ESTÁNDARES DE GERENCIA DE RIESGOS - · PDF fileorganismos profesionales interesados en...

E S T Á N D A R E S D E G E R E N C I AD E R I E S G O S

F E D E R AT I O N O F

E U RO P E A N R I S K

M A N AG E M E N T

A S S O C I AT I O N S

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

ESTÁNDARES DE GERENCIA DE RIESGOS

2

IntroducciónLos Estándares de Gerencia de Riesgos son elresultado del trabajo de un equipo formadopor las principales organizaciones de gerenciade riesgos del Reino Unido: El Institute of RiskManagement (IRM), la Association of Insuranceand Risk Managers (AIRMIC) y ALARM elNational Forum for Risk Management in thePublic Sector.

Este equipo evaluó además durante un amplioperiodo de consulta, los puntos de vista y lasopiniones de otras muchas entidades yorganismos profesionales interesados en lagerencia de riesgos.

La gerencia de riesgos es una disciplina que seestá desarrollando muy rápidamente y existeun sinfín de puntos de vista y descripciones delo más variado sobre lo que implica, cómo sedebe llevar a cabo y para qué sirve. Se necesitapor ello algún tipo de reglas o estándares paraconsensuar :

• El significado del vocabulario utilizado• El proceso a través del cual se puede llevar

a cabo la gerencia de riesgos.• La estructura organizativa para desarrollar

la gerencia de riesgos• Los objetivos de la gerencia de riesgos

Es importante que los estándares reconozcanque los riesgos presentan un lado positivo yotro negativo.La gerencia de riesgos no está destinada sólo alas multinacionales y empresas que cotizan enbolsa, sino a cualquier actividad, ya sea decorto o de largo plazo. Las ventajas yoportunidades se deben considerar no sólo enel marco de la actividad empresarial en símisma, sino también en relación con todos losinteresados en la empresa (“stakeholders”),numerosos y variados, a los que pueda afectar.

Hay muchos modos de conseguir los objetivosde la gerencia de riesgos y resultaría imposibleintentar recogerlos todos en un solodocumento. Por ello, no se ha pretendido crearuna norma imperativa que pudiera desembocar

en un enfoque rígido ni tampoco establecer unproceso certificable. Al cumplir las diferentespartes que componen estos estándares,aunque sea de maneras diferentes, lasempresas estarán en condiciones de afirmarque se conforman a los mismos. Losestándares representan la mejor práctica con laque las empresas pueden autoevaluarse.

En la medida de lo posible, los estándares hanusado la terminología de gerencia de riesgos,establecida por la Organización Internacionalde Normalización (ISO) en su recientedocumento Guía ISO/CEI 73 Gestión deriesgos - Terminología - Líneas directrices parael uso en las normas.

Nota de Agers: A fin de evitar confusiones ypolémicas en la revisión de la traducción alcastellano de los Estándares, se ha respetadoen la medida de lo posible la terminología dela Guía ISO/CEI 73. Se hace notar que la Guíautiliza el término de Gestión de Riesgos tantopara la Gerencia (proceso de diseño,organización y coordinación de lasactividades), como para la Gestiónpropiamente dicha (ejecución material dedichas actividades).

En vista de los vertiginosos avances en esteárea, los autores apreciarían los comentarios yopiniones que se susciten a las empresas yorganizaciones que pongan en aplicación estosestándares, ya que se tiene la intención demodificarlos periódicamente teniendo encuenta la mejor práctica. Rogamos envíen susideas a través de AGERS, Asociación Españolade Gerencia de Riesgos y Seguros, e-mail:[email protected]; sitio Web: www.agers.es


3

1. Riesgo El riesgo se puede definir como la combinaciónde la probabilidad de un suceso y susconsecuencias (Guía ISO/CEI 73).En todos los tipos de empresa existe unpotencial de sucesos y consecuencias queconstituyen oportunidades para conseguirbeneficios (lado positivo) o amenazas para eléxito (lado negativo).Se reconoce cada vez más que la gestión deriesgos trata tanto los aspectos positivos comolos negativos de los riesgos. Por lo tanto, lospresentes estándares consideran el riesgodesde ambas perspectivas.En el campo de la seguridad, se suele admitirque las consecuencias son sólo negativas, porlo que la gestión de riesgos de seguridad secentra en la prevención y en la mitigación deldaño.

