Este documento presenta información sobre la administración de riesgos y su importancia para las organizaciones. Explica el proceso de gestión de riesgos que incluye etapas como establecer el contexto, identificar, analizar, evaluar y tratar los riesgos, monitorearlos y revisarlos, y comunicarlos. También menciona tendencias como el aumento de inversiones en esta área y herramientas como normas y estándares que guían la administración de riesgos en las compañías.
1. 1
SENSIBILIZACION DEL
SISTEMA DE ADMINISTRACION
DE RIESGOS
IRBS – IRM - IAS
Enero de 2005
IRBS – IRM - IAS
Enero de 2005
Magda Giraldo Gómez
Gerente Técnico de Proyectos
Advisory Services Ltda
2. 2
“La idea revolucionaria que define los
límites entre los tiempos modernos y
el pasado es el entendimiento del
riesgo: la noción de que el futuro es
más que el deseo de los dioses y que
las personas no son pasivas ante la
naturaleza.”
Peter Bernstein
Antecedentes
3. 3
Antecedentes
Para el 2007, mínimo una tercera
parte de las compañías a nivel
mundial tendrán implementada una
estrategia definida de
Administración basada en riesgos.
Fuente: Gartner Group
4. 4
Antecedentes
El 81% de las organizaciones usan un enfoque de
administración de riesgos amplio e integrado.
Dos de tres compañías están incrementando la
inversión en administración del riesgo a través de
una amplia variedad de disciplinas.
Cerca del 20% de las grandes empresas
clasificadas como en Fortune 1000 tiene un oficial
de riesgo.
Fuente: KPMG / Colwell & Salmon surveys, 2000, 2001
5. 5
Antecedentes
La estabilidad de la operación es el motivador No 1
(91%)
Otros motivadores claves:
El deseo de un marco unificado de aseguramiento del
riesgo para alcanzar las metas del negocio (73%)
Cumplimiento con las guías del gobierno corporativo
(62%)
Presión de la competencia (61%)
Cambio en el ambiente de negocios o estrategias
(57%)
Cumplimiento con las regulaciones del gobierno
(56%)
Fuente: KPMG / Colwell & Salmon surveys, 2000, 2001
6. 6
Tendencias
NTC 5254
Estándar
4360
Sarbanes
Oxley
BASILEA
COSO ERM
Guía de
administración
de riesgos
del DAFP
Sistemas de
Gestión de
Calidad
Organización
y su entorno
CONTROL INTERNO
MEJORAMIENTO DEL DESEMPEÑO ORGANIZACIONAL
La integración
de herramientas
se convierte en
elementos
claves para el
mejoramiento
del control
organizacional
7. 7
Integración entre la educación y el entrenamiento
dentro de las organizaciones como elemento de
fortalecimiento de la cultura organizacional
Integración entre la educación y el entrenamiento
dentro de las organizaciones como elemento de
fortalecimiento de la cultura organizacional
MISION
PLAN DE FUERZA
DE TRABAJO
INVESTIGACIÓN
HABILIDADES
DESEMPEÑO DE LA
GERENCIA
Demanda de habilidades y
personas
Desempeño actual
Incremento de las
capacidades individuales
Proveer habilidades y
personas
Demanda de nuevas o del
mejoramiento de las habilidades
para acompañar al plan de fuerza
de trabajo y el desempeño
individual
8. 8
Ambiente Interno
Filosofía de manejos del riesgo – Cultura del Riesgo – Alta Dirección – Valores Éticos e Integridad, Compromisos con la
competencia de los empleados, Operación y filosofía del Estilo de los Gerentes – Apetito al Riesgo – Estructura Organizacional
– Asignación de Autoridad y Responsabilidades – Políticas y Prácticas de Recursos Humanos
Establecimiento de objetivos
Objetivos Estratégicos – Objetivos Relacionados – Objetivos Seleccionados – Apetito al Riesgo – Tolerancia al Riesgo
Identificación del Evento
Eventos – Factores que Influyen Sobre la Estrategia y los Objetivos – Metodologías y Técnicas – Interdependencias del Evento
– Categorías del Evento – Riesgos y Oportunidades.
