sistema efectivo de análisis de riesgo (sear) · pdf file4.1 definición de la...

Sistema Efectivo de Análisis de Riesgo (SEAR)Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE

Taller a Personal Clave

Lima, 21 de octubre 2015

Agenda – Día 2Actividades de ControlIII

IV Evaluación de Riesgos

V Tratamiento al Riesgo

VI Seguimiento y Monitoreo Continuo

VII Actividades de Reporte del SEAR

3.1 Criterios para la identificación y documentación de controles3.2 Clasificación de Controles

4.1 Definición de la criticidad por probabilidad e impacto4.2 Evaluación del riesgo inherente4.2 Evaluación del riesgo residual

5.1 Elaboración de estrategias de tratamiento al riesgo5.2 Elaboración de planes de acción5.3 Definición y documentación de KRI’s

6.1 Cronograma de seguimiento a los planes de acción6.2 Evaluación del riesgo residual y actualización su calificación6.3 Evaluación de efectividad de controles y actualización de controles6.4 Evaluación de KRI’s y modificación de estrategias de tratamiento al riesgo y planes de acción

7.1 Reporte del avance de la implementación del plan de gestión de riesgos a FONAFE7.2 Autoevaluación del nivel de madurez del SEAR

III Actividades de Control

III. Actividades de Control

La identificación y clasificación de controles consiste en la identificación de los esfuerzos realizados por la Empresa para procurar que los riesgos se encuentren dentro del nivel de apetito de riesgo.


3.1 Criterios para la identificación y documentación de controles

Identificación de las actividades que existen para controlar los riesgos identificados.

3.2 Clasificación de Controles

Los controles se clasifican según la periodicidad en que se ejecutan y su grado de automatización.

3.1 Criterios para la identificación y documentación de controles

¿Qué es un control?

Es una actividad que tiene como finalidad reducir la criticidad de un riesgo al cual se encuentra asociado.

Ejemplo de Control:

“Semanalmente, el Gerente de Administración, revisa y aprueba en la plataforma de pagos las transferencias a proveedores, para ello verifica que cada pago cuente con su factura, firma de autorización del usuario y sustento respectivo, de ser conforme, aprueba la transferencia en la plataforma de pagos, de lo contrario, solicita los cambios correspondientes”.


¿Cuándo?

1¿Quién?

2¿Qué?

3¿Cómo?

4Evidencia

5

¿Cómo documentarlo?Definir:

3.2 Clasificación de controlesLos controles se clasifican según: (i) la oportunidad en la que se ejecutan, y (ii) el grado de automatización.

Según automatización


Tipos de controles

Según oportunidad

PreventivoAyuda a evitar la ocurrencia de un riesgo

DetectivoPermite identificar errores luego de ocurrido el riesgo.

ManualDepende de la habilidad de una persona para prevenir o detectar los errores ocurridos.

Semi-AutomáticoDepende de la habilidad de una persona para prevenir o detectar los errores ocurridos, utilizando información proveniente de un sistema.

AutomáticoEs realizado a través de un sistema de información.

IV Evaluación de Riesgos

IV. Evaluación de Riesgos

La evaluación de riesgos tiene como objetivo determinar la criticidad de los riesgos a los que la Empresa está expuesta y, así, definir un tratamiento de riesgos adecuado, priorizando los esfuerzos hacia los riesgos más críticos.


4.1 Definición de la criticidad por probabilidad e impacto

Determinación de la criticidad de un riesgo evaluando el grado de posibilidad de que este ocurra y el nivel del daño que causaría.

4.2 Evaluación del riesgo inherente

Evaluación de la criticidad de un riesgo en su estado natural, antes de aplicar controles.

4.3 Evaluación del riesgo residual

Evaluación de la criticidad del riesgo luego de haber aplicado el control. Determinación de la efectividad del control sobre el riesgo.

4 A A E

E

3 M A A

E

Prob

abili

dad

2 B M M

A

1 B B B

M

1 2 3 4 Impacto

ImpactoSeveridad del riesgo2

4.1 Definición de la criticidad por probabilidad e impacto

Los riesgos son evaluados en función de dos variables:

La definición de estos criterios debe encontrarse alineada al nivel de apetito de riesgo.

