Nuevo Modelo de Gestión de RiesgosGrupo Telefónica
Telefónica, S.A.Dirección de Auditoría InternaMadrid, 20 de Febrero de 2008
Índice
Introducción
Telefónica: Cifras significativas
Modelo Corporativo de Gestión de Riesgos
Conclusiones
020304
01
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 0 -
01 Introducción
Telefónica es el resultado de una historia de más de 80 años de anticipación y transformación
•Creada en 1924 como filial española de una multinacional norteamericana (ITT)•Cotizada en Bolsa desde 1925•Multidoméstica desde 1989
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 1 -
01 IntroducciónTelefónica ha experimentado una impresionante transformación en los últimos 22 años ...
1984 2006
Clientes Más de 203 Mill. clientes
8,9 millones de clientes
ServiciosServicios de telefonía básica
Soluciones integradas TIC para todo tipo de clientes
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 2 -
67.000 profesionales
Más de 230.000 profesionalesPlantilla
FinanzasIngresos: 2.300 M€Activos: 10.300 M€Capitalización: 1.6oo M€
España Operaciones en23 paísesPaíses
Ingresos: 52.900 M€Activos: 109.000 M€Capitalización: 79.300 M€
01 Introducción... que se ha acelerado en los tres últimos años
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 3 -
2004 2005 2006
ČeskýTelecom
República Checa
10 compañíasde BellSouth
LatAm+ + +=
Países Ingresos* OIBDA*EmpleadosAccesos
x2 +11 x1,5 x1,9 x1,5
O2Reino Unido, Irlanda y
Alemania
+Colombia Telecom
+TEF O2 Eslovaquia
* crecimiento 06/03; incluye 11 meses con O2 (Feb-Dic�06).
Telefónica es hoy una compañía de referencia en el sector mundial de las telecomunicaciones …
Operadora integrada de telecomunicaciones del mundo por número de clientes
1ª
Operadora integrada europea por capitalización bursátil
1a
Más de 240.000profesionales**
219 Mill accesos (a Sep’07)• 86,1 Mill en Europa• 126,5 Mill en América Latina• 6 Mill en otros mercados
Ingresos (9M07): 42.014 Mill.€(+8,6% vs 9M06)
Beneficio Neto* (9M07): 7.848 Mill.€(+ 51,0% vs 9M06)
Entre las 50 empresas más grandes del mundo por capitalización bursátil
* El beneficio incluye 1.296 Mill.€ de la plusvalía por la venta de Airwave (2T07) y la plusvalía por la venta de Endemol (3T07) por 1.368 Mill.€** Plantilla promedio a septiembre 2007.
Entre las 100 mayores empresas del mundo por ingresos
Proveedor de Soluciones integradas TIC para todo tipo de clientes
01 Introducción
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 4 -
01 Cifras significativas (1/3)
Top 10 mundial por accesos totalesMillones de accesos a Septiembre 2007
China Mobile
China Telecom
Vodafone
Telmex+ América Móvil
France Telecom
China Unicom
China Netcom
AT&T
Deutsche Telekom
350
257
241
178
170
142
168
156
133
Telefónica 219
Total de accesos (según datos publicados por las compañías) =Líneas fijas + Clientes Móviles + Banda Estrecha y BA + TV de
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 5 -
pago.
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 6 -
Argentina: 18,8 Millones
Brasil: 46,6 Millones
Centroamérica: 5,0 Millones
Colombia: 10,1 Millones
Chile: 9,1 Millones
Ecuador: 2,6 Millones
México: 11,1 Millones
Perú: 11,2 Millones
Uruguay: 1,0 Millones
Venezuela: 9,8 Millones
Datos a Septiembre 2007
Accesos Totales (a Sep’07)126,5 Mill.
Cuota de mercado* (2006) 28%
Posición mercado fijoPosición mercado móvil
11
12
21
11
2
2
11
11
2
Nota: Centroamérica incluye Guatemala, Panamá, El Salvador y Nicaragua
Cifras significativas (2/3)01
*A cierre 2006, sobre la estimación de accesos 2006 de IDATE (DigiWorld 2007)
01 Cifras significativas (3/3)
Posición mercado fijoPosición mercado móvilDatos a Septiembre 2007
Alemania: 12,6 Mill.