2. Gestión de riesgos La gestión de riesgos es una parte esencial dela gestión estratégica de cualquier empresa. Esel proceso por el que las empresas tratan losriesgos relacionados con sus actividades, conel fin de obtener un beneficio sostenido encada una de ellas y en el conjunto de todas lasactividades.Una gestión de riesgos eficaz se centra en laidentificación y tratamiento de estos riesgos.Su objetivo es añadir el máximo valorsostenible a todas las actividades de laempresa. Introduce una visión común del ladopositivo y del lado negativo potenciales deaquellos factores que pueden afectar a laempresa. Aumenta la probabilidad de éxito y

reduce tanto la probabilidad de fallo como laincertidumbre acerca de la consecución de losobjetivos generales de la empresa.La gestión de riesgos tiene que ser un procesocontinuo y en constante desarrollo que se llevea cabo en toda la estrategia de la empresa y enla aplicación de esa estrategia. Debe tratarmetódicamente todos los riesgos que rodeen alas actividades pasadas, presentes y, sobretodo, futuras de la empresa.Debe estar integrada en la cultura de laempresa con una política eficaz y un programadirigidos por la alta dirección. Tiene queconvertir la estrategia en objetivos tácticos yoperacionales, asignando responsabilidades entoda la empresa, siendo cada gestor y cadaempleado responsable de la gestión de riesgoscomo parte de la descripción de su trabajo.Respalda la responsabilidad, la medida y larecompensa del rendimiento, promoviendo asíla eficiencia operacional a todos los niveles.

2.1 Factores externos e internosLos riesgos a los que se enfrenta una empresay sus operaciones pueden resultar de factorestanto internos como externos a la empresa.La tabla que sigue recoge ejemplos de riesgosclave en estas áreas y muestra que algunosriesgos específicos pueden verse afectados porfactores internos y externos y, por ello, abarcanlas dos áreas. Se pueden clasificar endiferentes categorías de riesgo tales como: deazar, financieros, operacionales, estratégicos,etc.



4


2.1 Ejemplos de Factores Externos e Internos

FACTORES EXTERNOS

FACTORES EXTERNOS

FINANCIEROS ESTRATÉGICOS

OPERACIONALES DE AZAR

TIPOS DE INTERÉSTIPOS DE CAMBIOCRÉDITO

COMPETENCIACAMBIOS CLIENTES

CAMBIOS INDUSTRIADEMANDAS CLIENTES

INTEGRACIÓN M & A

LIQUIDEZTESORERÍA

INVESTIGACIÓN Y DESARROLLOCAPITAL INTELECTUAL

FACTORES INTERNOS

SISTEMAS DE INFORMACIÓNAUDITORÍA CONTABLE

RECLUTAMIENTOCADENA DE SUMINISTROS

EMPLEADOSPATRIMONIO (ACTIVOS)PRODUCTOS Y SERVICIOSACCESO PÚBLICO

REGULACIÓNCULTURACOMPOSICIÓN DEL CONSEJO

EVENTOS NATURALESMEDIO AMBIENTE

SUMINISTRADORESCONTRATOS


5

La gestión de riesgos protege y añade valor ala empresa y sus interesados (“stakeholders”)mediante el apoyo a los objetivos de laempresa a través de:

• Proveer una estructura que permite que lasactividades futuras se desarrollen de formaconsistente y controlada.

• Mejorar la toma de decisiones, laplanificación y el establecimiento deprioridades mediante una visión integrada yestructurada del negocio, su volatilidad ylas oportunidades y amenazas del proyecto.

• Contribuir a una asignación más eficientedel capital y los recursos dentro de laorganización.

• Reducir la volatilidad en las áreas noesenciales del negocio.

• Proteger y mejorar los activos y la imagende la compañía.

• Desarrollar y apoyar a los empleados y labase del conocimientos de la organización.

• Optimizar la eficiencia operacional.


2.2 El proceso de gerencia de riesgos

Modific

ació

n

Auditorí

a

Objetivos Estratégicosde la organización

Valoración de Riesgos

Análisis de RiesgosIdentificación de RiesgosDescripción de RiesgosEstimación de Riesgos

Evaluación de Riesgos

Informe de RiesgosAmenazas y Oportunidades

Decisión

Tratamiento de Riesgos

Informe de Riesgos Residuales

Supervisión


6

3. Valoración de riesgosLa valoración de riesgos está definida en la GuíaISO/CEI 73 como el proceso general de análisis yde evaluación de riesgos (Ver apéndice)

4. Análisis de riesgosComprende la identificación, descripción yestimación de riesgos.

4.1 Identificación de riesgosLa identificación de riesgos se propone identificarla exposición de una empresa a la incertidumbre.Ello requiere un conocimiento detallado de dichaempresa, del mercado en el que opera, delentorno legal, social, político y cultural que lerodea, así como el desarrollo de una visióncomún coherente de su estrategia y de susobjetivos operacionales, incluyendo los factorescríticos para su éxito y las amenazas yoportunidades relacionadas con la consecuciónde estos objetivos.Hay que enfocar la identificación de riesgos deforma metódica para asegurarse de que se hanidentificado todas las actividades importantes dela organización y que se han definido todos losriesgos que implican dichas actividades. Lavolatilidad relacionada con estas actividadesdebe ser identificada y categorizada.

