• Author / Uploaded
• Genny

• Categories
• Planificación
• Economias
• Business
• Negocios (general)
• Finanzas (general)

Citation preview

TRABAJO GESTION DE RIESGOS 1. INTRODUCCION: Al iniciar las actividades de una empresa sus directivos o dueños deben tener en cuenta que el riesgo estará presente en todo momento de su desarrollo, debido a diferentes factores como lo son: intensos cambios del entorno, la intensificación de la competencia, las reducciones de las barreras de entrada, y obviamente la parte tecnológica que va avanzando a pasos agigantados. Para minimizar estos diferentes factores es que hace un tiempo se viene incorporando a las entidades la "Gestión de Riesgos", la que en nuestro país no está implantada en todos los sectores. La Gestión de Riesgos es un proceso efectuado por el Consejo de Administración de una entidad, su Dirección y todo su restante personal, diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. Debido a la gran importancia que reviste la creación de una Gerencia de Riesgos dentro de cualquier entidad, es que para el desarrollo de este informe nos hemos planteados los siguientes objetivos: Objetivo Específicos: • Dar a conocer el concepto de Riesgo y sus tipologías. • Demostrar la evolución e importancia de la Auditoría Interna y el Control interno dentro de la Gestión de Riesgos. 2. DEFINICION DE GESTIÓN DE RIESGOS La gestión de riesgos (traducción del inglés risk management) es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza, a través de una secuencia de actividades humanas que incluyen la identificación, el análisis y la evaluación de riesgo, para luego establecer las estrategias para su tratamiento, utilizando recursos gerenciales. Las estrategias incluyen transferir el riesgo a otra parte, evitar el riesgo (esto es, reducir su probabilidad o impacto a 0), reducir el impacto negativo del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular mediante una decisión informada. Algunas veces, el manejo de riesgos se centra en la contención de riesgo por causas físicas o legales (por ejemplo, desastres naturales o incendios, accidentes, muerte o demandas). Por otra parte, la gestión de riesgo financiero se enfoca en los riesgos que pueden ser manejados usando instrumentos financieros y comerciales. El objetivo de la gestión de riesgos es reducir diferentes riesgos relativos a un ámbito preseleccionado a un nivel aceptado por la sociedad. Puede referirse a numerosos tipos de amenazas causadas por el medio ambiente, la tecnología, los seres humanos, las organizaciones y la política. Por otro lado, involucra todos los recursos disponibles por los seres humanos o, en particular, por una entidad de manejo de riesgos (persona, grupo de trabajo, organización). Así, la administración de riesgo empresarial o enterprise risk management ERM es un proceso realizado por el consejo directivo de una entidad, la administración y el personal de dicha entidad. Es aplicado en el establecimiento de estrategias de toda la empresa, diseñada para identificar eventos potenciales que puedan afectar a la entidad y administrar los riesgos para

proporcionar una seguridad e integridad razonable referente al logro de objetivos. En la gestión del riesgo en los viajes de empresa, se debe empezar con una evaluación previa del viaje y un análisis de las situaciones que pueden darse durante el desplazamiento. Posteriormente, se diseñarán políticas de reducción de los riesgos detectados y, finalmente, se debe asegurar al business traveller ante los riesgos no detectados o imposibles de eliminar previamente. 3. TIPOS DE RIESGOS: - Riesgo del mercado, armado a las fluctuaciones de los mercados financieros, y en el que se distinguen:  

Riesgo de cambio, consecuencia de la volatilidad del mercado de divisas. Riesgo de tipo de interés, consecuencia de la volatilidad de los tipos de interés.

- Riesgo de mercado (en acepción restringida), que se refiere específicamente a la volatilidad de los mercados de instrumentos financieros tales como acciones, deuda, derivados, etc. - Riesgo de crédito, consecuencia de la posibilidad de que una de las partes de un contrato financiero no asuma sus obligaciones. - Riesgo de liquidez o de financiación, y que se refiere al hecho de que una de las partes de un contrato financiero no pueda obtener la liquidez necesaria para asumir sus obligaciones a pesar de disponer de los activos —que no puede vender con la suficiente rapidez y al precio adecuado— y la voluntad de hacerlo. - Riesgo operativo que se define en el acuerdo de Basilea II utilizado para la regulación del sector bancario en Europa como el "riesgo de sufrir pérdidas debido a la inadecuación o a fallos de los procesos, el personal y los sistemas internos o bien a causa de acontecimientos externos". En esta definición se incluye el riesgo legal, y se excluyen los riesgos clasificados como estratégicos y de reputación. - Magnitudes cuantitativas del Riesgo - VaR. Todos los tipos de riesgos comentados en los apartados anteriores han sido muy tenidos en cuenta por parte de las entidades participantes en los mercados y ponen de manifiesto la necesidad de disponer de herramientas que permitan determinar de forma cuantitativa (en unidades monetarias) el riesgo asumido al integrar un nuevo activo a la cartera. Surge de esta manera el VaR (Value at Risk), que ofrece una medida cuantitativa y objetiva del valor en riesgo de una cartera para condiciones normales (ordinarias) de mercado. 4. RIESGOS FINANCIEROS Y DE CREDITO, RIESGOS ESTRATEGICOS, RIESGOS OPERACIONALES, RIESGOS DE PROYECTOS, RIESGOS GLOBALES, RIESGOS EN SISTEMAS DE NFORMACIÓN - RIESGOS FINANCIEROS Y DE CREDITO: En Gestión de Riesgos, el riesgo de crédito o el riesgo crediticio es la probabilidad de que, al momento del vencimiento, una entidad no haga frente, en parte o en su totalidad, a su obligación de devolver una deuda o rendimiento acordado sobre un instrumento financiero, debido a quiebra, iliquidez o alguna otra razón. En Risk Management, resulta fundamental tanto la gestión del riesgo de mercado, como la del riesgo de crédito. Todas las actividades que realiza una entidad bancaria, y que involucran un compromiso de pago, están expuestas a que la contraparte no pueda cumplir con sus obligaciones financieras en las condiciones definidas contractualmente, dando lugar a pérdidas.

Tipos de riesgo de crédito: Después de la crisis financiera actual, de la que todavía se evidencian efectos negativos, el sistema financiero se vio en la necesidad de diferenciar 4 tipos de riesgo de crédito: -

-

-

Riesgo de impago: riesgo fallido o de default. Es la posibilidad de incurrir en una pérdida si la contrapartida de una transacción no cumple plenamente las obligaciones financieras, acordadas por contrato. Riesgo de migración: cuando se produce una rebaja en la calificación crediticia. Riesgo de exposición: se entiende como la incertidumbre sobre los futuros pagos que se deben. Este riesgo puede estar asociado a la actitud del prestatario o bien a la evolución de variables del mercado. Riesgo de colateral: conocido como el riesgo de la tasa de recuperación, que varía según haya o no garantías o colateral en la operación.

Medición del riesgo de crédito en Gestión de Riesgos Para cuantificar el riesgo previo, a priori, es necesario identificar los elementos a valorar:

RIESGO ESTRATEGICO El riesgo estratégico se define como el impacto actual y futuro en los ingresos y el capital que podría surgir de las decisiones adversas de negocios, la aplicación indebida de las decisiones, o la falta de capacidad de respuesta a los cambios de la industria. Este riesgo es una función de la compatibilidad de los objetivos estratégicos de la Entidad, las estrategias desarrolladas para alcanzar dichos objetivos, los recursos utilizados en contra de estos objetivos, así como la calidad de su ejecución. Los recursos necesarios para llevar a cabo las estrategias de negocios son evaluados en relación con el impacto de los cambios económicos, tecnológicos, competitivos y regulatorios. La Sucursal analiza el Riesgo Estratégico como un proceso sistemático y continuo que le permite poder identificar, alinear, gestionar, controlar y monitorear en base a los objetivos estratégicos establecidos por la Gerencia de la Entidad, los riesgos que enfrenta la misma. Esta evaluación debe conducir al Comité Gerencial y la Alta Gerencia a una adecuada planificación y gestión de la organización para asegurar el cumplimiento de los objetivos. En forma continua la Entidad busca diversificar su estructura de capital y sus fuentes de financiamiento en el mercado, de modo de otorgarle a la Entidad, la mayor estabilidad y flexibilidad para apoyar la estrategia de negocios. La herramienta principal que utiliza la Sucursal para la gestión de este riesgo es el plan de negocios anual y sus correspondientes pruebas de estrés presentadas al B.C.R.A. En este plan, las distintas áreas de negocio en conjunto con la Alta Gerencia de la Entidad definen las estrategias de negocio a seguir en los próximos ejercicios en base a su entendimiento y experiencia en el mercado financiero local y a la situación actual y proyectada de las distintas variables macroeconómicas que impactan en forma directa en los negocios de la Sucursal. Es

