Enero 2012

Existen 29,100,000 citas en internet sobre la Administración Integral de Riesgos y 34,900,000 citas sobre la Gestión de Riesgos.

Existen 13,800,000 sobre definiciones de Administración de Riesgos y 29,900,000 sobre la Gestión de Riesgos.

No es un tema nuevo y existen muchos casos de éxito.

Ejemplo caso Santander:

El Modelo Corporativo del Grupo Santander se ha extendido e implantado en sus Sociedades más significativas, aplicando para ello una metodología común y homogeneizando los procedimientos de identificación de los procesos, riesgos y controles, basándose en el “Enterprise Risk Management Integrated Framework”.

Datos relevantes del temaDatos relevantes del tema

El esquema general del Modelo corporativo es claro y consistente, al asignar a la Dirección responsabilidades concretas sobre la estructura y eficacia de los procesos relacionados directa e indirectamente con la elaboración de la información financiera, así como los controles que sean necesarios para mitigar los riesgos inherentes a dichos procesos.

Otra singularidad del Modelo de Control Interno es la completa documentación que acompaña a los procesos, ya que recoge descripciones detalladas de transacciones desde su inicio hasta el registro a contabilidad, pasando por la autorización, registro y procesamiento de las mismas. Las Sociedades del Grupo han documentado sus actividades con el objetivo de cumplir con los siguientes requisitos:

• Identificar los procesos críticos vinculados de forma directa e indirecta a la generación de la información financiera.

• Identificar los riesgos, de acuerdo a la clasificación de Basilea, inherentes a los procesos que pudieran generar errores materiales

• Definir los controles establecidos para mitigar dichos riesgos.

Datos relevantes del temaDatos relevantes del tema

En términos aproximados, se han documentado en el Grupo más de 8.000 procesos y subprocesos relacionados directa o indirectamente con la generación de la información financiera, identificados hasta unos 18.000 eventos de riesgo que podrían originar un error en dicha información, así como 28.000 controles diseñados e implantados para prevenir los riesgos y mitigar sus efectos.

Fuente: Informe Anual de Gestión 2006

Datos relevantes del temaDatos relevantes del tema

Código de mejores prácticas en relación al riesgoCódigo de mejores prácticas en relación al riesgo

Principios Básicos de buen sistema de gobierno corporativo :

1. El trato igualitario y la protección de los intereses de todos los accionistas.2. El reconocimiento de la existencia de los terceros interesados en el buen desempeño, la

estabilidad y la permanencia en el tiempo de la sociedad.3. La emisión y revelación responsable de la información, así como la transparencia en la

administración.4. El aseguramiento de que exista la visión estratégica de la sociedad, así como la vigilancia y el

efectivo desempeño de la administración.5. El ejercicio de la responsabilidad fiduciaria del Consejo de Administración.6. La identificación, la administración, el control y la revelación de los riesgos a que está sujeta La identificación, la administración, el control y la revelación de los riesgos a que está sujeta

la sociedad.la sociedad.7. La declaración de principios éticos y de responsabilidad social empresarial.8. La prevención de operaciones ilícitas y conflictos de interés.9. La revelación de hechos indebidos y la protección a los informantes.10. El cumplimiento de las distintas regulaciones a que esté sujeta la sociedad.11. El dar certidumbre y confianza a los inversionistas y terceros interesados sobre la conducción

honesta y responsable de los negocios de la sociedad.

Obligaciones según código de mejores prácticasObligaciones según código de mejores prácticas

Práctica 7

Se recomienda que, además de las obligaciones y facultades que prevén las leyes específicas para cada sociedad, dentro de las funciones del Consejo de Administración

VII. Verificar que se observen los mecanismos establecidos para el control de los riesgos a que está sujeta la sociedad.

X. Asegurar el establecimiento de mecanismos para la identificación, análisis, administración, control y adecuada revelación de los riesgos.

