“Gestión del Riesgo Estratégico ” Marco GRC · Incorporación del concepto de dueño de...

“Gestión del Riesgo Estratégico ” Marco GRCArturo E. Carvajal O.

Socio - Advisory

KPMG

Panama

Octubre 2015

2© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.

Actuales Tendencias de Administración de Riesgos y Oportunidades

• Incorporación del concepto de dueño de riesgos en los procesos de administración de riesgos yrequerimientos significativos de información al tomar decisiones basadas en riesgos. (Cultura al Riesgo)

• Proactividad y separación en líneas de defensa como forma de organización integrada y en colaboración delas distintas líneas de negocios . (Gobierno Corporativo)

• Incremento de conciencia y expectación de las distintos espectadores sobre la sostenibilidad y capacidad dela administración de riesgos en la relación efectividad y costo en el negocio. (Rentabilidad)

• Incremento focalizado en probabilidad y en riesgos emergentes en alineamiento a la estrategia del negocio.(Focalización)

• Desarrollo de la responsabilidad social en línea profunda con la administración integral de riesgos.(Comunidad/Ambiente)

• Mejor colaboración en la organización, manejando un lenguaje común, clara comunicación, desagregación yreportes de riesgos (Eficiencia y Efectividad del Negocio)

Podría ser el mejor tiempo de movernos de una administración de riesgos discreta a una integrada e

incorporar una medición implícita de riesgos en el rendimiento del

negocio. Capacidad de administración de riesgo integral ?


Porqué Riesgos es un Tema de Negocios?

Riesgo es ahora visto como un tema que afecta a todas las partes del negocio e influencia en el éxito y en la falla de los negocios …

. . . Consecuentemente, Administración de Riesgos está incrementando su accionar hacia la Junta Directiva, Gerencias y es proactiva versus reactiva

Fuerzas Externa

Competencia

Regulación

Alianzas/Socios

Proveedores

+

Perfil de Riesgo del Negocio

Mercado Capital/Capital

Contable

=Medidas

$

Procesos de Negocios

Áreas de Negocios

Riesgo

Eficiencia y mejoras basados en costos

Executive

Gerencias

Junta Directiva

Riesgos

Presenter

Presentation Notes

Discussion Notes For a variety of reasons – some widely known and publicized – the management of enterprise-wide-risk is no longer seen as something that can be an “ad hoc” process or be “delegated” to risk specialists. “Risk management” has joined strategic management, financial management, operations management, etc. as a core management process – in which line, functional, and risk specialists have assigned accountabilities. Triggers driving increased risk management activity include: Flex from the Center: Concerns at HQ about the level of control they have over a diverse business Musical Chairs: A new CEO or Chair of the Board / Audit Committee who is open to fresh approaches PLC Pressure: De-merger or listing on a new exchange that requires additional governance and compliance processes Born in the USA: Sarbanes-Oxley controls reporting is time-consuming and must deliver more than just compliance Capital Concerns: Credit ratings agencies taking an interest in governance and risk management capabilities Premier Position: Executive management want to be best in class and ahead of the competition A Risky Business: Major changes in business direction or the dynamics of an industry Share Shocker: A falling or poor performing share price that smacks of nasty surprises Expansionist: The company is growing fast and is struggling to maintain control over operations Ticking off: Ongoing Audit Committee or major shareholder complaining about a lack of internal control Rules and More Rules: New trends in the regulatory environment at home and abroad


Cualquier iniciativa de administración de riesgo debe balancear el costo de los negocios y los beneficios que se deben derivar de tal iniciativa. Creación de Valor…

Inherent

Risk

Riesgo Retorno

MitigantesRiesgo Residual Ingreso

Bruto

Costo de

los controles

Retorno Neto

Acción de la Administración

Rechazar

Reducir

Aceptar

Traspasar

Seguros

Controles

Cobertura

Riesgo Inherente

La Administración de Riesgos Integrada a la Estrategia de Negocio…


La Administración de Riesgos Integrada a la Estrategia de Negocio…

Objetivos Estratégicos

Proceso de Administración Estratégica

Estrategias

Habilitados por

Procesos del Negocio

Seleccionar Medidas

Reduce

Impacto

Amenaza Riesgos

Controles


Visión de Riesgos en Nuestro Actual Ambiente de Negocio

Gobierno• Facilitar una mejor conducción corporativa sobre las prioridades estratégicas

del negocio y en los aspectos no financieros.• Alineamiento a los requerimientos del Organismo Regulador – por ejemplo,

“Conformación de Comité de Riesgos por Directivos”. • Mayor cercanía con las Agencias Calificadoras de Riesgos – Manejo de las

expectativas con respecto a la administración de los riesgos, ayuda a asegurar una cultura de evitar “Sorpresas” .

