Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Inteligencia al Riesgo
Construyendo la Empresa
Inteligente al Riesgo
Mauricio Roa
Gerente Consultoría en Riesgos
Septiembre 2011
.
© 2008 Deloitte Touche Tohmatsu
Agenda
I. IntroducciónII. Definición de inteligencia en riesgoIII. Marco conceptual para la inteligencia en riesgoIV. 9 principios para formar empresas inteligentes en RiesgoV. Un modelo de Madurez para la Inteligencia en RiesgoVI. Preguntas
© 2008 Deloitte Touche Tohmatsu
Definiendo el riesgo de fraude
• Riesgo es la exposición a un evento (o serie de eventos) que pueden afectar adversamente el logro de los objetivos de la organización.
• Dos tipos de riesgo:–Riesgo sin recompensa - no ofrece ninguna recompensa si se gestiona correctamente.
–Riesgo con recompensa – ofrece recompensa si se gestiona correctamente.
© 2011 Deloitte Touche Tohmatsu
…Y la Gestión de Riesgos
• Definida en términos generales, la gestión de riesgos es la disciplina de mejorar sus posibilidades de supervivencia y éxito, particularmente en momentos de incertidumbre y turbulencia
© 2011 Deloitte Touche Tohmatsu
Source: Surviving and Thriving in Uncertainty:
Creating the Risk Intelligent Enterprise
… Entonces la Gestión de Riesgos es…
© 2011 Deloitte Touche Tohmatsu
Un proceso para construir e integrar la gestión de riesgos en
la cultura y los procesos de la organización
Un proceso que provee responsabilidad y transparencia sobre la gestión de riesgos en
todos los niveles de la organización.
Un enfoque común para identificar, gestionar y
comunicar riesgos.
Una estructura que ofrece un proceso de análisis consistente
para evaluar los riesgos planteados
ERM es la capacidad de establecer el contexto, identificar, analizar, evaluar, integrar, tratar, monitorear y comunicar los riesgos encontrados en toda la Organización de forma
que esté alineada con sus objetivos estratégicos.
Prácticas actuales de gestión de riesgos
• Operando en Silos – Hablando diferentes lenguajes
– Falta de información centralizada de riesgos
• Focalizada en los riesgos sin recompensa – Cumplimiento de requisitos regulatorios
– Evaluar el riesgo para preservar el valor
• Tener un enfoque reactivo – Procesos organizacionales no alineados con la gestión del
riesgo
© 2011 Deloitte Touche Tohmatsu
Estrategia y Ejecución
Economia
Insurance
Negocio
ProcesosCultura
RiesgosEstratégicos
Mercados de Capital& tesoreríaRM, RL
CreditAnalytics
ProteccionDe
ActivosOperationsCompliance
SOXFinancialInternalControl
ProfitRecovery
Etica
Cumplimiento InternalAudit
Seguridad FísicaY de Información
SeguridadInf.
Flexibilidadestratégica,
Riesgo deejecuciónOperaciones
Multiline, MultiriskInsurance Products
RiesgoOperacional
Gente, Procesos, SistemasFactoresExternos
Property, Casualty,Liability
Risk Management
Prácticas actuales de gestión de riesgos
© 2011 Deloitte Touche Tohmatsu
Empresa
Inteligente al
Riesgo.
© 2011 Deloitte Touche Tohmatsu
Definiendo la inteligencia en riesgo
© 2011 Deloitte Touche Tohmatsu
Understands risk is integral to the pursuit of value
Understands risk management must be built into the core ways of protecting existing assets and of creating future value
Assumes turbulence is inevitable and emphasizes proactive behaviour to improve both resilience and agility
Is vigilant for a broad range of opportunities and risks across the enterprise
Considers interactions and potential impacts among multiple risks
Creates a common language of terms and metrics for value and risk
Creates a risk-focused culture
Encourages informed risk-taking for reward and value creation, rather than pure risk avoidance
Acknowledges the need for specialization by business function, as well as the need to harmonize, synchronize, and rationalize risk management and controls
The Risk Intelligent Enterprise considers the ability to anticipate and react to
market opportunity as important as readiness for a potentially devastating
business disruption.
The Risk Intelligent Enterprise is an organization that…
Definiendo la inteligencia en riesgo (cont.)
