Strategic Objectives

RiesgosApunte de referenciasParte 1Profesor Sr Carlos Valdivieso Valenzuela

N1Introduccin

Este apunte se ha preparado para ayudar en labores acadmicas.La palabra riesgos ha aparecido para quedarse desde hace ya aos.Se puede encontrar en: libros, documentos normativos, frameworks, etc., tanto en Chile como en el extranjero. Son muchas pginas, a veces en trminos ridos, donde cuesta visualizar en trminos simples los conceptos bsicos.La mayora de las publicaciones est en ingls.Al escribir este apunte sencillo en este tema al cual he estado ligado por unos 20 aos tanto profesional como acadmicamente, pretendo citar definiciones y usos cuyas referencias se indican para que los alumnos tengan un marco de contexto que les facilite sus lecturas y anlisis; es por tanto algo introductorio que no tiene otra ambicin; de ah que este documento se llama simplemente Apunte. Nota : La ISO 31.000 y la Gua 73 se pueden comprar en la direccin que indicoUNIDAD VENTA DE NORMAS - INNMatas Cousio 64 - Piso 5 - Santiago Centro - ChileHorario de atencin: Lunes a Viernes de 9:00 a 16.30 horas, horario continuadowww.inn.cl

2NALGUNAS DEFINICIONESRiesgo Efecto de la incertidumbre sobre los objetivos Nota 1 Un efecto es una desviacin positiva y / o negativa respecto a lo previstoNota 2 Los objetivos pueden tener diferentes aspectos ( tales como financieros, de salud y de seguridad o ambientales ) y se pueden aplicar a diferentes niveles ( tales como ,nivel estratgico, nivel de un proyecto , de un producto, de un proceso o de una organizacin completa.Fuente : Gua 73 de ISO 31.000___________________________________________Comentarios1. Antes se asociaba riesgos slo a prdidas y aspectos negativos; hoy tambin involucra desviaciones positivas las que deben evaluarse.Riesgos aparece asociado con los objetivos de la empresa; el orden es Misin, de ah derivan los objetivos y de ah los riesgos primarios, los subjetivos los riesgos secundarios, los factores de riesgos, los eventos de riesgos y las actividades de controlSin asumir riesgos, suele no haber negocios Fuente profesor Carlos Valdivieso 3NALGUNAS DEFINICIONES

Gestin de riesgos Actividades coordinadas para dirigir y controlar una organizacin en lo relativo al riesgo.Fuente : Gua 73 de ISO 31.000Proceso de gestin de riesgos Aplicacin sistemtica de polticas, procedimientos y prcticas de gestin a las actividades de comunicacin , consulta, establecimiento del contexto e identificacin , anlisis , valoracin , tratamiento , monitoreo y revisin del riesgoFuente : Gua 73 de ISO 31.000__________________________________--ComentariosConcepto de proceso como una secuencia de actividades que tienen un producto , teniendo sistematizacin , etapas, roles, sistemas y encargados, ej. proceso de crdito hipotecario. El concepto de proceso tuvo su origen hace aos en Ingeniera Qumica.Gestin de riesgos debe administrarse como un proceso que tiene que estar documentado.Fuente profesor Carlos Valdivieso

4NALGUNAS DEFINICIONES

Poltica de gestin de riesgos. "Declaracin de intenciones y orientaciones globales de una organizacin en relacin con la gestin del riesgo.Fuente : Gua 73 de ISO 31.000ComentariosDebe estar por escrito y preferentemente aprobada por el Directorio.Requiere sea conocida por todo el personal.Est en la base de la Administracin de la Empresa.Fuente profesor Carlos Valdivieso

5NALGUNAS DEFINICIONES

Apetito de riesgo. cantidad y tipo de riesgo que una organizacin est dispuesta a buscar o retener Fuente : Gua 73 de ISO 31.000ComentariosDebe ser cuantitativo y para cada riesgo primario , ejemplo . Una Compaa de Seguros de Vida puede definir que NO tiene apetito de riesgo en tener inversiones en Renta Variable ( acciones ) y otra que s tiene apetito con este riesgo y por tanto invierte en acciones.Aquella que invierte acota su apetito por ejemplo hasta el 10 % de sus inversiones .La tolerancia suele ( no siempre ) cuantificar hasta cunto puede exceder el lmite fijado; ej. hasta 12 %Si no se cuantifica para cada riesgo, el apetito , no da luces y dificulta su control.He ayudado a definir apetitos para todos los riesgos primarios y he visto cmo el Comit de Riesgos revisa cada cierto tiempo los apetitos reales. Esto es necesario y posible.Fuente profesor Carlos Valdivieso

