Asesoría Gerencial Workshop Top Down + Bottom Up: Una respuesta exitosa ante el reto del Riesgo Operacional Marzo 2008
Views 140 Downloads 3 File size 12MB
Asesoría Gerencial Workshop
Top Down + Bottom Up: Una respuesta exitosa ante el reto del Riesgo Operacional
Marzo 2008 PricewaterhouseCoopers
1
Top Down + Bottom Up: Una respuesta exitosa ante el reto del Riesgo Operacional Horario
Actividad
8:00am – 8:30am
Apertura
8:30am – 9:45am
Riesgo Operacional – Base Conceptual
9:45am – 10:00am
Metodología de Gestión de Riesgo Operacional: Top Down + Bottom Up
10:00am – 10:20am Coffee Break 10:20am – 10:35am
Metodología de Gestión de Riesgo Operacional: Top Down + Bottom Up (cont.)
10:35am – 11:30am Fase 0: Medir la Cultura de Riesgo y Control 11:30am – 12:00am Fase 1: Planificar el Perfil de Riesgo de Alto Nivel 12:00pm – 1:30pm
Almuerzo
1:30pm – 3:00pm
Fase 2: Construcción y Seguimiento del Perfil de Riesgo de Alto Nivel
3:00pm – 3:20pm
Coffee Break
3:20pm – 3:35pm
Introducción a los Casos de Estudio
3:35pm – 5:30pm *connectedthinking
PricewaterhouseCoopers
Fase 3: Identificar los Riesgos Operacionales en las Cadenas de Valor
2
Top Down + Bottom Up: Una respuesta exitosa ante el reto del Riesgo Operacional Horario
Actividad
8:00am – 8:30am
Fase 3: Identificar los Riesgos Operacionales en las Cadenas de Valor (cont.)
8:30am – 10:00am
Fase 4: Analizar y Valorar los Riesgos Operacionales
10:00am – 10:20am Coffee Break 10:20am – 12:00am Fase 4: Analizar y Valorar los Riesgos Operacionales (cont.) 12:00m – 1:30pm
Almuerzo
1:30pm – 2:00pm
Fase 5: Definir Estrategias de Gestión de Riesgos Operacionales
2:00pm – 2:20pm
Fase 6: Reportar y Monitorear los Riesgos Operacionales
2:20pm – 3:00pm
Cuantificación y práctica del Riesgo Operacional
3:00pm – 3:20pm
Coffee Break
3:20pm – 4:20pm
La Reputación y sus Riesgos
4:20pm – 5:00pm
Riesgo Tecnológico usando CobiT
*connectedthinking
PricewaterhouseCoopers
3
Riesgo Operacional – Base Conceptual
PricewaterhouseCoopers
4
Riesgo Operacional – Base Conceptual Origen de los riesgos Factores Externos
Cliente/Mercado Regulaciones
Dirección de la Organización
Procesos
Plataforma Tecnológica y Sistemas
Fusiones y Adquisiciones
Globalización y Competencia
Factores Internos
Cambios Dinámicos
Políticas
Canal de distribución
Comercio Electrónico
Personal
Fraudes / Bandas Organizadas
Protección a los recursos
Catástrofes / Desastres Naturales
Riesgos PricewaterhouseCoopers
5
Riesgo Operacional – Base Conceptual (cont.) Tipos de Riesgo
Riesgo de Reputación Riesgo de Estrategias
Riesgo de Crédito
Riesgo de Mercado
Riesgo Legal
Riesgo Operacional
PricewaterhouseCoopers
6
Riesgo Operacional – Base Conceptual (cont.) Definición de Riesgo Operacional
“Son las posibles pérdidas directas o indirectas resultantes de fallas en los procesos internos, en los recursos humanos y en los sistemas o por la presencia de eventos externos”
PricewaterhouseCoopers
7
Riesgo Operacional – Base Conceptual (cont.) ¿Por qué es importante gestionar los riesgos operacionales?
Causa
Efecto
Recursos humanos Procesos Sistemas Eventos externos
En costos: Sentencias
judiciales Penalizaciones del ente regulador Pérdidas por daños Pagos compensatorios por fallos sobre terceros Multas Reducciones de valor de activos
Causa Impacto
Efecto
En ingresos: Deterioro
Impacto
Erosión del patrimonio y/o disminución del valor accionario
PricewaterhouseCoopers
del nivel de servicio Pérdidas de ingresos Reducción de calidad Pérdida de reputación Interrupción del negocio
8
Riesgo Operacional – Base Conceptual (cont.) Existen numerosos ejemplos de eventos de riesgo operacional que afectan de manera significativa el patrimonio de las organizaciones” Es cá
nd alo s
Suceso: • Fraude Causa: • Falta de control en los procesos, Seguridad inapropiada de los accesos a los archivos transaccionales y de configuración Efecto • Pérdida financiera, Legal y Reputacional Impacto • 7.140 millones de $ PricewaterhouseCoopers
9
Riesgo Operacional – Base Conceptual (cont.) Existen numerosos ejemplos de eventos de riesgo operacional que afectan de manera significativa el patrimonio de las organizaciones” Es cá
nd alo s
Suceso:
Fraude electrónico
Causa:
Falta de control en los procesos Seguridad inapropiada de los accesos a los archivos transaccionales y de configuración
Efecto:
Pérdida financiera, Legal yReputacional
Impacto:
$ 10M
PricewaterhouseCoopers
10
Riesgo Operacional – Base Conceptual (cont.) Existen numerosos ejemplos de eventos de riesgo operacional que afectan de manera significativa el patrimonio de las organizaciones” Es cán dal os
Suceso: • Malversación de fondos para usos ilícitos
Causa: • Falta de ética del personal • Falta de control en los procesos Efecto • Pérdida Legal y Reputacional Impacto • Malversación $110 M
PricewaterhouseCoopers
11
Riesgo Operacional – Base Conceptual (cont.) Existen numerosos ejemplos de eventos de riesgo operacional que afectan de manera significativa el patrimonio de las organizaciones” Es cá
PricewaterhouseCoopers
nd alo s
12
Riesgo Operacional – Base Conceptual (cont.)
¿Qué opinan los ejecutivos de las empresas e instituciones sobre la Gestión de Riesgo Operacional?
PricewaterhouseCoopers
13
11th Encuesta Anual PwC: Competir y Colaborar Según los resultados de la 11va. Encuesta Anual realizada por PricewaterhouseCoopers a nivel mundial, refleja que los CEO buscan equilibrar los riesgos y oportunidades de la actividad competitiva y colaboradora frente a la incertidumbre y los grandes cambios. Los hallazgos indican que el establecimiento de redes empresariales es hoy una respuesta primaria al ambiente actual y que los CEO consideran que los beneficios de hacerlo sobrepasan claramente los costos
PricewaterhouseCoopers
14
Riesgo Operacional – Base Conceptual (cont.)
% Respuestas “Muy confiado”
Confianza en las perspectivas de crecimiento del negocio…
Fuente: Encuesta Global Anual “Competir y Colaborar” 2008 PricewaterhouseCoopers
15
PricewaterhouseCoopers Fuente: Encuesta Global Anual “Competir y Colaborar” 2008 Epidemias y otras crisis de salud
Terrorismo
Derechos de propiedad intelectual
Inadecuación de infraestructura básica
Cambio climático
Alteración tecnológica
Seguridad de la cadena de abastecimiento
Tendencias proteccionistas del gobierno nacional
Escasez de recursos naturales
Seguridad energética
Precios o tarifas de la competencia
Exceso de regulaciones
Caída de economías emergentes
Disponibilidad de habilidades clave
% Respuestas “Totalmente de acuerdo” / “De acuerdo”
Riesgo Operacional – Base Conceptual (cont.) Principales amenazas para el crecimiento del negocio
Asia - Pacífico
Más de $ 10 Billones
Todos los CEO’s
16
Riesgo Operacional – Base Conceptual (cont.) ¿Cuál de las siguientes oportunidades de crecimiento de negocios usted considera como principal para su empresa en los próximos doce meses? Mejor penetración de mercados existentes
Desarrollo de nuevos productos
Expansión geográfica
Fusiones y adquisiciones
Nuevas iniciativas y/o alianzas estratégicas
67% de los CEO´s buscan oportunidades de crecimiento en mercados ya existentes
PricewaterhouseCoopers
17
Riesgo Operacional – Base Conceptual (cont.) ¿Cuál de los siguientes recursos clave usted ve como el recurso principal de ventaja competitiva para alcanzar el crecimiento de su negocio? Innovación tecnológica Mejora del servicio al cliente Acceso y retención de talento clave
Habilidad de adaptación al cambio Habilidad para implementar asociaciones de colaboración exitosas Mejora de la gestión de la cadena de abastecimiento Acceso a recursos escasos
Experiencia de otras culturas
Otros No sabe/ No responde
PricewaterhouseCoopers
18
Riesgo Operacional – Base Conceptual (cont.) Marcos regulatorios y estándares de riesgos nacionales e internacionales…
Perú Perú
PricewaterhouseCoopers
19
Riesgo Operacional – Base Conceptual (cont.)
Marco de Gestión de Riesgo Operacional
PricewaterhouseCoopers
20
Riesgo Operacional – Base Conceptual (cont.) Marco de Gestión de Riesgo Operacional (GRO)
Perfil de RO de alto nivel
Estrategia GRO
Generación Monitorear Procesos de Valor los RO del Negocio Políticas y estrategia de Informar y riesgos Identificar los RO en las cadenas de valor
Analizar y valorar los RO
Definir estrategias de gestión de RO
Organización Metodología GRO TD GRO Cultura de riesgo y Infraestructura control
Accionistas
GRO Cliente Entorno
comunicar los RO
+ BU
Procedimientos GRO
Sistema Información GRO
Socios Competidores
Sociedad y Regulaciones
Entidad PricewaterhouseCoopers
21
Riesgo Operacional – Base Conceptual (cont.) Políticas de Gestión de Riesgo Operacional Ejem plo
1.
La Junta Administradora, la Alta Gerencia y todos los niveles del personal de la organización deberán entender y cumplir con sus responsabilidades en relación con la gestión del riesgo operacional La Junta Administradora deberá aprobar la implementación de un esquema con alcance a toda la institución para gestionar explícitamente los riesgos operacionales como una categoría de riesgo distinta para la seguridad y solidez de la Institución. Este esquema debe proporcionar una definición a nivel corporativo del riesgo operacional y establecer los principios para asegurar la gestión del referido riesgo
2.
Identificar y evaluar el riesgo operacional inherente en todas las cadenas de valor, actividades, procesos y sistemas de la Institución La identificación del riesgo operacional en las áreas, procesos y productos de la organización, constituye el primer paso en el proceso de gestión del riesgo operacional. En este sentido, deberá determinar los riesgos operacionales a los cuales se encuentra expuesta la Institución, considerando tanto factores internos como factores externos que puedan afectar adversamente el logro de los objetivos
PricewaterhouseCoopers
22
Riesgo Operacional – Base Conceptual (cont.) Modelo organizativo de Gestión de Riesgo Operacional Ej em
Junta Directiva
Centralizado: • Existe una Unidad de Riesgo Operacional, independiente de Auditoría Interna • Estructura de Delegados de Riesgo Operacional responsables directos en unidades de negocio y apoyo
Comité de Riesgo
Comité de Auditoría
Unidad Integral de Riesgo Unidad de Riesgo Operacional
pl o
Gerencia General
Unidades de Negocio
Delegados de Riesgo Operacional
Auditoría Interna
Unidades de Apoyo
Tecnología Units deBusiness Información Business Units Personal Legal
PricewaterhouseCoopers
Administración
23
Riesgo Operacional – Base Conceptual (cont.) Modelo organizativo de Gestión de Riesgo Operacional Ej em
Liderado por Auditoría Interna: • Auditoría Interna asume el rol de gestión de riesgo operacional • Cada unidad de negocio y apoyo es responsable de la gestión de riesgo
Junta Directiva
pl o
Comité de Auditoría y Riesgo Gerencia General
Unidades de Negocio
Auditoría Interna y Riesgo
Unidades de Apoyo
Tecnología Units deBusiness Información
Delegados de Riesgo Operacional
Personal Legal Administración
PricewaterhouseCoopers
24
Riesgo Operacional – Base Conceptual (cont.) Roles y Responsabilidades en la Gestión de Riesgo Operacional Junta Directiva
Ej em
• Asegurar el establecimiento de la estrategia de gestión de riesgo operacional y su alineación con los objetivos de negocio y el apetito de riesgo
pl o
• Aprobar las políticas, procedimientos, metodologías (cualitativas – cuantitativas) y límites de riesgos operacional propuestas por el Comité de Riesgo Operacional • Monitorear los cambios en el perfil de riesgo operacional y su impacto en los objetivos estratégicos del negocio • Monitorear el funcionamiento continuo de los procesos de gestión de riesgo reportados por el Comité de Riesgo Operacional
Comité Ejecutivo • Tiene responsabilidad legal compartida con la Junta Directiva para la administración integral de los riesgos, incluyendo el riesgo operacional • Proveer dirección y retroalimentación en las respuestas a los principales riesgos • Monitorear el perfil de riesgo operacional de alto nivel y las respuestas de mitigación, como parte de la revisión de desempeño del negocio PricewaterhouseCoopers
25
Riesgo Operacional – Base Conceptual (cont.) Roles y Responsabilidades en la Gestión de Riesgo Operacional Comité de Riesgo Operacional
Ej em
pl o
• Promover el compromiso de la Alta Gerencia con la estrategia de gestión de riesgo operacional • Definir y divulgar las políticas, procedimientos y metodologías (cualitativas – cuantitativas) de gestión de riesgo operacional • Proveer lineamientos y herramientas para la identificación, evaluación, mitigación y monitoreo de los riesgos operacionales, de forma continua • Revisar el perfil de riesgo operacional de alto nivel • Revisar los reportes elaborados por la Unidad de Riesgo Operacional que consolidan los avances de la implantación de la estrategia de gestión de riesgo operacional • Monitorear la efectividad de la implantación de los planes de acción por parte de las unidades de negocio y apoyo y que se ejecuten en el tiempo establecido • Monitorear los cambios en el negocio y en el sector de mercado donde opera la organización, a fin de evaluar su impacto en el manejo de los riesgos • Monitorear los eventos de pérdida significativos y evaluar su impacto en el negocio PricewaterhouseCoopers
26
Riesgo Operacional – Base Conceptual (cont.) Roles y Responsabilidades en la Gestión de Riesgo Operacional
Ej em
Comité de Riesgo Operacional (cont.)