© 2011 Deloitte Touche Tohmatsu
• Enables increased transparency by the Board and senior management into risk
management
• Minimizes crisis management/reactive risk management
• Improves the understanding, prioritizing and management of risk exposures
• Enhances investor confidence
• Clarifies responsibility of risk ownership and promotes organizational accountability
• Makes risk management everyone’s job and empowers employees
• Establishes world class risk management practices to enhance competitive advantage
• Enables assessment on the upside of risk-taking
• Enhances estimation of capital needs and more efficient capital deployment
• Enhances ability to better manage limited funding and resources through effective
allocation to priority areas
• Improves market capitalization
• Aggregates and integrate significant risks to create an enterprise-wide view of the
company’s risk profile and its “in control” status
• Equips business and corporate areas with the capabilities to proactively identify,
assess, and report on the control of their significant financial and non-financial risks
within the context of the business objectives
• Emphasis on risk concentrations and those risks that may have been previously
overlooked
• Allows for informed choices when responding to evolving regulatory and external
environment
Improved and
proactive
management focus
Risk aware culture
and enhanced
accountability
Effective cost
management and
resource allocation
Integrated view of
risk across the
organization
Arquitectura de un ERM
© 2011 Deloitte Touche Tohmatsu
The Risk Intelligent EnterpriseTM
Risk Governance
Common Def inition of Risk
Common Risk Framework
Roles and Responsibilities
Transparency for Governing Bodies
Common Risk Inf rastructure
Executive Management Responsibility
Objective Assurance and Monitoring
Business Unit Responsibility
Support of Pervasive Functions
Risk Infrastructure
and Management
Risk
Ownership
Risk Process
Risk Classes
Oversight
Common Risk
Inf rastructure
Tone at the top
Technology People Process
Assess and Evaluate
Risks
IntegrateRisk
Respond to Risks
Design, Implement,
and test controls
Identify RisksMonitor, Assure,
and Escalate
Governance Strategy and
Planning
Operations
Infrastructure
Compliance Reporting
Board of Directors
Executive Management
Business Units
and Supporting
Functions
Risk appetite
Nivel 3. Risk Management Processes
© 2011 Deloitte Touche Tohmatsu
Ability to understand the significant and emerging risks to facilitate appropriate risk management responses
Ability to express risk in a consistent, objective and comparable manner
A structured and disciplined approach to evaluate and/or prioritize risks based on each risk’s potential to impact the achievement of business strategies and objectives
Range of possible actions that could be taken to address risk based on risk appetite and risk management capability
Ensures riskexposures are elevated to the appropriate level for discussion and resolution as required
Risk
Identification
Risk
Measurement
Risk
Assessment
Risk
Response
Escalation &
Monitoring
Identify
Risks
Assess and
Measure
RisksRespond
to Risks
Design &
Test Controls
Sustain &
Continuously
Improve
Develop and
Deploy
Strategies
Monitor,
Assure &
Escalate Risk Intelligence
To Create &
Preserve Value
Identificar
riesgos
Evaluar y
medir
riesgos Responder a
los riesgos
Definir
y probar
controles
Mejora
continua y
sustentable Desarrollo de
estrategias
Monitoreo
INTELIGENCIA
EN RIESGOS
1
2
3
4
5
6
7
Inteligencia en Riesgos Relación de Valores, Riesgos y Procesos
RIES
GO
S C
OR
PO
RA
TIV
OS Estratégicos
Operacionales
Financieros
RegulatoriosProcesos de
Apoyo
Procesos Operacionales
Procesos de Gobierno
Corporativo
PR
OC
ES
OS
DE N
EG
OC
IO
Aumento de ingresos
Optimización de costos
Efectividad de los activos
Atención de las expectativas
VALOR A LOS ACCIONISTAS
Auditoria Interna y Gestión de Riesgos
CONTROL Y MONITOREO
© 2011 Deloitte Touche Tohmatsu
Marco Conceptual
para la Inteligencia
en Riesgos.
© 2011 Deloitte Touche Tohmatsu
Riesgos
Operaciones& TI
Finanzas
Legal &cumplimiento
Junta Directiva
Comité Ejecutivo de Riesgo Auditoria Interna
Infraestructura Común
IdentifyRisks
Assess and Measure RisksRespond
to Risks
Design & Test Controls
Sustain & Continuously
Improve Deploy Strategies
Monitor, Assure & Escalate Risk Intelligence
To Create &
Preserve Value
Identificar
riesgos
Evaluar y
medir
riesgos Responder a
los riesgos
Definir
y probar
controles
Mejora
continua y
sustentableDesarrollo de
estrategias
Monitoreo
INTELIGENCIA
EN RIESGOS
1
2
3
4
5
6
7
Procesos Comunes Datos Comunes Arquitectura Común
Identificar Riesgo
Evaluar y Medir Riesgos
Responder a los
Riesgos
Diseñar, implement
ar y probar
controles
Monitorear, escalar.