Las actividades y decisiones empresarialespueden clasificarse en distintas categorías, queincluirían las siguientes:

• Estratégicas: Se refieren a los objetivosestratégicos a largo plazo de la empresa.Pueden estar condicionadas por áreas comola disponibilidad de capital, los riesgospolíticos y soberanos, los cambios legales yde regulación, la reputación y los cambios enel entorno físico.

• Operacionales: Se refieren a los problemascotidianos a los que se enfrenta la empresa alesforzarse por conseguir sus objetivosestratégicos.

• Financieras: Se refieren a la gestión efectiva yal control de las finanzas de la empresa asícomo a los efectos de factores externos como

la disponibilidad de crédito, los tipos decambio de las divisas, los movimientos de lostipos de interés y otras exposiciones almercado.

• Gestión del Conocimiento: Se trata de lagestión efectiva y del control de los recursosdel conocimiento, la producción, protección ycomunicación de los mismos. Los factoresexternos pueden incluir el uso sin autorizacióno el abuso de la propiedad intelectual, losfallos en el área de energía y la competenciatecnológica. Entre los factores internos sepueden incluir el mal funcionamiento de lossistemas o la pérdida de personal clave.

• Conformidad: Se refiere a temas como salud yseguridad, medioambiente, descripcióncomercial, protección del consumidor,protección de datos, prácticas de empleo ytemas de regulación.

Mientras que la identificación de riesgos puedenllevarla a cabo consultores externos, es muyprobable que un enfoque interno con procesos yherramientas coherentes, coordinados y biencomunicados, resulte más eficaz. La "propiedad"interna del proceso de gestión de riesgos esesencial.

4.2 Descripción de riesgosEl objetivo de la descripción de riesgos es mostrarlos riesgos identificados de una formaestructurada, por ejemplo, utilizando una tabla.La tabla de descripción de riesgos que figura acontinuación, se puede utilizar para facilitar ladescripción y valoración de riesgos. El uso de unaestructura bien diseñada es necesario paraasegurar un proceso exhaustivo de identificación,descripción y valoración de riesgos. Al tener encuenta la consecuencia y probabilidad de cadauno de los riesgos que constan en la tabla,debería ser posible dar prioridad a los riesgosclave que tienen que ser analizados con másdetalle. La identificación de los riesgos asociadosa las actividades empresariales y la toma dedecisiones se puede calificar como estratégica,táctica u operacional. Es importante incorporar lagestión de riesgos en la fase de concepción delos proyectos así como a lo largo de la vida de unproyecto específico.



7

4.3 Estimación de riesgosLa estimación de riesgos puede sercuantitativa, semi-cuantitativa o cualitativa entérminos de probabilidad de ocurrencia y desus posibles consecuencias.Por ejemplo, las consecuencias en términos deamenazas (riesgos negativos) y oportunidades(riesgos positivos) pueden dividirse en altas,medias o bajas (Ver tabla 4.3.1). Laprobabilidad puede clasificarse como alta,media o baja pero requiere diferentesdefiniciones respecto a las amenazas y lasoportunidades (Ver tablas 4.3.2 y 4.3.3).

Los ejemplos aparecen en las tablas. Algunasempresas opinarán que se adecuarán mejor asus necesidades medidas de consecuencia yprobabilidad diferentes.Por ejemplo, muchas empresas opinan queclasificar las consecuencias y probabilidadescomo altas, medias o bajas, se adaptabastante bien a sus necesidades y se puedenpresentar en una matriz 3 x 3. Otras empresas creen que usar una matriz de5 x 5 para evaluar las consecuencias y lasprobabilidades les proporciona una mejorvaloración.


4.2.1 Tabla - Descripción de riesgos

1. Nombre del riesgo

2. Alcance del riesgo

3. Naturaleza del riesgo

4. Interesados

5. Cuantificación del riesgo

6. Tolerancia del riesgo /Apetito

7. Tratamiento del riesgo ymecanismos de control

8. Acción potencial demejora

9. Política y estrategia adesarrollar

Descripción cualitativa de los sucesos, su tamaño, tipo, número ydependencias.

Ej. Estratégicos, operacionales, financieros, de gestión delconocimiento y de conformidad.

Interesados y sus expectativas

Importancia y probabilidad

Potencial de pérdida e impacto financiero del riesgo Valor en riesgoProbabilidad y tamaño de las pérdidas/ganancias potencialesObjetivo(s) del control de riesgo y nivel deseado de rendimiento

Medios primarios por los que se gestiona el riesgo actualmenteNiveles de confianza en el control existenteIdentificación de protocolos de supervisión y revisión

Recomendaciones para reducir riesgos

Identificación del responsable de la función de desarrollo de lapolítica y la estrategia.


