Sistema Efectivo de Análisis de Riesgo (SEAR)

Transcripción

1 Sistema Efectivo de Análisis de Riesgo (SEAR) Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE Taller a Personal Clave Lima, 21 de octubre 2015

2 Agenda Día 2 III IV Actividades de Control 3.1 Criterios para la identificación y documentación de controles 3.2 Clasificación de Controles Evaluación de Riesgos 4.1 Definición de la criticidad por probabilidad e impacto 4.2 Evaluación del riesgo inherente 4.2 Evaluación del riesgo residual V VI VII Tratamiento al Riesgo 5.1 Elaboración de estrategias de tratamiento al riesgo 5.2 Elaboración de planes de acción 5.3 Definición y documentación de KRI s Seguimiento y Monitoreo Continuo 6.1 Cronograma de seguimiento a los planes de acción 6.2 Evaluación del riesgo residual y actualización su calificación 6.3 Evaluación de efectividad de controles y actualización de controles 6.4 Evaluación de KRI s y modificación de estrategias de tratamiento al riesgo y planes de acción Actividades de Reporte del SEAR 7.1 Reporte del avance de la implementación del plan de gestión de riesgos a FONAFE 7.2 Autoevaluación del nivel de madurez del SEAR

3 III Actividades de Control

4 III. Actividades de Control La identificación y clasificación de controles consiste en la identificación de los esfuerzos realizados por la Empresa para procurar que los riesgos se encuentren dentro del nivel de apetito de riesgo. III. Actividades de Control 3.1 Criterios para la identificación y documentación de controles 3.2 Clasificación de Controles Identificación de las actividades que existen para controlar los riesgos identificados. Los controles se clasifican según la periodicidad en que se ejecutan y su grado de automatización. Página 4

5 III. Actividades de Control 3.1 Criterios para la identificación y documentación de controles Qué es un control? Es una actividad que tiene como finalidad reducir la criticidad de un riesgo al cual se encuentra asociado. Cómo documentarlo? Definir: Cuándo? Quién? Qué? Cómo? Evidencia Ejemplo de Control: Semanalmente, el Gerente de Administración, revisa y aprueba en la plataforma de pagos las transferencias a proveedores, para ello verifica que cada pago cuente con su factura, firma de autorización del usuario y sustento respectivo, de ser conforme, aprueba la transferencia en la plataforma de pagos, de lo contrario, solicita los cambios correspondientes. Página 5

6 III. Actividades de Control 3.2 Clasificación de controles Los controles se clasifican según: (i) la oportunidad en la que se ejecutan, y (ii) el grado de automatización. Tipos de controles Según oportunidad Preventivo Ayuda a evitar la ocurrencia de un riesgo Detectivo Permite identificar errores luego de ocurrido el riesgo. Manual Depende de la habilidad de una persona para prevenir o detectar los errores ocurridos. Según automatización Semi-Automático Depende de la habilidad de una persona para prevenir o detectar los errores ocurridos, utilizando información proveniente de un sistema. Automático Es realizado a través de un sistema de información. Página 6

7 IV Evaluación de Riesgos

8 IV. Evaluación de Riesgos La evaluación de riesgos tiene como objetivo determinar la criticidad de los riesgos a los que la Empresa está expuesta y, así, definir un tratamiento de riesgos adecuado, priorizando los esfuerzos hacia los riesgos más críticos. IV. Evaluación de Riesgos 4.1 Definición de la criticidad por probabilidad e impacto 4.2 Evaluación del riesgo inherente 4.3 Evaluación del riesgo residual 4 A A E E 3 M A A E Probabilidad 2 B M M A 1 B B B M Impacto Determinación de la criticidad de un riesgo evaluando el grado de posibilidad de que este ocurra y el nivel del daño que causaría. Evaluación de la criticidad de un riesgo en su estado natural, antes de aplicar controles. Evaluación de la criticidad del riesgo luego de haber aplicado el control. Determinación de la efectividad del control sobre el riesgo. Página 8