Investigación del Riesgo
Riesgo Inherente y residual – Probabilidad e Impacto del Riesgo – Metodologías y Técnicas – Correlación
Respuesta al Riego
Identificar las Repuestas frente al Riesgo – Evaluar Posibles Respuestas frente al Riesgo – Seleccionar Respuestas frente al
Riesgo
Actividades de Control
Integración con la Respuesta al Riesgo – Tipos de Actividades de Control – Controles Generales – Aplicación de Controles –
Entidad Específica
Información y Comunicación
Información – Sistemas Estratégicos e Integrados - Comunicación
Monitoreo
Evaluaciones Separadas – Evaluaciones Sobre la Marcha
Riesgos y controles para mejorar el desempeño y el
Sistema de Control Interno organizacional
Riesgos y controles para mejorar el desempeño y el
Sistema de Control Interno organizacional
9. 9
Madurez en la administración de riesgo
Reactivo Táctico Estratégico
“Reactivo a los
riesgos”
“Preparado para los
riesgos”
“Anticipa los
riesgos”
Acercamiento para asociar y manejar riesgos basado en los
objetivos y estrategias corporativas.
Acercamiento para soportar y asegurar la estrategia y
responsabilidades de los riesgos.
Balancear riesgos potenciales contra Oportunidades dentro del
portafolio establecido basado en la disposición o apetito y
capacidad de aceptar el riesgo
Establecimiento del criterio de medición (e.g., KPI’s) y el proceso
continuo de medición y mejoramiento del trabajo.
Procesos para identificación, asesorar y categorizar riesgos a
través de la compañía
Estrategia de
Riesgos
Estructura del
riesgo
Medición y
monitoreo
Portafolio
Optimización
10. 10
Algunos antecedentes de la NTC 5254
ANZ 4360, desarrollada por Standars Australia.
Actualizada en 1999.
Mayor utilización que ISO 9000.2000.
En Australia: Quantas, Pionnner, Australia Stock
Exchange, ANZ Banking Corp.
En Inglaterra: Helath National Service
11. 11
Proceso de Gestión del Riesgo.
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONITOREARYREVISAR
COMUNICARYCONSULTAR
12. 12
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONITOREARYREVISAR
COMUNICARYCONSULTAR
Establecer el contexto
estratégico
Establecer el contexto
organizacional
Establecer el contexto de la
gestión del riesgo
Desarrollar criterios de
evaluación del riesgo
Definir la estructura
Pretende establecer el contexto estratégico, organizacional y de
administración de riesgos en el cual tendrá lugar el resto del proceso.
El respaldo de la alta dirección es un elemento clave en el desarrollo de
esta etapa.
Proceso de Gestión del Riesgo
Establecer el ContextoEstablecer el Contexto
13. 13
Estrecha relación entre la misión u objetivos estratégicos de una
organización y la gestión de todos los riesgos a los cuales está
expuesta.
Alto respaldo y convencimiento de la alta dirección.
Relación entre la organización y su entorno, identificando las
fortalezas, debilidades, oportunidades y amenazas de la
organización.
Identifica las partes interesadas.
El contexto incluye los aspectos financieros, operacionales,
competitivos, políticos (percepciones / imagen ante el público),
sociales, del cliente, culturales y legales de las funciones de una
organización.
Proceso de Gestión del Riesgo
Establecer el ContextoEstablecer el Contexto
14. 14
La política y metas organizacionales ayudan a definir los
criterios por los cuales se decide si un riesgo es aceptable
o no, y forma la base de opciones para su tratamiento.
En la definición de la estructura se involucra la separación
de la actividad o proyecto en un conjunto de elementos.
Estos elementos ofrecen una estructura lógica para la
identificación y análisis que ayuda a garantizar que no se
pasen por alto riesgos significativos.
Proceso de Gestión del Riesgo
Establecer el ContextoEstablecer el Contexto
15. 15
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONITOREARYREVISAR
COMUNICARYCONSULTAR
Analizar:
¿Qué puede suceder?
¿Cómo y por qué puede
suceder?
Definir herramientas y
técnicas apropiadas para la
identificación
Identificar los riesgos a administrar a través de un proceso amplio,
sistemático y estructurado.
Se debe incluir todos los riesgos potenciales (estén o no bajo control)
para no excluirlos del análisis posterior.