importante destacar que el plan de negocios y las mencionadas pruebas de estrés, una vez confeccionadas y definidas, son revisados y aprobados por el Comité Gerencial. La Alta Gerencia de la Entidad, en forma diaria, lleva a cabo un seguimiento de los resultados generados por la Sucursal y su correspondiente comparación con las proyecciones definidas en el plan de negocios. Adicionalmente a esto, y en forma mensual, el Comité Gerencial recibe un reporte de gestión, el cual contiene un detalle del balance y los resultados mensuales generados por la Sucursal, un detalle de las causas que generaron estos resultados, una comparación con el plan de negocios presentado al B.C.R.A. y las correspondientes justificaciones de los desvíos presentados. En el caso de presentarse desvíos significativos en las proyecciones incluidas en el plan presentado al B.C.R.A., ya sea por cambios en las variables macroeconómicas definidas o por cambios significativos en la estrategia de la Sucursal y lo realmente sucedido, el Comité Gerencial definirá la necesidad de presentar un plan de negocios actualizado al B.C.R.A. A su vez, es responsabilidad del Comité Gerencial revisar en forma anual: -

El Código de Gobierno Societario de la Entidad, el cual cuenta con un detalle de la estructura de la misma, sus Comités y responsabilidades, Los objetivos fijados por las distintas áreas de la Entidad

Adicionalmente, la Sucursal cuenta con un Comité especial de Nuevos Productos el cual cuenta con la participación de las Áreas de Negocio y soporte afectadas y con miembros de la Alta Gerencia y del Comité Gerencial, incluyendo al Gerente General. Este Comité le permite a la Entidad detectar los correspondientes procesos de los nuevos productos a ser implementados, su volumen esperado, su rentabilidad proyectada, los riesgos asociados y de esta manera poder definir los procesos operativos necesarios como para mitigarlos. El Comité Integral de Riesgos tratará temas significativos respecto de la gestión del Riesgo Estratégico, ofreciendo una revisión y opinión independiente de cada línea de negocio. Consideramos importante destacar, que la revisión del Comité Integral de Riesgos es una instancia de consulta, y no sustituye la revisión y evaluación de la gestión del Riesgo Estratégico que cada negocio deberá llevar a cabo. Adicionalmente, la Sucursal ha desarrollado diversos Comités conformados por grupos heterogéneos donde se abordan, desde distintas perspectivas, los riesgos que la gerencia considera claves para un correcto ambiente de control, definiendo, evaluando y supervisando los planes de acción para mitigar los riesgos que la gerencia considera relevantes. Entre los Comités establecidos en la Sucursal, que gerencian desde distintas perspectivas los riesgos identificados, se destacan los siguientes: -

-

Comité de Control: este Comité este compuesto por el Gerente General y representantes de todas las áreas de la Sucursal y tiene entre sus responsabilidades monitorear el nivel de control de la Sucursal, la revisión periódica de los planes de acción y los informes de errores con costo financiero en los que se ha incurrido. Adicionalmente, constituye el foro de comunicación y análisis de todo tema que impacte el funcionamiento de la Sucursal, de revisión del cumplimiento de las leyes y regulaciones locales y confirmación de la correcta infraestructura para cada línea de negocio. En este Comité se definen los puntos que deben ser elevados al Comité regional. Comité de Auditoría: el Comité está conformado por los máximos responsables de las áreas de Auditoría, Tecnología y Contaduría y es el responsable de la revisión del programa de trabajo anual de auditoría interna y externa, de los informes de evaluación de control interno emitidos por Auditoría Interna y Externa, considerando las

-

-

-

-

observaciones detectadas, así como las acciones correctivas implementadas por la gerencia. Asimismo, evalúa cualquier información contable relevante para la Sucursal, además del tratamiento de cualquier otro tema exigido por la Comunicación “A” 5042 y modificatorias. Comité de Tecnología: el Comité está constituido por los gerentes de las áreas de Tecnología, Contaduría y Operaciones y personal de Tecnología con injerencia en las atribuciones del Comité. Las principales funciones de este órgano son vigilar el adecuado funcionamiento del entorno de Tecnología Informática y contribuir a la mejora de la efectividad del mismo. Adicionalmente, a través de este Comité, se toma conocimiento del Plan de Tecnología Informática y Sistemas y, en caso de existir comentarios en relación con la naturaleza, alcance y oportunidad del mismo, el Comité manifiesta sus recomendaciones. Asimismo, evalúa en forma periódica el plan mencionado precedentemente y revisa su grado de cumplimiento. Por último, el Comité revisa los informes emitidos por las distintas auditorias en relación con los problemas detectados y monitorea las acciones llevadas a cabo para su solución. Comité Integral de Riesgos: el Comité está conformado por los responsables de gestionar los riesgos identificados como significativos para la Sucursal, representantes de las distintas líneas de negocio y de las áreas de soporte correspondientes. El Comité se reúne con una periodicidad mínima trimestral y tiene entre sus responsabilidades la gestión integral de los riesgos de la Sucursal, asegurándose que el perfil de riesgos asumidos por la Entidad sea consistente con las expectativas de la Gerencia; la revisión de las políticas de gestión de riesgos; la promoción de mejores prácticas de gestión: y el escalamiento al Comité Gerencial de los puntos que considere relevantes. Comité Regulatorio: este Comité está integrado por el responsable del área de cumplimiento de políticas, por el responsable de legales y por el responsable de controles financieros. Entre sus responsabilidades se encuentran el análisis de las nuevas regulaciones con implicancias en la Sucursal, el seguimiento de sus implementaciones y la comunicación de las modificaciones regulatorias a las distintas áreas impactadas. Distintos Comités de Riesgos: en estos Comités se analizan la gestión de los distintos riesgos identificados por la Sucursal como significativos. Entre ellos se destaca el Comité de Créditos, el Comité de Riesgo de Liquidez, el Comité de Riesgo de Mercado y Tasa, el Comité de Riesgo Operacional y el ALCO.

Por otra parte, la Sucursal tiene implementado un programa de continuidad de negocio, que está dirigido y coordinado por un responsable del área de Tecnología, para mitigar riesgos, cumplir con los requerimientos regulatorios y asegurar la capacidad de recuperación ante una amenaza potencial o interrupción de servicio. Para esto, se designa un responsable de continuidad denegocio para cada área, quien será encargado de efectuar el análisis de impacto de los procesos del área y de la creación/actualización del plan de continuidad de negocio de su área. Cada año se efectúa una prueba integral de recuperación de todos los aplicativos y recursos de información determinado como críticos para las diferentes áreas de negocio. Esta prueba cuenta con la participación del sector de tecnología y áreas usuarias. Auditoria interna y el responsable regional de continuidad de negocio asisten a la misma para evidenciar y documentar cualquier problema u observación que surja durante la prueba. Como resultado de la misma, el gerente regional efectúa un informe describiendo los recursos de información recuperados y testeados y detallando cualquier observación detectada. Este informe es presentado al Comité Gerencial de la sucursal para su conocimiento.

RIESGOS OPERACIONALES: El riesgo operacional es un tipo de riesgo que puede provocar pérdidas a una empresa debido a errores humanos, procesos internos inadecuados o defectuosos, fallos en los sistemas, entre otros. Este riesgo operacional va de la mano de todas las actividades, productos y procesos de la empresa. Además, para evaluar este riesgo, se toman en consideración dos variables: -

-

Probabilidad de que suceda un evento que implique un riesgo a la empresa y que se podrá mermar en futuras ocasiones en función del número de veces que acontezca el mismo. ¿Qué grado de probabilidad hay de que se rompa una máquina del proceso de producción? Además, el riesgo operativo afecta directamente al patrimonio de la empresa, en función de la gravedad del evento.

