Riesgo_GestionIntegral

5/13/2018 Riesgo_GestionIntegral - slidepdf.com

http://slidepdf.com/reader/full/riesgogestionintegral 1/82

ADMINISTRACIÓN DEL RIESGO EN ELCONTEXTO EMPRESARIAL

Ing. Mauricio Penagos Acosta – AIRM

Consultor en proyectosInternational Risk Manager

Bogotá, D. C Colombia. Octubre de 2011



AGENDAAGENDA1. Administración del riesgo2. Metodologías y normas para la gestión del riesgo

3. Definición de riesgo4. Visión clásica del riesgo5. Visión estratégica del riesgo6. Tipos de riesgo

. o os para en car r esgos a er8. Valoración del riesgo9. Tratamiento del riesgo

• Técnicas de control

• Técnicas de mitigación10. Análisis del riesgo financiero proyecto de eficiencia energética11. Sistema de administración integral del riesgo12. Costos de la administración del riesgo

13. Estándares de administración del riesgo



La administración del riesgoes la identificación, evaluación ypriorización del riesgo junto con las

gestiones para transformar elriesgo, controlando la probabilidad

y mitigando el impacto de los.



Una gestión del riesgo eficiente se puede traduciren incalculables beneficios económicos para la empresa,constituyéndose en una herramienta clave para la toma

de decisiones.

La gestión del riesgo ha pasado a ocupar un

importante papel en la empresa moderna, contribuyendocada vez más al cumplimiento de los objetivosestratégicos y metas previstas

No se concibe una empresa que pretenda avanzar conpasos firmes hacia el éxito sin contar con la actividad degestionar el riesgo bien organizada.



La ISO identifica los siguientes principios de gestión del riesgo:

• La gestión del riesgo debe crear valor.• Debería ser una parte integrante de los procesos de

organización.• Debe ser parte de la toma de decisiones.• Debería abordar explícitamente la incertidumbre.

• Debe ser sistemática y estructurada.• Debe basarse en la mejor información disponible.• Debe ser monitoreada.

• Debe tener en cuenta los factores humanos.• Debe ser transparente e inclusiva.• Debe ser dinámica, iterativa y de respuesta al cambio.

• Requiere y propende por la mejora continua.



La mayoría de metodologías de gestión del riesgoincluyen como mínimo los siguientes elementos:

1. Identificar, caracterizar y evaluar eventos generadoresde riesgo.

2. Evaluar la vulnerabilidad de los activos críticos ante

amenazas específicas.3. Determinar el riesgo: la probabilidad de ocurrencia y la

consecuencia de eventos

4. Identificar maneras de evitar, transferir, reducir o asumirlos riesgos.5. Priorizar las acciones basadas en una estrategia de

principios y políticas de la gestión del riesgo.



LA METODOLOGÍA PMI* PARA PROYECTOS PROVEE LOSSIGUIENTES 6 PASOS:

1. PLAN RISK MANAGEMENT

2. INDENTIFY RISK

3. PERFORM QUALITIVE ANALYSIS

4. PERFORM QUANTITATIVE ANALYSIS

5. PLAN RISK RESPONSES

6. MONITOR AND CONTROL RISK RESPONSES

* Project Management Institute, Inc



PRINCIPIOSPRINCIPIOSImportancia estratégica de la gestión del riesgo: Es una parte integral delproceso de gestión; es un proceso multifacético realizado por un equipomultidisciplinario; es un proceso interactivo e iterativo de mejora continua.

Interactiva porque requiere la participación de diferentes áreas de la empresa y dediferentes disciplinas e iterativa porque se repite en ciclos continuos deretroalimentación, ya que el riesgo nunca desaparece: se mitiga, se reduce, perosiempre estará presente.

MODELO DE GESTIÓN DE RIESGOS NTC 5254MODELO DE GESTIÓN DE RIESGOS NTC 5254

: e e garan zar que se rea ce una rev s n eSGR a intervalos especificados, para asegurar su continua conveniencia y eficaciapara cumplir los requisitos de la norma, la política y objetivos de gestión del riesgoestablecidos. Es necesario que la dirección defina una política y objetivos de lagestión del riesgo y revisar periódicamente su estado en la empresa para tomar lasdecisiones pertinentes.

Flexibilidad en la aplicación: Se aplica en los niveles: Estratégicos yoperacionales y en proyectos específicos. Ayuda en decisiones específicas y amanejar áreas de riesgo específicas reconocidas. La aplicación de esta norma debeser tan flexible que permita aplicarla en diferentes contextos.



NTC 5254NTC 5254 -- CONCEPTOS BÁSICOSCONCEPTOS BÁSICOS

RiesgoRiesgo

“la posibilidad de que suceda algo que tendrá impacto en los objetivos.

Se mide en términos de consecuencias y posibilidad de ocurrencia”

Según esta norma, el riesgo no es

Gestión del RiesgoGestión del Riesgo

“cultura, procesos y estructuras que se dirigen hacia la gestión eficaz de las oportunidades potenciales y los efectos

” necesariamente una afectaci nnegativa; puede ser también lapotenciación de las capacidadesde la empresa para cumplir con susobjetivos.

La GR consiste en identificar los eventosque puedan suceder y que afecten a laempresa en el logro de sus objetivos yposteriormente valorar esa afectación entérminos de la posibilidad de que el eventoocurra y del impacto y sus consecuencias,tanto para la empresa como para laspartes interesadas.