• Involucramiento en la estructura de adecuación de capital basado en riesgos – consideraciones de Basel II y III.

Estrategia • Más allá de la Regulación – Proveer una ventaja competitiva vs. resto de los

jugadores del mercado.• Realineación Estratégica a través de la evaluación de los riesgos priorizados

por nivel de impacto.• Orientado a Riesgos – Desarrollo de estrategias con entendimiento de los

riesgos corporativos.

Rendimiento• Reducción de la volatilidad del flujo de efectivo mediante instrumentos de

coberturas, seguros y mejora del control interno.• Asignación y evaluación de Capital basado en rendimiento alineado a riesgos. • Reducción de Costos a través de la consolidación de riesgos y eficiencia

funcional cruzada en la organización.• Mejora en el proceso de responsabilidad y transparencia por medio de

reportes y monitoreo de los riesgos en forma integral en la organización.

Rendimiento

Estrategia

Gobierno

Direccionadores


Alineación Gobierno, Estrategia y Rendimiento

Rendimiento Utilización de indicadores claves de riesgos y experiencia provista por los riesgos para la mejora del proceso de toma de decisiones

y rendimiento del negocio

EstrategiaRealineación de estrategias de negocios mediante alternativas

vía análisis de riesgos claves y potenciales impactos financieros

GobiernoMonitoreo y reporte de riesgos claves y acciones

para administrar riesgos por la Gerencia y Junta Directiva


Desafíos de GRC dentro del Entorno Empresarial Actual

Entorno empresarial actual• Conocimiento limitado de riesgo• Falta de confianza para cuantificar y reportar perfiles

de riesgo• Riesgo y controles no se encuentran alineados con la

estrategia corporativa• Junta enfatiza en gobernanza del riesgo y monitoreo• Riesgo y controles no se encuentran implícitos en las

actividades del negocio• Información no-confiable• Sobrecarga de información lleva a ineficiencias en el

manejo y toma de decisiones del negocio• Falta de transparencia del monitoreo y reportes

ineficientes• Incremento de costos para cumplimiento y

divulgación• Incremento de complejidad y estándares más altos

de calidad • Procesos manuales intensivos GRC• Visión de Silos – funciones de Riesgo, Cumplimiento

y Control trabajan separadamente sin cooperación• Ejecución de múltiples actividades de cumplimiento

son costosas e ineficientes• Muchos esquemas diferentes de riesgos y controles


Modelo Holístico Integral GRCDefinición KPMG

Un enfoque que alinea gobierno corporativo, procesos de riesgos y cumplimiento a la estrategia de negocio, permitiendo convergencia y transparencia de información para el manejo del rendimiento y flexibilidad del mismo en un ambiente económico dinámico.

Una definición nuestra

“”Que es GRC Qué no es GRC

Inicia con el entendimiento de los objetivos estratégicos, misión y modelo de negocio. Vista integral de las funciones

expuestas Convergencia de riesgos relacionada

con las funciones expuestas Alineación gente, procesos y

consideraciones de tecnología.

No es una solución tecnológica, pero frecuentemente incorpora soluciones disponibles No es otro nombre de

administración integral de riesgos No elimina la necesidad de las

funciones de cumplimiento. No es conceptual – debe ser

práctico.

Presenter

Presentation Notes

An integrated approach Breadth and depth of existing experiences, services and disciplines Leverages existing services; does not replace Leveraging existing engagement opportunities Address immediate needs Open door for longer term gains Your support is required Make GRC part of your “way of doing business” Evolving as we go Marketplace is changing – we need to keep current


Modelo Holístico Integral GRC

Gobierno, Organización e Infraestructura se refiere a las estructuras de organización, funciones y responsabilidades, recursos, procedimientos de escalamiento, y sistemas de información para las funciones de supervisión que gestionan GRC dentro de la empresa

Modelo Operativo GRC abarca la incorporación de controles y la información en los procesos de negocio de la organización

Aseguramiento del negocio, es la presentación coordinada de informes y seguimiento de los controles

La estrategia es el desarrollo y la planificación de los objetivos de negocio

El Cumplimiento y Rendimiento proporciona una garantía interna y externa frente a los riesgos y controles clave

Perfil de riesgo, es la evaluación de las áreas de exposición y los posibles impactos

Los procesos de negocio son el centro del modelo holístico GRC donde las transacciones y actividades de control se llevan a cabo.