En definitiva, la definición del riesgo operacional es la siguiente: la posibilidad de ocurrencia de pérdidas financieras, originadas por fallas o insuficiencias de procesos, personas, sistemas internos y tecnología. ¿Cuáles son los factores del riesgo operativo? Existen diferentes categorías del riesgo operacional, dependiendo de a qué se deba las posibles amenazas. A continuación, detallamos los principales factores del riesgo operativo: Recursos humanos Existe cierto riesgo de que la empresa sufra pérdidas causadas por negligencia, error humano, fraude, robo, ambiente laboral desfavorable, entre muchas otras situaciones. También se pueden incluir en este factor del riesgo operacional, el hecho de que haya falta de personal o que haya personal, pero no cuente con las aptitudes y destrezas necesarias para afrontar la exigencia de la empresa. Procesos internos Probabilidad de que se produzcan pérdidas por un diseño inadecuado de los procesos internos que haya fijadas unas políticas inadecuadas que mermen el desarrollo de las operaciones e impidan ofrecer un producto o servicio de calidad. Como ejemplos del riesgo operacional de los procesos internos, tenemos: evaluación inadecuada de contratos, complejidad de productos, errores en la información contable, insuficiencia de recursos, incumplimiento de plazos y presupuestos planeados, entre otros. Tecnología de información Tipo de riesgo operativo donde las pérdidas se derivan de un uso inadecuado de los sistemas de información y las tecnologías inherentes en los procesos de la empresa. Entre los riesgos operacionales que nos podemos encontrar: hechos que atenten contra la confidencialidad, integridad, disponibilidad y oportunidad de la información, por ejemplo. Eventos externos Pérdidas procedentes de eventos ajenos al control de la empresa y que pueden alterar el desarrollo de su actividad. Como ejemplos de riesgo operativo referentes a eventos externos, encontramos: contingencias legales, fallas en los servicios públicos, desastres naturales, atentados y actos delictivos, etc.

Mediciones del riesgo operacional El riesgo operativo se puede calcular de tres modos diferentes: 1. Método del indicador básico Para calcular el riesgo operativo a través de este método, se realiza un promedio de los últimos tres años de los ingresos brutos anuales positivos, permitiendo así estimar el volumen de operaciones. 2. Método estándar Se calculan los ingresos brutos de cada línea de negocio y se le multiplica a cada uno de ellos un factor, calculando la provisión de capital para cada línea de negocio. 3. Métodos de medición avanzada A través de este método, el riesgo operativo se calcula mediante funciones de distribución de probabilidad. RIESGOS DE PROYECTOS La Gestión de los Riesgos del Proyecto incluye los procesos relacionados con llevar a cabo la planificación de la gestión, la identificación, el análisis, la planificación de respuesta a los riesgos, así como su monitoreo y control en un proyecto. Los objetivos de la Gestión de los Riesgos del Proyecto son aumentar la probabilidad y el impacto de eventos positivos, y disminuir la probabilidad y el impacto de eventos negativos para el proyecto. Estos procesos interactúan entre sí y con los procesos de las otras áreas de conocimiento. Cada proceso puede implicar el esfuerzo de una o más personas, dependiendo de las necesidades del proyecto. Cada proceso se ejecuta por lo menos una vez en cada proyecto y en una o más fases del proyecto, en caso de que el mismo esté dividido en fases. Aunque los procesos se presentan aquí como elementos diferenciados con interfaces bien definidas, en la práctica se superponen e interactúan de formas que no se detallan aquí. Los riesgos de un proyecto se ubican siempre en el futuro. Un riesgo es un evento o condición incierta que, si sucede, tiene un efecto en por lo menos uno de los objetivos del proyecto. Los objetivos pueden incluir el alcance, el cronograma, el costo y la calidad. El evento de riesgo es que la agencia que otorga el permiso puede tardar más de lo previsto en emitir el permiso o, en el caso de una oportunidad, que la cantidad limitada de personal disponible asignado al proyecto pueda terminar el trabajo a tiempo y, por consiguiente, realizar el trabajo con una menor utilización de recursos. Si alguno de estos eventos inciertos se produce, puede haber un impacto en el costo, el cronograma o el desempeño del proyecto. Las condiciones de riesgo podrían incluir aspectos del entorno del proyecto o de la organización que pueden contribuir a poner en riesgo el proyecto, tales como prácticas deficientes de dirección de proyectos, la falta de sistemas de gestión integrados, la concurrencia de varios proyectos o la dependencia de participantes externos que no pueden ser controlados. Los riesgos del proyecto tienen su origen en la incertidumbre que está presente en todos los proyectos. Los riesgos conocidos son aquéllos que han sido identificados y analizados, lo que hace posible planificar respuestas para tales riesgos. Para tener éxito, la organización debe comprometerse a tratar la gestión de riesgos de una manera proactiva y consistente a lo largo del proyecto. Debe hacerse una elección consciente a todos los niveles de la organización para identificar activamente y perseguir una gestión eficaz durante la vida del proyecto. Los riesgos existen desde el momento en que se concibe un proyecto. Avanzar en un proyecto sin adoptar un enfoque proactivo en materia de gestión de

riesgos aumenta el impacto que puede tener la materialización de un riesgo sobre el proyecto y que, potencialmente, podría conducirlo al fracaso. RIESGOS GLOBALES: La paz, la democracia y los derechos están viéndose cada vez más amenazados en el contexto de una economía mundial en crisis. Las condiciones en muchos países se han deteriorado desde el Congreso de la CSI en Berlín, y el impacto del desempleo, la pobreza y la inseguridad económica como factores instigadores de conflicto resulta cada vez más aparente. Unos niveles históricos de desempleo, desigualdad y pobreza constituyen un terreno fértil para el reclutamiento de bandas criminales y causas fundamentalistas. Los ataques contra la libertad sindical y el diálogo social, el cierre del espacio democrático en numerosos países, los efectos devastadores del virus del Ébola y la peor crisis de refugiados registrada desde la Segunda Guerra Mundial contribuyen de manera particular a la escalada de riesgos globales. Los sentimientos nacionalistas y sectarios se están propagando, con el extremismo y la intolerancia pasando a un primer plano en muchos entornos políticos nacionales. En alrededor de 40 países están teniendo lugar conflictos armados de diversa intensidad, y el número de grupos armados sigue aumentando. Los conflictos se han intensificado en la región de OMNA, con el surgimiento de grupos yihadistas como el Estado Islámico, insurgencia e inestabilidad en el Norte de África y un estado de permanente tensión entre Israel y Palestina, donde el gobierno israelí bloquea cualquier intento de progreso para lograr la paz y un acuerdo justo. La situación en la frontera entre Rusia y Ucrania corre el riesgo de desembocar en una nueva Guerra Fría, con pocas o ninguna señal de que las negociaciones puedan resolver la crisis en un futuro inmediato. En Asia y el Pacífico, las tensiones geopolíticas están en aumento, y continúan los movimientos insurgentes en varios países. Los conflictos internos y/o la insurgencia yihadista resultan prominentes en muchos países africanos, y el crimen organizado violento, en algunos casos en complicidad con el gobierno, está costando miles de vidas en algunos países de América Latina. En prácticamente todos estos casos, mujeres y niños resultan desproporcionadamente afectados, incluso mediante la esclavitud y la trata de personas. En algunos casos donde la paz ha conseguido ser negociada y la democracia conquistada, corren ahora peligro. Las amenazas y las agresiones físicas contra la UGTT en Túnez pretenden socavar su papel central e histórico a la hora de situar al país en una nueva vía, mientras que el acuerdo de paz en Irlanda del Norte corre el riesgo de dar marcha atrás, desembocando en sectarismo alimentado por los drásticos recortes en el gasto público vital. También están surgiendo nuevos factores generadores de guerras, con las enormes riquezas de Arabia Saudita y Qatar en particular destinándose a sufragar guerras ‘por poderes’ en Siria e Iraq y a poyar la insurgencia en numerosos países. Existen de momento unos 40 grupos armados en Iraq y 60 en Siria, con distintos grados de fuerza y filiación cambiante. Millones de personas se han visto desplazados en la región, y la CSI, la ITF y la CES informarán sobre una misión conjunta enviada a Turquía, una de las últimas fronteras para cientos de miles de refugiados que huyen del conflicto. La capacidad de las Naciones Unidas para mantener la paz se está viendo superada, y la timidez de la ONU combinada con la desvinculación por parte de numerosos países de su papel con vistas a la protección de la paz y la seguridad, está dejando a muchos millones de personas sin la protección vital o la esperanza de que prevalecerá la paz.

