesgo Establece el rol de la auditoria interna. Establece un proceso efectivo de informacin y reporte interno.
Principios y Polticas frente al riesgo Coherencia y funcionalidad orgnica

SAR

Proceso de Administracin

Programa de Administracin

Proceso de Administracin del Riesgo

ESTABLECIMIENTO DEL CONTEXTO

IDENTIFICACIN DE EVENTOS Peligros Oportunidades

DETERMINACIN DE TCNICAS PARA EL TRATAMIENTO DE LOS RIESGOS Control/mitigacin Aprovechamiento

EVALUACIN DE RIESGOS

Principios y Polticas frente al riesgo

Coherencia y funcionalidad orgnica

SAR

Proceso de Administracin

Programa de Administracin

Programa de Administracin del Riesgo


Conjunto de actividades para ejecucin de las tcnicas de tratamiento del riesgo previamente definidas en el PAR. Los programas pueden clasificarse por tipos de riesgo, por objetivos, por lneas de negocio, por proceso, por producto, etc.
Principios y Polticas frente al riesgo

Coherencia y funcionalidad orgnica

SAR

Proceso de Administracin

Programa de Administracin

Coherencia y funcionalidad orgnica


Con el fin de que las empresas puedan lograr los objetivos en relacin con la administracin del riesgo, los esquemas organizacionales de las mismas se dividen en dos grandes estructuras de responsabilidad segn su gobierno corporativo: Estructura estratgica Estructura ejecutiva
Principios y Polticas frente al riesgo

Coherencia y funcionalidad orgnica

SAR

Proceso de Administracin

Programa de Administracin

GERENCIA GENERAL
Comit Adm Riesgo Int

GERENCIA ADMON Y FINANZAS U.A.R.I

GERENCIA TECNICA

GERENCIA COMERCIAL

U.A.R.I

U.A.R.I

Gestin Humana Jefe S.O

Servicios Grales

Finanzas

U.A.R.I

UNIDAD DE ADMINISTRACION DEL RESGO INTEGRAL

2010. Mauricio Penagos Acosta. Prohibida la reproduccin sin previa autorizacin

Pasos a seguir para la gestin del riesgo en proyectos


1. Sensibilizacin 2. Definicin de principios y polticas 3. Anlisis de los procesos segn objetivos especficos 4. Identificacin de eventos por proceso o actividad 5. Anlisis de eventos vs objetivos especficos 6. Evaluacin y Valoracin del Riesgo Inherente 7. Definicin de opciones de control y mitigacin 8. Evaluacin y Valoracin del Riesgo Residual 9. Desarrollo del Programa de Administracin Integral del Riesgo 10.Coherencia y funcionalidad orgnica
Metodologa desarrollada por Mauricio Penagos Acosta AIRM, de acuerdo con la NTC 5254 y la ISO 31000

COSTO DE LA ADMINISTRACIN INTEGRAL DEL RIESGO

Estndares Internacionales de Administracin del Riesgo


Norma australiana neozelandesa AS/NZ 4360 ISO 31000: 2009 - Risk Management COSO-Enterprise Risk Management Integrated Framework (The Committee Of Sponsoring Organizations of the Treadway Commission) IFRIMA (International Federation of Risk and Insurance Management Associations) FERMA (Federation of European Risk Management Associations)

ALGUNA NORMATIVIDAD Y GUIAS DE REFERENCIA


NTC 5254 Cumplimiento del artculo 4 de la ley 1150 de 2007: Distribucin de riesgos en los procesos de contratacin estatal. Ley 87 de 1993, Ley 489 de 1998 y Decreto 1599 de 2005 : Obligatoria implementacin del Modelo Estndar de Control Interno (MECI 1000) en lo referente al subsistema de control estratgico, componente de la administracin de riesgos. Ley 448 de 1998 y Dec. 423 de 2001: Manejo de obligaciones contingentes en entidades estatales. Identificacin matrices de riesgo. Ley 872 de 2003, Dec. 4110 de 2004 y 4485 de 2009: Obligatoria implementacin del sistema de gestin de la calidad y controles sobre los riesgos que puedan afectar al cliente y el logro de los objetivos de entidades estatales. (NTCGP 1000:2009). CONPES 3107 y 3133 de 2001 Poltica de Manejo de Riesgo Contractual del Estado para Procesos de Participacin Privada en Infraestructura

MUCHAS GRACIAS !!

Mauricio Penagos Acosta


Mvil: 310 2434450 Tel. (1) 4704187 / 3997 mpenagos@uniandino.com.co mpenagos@gestarinnovacion.com