8


Tabla 4.3.1 Consecuencias - Amenazas y oportunidades

Altas

Medias

Bajas

El impacto financiero en la empresa es susceptible de superar €x.Fuerte impacto en la estrategia o en la operatividad de la empresa.Alta preocupación de los interesados.

El impacto financiero en la empresa es susceptible de situarse entre €x y €y.Impacto moderado en la estrategia o en la operatividad de la empresa.Moderada preocupación de los interesados.

El impacto financiero en la empresa es susceptible de situarse por debajo de €y.Bajo impacto en la estrategia o en la operatividad de la empresa.Baja preocupación de los interesados.

Tabla 4.3.2 Probabilidad de ocurrencia - Amenazas

Estimación

Alta (Probable)

Media (Posible)

Baja (Remota)

Descripción

Susceptible de ocurrir cada año omás del 25% de probabilidad deque ocurra.

Susceptible de ocurrir en unperíodo de diez años o menos del25% de probabilidad de que ocurra.

No es susceptible de ocurrir en unperíodo de diez años o menos del2% de probabilidad de que ocurra.

Indicadores

Posibilidad de que suceda variasveces en el período de tiempo (porejemplo, diez años).Ha ocurrido recientemente.

Podría suceder más de una vez en elperíodo de tiempo (por ejemplo, diezaños). Podría ser difícil de controlardebido a varias influencias externas.¿Hay un historial de ocurrencia?

No ha sucedido.Poco probable que suceda.


9


4.4 Métodos y técnicas de análisis deriesgos Se pueden usar diversas técnicas con el fin deanalizar riesgos. Estas pueden ser específicaspara riesgos positivos o negativos o capacesde tratar ambos tipos.

4.5 Perfil de riesgosEl resultado del proceso de análisis de riesgospuede utilizarse para crear un perfil de riesgosque proporcione una valoración de laimportancia de cada riesgo y aporte unaherramienta para priorizar los esfuerzos detratamiento de riesgos. De este modo se

clasifica cada riesgo identificado, facilitandouna visión de su importancia relativa.Este proceso permite situar a cada riesgo en unmapa de la zona afectada de la empresa,describir los procedimientos de controlprimarios que se aplican e indicar las zonas enlas que se debe aumentar, disminuir oreajustar el nivel de la inversión en el controlde riesgos.La valoración contribuye a asegurar elreconocimiento de la "propiedad" del riesgo yla asignación de los recursos de gestiónapropiados.

Tabla 4.3.3 Probabilidad de ocurrencia - Oportunidades

Estimación

Alta (Probable)

Media (Posible)

Baja (Remota)

Descripción

Es probable que se alcancenresultados favorables en un año omás del 75% de probabilidad deque ocurra.

Perspectivas razonables deresultados favorables en un año odel 25% al 75% de probabilidad deque ocurra.

Cierta posibilidad de resultadosfavorables a medio plazo o menosdel 25% de probabilidad de queocurra.

Indicadores

Oportunidad clara, que se puedebarajar con razonable certeza yconseguir a corto plazo basándose enlos procesos de gestión actuales.

Oportunidades alcanzables pero querequieren una gestión cuidadosa.Oportunidades que pueden surgirfuera de lo previsto

Oportunidad posible que aún tieneque ser investigada completamentepor la dirección. Oportunidad en laque la probabilidad de éxito seconsidera baja, partiendo de losrecursos de gestión que se estánaplicando en este momento.


10

5. Evaluación de riesgosCuando el proceso de análisis de riesgos se hallevado a cabo, es necesario comparar losriesgos estimados con los criterios de riesgoestablecidos por la empresa. Los criterios deriesgo pueden incluir costos y beneficiosasociados, requisitos legales, factoressocioeconómicos y medioambientales,preocupaciones de los interesados, etc. Portanto, se usa la evaluación de riesgos paratomar decisiones acerca de la importancia delos riesgos para la empresa y sobre si se debeaceptar o tratar un riesgo específico.

6. Tratamiento de riesgosEl tratamiento de riesgos es el proceso queconsiste en seleccionar y aplicar medidas paramodificar el riesgo. El tratamiento de riesgosincluye, como principal elemento, el control omitigación del riesgo, pero también se extiendemás allá, por ejemplo, a la elusión de riesgos,a la transferencia de riesgos, a la financiaciónde riesgos, etc.

NOTA: En estos estándares, la financiación deriesgos se refiere a los mecanismos (ej.programas de seguros) destinados a costearlas consecuencias financieras del riesgo. Porlo general, la financiación de riesgos no seconsidera una provisión de fondos parasufragar el coste derivado de la aplicación deltratamiento de riesgos (en contra de loexpuesto en la Guía ISO/CEI 73).