Un factor clave en la escalada de conflictos armados es la continua reducción del papel del gobierno, conforme las empresas privadas y el sector financiero van asumiendo cada vez mayor control sobre la toma de decisiones, a expensas de la democracia. Han conseguido frenar la reforma del sistema financiero mundial, encontrar gobiernos sumisos dispuestos a proporcionar refugios fiscales y a imponer un modelo de comercio internacional que garantice que, cuando los intereses de las empresas colisionen con el interés público, sean las empresas las que salgan ganando. La Encuesta Global de la CSI revela que el 78 por ciento de la población considera hoy en día que su economía nacional únicamente sirve a los ricos, mientras que el 84 por ciento piensa que los ciudadanos no tienen suficiente influencia sobre la toma de decisiones económicas. El modelo dominante de comercio internacional está expandiendo unas cadenas de suministro que empobrecen a los trabajadores y trabajadoras, al promover un continuo traslado de los salarios a los beneficios empresariales y que degradan la toma de decisiones democráticas sujetando a los gobiernos a injustificables procedimientos privados de solución de controversias entre inversor y Estado. Esto es algo que contrasta de manera patente con el modelo deseable de comercio que incremente la interdependencia, comparta la riqueza y reduzca posibles conflictos. Los gobiernos, cada vez más comprometidos con los intereses de las empresas, a menudo carecen del coraje necesario para actuar a fin de mitigar y revertir los riesgos globales. El auténtico papel del gobierno, que es regular y proporcionar servicios en interés de la población y encontrar soluciones a los desafíos nacionales y mundiales, debe ser restaurado. No obstante, la demanda popular de libertad de expresión y derechos democráticos, ahí donde están ausentes o se ven amenazados, sigue siendo intensa. El pueblo de Hong Kong, apoyado por la central sindical HKCTU, ha venido mostrando su determinación por defender la democracia y otros ejemplos de movilización popular reclamando derechos, muchas veces con los sindicatos en primera línea, están floreciendo por todo el mundo. La historia reciente demuestra que los gobiernos pueden trabajar juntos para hacer frente a cuestiones de interés global. Tras seis años de complejas negociaciones en torno a toda una serie de temas contenciosos, el Tratado de la ONU sobre el comercio de armas entrará en vigor apenas una semana después de celebrarse esta reunión del Consejo General. Firmado por 122 países y ratificado ya por 54 países este tratado, aunque no es perfecto, pretende al menos por fin garantizar una mayor transparencia y cierta regulación del comercio internacional de armas. Los gobiernos todavía siguen pudiendo hacer frente al reto, pero a menudo sólo lo hacen cuando la presión pública no les deja otra alternativa posible. Riesgos ya familiares a la seguridad mundial, y otros nuevos peligros emergentes, pondrán a prueba el debilitado papel de los gobiernos y las instituciones globales. La amenaza de una nueva proliferación nuclear y la hipótesis catastrófica de que Corea del Norte presione el interruptor nuclear constituye un temor constante para la población en la región y en el resto del mundo. Mantener el mortífero arsenal nuclear mundial cuesta alrededor de 100.000 millones USD al año, dinero que podría reinvertirse en cubrir necesidades humanas esenciales al igual que gran parte de los 1,7 billones USD destinados a fines militares cada año a nivel mundial. La industria armamentista continúa haciendo enormes beneficios, con más de 100 empresas que registran ventas superiores a los 700 millones USD al año, sin contar China, y la mayor de ellas comercializa decenas de miles de millones de dólares en armamento cada año. La devastación inminente ocasionada por el cambio climático, si no se mitiga, supone un peligro real y presente, visto que las catástrofes meteorológicas continúan multiplicándose y la competencia por las tierras, el agua potable y otros recursos vitales se intensifica con el aumento del nivel del mar.

La escalada de ciber-conflictos es otro asunto que plantea riesgos significativos emergentes. Los gobiernos y sus representantes han venido desplegando ciber-tecnología contra otros países en toda una serie de conflictos en curso, y en muchos casos contra levantamientos populares reclamando democracia y derechos. Detrás de estos casos está el espectro de una guerra cibernética a gran escala, algo integrado ya en los planes militares de muchos países. Esto implica trastornos y la paralización de infraestructura crítica, que podrían causar un daño indescriptible a la población civil. Muchos observadores consideran que se trata de una cuestión de cuándo, no de si, se desatará esa tecnología destructora. Los riesgos globales se multiplican, y el sistema internacional no tiene de momento todas las respuestas. Muchos países tampoco tienen la resistencia necesaria para hacer frente a estos retos cuando se materializan. La epidemia del ébola constituye un ejemplo claro de los efectos de décadas de fracaso en las políticas de desarrollo y la gobernanza. Pese a las advertencias urgentes lanzadas por MSF y otros, la lenta respuesta de la comunidad internacional ha costado miles de vidas antes de que la epidemia pudiese considerarse bajo control. Frente a este trasfondo, el papel unificador del movimiento sindical, sus credenciales democráticas y su compromiso con la paz y la democracia resultan más cruciales que nunca antes. Hacer campaña en defensa de los derechos sindicales y contra los ataques al diálogo social es un acto de democracia y de paz en sí mismo. La defensa del pleno empleo y del trabajo decente constituye un elemento esencial para garantizar la justicia social y la estabilidad y para eliminar las desigualdades y la privación económica, principales factores desencadenantes de conflictos. El diálogo social que ha de fundamentar la transición hacia una economía baja en carbono es un ejemplo más del papel esencial que tienen los sindicatos para hacer frente a las crisis globales cuando, de dejarse sin respuesta, amenazan el tejido mismo de las sociedades. El movimiento sindical ha de responder además a los desafíos de la naturaleza cambiante del mundo del trabajo. Con el creciente dominio de los intereses empresariales sobre la política gubernamental, los avances tecnológicos, tanto en cuanto a las aplicaciones técnicas como al enorme incremento en el acceso a la tecnología, corren el riesgo de ser utilizados para aumentar las desigualdades y la inseguridad. Sin embargo, no es algo inevitable, y el movimiento sindical debe estar preparado para moldear el futuro del trabajo de tal manera que beneficie a las personas en lugar de revertir simplemente en ganancias netas para la empresa. Reinvertir en pleno empleo y trabajo decente, e implementar la Declaración de la OIT sobre la Justicia Social, deben constituir elementos centrales de este esfuerzo. RIESGOS EN SISTEMAS DE INFORMACIÓN Es el proceso de identificar, comprender, evaluar y mitigar los riesgos –y sus vulnerabilidades subyacentes– y el impacto en la información, los sistemas de información y las organizaciones que dependen de la información para sus operaciones. Además de identificar los riesgos y las medidas de mitigación del riesgo, un método y proceso de gestión del riesgo ayudará a: -

Identificar los activos críticos de información. Un programa de gestión de riesgos puede ampliarse para identificar también a personas críticas, procesos de negocio y tecnología. Comprender por qué los activos críticos escogidos son necesarios para las operaciones, la realización de la misión y la continuidad de las operaciones.

Para cumplir con la gestión de riesgos como componente de preparación para la ciberseguridad, una organización debe crear un sólido programa de evaluación y gestión del riesgo de la seguridad de la información. Si ya existe un programa de gestión del riesgo empresarial (ERM),

un programa de gestión de riesgos de seguridad de la información puede soportar el proceso de ERM. Los recursos para la construcción de un programa de gestión de riesgos de seguridad de la información incluyen: -

Publicación Especial NIST 800-39, Gestión del Riesgo de Seguridad de la Información. Publicación Especial NIST 800-30, Guía para la Realización de Evaluaciones de Riesgo.

Otros elementos que apoyan un programa de gestión de riesgos de seguridad de la información incluyen: -

Un programa de gestión de activos, Un programa de gestión de la configuración, y Un programa de gestión del cambio.

5.- GESTIÓN DE RIESGOS COMO UN PROCESO Los objetivos del procedimiento son: -

-

Implementar un procedimiento para identificar, clasificar y gestionar los riesgos, que permita su mitigación o eliminación y el cumplimiento efectivo de los objetivos, que garanticen cumplir la misión y alcanzar la visión de cualquier etapa de un proyecto. Establecer los pasos a seguir para garantizar la gestión de riesgos

Entre las principales etapas del procedimiento tenemos: 1. Exploración y ajuste 2. Identificación de riesgos 3. Evaluación de riesgos 4. Clasificación de riesgos 5. Análisis de condiciones 6. Definición de objetivos de control 7. Elaboración del plan de acciones de prevención y control de riesgos 8. Análisis de costo de prevención y control- pérdida estimada 9. Monitoreo de la eficacia del plan de prevención y control de riesgos. 1. Exploración y ajuste. Durante esta etapa se realiza una primera aproximación a la organización objeto de estudio cuyo objetivo es sentar las bases para la efectiva aplicación del procedimiento. Esta se realiza en dos momentos: -

-

Análisis de la organización: Se establecen los objetivos a alcanzar con el uso del procedimiento y se caracteriza la organización objeto de análisis: historia, misión, estructura, objetivos, marco regulatorio aplicable, entre otros. Ajuste del procedimiento a la organización. A partir de la información recopilada durante el análisis se procede a determinar el período de tiempo para el cual se determinarán los riesgos, y para clasificar la severidad cuantificable en base a la pérdida estimada, se definen los valores mínimos y máximos para lo cual se podrá utilizar la siguiente tabla. La severidad cuantificable y los máximos y mínimos dependen de las condiciones propias de la empresa y se definen por el grupo de trabajo atendiendo al capital de trabajo, o el monto de la inversión, entre otras.