Práctica 49 2/2

Es necesario que el Consejo de Administración este informado permanente por el Director General sobre los riesgos que se han identificado, el impacto cuantitativo que pueden tener en la sociedad, y las medidas que se están tomando para evitarlos o en su caso, administrarlos.

Consejo de Administración

Práctica 49 1/2

Se sugiere que se auxilie al Consejo de Administración en la revisión de las premisas de su sistema de control, verificando su alineación con el plan estratégico.

Los riesgos a que esta sujeta la sociedad juegan un papel fundamental en su estabilidad y permanencia, a tal grado que pueden poner en peligro la inversión de los accionistas y el beneficio de los terceros interesados, po lo que su identificación, evaluación, administración y control son muy importantes, al igual que los mecanismos para revelar sus efectos.

Consejo de Administración Consejo de Administración

Práctica 23

VII. Verificar que se observen los mecanismos establecidos para el control de los riesgos a que está sujeta la sociedad.

Práctica 45

V. Evaluar los mecanismos que presente la Dirección General para la identificación, análisis, administración y control de los riesgos a que esté sujeta la sociedad y dar su opinión al Consejo de Administración.

VI. Evaluar los criterios que presente el Director General para la revelación de los riesgos a que está sujeta la sociedad y dar su opinión al Consejo de Administración.

Auditoria Finanzas y PlaneaciónPráctica 50 y 51

Se recomienda que se auxilie al Consejo de Administración en la evaluación de los mecanismos para la identificación, análisis, identificación, análisis, administración y control de los administración y control de los riesgos riesgos a los que esté sujeta la sociedad, así como de los criterios criterios para su revelaciónpara su revelación, que le presente a su aprobación la Dirección General.

Se recomienda que el Director General presente al Consejo de Administración, en cada una de las sesiones del año, un informe sobre , un informe sobre la situación que guarda cada uno la situación que guarda cada uno de los riesgos identificadosde los riesgos identificados.

Consejo de Administración

Obligaciones según código de mejores prácticasObligaciones según código de mejores prácticas

Definición y objetivoDefinición y objetivo

Definición

Conjunto de objetivos, políticas, procedimientos y acciones que se llevan a cabo para identificar, medir, vigilar, limitar, controlar, informar y revelar los distintos riesgos a que se encuentran expuestas las Instituciones, así como sus Subsidiarias Financieras. (CNBV)

Es el proceso de administrar la severidad de eventos adversos dentro de los límites establecidos por la institución.

Objetivo:

El objetivo de la administración de riesgo se refiere a la prevención de problemas potenciales, como a la detección y corrección, no eliminando el riesgo sino administrarlo, manteniéndolo dentro de la estrategia y las políticas definidas por la institución para minimizar la volatilidad de los resultados.

Componentes metodológicos de una buena Administración de Riesgos

Componentes metodológicos de una buena Administración de Riesgos

Estrategias,Límites,Políticas

Estructura Organizacional,

y Recursos Humanos

SolucionesTecnológicas

AR

Procesos Clave AR

Arquitectura de datos e Información

AR

Metodologías de Valuacióny Medición

Infraestructura Administración de Riesgos (AR)

Gobierno Corporativo y Controles Internos

IdentificaciónIdentificación MediciónMediciónMonitoreoMonitoreo

Dia

gn

óst

ico

Dia

gn

óst

ico

V

alid

ac

ión

Imp

lem

enta

ció

nD

ise

ño

CREDITO LIQUIDEZ

MERCADO OPERATIVO

ESTRATEGICO

AdministraciónAdministración

CAPITAL

Tipos de RiesgoTipos de Riesgo

Categorías de RiesgosCategorías de Riesgos

Riesgo Financiero

Riesgo de crédito

Riesgo de mercado

Riesgo de liquidez

Riesgo Operacional

Riesgo tecnológico

Riesgo de personas

Riesgo de operación

Riesgo de fraude externo

Riesgo de fraude interno

Riesgo de seguridad

Riesgo Externo

Riesgo político

Riesgo macroeconómico

Riesgo del sistema financiero

Riesgo de catástrofes naturales

Riesgo de seguridad

Tipos de estrategias de gestión de riesgoTipos de estrategias de gestión de riesgo

Tipos de estrategia Acciones

Evitar

Controlar

Financiar

Transferir

SubcontratarSalir o Evitar

PrevenirMitigar

ProvisionarAsegurar

Coberturas

Existen distintos tipos de estrategias que pueden ser utilizadas para gestionar los eventos de riesgo, las cuales deben ser definidas y ser consistentes con la estrategia y objetivos de la institución.

