Sistema Efectivo de Análisis de Riesgo (SEAR) Actividad Empresarial del Estado
Anuncio
Sistema Efectivo de Análisis de Riesgo (SEAR) Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE Taller a Directivos Lima, 14 de octubre 2015 1. Importancia de la Gestión de Riesgo en la Empresa 1.1 ¿Qué es Gestión de Riesgos y cuál es su importancia? 1.2 Relación entre Gestión de Riesgos y otros marcos 1.3 Componentes de la Gestión de Riesgos 1.4 Avance en la Gestión de Riesgos de las Empresas de la Corporación 2. El rol de la dirección en el SEAR 2.1 Responsabilidades en el desempeño del SEAR 2.2 Funciones y rendición de cuentas 2.3 Estructura organizacional para gestión de riesgos 2.4 Rendición de cuentas 2.4 Gestión de conflictos de interés 2.5 Compromiso de la dirección 3. Sistema Efectivo de Análisis de Riesgo (SEAR) 3.1 ¿Qué es el SEAR? 3.2 Beneficios de la implementación del SEAR 3.3 Relación entre los objetivos, las políticas de la Empresa y la Política del SEAR 3.4 Estructura y principales actividades del SEAR 4. Próximos Pasos Cláusula de propiedad intelectual Este documento contiene material, ideas y conceptos que son propiedad de EY. Los materiales, ideas y conceptos aquí vertidos son para uso exclusivo del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado. El contenido de este documento no debe ser reproducido total o parcialmente por ningún medio, ni distribuido a nadie externo a FONAFE, sin el consentimiento previo y por escrito de EY. Página 2 1. Importancia de la Gestión de Riesgos en la Empresa 1.1 ¿Qué es Gestión de Riesgos y cuál es su importancia? ► Gestión de Riesgos es el conjunto de actividades coordinadas a nivel de toda la Empresa para identificar potenciales eventos que le afectarían, gestionarlos según el nivel de riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. ► Tiene como objetivo principal preservar el valor de la Empresa a través de la prevención de eventos internos y externos que puedan impactar negativamente en el logro de los objetivos de la Empresa, y del aprovechamiento de aquellos que signifiquen oportunidades para su desarrollo. ► Comprende la implementación de un enfoque y lenguaje común para asegurar que los riesgos sean identificados, evaluados, controlados y reportados de forma consistente y oportuna. Página 4 1.1 ¿Qué es Gestión de Riesgos y cuál es su importancia? La Gestión de Riesgos debe enfocarse en los temas más relevantes, buscando un óptimo equilibrio entre el impacto del riesgo asumido, el costo de la actividad de control y el valor que ésta agrega a la Empresa, asegurándose de que el costo se mantenga por debajo del valor generado. Página 5 1.2 Relación entre Gestión de Riesgos y otros marcos Permite a la dirección contar con una estrategia eficiente para procurar el cumplimiento de los objetivos de la Empresa. Gobierno Corporativo Continuidad de Negocio Impulsa el establecimiento de controles adecuados que mitiguen los efectos ante una interrupción no deseada o desastre Página 6 Brinda un enfoque en el cual deben basarse los procesos para garantizar la calidad de los productos o servicios. Gestión de Riesgos ISO 31000 Permite desarrollar una gestión de riesgos, generando un flujo de información constante. ISO 9001 Control Interno Brinda los lineamientos para el desarrollo de la Evaluación de Riesgos. 1.2 Relación entre Gestión de Riesgos y otros marcos Gobierno Corporativo Permite identificar los riesgos que afectan el desarrollo del Buen Gobierno Corporativo de la Empresa con respecto a los ámbitos de gestión de riesgos, la claridad de la comunicación y calidad de la información, y la segregación de responsabilidades. Permite el desarrollo de estrategias eficientes por parte de la dirección para procurar el cumplimiento de los objetivos. Proporciona un ambiente adecuado en el que se tienen claramente establecidos y difundidos los objetivos de la Empresa. Página 7 1.3 Componentes de la Gestión de Riesgos Ambiente de control Establece la base de la gestión de riesgos de la Empresa, a través de la definición de la filosofía de gestión integral de riesgo, el apetito de riesgo, el rol del Comité de Gestión de Riesgos, y el establecimiento de una estructura de gestión integral de riesgos. Establecimiento de objetivos La gestión integral de riesgo se asegura que la gerencia cuente con un proceso para definir objetivos que estén alineados con la misión y visión, con el apetito de riesgo y niveles de tolerancia. Los objetivos se clasifican en cuatro categorías: estratégicos, operacionales, reporte y cumplimiento. Identificación de eventos Se identifican los eventos potenciales que afectan la puesta en práctica de la estrategia o el logro de los objetivos, pudiendo tener impactos positivos o negativos. Los eventos se identifican en todos los niveles de la Empresa. Se reconoce la importancia de entender los factores internos y externos y el tipo de eventos que pueden generar. Evaluación de riesgos Permite que la Empresa entienda el grado en el cual los eventos potenciales pueden afectar los objetivos del negocio. Determina riesgos