España: 45,6 Mill.
Irlanda: 1,6 Mill.
Reino Unido: 18,0 Mill.
República Checa: 7,8 Mill.Eslovaquia: 0,5 Mill.
4
11
11
2
1
3
Accesos Totales (a Sep’07)86,1 Mill.
Cuota de mercado* (2006)10%
*A cierre 2006, sobre la estimación de accesos 2006 de IDATE para la UE-25 (DigiWorld 2007)
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 7 -
Modelo Corporativo de Gestión de Riesgos
Telefónica, S.A.Dirección de Proyectos de AuditoríaMadrid, xx de Febrero de 2008
Índice01
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 9 -
Introducción
Mapa de Riesgos (COSO I)
Mapa de Riesgos (COSO II)
Hitos del Proyecto
Marco metodológico
Fases del Proyecto
Valoración del piloto en Telefónica España
Herramienta de Gestión de Riesgos
Organización de la función de Gestión de Riesgos
Proceso de Gestión de Riesgos
Hitos realizados
02030405060708091011
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 10 -
Introducción Mecanismos de Control Interno en Telefónica
01
Comisión Auditoría y ControlMapas de Riesgos periódicos
Auditoría Interna
Unidades de Intervención
Control de Gestión
Código Ético
Canal de denuncias
Normativas Corporativas
Otras Unidades Corporativasque gestionan riesgos específic
Mercados de Capital, ReputacióRegulación, Seguros, Seguridad y Calidad.
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 11 -
Código Unificado sobre Buen Gobierno Corporativo para
Sociedades Registradas publicado por la CNMV...
El Consejo de Administración se reserve la competencia de aprobar la Política de Control y Gestión de Riesgos.
Corresponde al Comité de Auditoríarevisar periódicamente los sistemas de control interno y de gestión de riesgos….…para que se identifiquen, gestionen y se den a conocer adecuadamente losprincipales riesgos.
Introducción Alineación con Leyes y Recomendaciones
01
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 12 -
Orden Ministerial ECO/3722/2003
Introducción Alineación con Leyes y Recomendaciones
01
…El Informe Anual de GobiernoCorporativo debe incorporarinformación sobre los sistemas de control de los riesgos en las empresas.
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 13 -
La legislación de próxima aparición EUROSOX(de aplicación en Junio 2008 en todos los países miembros de la UE) exige un efectivo Sistema de Control Interno (ICS) junto con una función de Gestión de Riesgos (ERM).Hasta el momento, no se han definido requerimientos tan específicos como con el PCAOB AS2 para la ley SOX USA, pero se espera una referencia a estándares internacionales para ICS y ERM.
Introducción Alineación con nuevas Leyes y Recomendaciones
01
British Standards, BS 31100 “Code of Practice forRisk Management”.
Índice Sostenibilidad Dow Jones (DJSI) 2007. Este índice utiliza un criterio "best-in-class" para definir a las empresas más responsables de cada industria. Telefónica ha obtenido una valoración de 81 puntos (76 en 2006) situándose sólo un punto por detrás del líder sectorial (BT, con 82 puntos). En el caso particular de GESTIÓN DEL RIESGO, Telefónica ha obtenido una puntuación de 99 puntos (81 en 2006), con una mejora espectacular en nuestra valoración que nos sitúa como la mejor empresa del sector.
01 Introducción Implantación del ERM en Grandes Compañías
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 14 -
Entre un 70% and 80% de las grandes empresas tienen implantado un modelo de Gestión de adecuado Riesgos prevén tenerlo disponible en el corto o medio plazo
Estos proyectos son impulsados por el Consejo de Administración o la Alta Dirección
Un 75 % de las grandes compañías tendrán un responsable de gestión de riesgos en el 2007-2008Fuentes: E&Y, PwC, Deloitte, Forrester, Vigeo and SAM-DJSI
En base a las recomendaciones del Informe COSO (*) y los criterios de buen gobierno corporativo aconsejados por distintos organismos públicos y privados (CNMV, IEAI, etc.) y grandes empresas, fue aprobado por el Comité Ejecutivo(23.10.06) y la Comisión de Auditoria y Control (13.11.06) la implantación del Proyecto para el desarrollo del Nuevo Modelo Corporativo de Gestión de Riesgos en el Grupo Telefónica.