NTC 5254NTC 5254 -- ESTRUCTURA DEL MODELOESTRUCTURA DEL MODELO

PlanearPlanear

Análisis del contexto: interno(debilidades y fortalezas) y externo

(oportunidades y amenazas) para laGR

Formulación política de GR:Establece orientaciones generales a

HacerHacerFase de implementación: Aplicación deacciones de tratamiento, en los plazosestablecidos en la fase de planificación

VerificarVerificarMonitoreo de riesgos, de la eficacia del

seguirIdentificación y análisis del riesgo:Utiliza como criterios de calificación laposibilidad de ocurrencia del riesgo ode sus causas y el impacto de las

consecuenciasAcciones de tratamiento del riesgo:Descripción de la acción y laasignación de responsables, plazos yrecursos

,

SGR para controlar la implementación ygarantizar que las circunstanciascambiantes no alteren las prioridades delriesgo

ActuarActuarEn la verificación surgen ajustes a lapolítica de GR, una nueva calificación yanálisis del riesgo o el planteamiento de

nuevas acciones de tratamiento



Establecer el contexto

Identificar los riesgos

y R e v i s i ó n

n y C o n s u l t a

NTC 5254NTC 5254 -- ESTRUCTURA DEL MODELOESTRUCTURA DEL MODELO

na zar os r esgos

Evaluar los riesgos

Tratar los riesgos

M o n i t o r e

o

C o m u n i c a c

i ó

NTC 5254: Gestión del riesgo, Pág. 8



AS/NZ 4360Figura 4.2 Proceso de Tratamientode Riesgos (pág. 17)



El objetivo es ayudar a empresas de todo tipo y tamaño agestionar sus riesgos con efectividad

Proporciona principios, el marco y un proceso destinado a

gestionar cualquier tipo de riesgo de manera transparente,sistemática y creíble dentro de cualquier alcance o contexto

ISO 31000ISO 31000 -- DIRECTRICESDIRECTRICES

,continua el marco de gestión de riesgos como uncomponente del sistema integral de gestión de laorganización

Documento práctico que busca ayudar a las empresas en eldesarrollo de su propia estrategia para gestionar sus riesgos

No es un estándar certificableISO/DIS 31000. Gestión de Riesgos



ISO 31000ISO 31000 -- ALCANCEALCANCE

• Aumentar la probabilidad de lograr sus objetivos• Fomentar la gestión proactiva• Ser conscientes de la necesidad de identificar y tratar el riesgo en toda la

organización

• Mejorar la identificación de las oportunidades y amenazas• Cumplir con las exigencias legales, reglamentarias y las normasinternacionales

• Mejorar la información financiera

• Mejorar el gobierno de la organización• Incrementar la confianza de los grupos de interés• Establecer una base fiable para la toma de decisiones y planificación• Mejorar los controles• Asignar y utilizar efectivamente los recursos para el tratamiento del riesgo

• Mejorar la eficacia y la eficiencia operacional• Aumentar la seguridad y salud así como la protección al medio ambiente• Mejorar la prevención y la gestión de incidentes• Minimizar las pérdidas

• Mejorar el aprendizaje y la ‘resilencia’ de la organizaciónISO/DIS 31000. Gestión de Riesgos



• Crea valor en la empresa y lo preserva

• Esta integrada en los procesos de la empresa

• Forma parte de la toma de decisiones• Trata explícitamente la incertidumbre

• Es sistemática, estructurada y oportuna

ISO 31000ISO 31000 – – PRINCIPIOS DE LA GRPRINCIPIOS DE LA GR

• Esta basada en la mejor información posible• Esta hecha a medida

• Tiene en cuenta factores humanos y culturales

• Es transparente e inclusiva• Es dinámica, iterativa y sensible al cambio

• Facilita la mejora continua de la empresa

ISO/DIS 31000. Gestión de Riesgos



ISO 31000ISO 31000 -- CONCEPTOS BÁSICOSCONCEPTOS BÁSICOS

RiesgoRiesgo:: Efecto de la incertidumbre en los objetivos.

GestiónGestión deldel RiesgoRiesgo:: Coordinación de actividades para dirigir y.

StakeholderStakeholder:: Persona u organización que puede afectar, serafectada o percibir ser afectada por una decisión o actividad.

ResilenciaResilencia:: Capacidad de adaptación de una organización en unentorno complejo y cambiante (resistencia, flexibilidad, etc.)




ISO 31000ISO 31000 -- ESTRUCTURA DEL MODELOESTRUCTURA DEL MODELO

GENERALIDADESGENERALIDADES

El éxito de la GR dependerá de la efectividad de la estructurade gestión que proporcione la base y las disposiciones quepermitan su integración en todos los niveles de laorgan zac n.

Esta estructura no está destinada a prescribir un sistemade gestión, sino más bien a ayudar a la organización aintegrar la GR en su sistema de gestión.

Las empresas deben adaptar los componentes de estaestructura a sus necesidades.





