Sesión 2Sistema de gestión integral del riesgo

Agenda

• Administración integral de los riesgos• Funciones y responsabilidades.• Determinación de políticas.• Implementación de controles.• Monitoreo de los riesgos.• KRI’s de los riesgos .

ADMINISTRACIÓN INTEGRAL DE LOS RIESGOS

COSO

“Un proceso efectuado por la junta directiva, la gerencia y el resto del personal, aplicado en forma de estrategias y a lo largo de toda la organización, diseñado para identificar potenciales eventos que puedan afectar la organización y manejar los riesgos dentro de su apetito de riesgo con el fin de proveer seguridad razonable en relación al logro de los objetivos de la organización”.

GESTIÓN INTEGRAL DE RIESGOS

SILOS INTEGRAL

RCRO

RLRM

RLAFT

Logro de los Objetivos del

Negocio

GESTIÓN INTEGRAL DE RIESGOS

Objetivos Estratégicos Iniciativas Administración de

Riesgos

Planeación Estratégica

Gestión Integral del

Riesgo

Fuente: Alarys

FOCOS DE GESTIÓN DE COSO ERM 2017

Fuente: COSO ERM

• El gobierno fija el tono de la organización

• La cultura se refiere a los valores éticos,

conductas deseadas y el entendimiento del

riesgo en la organización

• El apetito al riesgo se establece y se alinea

con la estrategia;• Los objetivos de

negocio:- Ponen en práctica la

estrategia - Sirven como base para

identificar, evaluar y responder al riesgo.

• Identificación y evaluación de los

riesgos que pueden impactar el negocio

• Priorización por su gravedad y en el

contexto del apetito al riesgo.

• Determinación de los riesgos que ha asumido

y decide cómo responderá ante estos.

• Se revisan qué tan bien están funcionando los componentes del ERM

con el tiempo y, • Se establecen que

cambios sustanciales, qué ajustes o

actualizaciones son necesarios.

El ERM 2017 se alimenta de un proceso en el que obtiene y comparte

información requerida, tanto de fuentes internas como externas, que fluya

hacia arriba, hacia abajo y a lo largo de la organización

a) Tener un relacionamiento más estrecho entre las diferentes áreas de la compañía.

b) Apoyar desde la gestión del riesgo a Órgano de administración de la organización.

c) Permitir a la dirección de la empresa tener una visión global del riesgo, contribuyendo en el logro de sus objetivos.

Cuestionario 1

La gestión integral de riesgos genera como principal beneficio

a) Tener un relacionamiento más estrecho entre las diferentes áreas de la compañía.

b) Apoyar desde la gestión del riesgo a la Órgano de Administración de la organización.

c) Permitir a la dirección de la empresa tener una visión global del riesgo, contribuyendo en el logro de sus objetivos.

Respuesta Cuestionario 1

La gestión integral de riesgos genera como principal beneficio

FUNCIONES Y RESPONSABILIDADES

TRES LÍNEAS DE DEFENSA

Áreas con funciones de: riesgo, calidad y cumplimiento

Áreas operativas y de negocio de la organización

Colaborar con el análisis de riesgos y controles en pro del cumplimiento de

los objetivos

Evaluar e implementar controles para gestión del

riesgo

Áreas con funciones de: riesgo, calidad y cumplimiento

Brindar aseguramiento y opiniones sobre la

adecuación y la eficacia delgobierno, la gestión de

riesgos y el control interno

TRES LÍNEAS DE DEFENSA

GOBIERNO ALTA DIRECCIÓN

• Ejercer liderazgo y supervisión• Ejecutar las estrategias.• Brindar respaldo, guía y control• Brindar aseguramiento objetivo y

asesoramiento.• Establecer y mantener cultura de

ética.• Establecer comités de gobierno.• Aprobar políticas diseñadas por

funciones de riesgo, calidad, control y cumplimiento.

• Alcanzar objetivos de la organización• Tomar las decisiones y emprender

acciones en pro del cumplimiento de los objetivos.

• Establecer y poner en funcionamiento de los controles.

• Mantener un equilibrio entre la operatividad, el cumplimiento de los controles y el cumplimiento de los objetivos.

• Apoyar en el diseño y desarrollo de las políticas de gestión de riesgos.

DETERMINACIÓN DE POLÍTICAS

DETERMINACIÓN DE POLÍTICAS

Determinar políticas

Mitigación del Riesgo

Transferencia del Riesgo

Aceptación del Riesgo

Identificación de Riesgos

Evaluación de los Riesgos

DETERMINACIÓN DE POLÍTICAS

Aplicables a las tres líneas de defensa

Objetivo definido

Medibles

Comprensibles

Monitoreadas por las áreas de riesgos

Evaluadas por Auditoria Interna y Externa

Supervisadas por el Órgano de Gobierno y

Alta Dirección

Plan de Trabajo

Comités y reportes

Planeación de Auditoría

Cuestionario 2

El modelo de las tres líneas de defensa ofrece una base para lograr claridad y eficacia al organizar las actividades y los recursos de gestión de riesgos y control.