Para determinar qué tipo de estrategia es la más conveniente, hay que realizar un análisis de factores de probabilidad de ocurrencia y costo, como se ejemplifica en el siguiente diagrama.

Tipos de estrategias de gestión de riesgoTipos de estrategias de gestión de riesgo

BA

JO

Co

sto

ALTO

BAJA Probabilidad de ocurrencia ALTA

Modelo de Estructura Organizacional para la adecuada instrumentación de la gestión integral de riesgos.

Estructura Organizacional y Gobierno Corporativo Estructura Organizacional y Gobierno Corporativo

Proceso de gestión de riesgoProceso de gestión de riesgo

Plataforma tecnológica (PT)

Servicios a Autoridades

Mercado

Captación

Empresa tendrá una seguridad razonable de lograr sus objetivos

Estr

ateg

ias

Objetivos de Empresa

Plan

Est

raté

gico

Servicios a Clientes

Jurídico

Comunicación

Innovación y Calidad

Planeación y Finanzas

Secretaria General

Auditoría Interna

Administración de Riesgos

Estratégicos

Cumplimiento

Financieros

Operacionales

Cobertura

Logro de los objetivos de Empresa

Riesgos Monitoreo

Comité de Riesgos

Comité de Auditoría

Consejo de Administra-ción

CUM

PLIM

IENT

O

Enfoque

ENFOQUE COORDINADO DE RIESGOS

Alineación con los objetivos de Empresa

Dirección Ejecutiva

Contraloría Interna

Traspasos

Ope

raci

ones

y U

nida

des

de N

egoc

io Nuevos productos

Tecnología y Operación

Centros de servicios

Canales deAtención

Cartera

Func

ione

s de

Sop

orte

Fun

cion

es d

e Ri

esgo

Cop

rora

tivo

Otras de Apoyo

Evaluar

Mejorar

Moni-torear

Gobierno y Organización

Estrategia de Administración de Riesgos

Reporte y Comunicación

Herramientas y Tecnología

Cultura y Capacitación

Otros servicios

DESEMPEÑO

Estratégicos Operacionales Financieros Cumplimiento

Mapa de RiesgosMapa de Riesgos

Elementos clave de una administración efectiva de riesgosElementos clave de una administración efectiva de riesgos

Evaluar

Mejorar

Monitorear

La Administración evalúa periódicamente el perfil de riesgos a través de la evaluación de las actividades de riesgos y controles integradas en los procesos de negocio

La Administración evalúa periódicamente el perfil de riesgos a través de la evaluación de las actividades de riesgos y controles integradas en los procesos de negocio

La Administración ejecutiva junto con las áreas de negocio y las funciones de soporte implementan las mejoras direccionadas a la administración de riesgos y controles clave

La Administración ejecutiva junto con las áreas de negocio y las funciones de soporte implementan las mejoras direccionadas a la administración de riesgos y controles clave

Las funciones de aseguramiento realizan el monitoreo de las actividades para asegurar que los procesos están operando como fueron diseñados, que los controles son efectivos y los riesgos están administrados

Las funciones de aseguramiento realizan el monitoreo de las actividades para asegurar que los procesos están operando como fueron diseñados, que los controles son efectivos y los riesgos están administrados

Actividades de administración de riesgos

Las actividades de administración de riesgo deben estar alineadas e integradas en los procesos de negocio

Elementos clave de una administración efectiva de riesgosElementos clave de una administración efectiva de riesgos