4 A A E

E

3 M A A

E

Prob

abili

dad

2 B M M

A

1 B B B

M

1 2 3 4 Impacto

Para estandarizar el análisis de la criticidad de cada variable, se definen criterios generales de calificación, los cuales deben ser revisados y actualizados en el tiempo.


ProbabilidadFrecuencia de ocurrencia del riesgo1

La evaluación de riesgos involucra la evaluación del riesgo inherente como la del riesgo residual.

Riesgo inherente Riesgo residual

Riesgo:

Que se produzcan accidentes laborales debido a que el personal no cuenta con el EPP necesario.

CriteriosCuantitativo

% Utilidad Antes de Impuestos

Cualitativo

Reclamos o Denuncias

Objetivos Estratégicos

Incumplimientos legales / regulatorios

Reputación/ Imagen

4 A A E

E

3 M A A

E

Prob

abili

dad

2 B M M

A

1 B B B

M

1 2 3 4 Impacto

El impacto es el nivel de exposición de la Empresa ante un riesgo. El impacto puede ser cuantitativo como cualitativo.

4.1 Definición de la criticidad por probabilidad e impactoIV. Evaluación de Riesgos

La probabilidad de ocurrencia es el grado de posibilidad de que ocurra un riesgo en un período. Puede ser estimada en función a cuántas veces históricamente el riesgo ha ocurrido, o qué posibilidad existe de que ocurra en el futuro.

Escala Probabilidad

1. Bajo El evento no ha ocurrido pero podría presentarse al menos 1 vez en el año.

2. Medio El evento podría ocurrir entre 3 a 4 veces al año.

3. Alto El evento podría ocurrir de manera mensual.

4. Extremo El evento podría ocurrir de manera semanal o diaria.

4 A A E

E

3 M A A

E

Prob

abili

dad

2 B M M

A

1 B B B

M

1 2 3 4 Impacto


La criticidad de un riesgo es la medida que surge de la combinación de sus niveles de probabilidad e impacto. De acuerdo a la criticidad, la Empresa puede identificar los riesgos cuya respuesta es más urgente.

Tipos de riesgos de acuerdo a su criticidad:

► Riesgos bajos► Riesgos medios► Riesgos altos► Riesgos extremos

4 A A EE

3 M M A E

Prob

abilid

ad2 B M M A

1 B B M A

1 2 3 4Impacto

Mapa de riesgos

Uno de los objetivos de la Gestión de Riesgos es mantener la mayor parte de los riesgos en la zona inferior izquierda, donde son menos críticos.

4 A A E

E

3 M A A

E

Prob

abili

dad

2 B M M

A

1 B B B

M

1 2 3 4 Impacto


4.2 Evaluación del riesgo inherente

Un riesgo inherente es aquel riesgo en su forma natural sin el efecto mitigante de los controles.

Reflejan la exposición de la Empresa a la ocurrencia de un evento de impacto negativo.

Si bien estos riesgos no pueden eliminarse por completo, es posible implementar controles que mitiguen la probabilidad de ocurrencia y/o el impacto del riesgo en la Empresa.

4 A A EE

3 M M A E

Probabilidad

2 B M M A

1 B B M A

1 2 3 4Impacto

Se debe documentar un mapa de riesgo con la evaluación del riesgo inherente


4.3 Evaluación del riesgo residual

El nivel de riesgo al que está sometido una Empresa nunca puede erradicarse totalmente, es importante alinear el mismo a la tolerancia al riesgo definida por la Empresa.

4 A A E E

3 M M A E

Prob

abilid

ad

2 B M M A

1 B B M A

1 2 3 4Impacto

Se debe documentar un nuevo mapa de riesgo con la evaluación del riesgo residual

IV. Evaluación de RiesgosUn riesgo residual es el riesgo restante luego de haber aplicado los controles.

RiesgosInherentes

Evaluaciónconsiderando los

controles disponibles

RiesgosResiduales

V Tratamiento al Riesgo

V. Tratamiento al Riesgo

El tratamiento que se le brinda a un riesgo tiene como propósito mantener la criticidad del riesgo dentro de los niveles de apetito al riesgo definidos por la Empresa.