Cualquier sistema de tratamiento de riesgosdebe proporcionar como mínimo:

• Un funcionamiento efectivo y eficiente de laorganización.

• Controles internos efectivos.

• Conformidad con las leyes y reglamentos.

El proceso de análisis de riesgos asiste alfuncionamiento efectivo y eficaz de la empresaal identificar aquellos riesgos que requierenmayor atención por parte de la dirección. Esta,deberá priorizar acciones de control de riesgos

en función de su potencial para beneficiar a laempresa.

La efectividad del control interno constituye elgrado en que el riesgo será eliminado oreducido mediante las medidas de controlpropuestas.La rentabilidad de los controles internos estárelacionada con el coste del control,comparado con los beneficios esperados de lareducción de riesgos.

Los controles propuestos tienen que medirsesegún el posible efecto económico en caso deque no se tome ninguna acción, comparadocon el coste de la(s) acción(es) propuesta(s) ynecesariamente requieren más informacióndetallada e hipótesis que las que estándisponibles inmediatamente.

En primer lugar, hay que fijar el coste de lapuesta en práctica. Este debe calcularse conprecisión, ya que se convertirá rápidamente enla referencia con la que se medirá larentabilidad. También hay que calcular lapérdida que se debe prever si no se tomaninguna medida, y, al comparar los resultados,la dirección puede decidir si poner o no enpráctica las medidas de control de riesgos.

La conformidad con las leyes y regulaciones noes opcional. Una empresa debe entender lasleyes aplicables y debe aplicar un sistema decontrol para lograr la conformidad. Sóloocasionalmente se dispone de ciertaflexibilidad cuando el coste de reducción de unriesgo es totalmente desproporcionado conrelación a ese riesgo.

Una forma de obtener protección financieracontra el impacto de los riesgos consiste en lafinanciación de riesgos, la cual incluye elseguro. No obstante, debe resaltarse quealgunas pérdidas o elementos de una pérdidano podrán asegurarse, como por ejemploalgunos costes asociados a la salud, laseguridad en el trabajo o los incidentesmedioambientales, que pueden incluir daños ala moral de los empleados o a la reputación dela empresa.



11

7. Informe y comunicación deriesgos

7.1 Informe internoLos diferentes niveles de una empresanecesitan diferentes tipos de información delproceso de gestión de riesgos.

El Consejo de Administración debe:

• Conocer los riesgos más importantes a losque se enfrenta la empresa.

• Conocer los posibles efectos en el valor dela empresa para los accionistas de lasdesviaciones con respecto a los márgenesde rendimiento previstos.

• Asegurar niveles apropiados de toma deconciencia en toda la empresa.

• Saber cómo la empresa gestionará unacrisis.

• Ser consciente de la importancia de laconfianza de los interesados en la empresa.

• Tener claro cómo gestionar lascomunicaciones con los inversores cuandosea pertinente.

• Estar seguro de que el proceso de gestiónde riesgos funciona de forma efectiva.

• Divulgar una clara política de gestión deriesgos que abarque las responsabilidadesy la filosofía de gestión de riesgos.

Las unidades de negocios deben:

• Ser conscientes de los riesgos quecomprenden sus áreas de responsabilidad,los impactos posibles que estos puedenejercer en otras áreas y las consecuenciasque otras áreas pueden provocar en ellas.

• Disponer de indicadores de rendimientoque les permitan supervisar las actividadesde negocio y financieras clave, el progreso

hacia la consecución de los objetivos eidentificar los desarrollos que requieranintervenciones (ej. previsiones ypresupuestos).

• Disponer de sistemas que adviertan de lasvariaciones en las previsiones y en lospresupuestos con la debida frecuencia paraque sea posible tomar las medidasapropiadas.

• Informar rápida y sistemáticamente a la altadirección de cualquier nuevo riesgo ocualquier fallo en las medidas de controlexistentes que perciban.

Los individuos deben:

• Comprender su responsabilidad respecto ariesgos individuales.

• Ser conscientes de cómo pueden mejorarcontinuamente la respuesta de la gestiónde riesgos.

• Entender que la gestión y la conciencia deriesgos son una parte fundamental de lacultura de la empresa.

• Informar rápida y sistemáticamente a la altadirección de cualquier nuevo riesgo ocualquier fallo en las medidas de controlexistentes que perciban.

7.2 Comunicación externaLas empresas tienen que informarregularmente a sus interesados explicando suspolíticas de gestión de riesgos y la efectividadcon la que está consiguiendo sus objetivos.

Cada vez más, los interesados esperan que lasempresas den muestras de una gestión eficazen cuanto al rendimiento no financiero de laempresa en áreas como asuntos comunitarios,derechos humanos, prácticas laborales, salud,seguridad y medioambiente.

