Enero Rise RSK Management

/Aplicaciones y estudios de casos

Presentado por Kristina Narváez, MBA

Presidente de ERM Strategies, LLC
Gestión de riesgos empresariales

ERM proporciona un marco para la gestión de riesgos, que normalmente implica

identificar eventos o circunstancias particulares relevantes para los objetivos de
la organización (riesgos y oportunidades), evaluarlos en términos de
probabilidad y magnitud del impacto, Identificació
determinar una estrategia de n de riesgo
respuesta y monitorear el progreso.

Al identificar y abordar
proactivamente los riesgos y
oportunidades, las empresas
protegen y crean valor para sus
partes interesadas, incluidos
propietarios, empleados, clientes,
reguladores y la sociedad en general.

Implementació
n
Diferencia entre GRC y ERM

Riesgo de Gobernanza y Cumplimiento

(GRC)
Adopta el cumplimiento como una
actividad separada para cada silo
empresarial.

La gestión de riesgos empresariales

(ERM) se ocupa de ofrecer valor
empresarial medible vinculando las
actividades operativas de primera línea
con los objetivos de todas las unidades de
negocio.
 Carga del cumplimiento
Suprime las actividades de toma de
riesgos
Las actividades
de toma de
riesgos son
no está mal si
una organización
ha establecido su
riesgo
apetito y riesgo
Muchas organizaciones El riesgo no ha sido niveles de tolerancia y
creer que deben erradicado por regulación tiene
continuar eliminando el en cambio ha sido los controles de riesgo
riesgo conducido adecuados en
a través del cumplimiento subterráneo lugar
 Apetito al riesgo y
tolerancia al riesgo

□ El apetito por el riesgo es la

manera en que una
organización y sus partes
interesadas perciben, evalúan
y tratan colectivamente el
riesgo.
□ La tolerancia al riesgo
requiere que una empresa
considere en términos
cuantitativos exactamente
qué parte de su capital está
dispuesta a poner en riesgo.
ERM se utiliza para optimizar
el riesgo

□ Considerar los resultados

positivos y negativos de las
actividades de toma de
riesgos

□ Cuando se comprenden mejor

las amenazas y
oportunidades, se optimiza la
asunción de riesgos y los
gerentes, a su vez, tomarán
decisiones comerciales más
informadas.

□ Una mejor toma de decisiones permite a una

organización enfrentar rápidamente los desafíos del
mercado emergente.
Enfoque de seis pasos para la ERM
1. Identificación de riesgos

□ El proceso de hacer un inventario de

todos los riesgos en una
organización y definir el evento de
riesgo potencial, las causas de ese
evento de riesgo y el resultado
potencial si ese evento de riesgo
ocurriera.
□ Centrarse no solo en los peligros o los
riesgos operativos, sino también en los
riesgos estratégicos, financieros,
reputacionales, de cumplimiento,
ambientales, de capital humano y
tecnológico, de mercado y de la cadena
de suministro.
Alcance de la Identificación de Riesgos

Definir de dónde
proviene la fuente de un
evento de riesgo Estratégi Operaciona
potencial; Dentro o co l
Fuera de la
organización.
Establecer categorías Riesgo
de riesgo ayuda a
Categoría
identificar las fuentes de
un evento de riesgo.
s

Financie Otro
ro
Categorías de riesgo estratégico
Identificación de categorías de riesgo operativo

Financier
Gobernanci
a o
Regulador Riesgo Informes
y Legales Riesgo Riesgo de
Riesgo fraude

Sostenibilida
d Riesgo
Riesgo emergente

Comunicación Tecnología
Riesgo Riesgo

Capital Operaciona
l Posibilidad
humano
Riesgo Riesgo de peligro
Identificar subcategorías

Posibilidad de ocurren jubilación en el Riesgo

peligro en la organización los próximos 5 años Estratégico
Riesgo de seguridad Riesgo Riesgo financiero Proveedor único
de operacional Riesgo de crédito de un
aumento de Riesgo de capital del 35% materia prima
resbalones, humano de comercial tiene
tropiezos y caídas del 25% de Los préstamos no sido adquirido por
accidentes que la fuerza laboral es cumplirán competidor
Elegible para el tercer cuarto
Riesgo existente y emergente

• ¿Qué nuevos procesos de negocio se han agregado a la organización?