El Modelo de Gestión de Riesgos que se está desarrollando, supone una evolución del actual, adaptándose a las recomendaciones establecidas en el Informe COSO II.
El proyecto ha sido liderado por el área de Planificación Corporativa, Control de Gestión y Auditoría Interna, con el apoyo externo especializado de la empresa consultora Deloitte. Se inició el 15 de Enero 2007, y finalizó en Diciembre de 2007.
En cuanto al equipo de trabajo interno , el Modelo contempla que: “Se aprovecharán las estructuras corporativas de Auditoría Interna y de Control de Gestión, así como la presencia y capilaridad de las Unidades de Intervención y de Control de Gestión en los negocios y empresas”.
01 Introducción
(*) Committee of Sponsoring Organizations of the Treadway Commission
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 15 -
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 16 -
Ambiente interno
Establecimiento de objetivos
Identificación de eventos
Evaluación de riesgos
Respuesta a los riesgos
Actividades de control
Información y comunicación
Supervisión
ESTRATEGIA
OPERACIONES
INFORMACION
CUMPLIMIENTO
EN
TID
AD
DIV
ISION
UN
IDA
D D
E N
EG
OC
IOF
ILIA
L
Ambiente interno
Establecimiento de objetivos
Identificación de eventos
Evaluación de riesgos
Respuesta a los riesgos
Actividades de control
Información y comunicación
Supervisión
ESTRATEGIA
OPERACIONES
INFORMACION
CUMPLIMIENTO
EN
TID
AD
DIV
ISION
UN
IDA
D D
E N
EG
OC
IO
Ambiente interno
Establecimiento de objetivos
Identificación de eventos
Evaluación de riesgos
Respuesta a los riesgos
Actividades de control
Información y comunicación
Supervisión
Ambiente interno
Establecimiento de objetivos
Identificación de eventos
Evaluación de riesgos
Respuesta a los riesgos
Actividades de control
Información y comunicación
Supervisión
ESTRATEGIA
OPERACIONES
INFORMACION
CUMPLIMIENTO
EN
TID
AD
DIV
ISION
UN
IDA
D D
E N
EG
OC
IOF
ILIA
L
La gestión de los riesgos es parte del control en las sociedades.El informe complementa a COSO I con un modelo para identificar, evaluar y gestionar los riesgos que pueden afectar a los objetivos estratégicos (*) (no considerados en el primer informe), operativos, de fiabilidad de la información y de cumplimiento de leyes y normas.
Introduce el concepto de nivel riesgo aceptado o tolerado
ESQUEMA DEL CONTROL EN COSO I
ESQUEMA DEL CONTROL EN COSO II
que unido al de entorno de control forman el ambiente interno de control (**).Divide la gestión de riesgos (***) en cuatro etapas:
Establecimiento de los objetivos.Identificación de eventos que pueden afectar a los objetivos.
Evaluación de los riesgos: estimando probabilidad e impacto sobre los objetivos. Sugiere dos cálculos: si la dirección no actuase (riesgo inherente) y tras adoptar medidas (riesgo residual).
Respuestas a los riesgos: actuaciones (definen el nivel de tolerancia).
El resto de fases del control en las empresas no varíanrespecto de COSO I: actividades de control (para mantener el riesgo en el nivel de tolerancia); información y comunicación (de datos para el control) y supervisión (mediante auditorías y otros procedimientos).
(*)
(**)
(**)
(***)
12
34
(*)
IntroducciónInforme COSO II
01
• Modelo de Riesgos acotado (50 Riesgos estándar).
• Identificación de Riesgos por Auditoría.
• Evaluación según de importancia y nivel de control.
• Cuantificación subjetiva de los Riesgos.
• Tolerancia al riesgo estándar.
• Seguimiento puntual (12-24 meses).
• Modelo abierto de riesgos en base a eventos (Modelos de Identificación).
• Identificación de Riesgos por Gestores.
• Evaluación según impacto/severidad y probabilidad ocurrencia/frecuencia.
• Cuantificación económica de los Riesgos.
• Tolerancia al riesgo definidaconjuntamente con los Gestores.
• Seguimiento continuado.