La cultura y el comportamiento se relaciona con los cambios organizativos y de gestión de comportamiento necesarios para integrar GRC en las funciones de la organización


Entendiendo el Modelo Holístico GRC Elementos Claves

Gobierno, Organización e Infraestructura

Modelo Operacional GRC

Cultura & Comportamiento

Procesos de NegociosPerfil de Riesgo

Aseguramiento del Negocio

Rendimiento del Negocio Mediciones GRC

Reportes Integrados Rendimiento y Cumplimiento


Entendiendo el Modelo Holístico GRC Misión y Estrategia

GRC sigue a la estrategia

Misión y Estrategia determinan los objetivos del negocio y son los precondicionantes de la estructura GRC.


Vinculo entre estrategia de negocios y riesgo

Estrategia de Riesgos

Apetito y Tolerancia de Riesgo

Junta Directiva y Comité

Estructura de Riesgo

Guías de Riesgo

Roles y Responsabilidades

Toma de Decisión

Definición de Riesgo

Identificación de Riesgo

Priorización y Evaluación

Modelos, y Métodos Cuantitativos

Agregación de Riesgo, Correlación y Concentración

Escenarios de Análisis y Stress Testing

Capital y gestión del rendimiento

Mitigación de Riesgo, Respuesta y Plan de Acción

Testeo, Validación y Aseguramiento de la administración

Monitoreo

Proyectos de Riesgo / Iniciativas

Calidad de la Información y Gobierno

Riesgo Analítico

Disposición de la Tecnología

Reporte de Riesgo

Requerimientos de Negocios / Operaciones

Requerimientos de la Junta Directiva y Alta Gerencia

Requerimientos Externos

Conocimiento y Entendimiento

Creencias y compromiso

Competencias y Contexto

Acción y Determinación

Estrategia y Apetito de Riesgo

Gobierno de Riesgo

Cultura de Riesgo

Evaluación y medición de riesgoManejo y Monitoreo de RiesgoReporte de Riesgo y Perspectivas

Información y Tecnología

Entendiendo el Modelo Holístico GRC Marco de Riesgo Integral (ERM)

Cultura de Riesgo

Gobierno Corporativo de Riesgo

Evaluación y Medición de

Riesgo

Reporte de Riesgo y

Perspectivas

Manejo y Monitoreo de

Riesgo

Estrategia y Apetito

de Riesgo

Datos y Tecnología


Ejemplos Prácticos ligados al Modelo GRCPerfil de Riesgo

Evaluación de áreas de exposición y potenciales impactos:

Procesos Administración de políticas de Cambios de Normas

Regulaciones y leyes claves

SOX 404

Solvencia II

Riesgo Operacional

NIIF

Ley de Pensiones

Riesgos Claves

Entrada incompleta e incorrecta de entradas de cambios

Procesamiento inoportuno de cambios

Daño a la reputación debido a inapropiadas confirmaciones de fallecimientos

Incorrecto cálculo de prima debido a entrada incorrecta de estado salarial

Incorrecto cálculo de prima o previsiones debido a cambios no autorizados en la base de datos maestra

No cumplimiento con políticas estratégicas internas , planes y presupuestos

Riesgo de fraude

Cumplimiento no claro e inoportuno con NIIF , Solvencia II, etc.


Riesgo Reputacional Riesgo Financiero

Key

Top Ten Risks Riesgo Regulatorio y Cumplimiento

3j Pérdida del edificio junto el equipo humano clave o infraestructura tecnológica

1c Cambios adversos en las leyes y gobierno afectando el modelo de negocio de la compañía

5a Pérdida de participación de mercado o ingresos por medio de la competencia o regulación

5b Introducción de productos competitivos y tecnología de otras compañías

5c Inhabilidad para atraer y retener empleados claves

1b Fallas en el desarrollo de los sistemas de información transaccional y gerencial

4d Exposición a litigios judiciales relacionados a los productos y servicios de la compañía

3h Deficientes productos y/o servicios provistos resultando en pérdida de reputación

4a Inhabilidad a reaccionar a los cambios en el ambiente legal, económico, regulatorio o ambientales