ATRIBUTOS PARA LA MEJORA DE LA GERENCIA DE RIESGOSATRIBUTOS PARA LA MEJORA DE LA GERENCIA DE RIESGOS

Establecimiento de metas de desempeño organizacional, medición, revisióny posterior modificación de procesos, sistemas, recursos, capacidad yhabilidades

Controles y tratamiento del riesgo exhaustivos

Toda toma de decisiones dentro de la empresa, cualquiera que sea el nivel

de importancia y trascendencia, implica la consideración explícita de losriesgos y la aplicación de la GR en la medida adecuada

Comunicación continua con los ‘stakeholder’ internos y externos, incluida laelaboración de informes completos y frecuentes del desempeño de la GRcomo parte del buen gobierno corporativo

La efectividad de la GR es esencial para el logro de los objetivos de laorganización




Mandato y Compromiso

Diseño de la estructura para gestionar los riesgos

• Comprender la organización y su contexto• Establecer la política de gestión de riesgos• Responsabilidad• Integrar los procesos de la organización• Recursos

ISO 31000 - Componentes de la estructura para la GR

• s a ecer mecan smos e comun cac n n erna e n ormac n

• Establecer mecanismos de comunicación externa e información

Mejora Continua de laEstructura

Implantación de la gestión de riesgos

• Implantación de la gestión de riesgos• Implantación del proceso de gestión de riesgos

Seguimiento y revisión dela Estructura

ISO/DIS 31000. Gestión de Riesgos: Principios y líneas directrices. Figura: Componentes de la estructura para la gestión de los riesgos . Pág. 3.



Establecer el contexto

Identificar los riesgos

v i s i ó n

C o n s u l t a

Valoración de Riesgos

ISO 31000 - Proceso de Gestión del Riesgo

Dónde, qué, cuándo,cómo, porqué

Analizar los riesgos

Evaluar los riesgos

Tratar los riesgos

M o n i t o r e o y

R

C o m u n i c a c i ó n

y

ISO/DIS 31000. Gestión de Riesgos: Principios y líneas directrices. Figura Proceso de Gestión del Riesgo . Pág. 8.

Matriz de riesgos - Nivel

de seguridad actual

ResultadosMatriz vs criteriosPriorizar

Controlar ProbabilidadMitigar Consecuencia



ISO 27001ISO 27001MODELO DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LAMODELO DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN (SGSI)INFORMACIÓN (SGSI)PRINCIPIOSPRINCIPIOS

Importancia de la información. El

aseguramiento de la información y de lossistemas que la procesan es un objetivode primer nivel para una empresa ya quela información es un activo vital para el

CONCEPTOSCONCEPTOS BÁSICOSBÁSICOS

Confidencialidad: Asegurar que la

misma.

Enfoque de sistemas. Una empresadebe implantar un SGSI de formametódica, documentada y basada en

unos objetivos claros de seguridad y enevaluación del riesgo a que estásometida su información.

información es accesible solo a laspersonas que están autorizadas paratener acceso.

Integridad: Salvaguarda de la precisión

y totalidad de la información y losmétodos de procesamiento

Disponibilidad: Asegurar que losusuarios autorizados tienen acceso a la

información y a los activos asociados.



PlanearPlanear.. definición del alcance del SGSIdeterminando áreas o procesos, en los que se vaa aplicar el sistema.

Formulación y divulgación de la política GSIque establezca los lineamientos a tener encuenta frente a los riesgos de la información(requisitos legales, requisitos contractuales,requisitos propios de la empresa, etc.).

Definición de lanes de control o tratamiento


ActuarActuar.. Mejoramiento yactualización de los planes deseguridad.

Definición e implementación de

Acciones Correctivas yPreventivas necesarias.

VerificarVerificar.. MMedición deldesem eño del SGSI de la

del riesgo, a partir de la identificación de losriesgos, su análisis y valoración.

HacerHacer.. Implementación de planes de control otratamiento del riesgo.

Documentación y aplicación de procedimientosnecesarios para aplicación de los controles.

Formación y concientización respecto a laseguridad de la información y los controles poraplicar.

evaluación de los riesgos y laeficacia de los controlesimplementados.

Realización de auditoríasinternas al sistema y la revisión

del mismo por parte de ladirección.



Establecer elSGSI

PlanificarPlanificar

ActuarActuarHacerHacer

PartesInteresadas PartesInteresadas

ISO 27001ISO 27001 -- MODELO DEL SGSIMODELO DEL SGSI

Mantener y

mejorar el SGSI

Implementar y

operar el SGSI

Hacer

seguimiento yrevisar el SGSI

VerificarVerificar

Requisitos yexpectativasde seguridad

de lainformación

Seguridad dela Información

gestionada



Visión de Silos Cada administración de riesgo posee supropia política, proceso, programas y función organizacional.No responde a criterios uniformes en la toma de decisiones

Administración Integral del

RiesgoVisión de Silos vs Visión Integral

respecto al tratamiento y al criterio de apetito de riesgo.

Visión Integrada: Una única filosofía de AR generapolíticas, procesos, programas y responsabilidades entre

y en las áreas funcionales. Responde a criteriosuniformes en relación a la toma de decisiones respecto altratamiento y al criterio de apetito de riesgo.



• Se aumenta el valor de la organización.

• Se asegura que todos los riesgos estén manejados en líneacon la estrategia de la organización.

• Se evita duplicidad de costos: Optimización del costo de riesgo

Ventajas de la Administración

Integral del Riesgo

• e op m za e cap a a ex s r un so o proceso e s r uc ndel capital a riesgo (capital-at-risk allocation).

