Sesión 2Sistema de gestión integral del riesgo
Agenda
• Administración integral de los riesgos• Funciones y responsabilidades.• Determinación de políticas.• Implementación de controles.• Monitoreo de los riesgos.• KRI’s de los riesgos .
ADMINISTRACIÓN INTEGRAL DE LOS RIESGOS
COSO
“Un proceso efectuado por la junta directiva, la gerencia y el resto del personal, aplicado en forma de estrategias y a lo largo de toda la organización, diseñado para identificar potenciales eventos que puedan afectar la organización y manejar los riesgos dentro de su apetito de riesgo con el fin de proveer seguridad razonable en relación al logro de los objetivos de la organización”.
GESTIÓN INTEGRAL DE RIESGOS
SILOS INTEGRAL
RCRO
RLRM
RLAFT
Logro de los Objetivos del
Negocio
GESTIÓN INTEGRAL DE RIESGOS
Objetivos Estratégicos Iniciativas Administración de
Riesgos
Planeación Estratégica
Gestión Integral del
Riesgo
Fuente: Alarys
FOCOS DE GESTIÓN DE COSO ERM 2017
Fuente: COSO ERM
• El gobierno fija el tono de la organización
• La cultura se refiere a los valores éticos,
conductas deseadas y el entendimiento del
riesgo en la organización
• El apetito al riesgo se establece y se alinea
con la estrategia;• Los objetivos de
negocio:- Ponen en práctica la
estrategia - Sirven como base para
identificar, evaluar y responder al riesgo.
• Identificación y evaluación de los
riesgos que pueden impactar el negocio
• Priorización por su gravedad y en el
contexto del apetito al riesgo.
• Determinación de los riesgos que ha asumido
y decide cómo responderá ante estos.
• Se revisan qué tan bien están funcionando los componentes del ERM
con el tiempo y, • Se establecen que
cambios sustanciales, qué ajustes o
actualizaciones son necesarios.
El ERM 2017 se alimenta de un proceso en el que obtiene y comparte
información requerida, tanto de fuentes internas como externas, que fluya
hacia arriba, hacia abajo y a lo largo de la organización
a) Tener un relacionamiento más estrecho entre las diferentes áreas de la compañía.
b) Apoyar desde la gestión del riesgo a Órgano de administración de la organización.
c) Permitir a la dirección de la empresa tener una visión global del riesgo, contribuyendo en el logro de sus objetivos.
Cuestionario 1
La gestión integral de riesgos genera como principal beneficio
a) Tener un relacionamiento más estrecho entre las diferentes áreas de la compañía.
b) Apoyar desde la gestión del riesgo a la Órgano de Administración de la organización.
c) Permitir a la dirección de la empresa tener una visión global del riesgo, contribuyendo en el logro de sus objetivos.
Respuesta Cuestionario 1
La gestión integral de riesgos genera como principal beneficio
FUNCIONES Y RESPONSABILIDADES
TRES LÍNEAS DE DEFENSA
Áreas con funciones de: riesgo, calidad y cumplimiento
Áreas operativas y de negocio de la organización
Colaborar con el análisis de riesgos y controles en pro del cumplimiento de
los objetivos
Evaluar e implementar controles para gestión del
riesgo
Áreas con funciones de: riesgo, calidad y cumplimiento
Brindar aseguramiento y opiniones sobre la
adecuación y la eficacia delgobierno, la gestión de
riesgos y el control interno
TRES LÍNEAS DE DEFENSA
GOBIERNO ALTA DIRECCIÓN
• Ejercer liderazgo y supervisión• Ejecutar las estrategias.• Brindar respaldo, guía y control• Brindar aseguramiento objetivo y
asesoramiento.• Establecer y mantener cultura de
ética.• Establecer comités de gobierno.• Aprobar políticas diseñadas por
funciones de riesgo, calidad, control y cumplimiento.
• Alcanzar objetivos de la organización• Tomar las decisiones y emprender
acciones en pro del cumplimiento de los objetivos.
• Establecer y poner en funcionamiento de los controles.
• Mantener un equilibrio entre la operatividad, el cumplimiento de los controles y el cumplimiento de los objetivos.
• Apoyar en el diseño y desarrollo de las políticas de gestión de riesgos.
DETERMINACIÓN DE POLÍTICAS
DETERMINACIÓN DE POLÍTICAS
Determinar políticas
Mitigación del Riesgo
Transferencia del Riesgo
Aceptación del Riesgo
Identificación de Riesgos
Evaluación de los Riesgos
DETERMINACIÓN DE POLÍTICAS
Aplicables a las tres líneas de defensa
Objetivo definido
Medibles
Comprensibles
Monitoreadas por las áreas de riesgos
Evaluadas por Auditoria Interna y Externa
Supervisadas por el Órgano de Gobierno y
Alta Dirección
Plan de Trabajo
Comités y reportes
Planeación de Auditoría
Cuestionario 2
El modelo de las tres líneas de defensa ofrece una base para lograr claridad y eficacia al organizar las actividades y los recursos de gestión de riesgos y control.