a partir de dos perspectivas: probabilidad e impacto. Se evalúan los riesgos en un escenario inherente y otro residual. Página 8 1.3 Componentes de la Gestión de Riesgos Respuesta al riesgo Las respuestas deben ser evaluadas en función de alcanzar el riesgo residual alineado con los niveles de tolerancia al riesgo. Los costos de diseñar e implantar una respuesta o estrategia de tratamiento deben ser considerados, así como los costos de mantenerla. Actividades de control Políticas y procedimientos que ayudan a la gerencia a asegurar que las respuestas a los riesgos son ejecutadas, de forma apropiada y oportuna. Están presentes en todos los niveles y áreas funcionales de la Empresa para lograr los objetivos del negocio. Información y comunicación La información relevante, debe ser identificada, capturada, procesada y comunicada en la oportunidad y forma adecuada. La Dirección y Gerencia deben enviar un mensaje al personal resaltando su responsabilidad ante la gestión de riesgos. El personal debe entender su rol en la gestión de riesgos. Monitoreo La gestión de riesgos es monitoreada evaluando la presencia y funcionamientos de sus componentes a lo largo del tiempo. La eficacia de los otros componentes se sigue mediante actividades de supervisión continua y evaluaciones independientes entre sí. Página 9 1.3 Componentes de la Gestión de Riesgos Los componentes de Gestión de Riesgos buscan el contribuir al cumplimiento de las siguientes categorías de objetivos… Estratégicos Operaciones Objetivos a alto nivel, alineados con la misión de la Empresa Objetivos vinculados al uso eficaz y eficiente de recursos. Incluye objetivos de rentabilidad y desempeño. Reporte Cumplimiento Objetivos de fiabilidad de la información suministrada Objetivos relativos al cumplimiento de leyes y normas aplicables … a través del desarrollo de actividades en estos niveles de la Empresa Despliegue de aspectos estratégicos de la gestión de riesgos a nivel corporativo. Identificación de riesgos estratégicos. Nivel Entidad Nivel de Procesos Despliegue de la gestión de riesgos en cada proceso. Identificación de riesgos que afectan puntualmente a uno o más procesos. Página 10 1.4 Avance en la Gestión de Riesgos de las Empresas de la Corporación Se ha llevado a cabo un diagnóstico de la situación actual de la gestión de riesgos de las 16 Empresas Eléctricas de la Corporación FONAFE. Dicho análisis se ha dividido en dos fases: a) Diagnóstico de la situación actual de gestión de riesgos en base a los resultados de un cuestionario estructurado de acuerdo a los componentes de los principales marcos de referencia de gestión de riesgos. Indica el porcentaje promedio de cumplimiento de las Empresas en: Ambiente de Control Establecimiento de Objetivos Identificación de Eventos Evaluación de Riesgo Respuesta al Riesgo Actividades de Control Información y Comunicación Monitoreo Página 11 b) Análisis del nivel de madurez en gestión de riesgos en base a un modelo de madurez que considera los principales marcos teóricos de gestión de riesgos revisados. Indica el nivel de madurez promedio de las Empresas: 1. Inicial/No Existe, 2. En proceso de implementación 3. Establecido/implementado 4. Avanzado 5. Optimizado/práctica líder). En los siguientes parámetros: Propósito Recursos Humanos Desarrollo de Habilidades Plan de Carrera Metodología Herramientas y tecnología Operaciones Soporte y mejora continua 1.4 Avance en la Gestión de Riesgos de las Empresas de la Corporación a) Diagnóstico de la situación actual de la gestión de riesgos basado en los resultados del cuestionario Se evaluaron los siguientes componentes: Ambiente de Control Existencia de un Comité de Gestión de Riesgos Definición de la filosofía y el apetito de riesgo Existencia de un Área de Gestión de Riesgos Responsables de Gestión de Riesgos por procesos Desarrollo de la importancia de la integridad y valores éticos en el Código de Ética, y establecimiento de canales de denuncia Desarrollo de iniciativas desde el Área de Recursos Humanos para orientar, evaluar, compensar y remediar el comportamiento ético y la competencia del personal Identificación de Eventos Identificación periódica de eventos negativos (riesgos) y positivos (oportunidades) que pueden afectar a la Empresa Identificación de eventos negativos y positivos en todos los niveles de la Empresa (entidad y procesos) Responsables de actividades de identificación de eventos y de designar su probabilidad de ocurrencia e impacto Análisis de la relación de los eventos identificados y su efecto en el cumplimiento de objetivos de la Empresa Página 12 Establecimiento de Objetivos Alineamiento de los objetivos a la misión, visión y riesgos estratégicos de la Empresa Estructuración de objetivos por estratégicos, operacionales, de reporte y de cumplimiento Conocimiento del personal de su contribución al cumplimiento de los objetivos y evaluación en función a ello Comunicación y monitoreo del cumplimiento de los objetivos Evaluación de Riesgo Evaluación de criticidad de los riesgos por probabilidad e impacto, considerando