• Se optimiza el flujo de caja en relación a las pérdidasesperadas

• Se generan potenciales fuentes alternas de financiamiento depérdidas por el efecto “balance” entre diferentes tipos deriesgos (visión de portafolio)

• Se asegura que se estén manejando todas las fuentes de

riesgo al eliminarse el efecto “borde” (separación entre silos)



Administración Integral del Riesgo

Objetivo:“Hacer del riesgo parte de la mentalidad y de la

responsabilidad de cada empleado de la organización”

James Lam

Enterprise Risk Management From Incentives to Controls



Desafortunadamente la gerencia de

riesgos se valora como un costo parala empresa. Lo correcto esconsiderarse como una inversión ue

previene muchos riesgos y garantizala continuidad de la empresa



AS/NZ 4360: “La Posibilidad de que ocurra unacontecimiento que tenga un impacto en el alcance de losobjetivos. El riesgo en términos de una combinación de unevento o circunstancia y su probabilidad”

DEFINICIONES DE RIESGO

NTC 5254: “La posibilidad de que suceda algo que tendráimpacto en los objetivos. Se mide en términos deconsecuencias y posibilidad de ocurrencia”

ISO*: “Combinación de la Probabilidad de un Evento y suConsecuencia siempre y cuando exista la posibilidad depérdidas”

*Definición anterior a la ISO 31000



¿Qué es RIESGO?¿Qué es RIESGO?“Efecto de la incertidumbre en los objetivosEfecto de la incertidumbre en los objetivos*”

• Un efecto es una desviación de lo esperado – positivo y/o negativo.

• La incertidumbreincertidumbre es el estado (total o parcial) de deficiencia deinformación en relación al entendimiento o conocimiento de un evento, suconsecuencia o su robabilidad.

• El riesgo es casi siempre caracterizado en referencia a potenciales eventosy sus consecuencias o por una combinación de éstas.

• El riesgo es casi siempre expresado en términos de una combinación delas consecuencias de un evento (incluyendo cambio en circunstancias) yprobabilidad asociada de ocurrencia.

*ISO-GUIDE 73:2009, Risk Management - Vocabulary



Valoración del RiesgoRIESGO(E) = Probabilidad(E) x Consecuencia(E)RIESGO(E) = Probabilidad(E) x Consecuencia(E)

E = Evento*

* Un evento es una ocurrencia o un cambio de un grupo particular decircunstancias; este puede tener una o mas ocurrencias y puede tenervarias causas, además algunas veces puede ser referido como

“incidente” o “accidente”.

*ISO-GUIDE 73:2009, Risk Management - Vocabulary



Visión clásica del riesgo

Desviación

negativa*Debilidades,

amenazas, etc.

* La desviación negativa es la desmejora del resultado esperado, producto de lamaterialización u ocurrencia de un evento o un grupo de estos y que afectanegativamente el logro de uno o varios objetivos.

Fuente: Fundación Latinoamericana de Administración de Riesgos ALARYS Ing. Javier Mirabal, ARM, AIRM, RF ALARYS- Director Ejecutivo



Visión estratégica del riesgo

Desviación Positiva*(fortalezas, oportunidades, etc.)

(Risk & Reward)

Desviación Negativa

* La Desviación Positiva es la mejora del resultado esperado, producto de la materialización uocurrencia de un evento o un grupo de estos y que afecta positivamente el logro de uno o variosobjetivos

(Debilidades, amenazas, etc.)




CAPACIDAD DERETENCIÓN DEL RIESGO

Es la máxima cantidad

de riesgo que unaorganización está encapacidad de absorber

APETITO DE RIESGO

Cantidad total de riesgoque una organización ocualquier otra entidadesta dispuesta a aceptarpara alcanzar su misión(o visión)

TOLERANCIA DE RIESGO

La variación relativaaceptable para el

cumplimiento de unobjetivo.




CLASIFICACIÓN DEL RIESGO SEGÚN EVENTOS

SEGÚN SUSEGÚN SUNATURALEZANATURALEZA

• Riesgos Accidentales• Riesgos Operativos

SEGÚN EL TIPO DESEGÚN EL TIPO DEOBJETIVOOBJETIVO

• Nivel Estratégico

• Riesgos Financieros

• Otros tipos de Riesgos• Nivel Táctico

• Nivel Operacional

• Otros Niveles

SEGÚN ELSEGÚN ELORIGENORIGEN

• Origen Interno

• Origen Externo




MATRIZ DE RELACIÓN ENTRE LOS DIFERENTESCRITERIOS DE CLASIFICACIÓN DEL RIESGO

NATURALEZA

ORIGEN

RIESGOACCIDENTAL

RIESGOOPERATIVO

RIESGOFINANCIERO

OTROSTIPOS DERIESGOS

NIVELES (OBJETIVOS)

ESTRATEGICO TÁCTICO OPERACIONAL OTROSNIVELES

INTERNO

EXTERNO




TIPOS DE RIESGOSRIESGORIESGO

ACCIDENTALACCIDENTAL

Es el asociado a los

eventos súbitos eimprevistos nopredecibles(accidentes) a los que

RIESGORIESGOOPERATIVOOPERATIVO

Es el asociado a eventosno accidentales originados por el nofuncionamiento o el

RIESGORIESGOFINANCIEROFINANCIERO

Es el asociado al impactoen los resultadosfinancieros debido a

está expuesta la

empresa. inadecuado de procesosinternos, del personaly/o de los sistemas de laempresa.

cam os en as con c ones

del mercado y por el nocumplimiento por parte deterceros de las obligacionesfinancieras para con laempresa o debido al no

cumplimiento de lasobligaciones financieras conterceros.