V. Tratamiento al Riesgo

5.1 Elaboración de estrategias de tratamiento al riesgo

Definición de estrategias de tratamiento a los riesgos identificados para mantenerlos dentro de los niveles establecidos en el apetito de riesgo.

5.2 Elaboración de planes de acción

Establecimiento de planes de acción que materialicen las estrategias de tratamiento al riesgo.

5.3 Definición y documentación de KRI’s

Seguimiento al desarrollo de las estrategias de respuesta al riesgo en base a métricas.Permite desarrollar un sistema de predicción y seguimiento del tratamiento de los riesgos

V. Tratamiento al Riesgo5.1 Elaboración de estrategias de tratamiento al riesgo

Existen diversas alternativas para administrar los riesgos de acuerdo a sus características.Una vez realizada la evaluación del riesgo residual y de acuerdo al apetito de riesgo definido, se debe escoger la opción de tratamiento a seguir.

Estrategia ¿Qué hacer? ¿Cuándo?

Evitar Dejar de realizar la actividad ligada al riesgo.

El beneficio de implementar un control es menor al costo de la materialización del riesgo inherente.

Reducir o Mitigar

Disminuir la probabilidad de ocurrencia e impacto.

El beneficio de implementar un control es mayor al costo del riesgo inherente y la Empresa se encuentra en capacidad de realizar el tratamiento del riesgo.

TransferirTransferir a un tercero la administración del riesgo o enfrentar las pérdidas originadas.

El beneficio de implementar un control es mayor al costo del riesgo inherente y un tercero tiene mayor capacidad para realizar el tratamiento del riesgo.

Retener Conservar el riesgo en su presente nivel.

El control (efectivo) no disminuye la criticidad y el riesgo debe permanecer monitoreado pues afecta a la Empresa.

Explotar No definir actividades de control para que el riesgo se materialice.

Se presenta una oportunidad al momento en que el riesgo se materializa; y el beneficio obtenido es mayor al costo.

Eliminar Eliminar la causa raíz que ocasiona el riesgo.

Es factible eliminar la causa que ocasiona el riesgo. El beneficio obtenido por esta acción es mayor al costo.

El plan de acción es la medida a implementarse para aplicar la estrategia de tratamiento definida sobre el riesgo identificado.

Definición de Planes de acción

Es necesario definir planes de acción cuando:

► El control que mitiga al riesgo se encuentra mal diseñado.► El riesgo no cuenta con un control.► El riesgo residual se encuentra por encima de los niveles de tolerancia al riesgo.

Se debe definir los responsables de su implementación así como la fecha de inicio y fin.

V. Tratamiento al Riesgo5.2 Elaboración de planes de acción

Para la realización de los planes de acción se debe considerar:

► Tiempo: si será necesario el pago de horas extras o si el personal se dará abasto para la tarea.► Infraestructura: si se tendrá que adquirir nueva infraestructura o realizar modificaciones a la actual.► Conocimiento técnico: si será necesario contratar a un tercero.

La necesidad de estos recursos se debe plasmar en el presupuesto anual.

Necesidades de recursos y contingencias

Las actividades de control, resultados de las evaluaciones de riesgo, estrategias de tratamiento y planes de acción, deberán documentarse en una Matriz de Riesgos y Controles a nivel entidad y por proceso

El valor meta debe alinearse al apetito de riesgo.

V. Tratamiento al Riesgo5.3 Definición y documentación de Key Risk Indicators - KRI’s

¿Qué riesgos requieren unKRI´S?

Características

Ejemplos de KRI´S Base de datos de eventosde pérdidas

► Riesgos residuales de severidad igual o mayor a Alto.

► Riesgos de acuerdo al criterio del dueño del proceso.

► Ser dinámico.► No redundante.► Medible.► De fácil implementación.► Auditable.