un escenario inherente y otro residual Identificación y evaluación de riesgos a nivel de entidad y a nivel de procesos Responsables definidos para identificación y evaluación de riesgos Periodicidad definida para el desarrollo de estas actividades que sea coherente con la determinación de objetivos y estrategias Formalización de los resultados de la identificación y evaluación de riesgos 1.4 Avance en la Gestión de Riesgos de las Empresas de la Corporación a) Diagnóstico de la situación actual de la gestión de riesgos basado en los resultados del cuestionario Se evaluaron los siguientes componentes: Respuesta al Riesgo Definición de respuestas a los riesgos identificados Respuestas al riesgo alineadas a los objetivos, niveles de tolerancia y apetito de riesgo de la Empresa Respuestas al riesgo definidas involucrando a personal clave en cada nivel organizativo Actividades de Control Definición de controles para dar respuesta al riesgo Controles definidos en todos los niveles organizativos Establecimiento de responsables de realizar la actividad de control y de revisar su efectividad Existencia de actividades de control preventivas, detectivas y correctivas para cada riesgo Actividades de control documentadas formalmente Respuestas al riesgo han sido comunicadas a la Dirección de la Empresa y aprobadas por ésta Información y Comunicación Política de Gestión de Riesgos vigente y comunicada Comunicación a toda la Empresa de los objetivos, tolerancia, apetito de riesgo y responsabilidades con respecto a ello Existencia de capacitaciones y actividades de sensibilización al personal con respecto a sus roles y responsabilidades en la gestión de riesgos Sistemas de información proveen información oportuna y de calidad para el desarrollo de la gestión de riesgos Canales de comunicación internos y externos, formalizados y difundidos, para detectar eventos que afecten a la Empresa Página 13 Evaluación de la relevancia de los controles y su pertinencia para dar respuesta al riesgo Monitoreo Establecimiento formal del proceso de monitoreo y evaluación del funcionamiento de los componentes de gestión de riesgos Definición de actividades de supervisión continua Dirección del monitoreo de la gestión de riesgos por parte del Comité de Gestión de Riesgos Evaluación de gestión de riesgos considera un componente de autoevaluación, un componente de evaluación de auditoría interna y un componente de evaluación de auditoría externa Resultado de las evaluaciones plasmado en oportunidades de mejora que se insertan en el desarrollo de la gestión de riesgos 1.4 Avance en la Gestión de Riesgos de las Empresas de la Corporación a) Diagnóstico de la situación actual de la gestión de riesgos basado en los resultados del cuestionario Porcentaje promedio de cumplimiento de las Empresas: 51.56% 51.04% 35.94% 35.00% 30.21% 20.31% 13.54% Página 14 Monitoreo Información y Comunicación Actividades de Control Respuesta al Riesgo Evaluación de Riesgo Identificación de Eventos Establecimiento de Objetivos Ambiente de Control 5.00% 1.4 Avance en la Gestión de Riesgos de las Empresas de la Corporación b) Análisis del nivel de madurez de las Empresas respecto de la gestión de riesgos, en base a un modelo de madurez elaborado por EY: Se evaluaron los siguientes parámetros: Página 15 1. Propósito (Política) Considera en qué medida la Empresa ha desarrollado un enfoque de gestión de riesgos a nivel corporativo. 2. Recursos humanos Evalúa cómo se han vinculado los recursos humanos de la Empresa con el fortalecimiento de la gestión de riesgos. 3. Desarrollo de habilidades Evalúa el desarrollo del conocimiento técnico y habilidades del personal necesarios para la gestión de riesgos 4. Plan de carrera Considera en qué medida se vincula el desempeño y crecimiento del personal con el desarrollo y objetivos de la gestión de riesgos en la Empresa. 5. Metodología Determina en qué medida la estrategia y las actividades de la Empresa se encuentran alineadas a las prácticas líderes de gestión de riesgos. 6. Herramientas y tecnología Evalúa el soporte brindado por las herramientas informáticas y de gestión de la Empresa al desarrollo de la gestión de riesgos. 7. Estructura organizacional Considera si el actual organigrama de la Empresa soporta una adecuada gestión de los riesgos. 8. Operaciones Determina el nivel de alineamiento entre el flujo de las operaciones de la Empresa y las medidas de gestión de riesgos. 9. Soporte y mejora continua Evalúa el proceso de supervisión y mejora continua de la gestión de riesgos. 