• Evaluar los riesgos operacionales asociados al desarrollo de un nuevo producto y/o servicio, y proponer las recomendaciones al Comité Ejecutivo o Junta Directiva
pl o
• Proponer límites de tolerancia a los riesgos operacionales y coberturas necesarias • Revisar los Indicadores Claves de Riesgo (KRI) • Asegurar el funcionamiento del plan de contingencia de negocio • Aprobar el presupuesto para la Unidad de Riesgo Operacional y monitorear su desempeño
Composición:
Frecuencia:
¾ Directores - Gerentes de primera línea de las unidades de negocio y apoyo ¾ Gerente de Auditoría Interna ¾ Gerentes de Riesgos ¾ Directores de las unidades de negocio ¾ Gerente de Riesgo Operacional (Secretario) ¾ Invitados especiales a discreción del Comité
La frecuencia de reuniones del Comité debe ser determinada, acordada y documentada. Por lo general, se establecen reuniones mensuales
PricewaterhouseCoopers
27
Riesgo Operacional – Base Conceptual (cont.) Roles y Responsabilidades en la Gestión de Riesgo Operacional
Ej em
Comité de Auditoría
pl o
• Asegurar que el plan de trabajo de auditoría interna incluya revisiones de los procesos o áreas prioritarias identificadas, mediante la aplicación de las metodologías de gestión de riesgos operacionales • Supervisar la efectividad del marco de gestión de riesgo operacional y el cumplimiento con los requerimientos de gobierno corporativo
Finanzas • Implementar las políticas de gestión de riesgo operacional en sus procesos • Incorporar los procesos de gestión de riesgo operacional como parte de su planificación, medición de desempeño y proceso de reporte • Asegurar que las unidades adjuntas reportan sus riesgos y respuestas • Revisar regularmente la efectividad de los procedimientos de gestión de riesgo PricewaterhouseCoopers
28
Riesgo Operacional – Base Conceptual (cont.) Roles y Responsabilidades en la Gestión de Riesgo Operacional
Ej em
Planificación Estratégica
pl o
• Identificar los principales riesgos y oportunidades, evaluar su impacto en el plan estratégico anual • Asegurar que los requerimientos para la mitigación de los riesgos operacionales están incluidos en el plan estratégico
PricewaterhouseCoopers
29
Riesgo Operacional – Base Conceptual (cont.) Roles y Responsabilidades en la Gestión de Riesgo Operacional Unidad de Riesgo Operacional
Ej em
pl o
• Coordinar y realizar seguimientos periódicos al esquema de control del riesgo operacional • Fomentar la cultura de riesgo en todos los niveles de cargo de la organización • Proveer políticas y metodologías (cualitativas – cuantitativas) para la identificación, evaluación y medición de los riesgos operacionales, a fin de asegurar el cumplimiento de los objetivos de negocio • Determinar las herramientas y sistemas de información necesarios para la adecuada administración de los riesgos operacionales • Proponer al Comité de Riesgo Operacional los límites de exposiciones al riesgo operacional • Velar que todos los proyectos que se llevan a cabo en la organización, así como el diseño de nuevos productos y servicios, cumplan con las premisas básicas de mitigación de riesgos operacionales PricewaterhouseCoopers
30
Riesgo Operacional – Base Conceptual (cont.) Roles y Responsabilidades en la Gestión de Riesgo Operacional
Ej em
Unidad de Riesgo Operacional
pl o
• Definir los requerimientos para la recolección de información de pérdidas por riesgos operacionales, así como administrar el Sistema de Gestión de Pérdidas • Desarrollar procesos de respuesta al riesgo para asistir en la identificación de los tipos y niveles de respuestas requeridos y evaluar lo adecuado de esas respuestas • Capacitar a los Delegados de Riesgo Operacional en los procesos de administración de riesgo en las unidades de negocio • Reportar al Comité de Riesgo Operacional los avances de la gestión realizada sobre el proceso de gestión de riesgo operacional y aportar las recomendaciones prácticas para el mejoramiento
PricewaterhouseCoopers
31
Riesgo Operacional – Base Conceptual (cont.) Roles y Responsabilidades en la Gestión de Riesgo Operacional Delegados de Riesgo Operacional
Ej em
pl o
• Apoyar a su unidad funcional en el proceso de identificación de riesgos operacionales y evaluación de su impacto y frecuencia de ocurrencia • Revisar los planes de acción para gestionar los riesgos operacionales de su unidad funcional • Elaborar propuestas de acciones para mitigar los riesgos identificados • Definir y proponer indicadores de riesgo operacional, así como la fijación de los límites de tolerancia • Monitorear la implantación de los planes de acción e indicadores de riesgo operacional • Reportar los incidentes o eventos de pérdidas a la Unidad de Riesgo Operacional • Apoyar a la Unidad de Riesgo Operacional en los procesos de recolección de eventos de pérdidas, asegurando el seguimiento de dichos eventos en términos de causa, efecto y medida de mitigación PricewaterhouseCoopers
32
Riesgo Operacional – Base Conceptual (cont.) Roles y Responsabilidades en la Gestión de Riesgo Operacional Perfil Delegados de Riesgo Operacional
Ej em
pl o
• Conocimiento en materia de riesgo y control • Experiencia en el manejo de procesos, productos y servicios donde se desempeña • Debe formar parte de las áreas de negocio y apoyo en las cuales desarrolla su actividad • Línea de reporte directa al gerente o encargado del área de negocio o apoyo (Responsable de la unidad) • Funcionalmente, debe reportar a la Unidad de Riesgo Operacional • Dedicación a tiempo parcial o total, según el tamaño y complejidad del área • Capacidad de análisis y de comunicación
PricewaterhouseCoopers
33
Riesgo Operacional – Base Conceptual (cont.) Roles y Responsabilidades en la Gestión de Riesgo Operacional Unidades de Negocio y Apoyo
Ej em
• Coordinar y realizar seguimientos periódicos al esquema de control del riesgo operacional
pl o
• Participar activamente en la identificación y la evaluación del riesgo operacional en su área • Realizar seguimiento de los indicadores de riesgos • Seguir y reportar los incidentes y pérdidas por materialización de los riesgos a la URO • Participar en la definición e implantación de las acciones correctivas de los riesgos • Designar responsables o delegados de riesgo operacional en cada unidad • Implementar las acciones mitigantes definidas para cada uno de los riesgos operacionales identificados, de acuerdo con las prioridades establecidas • Conducir la evaluación regular del cumplimiento de las políticas de la organización, los procedimientos y las prácticas relacionados con los riesgos • Asegurar la eficacia del control interno en relación con el manejo de los riesgos de su unidad PricewaterhouseCoopers
34
Riesgo Operacional – Base Conceptual (cont.) Roles y Responsabilidades en la Gestión de Riesgo Operacional Auditoría Interna
Ej em
pl o
• Incluir en el plan de auditoría interna la revisión de las áreas o procesos prioritarios según las evaluaciones de riesgo operacional • Elaborar o adaptar los programas para incluir dentro de la revisión los aspectos relacionados con la gestión de riesgo operacional • Revisar el cumplimiento de las políticas y procedimientos de gestión de riesgo operacional por parte de las unidades de negocio y apoyo • Revisar los procesos de administración de riesgo operacional – tanto su diseño como funciones • Realizar pruebas de efectividad de los controles asociados a los riesgos operacionales identificados por las unidades de negocio y apoyo • Proveer opinión independiente a la Junta Directiva y al Comité Ejecutivo, sobre la efectividad de la gestión de riesgo y funcionamiento del sistema de control interno
PricewaterhouseCoopers
35
Riesgo Operacional – Base Conceptual (cont.) Roles y Responsabilidades en la Gestión de Riesgo Operacional Auditoría Interna (Cont.)
Ej em
pl o
• Establecer programas de seguimiento para la determinación del cumplimiento de los planes de acción por parte de las áreas auditadas • Presentar como mínimo, semestralmente, un informe al Comité Ejecutivo o a la Junta Directiva, el cual debe contener las revisiones y observaciones derivadas de las revisiones llevadas a cabo en las unidades de negocios y apoyo en el ámbito de la gestión de riesgo
PricewaterhouseCoopers
36
Riesgo Operacional – Base Conceptual (cont.) Principales Beneficios de la Gestión de los Riesgos Operacionales
Facilita el logro de los objetivos del negocio
e d n ó i c a e r C
Permite prepararse ante cambios adversos Reduce las pérdidas operacionales
r o l va
Fortalece la cultura de riesgo Fortalece la imagen de la empresa Proporciona una herramienta para la evaluación de desempeño
PricewaterhouseCoopers
37
Metodología de Gestión de Riesgo Operacional: Top Down + Bottom Up
PricewaterhouseCoopers
38
Metodología de Gestión de Riesgo Operacional: Top Down + Bottom Up Provee una solución integral que permite a las organizaciones; sin importar su tamaño o misión; identificar, valorar, mitigar, comunicar y monitorear los riesgos operacionales que reta los objetivos estratégicos, proyectos y actividades del “día a día”
PricewaterhouseCoopers
39
Metodología de Gestión de Riesgo Operacional: Top Down + Bottom Up (cont.) ¿Por qué aplicar un enfoque Top Down o Bottom Up? • Relacionado con los objetivos estratégicos del negocio
Top Down
• Alineación de la estrategia, los riesgos y la creación de valor • Portafolio de riesgos de alto nivel • Mitigación de riesgo de alto nivel
+
• Perfil de riesgo a corto plazo • Depende de la iniciativa de la Alta Gerencia • Relacionado con cadenas de valor, procesos o áreas específicas
Bottom Up
• Identificación de riesgos en las actividades del “día a día” • Portafolio de riesgos detallado • Mitigación de riesgo focalizada • Depende de la iniciativa del personal profesional
La experiencia indica que la suma de estos enfoques permiten dar una respuesta exitosa al reto de los riesgos operacionales PricewaterhouseCoopers
40
Metodología de Gestión de Riesgo Operacional: Top Down + Bottom Up (cont.) ¿Cuándo deben ser aplicados estos enfoques?
Top Down
• Cómo complemento de la planificación estratégica • Cuándo existan cambios en los objetivos estratégicos
• Cuándo se requiere un análisis de riesgo detallado sobre cadenas de valor, procesos o áreas críticas • Cuándo surgen pérdidas operacionales que ameritan un análisis de los riesgos • Cómo parte de un proceso continuo de gestión de riesgo
PricewaterhouseCoopers
Bottom Up
41
Metodología de Gestión de Riesgo Operacional: Top Down + Bottom Up (cont.) ¿Quiénes son los actores claves?
Top Down • Presidente ejecutivo • Directores internos y externos • Gerentes de primera línea
Bottom Up • Gerencia de las unidades de negocio y apoyo • Gerencia de Riesgo Operacional • Delegados de Riesgo Operacional • Auditoría interna • Seguridad de la información • Oficial de cumplimiento PricewaterhouseCoopers
42
Metodología de Gestión de Riesgo Operacional: Top Down + Bottom Up FASES
TOP DOWN
BOTTOM UP
0. Medir la Cultura de Riesgo y Control
1.
2.
3.
4.
5.
6.
Construcción y seguimiento del perfil de riesgo de alto nivel
Identificar los riesgos operacionales en las cadenas de valor
Analizar y valorar los riesgos operacionales
Definir estrategias de gestión de riesgos operacionales
Reportar y monitorear los riesgos operacionales
Planificar el perfil de riesgo de alto nivel
1, 2, 3, 4, 5, 6. Adiestramiento Fases en paralelo Puntos de aprobación formal PricewaterhouseCoopers
43
Metodología de Gestión de Riesgo Operacional: Top Down + Bottom Up FASES
TOP DOWN
BOTTOM UP
0.
Medir la Cultura de Riesgo y Control
1.
Planificar el perfil de riesgo de alto nivel
2.
3.
4.
5.
6.
Construcción y seguimiento del perfil de riesgo de alto nivel
Identificar los riesgos operacionales en las cadenas de valor
Analizar y valorar los riesgos operacionales
Definir estrategias de gestión de riesgos operacionales
Reportar y monitorear los riesgos operacionales
1, 2, 3, 4, 5, 6. Adiestramiento Fases en paralelo Puntos de aprobación formal PricewaterhouseCoopers
44
Fase 0: Medir la Cultura de Riesgo y Control Objetivo: Medir la percepción e identificación del personal en las diferentes áreas de la organización, durante un periodo determinado, en relación con el ámbito de riesgo y control
PricewaterhouseCoopers
45
Fase 0: Medir la Cultura de Riesgo y Control (cont.) Cultura de riesgo: Conjunto de valores, actitudes y prácticas compartidas que caracterizan cómo una organización considera y enfrenta los riesgos de sus actividades del “día a día”
Cultura de control: Actúa sobre todo en una organización donde los controles no son vistos como alcabalas, sino más bien como mecanismos para proteger y minimizar el impacto de los riesgos en el negocio
PricewaterhouseCoopers
Estrategias
Políticas de gestión de riesgo Procesos de gestión de riesgo
Identificación Valoración
Seguimiento
Reporte
Mitigación del riesgo
Gestión de operaciones
Cultura de riesgo en la organización
46
Fase 0: Medir la Cultura de Riesgo y Control (cont.) Sub-Fases:
Entregables:
0.1 Planificación de la MCRC y selección de la muestra
• Informe Ejecutivo de Medición de Cultura de Riesgo y Control
0.2 Distribución de cuestionarios e instructivos
• Informe Detallado de Medición de Cultura de Riesgo y Control
0.3 Recolección de cuestionarios 0.4 Procesamiento y análisis de los resultados obtenidos y elaboración de informes PricewaterhouseCoopers
47
Fase 0: Medir la Cultura de Riesgo y Control (cont.) Sub-Fase: Ej em
0.1 Planificación de la MCRC y selección de la muestra
pl o
0.1.1 Definición del alcance de la medición, en términos de: - Áreas funcionales - Niveles de Cargo: Vicepresidente, Directores, Gerentes y Personal de apoyo - Antigüedad Laboral: Hasta 1 año, Entre 1 y 3 años, Más de 3 años - Localidad: Centro, Oriente, Occidente 0.1.2 Selección del método de distribución del cuestionario “Cultura de Riesgo y Control de la Organización” 0.1.3 Presentación de inicio a la gerencia PricewaterhouseCoopers
48
Fase 0: Medir la Cultura de Riesgo y Control (cont.) Sub-Fase: 0.2 Distribución de cuestionarios e instructivos El cuestionario “Cultura de Riesgo y Control de la Organización” está estructurado con base a los ocho (8) componentes COSO-ERM y los atributos clave y secundarios de la Gestión Integral de Riesgo 1. Componentes COSO II-ERM-GIR 2. Atributos clave y secundarios de la Gestión Integral de Riesgo (ERM-GIR)
PricewaterhouseCoopers
49
Fase 0: Medir la Cultura de Riesgo y Control (cont.) Sub-Fase: 0.2 Distribución de cuestionarios e instructivos 1. Enfoque por los ocho (8) componentes COSO II- ERM-GIR
PricewaterhouseCoopers
2. Enfoque por los cuatro (4) atributos clave para una efectiva GIR
50
Fase 0: Medir la Cultura de Riesgo y Control (cont.) Sub-Fase: 0.2 Distribución de cuestionarios e instructivos
Red Interna de la organización
Configura servidor web/ Sistema de Encuesta
Envía e-mail con instructivo y ruta de acceso al sistema
Respuestas al cuestionario
Sistema MCRC (Medición de Cultura de Riesgo y Control)
PricewaterhouseCoopers
Base de Datos Servidor Web 51
Fase 0: Medir la Cultura de Riesgo y Control (cont.) Sub-Fase: 0.2 Distribución de cuestionarios e instructivos Ej em pl o
PricewaterhouseCoopers
52
Fase 0: Medir la Cultura de Riesgo y Control (cont.) Sub-Fase: 0.3 Recolección de Cuestionarios
Red Interna de la Organización
Importar datos
Sistema MCRC (Medición de Cultura de Riesgo y Control)
Base de Datos
Servidor Web PricewaterhouseCoopers
53
Fase 0: Medir la Cultura de Riesgo y Control (cont.) Sub-Fase: 0.4 Procesamiento y análisis de los resultados obtenidos y elaboración de informes Proporciona listados, gráficos estadísticos y de análisis, relevantes para determinar la posición de la organización con respecto a COSO y elaborar los informes finales y las acciones estratégicas Sistema MCRC
Informe de resultados Resumen Ejecutivo •
Estadísticas resultantes
• •
Análisis de medición – Comparación COSO Acciones estratégicas
Informe de Detalle de Resultados y Recomendaciones
PricewaterhouseCoopers
54
Fase 0: Medir la Cultura de Riesgo y Control
(cont.)