2. Identificación de riesgos. La identificación de riesgos se define por cada proceso, teniendo en cuenta los objetivos y las actividades vinculadas a estos. Durante esta etapa se define: a. Los peligros que afectan el objetivo b. Problemas de la organización que la hacen vulnerable al peligro c. Los riesgos asociados a cada objetivo que pueden atentar contra su cumplimiento. d. Manifestaciones del riesgo. Para la identificación de riesgos, se deben realizar varias acciones, que incluyen: la definición del personal que va a formar parte del grupo de trabajo, la elaboración de un cronograma de trabajo, que debe tener como primer paso la capacitación del personal que va a participar en la gestión de los riesgos y en el conocimiento de este procedimiento. Entre las técnicas a utilizar por este grupo de trabajo para la identificación de los riesgos están: Tormenta de ideas, revisión de documentación, identificación de causas mediante diagramas, matriz DAFO, trabajo en grupo, lista de control y entrevistas entre otras. 3. Evaluación del riesgo. No es más que la valoración de la magnitud del riesgo que acecha el cumplimiento de los objetivos de la organización. Para la evaluación de algunas de las variables se utilizará un sistema de escala de 1 a 5, que se interpreta como sigue: 1. Mínimo 2. Bajo 3. Medio 4. Alto 5. Máximo El objetivo de la evaluación de riesgos es tomar decisiones, basadas en los resultados del análisis de riesgo, acerca de los riesgos que requieren tratamiento y sus prioridades. La evaluación de riesgo involucra comparar el nivel de riesgo detectado durante el proceso de análisis con los criterios de riesgo previamente establecidos. Deberían considerarse los objetivos de la organización y la gama de oportunidades que podrían resultar del riesgo. Cuando deba realizarse una selección entre distintas opciones, el mayor potencial de pérdidas debería asociarse con los mayores beneficios potenciales y la selección apropiada dependerá del contexto de la organización. Las decisiones deberían tomar en cuenta al amplio contexto del riesgo e incluir consideraciones a la tolerancia a los riesgos por parte de terceras partes distintas de la organización que se benefician del mismo. Los riesgos bajos y mínimos podrían ser aceptados con un tratamiento futuro mínimo. Los mismos deberían ser monitoreados y revisados periódicamente para asegurar que se mantienen igual. Si los riesgos no son bajos o mínimos, los mismos deberían ser tratados utilizando una o más de las opciones. En algunas circunstancias, la evaluación de riesgos podría conducir a la decisión de llevar a cabo un mayor análisis.

4. Clasificación de los riesgos. Los riesgos deben ser clasificados según su origen en internos y externos. Además de esta se usa otra clasificación según el nivel de riesgos determinado. El objetivo de esta etapa es establecer la prioridad en el manejo del riesgo a partir de su clasificación. Para ello se han establecido cinco niveles: 4-5 – Máximo 3-4 – Alto 2-3 – Medio 1-2 - Bajo Luego de clasificados los riesgos se hace una valoración general del estado actual de los riesgos. Según el criterio de la organización pueden ser descartados del análisis posterior los riesgos mínimos y bajos, por considerarlos de poca incidencia. Existen diferentes tipos de riesgos, entre los que se encuentran: -

Riesgos externos impredecibles Peligros naturales, como tormentas, inundaciones. Evento al azar, como sabotajes, vandalismos. Cambios reguladores, como standard de diseño, de producción, de ambiente Influencia del gobierno Riesgos externos predecibles Condiciones del mercado, como suministro, precio, demanda, competencia Condiciones operacionales, como gastos Fluctuaciones de moneda Tendencias inflacionarias Cambios en los impuestos Influencia cultural Condiciones de mercados para productos y servicios Condiciones ambientales Riesgos internos técnicos Condiciones heredadas Cambios en la tecnología Manejo inapropiado de nueva tecnología. Riesgos internos no técnicos Alcance pobre de definición y control Problemas de planificación Pobre trabajo en equipo Estimados y tiempos de duración no reales Retrasos en la aprobación de fondos y diseños Gerencia no efectiva de proyectos Recursos inadecuados Carencia de fondos propios Relaciones adversas Riegos de ejecución Condiciones ambientales Baja efectividad en la contratación Condiciones adversas de labor, costos y productividad Pobre relación con el proveedor. Riesgos legales Licencias patentes

-

Riesgos contractuales Riesgos ambientales

5. Análisis de condiciones. Se determinan las capacidades que con mayor frecuencia o incidencia determinan las vulnerabilidades del sistema en general y a partir de estas pueden definirse con mayor facilidad los objetivos de control. Para cada riesgo se determinará cuáles son las capacidades más afectadas, o sea las de menor valor. Los resultados de este análisis constituyen la base del plan de acciones de prevención y control de riesgos de forma tal que las acciones de este estén encaminadas a resolver las causas de las vulnerabilidades. 6. Definición de objetivos de control. Los objetivos de control son el resultado o propósito que se desea alcanzar con la aplicación de este procedimiento de control, los que deben verificar los riesgos identificados y estar en función de la política y estrategia de la organización. Estos marcan las estrategias a seguir para minimizar uno o más riesgos y deben estar enfocados en primer lugar a mitigar los riesgos máximos y altos a través de la acción sobre cualquiera de los elementos que integran el nivel de riesgos, o sea ya sea minimizando la severidad, la vulnerabilidad o ambas. 6. MODELO ENTERPRISE RISK MANAGEMENT (ERM) La definición escogida, extraída de Gestión de Riesgos Corporativos (ERM) Marco Integrado (Informe COSO II) es amplia y contempla los conceptos claves de la gestión de riesgos por parte de empresas y otras organizaciones, proporcionando una base para su aplicación en todas las organizaciones en general, aplicable a cualquier industria y sector. Se centra directamente en la consecución de los objetivos establecidos por una entidad determinada y proporciona una base para definir la validez de la gestión de riesgos corporativos. En la definición del recuadro se menciona que es un proceso; esto hace referencia a que no es algo estático, sino más bien un intercambio continuo de acciones y decisiones que fluyen por toda la entidad, que se difunden y están implícitas en la forma como la dirección lleva el negocio. Además, tiene importantes implicancias para la contención de costos, especialmente en los mercados altamente competitivos a los que se enfrentan muchas empresas, ya que, al centrar los esfuerzos en integrar la gestión de los riesgos a las actividades operativas básicas existentes, las organizaciones pueden evitar costos y procedimientos innecesarios. Dado que dicho proceso está a cargo de la entidad como un todo, las personas que la integran deben conocer sus responsabilidades y límites de autoridad. Si bien una entidad fija su misión o visión, que son las metas de alto nivel que están en línea con la estrategia del negocio, para alcanzarlas se fija una serie de objetivos que se difunden hacia las distintas unidades de negocio, divisiones y procesos. Lo que puede ocurrir entre ellas es que no siempre se entiendan o se comunican de modo consistentes; por lo tanto, la gestión de riesgos proporciona los mecanismos necesarios para ayudar a las personas a entender el riesgo en el contexto de los objetivos de la entidad. En línea con lo anterior, la entidad debe adoptar una perspectiva de “cartera global” para los riesgos. Esto implica que cada directivo responsable de una unidad, función, proceso o cualquier actividad tenga que desarrollar una evaluación de sus riesgos, que se puede efectuar de modo cuantitativo o cualitativo. Con una visión completa que abarque a cada nivel sucesivo de la organización, la alta dirección puede determinar si la cartera de riesgo global de la entidad se corresponde con su riesgo aceptado, definido como el “volumen de riesgo, a un nivel amplio, que una entidad está dispuesta a aceptar en su búsqueda de valor”10. Refleja los niveles aceptables de desviación relativa a la consecución de los objetivos

definidos, influyendo en su cultura y estilo operativo. Asimismo, se relaciona con la estrategia de una entidad, ya que diferentes estrategias exponen a una entidad a riesgos distintos. La gestión de riesgos corporativos ayuda a la dirección a elegir aquella que logre la mejor relación: creación de valor /riesgo aceptado por la entidad. En la definición escogida como marco, se hace mención a lograr con “seguridad razonable” el logro de los objetivos. Este concepto hace referencia a que la incertidumbre y el riesgo si bien se pueden acotar con adecuados mecanismos, no implican que se puedan eliminar por completo. Una adecuada administración de los mismos minimiza las amenazas que estos implican, ofreciendo la posibilidad de identificar acontecimientos eventuales, apreciar riesgos y establecer respuestas adecuadas, reduciendo o acotando sus correspondientes costos o pérdidas. En el marco del ERM, la gestión de riesgos corporativos incluye una serie de capacidades que ayudan a la dirección a alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos: -