1.4 Avance en la Gestión de Riesgos de las Empresas de la Corporación b) Análisis del nivel de madurez de las Empresas respecto de la gestión de riesgos, en base a un modelo de madurez elaborado por EY: Nivel de Madurez Promedio 1. Propósito (Política) En proceso de implementación En proceso de implementación 2. Recursos humanos En proceso de implementación 3. Desarrollo de habilidades En proceso de implementación 4. Plan de carrera Establecido/implementado 5. Metodología En proceso de implementación 6. Herramientas y tecnología En proceso de implementación 7. Estructura organizacional En proceso de implementación 8. Operaciones En proceso de implementación 9. Soporte y mejora continua Página 16 Inicial 2. El rol de la Dirección en la Gestión de Riesgos 2.1 Responsabilidades en el desempeño de la Gestión de Riesgos Los principales marcos metodológicos en gestión de riesgos establecen la necesidad de contar con una estructura organizacional bajo un enfoque centralizado-colaborativo, a través de una dinámica top-down. Ello quiere decir que las actividades de gestión de riesgos deben ser estructuradas y lideradas por un nivel Directivo de la estructura orgánica, el cual deberá contar con el apoyo de una función que se encargue de la ejecución de los lineamientos establecidos y que cuente con el apoyo del resto de unidades orgánicas en su desarrollo y materialización. Nivel 2 Lidera la implementación de las actividades del SEAR de acuerdo a los principios establecidos por la Dirección, y desde una perspectiva estratégica de la Empresa y sus riesgos. Página 18 Nivel 1 Define un Ambiente de Control apropiado para la Empresa, así como el enfoque y la dimensión de la gestión de riesgos. Asimismo, supervisa las actividades diseñadas e implementadas por la función de gestión de riesgos y asegura la eficiencia de las mismas. Nivel 3 Ejecuta la actividades del SEAR. Incluye al personal clave de cada proceso. A través de este nivel se asegura el compromiso de la gestión de riesgos y se comunica la cultura de riesgo a lo largo de toda la Empresa. 2.2 Funciones y rendición de cuentas Nivel 1 Impulsar la toma de decisiones de la Gestión de Riesgos. Definir la cultura de Gestión de Riesgos. Aprobar la declaración del apetito de riesgo, Política de Gestión de Riesgos y Plan de Gestión de Riesgos. Velar por el alineamiento entre los objetivos y actividades de la Gestión de Riesgos con el Plan Estratégico. Solicitar reportes trimestrales a la función encargada de la ejecución de la Gestión de Riesgos Evaluar anualmente el desarrollo del SEAR. Nivel 3 Apoyar a la Jefatura de Gestión de Riesgos en la elaboración de la Política de Gestión de Riesgos. Documentar y actualizar del inventario de procesos, riesgos y controles según lo definido en la Metodología de Gestión de Riesgos. Brindar soporte a la Jefatura de Gestión de Riesgos en las actividades de evaluación de riesgos. Documentar el mapa de riesgos, mantenerlo vigente y reportar su estado a la Jefatura de Gestión de Riesgos. Página 19 Nivel 2 Definir el apetito de riesgos. Proponer la Política de Gestión de Riesgos y el Plan de Gestión de Riesgos. Diseñar la Metodología para la Gestión de Riesgos. Monitorear la criticidad de los riesgos. Aprobar los criterios criterios y técnicas para la evaluación de riesgos. Elaborar el plan anual de capacitación de Gestión de Riesgos. Apoyar en el proceso de evaluación del desarrollo del SEAR a la dirección. Nivel 2 Nivel 1 Nivel 3 2.3 Estructura Organizacional para Gestión de Riesgos De acuerdo a las mejores prácticas identificadas en el mercado, se presentan las siguientes alternativas de estructura para cada una de los niveles organizativos de gestión de riesgos: Nivel 1 Para Empresas con nivel de madurez Inicial (1): Comité de Gerencia en el que participan también las Gerencias de línea Para Empresas con nivel de madurez En proceso de implementación (2): Comité de Gestión de Riesgos, conformado por al menos dos Directores y el Gerente General Para Empresas medianas y grandes con nivel de madurez Avanzado (4): Comité de Gestión de Riesgos, conformado por al menos dos Directores y el Gerente General Nivel 3 Para Empresas con nivel de madurez Inicial (1): Dueños de Proceso por cada proceso de la Empresa Para Empresas con nivel de madurez En proceso de implementación (2): Dueños de Proceso por cada proceso de la Empresa Para Empresas medianas y grandes con nivel de madurez Avanzado (4): Dueños de Proceso por cada proceso de la Empresa Página 20 Nivel 2 Para Empresas con nivel de madurez Inicial (1): Jefatura de Gestión de Riesgos con reporte a la Gerencia General Para Empresas con nivel de madurez En proceso de implementación (2): Oficina de Gestión de Riesgos a cargo de una Jefatura, y cuyo reporte funcional sea al Comité de Gestión de Riesgos Para Empresas medianas y grandes con nivel de madurez Avanzado (4): Gerencia de Gestión de Riesgos cuyo reporte funcional sea al Comité de Gestión de Riesgos Nivel 2 Nivel 1 Nivel 3 2.4 Rendición de cuentas - FONAFE El desempeño de la gestión de riesgos de la Empresa debe ser monitoreada con el fin de realizar las modificaciones necesarias. Para lograr un proceso de supervisión objetivo y completo, es recomendable contar con evaluaciones separadas, estructuradas de acuerdo a 3 componentes. Autoevaluaciones – Nivel de madurez (Anual) La dirección debe liderar las iniciativas para realizar el proceso de autoevaluación del nivel de madurez del SEAR. Evaluacion interna– Nivel de madurez (Anual) FONAFE deberá realizar una evaluación del nivel de madurez del SEAR, ya sea utilizando sus