Mira no solo • ¿Qué cambios se han realizado en el
en existente organigrama?

riesgos, pero • ¿Cuáles son algunos de los riesgos externos

que podrían afectar a la organización, como
también los económicos, ambientales, sociales,
geopolíticos y tecnológicos?
el emergente
riesgos para
el
Sepa dónde se encuentra

Reúnase con la alta dirección para definir

los objetivos estratégicos de su organización

Revisar la misión y la visión.

declaraciones de la organizacion

Definir las expectativas de las partes

interesadas internas y externas.
No estés en conflicto

GlaxoSmithKline: un estudio sobre objetivos

estratégicos contradictorios
Este conflicto hizo Uno de los puntos
que el control de estratégicos de GSK
calidad de la El objetivo era vender de
fabricación se viera forma segura y
afectado. prescripción efectiva
medicamento
Un buen ejemplo: la
planta de Cidra en
Puerto Rico fabricó 20 Otro objetivo era
medicamentos en aumentar la rentabilidad
condiciones
mediante
subcontratación
insalubres que
fabricación a otros
llevaron a una multa partes del mundo
de 750 millones de
dólares por parte de
la FDA.
Próximos pasos

Identificar el riesgo
objetivos de gestión para
apoyar los objetivos estratégicos
de la organización

Revisar la Política de Riesgos de

la organización

________________________
' Crear un Análisis FODA (Fortalezas, Debilidades, Oportunidades y
Amenazas) revisando el contenido interno y externo de la organización.
Análisis FODA

Útil Dañino
para lograr el objetivo para lograr el objetivo

Ori
ge
n
ext
er Fortalezas

eb

da
de
D

ili
no

s
Ori
ge
n
int
er
no
(atribut
os del
medio
rtu

ambie
po

da
de

en
az
as
m
ni
O

nte)
A
s

(atribut
os de
la
organi
zación
)
Identificación de Riesgos Identificación de Actividades 1
Ries
go

Lluvia de ideas cuestionario para preguntar

puede efectivamente preguntás especificas
generar muchas ideas relacionado con diferentes
de riesgo potencial tipos de riesgo potencial
escenarios que podrían De arriba hacia
tener lugar abajo / Abajo
Estructurado acontecimientos que Enfoque
enfrentan un
Entrevistas propietario de riesgo particular
Utiliza una encuesta de riesgo o o centro de riesgo
Establecer criterios de riesgo

priorizar
riesgos
etermine soy mayor
críticos
mi
critica para
CE de organizaci
riesgo
firmado ón.
propietari
con
o del
responsabili
dades del riesgo
propietario del
riesgo
Parámetros
externos e internos
para la gestión del
riesgo en una
organización.
 Identificación del plan de trabajo de ERM

UC

La Universidad de California ha desarrollado un plan

de trabajo de ERM para sus empleados. Dentro del
contexto de la misión del campus/centro médico, el equipo directivo establece
metas estratégicas, selecciona la estrategia y alinea los objetivos de ERM con el
plan estratégico. El marco de gestión de riesgos empresariales está orientado a
lograr objetivos en cuatro categorías:

Estratégico Operaciones Informes Cumplimien

Nivel alto Efectivo y Fiabilidad to
objetivos, uso eficiente de Cumplimient
alineados de informar o
con y su con
secundario recursos aplicable
su misión leyes y
 1

Indicadores clave de rendimiento (KPI) Identificación

_______________—®
Los KPI lo
ayudan a % de abandono de clientes
comprender • % de rotación de empleados
qué tan bien se Tasa de rechazo
•
está Mientras tanto, para reparar los
desempeñando • problemas de TI
Tiempo de espera de pedidos
en relación con
de clientes Rentabilidad de
sus metas y clientes por segmentos
objetivos demográficos
estratégicos.
Para que los
KPI sean
Indicadores clave de riesgo (KRI)

Los KRI son indicadores líderes de riesgo para el

desempeño empresarial. Nos dan una alerta temprana para
identificar un evento potencial que pueda perjudicar la
continuidad de la actividad/proyecto.