Verdadero
Falso
Cuestionario 2
El modelo de las tres líneas de defensa ofrece una base para lograr claridad y eficacia al organizar las actividades y los recursos de gestión de riesgos y control.
Verdadero
Falso
En la medida que permite establecer funciones y por ende responsabilidades para gestionar el riesgo y el control de una organización.
IMPLEMENTACIÓN DE CONTROLES
¿Qué es un control?Toda aquella medida que modifica el nivel de riesgo (Inherente a Residual)
Política, procedimiento, actividad, proceso
Medible, práctico y sustentable
CONTROL
¿QUE TIENE LA ORGANIZACIÓN?
•• Gobierno Corporativo•• A través de los procesos y la operación del día a día
¿ QUE NECESITO PARA MITIGAR EL RIESGO?
•• Analizar el evento de riesgo para determinar la acción correcta
¿QUE EFECTO QUIERO EN EL EVENTO RIESGO?
•• Prevenir o mitigar el efecto•• Aceptar, mitigar o trasladar
Un control se orienta a una causa
Un control puede mitigar varias causas
Inventario y documentación de
controles
RIESGOS Y CONTROLES
Eventos poco predecibles para la organización que
representan altos impactos económicos y operacionales
Eventos generalmente predecibles para la
organización alto o bajo impacto
RIESGOS Y CONTROLES
Forma efectiva: Seguros
Cuestionario 3
¿Cuáles de los siguientes no es un control?
a. Servicios de energía eléctrica.b. Generador alterno de energía.c. Mantenimiento preventivo.d. Control de acceso.
Cuestionario 3
¿Cuáles de los siguientes no es un control?
a. Servicios de energía eléctrica.b. Generador de energía.c. Mantenimiento preventivo.d. Control de acceso.
Cuestionario 4
a) Define un plan de continuidad del negocio y contrata un seguro que pueda cubrir los daños materiales y responsabilidad civil como mitigación del impacto.
b) Implementa controles para disminuir la posibilidad de ocurrencia.c) Acepta el riesgo y no gestiona controles.d) Ninguna de las anteriores.
Ante un evento de riesgo a causa de factores externos o desastres naturales que puedan afectar a su empresa y empleados usted:
Cuestionario 4
a) Define un plan de continuidad del negocio y contrata un seguro que pueda cubrir los daños materiales y responsabilidad civil como mitigación del impacto.
b) Implementa controles para disminuir la posibilidad de ocurrencia.c) Acepta el riesgo y no gestiona controles.d) Ninguna de las anteriores.
Probabilidad baja o media, alto impacto y pérdidas económicas significativas implica: gestionar el riesgo en la medida de lo posible
y mitigar en la mayor proporción el impacto
Aspecto importante: EVALUAR COSTO-BENEFICIO DE LA MEDIDA DE CONTROL A
IMPLEMENTAR
Ante un evento de riesgo a causa de factores externos o desastres naturales que puedan afectar a su empresa y empleados usted:
MONITOREO DE LOS RIESGOS
SEGUIMIENTO A LOS RIESGOS
KRIsEs una variable cuyo valor arroja información sobre alguno de los componentes de un
tipo de riesgo en particular
Tipo de Indicadores
Métrica
Cuantitativos Cualitativos
Relación al evento de
Riesgo
Causa Efecto
Mide la consecuencia del evento del riesgo
Mide la causa del evento de
riesgo
a) Número de procesos documentados vs número de proceso de la organización.
b) Número de llamadas atendidas satisfactoriamente vs llamadas recibidas.
c) Pérdidas económicas por reclamaciones de clientes asociadas a fraudes.
Cuestionario 5
Cuál de los siguientes NO es un indicador por causa
a) Número de procesos documentados vs número de proceso de la organización.
b) Número de llamadas atendidas satisfactoriamente vs llamadas recibidas.
c) Pérdidas económicas por reclamaciones de clientes asociadas a fraudes.
Cuestionario 5
Cual de los siguientes NO es un indicadores por causa
Causa: No documentación
Causa: Desatención en llamadas
Efecto: Evolución de Impacto económico
¡Gracias!Diana Marcela VargasCISA- ABC y ALMCm. +57 (314) 6300074www.riesgoscero.com
BIBLIOGRAFÍA
• IIA - DOCUMENTO DE CONSULTA DEL IIA Tres líneas de defensa• COSO ERM• ALARYS• ISACA org• ISO 31000
Top Related