RIESGO ACCIDENTAL

•• PROPIEDADESPROPIEDADES

• Bienes Inmuebles

• Bienes Muebles• Bienes Monetarios

•• RESPONSABILIDADESRESPONSABILIDADES

• penal• Civil

• Extracontractual

• PERSONASPERSONAS

• Enfermedad• Muerte• Lesión

• Incapacidad

• on rac ua

• BENEFICIO BRUTOBENEFICIO BRUTO

• Disminución de los ingresos• Incremento de los gastos


SGO O O



RIESGO OPERATIVOEVENTOS OPERATIVOSEVENTOS OPERATIVOS

• Fallas de control

• No funcionamiento o faltade procesos internos

• Errores del personal

FACTORES DE RIESGOFACTORES DE RIESGOOPERATIVOOPERATIVO

PROCESOS PERSONAL SISTEMAS

TECNOLOGIA NO

• Sistemas Inadecuados(tecnología)

• Problemas asociados a lacultura de la organización

• Políticas internas maldiseñadas

• Otros

NOFUNCIONAMIENTO


RIESGO FINANCIERO



RIESGO FINANCIERO

•• MercadoMercado

Es el asociado al impacto en los resultadosfinancieros de una organización debido acambios en las condiciones del mercado

TIPOSTIPOS• Tasas de Cambio

• Tasas de interés• Precios de los commodities• Precios de los instrumentosfinancieros

• CréditoCréditoEs el asociado al impacto en los resultadosfinancieros de una organización por el nocumplimiento por parte de terceros de lasobligaciones financieras para con la misma

•• LiquidezLiquidezEs el asociado al impacto en los resultadosfinancieros de una organización que se originadebido al no cumplimiento de las obligaciones

financieras para con terceros.

• Perfil del deudor• Probabilidad deincumplimiento• Tasa de recuperación

FACTORESFACTORES

FACTORESFACTORES• Altos egresos• Ventas bajas• Otros




Riesgos del Entorno

Riesgos del entorno de la organización ocontexto del proyecto:

• Ambiente y naturaleza circundante• Condiciones sociales, legales, políticas,

• Ubicación• Tamaño• Sector industrial



Riesgos Tecnológicos• Riesgos que genera la Tecnología:

virus, hackers, daños o perdidas deinformación

• Constante evolución de la tecnología:,

dependencia a proveedores, entreotros.



Riesgos Estratégicos

Generan pérdidas por definiciones estratégicas inadecuadas,errores en el diseño de planes, programas, integración delplan estratégico con la operación y asignación de recursos,entre otros:

•

• MISIÓN• OBJETIVOS ESTRATÉGICOS• ANALISIS DOFA• PLAN DE ACCIÓN

La Gestión de Riesgos debe basarse en elcumplimiento de los objetivos estratégicos de la

Organización.



Áreas críticas de una empresa o proyecto

• Daños en propiedades e inventarios (inmuebles ymuebles)

• Pérdidas por delitos de terceros• Contingencias comerciales y financieras• Proveedores no adecuados

• Reclamos por responsabilidad civil• Contingencias tecnológicas• Contingencias operativas• Riesgos profesionales

• Contingencias en logística• Daños en vehículos

ÉÉ



MÉTODOS PARA IDENTIFICAR RIESGOSMÉTODOS PARA IDENTIFICAR RIESGOS

• Lista de chequeo• Lista por categorías• Análisis PESTA (entorno)

• Revise hechos históricos ydocumentación de soporte

• Tormenta de ideas

• Diagramas Causa-Efecto• Diagramas de flujo• Análisis de fallas y efectos

• Árboles de decisión

• Análisis de supuestos delproyecto• Análisis DOFA• Realice un “pre-mortem”

• Ingeniería inversa• Diagramas de Afinidad• Entrevistas de Expertos• Técnica Delphi



Efectos

ARBOL CAUSA - EFECTO

Causas

MATRIZ DE PLANIFICACIÓN DEL



MATRIZ DE PLANIFICACIÓN DEL

PROYECTO

DESCRICIONJERARQUICA

INDICADORESVERIFICABLES

MEDIOS DEVERIFICACIÓN

SUPUESTOS /RIESGOS

FIN / FINALIDAD / OBJETIVOSUPERIOR

PROPÓSITO /

COMPONENTES / RESULTADOS / PRODUCTOS / OBJETIVOS

ESPECÍFICOS

ACTIVIDADES

Matriz Marco Lógico desarrollada para la USAID



• Los indicadores son las medidas utilizadas para monitoreary predecir eventos

• Complementan el proceso de auto evaluación paramonitorear la efectividad de los controles• Los indicadores de riesgo ayudan a mantener el proceso GR

INDICADORES CLAVES DE RIESGO - KRI

• Dan información precisa del riesgo de un área de negocio oproceso

• No se deben confundir con indicadores de desempeño• Son una herramienta para proporcionar transparencia y

comunicar el apetito de riesgo• Un tablero eficaz de indicadores de riesgo combina medidas

ex ante y ex post

Características de los indicadores



Características de los indicadores

cantidad, calidad y tiempo• Objetivo

• Cuantificable• Clave

Indicadores

Verificables

• Específico• Práctico y fácil de medir

• Plazo claro de definir

E.J. Mishan, "es mejor tener una medida bruta del concepto adecuado, queuna medida perfecta del concepto erróneo."