3i Incremento en la presión sobre precios por la competencia y/o clientes

1

10 Mayores Riesgos#

2

3

4

5

6

7

8

9

10

Insignificante

Probabilidad de Ocurrencia del Riesgo

Menor

Moderado

Mayor

Remoto Improbable Posible Probable Ciertamente Probable

1f

3e4c

4e4f

4j

1c

1d1e

2b

3g

3b 3d3f

3a

3h

4b

4d

4g

4h

4i

5a

5c

1a2c

2a

5b

3j

3i3c

1b

4a

Catastrófico

Impa

cto

del R

iesg

o

Riesgo Operativo Riesgo Estratégico

Creando Contenido – Perfil de Riesgos



1f

3e4c

4e4f

4j1d

1e2b

3g

3b 3d3f

3a

4b

4g

4h

4i

1a2c

2a

3i3c

4a

1b

5b3h5c

4d

1c

5a

3j

Key

Área de Negocio A Área de Negocio B Área de Negocio C Área de Negocio D Área de Negocio E

Riesgos Mayores

3j Pérdida del edificio junto el equipo humano clave o infraestructura tecnológica

1c Cambios adversos en las leyes y gobierno afectando el modelo de negocio de la compañía

5a Pérdida de participación de mercado o ingresos por medio de la competencia o regulación

5b Introducción de productos competitivos y tecnología de otras compañías

5c Inhabilidad para atraer y retener empleados claves

1b Fallas en el desarrollo de los sistemas de información transaccional y gerencial

4d Exposición a incumplimiento de créditos relacionados a la cartera de préstamos corporativos

3h Deficientes productos y/o servicios provistos resultando en pérdida de reputación

4a Inhabilidad a reaccionar a los cambios en el ambiente legal, económico, regulatorio o ambientales

3i Incremento en la presión sobre precios por la competencia y/o clientes

1

10 Mayores Riesgos#

2

3

4

5

6

7

8

9

10

Insignificante

Menor

Moderado

Mayor

Catastrófico

Impa

cto

del R

iesg

o

Probabilidad de Ocurrencia del Riesgo

Remoto Improbable Posible Probable Ciertamente Probable

Creando Contenido – Riesgos Residuales



2009

2007

2008

2007

Schedule

(IA/Compliance)

4

3

2

1

O

O

S

Risk Category

(M, C, O, I)

Pérdida por exposición a moneda extranjera por error en la cobertura

Falla en el desarrollo de sistemas y datos

Deficiente productos/servicios resultando en pérdida de reputación

Introducción de productos competitivos y tecnología de otras compañías

BoardOversight

OverallCurrentScore (*)

Risk DirectionRisk Description

2009

2007

2008

2007

Monitoreo(AI/Riesgos)

3

2

1

F

O

O

S

RiesgoCategoría(M, C, O, I)

Comité A

ComiteOversight

Exposición Actual - ScoreRiesgo

DirecciónDescripción del Riesgo

2

2

2

3

Assessment of Actions to Manage Risk(*) Evaluación del Manejo de Riesgo(*)

0

1

2

3

4

5

Definitions of Risk Direction:

Riesgo decreciendo

Riesgo en ascenso

Sin cambio en la dirección del riesgo

Definición de Dirección de Riesgos

Legal y Cumplimiento

Risk Category Abbreviations

OperacionalEstrategicoFinanciero

SF

Categoría de Riesgos

–

–

–

–

–

–

IOL

O

Exposición a los Riesgos Claves

Rendimiento

Estrategia

Gobierno

(Market, Credit, Operations, Infrastructure)

Comité B

Comité C

Comité D

Excede Requerimiento – El proceso de administración de riesgos esta siendo manejado sobre el nivel de riesgo involucrado.Reúne Requerimientos – El proceso de administración de riesgos es apropiado al nivel de riesgo identificado.

Necesita Reforzamiento Menor – Mejoras menores en el proceso de administración de riesgos son necesarias Necesita Reforzamiento Importante – El proceso de administración de riesgos necesita ser reforzado fuertemente Necesita Reforzamiento Crítico – El proceso de administración de riesgos es deficiente de modo crítico.

No Establecido – El proceso de administración de riesgos no ha sido establecido.