% de % de misión- % facturación % de misión –

proveedores recuperación de negocio crítico
sin negocios crítica misión crítica procesos con
continuidad planes no personal de a
gestión ejercitado con Recuperación
los ultimos 12 de respaldo
meses arquitectura
Interrupción de la cadena de suministro
Algunas fuentes de riesgo no
son
directamente bajo el control
del
organización, pero son parte
11 de marzo de 2011: Un enorme tsunami
Devastó la costa de Japón.
GM, que podría tener una
competencia
ventaja para sus japoneses
competidores, tenían una transmisión
que
fue fabricado en Japón para su
chevy voltio
 Herramientas y técnicas

Inspeccion
es
personales Entrevista a
Diagramas expertos en la
de flujo materia
-
Estados Realizar HAZOP y
escenarios “qué
financieros
pasaría si””.
-—,---------------)
(>
Definir impulsores
Historiales de de negocio o
pérdidas procesos de la
organización \____/

(
Revisa lo que es
dijo sobre tu
Cuestionario y Herramient organización en
encuesta de as y medios de
riesgos
técnicas comunicación
social
________________ redes
_________________
Crear un registro de riesgos
Registro de riesgos de muestra
 Impacto Relativo Limitado Menor Moderado Significativo -
^Catastrófico
Ejemplo de mapa de calor de riesgo

Probabilidad relativa
Diagrama de riesgo de tornado

Diagrama de tornado
 2
2. Evaluación de riesgos
Evaluación
de riesgos

La evaluación de riesgos es
un proceso para determinar
la causa del evento de riesgo,
el evento de riesgo en sí y el
impacto y la velocidad del / Cuantitativo Causa
evento de riesgo. Evaluación - principal
Mide el Análisis -
valor de la Encontrar
impacto la causa
principal

Cualitativo
Evaluación-
Reconoce el origen del
evento de riesgo.
Causas de riesgo

Tres causas básicas

Causas fisicas mal o no lo hizo en
Un tangible o material algo requerido. hacer su trabajo es
artículo falló en defectuoso.
algunos Nadie revisa el Ningún procedimiento
forma. estado de los frenos para
revisando el
Causas de la mantenimiento de la
Los frenos dejan de carros
funcionar organización
un coche Un sistema, proceso o
política que la gente
Causas humanas usa
la gente hizo algo para tomar decisiones
Análisis de raíz de la causa

El
Gestión “5-Por
qué” Análisis
Vigilancia de
y riesgo barreras
Árbol

Árbol de fallas Análisis

Análisis de

____( Métodos cambios

Análisis del
Análisis
efecto del
de
modo de padres
falla
Espina
Casual
Diagrama
Análisis de
o
Diagrama árbol de
de factores
 2
Análisis del árbol de fallos
Riesgo
Evaluación

Muy útil en El evento superior se evento no deseado

examinando lo posible colocará _ Los símbolos
condiciones que en la cima del árbol proporcionan una
pueden y todos los posteriores representación pictórica
conducir a un deseo o acontecimientos que del evento y cómo
conducen a la
El evento principal será
 2
interactúa con otros eventos en el arbol
 2
Ejemplo de árbol de fallos
Ries
go
Evaluación

El
calentador
de agua
caliente
explota

Pi €SSIII e Alto Watel

Válvula de Tempei atu e
alivio
falla

Alivio Válvula de Alto

Válvula seguridad
Línea de disco
regulador
Fiozen falla
Atascado

Símbolo de
< Tubería identificación
Línea RV Línea RM ' Enchufe 1

Fiozen ci impecl instalado

O Símbolo
•en ling
Símbolo de
transferencia
 2
Analisis cualitativo
Riesgo
Evaluación

Árbol de fallas accidente en la fabricacion

positivas instalación
Análisis Árbol de fallas negativas
Identificará los eventos Análisis
necesario para alcanzar Construido para mostrar
la cima aquellos
evento deseado por eventos o condiciones que
ejemplo no conducir a un riesgo no
 2
deseado superior instalación de fabricación
evento como un incendio en el
Análisis cuantitativo

Cuando se conoce la probabilidad de un evento y se le ha asignado

un valor de probabilidad, el análisis de estos eventos en un árbol de
fallas también arrojará resultados cuantitativos.

Se puede agregar impacto financiero a cada etapa

del Análisis del árbol de fallas.

Se puede demostrar la correlación de riesgos.