Sub-Fase: Ej
0.4 Procesamiento y análisis de los resultados obtenidos y elaboración de informes
em pl o
Resultados Generales por Tipo de Respuesta 22.00%
12.00% 3.99%
30.00%
32.01%
Sí, en todo momento
Sí, con algunas excepciones
Desconozco la respuesta
No, con algunas excepciones
No, nunca
Distribución de respuestas por niveles de cargo Alta Gerencia
45.7%
Gerencia Media
30.0%
Staff
20% Fuerte
35.0%
25.6%
40% Bueno
13.9%
15.4%
26.0%
45.8%
0%
PricewaterhouseCoopers
25.0%
10.2%
60%
Precaución
9.0%
18.4%
80%
100%
Revisión Sugerida
55
Fase 0: Medir la Cultura de Riesgo y Control (cont.) Sub-Fase: Ej em pl
0.4 Procesamiento y análisis de los resultados obtenidos y elaboración de informes
o
Comparación por componente COSO II-ERM-GIR 2 1.5
2 1.88 1.23
2
2
1.30 1.75 0.77
1
Media Aritmética
2
2
2
1.40
1.44
1.28
1.33
2 1.35
-0.5
0.95
1.22
0.5 0
2
0.89 0.01 Ambiente de Control
-1 -1.5
Establecimiento Identificación de Evaluación de de Objetivos Eventos Riesgo -0.50
Respuesta al Riesgo
Actividades de Control
Información y Comunicación
Monitoreo
-1.01
-2
COSO II-ERM-GIR
PricewaterhouseCoopers
Promedio Sector
Compañía
56
Fase 0: Medir la Cultura de Riesgo y Control (cont.) Sub-Fase: 0.4 Procesamiento y análisis de los resultados obtenidos y elaboración de informes Aspectos de Precaución o Revisión Sugerida
Media Aritmética
Acción Estratégica
pl o
Compone nte COSO IIERM-GIR
em
Atributo Secundario
Ej
Atributo Clave
Gestión de Riesgo e Infraestructura
Identificación y evaluación de riesgos
Evaluación de riesgo
Se dispone de herramientas que le ayuden a evaluar y medir el impacto y probabilidad de ocurrencia de los riesgos
0,28
Evaluar la utilización de las herramientas disponibles para la evaluación y medición del impacto y la probabilidad de ocurrencia de los riesgos a fin de determinar el uso óptimo de las mismas y la necesidad de adquirir nuevas herramientas
Liderazgo y estrategia
Integridad y valores éticos
Ambiente de Control
Los encuestados consideran que los canales de denuncias no garantizan el anonimato del denunciante
0,61
Revisar los procesos, herramientas y canales de denuncias establecidos en la Organización, a fin de garantizar la confidencialidad del denunciante e incentivar el uso de tales mecanismos
PricewaterhouseCoopers
57
Fase 0: Medir la Cultura de Riesgo y Control (cont.) Sub-Fase: 0.4 Procesamiento y análisis de los resultados obtenidos y elaboración de informes
Eje
mp lo
Comparaciones (Benchmarking)
Organización 0.80
Organización 1.30 PricewaterhouseCoopers
Benchmarking Media Aritmética MCRC Sector Más Baja Promedio Más Alta 0.90 1.02 1.20
Benchmarking Desviación Estándar MCRC Sector Más Baja Promedio Más Alta 0.96 1.06 1.18 58
Metodología de Gestión de Riesgo Operacional: Top Down + Bottom Up FASES
TOP DOWN
BOTTOM UP
0. Medir la Cultura de Riesgo y Control
1.
2.
3.
4.
5.
6.
Construcción y seguimiento del perfil de riesgo de alto nivel
Identificar los riesgos operacionales en las cadenas de valor
Analizar y valorar los riesgos operacionales
Definir estrategias de gestión de riesgos operacionales
Reportar y monitorear los riesgos operacionales
Planificar el perfil de riesgo de alto nivel
1, 2, 3, 4, 5, 6. Adiestramiento Fases en paralelo Puntos de aprobación formal PricewaterhouseCoopers
59
Fase 1: Planificar el perfil de riesgo de alto nivel Introducción al Perfil de Riesgo – Objetivo
Analizar la viabilidad de la planificación estratégica en las organizaciones, a través de la visión global de los riesgos (perfil de riesgo de alto nivel) que pueden oponerse al logro de dicha planificación
PricewaterhouseCoopers
60
Fase 1: Planificar el perfil de riesgo de alto nivel (cont.)
Opinión de la gerencia sobre el perfil de riesgo: No tener un perfil de riesgo o tener un perfil de riesgo equivocado, puede llevar a una gestión errónea de los riesgos y el resultado puede ser catastrófico
Según un estudio realizado por Mercer Consulting entre las empresas que integran el Fortune 1000, la caída del valor de las acciones de estas compañías en los últimos años ha tenido como causa principal una deficiente gestión del riesgo, tanto estratégico como operacional PricewaterhouseCoopers
61
Fase 1: Planificar el perfil de riesgo de alto nivel (cont.)
Concepto de Perfil de Riesgo
Un perfil de riesgo es definido como un portafolio consolidado de riesgos, con su impacto en el negocio y la probabilidad de ocurrencia
PricewaterhouseCoopers
62
Fase 1: Planificar el perfil de riesgo de alto nivel
Base Conceptual
(cont.)
Tipos de Perfil de Riesgo 9 Perfil de riesgo de alto nivel Provee un portafolio consolidado de los riesgos identificados en la organización, basados en los objetivos estratégicos, de operaciones, reporte y cumplimiento. 9 Perfil de riesgo detallado Provee el portafolio de riesgos de los procesos de una unidad de negocio o de apoyo específica.
PricewaterhouseCoopers
63
Fase 1: Planificar el perfil de riesgo de alto nivel (cont.)
Consecuencias de no determinar el perfil de riesgo de alto nivel
Pérdida de valor de la organización, ante la posible materialización de riesgos
Inconsistencia entre los procesos de gestión de riesgo existentes y los principales riesgos de la organización
PricewaterhouseCoopers
Planificación estratégica no idónea Incumplimiento de metas
Consecuencias de no determinar el Perfil de Riesgo de Alto Nivel
Pérdida de prestigio frente al mercado y/o entes reguladores
Vulnerabilidad ante cambios significativos en el entorno (nuevas leyes y regulaciones)
64
Fase 1: Planificar el perfil de riesgo de alto nivel (cont.)
Sub-Fases: 1.1 Objetivos y alcance
Entregables:
Plan del perfil de riesgo operacional de alto nivel
1.2 Fuentes de información
1.3 Equipo de trabajo 1.4 Detalle del plan de trabajo y responsables
PricewaterhouseCoopers
65
Fase 1: Planificar el perfil de riesgo de alto nivel (cont.)
Sub-Fase: 1.1 Objetivos y alcance Objetivos 9 Identificar y consolidar los riesgos que afecten el logro de los objetivos de la organización 9 Valorar los riesgos determinando su probabilidad e impacto 9 Definir las estrategias de gestión para asegurar que los riesgos se encuentren dentro del apetito de riesgo establecido por la organización 9 Incentivar la cultura de riesgo y control en la organización
PricewaterhouseCoopers
66
Fase 1: Planificar el perfil de riesgo de alto nivel (cont.)
Sub-Fase: 1.1 Objetivos y alcance Alcance 9 Establecer los objetivos del negocio prioritarios 9 Seleccionar los objetivos del negocio a los cuales se les determinará el perfil de riesgo de alto nivel 9 Preparar un documento de conclusiones 9 Obtener la aprobación 9 Lograr el compromiso del personal clave para el análisis del perfil de riesgo de alto nivel
PricewaterhouseCoopers
67
Fase 1: Planificar el perfil de riesgo de alto nivel (cont.)
Sub-Fase: 1.2 Fuentes de información Recopilar información tal como: 9 Planeamiento estratégico del negocio 9 Evaluaciones y reportes de riesgo de auditoría interna 9 Políticas relacionadas con riesgo 9 Planes de continuidad del negocio 9 Reportes especiales relacionados con riesgo emitidos por la Junta Directiva y la Gerencia 9 Datos sobre eventos de pérdidas operacionales 9 Asuntos legales de interés 9 Presupuestos PricewaterhouseCoopers
68
Fase 1: Planificar el perfil de riesgo de alto nivel (cont.)
Sub-Fase: 1.3 Equipo de trabajo
9 Comité Director del Proyecto Perfil de Riesgo 9 Patrocinador del proyecto: director de área 9 Gerentes de unidades de negocio 9 Personal de apoyo
PricewaterhouseCoopers
69
Fase 1: Planificar el perfil de riesgo de alto nivel (cont.)
Sub-Fase: Ej em pl
1.4 Detalle del plan de trabajo y responsables
o
Actividades
Duración (Días)
Fecha Inicio
Fecha Finalización Responsable
Fase 1: Planificar el perfil de riesgo de alto nivel Objetivos y alcance Fuentes de información Enfoque de trabajo Equipo de trabajo Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel Entender el negocio y clasificar los objetivos Identificar riesgos por cada objetivo de negocio Valorar los riesgos Determinar el apetito de riesgo Considerar respuestas al riesgo Elaboración del plan de seguimiento Seguimiento al perfil de riesgo PricewaterhouseCoopers
70
Metodología de Gestión de Riesgo Operacional: Top Down + Bottom Up FASES
TOP DOWN
BOTTOM UP
0. Medir la Cultura de Riesgo y Control
1.
2.
3.
4.
5.
6.
Construcción y seguimiento del perfil de riesgo de alto nivel
Identificar los riesgos operacionales en las cadenas de valor
Analizar y valorar los riesgos operacionales
Definir estrategias de gestión de riesgos operacionales
Reportar y monitorear los riesgos operacionales
Planificar el perfil de riesgo de alto nivel
1, 2, 3, 4, 5, 6. Adiestramiento Fases en paralelo Puntos de aprobación formal PricewaterhouseCoopers
71
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel Sub-Fases: 2.1 Entender el negocio y clasificar los objetivos
Entregables:
Perfil de riesgo operacional de alto nivel
2.2 Identificar riesgos por cada objetivo de negocio 2.3 Valorar los riesgos 2.4 Determinar el apetito de riesgo 2.5 Considerar respuestas al riesgo 2.6 Desarrollar las políticas del ERM 2.7 Elaboración del plan de seguimiento 2.8 Seguimiento al perfil de riesgo PricewaterhouseCoopers
72
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Metodología para construir el perfil de riesgo de alto nivel Para determinar el perfil de riesgo de alto nivel se ha seguido la metodología de Gestión Integral de Riesgos COSO II-ERM
Respuesta al Riesgo
Evaluación de Riesgos
Identificación de Eventos/Riesgos
Establecimiento de objetivos PricewaterhouseCoopers
Considerar respuestas al riesgo
Valorar los riesgos
Determinar el apetito de riesgo
Identificar riesgos por cada objetivo del negocio
Entender el negocio y clasificar los objetivos 73
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Sub-Fase: 2.1 Entender el negocio y clasificar los objetivos El análisis del plan estratégico del negocio contribuirá con la determinación de los tipos de objetivos presentes en la organización, lo cual será necesario para establecer el perfil de riesgo de alto nivel
PricewaterhouseCoopers
74
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Sub-Fase: 2.1 Entender el negocio y clasificar los objetivos Estratégicos
Objetivos a alto nivel, alineados con la misión de la organización
Operacionales
Uso eficaz y eficiente de los recursos de la organización
Reporte
Información fidedigna y oportuna, tanto de uso interno como externo, de naturaleza financiera o no, suministrada por la organización
Cumplimiento
Cumplimiento de las leyes y normativa aplicables a la organización
PricewaterhouseCoopers
75
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Ej ci er
Sub-Fase:
o ci
2.1 Entender el negocio y clasificar los objetivos Del plan estratégico se toman los objetivos planteados para luego clasificarlos en estratégicos, de operaciones, de reporte y de cumplimiento: Cumplimiento
C1
Garantizar el cumplimiento de leyes y regulaciones que apliquen a las actividades de la compañía Posicionarse entre las principales 5 compañías retail a nivel nacional Garantizar el envío de reportes corporativos en calidad y tiempo Potenciar la división de comercialización a través de la venta de nuevas marcas Promover estándares éticos en la organización Obtener certificaciones de calidad, tal como ISO
PricewaterhouseCoopers
76
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Ej o
2.1 Entender el negocio y clasificar los objetivos
pl em
Sub-Fase:
Del plan estratégico se toman los objetivos planteados para luego clasificarlos en estratégicos, de operaciones, de reporte y de cumplimiento: Garantizar el cumplimiento de leyes y regulaciones que apliquen a las actividades de la compañía Posicionarse entre las principales 5 compañías retail a nivel nacional Garantizar el envío de reportes corporativos en calidad y tiempo Potenciar la división de comercialización a través de la venta de nuevas marcas
Cumplimiento
C1
Estratégico
E1
Reporte
R1
Estratégico
E2
Cumplimiento
C2
Promover estándares éticos en la organización
Operaciones
O1
Obtener certificaciones de calidad, tal como ISO
PricewaterhouseCoopers
77
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Sub-Fase: 2.2 Identificar riesgos por cada objetivo del negocio Técnicas de Identificación de riesgos – Auto-evaluación Proceso donde los actores principales, con base en su juicio experto, identifican los riesgos y evalúan la probabilidad e impacto de los riesgos. Los actores deberán entender el proceso a evaluar y recolectar información para luego participar en las entrevistas, encuestas o talleres de trabajo
PricewaterhouseCoopers
78
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Sub-Fase: 2.2 Identificar riesgos por cada objetivo del negocio C1: Garantizar el cumplimiento de leyes y regulaciones que apliquen a las actividades de la compañía C1R1: Falta de personal capacitado sobre leyes y regulaciones de los mercados donde opera la compañía C1R2: Falla en la estrategia de contratación de personal con las destrezas requeridas C1R3: Apoyo limitado de la casa matriz C1R4: Recursos insuficientes para la preparación de los requerimientos legales C1R5: Identificación de debilidades materiales por parte de los auditores externos PricewaterhouseCoopers
79
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Sub-Fase: 2.2 Identificar riesgos por cada objetivo del negocio E1: Posicionarse entre las principales 5 compañías retail a nivel nacional E1R1: E1R2: R1: Garantizar el envío de reportes corporativos en calidad y tiempo R1R1: R1R2: E2: Potenciar la división de comercialización a través de la venta de nuevas marcas E2R1: E2R2: C2: Promover estándares éticos en la organización C2R1: C2R2: O1:Obtener certificaciones de calidad, tal como ISO O1R1: O1R2: PricewaterhouseCoopers
80
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Sub-Fase: 2.3 Valorar los riesgos Se realizan reuniones de trabajo o entrevistas con los responsables y/o representantes de las Direcciones/Vicepresidencias de las diferentes unidades El objetivo es definir la probabilidad e impacto en función de las escalas establecidas por la organización
PricewaterhouseCoopers
81
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Ej pl em
Sub-Fase:
o
2.3 Valorar los riesgos A continuación se muestra un ejemplo de escalas de probabilidad y de impacto elaborado con base en nuestras experiencias. Las escalas de probabilidad y de impacto seleccionadas deberán ser revisadas por el Comité de Riesgos y posteriormente remitidas a la Junta Directiva para su aprobación
Escala de probabilidad ¿Cuál es la probabilidad de Grado Descripción Probabilidad que se materialice el riesgo 1 Poco probable 0% - 5% sobre el objetivo planteado? 2 Remoto 6% - 10% 3 Posible 11% - 30% 4 Probable 31% - 50% 5 Muy probable 51% - 70% 6 Cierto 71% - 100% PricewaterhouseCoopers
82
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Sub-Fase: 2.3 Valorar los riesgos
Si se materializa el riesgo sobre el objetivo planteado ¿cuál sería su impacto?