Modelo actual (COSO I - e-Risk) Modelo nuevo (COSO II - RSA )
Peor caso
Frec
uenc
ia
UL1
UL2
UL3
SeveridadPeor caso
Frec
uenc
ia
UL1
UL2
UL3
Severidad
IntroducciónEvolución del Modelo de Control Interno de COSO I a COSO II
Modelo Único alineado con las Mejores Prácticas internas y externas
01
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 17 -
02 Mapa de Riesgos (COSO I)Clasificación (5o riesgos)
El actual mapa de riesgos del Grupo Telefónica incluye 50 riesgos cerrados, los cuales son evaluados cualitativamente en términos de importancia y grado de control.
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 18 -
03 Mapa de Riesgos (COSO II)Nueva Tipología de Riesgos (4)
Riesgos de negocio Posibles pérdidas de valor o resultados derivados de las incertidumbres estratégicas, cambios en el entorno y en el mercado/ competencia, y alteraciones en el marco regulatorio.P.e. Amenaza de nuevo competidor, cambio tecnológico.
Riesgos financieros Posibles pérdidas de valor o resultados derivados de movimientos adversos de las variables financieras, y de la incapacidad de laempresa para hacer frente a sus compromisos o hacer líquidos sus activos.P.e. Fluctuación tipo de cambio.
Riesgos de crédito Posibles pérdidas de valor o resultados derivados del incumplimiento de pago o entrega de las obligaciones contractuales de pago de sus contrapartes.P.e. Morosidad de clientes / “dealers”.
Riesgos operativos Posibles pérdidas de valor o resultados derivados de los eventos causados por la inadecuación o fallos provenientes de los procesos,los recursos humanos, los equipos físicos y sistemas informáticos o derivados de factores externos. P.e. Errores en la tarificación.
Nota: Clasificación según aproximación metodológica.
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 19 -
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 20 -
1. Reclamaciones de clientes2. Marketing y comercialización de P&S3. Atención al cliente4. Mala calidad / interrupción del servicio a clientes5. Fallos y daños en activos6. Indisponibilidad de equipos, redes y sistemas7. Daños provocados por terceros a activos8. Accidentes sobre activos9. Fallo en el suministro (proveedores)10. Retrasos e incumplimientos de calidad (proveedores)11. Conflictos con proveedores12. Pérdida de ingresos
13. Fallos en la operación de equipos, redes y sist.14. Formalización de contratos15. Reporte16. Errores en proceso inversor y gestión existencias17. Prácticas negocio incorrectas18. Vulneración políticas internas19. Vulneración leyes y normas20. Fraude interno21. Fraude externo22. Salud y seguridad laboral23. Relaciones laborales24. Daños al medioambiente o terceros
29. Entorno político y socio-econ.30. Entorno legal y fiscal31. Demanda de clientes32. Competidores33. Proveedores / cambio tecnológico34. Regulatorios35. Internos / estratégicos
26. Tipo de cambio27. Tipo de interés28. Precio de las acciones
25. Crédito a clientes / cobros
RIESGOS DE NEGOCIO (*)
RIESGOS FINANCIEROS (*)
RIESGOS OPERATIVOS
(incl. CRÉDITO)
MODELO INTEGRAL
DE RIESGOS
03 Mapa de Riesgos (COSO II)Pirámide de Riesgos
03
Con Plan Acción
Ficha de Riesgo (1/2)Riesgo:
Responsable:Impacto (1er año):
Mayo 2007
Impacto (prox. 3 años): TIPO DE RIESGO
1. Fuera del control de Telefónica
2. Externo a Telefónica, pero con cierto control
3. Telefonica tiene control
Actividades Mitigadoras Actuales: Acciones:
1. Evitarlo
2. Reducirlo
3. Transferirlo
4. Asumirlo
Planes de Acción Futuros:
SituaciónActual
Organización:
Probabilidad:
MODELO INTEGRAL
DE RIESGOS
RIESGOS DE NEGOCIO
RIESGOS FINANCIEROS
• Metodología de identificación específica para riesgos de negocio.
•Evaluación a través de Proceso RSA (Autoevaluación). Análisis de Escenarios.
• Frecuencia x severidad = Pérdida Esperada. • Modelo semejante al de TO2 Europe, y alineado con
las prácticas de la D. Planificación y Control de Gestión de Telefónica S.A.