Enfoque de nueve pasos del estado
de Washington para el análisis de la

Verificar el
Mapear una Identificar
incidente
línea de tiempo críticos
y definir el
de eventos
problema
causa raíz
Analizar la causa y Identificar las Respalde cada
el impacto del ___• causas causa raíz con
evento crítico. fundamentales evidencia

Identificar y Seguimiento de la
Desarrollar
seleccionar las implementación de
recomendaciones
mejores soluciones. soluciones.
3. Análisis de riesgos 3
Análisis de
riesgo

Agregación de
riesgos y
Entender correlación de
riesgos en la
cartera de riesgos
de una
organización.
La interrelación de
las exposiciones
Determinar al riesgo ante un
evento de riesgo
potencial.

Las mejores
estrategias de
Formular riesgos para la
organización a
partir de
evaluaciones de
riesgos
 3
Análisis de
riesgo

El DHS desempeña un papel de liderazgo en el

esfuerzo unificado de la nación para gestionar el
riesgo trabajando en toda la empresa de seguridad
nacional, que incluye entidades federales,
estatales, locales, tribales, territoriales, no

gubernamentales y del sector privado.

Como parte del análisis de su programa ERM, el
DHS utilizó una estructura integrada de gestión de

riesgos para compartir información y análisis de

riesgos.
El objetivo de utilizar una estructura integrada de gestión de riesgos es poder trabajar con sus socios
para abordar la incertidumbre inherente a su complejo espacio de misión y ayudar a tomar las
decisiones difíciles necesarias para mantener a la nación resiliente y segura con recursos limitados.
Herramientas de
análisis DHS
DHS utiliza
diagramas de
influencia para
analizar las
interrelaciones e
interdependencias
de los riesgos en
toda la empresa.
 3
Herramientas de Análisis de
riesgo
análisis DHS
DHS utiliza
herramientas analíticas
como RAPID Proceso de
evaluación de riesgos
para una decisión informada
Haciendo para gestionar
los riesgos asociados
a sus objetivos
estratégicos.
 3

Valor del análisis de datos para Análisis de

el DHS

5/342) El análisis de datos permite tomar decisiones más transparentes y

defendibles.

<ARa

432 Contextualiza las amenazas a la seguridad nacional, mostrando cuáles

son las más probables y cuáles tienen el mayor impacto.
(9ARi
(50 Ayuda a tomar decisiones de priorización entre terrorismo, desastres
naturales, ((658= amenazas cibernéticas, pandemias y seguridad fronteriza.

Proporciona una medida de desempeño para programas en todo el

((665- espacio de misión de seguridad nacional.

Identifica oportunidades para reducir las exposiciones al riesgo

potencial -(55 eventos.
 3
e Permite comprender el impacto de las exposiciones al riesgo combinadas (65
que tienen lugar al mismo tiempo).
4. Implementación Implementación 4

Implementación : incorporación de un
ERM
estructura, prácticas y estrategias para
cumplir
los objetivos de la organización.
Marco de gestión de riesgos institucionales
>-------------------------------------------------------------<
Controles de riesgo
Enero Rise RSK Management.................................................................................................................................................1
/Aplicaciones y estudios de casos............................................................................................................................................1
Diferencia entre GRC y ERM..........................................................................................................................................3
Carga del cumplimiento...................................................................................................................................................4
Suprime las actividades de toma de riesgos.....................................................................................................................4
Apetito al riesgo y tolerancia al riesgo.............................................................................................................................6
ERM se utiliza para optimizar el riesgo...........................................................................................................................8
Tres causas básicas....................................................................................................................................................................37
Enfoque de nueve pasos del estado de Washington para el análisis de la causa raíz.................................................46
Marcos de GRE Implementación 4

Valor del análisis de datos para el DHS.........................................................................................................................52

Implementación : incorporación de un ERM estructura, prácticas y estrategias para cumplir los objetivos de la
organización................................................................................................................................................................54
Elementos del Plan de Continuidad...............................................................................................................................64
Riesgo crítico: plan de mitigación..................................................................................................................................68
Principios orientativos para la supervisión del riesgo por parte de la junta directiva................................................76
Asociación Nacional de Directores Corporativos informe, “Gobernanza del riesgo: equilibrio entre riesgo y.. .76
Premio".......................................................................................................................................................................76
Comité Ejecutivo de Riesgos.............................................................................................................................................77

Continuidad del negocio

Marcos de GRE Implementación 4

•El objetivo es establecer objetivos de ERM

como parte del proceso de gestión
estratégica. No profundiza en los detalles
de la gestión de riesgos.
enfoques y procesos, pero aborda las amenazas a la
organización y la necesidad de controles adecuados.