ALGUNAS GUIAS PARA DISEÑAR KRI



• Estudie detenidamente los riesgos y diseñe KRI simples• Seleccione KRI prospectivos para cada categoría de riesgo• Independientemente de la disponibilidad de datos diseñe los

mejores KRI• Desarrolle KRI para los tipos de riesgo que consideran a

todos los involucrados•

ALGUNAS GUIAS PARA DISEÑAR KRI

sobre futuros acontecimientos• Equilibre las medidas ex post objetivo con las medidas exante más predictivas.

• Vincule los KRI con el Balance Scorecard de desempeño

• Invierta en tecnología para extraer y presentar información• Use criterios de priorización• Los niveles esperados de los KRI son establecidos a partir de

una línea base, utilizando el historial disponible

MATRIZ DE RIESGOS

PROBABILIDAD VALOR ZONAS DE RIESGO



Casi Certeza 5

5Zona de

Riesgo AltaReducir, evitar, compartiro transferir el riesgo

10Zona de Riesgo Alta

Reducir, evitar,compartir o transferir elriesgo

15Zona de Riesgo Extrema

Evitar, reducir, compartir otransferir el riesgo





Muy Probable 44

Zona de Riesgo ModeradoAsumir o reducir el riesgo


Reducir, evitar,compartir o transferir el

riesgo


Reducir, evitar, compartiro transferir el riesgo





6

Posible 33

Zona de Riesgo BajaAsumir el riesgo

Zona de RiesgoModerado

Asumir o reducir el

riesgo

Zona de Riesgo AltaReducir, evitar, compartir

o transferir el riesgo

Zona de Riesgo ExtremaEvitar, reducir, compartir o

transferir el riesgo

Zona de Riesgo ExtremaEvitar, reducir, compartir o

transferir el riesgo

Improbable 22


4Zona de Riesgo Baja

Asumir el riesgo

6Zona de Riesgo ModeradoAsumir o reducir el riesgo


Reducir, evitar, compartir otransferir el riesgo



Raro 11


2Zona de Riesgo Baja

Asumir el riesgo

3Zona de Riesgo ModeradoAsumir o reducir el riesgo





IMPACTO INSIGNIFICANTE MENOR MODERADO MAYOR CATASTRÓFICO

Valor 1 2 3 4 5

Alto Apetito de RiesgoPlaneación para riesgos

extremos



extremos

I m p a c t o

Probabilidad

CEO

Gerente

Subgerente

Jefe dpto

Probabilidad

I m p a c t o

Estándar Adverso al riesgo

Probabilidad

Probabilidad

I m p a c t o

I m p a

c t o

Fuente: Presentación “ISO 31000 AND INTEGRATED RISK MANAGEMENT “ RIMS Breakfast John Lark, Stratos Inc. 2008



Probabilidad Impacto Acción

Baja Baja Retener

VALORACIÓN DEL RIESGO Y ACCION A TOMAR

Baja Alta Transferir-FinanciarAlta Baja Prevención-Retener

Alta Alta Evitar



A l t a

G e r e n c i a

J u n t a D i r e c t i v a2. Riesgo Inherente

C r é d i t o

M e r c a d o

T e c n o l ó g i c o

O p e r a t i v o

C u m

p l i m i e n t o

d e l a N o r m a

E s t r a t é g i c o

G e s t i ó n

O p e r a t i v a

F i n a n c i e r o

C u m

p l i m i e n t o

A c t u a r i a l

A d m i n i s t r a c i ó n

d e R i e s g o s

A u d i t o r i a

I n t e r n a 4. Riesgo

Neto

5. Dirección

del Riesgo6. Importancia

MATRIZ DE RIESGO DE LA OSFI

1. Actividades Significativas

3. Administración de Riesgos

Calificación General

Rentabilidad

Capital

Liquidez

Composición del riesgo

Calificación de Intervención

Clasificación Dirección Tiempos

Fuente: OSFI Oficina del Superintendente de Instituciones Financiera de Canadá



RIESGO NETO

Agregado de riesgospor ActividadSignificativa

Nivel de Riesgo Inherente por Actividad SignificativaBajo Moderado

Encima delPromedio

Alto

Evaluación de Riesgo Neto

Fuerte Bajo Bajo ModeradoEncima delPromedio

Aceptable Bajo ModeradoEncima delPromedio

Alto

Necesita Mejoras Moderado Encima del Promedio Alto Alto

DébilEncima delPromedio

Alto Alto Alto

Relación entre calificación de Riesgo e IntervenciónCalificación de Riesgo Calificación de Intervención

Bajo 0 Normal

Moderado0 Normal1 Alarmas Tempranas

Por Encima del Promedio 1 Alarmas Tempranas2 En riesgo la viabilidad financiera y la solvencia

Alto2 En riesgo la viabilidad financiera y la solvencia3 Viabilidad financiera futura está en duda4 No viable / Insolvencia enminente