9 IV. Evaluación de Riesgos 4.1 Definición de la criticidad por probabilidad e impacto Probabilidad 4 A A E E 3 M A A E 2 B M M A 1 B B B M Impacto Los riesgos son evaluados en función de dos variables: 1 Probabilidad Frecuencia de ocurrencia del riesgo 2 Impacto Severidad del riesgo Para estandarizar el análisis de la criticidad de cada variable, se definen criterios generales de calificación, los cuales deben ser revisados y actualizados en el tiempo. La definición de estos criterios debe encontrarse alineada al nivel de apetito de riesgo. La evaluación de riesgos involucra la evaluación del riesgo inherente como la del riesgo residual. Riesgo inherente Riesgo residual Riesgo: Que se produzcan accidentes laborales debido a que el personal no cuenta con el EPP necesario. Página 9

10 IV. Evaluación de Riesgos 4.1 Definición de la criticidad por probabilidad e impacto Probabilidad 4 A A E E 3 M A A E 2 B M M A 1 B B B M Impacto El impacto es el nivel de exposición de la Empresa ante un riesgo. El impacto puede ser cuantitativo como cualitativo. Criterios Cuantitativo % Utilidad Antes de Impuestos Cualitativo Reclamos o Denuncias Objetivos Estratégicos Incumplimientos legales / regulatorios Reputación/ Imagen Página 10

11 IV. Evaluación de Riesgos 4.1 Definición de la criticidad por probabilidad e impacto Probabilidad 4 A A E E 3 M A A E 2 B M M A 1 B B B M Impacto La probabilidad de ocurrencia es el grado de posibilidad de que ocurra un riesgo en un período. Puede ser estimada en función a cuántas veces históricamente el riesgo ha ocurrido, o qué posibilidad existe de que ocurra en el futuro. Escala 1. Bajo 2. Medio 3. Alto 4. Extremo Probabilidad El evento no ha ocurrido pero podría presentarse al menos 1 vez en el año. El evento podría ocurrir entre 3 a 4 veces al año. El evento podría ocurrir de manera mensual. El evento podría ocurrir de manera semanal o diaria. Página 11

12 IV. Evaluación de Riesgos 4.1 Definición de la criticidad por probabilidad e impacto Probabilidad 4 A A E E 3 M A A E 2 B M M A 1 B B B M Impacto La criticidad de un riesgo es la medida que surge de la combinación de sus niveles de probabilidad e impacto. De acuerdo a la criticidad, la Empresa puede identificar los riesgos cuya respuesta es más urgente. Tipos de riesgos de acuerdo a su criticidad: Mapa de riesgos Riesgos bajos Riesgos medios 4 A A E E Riesgos altos Riesgos extremos 3 M M A E Uno de los objetivos de la Gestión de Riesgos es mantener la mayor parte de los riesgos en la zona inferior izquierda, donde son menos críticos. Probabilidad 2 B M M A 1 B B M A Impacto Página 12

13 IV. Evaluación de Riesgos 4.2 Evaluación del riesgo inherente Un riesgo inherente es aquel riesgo en su forma natural sin el efecto mitigante de los controles. Reflejan la exposición de la Empresa a la ocurrencia de un evento de impacto negativo. Si bien estos riesgos no pueden eliminarse por completo, es posible implementar controles que mitiguen la probabilidad de ocurrencia y/o el impacto del riesgo en la Empresa. 4 A A E 3 M M A E E Probabilidad 2 B M M A 1 B B M A Impacto Se debe documentar un mapa de riesgo con la evaluación del riesgo inherente Página 13

14 IV. Evaluación de Riesgos 4.3 Evaluación del riesgo residual Un riesgo residual es el riesgo restante luego de haber aplicado los controles. El nivel de riesgo al que está sometido una Empresa nunca puede erradicarse totalmente, es importante alinear el mismo a la tolerancia al riesgo definida por la Empresa. Riesgos Inherentes Evaluación considerando los controles disponibles Riesgos Residuales 4 A A E E 3 M M A E Probabilidad 2 B M M A 1 B B M A Impacto Se debe documentar un nuevo mapa de riesgo con la evaluación del riesgo residual Página 14