-

-

-

-

-

Alinear el riesgo aceptado y la estrategia - La gerencia fija objetivos señalados y desarrolla mecanismos para gestionar los riesgos asociados, teniendo en cuenta el riesgo aceptado de la entidad en la evaluación de las alternativas estratégicas. Mejorar las decisiones de respuesta a los riesgos - La gestión de riesgos corporativos proporciona herramientas para identificar los riesgos y seleccionar entre las posibles alternativas de respuestas ellos: evitar, reducir, compartir o aceptar. Reducir imprevistos y pérdidas operativas - Mejora la capacidad de las organizaciones de identificar potenciales eventos y de establecer respuestas, reduciendo imprevistos y acotando los costos o pérdidas asociadas Identificar y gestionar la diversidad de riesgos para toda la entidaddada la complejidad del entorno al que se enfrentan las entidades, existen múltiples riesgos que afectan a la organización como un todo y con distinta intensidad en cada una de sus áreas; la gestión de riesgos corporativos facilita respuestas eficaces e integradas a los impactos interrelacionados de dichos riesgos. Aprovechar las oportunidades con herramientas que permiten la gestión de potenciales eventos, la gerencia puede identificar y aprovechar proactivamente aquellos que representan oportunidades. Mejorar la asignación del capital la obtención de información sólida sobre el riesgo permite a la dirección evaluar eficazmente las necesidades globales de capital, eficientizando la asignación de recursos y minimizando pérdidas.

En suma, la gestión de riesgos corporativos ayuda a una entidad a llegar al destino deseado, evitando (o al menos manejando dentro de límites propuestos) “sorpresas” o eventos no previstos en el camino. El valor de la misma se maximiza cuando la dirección establece estrategias y objetivos que alcanzan un óptimo equilibrio entre las metas de crecimiento y rentabilidad, y los riesgos asociados a los mismos.

El proceso de fijación de riesgo aceptado debe ser específico para cada organización y es responsabilidad del máximo órgano de gestión determinarlo La premisa subyacente en la gestión de riesgos corporativos es que cada entidad existe con el fin último de generar valor para sus accionistas. A diarios las entidades se ven enfrentadas a la falta de certeza y el desafío para la gerencia es determinar hasta qué nivel de incertidumbre es aceptable. La gestión de riesgos corporativos permite a la gerencia identificar, evaluar, y manejar riesgos ante la incertidumbre, y es fundamental en la creación y preservación de valor. A lo largo de este trabajo se plantea que la incertidumbre implica riesgos y oportunidades, con el potencial de poder desgastar o realzar el valor. Por lo tanto, una adecuada gestión de riesgos corporativos permite a la gerencia encargarse efectivamente de la incertidumbre y sus riesgos y oportunidades asociados, propiciando la capacidad de generar valor. La maximización del valor de una organización se logra cuando la gerencia establece claramente objetivos y estrategias para lograr un óptimo equilibrio entre las metas de crecimiento y rentabilidad y los riesgos asociados relacionados, aplicando recursos de manera eficaz y eficiente a fin de lograr los objetivos planteados. 7. IMPLEMENTACION Y DESPLIEGE DE UN ERM Alineación de apetito al riesgo y la estrategia: La dirección debe considerar la tolerancia al riesgo de la entidad cuando busca las alternativas estratégicas, el establecimiento de objetivos y el desarrollo de mecanismos para gestionar los riesgos relacionados con él. Mejora el tiempo de respuesta para decisiones frente a situaciones de riesgo: -

-

-

-

-

El ERM proporciona de forma rigurosa la manera para identificar y seleccionar entre las diferentes alternativas de manejar el riesgo - evitar riesgos, reducirlos, compartirlos, y asumirlos. Reducción operativa de sorpresas y pérdidas: Las entidades pueden conseguir una mayor capacidad para identificar eventos potenciales y establecer las respuestas, para reducir sorpresas y sus costes o pérdidas asociadas. Identificación y Gestión de Riesgos Interrelacionados: Cada empresa se enfrenta a un sinnúmero de riesgos que afectan a diferentes partes de la organización, el ERM facilita la gestión eficaz dando respuesta a los impactos de riesgos múltiples y relacionados entre sí, de una manera integral. Por esto se debería denominar IRM (Integral Risk Management). Aprovechar Oportunidades: Al considerar una amplia gama de posibles acontecimientos, la dirección está en condiciones de identificar de manera proactiva y darse cuenta de más oportunidades. Mejora distribución del Capital: Al obtener información sobre los riesgos robustos la dirección puede evaluar eficazmente las necesidades globales de capital y mejorar la asignación del mismo.

Estas ventajas inherentes al Enterprise Risk Management pueden ayudar a la dirección a alcanzar sus objetivos y evitar la pérdida de recursos. El ERM puede asegurar la gestión eficaz de presentación de informes y el cumplimiento de leyes y reglamentos, evitar daños a la reputación de la entidad y sus consecuencias. En suma, el ERM puede ayudar a una entidad a llegar a donde quiera evitando peligros y sorpresas a lo largo del camino. 8. MODELO Y TECNICAS PARA EL ANALISIS DE RIESGOS Habiendo ya identificado y clasificados los riesgos, pasamos a realizar el análisis de los mismos, es decir, se estudian la posibilidad y las consecuencias de cada factor de riesgo con el fin de establecer el nivel de riesgo de nuestro proyecto.

El análisis de los riesgos determinará cuáles son los factores de riesgo que potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo tanto, deben ser gestionados por el empleador con especial atención. Existen tres tipologías de métodos utilizados para determinar el nivel de riesgos de nuestro negocio. Los métodos pueden ser: • Métodos Cualitativos • Métodos Cuantitativos • Métodos Semicuantitativos Métodos Cualitativos • Se pueden utilizar cuando el nivel de riesgo sea bajo y no justifica el tiempo y los recursos necesarios para hacer un análisis completo. O bien porque los datos numéricos son inadecuados para un análisis más cuantitativo que sirva de base para un análisis posterior y más detallado del riesgo global del emprendedor. Los métodos cualitativos incluyen: – Brainstorming – Cuestionario y entrevistas estructuradas – Evaluación para grupos multidisciplinarios – Juicio de especialistas y expertos (Técnica Delphi) Métodos Cuantitativos Se consideran métodos cuantitativos a aquellos que permiten asignar valores de ocurrencia a los diferentes riesgos identificados, es decir, calcular el nivel de riesgo del proyecto. Los métodos cuantitativos incluyen: • Análisis de probabilidad • Análisis de consecuencias • Simulación computacional Métodos Semi-cuantitativos Se utilizan clasificaciones de palabra como alto, medio o bajo, o descripciones más detalladas de la probabilidad y la consecuencia. Estas clasificaciones se demuestran en relación con una escala apropiada para calcular el nivel de riesgo. Se debe poner atención en la escala utilizada a fin de evitar malos entendidos o malas interpretaciones de los resultados del cálculo.

9. CONSOLIDACIÓN Y AUDITORIA DE LA GESTIÓN DE RIESGOS La norma ISO 31000 señala, en su texto introductorio, que todas las actividades comerciales de una empresa generan riesgos. Esto, antes que ser un aspecto negativo, sienta las bases para una política corporativa orientada a la valoración de los procesos. Es decir, incorpora el riesgo como parte fundamental de la labor comercial. De acuerdo a esto, toda empresa debe tener en cuenta tres aspectos a la hora de consolidar un plan de gestión de riesgos: -

-

El contexto. Es decir, el entorno que rodea la actividad comercial de la empresa, tanto a nivel interno como externo. El objetivo es determinar qué estrategias de mercado son más adecuadas en cada caso. Valoración de riesgos. Que es, en pocas palabras, la definición de los elementos que lo generan, así como sus causas y efectos. Tratamiento. Una vez establecidos esos riesgos y analizados sus efectos, la empresa debe dar otro paso y plantear estrategias para aminorarlos o, en el mejor de los casos, suprimirlos.