PricewaterhouseCoopers
83
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Ej pl em
Sub-Fase:
o
2.3 Valorar los riesgos Escala de impacto Grado Estratégico 1
2
3
Operaciones
Reporte
Impacto mínimo
Impacto mínimo
Impacto mínimo
Afecta a la consecución de los objetivos de la unidad organizativa
Dificulta la ejecución de forma adecuada (tiempo y/o forma de procesos internos)
Impacto interno y reducido, puede ser rectificado a tiempo
Impide la consecución de los objetivos de la unidad organizativa
Interrupción de procesos internos y externos. El servicio al cliente no se ve afectado
PricewaterhouseCoopers
Cumplimiento Impacto mínimo
Información relevante para la autoridad competente que no deriva en expediente Errores advertidos Apertura de internamente y que expediente sin sanción económica pueden conllevar un impacto relevante 84
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Ej pl em
Sub-Fase:
o
2.3 Valorar los riesgos Escala de impacto Grado Estratégico
4
5 6
Afecta al cumplimiento de los objetivos de varias unidades organizativas, y por tanto, del negocio
Operaciones Afecta en las relaciones con terceros (clientes, proveedores, inversores, regulador) y éste lo percibe
Reporte
Cumplimiento
Apertura de Errores advertidos expediente con externamente y que sanción económica pueden originar opiniones de analistas
Interrupción prolongada Desconfianza en los Necesidad de mercados modificar la estrategia en la prestación del servicio corporativa Modifica sustancialmente el posicionamiento estratégico
PricewaterhouseCoopers
Sanción calificada como muy grave, con repercusiones penales Problemas de Impacto en los estados Resolución judicial continuidad del negocio financieros y al valor que obliga a restringir o deshacer posiciones de la acción en el en los negocios mercado 85
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Sub-Fase: 2.3 Valorar los riesgos La gerencia concluyó que el riesgo RC1 tiene un grado de probabilidad 4 y un grado de impacto 4
Grado Prob
Grado Impacto
C1: Garantizar el cumplimiento de leyes y regulaciones que apliquen a las actividades de la compañía C1R1: Falta de personal capacitado sobre leyes y regulaciones de los mercados donde opera la compañía
Escala de probabilidad Grad Descripción Probabilidad o Poco probable 0% - 5% 1 2 Remoto 6% - 10% 3 Posible 11% - 30% 4 Probable 31% - 50% 5 Muy probable 51% - 70% 6 Cierto 71% - 100%
4
Escala de impacto Grado Cumplimiento Impacto mínimo 1 2 3 4 5 6
PricewaterhouseCoopers
4
Información relevante para la autoridad competente que no deriva en expediente Apertura de expediente sin sanción económica Apertura de expediente con sanción económica Sanción calificada como muy grave, con repercusiones penales Resolución judicial que obliga a restringir o deshacer posiciones en los negocios 86
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Sub-Fase: 2.4 Determinar el apetito de riesgo
Bajo
Medio
Excede el Riesgo Aceptado Impacto
Es el nivel de riesgo que la organización en su conjunto está dispuesta a aceptar en su deseo de alcanzar los objetivos planteados
Alto
Definición del Apetito de Riesgo:
Dentro del Riesgo Aceptado
Bajo
Medio
Alto
Probabilidad PricewaterhouseCoopers
87
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Ej
2 3 4 5 6
Escala de impacto Grado Estratégico Impacto mínimo 1
Probabilidad 0% - 5%
Remoto Posible Probable Muy probable Cierto
6% - 10% 11% - 30% 31% - 50% 51% - 70% 71% - 100%
Mapa de riesgos que afectan los objetivos estratégicos - Apetito de riesgo (3,3)
6
2
Afecta a la consecución de los objetivos de la unidad organizativa
3
Impide la consecución de los objetivos de la unidad organizativa
5
4
Impacto
4 X
3
5
2
6
1
1 PricewaterhouseCoopers
2
3 Probabilidad
4
5
6
o
Escala de probabilidad Grado Descripción Poco probable 1
pl em
2.4 Determinar el apetito de riesgo
Afecta al cumplimiento de los objetivos de varias unidades organizativas, y por tanto, del negocio Necesidad de modificar la estrategia corporativa Modifica sustancialmente el posicionamiento estratégico
88
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Ej pl em
2.4 Determinar el apetito de riesgo
o
Escala de probabilidad Probabilidad Grado Descripción Poco probable 0% - 5% 1 2 Remoto 6% - 10% 3 Posible 11% - 30% 4 Probable 31% - 50% 5 Muy probable 51% - 70% 6 Cierto 71% - 100% Mapa de riesgos que afectan los objetivos de operaciones - Apetito de riesgo (2,3)
Escala de impacto Grado Operaciones Impacto mínimo 1 2
6
3 Impacto
5 4 3
4 X
2 1
1 PricewaterhouseCoopers
2
3 Probabilidad
4
5
6
Dificulta la ejecución de forma adecuada (tiempo y/o forma de procesos internos) Interrupción de procesos internos y externos. El servicio al cliente no se ve afectado Afecta en las relaciones con terceros (clientes, proveedores, inversores, regulador) y éste lo percibe
5
Interrupción prolongada en la prestación del servicio
6
Problemas de continuidad del negocio
89
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Ej pl em
2.4 Determinar el apetito de riesgo
2 3 4 5 6
Remoto Posible Probable Muy probable Cierto
o
Escala de probabilidad Probabilidad Grado Descripción Poco probable 0% - 5% 1
Escala de impacto Grado Reporte Impacto mínimo 1
6% - 10% 11% - 30% 31% - 50% 51% - 70% 71% - 100%
Mapa de riesgos que afectan los objetivos de reporte - Apetito de riesgo (3,2) 6
2 3
5
Impacto
4
4
3 2
5
X
6
1
1
PricewaterhouseCoopers
2
3 Probabilidad
4
5
Impacto interno y reducido, puede ser rectificado a tiempo Errores advertidos internamente y que pueden conllevar un impacto relevante Errores advertidos externamente y que pueden originar opiniones de analistas Desconfianza en los mercados Impacto en los estados financieros y al valor de la acción en el mercado
6 90
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Ej pl em
2.4 Determinar el apetito de riesgo
o
Escala de probabilidad Grado Descripción
Probabilidad
1
Poco probable
0% - 5%
2 3 4 5 6
Remoto Posible Probable Muy probable Cierto
6% - 10% 11% - 30% 31% - 50% 51% - 70% 71% - 100%
Grado Cumplimiento Impacto mínimo 1
Mapa de riesgos que afectan los objetivos de cumplimiento - Apetito de riesgo (2,2) 6
2 3
5
Impacto
4
4
C1R4 C1R2
3 2
5
C1R3
X
6
1
1
PricewaterhouseCoopers
2
3 Probabilidad
4
5
Información relevante para la autoridad competente que no deriva en expediente Apertura de expediente sin sanción económica Apertura de expediente con sanción económica Sanción calificada como muy grave, con repercusiones penales Resolución judicial que obliga a restringir o deshacer posiciones en los negocios
6 91
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Ej pl em
Sub-Fase:
o
2.4 Determinar el apetito de riesgo Riesgos de “atención máxima”: • C1R3: • C1R4:
Apoyo limitado de la casa matriz Recursos insuficientes para la preparación de los requerimientos legales
Riesgos de “atención”: • C1R2:
Falla en la estrategia de contratación de personal con las destrezas requeridas
PricewaterhouseCoopers
92
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Sub-Fase: 2.5 Considerar respuestas al riesgo Posibles respuestas a los riesgos:
Opciones
Evitar el riesgo
Reducir el riesgo – Establecer un plan de control Compartir el riesgo
Aceptar el riesgo PricewaterhouseCoopers
93
o
2.5 Considerar respuestas al riesgo
pl em
Sub-Fase:
Ej
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Matriz de respuestas a los riesgos: N°
C1R1
C1R2 C1R3 C1R4
Grado Grado Respuesta Probabilidad Impacto Falta de personal 4 4 Realizar un plan de capacitado sobre leyes y capacitación intensivo y regulaciones de los especializado y su mercados donde opera respectivo seguimiento la compañía Falla en la estrategia de contratación de personal con las destrezas requeridas Apoyo limitado de la casa matriz Recursos insuficientes para la preparación de los requerimientos legales Riesgo
PricewaterhouseCoopers
Probabilidad Impacto Residual Residual 2 2
94
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Ej pl em
Sub-Fase:
o
2.5 Considerar respuestas al riesgo Escala de probabilidad Probabilidad Grado Descripción Poco probable 0% - 5% 1 2 3 4 5 6
Remoto Posible Probable Muy probable Cierto
Grado Cumplimiento Impacto mínimo 1
6% - 10% 11% - 30% 31% - 50% 51% - 70% 71% - 100%
2
Impacto
Mapa de riesgos que afectan los objetivos de cumplimiento - Apetito de riesgo (2,2) 6
3
5
4
4
5
3
C1R1
2
6
Información relevante para la autoridad competente que no deriva en expediente Apertura de expediente sin sanción económica Apertura de expediente con sanción económica Sanción calificada como muy grave, con repercusiones penales Resolución judicial que obliga a restringir o deshacer posiciones en los negocios
1 1
2
PricewaterhouseCoopers
4 3 Probabilidad
5
6 95
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Sub-Fase: 2.6 Desarrollo de políticas y procedimientos Las tareas dentro de esta fase incluyen: 9 Determinar el tipo de documentación necesaria, la audiencia a quién será dirigida, la preparación, el método de almacenamiento y las estrategias de entrega, distribución y publicación 9 Establecer los estándares de documentación 9 Preparar la documentación 9 Aprobar la documentación PricewaterhouseCoopers
96
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Sub-Fase: 2.7 Elaboración del plan de seguimiento Actividades más importantes 9 Validación por parte del equipo responsable sobre cada una de las respuestas a los riesgos elaboradas durantes el perfil en término de costo beneficio y prioridades 9 Confirmación de los responsables, fechas y recursos necesarios para la implementación de las respuestas y acciones estratégicas
PricewaterhouseCoopers
97
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Sub-Fase: 2.7 Elaboración del plan de seguimiento Actividades más importantes 9 Elaboración del documento “Plan de Seguimiento”: • Perfil de Riesgos de Alto nivel • Resumen de acciones y planes para la mitigación, recursos, fechas e indicadores • Definición de roles y responsabilidades y periodicidad del seguimiento
PricewaterhouseCoopers
98
Fase 2: Construcción y seguimiento del perfil de riesgo de alto nivel (cont.) Sub-Fase: 2.8 Seguimiento al perfil de Riesgo Actividades más importantes 9Reuniones periódicas de seguimiento por parte del equipo responsable: • Avance en la ejecución de las acciones y planes • Ajuste y cambios en los recursos, fechas y responsables • Revisión de los indicadores de riesgo • Determinación de nuevas acciones y su planificación • Seguimiento de los informes y reportes de AI 9Evaluación de los beneficios logrados sobre la gestión proactiva de riesgos PricewaterhouseCoopers
99
Presentación Casos de Estudio Sector Financiero
Sector No Financiero
Banco de la Moneda
COALVEDI,C.A.
Banco Universal
PricewaterhouseCoopers
Comercializadora de Compra, Almacenaje, Venta y Distribución, C.A.
100
Metodología de Gestión de Riesgo Operacional: Top Down + Bottom Up FASES
TOP DOWN
BOTTOM UP
0. Medir la Cultura de Riesgo y Control
1.
2.
3.
4.
5.
6.
Construcción y seguimiento del perfil de riesgo de alto nivel
Identificar los riesgos operacionales en las cadenas de valor
Analizar y valorar los riesgos operacionales
Definir estrategias de gestión de riesgos operacionales
Reportar y monitorear los riesgos operacionales
Planificar el perfil de riesgo de alto nivel
1, 2, 3, 4, 5, 6. Adiestramiento Fases en paralelo Puntos de aprobación formal PricewaterhouseCoopers
101
Fase 3: Identificar los riesgos operacionales en las cadenas de valor Objetivo: Determinar los riesgos operacionales a los cuales se encuentra expuesta la organización, considerando tanto factores internos como externos que puedan afectar adversamente la implantación de estrategias y el logro de objetivos del negocio
PricewaterhouseCoopers
102
Fase 3: Identificar los riesgos operacionales en las cadenas de valor (cont.) Sub-Fases: 3.1 Planificación del proceso de identificación de los riesgos operacionales en la cadena de valor 3.2 Construcción del inventario de los riesgos operacionales en la cadena de valor
Entregables: • Plan de identificación de los riesgos operacionales • Inventario de riesgos operacionales • Identificación del riesgo legal y riesgo de reputación
3.3 Categorización de los riesgos operacionales 3.4 Determinación del riesgo legal y de reputación PricewaterhouseCoopers
103
Fase 3: Identificar los riesgos operacionales en las cadenas de valor (cont.) Sub-Fase: 3.1 Planificación del proceso de identificación de los riesgos operacionales en la cadena de valor 3.1.1 Recolección de información 3.1.2 Construcción del catálogo teórico de los principales riesgos operacionales en la cadena de valor 3.1.3 Determinación de la técnica de identificación de los riesgos operacionales 3.1.4 Selección de áreas y personas clave para la identificación de riesgos
PricewaterhouseCoopers
104
Fase 3: Identificar los riesgos operacionales en las cadenas de valor (cont.) Sub-Fase: 3.1.1 Recolección de información 9 Objetivos y metas del negocio 9 Leyes, normas y regulaciones en general 9 Políticas y procedimientos 9 Mapa de procesos / Áreas involucradas 9 Hallazgos de auditoría interna y externa, si existen 9 Informes de auditoría interna y externa, si existen 9 Datos históricos de pérdidas operativas, si existen 9 Base de datos externa de pérdidas y/o tendencias del sector 9 Auto-evaluaciones de riesgo y controles, si existen 9 Información sobre futuros cambios, si existen PricewaterhouseCoopers
105
Fase 3: Identificar los riesgos operacionales en las cadenas de valor (cont.) Sub-Fase: 3.1.2 Construcción del catálogo teórico de los principales riesgos operacionales en la cadena de valor
El “Catálogo Teórico de Riesgos Operacionales” se utiliza como guía en la identificación de riesgos
PricewaterhouseCoopers
106
Fase 3: Identificar los riesgos operacionales en las cadenas de valor (cont.) Sub-Fase: Ej
3.1.2 Construcción del catálogo teórico de los principales riesgos operacionales en la cadena de valor
em pl
N°
Riesgo Operacional
1
Falta de programas de capacitación del personal
2
5 6
Órdenes de pedidos elaboradas con información incorrecta, insuficiente o inoportuna Carencia de un almacenamiento exacto y seguro de los productos Venta de productos no acorde con las estrategias de negocios Desconocimiento o inexactitud del costo de los productos Manejo inadecuado de las categorías de productos
7
Robo o sustracción de inventario
3 4
PricewaterhouseCoopers
o
Catálogo Teórico de Riesgos Operacionales
Categoría Riesgo Operacional Recursos Humanos Recursos Humanos Procesos Procesos Procesos Procesos Recursos Humanos / Eventos Externos 107
Fase 3: Identificar los riesgos operacionales en las cadenas de valor (cont.) Sub-Fase: 3.1.3 Determinación de la técnica de identificación de los riesgos operacionales Las técnicas de identificación de riesgos comúnmente utilizadas para analizar los riesgos operacionales abarcan: 9 Talleres de trabajo (Workshops) 9 Sesiones de entrevistas 9 Cuestionarios / Encuestas 9 Análisis de flujos de procesos PricewaterhouseCoopers
108
Fase 3: Identificar los riesgos operacionales en las cadenas de valor (cont.) Sub-Fase: 3.1.4 Selección de áreas y personas clave para la identificación de riesgos 9 Selección de las áreas de negocio y apoyo involucradas en la cadena de valor 9 Selección de los delegados de riesgo operacionales 9 Selección de personas clave que participarán en la identificación de los riesgos operacionales 9 Elaboración de la convocatoria de las personas seleccionadas
PricewaterhouseCoopers
109
Fase 3: Identificar los riesgos operacionales en las cadenas de valor (cont.) Sub-Fase: 3.2 Construcción del inventario de los riesgos operacionales en la cadena de valor Al identificar los riesgos operacionales, es importante considerar lo siguiente: 9 Diagramar los procesos de negocios 9 Es recomendable abstraerse de los controles existentes 9 A fin de facilitar una guía para la identificación de los riesgos operacionales, se podría utilizar un “Catálogo Teórico de Riesgos Operacionales”
PricewaterhouseCoopers
110
Fase 3: Identificar los riesgos operacionales en las cadenas de valor (cont.) Sub-Fase: 3.2 Construcción del inventario de los riesgos operacionales en la cadena de valor Ej em pl
Cadena de valor: Logística
Compras
Eventos externos
PricewaterhouseCoopers
Procesos
Inventario
o
Recursos Humanos
Ventas
Tecnología
111
Fase 3: Identificar los riesgos operacionales en las cadenas de valor (cont.) Sub-Fase: 3.2 Construcción del inventario de los riesgos operacionales en la cadena de valor
N°. Riesgo Operacional 1 Órdenes de pedidos elaboradas con información incorrecta, insuficiente e inoportuna 2 Robo o sustracción de inventario 3
Eje mp
lo
Acceso inadecuado al maestro de precios
PricewaterhouseCoopers
112
Fase 3: Identificar los riesgos operacionales en las cadenas de valor (cont.) Sub-Fase: 3.3 Categorización de los riesgos operacionales Nivel II • Fraude interno (actos internos)
Riesgo Operacional
Nivel I
• Prácticas de empleo y seguridad laboral
Personas
• Ejecución, entrega y gestión de procesos
Procesos Sistemas Externos
• Clientes, productos y prácticas comerciales • Interrupción de operaciones o fallos de sistemas • Daños o pérdidas de activos físicos • Fraude externo
PricewaterhouseCoopers
113
Fase 3: Identificar los riesgos operacionales en las cadenas de valor (cont.) Sub-Fase: 3.3 Categorización de los riesgos operacionales Inventario de Riesgos Operacionales Categorizados N° 1
2 3
Riesgo Operacional Órdenes de pedidos elaboradas con información incorrecta, insuficiente e inoportuna. Robo o sustracción de inventario. Acceso inadecuado al maestro de precios.