6NALGUNAS DEFINICIONES

Matriz de Riesgos Herramienta que permite clasificar y visualizar los riesgos mediante la definicin de categoras de consecuencias y de su probabilidad Fuente : Gua 73 de ISO 31.000ComentariosLa definicin est para entendidos, es ms simple recordar lo que es una matriz, son filas y columnas, en las filas estn los riesgos primarios y en las columnas los secundarios, luego se definen y se pesan.Lo importante es que cada empresa defina sus riesgos primarios y los secundarios.Se acompaa un ejemplo terico de un banco; el Excel es uno que uso en clases.Fuente profesor Carlos Valdivieso

7NALGUNAS DEFINICIONES

Matriz de Riesgos Va un ejercicio de matriz terica para darse una idea de un Banco X: en la primera fila van los riesgos primarios, en las columnas los secundarios y en cada un de estos deben luego explicitarse los elementos de riesgos.La valorizacin requiere de una metodologa que veremos en clase; por ahora son valores inventados; todo lo cual debe dar 100%Por mientras, lo importante es que se queden con una idea lo ms clara posible de lo que es una Matriz de Riesgos.Para abrir el excel pongan tecla Esc y luego abran ; o sea, no lo pueden hacer con pantalla completa.Fuente : Profesor Carlos Valdivieso8

NVEAMOS OTRA LISTA DE RIESGOSEjemplo la de SVS en su Norma de Carcter General 325 para Compaas de Seguros.http://www.svs.gob.cl/normativa/ncg_325_2011.pdfOtro ejemplo de SVS en su Norma de Carcter General 309 para Compaas de Seguros.http://www.svs.cl/normativa/ncg_309_2011.pdfOtro ejemplo es el Comit de Basilea para Bancos cuando tiene tres categoras de riesgos primarios :Crdito, Mercado y Operacional y este lo desglosa.http://sbif.cl/sbifweb/internet/archivos/publicacion_8511.pdfVeremos en clases ejercicios de cada cual en funcin de la empresa en que trabajan que hagan un intento inicial de su Matriz de Riesgos.

9NALGUNAS DEFINICIONESRiesgo residual Riesgo remanente despus del tratamiento del riesgoFuente : Gua 73 de ISO 31.000ComentariosEs el que queda despus de aplicar los controles; suele llamarse riesgo no mitigado.Veremos en clases un modelo cuantitativo para pesar los riesgos, los procesos, los eventos de riesgos y los controles.Como resultado, se obtiene un riesgo residual cuantitativo de cada proceso y consolidadamente de la empresa como un todo.Ej. el riesgo residual total es 18 %Fuente profesor Carlos Valdivieso

10NALGUNAS DEFINICIONESMonitoreo Verificacin, supervisin ,observacin crtica o determinacin del estado con objeto de identificar de una manera continua los cambios que se pueden producir en el nivel de desempeo requerido o esperado Fuente : Gua 73 de ISO 31.000ComentariosEs cada vez ms indispensable hacerlo con aplicaciones informticas.Ej. un Banco mediano en Chile suele tener unas 5 millones de transacciones computacionales diarias.Segn consult directamente a un conocido mo brasilero , el que tiene ms en Latinoamrica es un Banco brasilero que tiene unas 100 millones de transacciones computacionales diarias.Hacer un monitoreo eficiente, requiere y as lo usan ah, de una aplicacin informtica.Fuente profesor Carlos Valdivieso

11NALGUNAS DEFINICIONESAuditora de la gestin del riesgo Proceso sistemtico, independiente y documentado destinado a obtener evidencias y evaluarlas objetivamente a fin de determinar el grado de adecuacin y de eficacia del marco de trabajo de la gestin del riesgo Fuente : Gua 73 de ISO 31.000ComentariosEs indispensable tener de auditor en cada proceso a alguien que lo conozca bien.Es recomendable tener levantados los mapas de riesgo, los eventos de riesgos y los controles.Mi experiencia es que, para un mayor alcance se recomienda el autocontrol y revisiones selectivas de auditora sobre esos autocontroles.Fuente profesor Carlos Valdivieso

12NCOSO 2013 Y COSO ERM 2004 Y LOS RIESGOSAmbos son complementarios.COSO ERM tiene mejor enfoque y amplitud para riesgos, incluyendo la respuesta a los riesgos.COSO si bien trata los riesgos ,es mejor solucin para el control interno.Fuente profesor Carlos Valdivieso