• Metodologías de identificación y evaluación específicas desarrolladas por la D. Financiera.
• Coordinación y consistencia del Modelo Integral de Riesgos con el desarrollado por la D. Financiera.
Metodologías internas
específicas
Metodologías internas
específicas
Mapa de Riesgos (COSO II)Aproximación metodológica
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 21 -
RIESGOS OPERATIVOS
• Metodologías de identificación y evaluación específicas desarrolladas por la D. Tesorería.
• Utilización de modelos de identificación predefinidos y específicos para el Riesgo Operativo.
• Evaluación a través de Proceso de Autoevaluación del Riesgo (RSA). • Utilización de Técnicas estadísticas para obtener la Pérdida Esperada (PE) y la
Pérdida Inesperada (PI).• Umbrales de riesgo definidos por Control de Gestión Corporativo con criterios
homogéneos.
RIESGOS CRÉDITO
densidad
Pérdida
EL Q99,9%
EL ULdensidad
Pérdida
EL Q99,9%
EL UL
Pérdida
EL Q99,9%
EL UL
Proyecto RICO
Técnicas estadísticas
7
Hitos del Proyecto04
Valoración ResultadosLanzamiento
Definición y Validación Modelos de
Identificación
Realización PILOTO
T. España
Equipo de Trabajo formado:Auditoría Interna (AI), Control Gestión (CG) y Consultora
Definición inicial por AI y CG Corporat ivay de T. España (9workshops)Validación con Gestores de todas las á reas de T. España (6 workshops)
Realizadas17 evaluaciones (5 a Unidad de Negocio Fijo*, 2 a TOS, 2 a Grandes Empresas, 4 a Unidad Negocio
Móvil** y 4 a Unidades Staff***).
DespliegueModelo
Fecha finalización: Diciembre 07
Realizadas 7 reuniones de validación de resultados
PresentaciónResultados
Fecha lanzamiento:Enero 07
Valoración ResultadosLanzamiento
Definición y Validación Modelos de
Identificación
Realización PILOTO
T. España
Equipo de Trabajo formado:Auditoría Interna (AI), Control Gestión (CG) y Consultora
Definición inicial por AI y CG Corporat ivay de T. España (9workshops)Validación con Gestores de todas las á reas de T. España (6 workshops)
Realizadas17 evaluaciones (5 a Unidad de Negocio Fijo*, 2 a TOS, 2 a Grandes Empresas, 4 a Unidad Negocio
Móvil** y 4 a Unidades Staff***).
DespliegueModelo
Fecha finalización: Diciembre 07
Realizadas 7 reuniones de validación de resultados
PresentaciónResultados
Fecha lanzamiento:Enero 07
Fases cubiertas
En desarrollo
Hitos Crít icos
Fases cubiertas
En desarrollo
Hitos Crít icos(*) Las áreas evaluadas de la Unidad de Negocio Fijo son: Residencial, PNP, CPP, Operadoras y Mult imedia.(**) Las áreas evaluadas de la Unidad de Negocio Móvil son: Residencial, Negocio, Negocio Mayorista y Ventas.(**) Se completa con la información de las áreas soporte (RRHH, Secretaría General)
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 22 -
Marco MetodológicoRiesgos Operativos
05
Eventos de Pérdida
Autoevaluación del Riesgo
Metodologías de medición
Análisis cuantitativo
Análisis cuantitativo
Integración bayesiana
Entorno de Negocio
CaR CaR
Herramientas de Análisis
Estimaciones subjetivas
Registro de Eventos
OUTPUTSPérdidas (EL & UL) por tipo de evento
EquiposInterrup. Serv.Daños tercerosClientesContrapartesProcesosLegalEmpleadosFraude
Distribución de pérdidas (Interrupción del servicio)
00,0000050,00001
0,0000150,00002
0,0000250,00003
0,0000350,00004
0 €
20.00
0 €
40.00
0 €
60.00
0 €
80.00
0 €
100.0
00 €
120.0
00 €
140.0
00 €
Pérdidas
Prob
abili
dad
Evolución del churm rate
0%
2%
4%
6%
8%
10%
Año 1
Año 2
Año 3
Año 4
Año 5
Año 6
Año 7
Año 8
Año
Proc
enta
je Churm rateLímiteObjetivo
Modelo Organizativo
Modelo de Eventos
Modelo de Factores
Modelo de Indicadores
Modelos de Identificación
Modelo de Efectos
Modelo de Activos
Risk Self-Assessment
Modelo de Productos y
Servicios
Identificación
Evaluación / Control
Reporte y propuesta de
medidas
Mejorar el entorno de
control
Medición del riesgo y
eficacia de los controles:
estimación predictiva del
riesgo potencial
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 23 -
El Nuevo Modelo de Riesgos supone un avance en el Modelo actual, con una visión MULTIDIMENSIONAL, donde cada EVENTO (RIESGO) viene determinado por un FACTOR (CAUSA), un EFECTO, un PRODUCTO/SERVICIO, un ACTIVO y una ORGANIZACIÓN.