Un buen gobierno corporativo requiere que lascompañías adopten un enfoque metódicorespecto a la gestión de riesgos que:



12

• Proteja los intereses de sus interesados.

• Asegure que el consejo de administracióndesempeña sus deberes de dirigir laestrategia, crear valor y supervisar elrendimiento de la empresa.

• Asegure que los controles de gestiónexisten y que funcionan bien.

Las medidas relativas a los informes acumplimentar sobre la gestión de riesgosdeben quedar establecidas claramente y serpuestas a disposición de los interesados.

Los informes deben tratar :

• Los métodos de control, especialmente delas responsabilidades de la dirección sobrela gestión de riesgos.

• Los procesos para identificación de riesgosy cómo son conducidos por los sistemas degestión de riesgos.

• Los sistemas de control primariosimplantados para gestionar riesgosimportantes.

• La supervisión y revisión del sistemaimplantado.

Cualquier deficiencia importante que no estécubierta por el sistema, o que se dé en elpropio sistema, debe ser notificada junto conlas medidas que se han tomado para tratarla.

8. La estructura y laadministración de la gestión deriesgos.

8.1 Política de gestión de riesgosLa política de gestión de riesgos de unaempresa debe definir su enfoque y apetito delriesgo, así como su enfoque de la gestión deriesgos. La política también debe establecer lasresponsabilidades de la gestión de riesgos entoda la empresa.

Además, debe referirse a cualquierrequerimiento legal para los principios de lapolítica, por ejemplo, en el campo de la salud yla seguridad.

Vinculado al proceso de gestión de riesgos,debe existir un conjunto integrado deherramientas y técnicas para usar en lasdiferentes fases del proceso empresarial. Paratrabajar de forma efectiva, el proceso degestión de riesgos requiere:

• El compromiso por parte del presidente ylos altos ejecutivos de la empresa.

• La asignación de responsabilidades dentrode la empresa.

• La asignación de los recursos apropiadospara la formación y el desarrollo de unaconciencia de riesgos mejorada por partede todos los interesados.

8.2 Papel del consejo de administraciónEl consejo de administración tiene laresponsabilidad de determinar la direcciónestratégica de la empresa y de crear el entornoy las estructuras necesarias para que la gestiónde riesgos opere de forma eficaz.Esta tarea se puede realizar a través de unadirección ejecutiva, una comisión no ejecutiva,un comité de auditoría o cualquier otra funciónque se ajuste al modo de operar de la



13

organización y que sea capaz de actuar como"promotor" de la gestión de riesgos.

Al evaluar su sistema de control interno, elconsejo debe, como mínimo, tener en cuenta:

• La naturaleza y extensión de los riesgosnegativos aceptables por la compañía quepuede absorberlos en su negocio particular.

• La probabilidad de que esos riesgos seconviertan en realidad.

• Cómo deben tratarse los riesgosinaceptables.

• La habilidad de la compañía para minimizarla probabilidad y el impacto en el negocio.

• Los costes y beneficios del riesgo y laactividad de control llevada a cabo.

• La efectividad del proceso de gestión deriesgos.

• La implicación en los riesgos de lasdecisiones del consejo de administración.

8.3 Papel de las unidades de negociosEl papel de las unidades de negocio incluye losiguiente:

• Las unidades de negocios tienen laresponsabilidad primaria de gestionar losriesgos en el día a día.

• La dirección de las unidades de negocios esresponsable de promover la conciencia delriesgo en sus operaciones; deben introducirobjetivos de gestión de riesgos en suactividad.

• La gestión de riesgos debe ser un temahabitual en las reuniones de la direcciónpara considerar las exposiciones y fijarnuevas prioridades en el trabajo a la luz deun análisis de riesgos efectivo.

• La dirección de las unidades de negociosdebe asegurar que la gestión de riesgosestá incorporada en la fase conceptual delos proyectos, así como a lo largo de la vidade los mismos.

8.4 El papel de la función de gestión deriesgos

Dependiendo del tamaño de la empresa, lafunción de gestión de riesgos puede variardesde un simple defensor de la gestión deriesgos, pasando por un gestor de riesgos atiempo parcial, hasta un departamento degestión de riesgos completo.

El papel de la función de gestión de riesgosincluye lo siguiente:

• Establecer la política y la estrategia degestión de riesgos.

• Primer defensor de la gestión de riesgos enlos niveles estratégico y operacional.

• Crear una cultura consciente de riesgosdentro de la empresa, incluyendo laformación apropiada.

• Establecer la política y estructuras deriesgos internas para las unidades denegocios.

• Diseñar y revisar los procesos de gestión deriesgos.

• Coordinar las diversas actividadesfuncionales que informan de los temas degestión de riesgos dentro de la empresa.