Área de Enlace

Comité Ejecutivo

Gerente General

JUNTA DIRECTIVA

Banca Comercial

Instituciones Financieras

Banca de Consumo

Banca CorporativaTecnología

Operaciones

Línea de reporte jerárquico

G.A. Riesgo Crédito

G.A. Riesgo Operacional

G.A. Riesgo Mercado y Liquidez

G.A. Riesgo Legal

Comité de Crédito de Consumo

Comité de Crédito

Corporativo

Mercadeo

Recursos Humanos

G.E. Finanzas

G.E. TesoreríaRiesgo Integral

CumplimientoAuditoría Interna

Comité de Riesgos

Ejecutivo

C.D. De

Crédito

C.D. De

Auditoria

C.D. De

Cumplimiento

C.D. De Riesgo

C.D. Gobierno

CorporativoC.D.

ALCO

Admón. Crédito

Línea de reporte funcional

Planificación

Área de Control Área de Negocio

Ejemplos Prácticos ligados al Modelo GRC Gobierno, Organización e Infraestructura


Equipo Gerencial

Junta Directiva

Áreas de Soporte

Línea de Negocios

1

Actividades

Primera Línea de Defensa

Función de Riesgos Roles y Responsabilidades

Segunda Línea de Defensa

Tercera Línea de Defensa

Línea de Negocios 2

Línea de Negocios

3

Auditoría Interna

Auditores Internos

Áreas Especializadas

LegalCumplimiento

Seguridadetc

Estructura de Organización: Diagrama de Tres Líneas de Defensa



Estructura de Organización

DUEÑO DE ADMINISTRACIÓN RIESGOS• Administrar riesgos/ acciones de implementación para manejar y tratar riesgos• Cumplimiento con proceso de administración de riesgos• Implementación proceso de administración de riesgos donde sea aplicable • Ejecutar evaluación de riesgos e identificar riesgos emergentes

PrimeraLínea de Defensa

Dueños

NegociosD

ueño

s N

egoc

ios

GESTIÓN DE RIESGOS• Definición de políticas y procesos de administración de riesgos• Estrategia de gestión alineada al negocio en términos de riesgos• Proveer guías y coordinación entre las distintas áreas del negocio• Identificar tendencias del negocio, sinergia y oportunidades para cambios

en la administración de riesgos.• Facilitador y comunicador entre la tercera y primera línea de defensa• Vigilancia sobre ciertas áreas de riesgos y los objetivos de negocios

Segunda Línea de DefensaEs

tabl

ecim

ient

o Es

tánd

ares

Establecimiento

Estándares

VALIDACIÓN PROCESO DE ADMINISTRACIÓN Y GESTIÓN DE RIESGOS• Comunicación con Alta Gerencia y Junta Directiva• Evaluación del proceso de administración de riesgos en su conjunto• Verificación de la administración de riesgos con relación a contenido y

proceso y gestión de riesgos• Proveer razonable aseguramiento que el proceso de administración de

riesgos es adecuado y apropiado al perfil de riesgo del negocio

Tercera Línea de DefensaPr

ovee

r As

egur

amie

nto

Gobierno de Riesgos


Proveer Aseguram

iento


RESILIENCE

MISSIO

N

Values

Strategy

Value Drivers

Model

Risk Profile

Governance, Organization, &

Infrastructure

Culture & Behavior

Enterprise AssuranceBusiness

ProcessesBusiness Processes

Compliance

PerformanceBusiness

RESILIENCE

MISSIO

N

Values

Strategy

Value Drivers

Model

Risk Profile


Infrastructure

Culture & Behavior



Compliance

PerformanceBusiness

Mapeo de las 3 Líneas de Defensa para un Modelo GRC Holístico

GRC soporta 3 Líneas de Defensa en protección y aumento del valor del negocio. Dentro de una organización hay típicamente 3 Líneas de Defensa:

- 1ra Línea: Dueños de Negocios

- 2da Línea: Establecimiento Estándares

- 3ra Línea: Auditoría Interna

La conexión entre las 3 Líneas de Defensa y los elementos aplicables claves dentro del GRC de KPMG, modelo holístico, son gráficamente representados


Ejemplos Prácticos ligados al Modelo GRC Alineación de Gobierno Corporativo a Riesgo Integral - Sector Financiero

Junta Directiva

Bca. Corporativa

Bca. Comercial

Bca.Corresponsalia

Bca. Consumo

Tesorería

Comités Directivos de Riesgo y Cumplimiento

Comité Ejecutivo de

Riesgos

Comité de RO

Control Interno

Comité Directivo de Auditoría

Auditoría Interna

Auditoría Externa

RRHH

Legal Seguridad IT

Comités Directivos/ Ejecutivos (ALCO, Crédito,

otros)

Operaciones IT Planificación

Procesos

Bca. Inversión

CumplimientoSeguimiento y Ejecución

Admin.