propios recursos o a través de asesoría externa. Evaluación interna – Desarrollo del Plan de Gestión de Riesgos (Semestral) FONAFE debe monitorear el cumplimiento y nivel de avance de lo establecido en el Plan de Gestión de Riesgos de la Empresa. Página 21 2.5 Gestión de conflictos de interés Tratamiento La gestión de conflictos de interés es fundamental para el cumplimiento de los objetivos de la Empresa. Asimismo, previene la desviación del desarrollo de las actividades de gestión de riesgos a causa de intereses personales y la falta de objetividad en la evaluación de su desempeño. La Empresa debe contar con canales de denuncia para usuarios externos e internos, de modo que sea posible detectar oportunamente los conflictos de interés que afecten a la Empresa. La dirección debe encargar a un responsable de gestionar los canales de denuncia. Canales de Denuncia Página 22 Se debe priorizar un menor costo, mayor efectividad, eficacia e intereses sociales (preferencia a mecanismos como los de conciliación y arbitraje). Difundir los temas considerados en el Código de Ética, considerando los lineamientos a seguir en caso de conflicto de interés. Criterios para la solución de conflictos 2.6 Compromiso de la dirección ► ► ► ► Página 23 Asegurar a través del presupuesto anual, la obtención de los recursos necesarios para el desarrollo del SEAR. Corroborar que no se le asignen funciones ajenas a la gestión de riesgos a los responsables. Reunirse periódicamente y solicitar reportes periódicos del desempeño de la Gestión de Riesgos. Aprobar oportunamente los documentos y metodologías de gestión de riesgos, y asegurar su correcta realización. 3. Sistema Efectivo de Análisis de Riesgo (SEAR) 3.1 ¿Qué es el SEAR? SEAR El Sistema Efectivo de Análisis de Riesgo es un enfoque estandarizado para la implementación de la Gestión de Riesgos en las Empresas de la Corporación. Proceso Metodología Brinda las directivas basadas en lineamientos teóricos líderes para el desarrollo de la gestión de riesgos. Página 25 Es un conjunto de actividades sistematizadas que tienen como fin alcanzar el objetivo de fortalecer la gestión de riesgos. Herramienta Proporciona instrumentos prácticos para facilitar el desarrollo de la Gestión de Riesgos. Gestión de Riesgos 3.2 Beneficios de la implementación del SEAR Gestión Crea un ambiente adecuado para el cumplimiento de los objetivos de la Empresa. Agiliza el proceso de toma de decisión de la dirección al contar con una visión de los riesgos que afectan a la Empresa. Contribuye a reducir las pérdidas que puedan afectar los resultados de la Empresa al establecer mecanismos de identificación de riesgos y de controles preventivos y correctivos. Optimiza los costos de las actividades de control a través del involucramiento oportuno y proactivo en el desarrollo y/o diseño de procesos. Mejora el valor percibido de la Empresa y facilita el acceso a capital en mercados internacionales. Página 26 3.2 Beneficios de la implementación del SEAR Resultados financieros Un estudio de EY demostró la relación en el nivel de crecimiento de las Empresas y su nivel de madurez en Gestión de Riesgos. El 20% superior de las Empresas evaluadas con mejor desempeño en gestión de riesgos obtuvo los siguientes resultados financieros: Se determinó que existe una relación directa entre el nivel de madurez de la Gestión de Riesgos y la mejora de los resultados. Página 27 3.2 Beneficios de la implementación del SEAR Percepción de los inversionistas Mejora la percepción de valor de los mercados financieros y analistas de inversión, sobre las Empresas que cuentan con una gestión del riesgo. Las evaluadoras de riesgo más prestigiosas del mundo recogen información de las Empresas y formulan indicadores de riesgo relacionados con sus prácticas de gestión de riesgos. ¿Cuál es el principal beneficio de invertir en Empresas que cuentan con un enfoque de Gestión de Riesgos? Para Standard & Poor’s, la Gestión de Riesgos crea valor para el inversionista y reduce el riesgo de su inversión. Las opiniones independientes sobre las buenas prácticas de gobernanza y gestión de riesgos en una Empresa son de gran valor en mercados emergentes. Índice GAMMA: 2. Derechos de los accionistas Página 28 1. Influencia de los accionistas 3. Transparencia, Auditoría y GIR 4. Efectividad del directorio 3.3 Relación entre los objetivos, las políticas de la Empresa y la Política del SEAR El SEAR se encuentra alineado a los objetivos corporativos y contribuye a su cumplimiento. Fortalece el Gobierno Corporativo y facilita el despliegue de otros marcos metodológicos que las Empresas deben desarrollar. La gestión adecuada y el cumplimiento de los requerimientos nomativos que aplican a las Empresas se ven soportados por el desarrollo del SEAR. Las políticas y documentos internos de las Empresas se alinean a la Política del SEAR y a sus lineamientos, de modo que se formalicen las buenas prácticas de gestión de riesgos a nivel entidad y por procesos. El SEAR hace de la identificación de eventos positivos y negativos un proceso