• Desarrollar procesos de respuesta al riesgo,incluyendo planes de contingencia y decontinuidad del negocio.

• Preparar los informes de riesgos para elconsejo de administración y losinteresados.

8.5 El papel de la auditoría internaEl papel de la auditoría interna puede variar deuna empresa a otra.

En la práctica, este papel puede incluir todas oalguna de las siguientes tareas:

• Enfocar el trabajo de la auditoría internasobre los riesgos importantes, identificadospor la dirección, y revisar los procesos degestión de riesgos en toda la empresa.



14

• Producir confianza en la gestión de riesgos.

• Proporcionar un apoyo activo y participaren el proceso de gestión de riesgos.

• Facilitar la identificación y valoración deriesgos y formar al personal de operacionesen la gestión de riesgos yel control interno.

• Coordinar los informes de riesgos alconsejo de administración, al comité deauditoría, etc.

Al determinar el papel más apropiado de unaempresa en particular, la auditoría internadebe asegurar que no se infringen losrequisitos profesionales de independencia yobjetividad.

8.6 Recursos y aplicaciónLos recursos necesarios para llevar a cabo lapolítica de gestión de riesgos de la empresadeben establecerse claramente a todos losniveles de gestión y en cada unidad denegocios.Además de otras funciones operacionales quepuedan tener, las personas involucradas en lagestión de riesgos deberán tener claramentedefinidos sus papeles en la coordinación de lapolítica y de la estrategia de gestión deriesgos. Se requiere la misma definición clarapara aquellas personas involucradas en laauditoría y la revisión de controles internos yque faciliten el proceso de gestión de riesgos.La gestión de riesgos debe estar integrada enla empresa a través de los procesosestratégicos y presupuestarios. Es necesariodestacarla en la iniciación y en toda laformación y desarrollo, así como en losprocesos operacionales, por ejemplo, losproyectos de desarrollo de productos oservicios.

9. Supervisión y revisión delproceso de gestión de riesgosUna gestión de riesgos efectiva requiere unaestructura de informe y revisión para asegurarque los riesgos están identificados y evaluadoseficazmente, que se llevan a cabo los controlesoportunos y que las reacciones son lasapropiadas. Se deben efectuar con regularidadauditorías de la política y de conformidad conlos estándares, así como revisiones delrendimiento de los estándares para identificarlas oportunidades de mejora. Hay que recordarque las empresas son dinámicas y que operanen entornos dinámicos. Es imprescindibleidentificar los cambios en la empresa y en elentorno en el que opera, y efectuar lasmodificaciones apropiadas en los sistemas.El proceso de supervisión debe asegurar queexisten los controles apropiados de lasactividades de la empresa y que se entienden yse siguen los procedimientos establecidos. Esimprescindible identificar los cambios en laempresa y en el entorno en el que opera, yefectuar las modificaciones apropiadas en lossistemas.

Cualquier proceso de supervisión y revisióndebe determinar también si :

• Las medidas adoptadas dan el resultadoprevisto.

• Eran apropiados los procedimientosadoptados y la información recogida para lavaloración.

• Un mayor conocimiento habría ayudado atomar mejores decisiones y a identificar quelecciones deberían aprenderse para lavaloración y gestión de riesgos en elfuturo.


APÉNDICE

15

10. ApéndiceTécnicas de identificación de riesgos -ejemplos

• Tormenta de ideas

• Cuestionarios

• Estudios empresariales que se centren encada proceso de negocio y describan tantolos procesos internos como los factoresexternos que puedan influir en estosprocesos.

• Establecimiento de criterios de competenciacomparativa (“benchmarking”) en laindustria.

• Análisis de distintos escenarios

• Talleres de valoración de riesgos

• Investigación de incidentes

• Auditoría e inspección

• Método HAZOP (Hazard & OperabilityStudies -Estudios de Azar y Operatividad-)

Métodos y técnicas de análisis de riesgos -ejemplos

Riesgo positivo• Estudios de mercado

• Prospección

• Pruebas de mercado

• Investigación y desarrollo

• Análisis de impacto en el negocio

Ambos

• Establecimiento de modelos dedependencia

• Análisis SWOT (Strengths, Weaknesses,Opportunities, Threats -puntos fuertes,puntos flacos, oportunidades y amenazas-)

• Análisis del árbol de sucesos

• Planes de continuidad del negocio

• Análisis BPEST (Business, Political,Economic, Social, Technological -denegocio, político, económico, social,tecnológico-)

• Establecimiento de modelos de opción real.