II •Arraigado en los principios de gestión de

riesgos y diseñado para proporcionar una
metodología organizada para evaluar las

YO exposiciones a los riesgos y reaccionar

ante el medio ambiente.

ASI
3100
Controles de riesgo Implementación 4

La gestión es Financiero
Sistemas
responsable de &
implementar TI Operacion
adecuado
controles para objetivos.
reducir el Algunas
riesgo y áreas
conseguir por riesgo
Operacional Control S
Controles de riesgo Implementación 4

Propiedad y
Activos
Controles de riesgo Implementación 4

Seguridad y responsabilidad
 4
Implementación de
campeones de riesgo y centros
de riesgo
Centro de Riesgos

• Un departamento o unidad
• Responsable de garantizar la dentro de la organización
precisión dentro de su encargado de las
departamento o unidad de exposiciones a riesgos
negocio en torno a la relacionados con sus deberes
identificación, evaluación, y responsabilidades.
gestión y seguimiento del
riesgo.
• Son los ojos y oídos de la
información sobre riesgos
para el administrador de
riesgos que está a cargo de
evaluar el riesgo en toda la
empresa.
• No necesariamente
Estudio de caso de intuición Implementación 4

Campeones de riesgo
 Estudio de caso de intuición Implementación 4

“Cuando La oficina del programa CRO y ERM es

hablamos de dueña y responsable del programa ERM de
estrategias de Intuit e impulsa las capacidades de ERM de
crecimiento Intuit.
para la La propiedad y la responsabilidad de los
empresa, riesgos identificados son compartidas por
hablamos los líderes de nivel ejecutivo y de unidad
deliberadame de negocios.
nte tanto de La comunicación de riesgos no es sólo para
riesgos como informar el progreso, sino también para que
de las unidades de negocio puedan compartir y
oportunidades aprovechar el conocimiento sobre riesgos.

inTUIT
 Implementación 4 entación
Gestión de crisis

Mensajes para todos las partes interesadas

las partes interesadas sean diligentes
deben ser claras, en planes de recuperación
abordar la presión La comunicación debe
cuestiones e involucrar a demostrar que mayor
todos los la gerencia está
comprometida
Comunicación de riesgos para mantener un
se convierte en un ambiente
componente clave de transparencia en el
en sobrevivir a una crisis mismo
situación Toma de decisiones
Elementos del Plan de
Continuidad
Declaracion de Tarea y actividades
nivel aceptable de Tiempo de requerido
recuperación
marcha objetivos, v
I recursos __________________
__________________ necesario y potencial >
) puntos de falla
\
______________
Estructura para >
apoyar el plan. Trámites y
procesos

Secundario <
documentación y __________________
información /
\/
Descripción de \___________________)
deberes del personal y Describir
responsabilidades interdependencias
 entre los diversos
departamentos
\___________________) Implementación 4 entación
Gestión de crisis
5. Monitoreo 5
Supervisi
ón

El monitoreo implica la comunicación del riesgo

tanto ascendente como descendente en toda la
organización. Incluye información periódica y
seguimiento de los riesgos por parte de los
distintos niveles de gestión, comités de riesgos y
auditores internos.

Los KPI y KRI son una forma valiosa de monitorear

5. Monitoreo 5
Supervisi
ón

los riesgos clave relacionados con la mejora de los

flujos de efectivo y las ganancias.
 Herramientas utilizadas para el monitoreo 5
Supervisi
ón

Gobernanci Empresa
Equilibrado a Riesgo
Hojas de Cuadros Paneles de
Riesgo y Gestión
cálculo de mando control Cumplimie Software
nto
Software
Capta la
estrategia
de la
empresa
mediante
• Cliente Pictórico Concentrar Enfoque de
como • Interno informes se en GRE
riesgo Procesos
de auditoría y en
registro • Innovación y
Aprendizaje riesgos cumplimie software
s • Financiero nto soluciones
 Riesgo crítico: plan de mitigación
5
Supervisi
ón