PricewaterhouseCoopers
Eje mp
lo
Categoría RO Nivel 1 Personas
Categoría RO/ Nivel 2 Ejecución, entrega y gestión de procesos
Personas / Eventos Externos Sistemas
Fraude interno Interrupción de operaciones o fallos de sistemas
114
Fase 3: Identificar los riesgos operacionales en las cadenas de valor (cont.) Sub-Fase: 3.4 Determinación del riesgo legal y de reputación Riesgo legal: “Es la contingencia de pérdida que emana del incumplimiento de una organización con las leyes, normas, reglamentos, prácticas prescritas o normas de ética de cualquier jurisdicción en la que lleva a cabo sus actividades”
PricewaterhouseCoopers
115
Fase 3: Identificar los riesgos operacionales en las cadenas de valor (cont.) Sub-Fase: 3.4 Determinación del riesgo legal y de reputación Riesgo de reputación: “Es la opinión negativa ocasionada por la afectación de la imagen de una organización, al verse involucrada involuntariamente en transacciones o relaciones de negocios ilícitos con clientes, así como por cualquier otro evento externo”
PricewaterhouseCoopers
116
Fase 3: Identificar los riesgos operacionales en las cadenas de valor (cont.) Sub-Fase: 3.4 Determinación del riesgo legal y de reputación Eje mp lo N° 1
2 3
Riesgo Operacional Órdenes de pedidos elaboradas con información incorrecta, insuficiente e inoportuna. Robo o sustracción de inventario. Acceso inadecuado al maestro de precios.
PricewaterhouseCoopers
Categoría RO Nivel 1 Personas
Riesgo Legal
Riesgo de Reputación X
Personas / Eventos Externos Sistemas
X
X
X
X
117
Metodología de Gestión de Riesgo Operacional: Top Down + Bottom Up FASES
TOP DOWN
BOTTOM UP
0. Medir la Cultura de Riesgo y Control
1.
2.
3.
4.
5.
6.
Construcción y seguimiento del perfil de riesgo de alto nivel
Identificar los riesgos operacionales en las cadenas de valor
Analizar y valorar los riesgos operacionales
Definir estrategias de gestión de riesgos operacionales
Reportar y monitorear los riesgos operacionales
Planificar el perfil de riesgo de alto nivel
1, 2, 3, 4, 5, 6. Adiestramiento Fases en paralelo Puntos de aprobación formal PricewaterhouseCoopers
118
Fase 4: Analizar y valorar los riesgos operacionales Objetivo: Realizar un análisis y valoración de los riesgos operacionales que permita comprender el perfil de riesgo y dirigir de manera más efectiva los recursos para la gestión de los riesgos identificados
PricewaterhouseCoopers
119
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fases:
Entregables:
4.1 Análisis y valoración del riesgo inherente
• Mapa de riesgo inherente
4.2 Análisis y valoración del riesgo residual
• Matriz del impacto del riesgo de reputación
• Mapa de riesgo residual
4.3 Análisis y valoración del riesgo de reputación
PricewaterhouseCoopers
120
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fase: 4.1 Análisis y valoración del riesgo inherente 4.1.1 Determinación del impacto unitario del riesgo inherente 4.1.2 Determinación de la frecuencia de ocurrencia anualizada del riesgo inherente 4.1.3 Determinación del impacto anualizado del riesgo inherente 4.1.4 Elaboración del mapa de riesgo inherente PricewaterhouseCoopers
121
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fase: 4.1 Análisis y valoración del riesgo inherente Es aquél al que se enfrenta una entidad en ausencia de acciones para modificar su probabilidad o impacto
PricewaterhouseCoopers
122
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fase: 4.1.1 Determinación del impacto unitario del riesgo inherente Definición de la Escala Numérica-Descriptiva del Impacto de los Riesgos Operacionales Código del Indicador Grado de la Orden de magnitud del evento Color escala de Impacto
Bajo
1 2
0 – 50.000.000 50.000.001 - 100.000.000
Medio
3
100.000.001- 200.000.000
4
200.000.001 – 300.000.000
5 6
300.000.001 – 400.000.000 > 400.000.001
Verde
Amarillo
Alto Rojo PricewaterhouseCoopers
Descripción
El riesgo tiene bajo impacto en el patrimonio de la empresa El riesgo afecta significativamente el patrimonio de la empresa El riesgo afecta severamente el patrimonio de la empresa 123
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fase: 4.1.2 Determinación de la frecuencia de ocurrencia anualizada del riesgo inherente Grado de la escala de Frecuencia
Código del Color Indicador Bajo Verde
Medio Amarillo
Alto Rojo
PricewaterhouseCoopers
Frecuencia de Ocurrencia anual
Descripción
1
1 al año
2
2 al año
1 2
3
1 al trimestre
4
4
1 al mes
12
5 6
2 al mes ≥ 1 por semana
24 52
124
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fase: 4.1.3 Determinación del impacto anualizado del riesgo inherente Matriz de análisis y valoración del riesgo inherente
Ref
Riesgo operacional
1
Órdenes de pedidos elaboradas con información incorrecta, insuficiente e inoportuna
Grado Impacto unitario
1
Grado de la Frecuencia anual
3
2
Robo o sustracción de inventario
3
3
3
Acceso inadecuado al maestro de precios
2
2
Valoración anual [(0+ 50.000.000)/2] x 4 = 100.000.000 [(100.000.001+ 200.000.000)/2] x 4 = 600.000.002 [(50.000.001+ 100.000.000)/2] x 2 = 150.000.001
Ej em
plo
Grado Impacto anual
2
6 3
Impacto Anualizado Inherente = Impacto Unitario Inherente x Ocurrencia Anual PricewaterhouseCoopers
125
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fase: 4.1.4 Elaboración del mapa de riesgo inherente .2
150.000.000
Ej em
plo
I m
100.000.000
p a
75.000.000
.3
c t o
50.000.000
25.000.000
PricewaterhouseCoopers
.1
Frecuencia
126
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fase: 4.2 Análisis y valoración del riesgo residual
4.2.1 Identificación y evaluación funcional de los controles asociados a la cadena de valor 4.2.2 Determinación del impacto unitario del riesgo residual 4.2.3 Determinación de la frecuencia de ocurrencia anualizada del riesgo residual 4.2.4 Determinación del impacto anualizado del riesgo residual 4.2.5 Elaboración del mapa de riesgo residual PricewaterhouseCoopers
127
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fase: 4.2.1 Identificación y evaluación funcional de los controles asociados a la cadena de valor • Se elaborará un listado de los controles, así como de los procedimientos generales de evaluación de cada riesgo • Se procederá a realizar las pruebas de efectividad de los controles asociados a los riesgos, mediante pruebas de cumplimiento
PricewaterhouseCoopers
128
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fase: 4.2.1 Identificación y evaluación funcional de los controles asociados a la cadena de valor
PricewaterhouseCoopers
129
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fase: 4.2.1 Identificación y evaluación funcional de los controles asociados a la cadena de valor
Efectividad
Ponderación
Control efectivo
0,25
Control medio
0,50
Sin control
1
Nota: Un control no elimina el riesgo
PricewaterhouseCoopers
130
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fase: 4.2.2 Determinación del impacto unitario del riesgo residual En este paso se determinará el impacto de un solo evento al año para cada riesgo operacional identificado, considerando la efectividad de los controles implantados para mitigar el riesgo inherente En este sentido, se procederá a calcular, para cada riesgo operacional identificado, el impacto unitario residual mediante la siguiente fórmula:
Impacto Unitario Residual = (Impacto Unitario Inherente) x (Efectividad del Control)
PricewaterhouseCoopers
131
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fase: 4.2.3 Determinación de la frecuencia de ocurrencia anualizada del riesgo residual En este paso se obtiene la frecuencia anual de cada riesgo operacional identificado, considerando las acciones que la gerencia ha implantado efectivamente para mitigar ese riesgo inherente Para obtener la frecuencia anualizada residual, se utilizan los resultados obtenidos al valorar la efectividad de los controles implantados. Se procederá a calcular, para cada riesgo operacional identificado, la frecuencia anualizada residual mediante la siguiente fórmula: Frecuencia Anualizada Residual = (Frecuencia Anualizada Inherente) x (Efectividad del control) PricewaterhouseCoopers
132
Fase 4: Analizar y valorar los riesgos operacionales (cont.)
Ej em
plo
Sub-Fase: 4.2.4 Determinación del impacto anualizado del riesgo residual Matriz de Análisis y Valoración del Riesgo Residual Ref.
1
2
3
Riesgo operacional
Identificación de controles
Órdenes de pedidos • Sin control elaboradas con información incorrecta, insuficiente e inoportuna Robo o sustracción de • Se han incorporado inventario mecanismos de seguridad en los productos. Aplicación de medidas de revisión de seguridad al personal interno de tiendas Acceso inadecuado al maestro de precios
PricewaterhouseCoopers
• Reporte de excepción de modificación de precios
EfectiviGrado dad del Frecuencia control residual 1
0,5
0,5
Valoración residual anual
Grado Impacto residual
3
[(0+ 50.000.000)/2] x 4 = 100.000.000
2
2
[(100.000.001+ 200.000.000)/2] x 2 = 300.000.000
4
1
[(50.000.001+ 100.000.000)/2] x 1 = 75.000.000
2 133
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fase: 4.2.5 Elaboración del mapa de riesgo residual 150.000.000
.2
Ej em
plo
I m
100.000.000
p a
75.000.000
.3
c t o
50.000.000
25.000.000
.1
PricewaterhouseCoopers
Frecuencia
134
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fase: 4.3 Análisis y valoración del riesgo de reputación
Código del Grado de Indicador la escala Descripción Color Bajo 1 No afecta a clientes o afecta a un número muy Verde reducido y/o no tiene trascendencia a los medios de comunicación. Medio 2 Afecta a un colectivo significativo de clientes y/o Amarillo no tiene trascendencia a los medios de comunicación. Alto 3 Afecta a un colectivo significativo de clientes y/o Rojo con trascendencia a los medios de comunicación.
PricewaterhouseCoopers
135
Fase 4: Analizar y valorar los riesgos operacionales (cont.) Sub-Fase: Ej
4.3 Análisis y valoración del riesgo de reputación
em
Riesgo operacional
2
Órdenes de pedidos elaboradas con información incorrecta, insuficiente e inoportuna Robo o sustracción de inventario
3
Acceso inadecuado al maestro de precios
1
PricewaterhouseCoopers
o
Ref.
pl
Evaluación del grado del riesgo de reputación Riesgo de reputación
Grado del riesgo de reputación
X
3
X
1
X
3
136
Metodología de Gestión de Riesgo Operacional: Top Down + Bottom Up FASES
TOP DOWN
BOTTOM UP
0. Medir la Cultura de Riesgo y Control
1.
2.
3.
4.
5.
6.
Construcción y seguimiento del perfil de riesgo de alto nivel
Identificar los riesgos operacionales en las cadenas de valor
Analizar y valorar los riesgos operacionales
Definir estrategias de gestión de riesgos operacionales
Reportar y monitorear los riesgos operacionales
Planificar el perfil de riesgo de alto nivel
1, 2, 3, 4, 5, 6. Adiestramiento Fases en paralelo Puntos de aprobación formal PricewaterhouseCoopers
137
Fase 5: Definir estrategias de gestión de riesgos operacionales Objetivo: Determinar la estrategia de gestión de los riesgos operacionales identificados y evaluados, para lo cual se deberá definir, evaluar y seleccionar las acciones para reducir el riesgo a niveles aceptables
PricewaterhouseCoopers
138
Fase 5: Definir estrategias de gestión de riesgos operacionales (cont.) Sub-Fases: 5.1 Definición de las estrategias de gestión de los riesgos operacionales
Entregables:
• Plan de implantación
5.2 Priorización de los riesgos operacionales 5.3 Evaluación de las estrategias de gestión de los riesgos operacionales 5.4 Selección de la estrategia de gestión del riesgo 5.5 Integración de las actividades de control con la estrategia de gestión del riesgo 5.6 Determinación de la prioridad y responsables de implantación de la estrategia de gestión del riesgo PricewaterhouseCoopers
139
Fase 5: Definir estrategias de gestión de riesgos operacionales (cont.) Sub-Fase: 5.1 Definición de las estrategias de gestión de los riesgos operacionales
En esta sub-fase, la Gerencia de las unidades de negocio y apoyo definirán las estrategias de gestión de los riesgos, así como al apetito de riesgo y al nivel de tolerancia aceptado por la institución
PricewaterhouseCoopers
Evitar el riesgo
Reducir el riesgo – establecer un control Opciones
Transferir o cambiar el riesgo
Aceptar el riesgo
140
Fase 5: Definir estrategias de gestión de riesgos operacionales (cont.) Sub-Fase: 5.2 Priorización de los riesgos operacionales
• Validar los objetivos corporativos del negocio y las políticas de gestión de riesgo operativo • Evaluar si el nivel de riesgo residual excede los niveles de tolerancia para cada riesgo operativo, si existen tales límites • Regulaciones • Los controles existentes en la cadena de valor
PricewaterhouseCoopers
141
Fase 5: Definir estrategias de gestión de riesgos operacionales (cont.) Sub-Fase: 5.3 Evaluación de las estrategias de gestión de los riesgos operacionales
• Evaluación del efecto de la estrategia de gestión del riesgo sobre el impacto y la frecuencia de ocurrencia • Métodos de análisis de costo-beneficio • Identificación de posibles oportunidades
PricewaterhouseCoopers
142
Fase 5: Definir estrategias de gestión de riesgos operacionales (cont.) Sub-Fase: 5.3 Evaluación de las estrategias de gestión de los riesgos operacionales
• Se recomienda utilizar como referencia eventos, tendencias pasadas, potenciales escenarios futuros y juicio experto • Se estiman los efectos potenciales de la estrategia de gestión del riesgo mediante el uso de las escalas de valoración definidas en el análisis y valoración de los riesgos operativos inherentes y residuales
PricewaterhouseCoopers
143
Fase 5: Definir estrategias de gestión de riesgos operacionales (cont.) Sub-Fase: 5.4 Selección de la estrategia de gestión del riesgo
• La estrategia de gestión de riesgo no necesariamente resulta en un menor nivel de riesgo (inherente o residual) • Podrían presentarse riesgos adicionales resultantes de una determinada estrategia de gestión • La selección de la estrategia de gestión del riesgo forma parte del plan de implantación, previo a la integración de las actividades de control • Algunos niveles de riesgo (inherente o residual) podrían existir siempre, debido a razones de incertidumbre PricewaterhouseCoopers
144
Fase 5: Definir estrategias de gestión de riesgos operacionales (cont.) Sub-Fase: 5.5 Integración de las actividades de control con la estrategia de gestión del riesgo
• En la selección de las actividades de control, se deberá considerar cómo integrar a una o varias estrategias de gestión de riesgo • En algunos casos una sola actividad de control puede estar contenida en múltiples estrategias de gestión de riesgo y, en otros casos, múltiples controles son necesarios para una sola estrategia de gestión de riesgo • Podría encontrarse que las actividades de control existentes son suficientes para asegurar que la nueva estrategia de gestión de riesgo se ejecute efectivamente PricewaterhouseCoopers
145
Fase 5: Definir estrategias de gestión de riesgos operacionales (cont.) Sub-Fase: 5.5 Integración de las actividades de control con la estrategia de gestión del riesgo Eje
•
Revisión de niveles máximos de aprobación
•
Actividad de supervisión gerencial
•
Procesamiento de información
•
Controles físicos
•
Indicadores de desempeño
•
Segregación de funciones
•
Políticas y procedimientos
•
Controles sobre los sistemas de información
•
Controles generales
PricewaterhouseCoopers
mp lo
146
Fase 5: Definir estrategias de gestión de riesgos operacionales (cont.) Sub-Fase: 5.6 Determinación de la prioridad y responsables de implantación de la estrategia de gestión del riesgo • Indicar la unidad organizativa o persona responsable • Establecer el período de tiempo requerido para la implantación de los planes de acción: - Corto plazo: 0 a 3 meses. - Mediano plazo: 3 a 6 meses. - Largo plazo: Mayor a 6 meses. • La ejecución del plan de acción debe estar apoyada por reportes de avance o progreso de la implantación del plan PricewaterhouseCoopers
147
Fase 5: Definir estrategias de gestión de riesgos operacionales (cont.) Sub-Fase: 5.6 Determinación de la prioridad y responsables de implantación de la estrategia de gestión del riesgo Ej em Plan de Implantación pl Ref.