Des
arro
llar
y d
esp
liegu
e d
e es
trat
egia
s
Personas Procesos Tecnología
Sost
enib
ilid
ad y
mej
ora
mie
nto
co
nti
nu
o
Gobierno Estrategia y
Planeación
Operaciones/
Infraestructura
CImplimiento Reporte
Facilitadores
El esquema de inteligencia en riesgo
© 2011 Deloitte Touche Tohmatsu
Auditoria InternaAsegura
Junta DirectivaEstablece el Tono
CEOEstablece Ordenes
CROSupervisa
Sucursal/ Unidad de Negocios
Administra
Gerencia de RiesgosMonitorea
Manejo de Riesgos Corporativos
Responsabilidad especifica por el manejo de riesgos en sus subsidiarias
Responsabilidad final por la administración de riesgos corporativos
Supervisa que el ERM se encuentra establecido, documentado y mantenido.
Asegura que los procesos de administración de riesgos son monitoreados y controlados de forma apropiada en toda la compañía
Responsabilidad global para la medición y monitoreo del desempeño de la administración de Riesgos en la compañía
Reportando
Marco ERM - Roles y Responsabilidades
Comité de RiesgosEstablece Políticas
Asegura la implementación y definición de las políticas y marcos de administración de Riesgos (ERM) a lo largo de la compañía
© 2011 Deloitte Touche Tohmatsu
Tecnología
Nivel Corporativo de Análisis y de Reporte
Aplicaciones de Manejo de Riesgo Aplicaciones Corporativas
Correlación del Riesgo
Apetito al Riesgo
Cálculo y Modelo
de Capital
Portafolio Agregadode Riesgo
Análisis de
Escenario
Reporte de Riesgo
Tabla de Mando
Monitoreo/Alertas/Limites/
KRL’s
WorkflowAdministración de documentos
Issuemanagement
Sistema de tratamiento de
riesgos
IT Management
Systems
Sistemas Financieros
Sistemas de manejo
de RH
Sistemas de
Auditoría
Data Warehouse de Riesgos
Motor de Manejo de Calidad de los datos
Extraer, Transformar y Cargar
Motor de Riesgo de Mercado
Motor de Riesgo de
Crédito
Motor de Tesoreria
/AML
Motor de Riesgo
Operativo
Motor de Riesgo
Ambientales
Motor de Riesgos
Estratégicos
© 2011 Deloitte Touche Tohmatsu
9 Principios para formar
empresas inteligentes en
Riesgo.
© 2011 Deloitte Touche Tohmatsu
Infraestructura y supervision
Propiedad del Riesgo
Operaciones y TI
FinanzasLegal y
cumplimineto
Gobierno
del riesgo
Gente ProcesoTecnolog
ía
9 Principios para formar empresas inteligentesen Riesgo
© 2011 Deloitte Touche Tohmatsu
9 Principios para formar empresas inteligentesen Riesgo
Riesgo en
infraestructura y supervision
Riesgo de propiedad
Operaciones y TI
FinanzasLegal y
conformidad
Gobierno
del riesgo
Gente ProcesoTecnolog
ía
Gobierno del Riesgo
#1 –Una definición común de riesgo, la cual direcciona preservación y creación de valor, es usada consistentemente en la organización
#5 –Cuerpos de gobierno (e.g., juntas, comité de auditoría, etc) poseen la transparencia y visibilidad apropiada en las prácticas de manejo de riesgos para cumplir con sus responsabilidades.
#2 –Un marco común de riesgo soportado por estándares apropiados es usado a lo largo de la organización.
#3 –Roles clave, responsabilidades y autoridad relacionada con el manejo de riesgos, son claramente definidas dentro de la organización.
© 2011 Deloitte Touche Tohmatsu
9 Principios para formar empresas inteligentesen Riesgo
infraestructura y supervision
Propiedad del Riesgo
Operaciones y TI
FinanzasLegal y
conformidad
Gobierno
del riesgo
Gente ProcesoTecnolog
ía
Infraestructura de Riesgo y Regulación
#6 – La gerencia ejecutiva tiene asignada primordialmente la responsabilidad de diseñar, implementar y mantener un programa de riesgos efectivo.
#4 –Una infraestructura común de manejo del riesgo es usada para apoyar las unidades de negocio y sus funciones en el desempeño de sus responsabilidades
#9 –Algunas funciones (e.g., auditoría interna, Gerencia de riesgo, Cumplimiento , etc.) proveen un aseguramiento objetivo , asícomo monitoreo y reporte de la efectividad del programa de riesgos de la organización a los cuerpos de gobierno y gerencia ejecutiva.
© 2011 Deloitte Touche Tohmatsu
9 Principios para formar empresas inteligentesen Riesgo
Riesgo en
infraestructura y supervision
Propiedad de Riesgos
Operaciones y TI
FinanzasLegal y
conformidad
Gobierno
del riesgo
Gente ProcesoTecnolog
ía
Propiedad de Riesgos
#8 –Algunas funciones (e.g., finanzas, legal, RH, etc.) tienen un amplio impacto en el negocio y proveen apoyo a las unidades de negocio mientras se relaciona con el programa de riesgos de la organización.