Proceso de Gestión del Riesgo
Identificar riesgosIdentificar riesgos
16. 16
Entre los métodos mas empleados para identificar riesgos se
encuentran:
Las Listas de Chequeo,
Juicios basados en la experiencia y registros,
Diagramas de flujo,
Lluvia de ideas,
Análisis de sistemas,
Análisis de escenarios.
Proceso de Gestión del Riesgo
Identificar riesgosIdentificar riesgos
17. 17
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONITOREARYREVISAR
COMUNICARYCONSULTAR
Definir las herramientas y
técnicas para el análisis
Analizar los controles
existentes
Analizar riesgos en términos
de consecuencias y
probabilidades
Definir el tipo de análisis
(cualitativo y/o cuantitativo)
El objeto del análisis es separar los riesgos menores aceptables de los
riesgos mayores, y proveer datos para asistir la evaluación y tratamiento
de los riesgos.
Consecuencias y probabilidades pueden ser combinadas para producir un
nivel estimado de riesgo.
Proceso de Gestión del Riesgo
Analizar riesgosAnalizar riesgos
18. 18
A fin de evitar los sesgos subjetivos, al analizar las
consecuencias y la posibilidad, se recomienda emplear los
mejores recursos y técnicas de información disponibles.
Entre las fuentes de información se pueden incluir:
• Registros pasados.
• Experiencia pertinente.
• Práctica y experiencia industrial.
• Literatura publicada pertinente.
• Marketing de ensayo e investigación de mercado.
• Juicios de especialistas y expertos.
Entre las técnicas, se emplean:
• Entrevistas estructuradas con expertos en el área de interés.
• Empleo de grupos de expertos multidisciplinarios.
• Evaluaciones individuales empleando cuestionarios.
Proceso de Gestión del Riesgo
Analizar riesgosAnalizar riesgos
19. 19
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONITOREARYREVISAR
COMUNICARYCONSULTAR
Comparar niveles estimados
de riesgos contra los criterios
preestablecidos.
Establecer prioridades de los
riesgos para su tratamiento
El resultado de una evaluación del riesgo es una lista priorizada de
riesgos para tomar acciones posteriores
Las decisiones del análisis deben dar cuenta de la consideración de
tolerabilidad de los riesgos asumidos.
Proceso de Gestión del Riesgo
Evaluar riesgosEvaluar riesgos
20. 20
El resultado de una evaluación del riesgo es una lista
priorizada de riesgos, para tomar acciones posteriores.
Se deben considerar los objetivos de la organización y el
grado de oportunidad que pudiera resultar de asumir el
riesgo.
Si los riesgos resultantes se encuentran en las categorías
de riesgo bajo o aceptable, pueden aceptarse con mínimo
tratamiento posterior. Los riegos bajos y aceptados deben
monitorearse y revisarse periódicamente para garantizar
que siguen siendo aceptables.
El tratamiento de los riesgos deberá orientarse
principalmente a los riegos altos o a los medios que de
acuerdo a la experiencia, la organización considera que
podrían materializarse
Proceso de Gestión del Riesgo
Evaluar riesgosEvaluar riesgos
21. 21
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONITOREARYREVISAR
COMUNICARYCONSULTAR
Identificar opciones de
tratamiento de riesgos
a) Evitar el riesgo
b) Reducir probabilidad
c) Reducir consecuencias
d) Transferir el riesgo
e) Retener el riesgo
Evaluar opciones de
tratamiento (costo/beneficio)
Preparar planes de tratamiento
Implementar planes
Si los riesgos no caen dentro de la categoría de riesgos bajos o
aceptables, se tratan utilizando las opciones consideradas.
Aceptar y monitorear permanentemente los riesgos de baja prioridad.
Proceso de Gestión del Riesgo
Tratar los riesgosTratar los riesgos
22. 22
Para definir la mejor alternativa para administrar y mitigar los riesgos,
la Compañía debe tomar en cuenta los siguientes aspectos y
posteriormente establecer la estrategia:
Beneficios al implementar el tratamiento del riesgo.
Costo de la implementación del tratamiento del riesgo
seleccionado.
Esfuerzo requerido para la implementación del tratamiento de
riesgo.
Tiempo para impactar la gestión del proceso a través de la
implementación del tratamiento del riesgo.