13N

COSO ERM Y COSO COSO ERM ( 2004 ) COSO ( 2013 )14

NControl EnvironmentAmbiente de ControlRisk AssessmentEvaluacin de RiesgosControl ActivitiesActividades de ControlInformation & CommunicationInformacin y ComunicacinMonitoring ActivitiesMonitoreo de ActividadesCOSO 2013 Y SUS PRINCIPIOS DE RIESGO( MARCADOS CON ROJO ) Demonstrates commitment to integrity and ethical valuesExercises oversight responsibilityEstablishes structure, authority and responsibilityDemonstrates commitment to competenceEnforces accountabilitySpecifies suitable objectivesIdentifies and analyzes riskAssesses fraud riskIdentifies and analyzes significant changeSelects and develops control activities11. Selects and develops general controls over technologyDeploys through policies and proceduresUses relevant informationCommunicates internallyCommunicates externallyConducts ongoing and/or separate evaluationsEvaluates and communicates deficienciesN156. The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives.

7. The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed.

8. The organization considers the potential for fraud in assessing risks to the achievement of objectives.

9. The organization identifies and assesses changes that could significantly impact the system of internal control. Risk AssessmentCOSO 2013 Y SUS PRINCIPIOS DE RIESGO( MAYOR DETALLE )N16PRINCIPALES CAMBIOS EN LA EVALUACIN DE RIESGOS RESPECTO A COSO 1992 La identificacin de los objetivos relevantes, es una precondicin para la evaluacin de riesgos .El orden es MISIN, y objetivos para cumplir la Misin . De dichos objetivos derivan los primeros riesgos. Establece la relacin de los riesgos con las operaciones , informes y cumplimiento ( compliance) Especifica que deben contemplarse la identificacin de los riesgos, el anlisis y sus respuestas . Incluye las tolerancias al riesgo, como prerequisito. Contempla que deben entenderse los cambios significativos tanto de origen interno como externo y sus relaciones con los sistemas de control interno.Considera el riesgo de fraude y sus relaciones con los informes , como parte de la administracin de riesgos.

17N COSO ERM Data del ao 2004 , su definicin dice:

The Enterprise Risk ManagementIntegrated Framework defines enterprise risk management as a process, effected by an entitys board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and to manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives

ComentariosPone nfasis en la estrategia, la identificacin de los riesgos, su administracin como un proceso, el establecimiento de los apetitos de riesgos y lograr la seguridad razonable para alcanzar los objetivos.18NCOSO ERM Y COSO-RELACIONESCOSO ERM es fundamentalmente para Administracin de riesgos, incluyendo a COSO en lo relativo a Control interno.COSO ERM es ms amplio que COSO incluye las estrategias ( parte superior del cubo ) como algo previo y a un nivel superior y su relacin con los objetivos de la empresa y tiene que ver con la misin y visin de la empresa. COSO no se involucra con las estrategias.En COSO ERM,debe determinarse los apetitos de riesgos y la tolerancia.Esto debe hacerse en forma precisa.COSO ERM incluye una desagregacin de los objetivos estratgicos para llegar a objetivos funcionales, pero relacionados con los estratgicos; COSO no lo hace. En COSO ERM, en event identification, conviene hacer un anlisis FODA para a visualizar aspectos positivos que pueden ayudar en los negocios como las amenazas y posibles cursos de accin.En COSO ERM, risk response ( respuesta a riesgos ) se relaciona con separar riesgos en : evitar, transferir y administrar.19N COSO ERM Y COSO-RELACIONESEn risk response, debe tenerse con precisin como se atiende cada riesgo y esto tiene que ver con los controles; COSO es ms general. En Risk assessment, debe determinarse los riesgos y trabajar con metodologas de riesgo inherente y riesgo residual .COSO no tiene este foco detallado.En entorno de control COSO ERM menciona el rol de los Directores independientes.COSO ERM trabaja con riesgos interrelacionados; COSO no lo menciona.COSO es ms amplio en control de actividades y las relaciones con tecnologa.En informacin y comunicaciones COSO ERM tiene un enfoque ms amplio y de gestin, incluyendo proyecciones. COSO es ms fuerte en la calidad y precisin de la informacin.En monitoreo ,COSO ERM incluye ms precisin e involucra a entes externos. 20N COSO ERM Y RISK RESPONSE ( Respuestas )COSO ERM agrega un elemento que es las respuestas a los riesgos.

Esto significa que formulados los riesgos primarios , conviene desagregarlos en eventos de riesgos y determinar lo que se acepta y lo que no se acepta y de lo que se acepta, qu se transfiere y lo que se mitiga.