corporativo, contribuyendo al aprovechamiento de los primeros y a la prevención de los segundos. La definición clara de los objetivos corporativos a nivel estratégicos y por procesos es fundamental para la implementación de las actividades del SEAR. Página 29 3.4 Estructura y principales actividades del SEAR Mapeo de procesos Identificación de procesos críticos Definición de apetito de riesgo Definición de objetivos Identificación de eventos SEAR Identificación de riesgos Determinación de tolerancia de riesgo ! Documentación de matrices (cont.) Definición y documentación de Elaboración de planes de acción KRI’s Elaboración de Estrategias de tratamiento Elaboración de mapas de riesgos (Inherente y residual) Probabilidad Elaboración de un cronograma de seguimiento a los planes de acción 4 A A E 3 M A A E M A B M 3 4 2 B M 1 B B 1 2 Evaluación de riesgo residual E Impacto (cont.) de riesgos y controles a nivel de entidad y de procesos Reporte del avance de la implementación SEAR a FONAFE Página 30 Evaluación del riesgo residual Evaluación de efectividad y y actualizar su calificación actualización de controles Evaluación de KRI’s y modificación de estrategias de tratamiento al riesgo y planes de acción Seguimiento a la implementación de planes de acción de acuerdo al cronograma Evaluación de la gestión de riesgos y envío de los resultados a FONAFE para su aprobación Identificación y documentación de actividades de control existentes Evaluación de riesgo inherente 3.4 Estructura y principales actividades del SEAR 1. Mapeo de procesos 2. Definición de objetivos 3. Definición del apetito de riesgo 4. Identificación de procesos críticos Entendimiento de las operaciones contenidas en los procesos existentes con el objetivo de dimensionar la gestión de riesgos de la Empresa. Los objetivos deben estar alineados a la misión y visión de la Empresa, y ser comunicados a todo el personal. La gestión de riesgos se orienta en función a ellos. Nivel de riesgo que la Empresa decide asumir durante el proceso de consecución de sus objetivos. De acuerdo a la criticidad de los procesos para la Empresa, se organiza la designación de esfuerzos en gestión de riesgos. Los procesos existentes deben agruparse Los objetivos a nivel entidad se en procesos estratégicos, de negocio y categorizan en estratégicos, de apoyo. operacionales, de reporte y de cumplimiento. El objetivo de un proceso, es la finalidad por la cual se desarrolla. Es decir, la razón por la cual es importante para la Empresa El apetito de riesgo se define a través de un modelo top-down, considerando estos aspectos: - Negocio de la Empresa - Aspectos jurídicos y normativos, - Operación de la Empresa, - Tecnologías, - Tecnologías de la información, - Aspectos financieros, factores sociales y humanitarios - Fraude Los procesos se priorizan considerando: - Materialidad - Las expectativas de la dirección y la alta gerencia - Impacto en objetivos estratégicos - Complejidad de las operaciones - Volumen de las operaciones - Nivel de automatización - Importancia en la continuidad del negocio SEAR Página 31 3.4 Estructura y principales actividades del SEAR 5. Identificación de eventos 6. Identificación de riesgos Identificación de eventos positivos que deben ser aprovechados y de eventos negativos que deben prevenirse para no materializarse en riesgos. Identificación de riesgos a nivel entidad y por procesos, y categorización de los mismos de acuerdo a su naturaleza y tipo. Los eventos pueden ser identificados a través de un Análisis FODA. ! La naturaleza del riesgo se refiere a las características propias del sector que lo generan. Los riesgos pueden ser de tipo estratégicos, operacionales, de reporte, de cumplimiento, de tecnologías de la información y de fraude. 7. Determinación de tolerancia al riesgo 8. Evaluación del riesgo inherente Umbral de riesgo que la Empresa está dispuesta a asumir considerando el nivel de apetito de riesgo como tope. Determinación de la criticidad del riesgo en función a su probabilidad de ocurrencia e impacto, en su estado natural (sin controles). Se define considerando estos aspectos: - Negocio de la Empresa - Aspectos jurídicos y normativos, - Operación de la Empresa, - Tecnologías, - Tecnologías de la información, - Aspectos financieros, factores sociales y humanitarios - Fraude La combinación de las evaluaciones de impacto y probabilidad de ocurrencia representan un cruce dentro del mapa de riesgos que define la calificación del riesgo evaluado. SEAR Página 32 9. Identificación y documentación de actividades de control existentes Identificación de las actividades que existen para controlar los riesgos identificados. Los controles se clasifican según la periodicidad en que se ejecutan y su grado de automatización. 