15 VTratamiento al Riesgo

16 V. Tratamiento al Riesgo El tratamiento que se le brinda a un riesgo tiene como propósito mantener la criticidad del riesgo dentro de los niveles de apetito al riesgo definidos por la Empresa. V. Tratamiento al Riesgo 5.1 Elaboración de estrategias de tratamiento al riesgo 5.2 Elaboración de planes de acción 5.3 Definición y documentación de KRI s Definición de estrategias de tratamiento a los riesgos identificados para mantenerlos dentro de los niveles establecidos en el apetito de riesgo. Establecimiento de planes de acción que materialicen las estrategias de tratamiento al riesgo. Seguimiento al desarrollo de las estrategias de respuesta al riesgo en base a métricas. Permite desarrollar un sistema de predicción y seguimiento del tratamiento de los riesgos Página 16

17 V. Tratamiento al Riesgo 5.1 Elaboración de estrategias de tratamiento al riesgo Existen diversas alternativas para administrar los riesgos de acuerdo a sus características. Una vez realizada la evaluación del riesgo residual y de acuerdo al apetito de riesgo definido, se debe escoger la opción de tratamiento a seguir. Estrategia Qué hacer? Cuándo? Evitar Dejar de realizar la actividad ligada al riesgo. El beneficio de implementar un control es menor al costo de la materialización del riesgo inherente. Reducir o Mitigar Transferir Retener Explotar Eliminar Disminuir la probabilidad de ocurrencia e impacto. Transferir a un tercero la administración del riesgo o enfrentar las pérdidas originadas. Conservar el riesgo en su presente nivel. No definir actividades de control para que el riesgo se materialice. Eliminar la causa raíz que ocasiona el riesgo. El beneficio de implementar un control es mayor al costo del riesgo inherente y la Empresa se encuentra en capacidad de realizar el tratamiento del riesgo. El beneficio de implementar un control es mayor al costo del riesgo inherente y un tercero tiene mayor capacidad para realizar el tratamiento del riesgo. El control (efectivo) no disminuye la criticidad y el riesgo debe permanecer monitoreado pues afecta a la Empresa. Se presenta una oportunidad al momento en que el riesgo se materializa; y el beneficio obtenido es mayor al costo. Es factible eliminar la causa que ocasiona el riesgo. El beneficio obtenido por esta acción es mayor al costo. Página 17

18 V. Tratamiento al Riesgo 5.2 Elaboración de planes de acción El plan de acción es la medida a implementarse para aplicar la estrategia de tratamiento definida sobre el riesgo identificado. Definición de Planes de acción Es necesario definir planes de acción cuando: El control que mitiga al riesgo se encuentra mal diseñado. El riesgo no cuenta con un control. El riesgo residual se encuentra por encima de los niveles de tolerancia al riesgo. Se debe definir los responsables de su implementación así como la fecha de inicio y fin. Necesidades de recursos y contingencias Para la realización de los planes de acción se debe considerar: Tiempo: si será necesario el pago de horas extras o si el personal se dará abasto para la tarea. Infraestructura: si se tendrá que adquirir nueva infraestructura o realizar modificaciones a la actual. Conocimiento técnico: si será necesario contratar a un tercero. La necesidad de estos recursos se debe plasmar en el presupuesto anual. Las actividades de control, resultados de las evaluaciones de riesgo, estrategias de tratamiento y planes de acción, deberán documentarse en una Matriz de Riesgos y Controles a nivel entidad y por proceso Página 18

19 V. Tratamiento al Riesgo 5.3 Definición y documentación de Key Risk Indicators - KRI s Los KRI s son métricas financieras u operacionales que ofrecen una base razonable para estimar la probabilidad de ocurrencia y severidad de uno o más eventos de riesgo. Qué riesgos requieren un KRI S? Riesgos residuales de severidad igual o mayor a Alto. Riesgos de acuerdo al criterio del dueño del proceso. Características Ser dinámico. No redundante. Medible. De fácil implementación. Auditable. Ejemplos de KRI S Tasa de rotación del personal. Número de accidentes ocupacionales. Número de ataques informáticos. Número de quejas de los clientes. El valor meta debe alinearse al apetito de riesgo. Base de datos de eventos de pérdidas La base de datos de eventos de pérdidas dará soporte a los KRI S. La cual debe actualizarse trimestralmente. Página 19