Fuente: OSFI Oficina del Superintendente de Instituciones Financiera de Canadá

O ll P j Th



Overall Project Threats

Threat Cause Risk Effect

Fuente: www.rmcproject.com

Ri k A ti it



Risks per Activity

Activity Cause Risk Effect


RiskRi k R ti

Risk



ActivityRisk Rating

Score Ranking Source

Cause Risk Effect Probability Impact P x I


Tratamiento del Riesgo



Tratamiento del Riesgo

(Proceso para modificarlo o transformarlo)

RiesgoInherente

Tratamiento de Riesgo(criterio: Apetito de Riesgo)

RiesgoResidual

(COSO ERM –IntegratedFramework)Riesgo expuesto en ausencia de cualquier acción (sin alterar probabilidad o consecuencia)

(COSO ERM –IntegratedFramework)Riesgo “remanente” después de tomadas

acciones


C t l d l Ri



Control del Riesgo(Intervención de la Probabilidad)

Riesgo (E) = Probabilidad (E) x Consecuencia (E)

Actividades para disminuir la

probabilidad de ocurrencia de unevento, mejorando el perfil delriesgo asociado a dicho evento

TECNICAS DE CONTROL



TECNICAS DE CONTROL

• Sistema de Control Interno• Auditoria Interna

• Sistemas de información y registro• Normas y procedimientos por línea dene ocios

• Adiestramiento• Marketing en cultura preventiva• Sistemas de Prevención y monitoreo• Sistemas de Seguridad• Herramientas tecnológicas• Soluciones a partir de Hazop• Soluciones BPM, etc.



Mitigación del Riesgo(Intervención de la Consecuencia)

Riesgo (E) = Probabilidad (E) x Consecuencia (E)

Actividades para reducir laconsecuencia una vez ocurridoun evento, mejorando el perfildel riesgo asociado a dicho

evento

TECNICAS DE MITIGACIÓN



TECNICAS DE MITIGACIÓN

Técnicas de Mitigación Técnica:• Plan de Recuperación de Desastres (DRP).• Plan de Continuidad del Negocio (BCP).

BS 25999• ISO 27001•

Técnicas de Mitigación Financiera:Procesos e instrumentos para generar los recursos

necesarios para provisionar, indemnizar y/ocompensar las pérdidas asociadas a los riesgos.Contratos - Pólizas de Seguros – ART (TransferenciaAlternativa de Riesgos)

Ri k R i t



Risk RegisterThreats and opportunities

Rootcause

Potentialrisk owner

Potentialresponses

triggers categorycause risk effect

OverallProject

Risks

Risks per activityA

BCD


Risk Response Form for Threats

h S



Threats Activity

Rating ScoreRanking Trigger Fallback Plan Risk Owner

Cause Risk Effect P I P x I




Las decisiones financieras requirieren de3 factores básicos:

Control y Mitigación del riesgoControl y Mitigación del riesgoFinancieroFinanciero

dinero, tiempo y riesgo

Control y Mitigación delControl y Mitigación del



“No coloque todos lo huevos en una canasta”La tasa interés que determina el valor de un activo con ries o

Control y Mitigación delControl y Mitigación del

riesgo Financieroriesgo Financiero

depende del nivel general de las tasa de interés (medido por latasa de interés sobre los bonos del tesoro del gobierno de losEEUU) más una prima que depende del riesgo del ingreso delactivo. Cuanto más riesgos más alta será la prima.

Tasa de retorno esperadaTasa de retorno esperada = tasa= tasa libre de riesgo + prima delibre de riesgo + prima deriesgoriesgo

ESTO SIGNIFICA REALIZAR UN AJUSTE EN LA TASA DE DESCUENTO

(WACC) UTILIZADA PARA LA EVALUACION DEL VPN

MODELO CAPM:Prima de riesgo



MODELO CAPM:Prima de riesgo = β *(Rm – Rlr)

β = Factor que mide el riesgo del mercado: Pendiente de la línea de regresión entrevariaciones de la tasa de retorno del mercado y la tasa de retorno del activo enparticular

Re = Rlr + β*(Rm – Rlr)Re = Tasa de Retorno Esperada

Rlr = Tasa libre de ries o

Rm = Tasa de retorno del mercado

OTRO MÉTODO PARA INCORPORAR EL



EL METODO DE LOS INDICADORES DE CERTEZARIESGO

FLUJO DE

CAJA

ESPERADO

FLUJO

EQUIVALENTE

CON RIESGO

FACTOR

EQUIVALENTE

DE CERTEZA α

´ ´ ´

VPNt=∑αt*Flujo de caja esperado t / (1+i)t

=

AÑO O (300.000) (300.000) 1,00 AÑO 1 100.000 96.000 0,96 AÑO 2 180.000 165.000 0,92 AÑO 3 150.000 130.000 0,87

Simulación de MontecarloSimulación de Montecarlo



Y1 = f (x1, x2, x3…xn)Variables independientes

que introducen riesgo

Procedimiento de la simulación:Procedimiento de la simulación:

1. Se seleccionan las variables a estudiar2. Se asigna una distribución de probabilidades a los

valores que tomarán las variables seleccionadas3. Generación de un número aleatorio entre 0 y 14. Se le asigna a la variable el valor que corresponda al

número aleatorio generado5. Se resuelve el modelo una cantidad elevada de veces

Distribución de Probabilidad



A B I L I D A

D

Distribución de Probabilidad

P R

O B

RESULTADO DELPROYECTO

ResultadoEsperado

ResultadoNo esperado

RIESGO Probabilidad < 1

ARTICULACIÓN:



ADMINISTRACION Y EVALUACION DEL RIESGO

www.google.com – esquemas de riesgo

Sistema de Administración del Riesgo



Principios y Políticasfrente al riesgo

Sistema de Administración del Riesgo

SAR

Proceso de

Administración

Programa deAdministración

funcionalidadorgánica



Política de Administración del Riesgo• Fija criterios para el diseño del programa de manejo

de los riesgos (apetito de riesgo, etc.)