Proceso de Gestión del Riesgo
Tratar los riesgosTratar los riesgos
23. 23
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONITOREARYREVISAR
COMUNICARYCONSULTAR
Monitorear los riesgos, la
efectividad del plan de
tratamiento de los riesgos, las
estrategias y el sistema de
administración que se
establece para controlar la
implementación.
Revisar sobre la marcha para
asegurar que el plan de
administración se mantiene
relevante.
Monitorear y revisar el desempeño del sistema de administración de
riesgos y los cambios que podrían afectarlo.
Repetir y revisar regularmente el ciclo de administración de riesgos.
Proceso de Gestión del Riesgo
Monitorear y revisarMonitorear y revisar
24. 24
ESTABLECER EL CONTEXTO
IDENTIFICAR RIESGOS
ANALIZAR RIESGOS
EVALUAR RIESGOS
TRATAR LOS RIESGOS
MONITOREARYREVISAR
COMUNICARYCONSULTAR
Desarrollar un plan de
comunicación para los
interesados
Crear diálogo en ambas
direcciones entre los
interesados
Identificar y documentar
percepciones de los riesgos
de los interesados.
Llevar registros de cada etapa
y ciclos
Comunicar y consultar con interesados internos y externos según
corresponda en cada etapa del proceso de administración de riesgos y
concerniendo al proceso como un todo.
Proceso de Gestión del Riesgo
Comunicar y consultarComunicar y consultar
25. 25
Establecer el contexto
Obtener un entendimiento
de la Dirección General de
Sanidad Militar
Técnicas para analizar los negocios y los
riesgos de los negocios.
Análisis político,
económico,
social,
tecnológico.
Análisis de
fortalezas,
oportunidades,
Amenazas y
debilidades
Análisis de
clientes,
productos,
servicios y
proveedores de
los procesos.
Análisis de
presupuestal y
financiero
(optimización de
recursos)
27. 27
Establecer el contexto
Comité de Riesgos
Dependencia para la
Administración Integral
De Riesgos
(Oficina de Planeación)
Proceso 1 Proceso 2 Proceso n
Oficina de
Control interno
Comité de
Coordinación
control
Interno.
28. 28
Identificar y analizar los riesgos.
Objetivos
Estrategias
Riesgos asociados a
los objetivos
Procesos
Riesgos
asociados a la
operación de la
Compañía.
29. 29
Identificar y analizar
los riesgos
Cuáles de ellos
podrían impedir
el logro del
objetivo?
Cómo alcanzarán
ellos el objetivo?
Cómo medirán
ellos el éxito?
Riesgos
del
Negocio
Respuesta de
la Gerencia a
estos Riesgos
Indicadores de
Gestión
Factores
Críticos de
Exito
Objetivos
Estratégicos
Ejemplo:
Asegurar el Crecimiento
de la Empresa y mejorar
la rentabilidad para los
accionistas
Matriz de evaluación de
riesgos asociados a objetivos:
Alto
Bajo
MagnitudMagnitud
deldel
ImpactoImpacto
AltoBajo
ProbabilidadProbabilidad
de que Ocurrade que Ocurra
Matriz de análisis:(Riesgos asociados a objetivos).
Riesgos
Altos
Implicaciones
de negocios
Respuestas
de la
gerencia
Riesgos
Residuales
Procesos
Afectados
30. 30
Identificar y analizar los riesgos.
Ejemplo práctico.
Objetivos
Estratégicos
Logra la
Presencia de
La fuerza
Pública en todo
El territorio
nacional
Estrategias
CONTROLES
ESTRATÉGICOS
Riesgos
estratégicos
Respuesta de
la DGSM Procesos
31. 31
Identificar y analizar los riesgos
Identificar riesgos que amenazan el objeto del proceso.
•Autoridad
•Liderazgo
•Desempeño
•Incentivos
Límites
•Auditoria Interna
Gobernabilidad
•Fraude de la gerencia
•Fraude de los empleados
•Actos ilícitos
•Uso no autorizado
Integridad
•Impuestos
•Salud y seguridad ambiental
•Fondo de pensiones
•Control
Cumplimiento
•Tecnología
•Calidad
•Satisfacción ciudadana
•Metas y objetivos
propuestos
Operacional
•Obsolescencia
•Merma
•Eficiencia
•Capacidad
•Origen
•Estrategia militar
•Fallas del servicio
•Lucro cesante
•Administración de
Desempeño.