Verdadero

Falso

Cuestionario 2

El modelo de las tres líneas de defensa ofrece una base para lograr claridad y eficacia al organizar las actividades y los recursos de gestión de riesgos y control.

Verdadero

Falso

En la medida que permite establecer funciones y por ende responsabilidades para gestionar el riesgo y el control de una organización.

IMPLEMENTACIÓN DE CONTROLES

¿Qué es un control?Toda aquella medida que modifica el nivel de riesgo (Inherente a Residual)

Política, procedimiento, actividad, proceso

Medible, práctico y sustentable

CONTROL

¿QUE TIENE LA ORGANIZACIÓN?

•• Gobierno Corporativo•• A través de los procesos y la operación del día a día

¿ QUE NECESITO PARA MITIGAR EL RIESGO?

•• Analizar el evento de riesgo para determinar la acción correcta

¿QUE EFECTO QUIERO EN EL EVENTO RIESGO?

•• Prevenir o mitigar el efecto•• Aceptar, mitigar o trasladar

Un control se orienta a una causa

Un control puede mitigar varias causas

Inventario y documentación de

controles

RIESGOS Y CONTROLES

Eventos poco predecibles para la organización que

representan altos impactos económicos y operacionales

Eventos generalmente predecibles para la

organización alto o bajo impacto

RIESGOS Y CONTROLES

Forma efectiva: Seguros

Cuestionario 3

¿Cuáles de los siguientes no es un control?

a. Servicios de energía eléctrica.b. Generador alterno de energía.c. Mantenimiento preventivo.d. Control de acceso.

Cuestionario 3

¿Cuáles de los siguientes no es un control?

a. Servicios de energía eléctrica.b. Generador de energía.c. Mantenimiento preventivo.d. Control de acceso.

Cuestionario 4

a) Define un plan de continuidad del negocio y contrata un seguro que pueda cubrir los daños materiales y responsabilidad civil como mitigación del impacto.

b) Implementa controles para disminuir la posibilidad de ocurrencia.c) Acepta el riesgo y no gestiona controles.d) Ninguna de las anteriores.

Ante un evento de riesgo a causa de factores externos o desastres naturales que puedan afectar a su empresa y empleados usted:

Cuestionario 4

a) Define un plan de continuidad del negocio y contrata un seguro que pueda cubrir los daños materiales y responsabilidad civil como mitigación del impacto.

b) Implementa controles para disminuir la posibilidad de ocurrencia.c) Acepta el riesgo y no gestiona controles.d) Ninguna de las anteriores.

Probabilidad baja o media, alto impacto y pérdidas económicas significativas implica: gestionar el riesgo en la medida de lo posible

y mitigar en la mayor proporción el impacto

Aspecto importante: EVALUAR COSTO-BENEFICIO DE LA MEDIDA DE CONTROL A

IMPLEMENTAR

Ante un evento de riesgo a causa de factores externos o desastres naturales que puedan afectar a su empresa y empleados usted:

MONITOREO DE LOS RIESGOS

SEGUIMIENTO A LOS RIESGOS

KRIsEs una variable cuyo valor arroja información sobre alguno de los componentes de un

tipo de riesgo en particular

Tipo de Indicadores

Métrica

Cuantitativos Cualitativos

Relación al evento de

Riesgo

Causa Efecto

Mide la consecuencia del evento del riesgo

Mide la causa del evento de

riesgo

a) Número de procesos documentados vs número de proceso de la organización.

b) Número de llamadas atendidas satisfactoriamente vs llamadas recibidas.

c) Pérdidas económicas por reclamaciones de clientes asociadas a fraudes.

Cuestionario 5

Cuál de los siguientes NO es un indicador por causa

a) Número de procesos documentados vs número de proceso de la organización.

b) Número de llamadas atendidas satisfactoriamente vs llamadas recibidas.

c) Pérdidas económicas por reclamaciones de clientes asociadas a fraudes.

Cuestionario 5

Cual de los siguientes NO es un indicadores por causa

Causa: No documentación

Causa: Desatención en llamadas

Efecto: Evolución de Impacto económico

¡Gracias!Diana Marcela VargasCISA- ABC y ALMCm. +57 (314) 6300074www.riesgoscero.com

BIBLIOGRAFÍA

• IIA - DOCUMENTO DE CONSULTA DEL IIA Tres líneas de defensa• COSO ERM• ALARYS• ISACA org• ISO 31000