EVENTO(Riesgo)
ACTIVO
(Inmovilizado)
ORGANIZAC.(Estructura)
EFECTO(Económico / No económico)
PRODUCTO/
SERVICIO(Catálogo)
FACTOR
(Causa)
¿¿El quEl quéé?? ¿¿A quA quéé??
06 Fases del Proyecto (Riesgo operativo)Definición Modelos de Identificación
¿¿Por quPor quéé?? ¿¿CuCuáánto?nto?
¿¿DDóónde?nde?TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 24 -
06 Fases del Proyecto (Riesgo operativo)Validación Modelos de Identificación
MODELOS DE IDENTIFICACIÓN
EVENTOS
FACTORES
EFECTOS
ORGANIZATIVO
ACTIVOS
P&S
RIESGO OPERATIVOMODELO DE EVENTOS
Participantes: 28 gestores de T España identificados en todas las áreas de la organización y divididos en 2 grupos de trabajo
Método de trabajo: 6 Workshops (3 reuniones cada grupo)
Alta implicación de los participantesValidación efectiva de los Modelos por los 2 equipos de trabajo
NIVEL 1 NIVEL 2
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 25 -
06 Fases del Proyecto (Riesgo operativo)Preparación piloto
Modelos de Identificación
Creación decuestionarios
Questionario n
1234
Questionario 12
123
Questionario 11
12
Questionario 10
1
Estru
ttura
Or
gani
zativ
a
15……
…
15……
4…
15……
34…
15……
234…
Questionario 1
15……
1234…
Dimensión Organizativa
Mod
elo
Even
tos
Ejecución de cuestionariosde RSA
Reporte
Parametrización Motor de cálculo
Personalización de cuestionarios
CREACIÓN DE LA ESTRUCTURA
PREPARACIÓN DEL PROCESO DE CÁLCULO
EJECUCIÓN DE CUESTIONARIOS
1
5
4
3
2
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 26 -
06 Fases del Proyecto (Riesgo operativo)Piloto (Interpretación de resultados)
Ejemplo: Al tipo de riesgo analizado (con una pérdida inesperada media de 100 €), le corresponde una calificación C (crítico) con una probabilidad del 70% y una calificación B (asumible) con una probabilidad del 30%.
ULmedia = 100 €
f(UL)
ULmaxULmin
CBA D
30% 70%
Rating ULmedia = 100 €
f(UL)
ULmaxULmin
CBA D
30% 70%
Rating
Como expresión del apetito al riesgo de cada unidad se definen los Umbrales de Riesgo calculados en términos de “Pérdidas inesperadas”.
A partir de los tres umbrales de riesgo definidos se puede clasificar el riesgo de la unidad en cuatro clases:
• Rating A, aceptable: situación óptima, riesgo mínimo de pérdidas operativas
• Rating B, asumible: riesgo de pérdida no preocupante, primera señal de alerta
• Rating C, crítico: situación problemática, es aconsejable realizar un análisis en profundidad para valorar la necesidad de una intervención mitigadora
• Rating D, potencialmente catastrófico: la gravedad de la situación indica la necesidad de una inminenteacción mitigadora
Los resultados obtenidos, en terminos de pérdidas inesperadas (UL), no representan un dato puntual, si no una distribución de probabilidades. Cuando se comparan dichas pérdidas con el apetito al riesgo definido para la unidad es posible que dicha distribución quede dividida entre varios de los ratings descritos.