Riesgo operacional
1
Órdenes de pedidos elaboradas con información incorrecta, insuficiente e inoportuna
2
3
Robo o sustracción de inventario Acceso inadecuado al maestro de precios
PricewaterhouseCoopers
Opción de gestión Mitigar
Descripción • Crear validaciones en el sistema y proveer adiestramiento al personal
Prioridad de implantación
o
Responsables
Corto Plazo
Sistemas
Mitigar
Realizar auditorías periódicas y plan de reforzamiento de la ética del personal
Largo Plazo
Auditoría Interna / Recurso Humano
Mitigar
• Revisar y depurar los perfiles de acceso al sistema
Corto Plazo
Sistemas / Seguridad de la Información 148
Metodología de Gestión de Riesgo Operacional: Top Down + Bottom Up FASES
TOP DOWN
BOTTOM UP
0. Medir la Cultura de Riesgo y Control
1.
2.
3.
4.
5.
6.
Construcción y seguimiento del perfil de riesgo de alto nivel
Identificar los riesgos operacionales en las cadenas de valor
Analizar y valorar los riesgos operacionales
Definir estrategias de gestión de riesgos operacionales
Reportar y monitorear los riesgos operacionales
Planificar el perfil de riesgo de alto nivel
1, 2, 3, 4, 5, 6. Adiestramiento Fases en paralelo Puntos de aprobación formal PricewaterhouseCoopers
149
Fase 6: Reportar y monitorear los riesgos operacionales Objetivo: Desarrollar una estructura y proceso de información y comunicación del estado de gestión de los riesgos operacionales que permita comunicar y monitorear el estatus de los riesgos operacionales
PricewaterhouseCoopers
150
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fases: 6.1 Definición de las directrices para informar el estado de la gestión de los riesgos operacionales
6.2 Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos
Entregables: • Proceso de información y comunicación del estado de gestión los riesgos operacionales • Formatos de monitoreo
6.3 Monitoreo de la gestión de los riesgos operacionales a alto nivel 6.4 Métodos de monitoreo PricewaterhouseCoopers
151
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fases: 6.1 Definición de las directrices para informar el estado de la gestión de los riesgos operacionales • Realizar una profunda evaluación de riesgos operacionales, en todas las cadenas de valor • Proveer análisis y sumario del avance del plan de implantación de las estrategias de gestión de los riesgos operacionales a la Alta Gerencia y al Comité de Riesgo • Desarrollar un método efectivo de recolección, registro y análisis de incidentes / eventos de pérdidas operativas
PricewaterhouseCoopers
152
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fases: 6.1 Definición de las directrices para informar el estado de la gestión de los riesgos operacionales • Estimar las pérdidas esperadas por la materialización de los riesgos operacionales potenciales • Determinar los Indicadores Clave de Riesgo (KRI) • Incluir recomendaciones, responsabilidades y cronogramas para revisar y mitigar los riesgos potenciales y asuntos relacionados con su administración • Elaborar reportes periódicos donde se reflejen los riesgos operacionales prioritarios
PricewaterhouseCoopers
153
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fase: 6.2 Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos En este paso, se define la estructura de reporte, para que la información se comunique de forma fluida a las partes interesadas, tanto internas como externas
PricewaterhouseCoopers
154
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fase: 6.2 Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos
Estructura de información y comunicación:
PricewaterhouseCoopers
Ej em
p lo
155
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fase: 6.2 Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos Como producto de este paso, se define la estructura o líneas de información y comunicación del estado de la gestión de los riesgos operacionales, que deberá aplicar las unidades de negocio y apoyo y la Gerencia de Riesgo Operacional con: 6.2.1.1 Entes internos 6.2.1.2 Entes externos
PricewaterhouseCoopers
156
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fase: 6.2 Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos - Entes Internos La comunicación con entes internos debe proveer al personal y a la organización lo siguiente: • La importancia y relevancia de la gestión de los riesgos operacionales • La alineación de la gestión de los riesgos con los objetivos de la organización • El apetito y la tolerancia al riesgo operacional • Un lenguaje común de riesgo operacional • Las funciones y responsabilidades del personal de la organización en el apoyo a la gestión de los riesgos operacionales PricewaterhouseCoopers
157
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fase: 6.2 Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos - Entes Externos Una apropiada comunicación con entes externos, tales como clientes, proveedores, auditores y reguladores, le permitirá a la organización: • Proporcionar una importante información para evaluar los productos y servicios en términos de riesgo operacional • Obtener información para mejorar la calidad de los productos y servicios • Anticipar a las tendencias del mercado, problemas u oportunidades • Mantener estrechas y frecuentes relaciones con clientes y proveedores externos • Alinear a los proveedores con los niveles de tolerancia al riesgo
PricewaterhouseCoopers
158
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fase: 6.2 Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos Definición del alcance y frecuencia de la información • La organización establecerá el alcance y frecuencia de la información a comunicar • La información debe fluir de manera oportuna, para reaccionar proactivamente sobre cualquier cambio que se requiera en la estrategia de gestión de los riesgos operacionales PricewaterhouseCoopers
159
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fase: 6.2 Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos Determinación de los canales de información y comunicación Los canales de comunicación permitirán transmitir la información de gestión de riesgo de las unidades de negocio y apoyo, de forma completa y oportuna • Correos electrónicos • Comunicaciones corporativas • Informes especiales • Discusiones grupales por correo electrónico • Sitios de Intranet • Internet • Llamadas en conferencia • Folletos, trípticos o carteleras informativas • Comités / reuniones regulares • Convenciones internas y conferencias PricewaterhouseCoopers
160
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fase: 6.2 Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos Determinación de los canales de información y comunicación
Eje mp
lo
Primer Nivel: Incidentes, Identificación y Evaluación de Riesgos Información a comunicar
Ente emisor de la información
Ente receptor de la información
Frecuencia de la información
Gerencia de Riesgo Operacional
Semanal
Unidades de negocio y apoyo
Gerencia de Riesgo Operacional
Semanal
Unidades de negocio y apoyo
Gerencia de Riesgo Operacional
Semanal
Listado de incidentes / eventos Unidades de de pérdida operativa negocio y apoyo Monto de la pérdida financiera de los incidentes / eventos de pérdida operativa Impacto o consecuencias no financieras de los incidentes / eventos de pérdida operativa, si se puede determinar PricewaterhouseCoopers
161
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fase: 6.2 Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos Ej em pl o
PricewaterhouseCoopers
162
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fase: 6.3 Monitoreo de la gestión de los riesgos operacionales a alto nivel El monitoreo de la gestión de los riesgos operacionales permitirá a la organización: • Velar por la implantación de las estrategias de gestión de los riesgos • Informar a la unidad de riesgo la culminación o reestructuración de cronogramas de todas las estrategias de gestión • Vigilar el desempeño de los indicadores de riesgo • Determinar la eficiencia y efectividad de las estrategias de gestión PricewaterhouseCoopers
163
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fase: 6.4 Métodos de monitoreo 6.4.1 Monitoreo continuo 6.4.2 Auto-evaluaciones separadas 6.4.3 Análisis de eventos de pérdidas operativas
PricewaterhouseCoopers
164
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fase: 6.4.1 Monitoreo continuo El monitoreo continuo consiste en una vigilancia constante e ininterrumpida de las estrategias de gestión de los riesgos operacionales. Entre las ventajas de este método se enuncian las siguientes: • Es altamente efectivo en las cadenas de valor de la organización que conllevan actividades operativas de alta recurrencia o de naturaleza regular para la gestión del negocio • Es ejecutado en tiempo real • Es el método más efectivo de monitoreo, ya que se puede identificar rápidamente cualquier desviación
PricewaterhouseCoopers
165
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fase: 6.4.2 Auto-evaluaciones separadas Consiste en que las unidades de negocio y apoyo monitoreen el estado de la gestión de los riesgos operacionales en un momento determinado (por ejemplo: trimestral, semestral o anualmente), o cuando ocurran eventos, tales como: • Reestructuración o fusión de unidades operativas • Incremento en el volumen de transacciones • Nuevas tecnologías • Cambios culturales y organizacionales • Nuevos productos • Eventos externos PricewaterhouseCoopers
166
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fase: 6.4.3 Análisis de eventos de pérdidas operacionales •Procedimientos para asegurar que los eventos de pérdidas operativas son detectados y comunicados oportunamente •Procedimientos para responder a los eventos de pérdidas operativas, incluyendo la notificación al personal gerencial apropiado y procedimientos para recuperar los eventos de pérdidas operativas, como por ejemplo: respaldo de los procesos y sistemas, comunicaciones internas y externas, entre otros
PricewaterhouseCoopers
167
Fase 6: Reportar y monitorear los riesgos operacionales (cont.) Sub-Fase: 6.4.3 Análisis de eventos de pérdidas operacionales
PricewaterhouseCoopers
Eje mp
lo
168
Cuantificación y práctica del Riesgo Operacional
PricewaterhouseCoopers
169
Cuantificación y práctica del Riesgo Operacional ¿En qué consiste? Consiste en la medición de las pérdidas originadas por fallas en los procesos internos, en los recursos humanos y en los sistemas o por la presencia de eventos externos, a los fines de contar con registros históricos que permitan determinar las pérdidas esperadas
¿Cuáles son sus ventajas? Permite determinar áreas, procesos o productos con mayor susceptibilidad al riesgo y así desarrollar mecanismos o medidas que mitiguen los factores que ocasionan la materialización de tales riesgos PricewaterhouseCoopers
170
Cuantificación y práctica del Riesgo Operacional (cont.) Etapas del proceso de Cuantificación del Riesgo Operacional Paso 1: Diseñar una política de recolección de pérdidas, la cual consta de las siguientes etapas: -Identificación -Diseño del proceso de recolección de eventos de pérdidas -Control y autorización -Validación Paso 2: Realizar una recolección de pérdidas para identificar las causas, prevenirlas y gestionarlas Paso 3: Seleccionar y aplicar una metodología de cuantificación de riesgo operacional PricewaterhouseCoopers
171
Cuantificación y práctica del Riesgo Operacional (cont.) El Comité Basilea expone 3 métodos para calcular los requerimientos de capital por riesgo operacional
PricewaterhouseCoopers
172
Cuantificación y práctica del Riesgo Operacional (cont.) Método del indicador básico •
Es la metodología más sencilla de cálculo
•
Utiliza un indicador de la Institución como aproximación de su exposición al riesgo operacional
•
El indicador propuesto para la cuantificación es “Ingresos brutos”
•
Capital = α* Ingresos brutos
•
Es recomendable para instituciones pequeñas
•
Basilea espera que sea el primer paso hacia una metodología más desarrollada
•
Se estima α=15% (Ejemplo)
PricewaterhouseCoopers
173
Cuantificación y práctica del Riesgo Operacional (cont.) Método estándar Líneas de negocio y factores beta: Para cada línea de negocio se obtiene el cargo de capital • Finanzas Corporativas 18% multiplicando Ingresos brutos • Negociación y ventas 18% por un factor β definido por el supervisor: • Banca minorista 12% • Banca comercial 15%
K banca comercial = β banca comercial * Ingresos brutos
• Liquidación y pagos 18% • Servicio de agencia 15% • Administración de activos 12% • Intermediación minorista 12%
PricewaterhouseCoopers
174
Cuantificación y práctica del Riesgo Operacional (cont.) Metodologías de medición avanzada (AMA) Las metodologías AMA están orientadas a la recolección de datos internos de pérdidas y en la homologación con los criterios de clasificación de líneas de negocio y eventos del Comité de Basilea
Dentro del AMA, existen 3 metodologías: • Cuadros de Mando
(Scorecards) • Modelo de Distribución de
Pérdidas (Loss Distribution Approach - LDA) Las entidades pueden desarrollar distintas metodologías, las cuales, si son consistentes con los criterios comunes serán aprobadas
PricewaterhouseCoopers
• Modelo de Medición Interna
(Internal Measurement Approach, IMA)
175
Cuantificación y práctica del Riesgo Operacional (cont.) Metodologías de medición avanzada (AMA) Modelo de Distribución de Pérdidas (Loss Distribution Approach - LDA) Distribución de las pérdidas de la Organización
El enfoque LDA se basa en información de pérdidas históricas recopiladas internamente y complementadas con datos externos
PricewaterhouseCoopers
176
Cuantificación y práctica del Riesgo Operacional (cont.) Metodologías de medición avanzada (AMA) Modelo de Distribución de Pérdidas (Loss Distribution Approach - LDA) Simulación de distribución de pérdidas:
PricewaterhouseCoopers
Eje mp lo
177
Cuantificación y práctica del Riesgo Operacional (cont.) Metodologías de medición avanzada (AMA) Modelo de Medición Interna (Internal Measurement Approach, IMA) Modelo de Cuantificación de Riesgo Operacional (MCRO) Determina el porcentaje y el monto de pérdida esperada con base en el monto de exposición estimado para un período dado, utilizando funciones de distribución de pérdidas que mejor se ajusten a la cuantía de los eventos de pérdidas históricas
Base de datos de Pérdidas Operacionales
Cuantificación
Internal Measurement Approach (I.M.A.)
P. E. (Frecuencia)
E. I. Exposición
L. G. E. (Severidad)
Pérdidas Esperadas E. L. PricewaterhouseCoopers
178
Cuantificación y práctica del Riesgo Operacional (cont.) Metodologías de medición avanzada (AMA) Modelo de Medición Interna (Internal Measurement Approach, IMA)
Modelo de Cuantificación de Riesgo Operacional (MCRO)
Cargar Datos
Calcular IMA Resultados IMA
PricewaterhouseCoopers
179
Cuantificación y práctica del Riesgo Operacional (cont.) Integración Recolección y Cuantificación de Pérdidas RO Reclamos
Plantilla de Recolección R.O F O R M A T O D E R E C O L E C C IÓ N D E P É R D ID A S P O R R IE S G O S O P E R A C IO N A L E S
Seguridad Física
F e c h a : _ _ _ _ _ _ /_ _ _ _ _ _ / _ _ _ _ _ _
IN F O R M A C IÓ N G E N E R A L P ro d u c to :
C a t e g o r ía d e l P r o d u c t o :
S u b -P ro d u c to :
A fe c ta d o : C lie n t e
N ° d e l E n te :
S e r v ic io s C e n t r a le s Banco Á r e a o U n id a d F u n c io n a l:
N ° A g e n c ia /C e n tr o d e N e g o c io :
A g e n c ia / C e n t r o d e N e g o c io V ic e p r e s id e n c ia :
F u n c io n a r io :
IN F O R M A C IÓ N D E L A P É R D ID A
Seguridad Información
P ro c e s o :
E v e n t o d e P é r d id a O p e r a c io n a l:
C a t e g o r ía R ie s g o O p e r a c io n a l:
F e c h a In ic ia l:
S u b - C a te g o r ía d e R ie s g o O p e r a c io n a l:
F e c h a D e s c u b r im ie n t o :
F e c h a F in a l:
Causas:
L a p s o d e E x p o s ic ió n ( d ía s ) :
Im p a c t o /E fe c t o :
R e s p o n s a b ilid a d L e g a l T ip o d e M o n e d a :
A c c io n e s R e g u la t o r ia s
M o n t o d e E x p o s i c ió n :
O tra s re c u p e ra c io n e s :
R e s t it u c ió n a T e r c e r o s
M o n t o d e la P é r d id a B r u ta :
P é r d id a d e R e c u r s o s
C a n t id a d A s e g u r a d a :
G a s to s p o r la P é r d id a :
Recuperaciones
P é r d id a o d a ñ o s d e a c t iv o s
C a n tid a d R e c u p e r a d a p o r S e g u r o s :
M o n to d e P é r d id a O p e r a c io n a l N e t a :
P la n d e A c c ió n (d e s c r ip c ió n b r e v e ):
D E S C R IP C IÓ N D E T A L L A D A D E L E V E N T O
Validar si fue contabilizada
Contabilidad
Proceso de Investigación
Base de datos de Pérdidas RO Responsable
Modelo de Cuantificación RO PricewaterhouseCoopers
Sí
Registra Pérdida
No Rechaza reclamo
Actualizar BD 180
La Reputación y sus Riesgos
PricewaterhouseCoopers
181
Más vale que asumamos que vivimos en un nuevo entorno con nuevas exigencias a las que no podemos escapar... El complejo entorno empresarial actual: Sospecha permanente sobre las empresas Acceso inmediato a información vía Internet: la sociedad transparente Activismo creciente de “grupos de interés” más organizados Demanda creciente de transparencia, ética y buen gobierno y responsabilidad social Sensibilidad creciente hacia la marca y los riesgos que la genera este nuevo entorno
PricewaterhouseCoopers
182
PricewaterhouseCoopers
Enron sólo fue el momento culminante de una historia de creciente desconfianza hacia las instituciones
183
Impactos en la reputación ….