Actualmente se aprecia un auge de los sistemas de gestión de riesgos al interior de las empresas. Se constituyen principalmente en una herramienta para ayudar a la administración y la junta a enfrentar proactivamente los riesgos emergentes. Para un auditor debe ser importante la actitud general de la administración frente a la gestión del riesgo y la inversión que se haga sobre este tema. El comportamiento frente al riesgo en general, tendrá una incidencia en cómo se asuman los riesgos propios asociados con la información financiera y sus reportes. Es así como la falta de aceptación, a nivel ejecutivo, de la importancia de gestionar los riesgos de toda la empresa puede indicar una falta de compromiso con la gestión de los riesgos más estrechamente relacionados con los informes financieros. Por el contrario, algunos auditores entienden que el enfoque más amplio de la administración para gestionar los riesgos de toda la empresa puede ser interesante, pero no relevante para las auditorías de los estados financieros. Por ejemplo, riesgos como los movimientos de la competencia, la innovación disruptiva, los cambios en la demografía de los clientes, las preocupaciones sobre el talento o el impacto de los eventos geopolíticos, pueden parecer procesos externos a la contabilidad y a los controles internos del proceso de información financiera. Esta última posición pudiera ser equivocada. El débil compromiso de la administración para abordar los riesgos en general puede ser también un indicador del enfoque de la administración en los riesgos de la información financiera. Por lo tanto, el enfoque de la gestión de riesgos en toda la empresa de una organización puede proporcionar a los auditores información valiosa en el proceso de auditoría. Para un auditor es importante aprender sobre el enfoque empresarial de la gestión de riesgo, quién participa, los tipos de riesgos comerciales identificados y priorizados por la administración como parte de ese proceso; también es importante entender cómo la alta administración así como la junta o consejo supervisan la respuesta de la entidad a las preocupaciones de mayor riesgo, pues su manera de proceder puede proporcionar información valiosa para que el auditor planee de mejor manera sus auditorías. Este entendimiento puede revelar ideas sobre riesgos comerciales clave y el sistema de control interno en conjunto. De acuerdo con Mark S. Beasley (CPA y PhD, director de la Iniciativa ERM en la Universidad Estatal de Carolina del Norte en Raleigh), en un reciente artículo, publicado en “The Journal of

Acountancy”, se plantean algunas consideraciones que debe tener en cuenta el auditor, al respecto: ¿QUIÉN LIDERA EL PROCESO DE GESTIÓN DEL RIESGO? Es importante que una empresa tenga una persona responsable de liderar el tema de gestionar los riesgos. Sin una persona o grupo de individuos explícitamente enfocados en diseñar e implementar un proceso de gestión de riesgos para ser aplicado en toda la empresa, el enfoque de una entidad para la supervisión de riesgos sería insuficiente para monitorear efectivamente el volumen y la complejidad de los riesgos. Por lo tanto, evaluar si la organización ha seleccionado un líder del proceso de gestión de riesgos puede ser una de las primeras consideraciones que los auditores deban hacer. Algunas organizaciones han designado personas para que se desempeñen como jefes de operaciones (CRO – Chief Risk Officers, por sus siglas en inglés), o en puestos con responsabilidades equivalentes, para facilitar el lanzamiento y la coordinación de los procesos permanentes de identificación y presentación de informes de riesgos. También se están creando comités de riesgo a nivel de gestión que consisten en una serie de líderes de unidades de negocios clave de la entidad que se reúnen regularmente para discutir los problemas de riesgo en curso Las consultas que efectúen los auditores a las personas que ocupen estos puestos de liderazgo, pueden proporcionar información sobre la solidez de los procesos de evaluación de riesgos de la administración y una comprensión más profunda de algunos de los riesgos más importantes en el horizonte para la entidad. Así mismo, las consultas pueden proporcionar información importante sobre el diseño del proceso de gestión de riesgos de la entidad y el nivel de compromiso del ejecutivo con ese proceso. Una revisión de las actas de las reuniones de los comités de riesgo a nivel gerencial y las discusiones con los miembros del comité de riesgos pueden proporcionar perspectivas enriquecedoras que ayudan a fortalecer la comprensión del negocio y la industria y los riesgos asociados. También aporta al conocimiento del control de riesgos de la entidad. ¿CUÁL ES EL PROCESO DE IDENTIFICACIÓN DE RIESGO? De acuerdo con el marco de control interno COSO, uno de sus componentes es el de evaluación de riesgos. Las organizaciones identifican los riesgos para gestionarlos y facilitar el logro de sus objetivos. Por tanto, debe haber algún tipo de enfoque estructurado utilizado para involucrar a la gerencia en la identificación y evaluación de riesgos. Comprender el proceso utilizado por la administración para identificar riesgos en toda la empresa es fundamental para la evaluación del auditor. En algunas organizaciones, el proceso de identificación de riesgos está bien definido y los miembros clave de la administración participan periódicamente en actividades para ayudar a identificar los riesgos futuros. Los auditores pueden querer prestar especial atención a las organizaciones que carecen de un enfoque claro y estructurado para involucrar regularmente a la administración en la consideración de los riesgos. Un enfoque débil o inexistente para la identificación del riesgo puede llevar a los auditores a cuestionar si existe un "tono en la parte superior" suficiente con respecto a la gestión del riesgo. La información sobre las técnicas utilizadas para involucrar a la gerencia en un proceso de identificación de riesgos, quién está involucrado en el proceso entre la administración y con qué frecuencia ocurre, puede ofrecer información importante sobre la viabilidad del proceso de evaluación de riesgos de la administración.

¿QUÉ TIPO DE INFORMACIÓN DE RIESGO SE REPORTA? El objetivo de involucrar a la administración en las tareas de identificación de riesgos es ayudar a los líderes de la organización a identificar los riesgos más importantes que puedan afectar el logro de los objetivos. Comprender los riesgos generados por ese proceso ayuda a los auditores a comprender la naturaleza y el alcance de los riesgos que más preocupan a la gerencia. Algunos de los riesgos identificados por parte de la administración, no estarán directamente relacionados con riesgos de errores en los estados financieros; no obstante, la evaluación de los principales riesgos probablemente permita conocer a los auditores sobre factores internos y externos importantes que podrían afectar el modelo de negocios de la entidad o el éxito de su plan estratégico. Esa información puede, a su vez, identificar las posibles presiones sobre la administración que, en última instancia, podrían aumentar el riesgo de error material, incluido el riesgo de fraude. Las organizaciones generalmente informan entre cinco (5) y veinte (20) riesgos clave anualmente a la junta directiva. Generalmente, esa información se presenta a la junta directiva completa o a uno de sus comités, a menudo el comité de auditoría. Varias entidades están creando documentos estandarizados de "perfil de riesgo" en los materiales de lectura previos a la junta. Esos perfiles a menudo incluyen una visión general de la preocupación por el riesgo, su probabilidad de ocurrencia e impacto para la organización, cómo la organización responde a cada riesgo y la adecuación de cada respuesta de la administración a los riesgos, y la administración de métricas está usando para monitorear cada riesgo a través del tiempo. La información de los procesos de evaluación de riesgos de la administración, incluidos los perfiles de riesgo u otros informes de riesgos, puede ser particularmente útil como aporte para las discusiones de "lluvia de ideas" entre el equipo de trabajo sobre los riesgos de errores materiales, incluidos los riesgos de fraude. ¿CUÁN EFECTIVA ES LA SUPERVISIÓN DEL CONSEJO DE LA EVALUACIÓN DE RIESGOS? Si bien la junta directiva es en última instancia responsable de la supervisión de los principales riesgos, a menudo asigna la responsabilidad de comprender y aprobar el proceso de gestión de riesgos de la administración al comité de auditoría. Esto suele ocurrir en ciertas entidades y bajo ciertas legislaciones particularmente. Las juntas directivas suelen asignar cada uno de los riesgos principales a las agendas de futuras reuniones de la junta para su posterior gestión. Los auditores pueden beneficiarse de la comprensión de cómo la junta asigna la responsabilidad de supervisar los procesos de gestión de riesgos de la administración y cómo esos comités evalúan su efectividad de esos procesos. Tanto las actas del comité como las discusiones del auditor con los presidentes de los comités u otros miembros, pueden ser especialmente informativas sobre la solidez del entorno de control general de la entidad y los procesos de evaluación de riesgos. La revisión de esta información puede indicar la eficacia (o la falta de ella) del proceso de gobierno en general. ¿QUÉ TAN EFECTIVO ES EL MANEJO DE RIESGOS DE GESTIÓN? Como práctica, algunas organizaciones están designando a diferentes miembros de la gerencia en toda la empresa para que cumplan el papel de "propietarios de riesgos" para cada uno de los diez o veinte principales riesgos presentados a la junta. Los propietarios del riesgo son responsables de realizar un análisis exhaustivo de su riesgo asignado para comprender los factores que originan el riesgo y evaluar la idoneidad de la respuesta de la entidad a cada riesgo para evitar que ocurra o para minimizar su impacto.