► Tasa de rotación del personal. ► Número de accidentes

ocupacionales.► Número de ataques

informáticos. ► Número de quejas de los

clientes.

La base de datos de eventos de pérdidas dará soporte a los KRI´S. La cual debe actualizarse trimestralmente.

Los KRI´s son métricas financieras u operacionales que ofrecen una base razonable para estimar la probabilidad de ocurrencia y severidad de uno o más eventos de riesgo.

VI Seguimiento y Monitoreo Continuo

VI. Seguimiento y Monitoreo ContinuoLas acciones e indicadores producto de las fases previas deben estar en constante seguimiento y monitoreo continuo, de modo que la gestión de los riesgos se desarrolle de acuerdo a lo establecido.

VI. Seguimiento y Monitoreo Continuo

6.1 Cronograma de seguimiento a los planes de acción

Los planes de acción definidos se consolidan y monitorean a través de un cronograma de implementación.

6.2 Evaluación del riesgo residual y actualización de su calificación

Evaluación del riesgo residual para determinar si ha disminuido a causa del despliegue de planes de acción, en función a las estrategias de tratamiento.

6.3 Evaluación de efectividad de controles y actualización de controles

Evaluación de la pertinencia de los controles para disminuir el riesgo residual.

6.4 Evaluación de KRI’s y modificación de estrategias de tratamiento al riesgo y planes de acción

Evaluación de KRI’s para determinar la necesidad de modificar estrategias de tratamiento y planes de acción.

6.1 Cronograma de seguimiento a los planes de acción

Definición del Cronograma de implementación

Los planes de acción definidos deben consolidarse y monitorearse a través de un cronograma de implementación utilizando la herramienta Gantt.


6.2 Evaluación del riesgo residual y actualización de su calificación

Se debe evaluar si las estrategias de tratamiento al riesgo implementadas tuvieron algún impacto en los riesgos residuales.

g

Riesgos Residuales

Reclasificación de Riesgos Residuales

Estrategias de Tratamiento de

Riesgos


De esta manera, se vuelven a clasificar los riesgos residuales con la criticidad actualizada.

6.3 Evaluación de efectividad de controles y actualización de controlesVI. Seguimiento y Monitoreo Continuo

Efectividad de los controles

El riesgo residual sirve como principal indicador para medir la efectividad de los controles, midiendo la variación entre el riesgo inherente y el residual.

Calificación del control Probabilidad Impacto

Fuerte2 niveles hacia

abajo2 niveles hacia la

izquierda

Moderado1 nivel hacia

abajo1 nivel hacia la

izquierda

Débil0 nivel hacia

abajo0 nivel hacia la

izquierda

6.3 Evaluación de efectividad de controles y actualización de controles

Criterios para definir el beneficio – costo de los controles

Beneficio

Costo

Cuantificación del beneficio de la implementación de un control al cumplimiento de los objetivos de la Empresa.

Cuantificación del costo de la implementación de un control.

La evaluación del beneficio – costo debe esta alineado al apetito de riesgo de la Empresa.

Criterios de diseño y efectividad

Un control se considera deficiente en los siguientes casos:

Deficiencia Descripción

Diseño del control

► Si el diseño del control no permite prevenir o detectar errores.

► Si el control en su estadoactual no alcanza el objetivo para el que fue creado.

Operatividad del control

► Cuando un control apropiadamente diseñado no opera como está diseñado.

► Cuando el responsable de realizar el control no posee la autoridad y/o calificación necesaria para realizarlo.


Para evaluar el diseño del control se deberá considerar lo siguiente:

1. AutomatizaciónControl Manual 1Control Semi Automático 2Control Automático 3

2. ObjetivoEl control no mitiga el riesgo 1El control mitiga el riesgo parcialmente

2

El control mitiga al riesgo 3

3. DefiniciónNo se han definido actividad, periodicidad, evidencia y responsable.

1

Se han definido parcialmente actividad, periodicidad, evidencia y responsable.

2

Se han definido actividad, periodicidad,evidencia y responsable.