PricewaterhouseCoopers
Fuente: Harvard Business Review-Febrero 2007
184
Impactos en la reputación ….
Fuente: Harvard Business Review-Febrero 2007 PricewaterhouseCoopers
185
La atención sobre los riesgos menos cuantificables también ha aumentado…
Fuente: PricewaterhooseCoopers “Incertidumbre Controlada. La evolución de la gestión del riesgo en el sector financiero”. 2004 PricewaterhouseCoopers
186
Impactos de no considerar la gestión del riesgo de reputación
Un elemento prioritario es la adecuada gestión del riesgo de reputación, de los diferentes eventos que pueden afectar negativamente la imagen y el valor de la entidad. Es complejo porque, esencialmente, el riesgo de reputación depende de la percepción de los diferentes Grupos de Interés, por lo que su control implica desarrollar una nueva visión de gestión de los riesgos no cuantificables.
PricewaterhouseCoopers
Posible disminución de ingresos Dificultad de reclutamiento de empleados
Impacto negativo sobre la marca
Reputación Dañada
Impacto sobre el valor de la compañía
Mayor dificultad en las relaciones con las autoridades Mayor dificultad en el acceso a los recursos de financiación
187
¿Bases metodológicas?
El acuerdo de Basilea II excluye específicamente el riesgo reputacional, debido a la dificultad de considerarlo en las estimaciones de adecuación de capital COSO II, no contiene referencias en cuanto al riesgo reputacional
PricewaterhouseCoopers
188
¿Qué entendemos por riesgo y qué es el riesgo de reputación?... Estrategia Incertidumbre asociada a Fusiones y adquisiciones. Estrategia y Planes de negocio Valor para el accionista y Stakeholders
Entorno
Legal y Regulatorio Compliance Optimización fiscal
Mercado Cambios en la situación macroeconómica Cambios en volúmenes Actividades de los competidores
Finanzas Gestión de ingresos Cash flow Acceso a fondos/tipos de interés Procurement y pagos Cambio de divisas Fiabilidad de la contabilidad Control de crédito
Reputación Cambios de marca/ impacto en el mercado Seguridad alimentaria
Empresa
Clientes Investigación Fidelidad del cliente
Producto Marketing
Recursos humanos
Branding Cartera Atracti vidad Innovación
Sistemas de Información
Corporate Governance Proyectos e Inversiones Planning and budgeting Estructura organizativa Comunicación Reporting
Organización
PricewaterhouseCoopers
Confidencialidad Integridad Disponibilidad Value for money Seguridad e-Business
Cambios en el equipo gestor. Recursos y perfiles Integridad y fiabilidad del personal Moti vación Salud, seguridad e higiene Relaciones con sindicatos
Obligaciones/compromi sos Pasivos contratados Reclamaciones y colaterales Responsabilidad de producto Pasivos éticos Obligaciones legales Medio-ambientales
Producción Logística Trazabilidad Planificación y programación Configuración Inventario y repuestos Ciclo de vida
189
¿Cómo gestionar el riesgo de reputación?...
PricewaterhouseCoopers
190
Pasos para gestionar el riesgo de reputación Posibles responsables: COO, CFO, CRO, Auditores Internos
Evaluar la Reputación Fase 1
PricewaterhouseCoopers
Evaluar la Realidad Fase 2
Cerrar las Brechas Fase 3
Monitorear cambios de creencias y expectativas Fase 4
Designar un responsable Fase 5
191
Fase 1: Evaluar la reputación
“Debido a que la reputación es percepción esta debe ser medida”
PROVEEDORES REGULADORES SOCIEDAD MEDIOS COMUNIC.
INVERSORES PERSONAL CLIENTES SOCIOS ESTRATEG.
PRIMARIOS
SECUNDARIOS
PricewaterhouseCoopers
Análisis de la publicidad Encuestas a los grupos de interés Focus groups Encuestas de opinión al público
192
Fase 2: Evaluar la realidad DRIVER
PRODUCTO/ SERVICIO
VALOR DE LA ACCION
INVERSORES/ ACCIONISTAS
CALIDAD/ PRECIO
-
CLIENTES
-
-
-
-
-
MEJOR OPCION PROFE-SIONAL
GOVERNANCE
Percepción de capacidad de innovación en producto y servicio Impacto en rentabilidad del lanzamiento de productos/ servicios
EMPLEADOS
Coordinación de campañas publicitarias y promociones sobre el mismo producto efectuadas por distintas líneas de negocio, evitando crear confusión en el cliente (ej: ADSL) Capacidad para hacer ver al cliente el “valor añadido del producto Telefónica”, evitando la percepción de que sus tarifas son las más caras del sector
-
Comunicación adecuada de promociones, campañas y descuentos dirigidas a empleados (con el objetivo de que sean prescriptores de los productos/servicios de Telefónica
-
-
-
SOCIOS ESTRATÉGICOS
-
-
SOCIEDAD
-
-
Impacto de la regulación a posteriori de productos y servicios inicialmente no regulados (que puede suponer la necesidad de retirar/ retrasar servicios) Impacto en la rentabilidad de los productos/ servicio por decisiones de los reguladores sobre precios, cánones, tarifas.... Percepción social del valor añadido del producto Telefónica ante la publicación de informes comparativos de los precios/tarifas de los distintos operadores Consideración de criterios sociales en la definición de nuevos productos y servicios (p.ej. acceso a la sociedad de la información: tarifa plana)
Moderado
LIBRE COMPET. RETORNO SOCIAL DE LA INVERSIÓN
-
REGULADORES
Alto
PROVEEDORES
IMPORTANCIA
BENEFICIO MUTUO
-
-
-
REGULATORIOS
Coordinación entre las áreas de Relaciones con Inversores de las diferentes Líneas y países (reparto de dividendos, ampliaciones de capital, juntas, memorias…) Rentabilidad de los esfuerzos de comunicación, publicidad y patrocinios (Estrategia global y coordinación) Aprovechamiento del potencial global de la marca
Incertidumbre regulatoria. Coordinación dentro del Grupo en la comunicación con el regulador
Planificación, coordinación y control por el Centro Corporativo del desarrollo de mínimos comunes en las políticas de marketing de las empresas del Grupo (segmentación de clientes, posicionamiento, etc.) Código de buenas prácticas del Grupo en lo que respecta a las relaciones con los clientes Orientación de la Comunicación/ publicidad: producto vs necesidades del cliente
Privacidad de datos personales de clientes (LOPD) como consecuencia de una gestión global del cliente (trasvase de datos personales entre distintas sociedades)
SOCIALES -
Aparición en rankings de compañías con mayor reputación o en índices de bolsa de compañías socialmente responsables (ej: Dow Jones Sustainability…)
TECNOLÓGICOS -
Comunicación del impacto de la tecnología en disposición del cliente en su seguridad y salud.
Comunicación adecuada de los valores de la compañía e identificación con la marca (orgullo de pertenencia) Comunicación interna en las reestructuraciones. Coordinación con RRHH y con el resto de la compañía para decidir la información a comunicar internamente
-
Beneficios para el empleado de las políticas de patrocinios y sociales Percepción de coherencia entre actividad social de la compañía y preocupación por el empleado
Análisis de riesgos de imagen en alianzas estratégicas con socios (Identificación de experiencias negativas de socios con organismos/ instituciones relevantes para Telefónica) Gestión de la comunicación/ relación con los socios: Existencia de interlocutores oficiales Existencia de un código / normativa mínima de valores para establecer una sociedad
-
-
Análisis de riesgos de imagen que garantice la contratación de proveedores con una imagen alineada con la de Telefónica Transmisión a los proveedores de los valores de la compañía Comunicación/ gestión de relaciones institucionales con los reguladores Impacto de campañas publicitarias en la relación con los reguladores
Definición y alineación de estrategia y políticas de patrocinio y acción social entre Centro Corporativo y Líneas de Negocio Identificación, segmentación y gestión diferenciada de organismos y entidades relevantes (ONGs, asociaciones de consumidores, sindicatos...) Actividades de acción social/ patrocinio acordes con las expectativas de la sociedad
-
Contribución a la formación tecnológica del cliente (“evitar barreras”)
-
Utilización de las nuevas tecnologías para mejorar la comunicación interna (P.e Intranet, videoconferencia, etc.).
-
Posible falta de sensibilidad, indefinición o falta de coherencia, entre Telefónica y sus socios, en políticas de: - Acción social (discriminatorias, sexistas, violentas) - Medioambiente - Seguridad y salud
-
-
-
Prioridad Alta -
Percepción social del proceso de la liberalización del sector en España
-
Aprovechamiento de la acción social para influir en el regulador Riesgo de que la presión social provoque cambios en la regulación que afectan al negocio (ej: antenas)
Inversión en Acción Social y Patrocinios y adecuada comunicación de la misma Hechos coherentes con la política de valores en lo que respecta a las sociedades locales (respeto a cultura, sociedad…)
-
-
Aprovechamiento de la Tecnología como medio de Acción Social (p.e. dotación de teléfonos de emergencia en caso de desastre, etc..) Formación / información en nuevas tecnologías (para evitar rechazo social)
Prioridad Moderada
Bajo
Prioridad Baja
Bajo
-
-
-
-
Comunicación del valor de la innovación tecnológica (internet, UMTS, etc.)
Moderado PROBABILIDAD
Alto
“Evaluar el desempeño de la compañía y el de su competencia” Aunque es difícil, la organización debe evaluar objetivamente su habilidad para alcanzar las expectativas de desempeño de los grupos de interés
-
Mientras más preciso, objetivo y cuantitativo, mejor Se debe comparar el desempeño, no sólo con los indicadores internos, sino con los de la competencia, sobre todo si son las mejores empresas de su clase Existen herramientas como: Extensible Business Reporting Language (XBRL)
PricewaterhouseCoopers
193
Fase 4: Monitorear cambios de creencias y expectativas “Realizar estudios de medición a los empleados, clientes y proveedores que puedan revelar cambios”
SOCIEDAD Identificado como crítico por Cliente
Riesgos críticos má s significativos
Valoración
1.
La compañía fomenta la mejora en cuanto al respeto del medioambiente y gestiona de manera medioambientalmente responsable
9
/
2.
Los directivos de la compañía gestionan de manera ética (evitando el fraude, la especulación, las relaciones privilegiadas, ....)
X
/ / / /
Compañía mejor valorada Todas igual
Compañía 1
3.
La compañía invierte suficientemente en acción social
X
4.
Los despidos llevados a cabo han sido realizado de manera ética
5.
La compañía cuenta con unos valores/ principios reconocibles desde el exterior
9 9
6.
La compañía escucha la posición de entidades y organismos de la sociedad civil y fomenta su relación con éstas
7.
. / 9 La Compañía tiene una buena imagen en general . 9 La compañía fomenta pro-activamente la diversidad 9 / PRINCIPALES CONCLUSIONES DEL CONTRASTE EXTERNO: RESUMEN POR GRUPO DE INTERÉS
8. 9. 10.
Compañía 1
Todas igual
/
9 9
La compañía tiene una estrategia clara de acción social/ patrocinios
Todas igual
Compañía 1
Encuestas frecuentes a empleados, clientes y otros grupos de interés pueden revelar cambios en sus prioridades
Cliente
La estrategia social de patrocinios está alineada con las expectativas de la sociedad
Compañía 3
Cliente
Compañía 1
Compañía 1
Cliente 10 9 8 7 6 5 4 3 2 1 0
INVERSORES
10 9 8 7 6
Valoración de los riesgos críticos más significativos 5 4 3 2 1 0
CLIENT ES
Valoración de todos los riesgos
10 9 8 7 6 5 4 3 2 1 0 ATE VOD AU N JAZ
BT
DT
TEF
10 9 8 7 6 5 4 3 2 1 0 ATE VOD AU N JAZ
BT
DT
TEF
PROVEEDORES
EM PLEADOS
ATE VOD AU N
JAZ
BT
DT
10 9 8 7 6 5 4 3 2 1 0
ATE VOD AU N JAZ
TEF
BT
DT
TEF
10 9 8 7 6 5 4 3 2 1 0
10 9 8 7 6 5 4 3 2 1 0
ATE VOD AU N JAZ
BT
DT
BT
DT
10 9 8 7 6 5 4 3 2 1 0
10 9 8 7 6 5 4 3 2 1 0 ATE VOD AU N JAZ
BT
DT
TEF
ATE VOD AU N JAZ
BT
DT
TEF
7 6 5 4 3
ATE VOD AU N JAZ
BT
DT
3 2 1 0 BT
DT
Valoraciones del GGII de las siguientes Compañías
Compañía 1 Compañía 2
Compañía 4 Compañía 5
Compañía 3
Compañía 6
PricewaterhouseCoopers
Cliente
ATE VOD AU N JAZ
BT
DT
TEF
TEF
ATE VOD AU N
JAZ
BT
DT
BT
DT
ATE VOD AU N JAZ
BT
DT
TEF
BT
DT
TEF
3,8
ATE VOD AU N JAZ
BT
2,7
DT
TEF
3,7
ATE VOD AU N JAZ
BT
DT
TEF
ATE VOD AU N JAZ
BT
DT
TEF
ATE VOD AU N JAZ
BT
DT
TEF
ATE VOD AU N JAZ
BT
DT
TEF
10 9 8 7 6 5 4 3 2 1 0
ATE VOD AU N JAZ
BT
DT
TEF
10 9 8 7 6 5 4 3 2 1 0
10 9 8 7 6 5 4 3 2 1 0
JAZ
3
TEF
10 9 8 7 6 5 4 3 2 1 0
10 9 8 7 6 5 4 3 2 1 0
10 9 8 7 6 5 4 3 2 1 0
10 9 8 7 6 5 4 3 2 1 0 ATE VOD AU N JAZ
TEF
3,8
Compañía 3
Compañía 2
2,4
10 9 8 7 6 5 4 3 2 1 0
5 4
ATE VOD AU N
TEF
3,8
10 9 8 7 6 5 4 3 2 1 0
10 9 8 7 6 5 4 3 2 1 0
TEF
7 6
5 4 3 2 1 0
2 1 0
DT
9 8
10 9 8 7 6
10 9 8
BT
10
ATE VOD AU N JAZ
TEF
ATE VOD AU N JAZ
TEF
10 9 8 7 6 5 4 3 2 1 0
ATE VOD AU N JAZ
2,7
COMUNICACIÓN
BUEN GOBIERNO
IDENTIDAD
R.S.C.
GESTÍON
ESTRATEGIA
VALORES
ÉTICA
ATE VOD AU N JAZ
BT
DT
TEF
La valoración del Cliente es superior a la media del Sector
Tomar acciones de las revelaciones de la encuesta Monitorear ONG´s que puedan afectar la organización Analizar como los medios afectan la imagen de la organización
La valoración del Cliente es inferior a la media del Sector
194
“Se necesitan muchas acciones positivas para crear una buena reputación, y tan sólo una mala para perderla” Benjamin Franklin
PricewaterhouseCoopers
195
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI
PricewaterhouseCoopers
196
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI Antecedentes •El mundo está cambiando: es clara la necesidad de un marco de control interno y gobernabilidad de TI ▪ Marco común orientado al negocio ▪ Flexibilidad para adaptarse a diferentes necesidades; múltiples niveles para múltiples necesidades ▪ Incorporación del marco de garantía pertinente - Destinado a: 9 Gerentes/ propietarios de procesos de negocio (gerencia) 9 Usuarios (clientes) 9 Prestadores de Servicios (gerencia de TI/proveedores) 9 Auditores Ayuda para obtener una garantía razonable respecto de la contribución de TI a los objetivos del negocio PricewaterhouseCoopers
197
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.)
Estratégico Control de Proceso
XY
XY
##
##
Ejecución del Proceso Instrucciones de Trabajo PricewaterhouseCoopers
• Instrucciones de Trabajo •2 •3 • 4,5,6….