10. Evaluación del riesgo residual 11. Elaboración de mapas de riesgos Probabilidad 3.4 Estructura y principales actividades del SEAR 4 A 3 M A A E 2 B M A M E A 1 B B B M 1 2 3 4 Impacto Determinación de la criticidad del riesgo en función a su probabilidad de ocurrencia e impacto, considerando las actividades de control existentes. Sirve como principal indicador para medir la efectividad de los controles, midiendo la variación entre el riesgo inherente y el residual. Registro de resultados obtenidos en las evaluaciones de riesgos inherente y residual. Se debe procurar mantener la mayor parte de los riesgos en la zona inferior izquierda, donde son menos críticos. E 12. Elaboración de estrategias de tratamiento Definición de estrategias de tratamiento a los riesgos identificados para mantenerlos dentro de los niveles establecidos en el apetito de riesgo. Las respuestas pueden ser evitar, reducir, compartir, aceptar, explotar y eliminar el riesgo. SEAR Página 33 3.4 Estructura y principales actividades del SEAR 13. Elaboración de planes de acción Establecimiento de planes de acción que materialicen las estrategias de tratamiento al riesgo. En los planes de acción deben identificarse los responsables de su implementación así como la fecha de inicio y fin. Estos deben ser documentados y monitoreados permanentemente. 14. Definición y documentación de KRI’s 15. Elaboración de un cronograma de seguimiento a los planes de acción Seguimiento al desarrollo de las estrategias de respuesta al riesgo en base a métricas. Los planes de acción definidos se consolidan y monitorean a través de un cronograma de implementación. Los KRI’s son aplicados para los riesgos residuales de severidad igual o mayor a Alto y que estén relacionados a un proceso crítico. Los planes de acción asociados a riegos residuales con mayor criticidad deben ser priorizados. 16. Reporte del avance del SEAR a FONAFE Monitoreo del nivel de avance de implementación del Plan de Gestión de Riesgos. Semestralmente se reportará a FONAFE el estado del cumplimiento del Plan de Gestión de Riesgos. SEAR Página 34 3.4 Estructura y principales actividades del SEAR 17. Evaluación del riesgo residual y actualización de su calificación 18. Evaluación de efectividad de controles y actualización de controles 19. Evaluación de KRI’s 20. Evaluación del SEAR y envío de resultados a FONAFE Evaluación del riesgo residual para determinar si ha disminuido a causa del despliegue de planes de acción, en función a las estrategias de tratamiento. Evaluación de la pertinencia de los controles para disminuir el riesgo residual, en función a las estrategias de tratamiento. Evaluación de KRI’s para determinar la necesidad de modificar estrategias de tratamiento y planes de acción. Ello permite determinar la efectividad, estrategias de tratamiento y planes de acción. La evaluación de controles se realiza en dos niveles: diseño del control y efectividad del control Se debe verificar que el nivel de los KRI´s se encuentre dentro del valor definido. Anualmente, se deberá llevar a cabo una autoevaluación del desempeño del SEAR, a través de un análisis del nivel de madurez de la gestión de riesgos de la Empresa. En caso haya alguna variación, se actualiza en el mapa de riesgos y en la matriz. Los resultados de la autoevaluación deben reportarse a FONAFE. SEAR Página 35 4. Próximos Pasos 4. Próximos Pasos Implementación, Evaluación y Respuesta al Riesgo ► Asistir en el proceso de implementación del SEAR (a nivel entidad y procesos(*)) a las siguientes Empresas: ► ► ► Empresa de Generación Eléctrica de Arequipa S.A. (EGASA) Sociedad Eléctrica del Sur Oeste S.A. (SEAL) HIDRANDINA S.A. (HIDRANDINA) ► Elaboración de un listado general de riesgos prototipo, en los que estarían inmersas las Empresas bajo el ámbito de FONAFE, así como definir las alternativas de respuesta al riesgo a considerar. ► Elaboración de un listado general de riesgos prototipo, en los que estarían inmersas las Empresas de la Corporación FONAFE, así como definir las alternativas de respuesta al riesgo a considerar. (*) Para efectos de la implementación a nivel de procesos se elegirán dos procesos críticos y uno de soporte. Página 37 Sistema de Efectivo Análisis de Riesgo (SEAR) Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE Taller a Directivos Lima, 14 de octubre 2015 Anexos Anexo Estructura y principales actividades del SEAR ► Riesgo a nivel entidad: Que no se comunique oportunamente la información que debe transmitirse a los accionistas debido a que no se ha definido de manera clara y formal al responsable de organizar dicha información y comunicarla. ► Riesgo a nivel de proceso: Que se produzcan errores en los pagos a proveedores o dobles procesamientos debido a la recepción de información duplicada. ! Página 40 Anexo Avance en la Gestión de Riesgos de las Empresas de la Corporación Diagnóstico de la situación actual de la gestión de riesgos basado en los resultados del cuestionario: Establecimiento de Objetivos: 51.56% 56.25% 100.00% 43.75% 43.75% Página 41 18.75% 0.00% 31.25% 43.75% 56.25% 31.25% Pregunta 7 Pregunta 8 Pregunta 9 Pregunta 10 12.50% 75.00% 18.75% 100.00% Pregunta 11 Pregunta 12 Pregunta 13 Pregunta 14 Pregunta 14 0.00% Pregunta 13 0.00% Pregunta 10 Pregunta 8 Pregunta 7 Pregunta 6 Pregunta 5 Pregunta 4 Pregunta 3 Pregunta 2 Pregunta 1 Pregunta 1 Pregunta 2 Pregunta 3 Pregunta 4 