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 27 -
06 Fases del Proyecto (Riesgo operativo)Piloto (Resultados obtenidos)
Reporte - Visión Unidad de Negocio y Tipología de evento (nivel 1)
Ejemplo ilustrativo resultados del Piloto
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 28 -
07 Valoración del Piloto en Telefónica España
Percepción posit iva de la metodología y de la posibilidad de cuant ificar los riesgos.Posibilidad de ident ificación de los puntos débiles de cada área.Comparación (Benchmarking) entre áreas .Avance significat ivo respecto al modelo anterior (e-Risk).
Complejidad para valorar procesos transversales. (**)Necesidad de análisis específico para “mult i-eventos”.Necesidad de criterio homogéneo en la fijación de los umbrales (apetito al riesgo) para las dist intas áreas. (**)
“Debilidades”
-
“Fortalezas”
++
SituaciónActual
Percepción posit iva de la metodología y de la posibilidad de cuant ificar los riesgos.Posibilidad de ident ificación de los puntos débiles de cada área.Comparación (Benchmarking) entre áreas .Avance significat ivo respecto al modelo anterior (e-Risk).
Complejidad para valorar procesos transversales. (**)Necesidad de análisis específico para “mult i-eventos”.Necesidad de criterio homogéneo en la fijación de los umbrales (apetito al riesgo) para las dist intas áreas. (**)
“Debilidades”
-
“Fortalezas”
++Percepción posit iva de la metodología y de la posibilidad de cuant ificar los riesgos.Posibilidad de ident ificación de los puntos débiles de cada área.Comparación (Benchmarking) entre áreas .Avance significat ivo respecto al modelo anterior (e-Risk).
Complejidad para valorar procesos transversales. (**)Necesidad de análisis específico para “mult i-eventos”.Necesidad de criterio homogéneo en la fijación de los umbrales (apetito al riesgo) para las dist intas áreas. (**)
Complejidad para valorar procesos transversales. (**)Necesidad de análisis específico para “mult i-eventos”.Necesidad de criterio homogéneo en la fijación de los umbrales (apetito al riesgo) para las dist intas áreas. (**)
“Debilidades”
-“Debilidades”
-
“Fortalezas”
++“Fortalezas”
++++
SituaciónActual
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 29 -
08 Herramienta de Gestión de Riesgos
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 30 -
Aplicación de la herramienta e-List/OpRisk (prueba) en la realización del Piloto en
Telefónica de España. Garantías de cumplimiento de la LOPD, mediante la firma
de un Contrato de Confidencialidad, supervisado por el área de Secretaría General
de Telefónica España.
Análisis de herramientas de Gestión de Riesgos en uso en el mercado
(RVR/SAFE, Active Risk Manager, BWISE) en busca de mejores prácticas, y
contactos con los proveedores de dichas herramientas, para seleccionar la más
adecuada en base a la metodología y requerimientos de Telefónica. Involucración
del área Corporativa de Auditoría Informática.
Análisis de la herramienta Clarify, utilizada en prueba por Telesp (Brasil).
Definición de los requisitos funcionales de la herramienta de Gestión de Riesgos.
09 Organización de la Función de RiesgosVisión corporativa
Comisión de Auditoría y Control • Actuando como Comité Corporativo de Riesgos
Comisión Corporativa de Riesgos
• Comisión de nueva creación.
• Grupo de trabajo o apoyo a la Comisión de Auditoría y Control
• Integrada por representantes de la Función Corporativa de Riesgos, Función de Riesgos Financieros y de Crédito y Unidades de Negocio y Áreas Corporativas cuando se requiera
• Reuniones Mensuales
Función Corporativa de Riesgos
Funciones Especialistas de Riesgos existentes en la Actualidad
• Funciones especialistas en Riesgo Financiero y Riesgo de Crédito, existentes en la D.G. de Finanzas y Desarrollo Corporativo
• Responsable último del Modelo Corporativo de Riesgos• Responsable directo del Modelo de Riesgos Operativos y de
Negocio• Funciones de coordinación, supervisión y homogeneización
con las Funciones Especialistas de Riesgo Financiero y de Crédito
• Ubicada en la Dirección de Planificación, Control y AuditoríaInterna
Comisión de Auditoría y Control • Supervisa al Comité Corporativo de Riesgos
Comité Corporativo de Riesgos
• Comité de nueva creación.