3

Calificación Diseño

De 0 a 3 DébilMayor a 4 hasta 6

Moderado

Mayor a 7 hasta 9

Fuerte

Se asigna un puntaje por cada característica:


Para evaluar la operatividad del control se deberá considerar lo siguiente:

Acciones realizadas para validar que la información sobre los controles a probar es correcta o requiere alguna revisión.

Técnicas de verificación ocularComparaciónObservación

Técnicas de verificación oralIndagaciónEntrevista

Técnica de verificación escritaAnalizarConfirmaciónConciliación

Técnicas de verificación documentalComprobaciónComputaciónRastreo

Técnicas de verificación físicaInspección

OtrasRevisión selectiva

Recorrido Pruebas de Efectividad

Evaluación de Controles

Diseño Ejecución Calificación Total

Débil Débil DébilDébil Moderado DébilDébil Fuerte Débil

Moderado Débil DébilModerado Moderado ModeradoModerado Fuerte Moderado

Fuerte Débil DébilFuerte Moderado ModeradoFuerte Fuerte Fuerte

La calificación total del control se determinará de los resultados obtenidos en la evaluación del diseño y ejecución.


6.4 Evaluación de KRI’s y modificación de estrategias de tratamiento al riesgo y planes de acción


Es importante monitorear que el valor de los KRI’s se encuentre dentro de los niveles definidos.

La clave está en el trabajo conjunto con los Dueños de Proceso

► Sostener reuniones periódicas para monitorear el estado de los KRI’s

► Indagar los motivos que generan las posibles desviaciones.

► Identificar oportunidades de mejora en el diseño de los KRI’s

► Identificar la necesidad de implementar nuevos KRI’s

VII Actividades de Reporte del SEAR

VII. Actividades de Reporte del SEAR

La totalidad de la gestión de riesgos de la Empresa debe ser monitoreada con el fin de realizar las modificaciones necesarias. De este modo, a través de los 3 componentes de evaluación se logra un monitoreo más objetivo de la gestión de riesgos:

VII. Actividades de Reporte del SEAR7.1 Reporte del avance de la implementación del plan de gestión de riesgos a FONAFE

Presentación semestral del cumplimientos del Plan de Gestión de Riesgos a FONAFE.

7.2 Autoevaluación del nivel de madurez del SEAR

Presentación anual de los resultados del desempeño del SEAR a FONAFE.

7.3 Evaluación del SEAR por FONAFE

Evaluación anual del nivel de madurez del SEAR realizada por personal interno de FONAFE o un tercero.

La evaluación anual del nivelde madurez del SEAR serárealizada por FONAFE.

7.1 Reporte del avance de la implementación del plan de gestión de riesgos a FONAFE

Quincenalmente, la función a cargo de la ejecución del SEAR (Nivel 2) deberá revisar en coordinación con los dueños de proceso (Nivel 3) el despliegue de las actividades contenidas en el Plan de Gestión de Riesgos, y semestralmente deberá presentar al Directorio (Nivel 1) el nivel de avance, ello deberá ser reportado a FONAFE.


7.2 Autoevaluación del nivel de madurez del SEAR

Anualmente, la función a cargo de la ejecución del SEAR (Nivel 2) debe evaluar el nivel de madurez en gestión de riesgos. La aprobación de los resultados estará a cargo del Directorio (Nivel 1).

El nivel de madurez se medirá utilizando el modelo desarrollado por EY.

Componentes1. Propósito2. Recursos Humanos3. Desarrollo de habilidades4. Plan de carrera5. Metodología6. Herramientas y tecnología7. Estructura organizacional8. Operaciones9. Soporte y mejora continua

Niveles de madurez1. Inicial / no existe2. Propósito3. En procesos de implementación4. Establecido / implementado5. Optimizado / Práctica líder


Sistema Efectivo de Análisis de Riesgo (SEAR)Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE

Taller a Personal Clave

Lima, 21 de octubre 2015

sistema efectivo de análisis de riesgo (sear) · pdf file4.1 definición de la...

Documents