20 VI Seguimiento y Monitoreo Continuo

21 VI. Seguimiento y Monitoreo Continuo Las acciones e indicadores producto de las fases previas deben estar en constante seguimiento y monitoreo continuo, de modo que la gestión de los riesgos se desarrolle de acuerdo a lo establecido. VI. Seguimiento y Monitoreo Continuo 6.1 Cronograma de seguimiento a los planes de acción 6.2 Evaluación del riesgo residual y actualización de su calificación 6.3 Evaluación de efectividad de controles y actualización de controles 6.4 Evaluación de KRI s y modificación de estrategias de tratamiento al riesgo y planes de acción Los planes de acción definidos se consolidan y monitorean a través de un cronograma de implementación. Evaluación del riesgo residual para determinar si ha disminuido a causa del despliegue de planes de acción, en función a las estrategias de tratamiento. Evaluación de la pertinencia de los controles para disminuir el riesgo residual. Evaluación de KRI s para determinar la necesidad de modificar estrategias de tratamiento y planes de acción. Página 21

22 VI. Seguimiento y Monitoreo Continuo 6.1 Cronograma de seguimiento a los planes de acción Definición del Cronograma de implementación Los planes de acción definidos deben consolidarse y monitorearse a través de un cronograma de implementación utilizando la herramienta Gantt. Página 22

23 VI. Seguimiento y Monitoreo Continuo 6.2 Evaluación del riesgo residual y actualización de su calificación Se debe evaluar si las estrategias de tratamiento al riesgo implementadas tuvieron algún impacto en los riesgos residuales. De esta manera, se vuelven a clasificar los riesgos residuales con la criticidad actualizada. g Riesgos Residuales Estrategias de Tratamiento de Riesgos Reclasificación de Riesgos Residuales Página 23

24 VI. Seguimiento y Monitoreo Continuo 6.3 Evaluación de efectividad de controles y actualización de controles Efectividad de los controles El riesgo residual sirve como principal indicador para medir la efectividad de los controles, midiendo la variación entre el riesgo inherente y el residual. Calificación del control Fuerte Moderado Débil Probabilidad 2 niveles hacia abajo 1 nivel hacia abajo 0 nivel hacia abajo Impacto 2 niveles hacia la izquierda 1 nivel hacia la izquierda 0 nivel hacia la izquierda Página 24

25 VI. Seguimiento y Monitoreo Continuo 6.3 Evaluación de efectividad de controles y actualización de controles Criterios para definir el beneficio costo de los controles Beneficio Costo Cuantificación del beneficio de la implementación de un control al cumplimiento de los objetivos de la Empresa. Cuantificación del costo de la implementación de un control. La evaluación del beneficio costo debe esta alineado al apetito de riesgo de la Empresa. Criterios de diseño y efectividad Un control se considera deficiente en los siguientes casos: Deficiencia Diseño del control Operatividad del control Descripción Si el diseño del control no permite prevenir o detectar errores. Si el control en su estado actual no alcanza el objetivo para el que fue creado. Cuando un control apropiadamente diseñado no opera como está diseñado. Cuando el responsable de realizar el control no posee la autoridad y/o calificación necesaria para realizarlo. Página 25

26 VI. Seguimiento y Monitoreo Continuo 6.3 Evaluación de efectividad de controles y actualización de controles Para evaluar el diseño del control se deberá considerar lo siguiente: 1. Automatización Control Manual 1 Control Semi Automático 2 Control Automático 3 2. Objetivo El control no mitiga el riesgo 1 El control mitiga el riesgo parcialmente 2 El control mitiga al riesgo 3 3. Definición No se han definido actividad, periodicidad, evidencia y responsable. Se han definido parcialmente actividad, periodicidad, evidencia y responsable. Se han definido actividad, periodicidad, evidencia y responsable Se asigna un puntaje por cada característica: Calificación Diseño De 0 a 3 Mayor a 4 hasta 6 Mayor a 7 hasta 9 Débil Moderado Fuerte Para evaluar la operatividad del control se deberá considerar lo siguiente: Recorrido Pruebas de Efectividad Acciones realizadas para validar que la información sobre los controles a probar es correcta o requiere alguna revisión. Técnicas de verificación ocular Comparación Observación Técnica de verificación escrita Analizar Confirmación Conciliación Técnicas de verificación física Inspección Técnicas de verificación oral Indagación Entrevista Técnicas de verificación documental Comprobación Computación Rastreo Otras Revisión selectiva Página 26