De lo que se mitiga , para cada evento de riesgo debe haber uno o ms controles, verificando su existencia y funcionamiento.

Mi consejo y experiencia es trabajar conjuntamente con COSO y COSO ERM.

COSO es ms profundo en Control Interno y COSO ERM en administracin y control de riesgos.21N APETITO DE RIESGO Y TOLERANCIA AL RIESGOCOSO ERM es explcito.

El apetito de riesgo debe cuantificarse por cada riesgo; ya lo vimos.

Este es un punto sustantivo para un Auditor Interno, revisar que todos los riesgos primarios de la Matriz de Riesgos tengan sus apetitos y tolerancias establecidos y revisar su existencia y cumplimiento, informando, usualmente al Comit de Auditora. 22NRIESGOS Y UBICACIN DE CONTEXTOEl tema es parte del Gobierno Corporativo.Se recomienda comprar la ISO 31.000Veremos y analizaremos en clase algunas diapositivas de contexto y cmo se inscribe el tema de riesgos.Con la ISO 31.000 pueden hacer un levantamiento de cada punto, la comparacin con la situacin existente y los planes de accin.23NTRES ENTIDADES RELACIONADAS 24N25

Fuente: ISO 31000 Traduccin libre al espaol del profesor Carlos Valdivieso ValenzuelaNVisin de ProcesosVisin deEntorno de ControlVisin ContableVisin deClientesENFOQUEFuente: Profesor Sr ValdiviesoVisin deRRHH

DONDEEN TERRENOMONITOREOAUTOCONTROLINCIDENTESAUDIRE

EXTENSINNRanking IIA 2013- Analicemos en clases porqu en Latinoamrica Riesgos ocupa este lugar a diferencia del resto del mundo. Aqu hay un tema pendiente

27

NPARA COMPARTIR EXPERIENCIAS EN CLASESLa Administracin de riesgos no es ni una ciencia ni una tcnica que de certeza :los negocios y la naturaleza humana tienen de imprevisible; con todo, da una gua de navegacin.La cultura de la empresa en administracin de riesgos es esencial, empezando desde el Directorio con sus definiciones y polticas escritas.La parte tica ayuda y mucho.Los incentivos econmicos deben estar alineados con la administracin de riesgos.Cada Gerencia y sus unidades deben manejar y controlar sus riesgos.El riesgo financiero incluyendo derivados, ha mostrado en la historia, grandes prdidas; debe tenerse lmites y controlarse.La segregacin de funciones entre lo comercial, lo operativo y la auditora interna son indispensables.Use los frameworks : COSO- COSO ERM-ISO 31.000 y otros como ayudas, pero las decisiones las toman seres humanos.28NEspaol2553222.4 Recuperacin 46.5 Continuidad del negocio 2Ejercicio torico y sin relacin directa con la realidad, los puntos se han hecho para simplificar el ejemplo; cada cual debe hacer su ponderacin

1 Generales71.1 Pas11.2 Sistemico11.3 Goberna-bilidad 2

21.4 Legal 11.5 Imagen 12.1 Admisin 102.2.Concentra-cin 32.3 Control y seguimiento 83 Liquidez4 Mercado74.1 Tasa de Inters4.2 Tipo de cambio6 IT106.1 Disponibi-lidad26.2 Desarrollo y mantencion 26.3 Seguridad Informacin 26.4 Funcionalidad27 Operaciones157.1 Fraude interno17.2 Fraude externo 27.3 Relaciones laborales y seguridad en el puesto de trabajo 17.4 Clientes,productos y prcticas empresariales.27.5 Daos a activos materiales17.6 Interupcin del negocio y fallos en los sistemas 28.3 xterno Auditoria10 RRHH 510.1Seleccin110.2 Remunera-ciones1

110.3 Rotacin 110.4 Capacita-cin110.5 Clima Laboral111 Reporte 211.1 Estados Financieros 111.2 Tributario 1RIESGO TOTAL5 Comercial45.1 Plan de Negocios 25.2 Admin. de Negocios 212 Revisin412.1 Auditora Interna 112.2 Auditora Externa 112.3 Evaluadores1 Externos12.4 Reguladores18 Cumplimiento 58.1 Interno 18.2 Externo18.3 Blanqueo Activos/ Cohecho18.4 tico 29 Gestin119.1 Financiera 49.2 Clientes29.3 Eficiencia19.4 Innovacin19.5 Misin de la Empresa34.3 Precios1.6 Contagio Grupo empresarial12 Crdito7.7 Ejecucin entrega y gestin de procesos 27.8 Administracin 2

27.9 Outsourcing 2

Hoja3