•Aptitud recursos humanos
•Motivación.
•Capacitación.
•Reparación y
Mantenimiento.
•Sistemas de
Seguridad.
Manejo de la información
•Sistema información gerencia.
•Dependencia de IT
•Confiabilidad
•IT externo
•Acceso/disponibilidad
•Integridad/seguridad
Aplicabilidad
Manejo financiero
• Presupuesto y planeación
•Flujo de caja
•Evaluación de inversiones
•Informes financieros
•Instrumentos financieros
•Provisión de fondos
•Información contable
Recursos humanos
•Manejo de RH
•Aptitudes
•Reclutamiento
•Reconocimiento/Conservación?
Remuneración.
•Manejo del desempeño.
•Desarrollo del liderazgo.
32. 32
Identificar y analizar los riesgos
Riesgo Controles
PO I C CU SA R CUImplicaciones
No procesar
oportunamente
la información
enviada por el
cliente.
- Demoras en la
actualización de
bases de datos.
- Falta de
oportunidad al
momento de
reconocer
derechos ante
el cliente.
- Pérdida de
imagen ante el
cliente.
- Dificultad al
generar las
notas.
- Se llevan a cabo
revisiones
aleatorias para
verificar el
tiempo
transcurrido
entre la
recepción de la
información y el
ingreso a bases
de datos.
- En la actualidad,
se está
promocionando
el uso de
Internet.
2 3 6 A 3 18 A El análisis
de controles
y la
definición de
estrategias
de
minimización
se realizará
en primer
lugar sobre
los riesgos
ALTOS
33. 33
Evaluación de riesgos
Probabilidadde
ocurrencia
2.0% 5.0% 16% 40% 100%
1.6% 4.0% 12.8% 32.0% 80.0%
1.2% 3.0% 9.6% 24.0% 60.0%
0.8% 2.0% 6.4% 16.0% 40.0%
0.4 % 1.0% 3.2% 8.0% 20.0%
Criticidad
Extremo
Alto
Moderado
Bajo
Muy alta
Alta
Moderada
Baja
Muy baja1
2
3
4
5
Magnitud del impacto
<$738 $738 - 2953 $2953-8859 $8859-22.148 >22.148
Inferior Menor Importante Mayor Superior
1 2,5 8 20 50
250
34. 34
Tratar los riesgos
Perfil de
riesgos
Apetito
De riesgo
Transferir
Reducir
Evitar
Aceptar
Transferir el
Riesgo a un tercero u
organización
Aceptar el
Riesgo sin tomar
Acciones adicionales
Aceptar el riesgo pero
Tomar algunas acciones
Para disminuir su
Probabilidad de
Ocurrencia o
Magnitud de impacto
Evitar el riesgo por el
Retiro o cesación del
Desarrollo o ejecución
De la actividad o
Función causante de
Este.
35. 35
Comunicar y consultar
La transferencia del conocimiento es el pilar de nuestros servicios, el cual se
logra con el trabajo conjunto vinculando el equipo de profesionales asignados
por la empresa a la ejecución del proyecto.
Interpretación de la información
Conocimiento
individual
Conocimiento
organizacional
Compartir información
36. 36
Importancia y Beneficios
La utilización de la NTC 5254 para la implementación de
un sistema de administración de riesgos, permite:
Control de costos.
Minimizar pérdidas.
Maximización oportunidades.
Gestión más flexible.
Nuevas habilidades de gestión.
Mejor aprovechamiento de las oportunidades.
Cada quien es responsable de administrar riesgos en su trabajo.
Los líderes de las organizaciones son los encargados de incentivar
al personal en el manejo de riesgos.
Aumento de responsabilidad.
Decisiones transparentes.
37. 37
Importancia y Beneficios
La utilización de la NTC 5254 para la implementación de un
sistema de administración de riesgos, permite:
Se tienen en cuenta los requisitos legales,
ambientales, sociales y económicos en el manejo del
riesgo.
La gestión del riesgo efectiva genera buena calidad
de la información.
El proceso de gestión es sistemático. Es un hábito.
Las acciones tomadas de gestión de riesgos integra
la planeación y la operación.
Se subsana las debilidades detectadas por las
entidades de control.