Los componentes de administración de riesgo proveen un soporte funcional para coordinar y sostener la efectiva administración de las actividades de riesgo

Patrocino de la alta dirección Administración de riesgos (AR) / Comité de

Riesgos Dueños de riesgos y responsables Consejo de Administración

Patrocino de la alta dirección Administración de riesgos (AR) / Comité de

Riesgos Dueños de riesgos y responsables Consejo de Administración

Herramientas de soporte (Workflow) Repositorios de datos Sistemas de alerta temprana Herramientas de análisis y modelación

Herramientas de soporte (Workflow) Repositorios de datos Sistemas de alerta temprana Herramientas de análisis y modelación

Reportes (externos e internos) Procedimientos de escalamiento Administración de crisis Comunicación con interesados

Reportes (externos e internos) Procedimientos de escalamiento Administración de crisis Comunicación con interesados

Medidas y recompensas Conducta (Integridad / Ética) Identificación de habilidades Capacitación

Medidas y recompensas Conducta (Integridad / Ética) Identificación de habilidades Capacitación

Alineados con los objetivos del negocio Apetito y tolerancia al riesgo Politicas y procedimientos de AR Lenguaje de riesgos

Alineados con los objetivos del negocio Apetito y tolerancia al riesgo Politicas y procedimientos de AR Lenguaje de riesgos

Gobierno y Organización

Estrategia de Administración

de Riesgos

Reporte y Comunicación

Herramientoas y Tecnología

Cultura y Capacidad

Componentes de la administración de riesgos

Incrementando la eficiencia y la efectividad del Control InternoIncrementando la eficiencia y la efectividad del Control Interno

• Determinar el alcance de la evaluación de riesgos

• Desarrollar el entendimiento de los riesgos y alinearlos con las iniciativas y estrategias clave del Instituto

• Priorizar los riesgos y procesos

• Evaluar en función a la importancia de los controles del Instituto, especialmente los controles de monitoreo, con un enfoque mayor sobre tecnología de información, control interno, prevención de fraudes y generación de infromación financiera

• ¿Qué probar?• ¿Cómo probar?• ¿Quién probará?• ¿Cuándo probará?• Reportar los

hallazgos y sugerencias por riesgo y proceso

• Proporcionar el reporte completo a la Dirección General y al Comité de auditoría

• RacionalizarEliminar del programa los controles redundantes e irrelevantes

• Optimizar Seleccionar los

controles mas eficientes a probar antes que otros que mitigan el mismo riesgo

• Mejorar Modificar, re-

diseñar o hacer re-ingeniería a los procesos subyacentes a la estructura de control

• Identificar las cuentas de alto riesgo, con sus procesos relacionados y su localización

• Ligar los controles a nivel entidad y las cuentas de riesgo moderado y bajo, con los procesos relacionados

Paso 5

Control y Proceso “ROM”

Paso 4

Programa de pruebas

Paso 3

Revisión de los controles

Paso 2

Evaluación de los controles a

nivel entidad

Paso 1

Evaluación de riesgos

Evaluación de RiesgosEvaluación de Riesgos

Administración(Ejecutiva y Unidades de

Negocio)

Iniciativas clave y

Cambios en el Instituto

Fraudes

Eventos externos del

sector

Auditor externo Co

noci

mie

nto

y m

anej

o de

ries

gos

ante

riore

s y

resu

ltado

s de

aud

itoría

Entradas

Identificar y evaluar riesgos

Priorizar riesgos

Enlazar los procesos de negocio

Evaluar la administración y el

control de las actividades

Alto

Moderado

Bajo

Areas Centrales

Centros de Servicios

Funciones de soporte

Entrevistas

Talleres

Encuestas

Banca Institucional

Ope

raci

ones

y U

nida

des

de N

egoc

io

Banca Comercial

Tecnología y Operación

Centros de servicios

Canales deAtención

Cartera

Servicios a Clientes

Jurídico

Relaciones Institucuiona

les

Innovación y Calidad

Planeación y Finanzas

Func

ione

s de

Sop

orte

Otras de Apoyo

Barreras en la implementación de la Administración de RiesgosBarreras en la implementación de la Administración de Riesgos