• Incluye niveles de responsabilidad y deberes.• Establece la cultura de control interno con base al

• Establece el rol de la auditoria interna.• Establece un proceso efectivo de información yreporte interno.

Principios y Políticas frenteal riesgo

SARProceso de

Administración

Programa de

Administración

Coherencia yfuncionalidad

orgánica

Proceso de Administración del RiesgoProceso de Administración del Riesgo



ESTABLECIMIENTOESTABLECIMIENTO

DEL CONTEXTODEL CONTEXTO

IDENTIFICACIÓN DEIDENTIFICACIÓN DEEVENTOSEVENTOS

••PeligrosPeligros••OportunidadesOportunidades

DETERMINACIÓN DEDETERMINACIÓN DETÉCNICAS PARA ELTÉCNICAS PARA ELTRATAMIENTO DE LOSTRATAMIENTO DE LOS

RIESGOSRIESGOS•• Control/mitigaciónControl/mitigación•• AprovechamientoAprovechamiento

EVALUACIÓN DEEVALUACIÓN DERIESGOSRIESGOS

Principios y Políticas frente alriesgo

SARProceso de

Administración

Programa de

Administración

Coherencia yfuncionalidad orgánica



Conjunto de actividades para ejecución de las técnicas detratamiento del riesgo previamente definidas en el PAR.

Programa de Administración del Riesgo

Los programas pueden clasificarse por tipos de riesgo, porobjetivos, por líneas de negocio, por proceso, porproducto, etc.


SARProceso de

Administración

Programa de

Administración


orgánica



Con el fin de que las empresas puedan lograr los

objetivos en relación con la administración del riesgo, losesquemas organizacionales de las mismas se dividen endos grandes estructuras de responsabilidad según

Coherencia y funcionalidad orgánica

su gobierno corporativo:

• Estructura estratégica• Estructura ejecutiva


SARProceso de

Administración

Programa de

Administración


orgánica

GERENCIA

GENERAL



GERENCIA

ADMON Y

FINANZAS

GERENCIATECNICA

GERENCIACOMERCIAL

Comité Adm

Riesgo Int

U.A.R.I U.A.R.I U.A.R.I

=

Gestión

Humana

Servicios

GralesFinanzas

Jefe

S.O

U.A.R.I UNIDAD DE ADMINISTRACION DEL RESGO INTEGRAL

© 2010. Mauricio Penagos Acosta. Prohibida la reproducción sin previa autorización

Pasos a seguir para la gestión del riesgo enproyectos



1. Sensibilización

2. Definición de principios y políticas

3. Análisis de los procesos según objetivos específicos

4. Identificación de eventos por proceso o actividad

.

6. Evaluación y Valoración del Riesgo Inherente7. Definición de opciones de control y mitigación

8. Evaluación y Valoración del Riesgo Residual

9. Desarrollo del Programa de Administración Integral del Riesgo

10.Coherencia y funcionalidad orgánica

Metodología desarrollada por Mauricio Penagos Acosta AIRM, de acuerdo con la NTC 5254 y la ISO 31000

COSTO DE LA ADMINISTRACIÓN INTEGRAL DEL RIESGO





Estándares Internacionales deAdministración del Riesgo

• Norma australiana neozelandesa AS/NZ 4360• ISO 31000: 2009 - Risk Management• - n erpr se s anagemen n egra e

Framework (The Committee Of Sponsoring Organizationsof the Treadway Commission)• IFRIMA (International Federation of Risk and Insurance

Management Associations)

• FERMA (Federation of European Risk ManagementAssociations)

ALGUNA NORMATIVIDAD Y GUIAS DE REFERENCIA



• NTC 5254• Cumplimiento del artículo 4 de la ley 1150 de 2007: Distribución de

riesgos en los procesos de contratación estatal.

• Ley 87 de 1993, Ley 489 de 1998 y Decreto 1599 de 2005 : Obligatoriaimplementación del Modelo Estándar de Control Interno (MECI 1000) enlo referente al subsistema de control estratégico, componente de laadministración de ries os.

• Ley 448 de 1998 y Dec. 423 de 2001: Manejo de obligacionescontingentes en entidades estatales. Identificación matrices de riesgo.

• Ley 872 de 2003, Dec. 4110 de 2004 y 4485 de 2009: Obligatoriaimplementación del sistema de gestión de la calidad y controles sobrelos riesgos que puedan afectar al cliente y el logro de los objetivos de

entidades estatales. (NTCGP 1000:2009).• CONPES 3107 y 3133 de 2001 Política de Manejo de Riesgo

Contractual del Estado para Procesos de Participación Privada enInfraestructura



MUCHAS GRACIAS !!

Mauricio Penagos AcostaMóvil: 310 2434450

Tel. (1) 4704187 / [email protected]@gestarinnovacion.com

Documents

Riesgo_GestionIntegral