Normalmente, los propietarios de los riesgos son los responsables de actualizar a la alta gerencia y a la junta sobre el estado actual y esperado de su riesgo asignado. Comprender si la administración ha establecido responsabilidades para la gestión de los riesgos clave, y como lo ha hecho, proporcionará una señal sobre la solidez de su enfoque y atención a la supervisión de los riesgos. Si nadie se considera responsable de los principales riesgos, ¿qué tan efectivas son las respuestas a los riesgos? A medida que las entidades fortalecen sus procesos generales de gestión de riesgos en toda la empresa, muchos mejoran sus sistemas de informes, para incluir algunas métricas que ayudan a la administración a monitorear los cambios en las exposiciones de riesgos emergentes. Estas métricas se conocen generalmente como indicadores clave de riesgo (KRI), que pueden basarse en factores internos o externos asociados con cada riesgo emergente. La presencia de KRI en los tableros de gestión puede ayudar a los auditores en la planificación o procedimientos analíticos, además de los conocimientos que pueden proporcionar como parte de los procedimientos analíticos realizados en las etapas finales de la auditoría. Los KRI a menudo se basan en información no financiera y, por lo tanto, pueden brindar oportunidades adicionales para que el auditor desarrolle expectativas sobre los saldos o tendencias de los estados financieros a lo largo del tiempo. INSPECCIONES AGREGADAS El panorama de riesgos en rápida evolución está poniendo de relieve el papel de la evaluación de riesgos en lo que respecta a los controles internos. Si bien es probable que el proceso de gestión para identificar y evaluar riesgos vaya más allá de los riesgos de errores materiales en los estados financieros, la consideración del auditor de una serie de aspectos de esos procesos puede ayudarlo a evaluar los riesgos de la auditoría. El tiempo invertido en comprender y evaluar el proceso general del cliente para gestionar los riesgos que afectan a la empresa puede conducir a una apropiada comprensión de la eficacia de la gestión y la supervisión del riesgo que ejerce la junta. Los sistemas de gestión de riesgos de toda la empresa se han expandido enormemente en los últimos años, principalmente como una herramienta para ayudar a la administración y la junta a abordar los riesgos emergentes. En lugar de tratar el sistema de gestión de riesgos de toda la empresa como algo más allá del ámbito del auditor, los auditores de los estados financieros pueden considerar cómo la información del proceso de gestión del riesgo podría mejorar sus procesos de auditoría. 10. USO DE LA MATRIZ IPERC La matriz IPERC, tal y como sus iniciales lo indican, es una importante herramienta de gestión, de obligatorio cumplimiento y auditable, que permite Identificar los Peligros y Evaluar los Riesgos asociados a los procesos y actividades de cualquier organización, así como determinar los controles a implementarse para evitar daños a la integridad y/o salud de nuestros trabajadores. Se debe recalcar que todas las actividades cuentan con riesgos asociados, los cuales pueden presentarse al cruzar la carretera, conducir un vehículo, practicar algún deporte, esquiar en la nieve, viajar en avión, subir una escalera, manipular líneas de transporte de sustancias cáusticas, trabajar en un espacio confinado y trabajar en minas subterráneas. Para elaborar una matriz IPER de forma más apropiada se debe considerar ciertas reglas básicas como: Se deben considerar riesgos del proceso y de las actividades que se desarrollan. El documento elaborado debe ser apropiado para la naturaleza del proceso que se analiza. Debe ser apropiado para ser aplicado en un tiempo razonable. Debe ser un proceso sistemático de evaluación efectiva. Se debe enfocar siempre las prácticas actuales. Se tiene que considerar todas las actividades tanto

rutinarias como no rutinarias. Se deben considerar diferentes cambios en el ambiente laboral. Se tienen que considerar cambios en el ambiente laboral. Se deberá considerar la evaluación de los trabajadores y los grupos de riesgo. Se deberá considerar los aspectos que afectan en el proceso. Una matriz IPER debe ser estructurada, práctica y debe alentar la participación colectiva.

11. UTILIZACION DEL @RISK “Si el proyecto comienza una semana más tarde, ¿qué impacto tendrá en nuestros beneficios globales?” “¿Cuáles son las probabilidades de completar este proyecto a tiempo y según el presupuesto?” “¿Qué grado de contingencia deberíamos asignar?” @RISK se utiliza a diario para responder a estas y muchas otras preguntas de administración de proyectos. Una aplicación importante de @RISK es el análisis de riesgos en la estimación de costos y la programación de proyectos. @RISK para Excel se integra con Microsoft Project, lo que le permite realizar toda la modelación del riesgo desde un entorno más flexible como es Excel. @RISK puede importar los calendarios de Project en Excel, para que usted pueda usar

todas las fórmulas de Excel y las funciones de @RISK, en sus modelos de Project. Excel se convierte en la interfaz para sus calendarios de Microsoft Project, enlazando directamente con los archivos .MPP(X) subyacentes. Los cambios que haga en Project se reflejarán en Excel y viceversa. Cuando sea necesario ejecutar la simulación Monte Carlo, se usará el generador de calendarios de Microsoft Project para hacer los cálculos, asegurando así la precisión. El resultado final para los administradores de proyectos es un juego de herramientas integradas que, por fin, combina el costo, calendario y modelación del riesgo financiero en un único entorno accesible. Una “nueva visión” de su proyecto Una capa de comunicación conecta Excel y Project, lo que permite la actualización en vivo de calendarios en Project cuando se realizan cambios en Excel. De esta manera, @RISK se convierte en una auténtica herramienta multiplataforma, que permite la modelación del riesgo en los calendarios de Microsoft Project utilizando el mismo @RISK que emplea para modelar en Excel. Consigue lo mejor de ambos entornos: Gráficos, funciones y fórmulas de Excel combinados con el generador de calendarios de Microsoft Project.

El gráfico de Gantt probabilístico de @RISK muestra los intervalos de posibles duraciones alrededor de cada tarea. El informe de escala de tiempo muestra el intervalo de costos acumulados totales, tiempo u otro factor de un proyecto particular. ¿Cómo trabaja @RISK con un proyecto? @RISK puede indicarle la probabilidad de que su proyecto se ajuste al presupuesto o lo exceda. En primer lugar, abra su archivo .MPP(X) en Excel utilizando el comando Abrir del menú Project de @RISK para Excel. El calendario del proyecto, el gráfico de Gantt y los valores se importan a Excel. Una vez que se muestra el calendario en Excel, es posible guardar el nuevo libro de trabajo. Cuando este libro se abra más tarde, el archivo .MPP(X) asociado se abrirá automáticamente y se enlazará al libro de trabajo. Podrá seguir generando sus calendarios en Project y, a continuación, utilizar @RISK para Excel para realizar el análisis de riesgo.

Utilice @RISK para Excel para introducir distribuciones, simular, ajustar distribuciones a datos, definir correlaciones, análisis de sensibilidad, optimizar el calendario y otros. Se pueden utilizar fórmulas en los calendarios que se enlacen a otros cálculos en Excel y realizar cálculos muy difíciles de llevar a cabo en Project. Asimismo, @RISK incluye herramientas de modelación útiles para funciones específicas de proyectos. El menú Project de @RISK le permite importar archivos MPP, definir modelos, realizar análisis y generar informes. Durante una simulación, Project toma los valores de muestra en @RISK para Excel o calculados con fórmulas de Excel. Los valores se envían a Project y el calendario se recalcula utilizando esos valores. Los resultados del calendario recalculado vuelven a @RISK para Excel. De esta manera, todos los cálculos del calendario durante las simulaciones se hacen en Project, lo que garantiza que los resultados se calculan como lo haría un programa auxiliar de Project. @RISK no vuelve a crear su propio generador de calendarios para sustituir al de Project.