Gerencia General

Áreas EspecializadasÁreas Soporte / Operaciones

Fuente:Basado en “Principles for the sound Management of Operational Risk” Basel Committee on Banking SupervisionJunio 2011


Junta Directiva

Comité de Tecnología

Comité de Ventas

Comité de RRHH

Comité de Operación

Comités Directivos/Ejecutivos

Comité Plan Estratégico/

Riesgos

Comité de Compensación

Control


Auditoría Interna

Auditoría Externa

RRHHLegal

Seguridad IT

Comités Directivos/Ejecutivos

Operaciones IT Presupuesto

Procesos y Mejora Continua Serv. Admin.

Gerencia General

Áreas EspecializadasÁreas Soporte y Operaciones

Comité de Finanzas

Comité de Gobierno

Corporativo

Ejemplos Prácticos ligados al Modelo GRC Alineación de Gobierno Corporativo a Riesgo Integral - Sector No Financiero


Ejemplos Prácticos ligados al Modelo GRCIntegración Gobierno, Riesgo y Cumplimiento (GRC)

VP Banca Comercial

VP Banca Consumo

VP de Tesorería

VP de Banca Corporativa

VP de Operaciones

VP Nuevos Mercados

VP Banca Privada

Otras áreas Ventas

Auditoría Interna y Auditoría Externa

Junta Directiva

Objetivos Generales(Estratégicos)

Objetivos por área o sección del negocio

Tácticos


Comités Directivos de Riesgo y Cumplimiento

Riesgo Estratégico

Riesgo de Crédito

Riesgo de Mercado

Riesgo de Liquidez

Riesgo de Contraparte

Riesgo de Contagio

Riesgo de País

Riesgo Operacional

Riesgo de TI

Riesgo Concentración

Riesgo de Reputación

VP de Planeación

VP de Finanzas

VP de Mercadeo

VP Administración

VP de Procesos

VP de Banca (Ventas)

Otras áreas soporte

Due

ños

de lo

s R

iesg

os

Impa

ctan

el l

ogro

de

los

Obj

. Est

raté

gico

s

Comités Ejecutivos

Ofre

cen

Sopo

rte


Ejemplos Prácticos ligados al Modelo GRC Procesos de Negocios

Controles implícitos y reportes en los procesos de negocios de la organización:

Procesos

Riesgos Claves & Controles Claves

Roles & Responsabilidades

Detalle de los Procesos

Segregación de Funciones


Ejemplos Prácticos ligados al Modelo GRC Cultura & Comportamiento

Sostenibilidad implícita de varios aspectos de GRC dentro del corazón y mente de las funciones organizacionales:


Comité de Auditoría Vigilancia y Monitoreo Continuo

Responsabilidad de Riesgos (Dueño de Riesgos)(e.g., Legal, Cumplimiento, Operaciones, Finanzas)

Implementación y Reporte de Acciones de Adm. de Riesgos

Auditoria InternaVerificación y Evaluación

Independiente

Responsabilidad del Proceso de Adm. De Riesgos (Áreas de Negocio y Soporte)

Visión Integral, Calidad de la Estructura de Riesgos y Aplicación de Políticas

Comité de Riesgos Directrices y Estrategia de Riesgos

Cultura Orientado a Riesgos

Ejemplos Prácticos ligados al Modelo GRC Cultura & Comportamiento

Presenter

Presentation Notes

You could use this slide to talk to establishing a Risk Committee as an critical first step in getting stared with ERM – who should be on it ?- the importance of choosing the right people, the role of chair; setting the ground rules etc., the importance of obtaining consensus on the organizations view of risk and communicating that within the organization; their role as a channel/viaduct in gathering the information and analyzing risks; Determining the business case for the top priority risks (top 10?) and providing a view on risk for leadership (CEO/Board) which explains why some risks are on red alert and what (if anything) could done to better control/manage them Formulating guidance and an approach (policy) to risk and articulating the risk language the organization will use Ensuring that there is understanding/training on the use of the risk concepts and language