27 VI. Seguimiento y Monitoreo Continuo 6.3 Evaluación de efectividad de controles y actualización de controles La calificación total del control se determinará de los resultados obtenidos en la evaluación del diseño y ejecución. Evaluación de Controles Diseño Ejecución Calificación Total Débil Débil Débil Débil Moderado Débil Débil Fuerte Débil Moderado Débil Débil Moderado Moderado Moderado Moderado Fuerte Moderado Fuerte Débil Débil Fuerte Moderado Moderado Fuerte Fuerte Fuerte Página 27

28 VI. Seguimiento y Monitoreo Continuo 6.4 Evaluación de KRI s y modificación de estrategias de tratamiento al riesgo y planes de acción Es importante monitorear que el valor de los KRI s se encuentre dentro de los niveles definidos. Sostener reuniones periódicas para monitorear el estado de los KRI s La clave está en el trabajo conjunto con los Dueños de Proceso Indagar los motivos que generan las posibles desviaciones. Identificar oportunidades de mejora en el diseño de los KRI s Identificar la necesidad de implementar nuevos KRI s Página 28

29 VII Actividades de Reporte del SEAR

30 VII. Actividades de Reporte del SEAR La totalidad de la gestión de riesgos de la Empresa debe ser monitoreada con el fin de realizar las modificaciones necesarias. De este modo, a través de los 3 componentes de evaluación se logra un monitoreo más objetivo de la gestión de riesgos: VII. Actividades de Reporte del SEAR 7.1 Reporte del avance de la implementación del plan de gestión de riesgos a FONAFE 7.2 Autoevaluación del nivel de madurez del SEAR 7.3 Evaluación del SEAR por FONAFE Presentación semestral del cumplimientos del Plan de Gestión de Riesgos a FONAFE. Presentación anual de los resultados del desempeño del SEAR a FONAFE. Evaluación anual del nivel de madurez del SEAR realizada por personal interno de FONAFE o un tercero. La evaluación anual del nivel de madurez del SEAR será realizada por FONAFE. Página 30

31 VII. Actividades de Reporte del SEAR 7.1 Reporte del avance de la implementación del plan de gestión de riesgos a FONAFE Quincenalmente, la función a cargo de la ejecución del SEAR (Nivel 2) deberá revisar en coordinación con los dueños de proceso (Nivel 3) el despliegue de las actividades contenidas en el Plan de Gestión de Riesgos, y semestralmente deberá presentar al Directorio (Nivel 1) el nivel de avance, ello deberá ser reportado a FONAFE. Página 31

32 VII. Actividades de Reporte del SEAR 7.2 Autoevaluación del nivel de madurez del SEAR Anualmente, la función a cargo de la ejecución del SEAR (Nivel 2) debe evaluar el nivel de madurez en gestión de riesgos. La aprobación de los resultados estará a cargo del Directorio (Nivel 1). El nivel de madurez se medirá utilizando el modelo desarrollado por EY. Componentes 1. Propósito 2. Recursos Humanos 3. Desarrollo de habilidades 4. Plan de carrera 5. Metodología 6. Herramientas y tecnología 7. Estructura organizacional 8. Operaciones 9. Soporte y mejora continua Niveles de madurez 1. Inicial / no existe 2. Propósito 3. En procesos de implementación 4. Establecido / implementado 5. Optimizado / Práctica líder Página 32

33 Sistema Efectivo de Análisis de Riesgo (SEAR) Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE Taller a Personal Clave Lima, 21 de octubre 2015