• Grupo de trabajo o apoyo a la Comisión de Auditoría y Control
• Integrada por representantes de la Función Corporativa de Riesgos, Función de Riesgos Financieros y de Crédito y Unidades de Negocio y Áreas Corporativas cuando se requiera
• Reuniones Mensuales
Función Corporativa de Riesgos
Funciones Especialistas de Riesgos existentes en la Actualidad
• Funciones especialistas en Riesgo Financiero y Riesgo de Crédito, existentes en la D.G. de Finanzas y Desarrollo Corporativo
• Responsable último del Modelo Corporativo de Riesgos• Responsable directo del Modelo de Riesgos Operativos y de
Negocio• Funciones de coordinación, supervisión y homogeneización
con las Funciones Especialistas de Riesgo Financiero y de Crédito
• Ubicada en la Dirección de Planificación, Control y AuditoríaInterna
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 31 -
10 Proceso de Gestión de Riesgos
1. IDENTIFICACIÓN
• Adaptación Modelos Identificación (R. Operativos).
• Fichas reporte (Resto Riesgos).
• Definición alcance Proceso RSA.
• Validación de la lista de riesgos identificados con gestores.
2. EVALUACIÓN
• Implantación proceso RSA (R. Operativos).
• Evaluación conjunta con funciones .especialistas de riesgos (Resto Riesgos).
• Actualización en herramienta Gestión de Riesgos.
3. RESPUESTA AL RIESGO
• Validación riesgos críticos con áreas gestoras.
• Respuesta al Riesgo (Aceptar, Evitar, Mitigar o Transferir).
• Definición de Planes Acción.
4. SEGUIMIENTO Y REPORTE
• Seguimiento Planes Acción.• Identificación riesgos relevantes de acuerdo a materialidad (Política GR).
• Elaboración Registro de Riesgos.
• Presentación a Órganos pertinentes (ComitéRiesgos, Comisión Auditoría, Consejo Administración).
Identificación EvaluaciónRespuesta
al RiesgoSeguimiento y
Reporte
Control y Revisión del Proceso
Información y Comunicación
PROCESO GESTIÓN DE RIESGOS
GESTORES+ ESPECIALISTAS
GESTORES+ ESPECIALISTAS
FUNCIÓN LOCAL RIESGOS+ GESTORES+ ESPECIALISTAS
FUNCIÓN CORP RIESGOS+ COMITÉ RIESGOS
FUNCIÓN CORP RIESGOS
FUNCIÓN CORP RIESGOS+ COMITÉ RIESGOS
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 32 -
Hitos realizados11
Metodología para el Nuevo Mapa de Riesgos (Riesgo Operativo, Financiero, Crédito y Negocio)
Propuesta Organizativa de Gestión de Riesgos
Experiencia Piloto en Telefónica España
Propuesta de despliegue del Nuevo Modelo de Gestión de Riesgos (Pendiente de desarrollo)
Modelo Corporativo de Gestión de Riesgos en el Grupo Telefónica (COSO II)
Propuesta de Política Corporativa de Gestión de Riesgos del Grupo Telefónica
Propuesta de Herramienta de Gestión de Riesgos
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 33 -
Conclusiones
Telefónica, S.A.Dirección de Proyectos de AuditoríaMadrid, xx de Febrero de 2008
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 35 -
Ventajas del Modelo de Gestión de Riesgos
Metodología sistemática para la consolidación deinformación
Reducción de costes
Herramienta de soporte a la gestión
Conocimiento actualizado dela situación de Riesgos en el Grupo
Respuesta a las Recomendaciones Legales y de Buen Gobierno Corporativo
TELEFÓNICA, S.A.Dirección de Auditoría Interna
- 36 -
Sinergias del Proyecto de Gestión de Riesgos
Comunidad de
Gestión de
Riesgos
Modelo Gestión de RiesgosTelefónica O2 Czech
Republic
Piloto en Telefónica España
(Fija y Móvil)
Experiencias en Compañías de
Latam
Modelo de Gestión de Riesgos
Telefónica O2 UK, Irlanda y Alemania
+34 91 482 3845
Top Related