#7 –Unidades de negocio ( departamentos, agencias, etc.) son responsables del desempeño de sus negocios y el manejo de riesgos que toman dentro del esquema definido por la gerencia ejecutiva.
© 2011 Deloitte Touche Tohmatsu
Un modelo de Madurez
para Medir la Inteligencia
en Riesgo.
© 2011 Deloitte Touche Tohmatsu
Top Down
Marco, programa de gobierno y políticas comunes
Evaluaciones de riesgo rutinarias
Comunicaciones de los riesgos más importantes a la junta directiva
Comité Ejecutivo/Directivo Intercambio de conocimiento
entre las funciones de riesgo Actividades de Concientización Consultoría formal sobre
riesgos •La dirección de riesgo es una
función establecida para todas las unidades de negocio.
Administración de riesgo sistémica
Actividades coordinadas de administración de riesgos a través de los Silos
Las necesidades de riesgo están definidas
Monitoreo, Medición y Reporte del riesgo en toda la organización
Implementación tecnológica Planes de Contingencia y
procedimientos para escalar emergencias
Entrenamiento en administración del Riesgo
Silos Especializados
Actividades de administración de riesgo independientes
Enfoque limitado en los enlaces entre riesgos . Alineación limitada de los riesgos con las estrategias
Funciones de monitoreo y reporte inconsistente
La mayor parte de las actividades sonrealizadas por un pequeño número de especialistas en las áreas de riesgo claves.
Inteligencia al Riesgo
Embebido en planeación estratégica, asignación de capital, desarrollo de productos, etc.
Indicadores tempranos de alerta de riesgos
Enlazado a medición del desempeño /incentivos
Modelaje del riesgo /Escenarios
Benchmarking en la industria
Un Modelo de Madurez para Evaluar la Administración del Riesgo
Valo
r a
lo
s I
nte
resad
os
Madurez de administración de riesgo empresarial Integrada
Administración de Riesgo Sistémica
Inteligencia alRiesgo
Top DownSilos Especializados
Primitivo y Heroico
Ad-hoc/caótico
Depende principalmente de capacidades heroicas individuales y sabiduría verbal
Los procesos y los procedimientos no se encuentran definidos y/o no son aplicados
La gente no conoce los riesgos a los cuales se expone y reacciona a los eventos de riesgo a medida que van surgiendo.
Primitivo y Heróico
1. ¿Cuál es competencia actual de la compañía para administrar el perfil de riesgo ?
2. ¿Qué tan competente necesita ser?
3. ¿Cómo puede llegar a ese estado ideal de Competencia o madurez? ¿Cuándo ?
© 2011 Deloitte Touche Tohmatsu
Preguntas?, Comentarios
© 2011 Deloitte Touche Tohmatsu
Este documento, el cual contiene material, ideas y conceptos, ha sido desarrollado por Deloitte para un único destinatario ycon una destinación específica, por lo que no puede ser utilizado por personas naturales o jurídicas diferentes y/o para fines diferentes a los especificados. El contenido de este documento es de nuestra exclusiva propiedad, no pueden utilizarse ninguno de los conceptos, metodologías e información específica ni reproducirse total o parcialmente en cualquier medio, sin autorización previa y escrita de Deloitte.
En caso de que usted no acepte esta propuesta, le solicitamos nos devuelva todas las copias de este documento, entendiéndose que usted no retuvo copias totales o parciales de este documento o de su contenido.
Una firma miembro deDeloitte & Touche Tohmatsu
Contactos
Consultoria en RiesgosCra. 7#74-09Bogotá
Mauricio Roa Colombia
Gerente
Tel: 571 546 1810Ext: [email protected]
Member ofDeloitte Touche Tohmatsu
Este documento, el cual contiene material, ideas y conceptos, ha sido desarrollado por Deloitte para un único destinatario ycon una destinación específica, por lo que no puede ser utilizado por personas naturales o jurídicas diferentes y/o para fines diferentes a los especificados. El contenido de este documento es de nuestra exclusiva propiedad, no pueden utilizarse ninguno de los conceptos, metodologías e información específica ni reproducirse total o parcialmente en cualquier medio, sin autorización previa y escrita de Deloitte.
En caso de que usted no acepte esta propuesta, le solicitamos nos devuelva todas las copias de este documento, entendiéndose que usted no retuvo copias totales o parciales de este documento o de su contenido.
www.deloitte.com
Una firma miembro deDeloitte & Touche Tohmatsu