Ejemplos Prácticos ligados al Modelo GRC Aseguramiento del Negocio

Reportes integrados y monitoreo de controles

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Plan Supply Chain

Manage Supply Chain

Goods Flow

Sourcing

Purchase to Pay

Manufacturing

Prospect to Order

Order to Cash

Control & Accounting

Insurance

Fiscal affairs

Treasury

Human Resources

ICT

Corporate directives

CompliantInsufficientNon Conforming


Ejemplos Prácticos ligados al Modelo GRC Cumplimiento, Rendimiento y Flexibilidad

Adecuada conformidad de cumplimiento y rendimiento llevan a una organización a ser flexible, siendo capaz de llevar cambios a lo interno y externo. Esas organizaciones pueden adaptarse rápidamente a circunstancias imprevistas.


Análisis de Estrategia vs. Rendimiento ajustado a Riesgos

5%

Rendimiento ajustado a Riesgos

Incorporación de alternativas de

inversión en títulos de deuda con grado de

inversión y alta presencia de mercado.

Realineación de la Iniciativa

Estratégica

4.5%

Diversificación de cartera de inversión de al menos un 60% en

instrumentos soberanos con grado de

inversión

7%

Mantención de posiciones en fondos de inversión con un valor en riesgo ajustado a

liquidez por un máximo del 5%

Iniciativa 1Incorporación en el plan estratégico del Banco la actividad de inversiones

Iniciativa Estratégica

EstrategiaMaximizar la Rentabilidad

de las Inversiones

por exceso de liquidez

Rendimiento Económico Planeado

Riesgo 3Pérdida por liquidez de posiciones en fondos de inversión.

Riesgo 1Pérdida de oportunidad por no incorporar alternativas de inversiones en títulos de deuda con presencia en el mercado.

Riesgos a la Iniciativa

Riesgo 2Pérdida potencial por rendimiento en posiciones de instrumentos financieros de alto grado especulativo y de crédito

8%

6%

12%

Análisis de Impacto de Valor Económico en el Margen Financiero

Iniciativa 2Plan estratégico de diversificación de las inversiones con su perfil de riesgo y límites

Rendimiento

Estrategia

Gobierno

Ejemplos Prácticos ligados al Modelo GRCCumplimiento, Rendimiento y Flexibilidad


Fortalecer Rendimiento Basado en Riesgos

Componente 1Incapacidad de

atraer talento clave

Componente de Riesgo

Riesgo 6Incapacidad de atraer y retener

talento

Origen de la Causa

Componente 2Incapacidad de retener talento

clave

Causa 1 Paquete de compensación no atractivo

Causa 2Empleados insatisfechos con el trabajo y la Compañía

Causa 3Excesiva carga de Trabajo

Indicador de estudios de

compensación comparables con mercado

Indicador de Riesgos

Diferencia máxima de 10% en compensación por niveles comparado

con competidores

Valor Meta

Encuestas a empleados

Mínimo 80% de empleados

insatisfechos o alta satisfacción con el

trabajo y la Compañía

Trabajo de sobre tiempo

Indicadores de Riesgos Valor Meta Valor Actual- Indicador de Compensación Max. 10% 12.5% - Indicador de Empleado Insatisfecho Min. 80% 83%- Indicador de Sobrecarga Max. 100 horas Todo el staff bajo 100 horas

Máximo 100 horastotal acumulada de

sobretiempo por empleado

Rendimiento

Estrategia

Gobierno

Ejemplos Prácticos ligados al Modelo GRCCumplimiento, Rendimiento y Flexibilidad


Perspectiva IT del modelo holístico GRC Tecnología como un Habilitador Clave

Tecnología es un habilitador clave en el proceso de implementación para alcanzar una estructura integrada GRC


Perspectiva IT del modelo holístico GRC Aplicando la Tecnología GRC para soportar el Modelo Holístico

Qué clase de tablero o reportes de riesgos son preparados? Cómo pueden

ser preparados?

Esta usando tecnología para la estructura de riesgo/control,

automatización de control por autorregulación? Cómo son los eventos de pérdidas, registro y

administración de pérdidas?

Tiene la organización establecidos procesos de

auditoría y monitoreo continuo? Implementación

de herramientas de control?


Perspectiva IT del modelo holístico GRC La Estructura de los Servicios Tecnológicos GRCTecnología de GRC se pueden clasificar en tres dimensiones basada en las capacidades que ofrecen las herramientas y su aplicación en el modelo holístico de GRC. Estas dimensiones son Estratégico, Táctico y Operativo.