25%

10%

10%5%5%

20%

5%

10%

10%

Grado de preparación delequipo líder

Apoyo de la alta dirección

Desarrollo del plan deimplementación

Diagnóstico de la situaciónactual

Visión de la administración deriesgos corporativa

Desarrollo de de capacidades

Plan de implementación

Desarrollo y puesta en marchade la administración del cambio

Monitoreo

Circular Única Bancaria (CUB)Circular Única Bancaria (CUB)

Las Instituciones, para la Administración Integral de Riesgos deberán: I. Definir sus objetivos sobre la exposición al riesgo y desarrollar políticas y procedimientos para la administración de los distintos tipos de riesgo a los que se encuentran expuestas, sean éstos cuantificables o no. II. Delimitar claramente las diferentes funciones, actividades y responsabilidades en materia de Administración Integral de Riesgos entre sus distintos órganos sociales, unidades administrativas y personal de operación y de apoyo, en los términos del presente capítulo.

III. Identificar, medir, vigilar, limitar, controlar, informar y revelar los riesgos cuantificables a los que están expuestas, considerando, en lo conducente, los riesgos no cuantificables.

IV. Agrupar, considerando a sus Subsidiarias Financieras, los distintos tipos de riesgo a que se encuentran expuestas, por Unidad de Negocio o por Factor de Riesgo, causa u origen de éstos. Adicionalmente, los agruparán de forma global, incorporando para ello los riesgos de todas las Unidades de Negocio o los Factores de Riesgo, causa u origen de los mismos.

Circular Única Bancaria (CUB)Circular Única Bancaria (CUB)

ConclusiónConclusión

Es importante el que las Uniones de Crédito desarrollen e implementen mecanismos de gestión de riesgo por varias razones, entre las que están:

Poder mantener operaciones estables en escenarios de crecimiento acelerado.

Garantizar su viabilidad financiera a través de una operación más eficiente.

Prevenir o mitigar los efectos negativos de los eventos de riesgo.

Permite tener mejor información de posibles efectos, tanto positivos como negativos de las decisiones.

El éxito no será únicamente el resultado financiero presente y proyectado, sino la capacidad y alcance de un sistema de gestión de riesgo, que les permita prepararse para los riesgos potenciales futuros.

ConclusiónConclusiónLa eficacia de las responsabilidades de vigilancia del Consejo y las certificaciones de los ejecutivos sobre la estructura de control interno está típicamente comprometida por:

• Ligas entre las actividades de gobierno corporativo y las de control.• Un marco de referencia de control documentado.• Estructura de control interno existente que cubra controles de revelación.• Visión sobre la eficacia de actividades de control.

Necesidad de un programa de cumplimiento e infraestructura, una medida y monitoreo de eficacia y alineación entre gobierno corporativo y actividades de control de unidades/funcionales del negocio que provea una base para la certificación y afirmación de la administración.

El riesgo se encuentra directamente El riesgo se encuentra directamente relacionado con las actividades de controlrelacionado con las actividades de control

Gobierno

Actividades de Control

Vinculo ausente:Programa de Cumplimiento

& Infraestructura

Catálogo de RiesgosCatálogo de Riesgos

Catálogo de RiesgosCatálogo de Riesgos

Catálogo de RiesgosCatálogo de Riesgos

Catálogo de RiesgosCatálogo de Riesgos

Catálogo de RiesgosCatálogo de Riesgos

Catálogo de RiesgosCatálogo de Riesgos

Catálogo de RiesgosCatálogo de Riesgos

Catálogo de RiesgosCatálogo de Riesgos

Muchas gracias

JOSE ROCHA VACIOSOCIO DIRECTOR

www.rochamendoza.com.mx+ 52 (55) 5564 8421