• Toma de decisiones en condiciones deriesgo e incertidumbre

• Inferencia estadística

• Medidas de tendencia central y dispersión

• PESTLE (Political, Economic, Social,Technical, Legal, Environmental - político,económico, social, técnico, legal,medioambiental-)

Riesgos negativos

• Análisis de amenazas

• Análisis del árbol de fallos

• Análisis FMEA (Failure Mode & EffectsAnálisis -análisis de los modos de fallos ysus efectos-)


FOR LOCAL INFORMATION, PLEASE CONTACT THE OFFICE OF THE NATIONAL ASSOCIATION

AGERS - Asociacion Española de Gerencia de Riesgos y SegurosPríncipe de Vergara, 86 - 1ª Esc., 2º Izda.– 28006 Madrid - SPAINTel : + 34-91-562.84.25– Fax : + 34-91-561.54.05– Email : [email protected]

AIRMIC - The association of Insurance and Risk ManagersLloyd’s Avenue, 6 – London EC3N3AX - UKTel : + 44-207-480.76.10 – Fax : + 44-207-702.37.52 – Email : [email protected]: www.airmic.com

AMRAE - Association pour le Management des Risques et des Assurances de l'Entreprise Avenue Franklin Roosevelt, 9-11 – 75008 Paris - FRANCETel : + 33-1-42.89.33.16 – Fax : + 33-1-42.89.33.14 – Email : [email protected]: www.amrae.asso.fr

ANRA - Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali Viale Coni Zugna, 53 – 20144 Milano - ITALYTel : + 39-02-58.10.33.00 – Fax : + 39-02-58.10.32.33 – Email : [email protected] – Web: www.anra.it

APOGERIS - Associação Portuguesa de Gestão de Riscos e Seguros Avenida da Boavista, 1245, 3a Esq. – 4100-130 Porto – Portugal Tel : (+351) 22 608 24 62 – Fax : (+351) 22 608 24 73 – E-mail : [email protected]

BELRIM - Belgian Risk Management AssociationRue Gatti de Gamond, 254 – 1180 Bruxelles - BELGIUMTel : + 32-2-380.03.94 – Fax : + 32-2-370.34.93 – Email : [email protected] – Web: www.belrim.com

BfV - Bundesverband firmenverbundener Versicherungsvermittler und -Gesellschaften E. V.Hattenbergstrasse 10, 55122 Mainz - DTel : + 49 - 6131 – 662226 - Fax : + 49 - 6131 – 662059 - Email : [email protected]: www.bfv-fvv.de

DARIM - Dansk Industris Risk Management ForeningDK-1787 Copenhagen – DENMARKTel : + 45-33-77.33.77 – Fax : + 45-33-77.33.00 – Email : [email protected]

DVS - Deutscher Versicherungs-Schutzverband e.V.Breite Strasse 98 - D 53111 Bonn - GermanyTel : + 49-228-98.22.30 - Fax : + 49-228-63.16.51- Email : [email protected]: www.dvs-schutzverband.de

NARIM - Nederlandse Associatie van Risk en Insurance ManagersPostbus 65707 – 2506 EA Den Haag – THE NETHERLANDSTel : + 31-70-345.74.26 – Fax : + 31-70-427.32.63 – Email : [email protected] – Web: www.narim.com

RUSRISK - Russian Risk Management SocietyAddress Expert Institute, Staraya Ploshchad 10/4, Moscow, 103070, RussiaPhone: +7 (095) 748-4313 - Fax : +7 (095) 748-4316 - Email : sh.tatiana@relcom

SIRM - Swiss Association of Insurance and Risk ManagersRoute du Jura, 37- Case Postale, 74 – 1706 Fribourg - SWITZERLANDTel : + 41-26-347.12.20 – Fax : + 41-26-347.12.39 – Email : [email protected] – Web: www.sirm.ch

SWERMA - Swedish Risk Management AssociationGränsvägen 15 ˆ SE-135 47 Tyresö - SwedenPhone: +468 742 13 07 - Fax : + 468 798 83 11- E-mail : [email protected]

FERMA - RUE DE LA PRESSE 4 PHONE: + 32 2 227.11.44 EMAIL: [email protected] 1000 BRUSSELS - BELGIUM FAX: + 32 2 227.11.48 WEB: www.ferma-asso.org

FOR MORE INFORMATION ABOUT FERMA

ALARM - The National Forum for Risk Management in the Public SectorQueens Drive, Exmouth - Devon, EX8 2AYTel: 01395 223399 - Fax: 01395 223304 - Email [email protected] - www.alarm-uk.com

IRM - The Institute of Risk Management6 Lloyd’s Avenue - London EC3N 3AXTel: 020 7709 9808 - Facsimile 020 7709 0716 - Email [email protected] - www.theirm.org

ESTÁNDARES DE GERENCIA DE RIESGOS - · PDF fileorganismos profesionales interesados en...

Documents

Transcript of ESTÁNDARES DE GERENCIA DE RIESGOS - · PDF fileorganismos profesionales interesados en...