Pregunta 5 Pregunta 6 18.75% 12.50% Pregunta 12 18.75% 0.00% 100.00% 75.00% 31.25% Pregunta 9 31.25% Identificación de Eventos: 35.94% Pregunta 11 Ambiente de Control: 30.21% 100.00% 0.00% 43.75% 0.00% Anexo Avance en la Gestión de Riesgos de las Empresas de la Corporación Diagnóstico de la situación actual de la gestión de riesgos basado en los resultados del cuestionario Evaluación de Riesgo: 51.04% Respuesta al Riesgo: 20.31% 93.75% 75.00% 37.50% 31.25% 25.00% 56.25% 25.00% 18.75% 37.50% Pregunta 21 Pregunta 22 Pregunta 23 Pregunta 24 31.25% 0.00% 25.00% 25.00% Pregunta 25 Pregunta 26 Pregunta 27 Pregunta 28 Pregunta 29 Pregunta 30 Pregunta 29 Pregunta 30 Pregunta 27 Pregunta 25 Pregunta 24 Pregunta 23 Pregunta 22 Pregunta 21 Pregunta 20 Pregunta 19 Pregunta 18 Pregunta 17 Pregunta 16 Pregunta 15 Página 42 93.75% 56.25% 25.00% 37.50% 18.75% 75.00% 6.25% 0.00% 0.00% Pregunta 15 Pregunta 16 Pregunta 17 Pregunta 18 Pregunta 19 Pregunta 20 6.25% Pregunta 28 12.50% 18.75% Pregunta 26 25.00% Actividades de Control: 13.54% 37.50% 0.00% 18.75% 6.25% 6.25% 12.50% Anexo Avance en la Gestión de Riesgos de las Empresas de la Corporación Diagnóstico de la situación actual de la gestión de riesgos basado en los resultados del cuestionario Monitoreo: 5.00% Información y comunicación: 35.00% 43.75% 31.25% 37.50% 25.00% 37.50% Pregunta 31 Pregunta 32 Pregunta 33 Pregunta 34 Pregunta 35 Página 43 31.25% 43.75% 25.00% 37.50% 37.50% Pregunta 36 Pregunta 37 Pregunta 38 Pregunta 39 Pregunta 40 0.00% 0.00% 0.00% Pregunta 39 Pregunta 40 Pregunta 37 Pregunta 36 Pregunta 35 Pregunta 34 Pregunta 33 Pregunta 32 Pregunta 31 0.00% Pregunta 38 25.00% 0.00% 25.00% 0.00% 0.00% 0.00% Anexo Avance en la Gestión de Riesgos de las Empresas de la Corporación Análisis del nivel de madurez de las Empresas respecto de la gestión de riesgos, en base a un modelo de madurez elaborado por EY 1 Inicial 2 En proceso de implementación 3 Establecido/implementado 4 Avanzado 5 Optimizado/práctica lider En proceso de implementación 37.50% 62.50% 0.00% 0.00% 0.00% 2 Inicial 2 En proceso de implementación 3 Establecido/implementado 4 Avanzado 5 Optimizado/práctica lider 18.75% 37.50% 31.25% 12.50% 0.00% En proceso de implementación 2 Optimizado/práctica lider Avanzado Establecido/impleme ntado Optimizado/práctica lider Avanzado Establecido/impleme ntado En proceso de implementación Inicial 1 En proceso de implementación 9 8 7 6 5 4 3 2 1 0 Optimizado/práctica lider Avanzado Establecido/impleme ntado En proceso de implementación 6 Página 44 3. Desarrollo de habilidades 7 6 5 4 3 2 1 0 10 Inicial 12 10 8 6 4 2 0 2. Recursos Humanos Inicial 1. Propósito (Política) 4 Avanzado 5 Optimizado/práctica lider 50.00% 50.00% 0.00% 0.00% 0.00% En proceso de implementación 2 1 Inicial 2 En proceso de implementación 3 Establecido/implementado Anexo Avance en la Gestión de Riesgos de las Empresas de la Corporación Análisis del nivel de madurez de las Empresas respecto de la gestión de riesgos, en base a un modelo de madurez elaborado por EY 5. Metodología 1 Inicial 2 N.A. 3 Establecido/implementado 4 Avanzado 5 Optimizado/práctica lider Establecido / Implementado Página 45 25.00% 0.00% 75.00% 0.00% 0.00% 3 6. Herramientas y Tecnología 12 10 8 6 4 2 0 1 Inicial 2 En proceso de implementación 3 Establecido/implementado 4 Avanzado 5 Optimizado/práctica lider 31.25% 62.50% 6.25% 0.00% 0.00% En proceso de implementación 2 Optimizado/práctica lider Avanzado Establecido/impleme ntado En proceso de implementación Inicial Optimizado/práctica lider Avanzado Establecido/impleme ntado 9 8 7 6 5 4 3 2 1 0 En proceso de implementación Optimizado/práctica lider Avanzado Establecido/implemen tado N.A. Inicial 14 12 10 8 6 4 2 0 Inicial 4. Plan de Carrera 1 Inicial 2 En proceso de implementación 3 Establecido/implementado 4 Avanzado 5 Optimizado/práctica lider 37.50% 50.00% 12.50% 0.00% 0.00% En proceso de implementación 2 Anexo Avance en la Gestión de Riesgos de las Empresas de la Corporación Análisis del nivel de madurez de las Empresas respecto de la gestión de riesgos, en base a un modelo de madurez elaborado por EY 1 Inicial 2 En proceso de implementación 3 Establecido/implementado 4 Avanzado 5 Optimizado/práctica lider En proceso de implementación Página 46 6 37.50% 9 56.25% 1 6.25% 0 0.00% 0 0.00% 2 1 Inicial 2 En proceso de implementación 3 Establecido/implementado 4 Avanzado 5 Optimizado/práctica lider En proceso de implementación 3 18.75% 5 31.25% 7 43.75% 1 6.25% 0 0.00% 2 1 Inicial 2 En proceso de implementación 3 Establecido/implementado 4 Avanzado 5 Optimizado/práctica lider Inicial Optimizado/práctica lider Avanzado 14 12 10 8 6 4 2 0 Establecido/implemen tado Optimizado/práctica lider Avanzado Establecido/implemen tado En proceso de implementación 8 7 6 5 4 3 2 1 0 Inicial Optimizado/práctica lider Avanzado Establecido/implemen tado Inicial En proceso de implementación 10 9 8 7 6 5 4 3 2 1 0 9. Soporte y mejora continua En proceso de implementación 8. Operaciones Inicial 7. Estructura organizacional 12 75.00% 4 25.00% 0 0.00% 0 0.00% 0 0.00% 1