Estratégico – Soporta aseguramiento del negocio , proporcionando capacidades de monitoreo nivel ejecutivo en forma de cuadros de mando y análisis a nivel macro

Táctico - Permite la gestión GRC al proporcionar un repositorio de documentación de los procesos de negocio, las políticas, los riesgos, los objetivos de control y riesgos. Evaluaciones de control y gestión de mejoras automatizadas a través de flujos de trabajo y aprobaciones. Los informes proporcionan información sobre Gestión de Riesgos y Cumplimiento

Operacional - Soporta el modelo deGRC operacional, proporcionandocapacidades en las áreas de:• Monitoreo de los controles configurables• Control de acceso / análisis de SOD• Automatización de la autorización de

acceso• Certificación periódica de los privilegios

del sistema• Análisis de transacciones


Perspectiva IT del modelo holistico GRC Como la Tecnología GRC soporta el Modelo Holistico?

La capacidad de la tecnología GRC soporta todas las fases de utilización del modelo holístico GRC.


• La tecnología de GRC apoya el modelo holístico GRC al proporcionar aplicaciones que puede ser estructurado, adaptado e implementado en el entorno de la organización. Por lo tanto, permite el aprovechamiento de las capacidades automatizadas para apoyar un ambiente de GRC integrada y holística.

• La dimensión estratégica de la tecnología de GRC apoya principalmente el perfil de riesgo y los componentes de aseguramiento del negocio del modelo holístico GRC.

• La dimensión táctica proporciona capacidades de gestión de GRC y sobre todo apoya la gobernabilidad, organización e infraestructura, y los componentes de la cultura y el comportamiento del modelo holístico GRC.

• La dimensión operacional de la tecnología de GRC apoya principalmente el modelo de GRC a través del monitoreo continuo y controles preventivos.

• El centro de GRC son los procesos de negocios que se apoyan en sistemas ERP y en otras aplicaciones de terceros. Las capacidades de la tecnología de GRC se puede utilizar para implementar los controles preventivos y de detección dentro de los procesos de mitigación de riesgos y el logro de cumplimiento.

Perspectiva IT del modelo holístico GRC Aplicando la Tecnología GRC para soportar el Modelo Holístico


Como podemos ayudar a la implementación de GRC?

RESILIEN

CE

MISSIO

N

Values

Strategy

Value Drivers

Model

Risk Profile


Infrastructure

Culture & Behavior



Compliance

PerformanceBusiness

RESILIEN

CE

MISSIO

N

Values

Strategy

Value Drivers

Model

Risk Profile


Infrastructure

Culture & Behavior



Compliance

PerformanceBusiness

• Integración gobierno y estrategia de riesgo

• Cumplimiento unificación IT

• Evaluación gestión integral riesgo (GRI)• Desarrollo e implementación GRI• Desarrollo apetito al riesgo• Evaluación continua administración integral de riesgo en el negocio

• Cultura al riesgo• Adm. del Cambio• Entrenamiento • Riesgo trabajar en silos

• Proceso de reingeniería• Reducción de controles duplicados y procesos

• Infraestructura de controles IT • Controles automatizados en procesos

• Desarrollo de matrices de rendimiento ajustadas a riesgos

• Due diligence• Posible M&A

• Identificación de riesgo & mitigación

• Estrategia negocio / IT y alineación

• Integración de sistemas

• Selección tecnología GRC

• Implementación de GRC

• Evaluación brecha con nuevas y actuales regulaciones

• Estructura de reporte a Junta Directiva/ Alta Administración

• Desarrollo de reportes matriz de riesgo • Reporte a Comités de AI, Riesgo y Cumplimiento

© 2015 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG, afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados. KPMG International Cooperative (“KPMG International”) es una entidad suiza. Las firmas miembro de la red de firmas independientes de KPMG están afiliadas a KPMG International. KPMG International no provee servicios a clientes.

KPMG y el logotipo de KPMG son marcas registradas de KPMG International Cooperative (“KPMG International”), una entidad suiza.

Gracias

Arturo E. Carvajal

Socio

Risk & Compliance

[email protected]

“Gestión del Riesgo Estratégico ” Marco GRC · Incorporación del concepto de dueño de...

Documents

Transcript of “Gestión del Riesgo Estratégico ” Marco GRC · Incorporación del concepto de dueño de...