Riesgo crítico: plan de mitigación

Nombre del proyecto Fase de impacto del proyecto
Fecha de
RIESGO Identificado por PM impacto/desencadenante

Tipo/fuente de riesgo Coordinador de Riesgos

Riesgo No. Propietario del riesgo Costo máximo

Cita abierta Puntuación de riesgo Costo mínimo

Declaración de riesgo (formato de las 3 C ■ ¡ Condición, causa, consecuencia! Costo más probable

Criterios de cierre/Declaración de cierre [Cierre Oate

Control de cambios aprobado Sí o No (circule uno)

Acción Fecha límite

Acción de mitigación (Preventiva) actor Fase de plazo de acción Utilice el siguiente cuadro para mostrar la puntuación de riesgo antes y después de la mitigación.

Acción de contingencia

1
■1
■1
5
Supervisi
ón
 Estudio de caso: Walmart 5
Supervisi
ón

Desarrollé métricas KPI y KRI.

incorporados en un cuadro de mando
integral.

Métricas utilizadas para realizar un

seguimiento del rendimiento en
riesgo y determinar el riesgo de la
empresa.
avances en la gestión del riesgo.

Walmart también utiliza estas métricas

para
determinar el valor agregado por el ERM
proceso.

Walmart
6. Evaluación 6
Evaluació
n

Determinar las fortalezas organización

y debilidades del MTC Optimización de Riesgos
programa con respecto a la / Valor
objetivos estratégicos de la Creación

Evaluación

Retorno de la El papel de la ERM en la

inversión gobernanza
Optimización de riesgos 6
Evaluació
n

Equilibrio entre tomar

en demasiado riesgo y
no asumir lo suficiente Explore varios riesgos
riesgo de explorar resultados de retorno
oportunidades de
crecimiento

Evaluar los controles de riesgo en

lugar y decidir el
mejor uso de las finanzas
recursos para proporcionar
protección necesaria
 Costo del riesgo

Estudio de caso: Universidad de California

Desde el año fiscal 2003-2004

han reducido el Costo de
Riesgo en $493 millones de
Cada año, la dólares
Universidad de
California celebra
una Cumbre Anual
de ERM centrada
en su esfuerzo
Se redujo el costo del riesgo
continuo por de $18,46 por cada $1000 de
mejorar su
programa de ERM
presupuesto operativo a
$13,31 por cada $1000 de
 6
presupuesto operativo. Evaluació
n
 Gobernanza del riesgo

Elaborando el derecho Estableciendo y riesgos potenciales en

Impulsores relación Proporcionar de la
clave de Entre los adecuado empresa Desarrollando
tablero y su recursos para cultura y un
éxito y
de pie riesgo de soporte incentivo riesgo
riesgos en el
comités en gestión sistemas efectivo
de la
cuanto a sistemas dialogar con
empresa
supervisión de riesgos Supervisión
 Principios orientativos para la supervisión6 del
riesgo por parte de la junta directivaEvaluació
n

Asociación Nacional de Directores

Corporativos
informe, “Gobernanza del riesgo: equilibrio entre
riesgo y
Premio"
-----------------------------------------------------------------------------------------------------------------------------)
Comité Ejecutivo de
Riesgos
El Comité Ejecutivo de Riesgos
Proporciona a la Junta Directiva:
Una estructura que
proporciona la
tablero con el apropiado
información que define la
perfil de riesgo de la
empresa
Un sistema que proporciona
una auditoría.
de la efectividad del riesgo
proceso de gestión
Un sistema que ofrece una
comprensión evolucionada
de las claves
riesgos para la empresa
“Las juntas directivas finalmente
están preguntando
gestión sobre la naturaleza de
el proceso de información de
riesgos en
lugar. Las juntas quieren reunirse
información sobre nuevos o
emergentes
riesgos y en qué medida estos
Los riesgos requieren un análisis
más profundo.
análisis. Esto se está haciendo
para
asegurar oportunidades futuras y
amenazas a la empresa
el rendimiento es apropiado
gestionado”.- John Bugalla,
James
Kallman, Chris Mandel y Kristina
Narváez en La Junta Corporativa
 6
Evaluació
n

Gracias. ¿Preguntas?

Presentado por
Kristina Narvaez
Presidenta y
Directora
Ejecutiva
Estrategias ERM
www.erm-
strategies.com