BS7799
CobiT y otros estándares
COBIT XY
XY
XY
##
##
##
• Instrucciones de Trabajo •2 •3 • 4,5,6….
• Instrucciones de Trabajo •2 •3 • 4,5,6….
• Instrucciones de Trabajo •2 •3 • 4,5,6….
ITIL CMM
• Instrucciones de Trabajo •2 •3 • 4,5,6….
198
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) CobiT vrs COSO
• Se definen métricas para
evaluar si los controles están operando de • implementación Controles generales efectivamente • Controles dedel operación para •mecanismos Desarrollo plan del • Evaluaciones continuas centro de datos identificar, controlar y control •• Administración Controles de de seguridad • estratégico Crea las bases eparadeun comunicar losde eventos interno accesode TI identificación defectos efectivo control interno • Controles dede software de y la ••significativos Evaluación los • Monitoreoel deenfoque la seguridad, Establece del sistema información requerida riesgos de TI, asociados etc. • Controles de desarrollo y negocio por el negociode • Evaluaciones separadas a administración de TI, mantenimiento software de • Define la integración de sistemas • Auditorías internas y • Evaluar que ladatos, seguridad de los componentes de TI • información Controles aplicación externas desea administración y al••negocio Actividades de control de Evaluaciones regulatorias apropiada, oportuna en desarrollo de cambios, balances de penetración • Responsabilidades en el • Estudios el y etc. •tiempo, Dígitos de completa chequeos control de TI • Análisis independientes de • Listas de información accesible capacidad y desempeño • Apoyo en la
La competencia en todos los niveles del Marco COSO es necesaria para alcanzar un programa de control integral
PricewaterhouseCoopers
Componentes COSO
M Ev onit a l or ua eo ci y ón
En So treg po a rte y
Objetivos de CobiT P O lan rg ea an ci iz ón ac y ió n Ad Im q pl ui em sic en ión ta ci e ón
Los controles de TI pueden ser considerados como marco general de gobernabilidad para soportar la calidad e integridad de la información
Monitoreo Información y Comunicación Actividades de Control Evaluación de Riesgos
predefinida
•• Revisiones de la Pruebas de razonabilidad de
efectividad de TI datos Control de Ambiente
Pruebas lógicas, etc. •• Revisiones independientes
de la seguridad • Revisión de la implementación de proyectos 199
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) CobiT: Productos Evolución En respuesta a las necesidades actuales, COBIT ha evolucionado de una herramienta para auditoría a un marco de Gobernabilidad de TI.
Gobernabilidad
Gestión
Control
Auditoría COBIT 1
COBIT 2
COBIT 3
COBIT 4
1996
1998
2000
2005
Fuente: ISACA PricewaterhouseCoopers
200
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) Principios básicos de CobiT 9 9 9 9
Orientación al negocio Orientación a procesos Basado en control Enfoque de medición
1 0
1 0 1 0
Requerimientos del Negocio
Procesos de TI
1 0 1
0
1
1
0
1
0 1 0
Recursos de TI
PricewaterhouseCoopers
201
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) Principios básicos de CobiT Metas de TI
CobiT: Orientación al negocio Metas de Negocio vrs Metas de TI
PricewaterhouseCoopers
202
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) Principios básicos de CobiT CobiT: Orientación al negocio Requerimientos del Negocio - Criterios de Información Efectividad: Información relevante y pertinente para el negocio, provista de manera oportuna, correcta, consistente y utilizable. Eficiencia: Tratar la información a través del uso óptimo de recursos (productivo y económico). Confidencialidad: La información sensible protegida de revelación no autorizada. Integridad: Exactitud, completitud y validez de la información. Disponibilidad: Actual y futura, salvaguarda de los recursos necesarios. Cumplimiento: Adhesión al marco legal y de política. Confiabilidad: Propiedad de la información que se usará en la toma de decisiones. PricewaterhouseCoopers
203
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) Principios básicos de CobiT CobiT: Orientación al negocio Modelos de Procesos
Dominios 4 Procesos 34 Actividades /Tareas
218 PricewaterhouseCoopers
¾ Agrupamiento lógico de procesos, a menudo se concibe como dominios de responsabilidad dentro de una estructura y encuadra en el ciclo de vida aplicable a los procesos de TI ¾ Una serie de actividades o tareas vinculadas con cortes (de control) naturales ¾ Son necesarias para lograr un resultado mensurable. Son las acciones que deben realizarse para que el proceso cumpla con su objetivo 204
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) Principios básicos de CobiT CobiT: Orientación al negocio Tres vistas de CobiT Vista de la Dirección
PricewaterhouseCoopers
ad d rio a d a i i lid ur uc g d Ca i F Se Dominios
Procesos
Actividades
Datos Re Aplicaciones cu Infraestructura rs os Personal de TI
Vista de los Usuarios
Procesos de TI
Criterios de Información
Vista de la Gerencia de TI y especialistas
205
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) Principios básicos de CobiT CobiT: Orientación a procesos Modelos de procesos
OBJETIVOS OBJETIVOS DE DE NEGOCIO NEGOCIO GOBIERNO DE TI
COBIT
Dominios de Control en Tecnología de la Información
INFORMACION INFORMACION •• eficacia eficacia •• eficiencia eficiencia •• confidencialidad confidencialidad •• integridad integridad •• disponibilidad disponibilidad •• cumplimiento cumplimiento •• confiabilidad confiabilidad
MONITOREO MONITOREO Y Y EVALUACIÓN EVALUACIÓN
PLANIFICACION PLANIFICACION Y Y ORGANIZACION ORGANIZACION
RECURSOS RECURSOS DE DE TI TI •• Información Información •• aplicaciones aplicaciones •• infraestructura infraestructura •• personas personas
ENTREGA ENTREGA Y Y SOPORTE SOPORTE PricewaterhouseCoopers
ADQUISICION ADQUISICION E E IMPLEMENTACION IMPLEMENTACION 206
PO1 PO1 PO2 PO2
OBJETIVOS DE NEGOCIO definición definiciónde deun unplan planestratégico estratégicode deTITI definición definiciónde delalaarquitectura arquitectura de delalainformación información
PO3 PO3 PO4 PO4
determinación determinaciónde delaladirección direccióntecnológica tecnológica definición definiciónde deprocesos, procesos,lalaorganización organizaciónyylas lasrelaciones relacionesde deTITI
PO5 PO5 PO6 PO6
administración administraciónde delalainversión inversiónen enTITI comunicación comunicaciónde delos losobjetivos objetivosyydirectivas directivasde delalagerencia gerencia
PO7 PO7 PO8 PO8
administración administraciónde delos losrecursos recursoshumanos humanos administración administraciónde delalacalidad calidad
PO9 PO9 PO10 PO10
evaluación evaluaciónyyadministración administraciónde deriesgos riesgos • efectividad administración administraciónde deproyectos proyectos • eficiencia
COBIT
INFORMACION
• confidencialidad • integridad • disponibilidad • cumplimiento • confiabilidad
MONITOREO RECURSOS DE TI
PLANIFICACION Y ORGANIZACION
• personas • aplicaciones • infraestructura • información
ENTREGA Y SOPORTE PricewaterhouseCoopers
ASQUISICION E IMPLEMENTACION 207
OBJETIVOS DE NEGOCIO
COBIT INFORMACION AI1 AI1 AI2 AI2
identificación automatizadas identificaciónde desoluciones soluciones • efectividad automatizadas • eficiencia adquisición adquisiciónyymantenimiento mantenimientodel delsoftware softwarede deaplicación aplicación • confidencialidad
AI3 AI3 AI4 AI4
• integridad de la infraestructura tecnológica adquisición adquisiciónyymantenimiento mantenimiento • disponibilidadde la infraestructura tecnológica PLANIFICACION Y • cumplimiento habilitar habilitareleluso usoyyoperación operación • confiabilidad ORGANIZACION AI5 provisión de recursos de TI AI5 provisión de recursos de TI AI6 administración MONITOREO AI6 administraciónde decambios cambios RECURSOS DE TI AI7 instalación AI7 instalaciónyyacreditación acreditaciónde desistemas sistemasyycambios cambios • personas • aplicaciones • infraestructura • información
ENTREGA Y SOPORTE PricewaterhouseCoopers
ADQUISICION E IMPLEMENTACION 208
OBJETIVOS DE NEGOCIO
ES1 ES1 ES2 ES2
definición definiciónyyadministración administraciónde delos losniveles nivelesde deservicio servicio administración administraciónde delos losservicios serviciosprestados prestadospor porterceros terceros
ES3 ES3 ES4 ES4
administración administraciónde delalacapacidad capacidadyyeleldesempeño desempeño garantía garantíade deun unservicio serviciocontinuo continuo
ES5 ES5 ES6 ES6
garantía garantíade delalaseguridad seguridadde delos lossistemas sistemas INFORMACION identificación identificacióneeimputación imputaciónde decostos costos
ES7 ES7 ES8 ES8
educación usuarios • efectividad educaciónyyentrenar entrenaraalos usuarios • los eficiencia • confidencialidad administración desk administracióndel delservice service desk eeincidentes incidentes
ES9 ES9 ES10 ES10
• disponibilidad administración administraciónde delalaconfiguración configuración • cumplimiento • confiabilidad administración de problemas administración de problemas
COBIT
• integridad
PLANIFICACION Y ORGANIZACION
ES11 administración ES11 administraciónde dedatos datos MONITOREO ES12 administración ES12 administracióndel delambiente ambientefísico físico ES13 ES13
RECURSOS DE TI
administración administraciónde deoperaciones operaciones • personas
• aplicaciones • infraestructura • información
ENTREGA Y SOPORTE PricewaterhouseCoopers
ASQUISICION E IMPLEMENTACION 209
OBJETIVOS DE NEGOCIO
COBIT
M1 M1 M2 M2
Monitoreo Monitoreoyyevaluación evaluacióndel deldesempeño desempeñode deTI TI Monitoreo Monitoreoyyevaluación evaluacióndel delcontrol controlinterno interno
M3 M3 M4 M4
Asegurar Asegurarelelcumplimiento cumplimientoregulatorio regulatorio INFORMACION Provisión Provisiónde deGobernabilidad Gobernabilidadde deTI TI • efectividad • eficiencia • confidencialidad • integridad • disponibilidad • cumplimiento • confiabilidad
MONITOREO Y EVALUACIÓN
PLANIFICACION Y ORGANIZACION
RECURSOS DE TI • personas •aplicaciones • infraestructura • información
ENTREGA Y SOPORTE PricewaterhouseCoopers
ASQUISICION E IMPLEMENTACION 210
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) Principios básicos de CobiT CobiT: Orientación a procesos Navegando en CobiT 4.0
PricewaterhouseCoopers
Página Izquierda
Página Derecha
211
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) Principios básicos de CobiT CobiT: Orientación al Control y Medición Controles de TI En las últimos tiempos se ha producido un cambio en la relación existente entre los controles generales de TI y los controles de aplicación:
Los controles generales soportan la funcionalidad de los controles de aplicación. Ambos controles son requeridos para asegurar el procesamiento eficiente de la información.
PricewaterhouseCoopers
Controles Financieros Controles Negocio
Controles Controles Generales GeneralesTI TI
Controles Controlesde de Aplicación Aplicación
212
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) CobiT: Orientación al Control y Medición Objetivos de Control Controles de TI
Controles de Aplicación Procesos de Negocio Etc.
Procesos de Negocio Logística
Controles Generales sobre el ambiente de TI Ejemplos: • Estilo de operación • Políticas corporativas • Gobernabilidad • Colaboración • Información compartida
Procesos de Negocio Manufactura
Controles de Alto Nivel (Compañía)
Procesos de Negocio Finanzas
Gerencia General
Servicios de TI Datos/OS/Telecom/Continuidad/Redes
Controles Generales
Controles integrados en las aplicaciones que soportan los procesos de negocio. Ejemplos: • Completitud • Exactitud • Validez • Autorización • Segregación de tareas
Controles relacionados con la función en general de TI. Ejemplos: • Desarrollo de programas / Administración de cambios • Administración de Operaciones / Acceso a programas y datos PricewaterhouseCoopers
213
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) CobiT: Orientación al Control y Medición Objetivos de Control Controles Generales de TI Ambiente • Proceso de Gobierno de TI • Plan Estratégico de TI • Proceso de Adm de Riesgos de TI • Administración de las regulaciones • Políticas y procedimientos de TI • Monitoreo y Reporte de la alineación de TI
Desarrollo de programas y administración de cambios • Metodología para el desarrollo de nuevos servicios, que considere la identificación de soluciones automatizadas, diseño e implementación de sistemas, etc. yControles para la autorización e implementación de cambios a los sistemas existentes
Tecnologías de Información
Operaciones Computadorizadas • Incluye los controles sobre la definición, adquisición, instalación, configuración, integración y mantenimiento de la infraestructura de TI • Orientados a la entrega diaria de los servicios de información, administración de acuerdos de niveles de servicio, etc. PricewaterhouseCoopers
Acceso a programas y datos • Actividades de control de acceso • Passwords de acceso • Firewalls de Internet • Encripción de datos y llaves PKI • Perfiles de usuario en las diferentes aplicaciones 214
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) CobiT: Orientación al Control y Medición Controles Generales de TI - Ejemplos Proceso
Control
Adquisición y La metodología del ciclo de desarrollo de sistemas está diseñada para Desarrollo de Software incluir controles de aplicación que soporten la completación, exactitud, de Sistemas autorización y validación del procesamiento de transacciones. Instalación y acreditación de sistemas Administración de Cambios Administración de servicios prestados por terceros Administración de la Configuración
Se realizan pruebas de todos los cambios significativos en aplicaciones e infraestructura tecnológica, considerando pruebas de unidad, sistemas, integración y aceptación del usuario. Estas pruebas se realizan previo al traspaso al ambiente de producción. Las solicitudes a programas, cambios de sistemas y mantenimiento (incluyendo cambios al software de sistemas) están estandarizados, documentados y sujetos a procedimientos formales de administración de cambios Los contratos de servicios provistos por terceras partes incluyen cláusulas relacionados con riesgos, controles de seguridad y procedimientos para la administración de los sistemas de información y redes involucradas en el contrato Solo el software autorizado es permitido para uso de los empleados que utilizan los activos de TI de la compañía
Administrar Problemas Existe un proceso para responder a los incidentes el cual soporte la e Incidentes investigación y solución de dichos incidentes PricewaterhouseCoopers
215
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) Principios básicos de CobiT CobiT: Orientación al Control y Medición Controles de Aplicación • TI es responsable por su diseño e implementación • La operación y control de estos controles es responsabilidad de los procesos de negocios • Como mínimo deben considerarse: 9 Controles de generación y autorización de datos 9 Controles de entrada de datos 9 Controles de procesamiento de datos 9 Controles de salida de datos 9 Controles de frontera
PricewaterhouseCoopers
216
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) Principios básicos de CobiT CobiT: Orientación al Control y Medición Controles de Aplicación (Ejemplos) Tipo Validez Completitud Validez Completitud Validez Valoración Validez Completitud Completitud Validez PricewaterhouseCoopers
Control Ajustes a los precios y cantidades de inventario son registrados adecuadamente y un período apropiado. Los materiales son recibidos y aceptados sonolo si cuentan con ordenes de compra válidas Todos los materiales recibidos son registrados con precisión Los materiales defectuosos son retornados a los proveedores, y registrada dicha devolución. Los costos por envíos del inventario son registrados adecuadamente Solo cambios válidos son realizados al archivo maestro de administración del inventario El archivo maestro de administración del inventario se encuentra actualizado 217
CobiT - Marco de Referencia para el Control y la Gobernabilidad de TI (cont.) CobiT: Orientación al Control y Medición Estrategias de implementación Mapa del itinerario a seguir: Identificar las Necesidades Concientizar y tomar la decisión
Analizar valores
Analizar riesgos
Visualizar la Solución
Seleccionar procesos
Definir ¿dónde estamos ahora?
Definir ¿dónde queremos estar?
Analizar brechas
Planificar la Solución Definir proyectos
Desarrollar e implementar el plan de cambios
Implementar de la Solución Integrar la prácticas en el ‘día a día’
Integrar las mediciones dentro del BSC de TI
Revisión de Post Implementación
PricewaterhouseCoopers
218
PricewaterhouseCoopers
219