Sistema Efectivo de Análisis de Riesgo (SEAR) Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE Taller a Personal Clave Lima, 21 de octubre 2015 Agenda – Día 2 III Actividades de Control 3.1 Criterios para la identificación y documentación de 3.2 Clasificación de Controles IV controles Evaluación de Riesgos 4.1 Definición de la criticidad por probabilidad e impacto 4.2 Evaluación del riesgo inherente 4.2 Evaluación del riesgo residual V Tratamiento al Riesgo 5.1 Elaboración de estrategias de tratamiento al riesgo 5.2 Elaboración de planes de acción 5.3 Definición y documentación de KRI’s VI Seguimiento y Monitoreo Continuo 6.1 Cronograma de seguimiento a los planes de acción 6.2 Evaluación del riesgo residual y actualización su calificación 6.3 Evaluación de efectividad de controles y actualización de controles 6.4 Evaluación de KRI’s y modificación de estrategias de tratamiento al riesgo y planes de acción VII Actividades de Reporte del SEAR 7.1 Reporte del avance de la implementación del plan de gestión de riesgos a FONAFE 7.2 Autoevaluación del nivel de madurez del SEAR III Actividades de Control III. Actividades de Control La identificación y clasificación de controles consiste en la identificación de los esfuerzos realizados por la Empresa para procurar que los riesgos se encuentren dentro del nivel de apetito de riesgo. III. Actividades de Control Página 4 3.1 Criterios para la identificación y documentación de controles 3.2 Clasificación de Controles Identificación de las actividades que existen para controlar los riesgos identificados. Los controles se clasifican según la periodicidad en que se ejecutan y su grado de automatización. III. Actividades de Control 3.1 Criterios para la identificación y documentación de controles ¿Qué es un control? Es una actividad que tiene como finalidad reducir la criticidad de un riesgo al cual se encuentra asociado. ¿Cómo documentarlo? Definir: 1 3 2 ¿Cuándo? ¿Quién? 4 ¿Qué? 5 ¿Cómo? Evidencia Ejemplo de Control: “Semanalmente, el Gerente de Administración, revisa y aprueba en la plataforma de pagos las transferencias a proveedores, para ello verifica que cada pago cuente con su factura, firma de autorización del usuario y sustento respectivo, de ser conforme, aprueba la transferencia en la plataforma de pagos, de lo contrario, solicita los cambios correspondientes”. Página 5 III. Actividades de Control 3.2 Clasificación de controles Los controles se clasifican según: (i) la oportunidad en la que se ejecutan, y (ii) el grado de automatización. Según oportunidad Preventivo Ayuda a evitar la ocurrencia de un riesgo Detectivo Permite identificar errores luego de ocurrido el riesgo. Tipos de controles Manual Depende de la habilidad de una persona para prevenir o detectar los errores ocurridos. Según automatización Semi-Automático Depende de la habilidad de una persona para prevenir o detectar los errores ocurridos, utilizando información proveniente de un sistema. Automático Es realizado a través de un sistema de información. Página 6 IV Evaluación de Riesgos IV. Evaluación de Riesgos La evaluación de riesgos tiene como objetivo determinar la criticidad de los riesgos a los que la Empresa está expuesta y, así, definir un tratamiento de riesgos adecuado, priorizando los esfuerzos hacia los riesgos más críticos. IV. Evaluación de Riesgos Probabilidad 4.1 Definición de la criticidad por probabilidad e impacto 4 A A E 3 M A A E 2 B M M A 1 B B B M 1 2 3 4 4.2 Evaluación del riesgo inherente 4.3 Evaluación del riesgo residual Evaluación de la criticidad de un riesgo en su estado natural, antes de aplicar controles. Evaluación de la criticidad del riesgo luego de haber aplicado el control. Determinación de la efectividad del control sobre el riesgo. E Impacto Determinación de la criticidad de un riesgo evaluando el grado de posibilidad de que este ocurra y el nivel del daño que causaría. Página 8 Probabilidad IV. Evaluación de Riesgos 4.1 Definición de la criticidad por probabilidad e impacto 4 A A E 3 M A A E 2 B M M A 1 B B B M 1 2 3 4 Impacto Los riesgos son evaluados en función de dos variables: 1 Probabilidad Frecuencia de ocurrencia del riesgo 2 Impacto Severidad del riesgo Para estandarizar el análisis de la criticidad de cada variable, se definen criterios generales de calificación, los cuales deben ser revisados y actualizados en el tiempo. La definición de estos criterios debe encontrarse alineada al nivel de apetito de riesgo. La evaluación de riesgos involucra la evaluación del riesgo inherente como la del riesgo residual. Riesgo residual Riesgo inherente Riesgo: Que se produzcan accidentes laborales debido a que el personal no cuenta con el EPP necesario. Página 9 E 4.1 Definición de la criticidad por probabilidad e impacto Probabilidad IV. Evaluación de Riesgos 4 A A E 3 M A A E 2 B M M A 1 B B B M 1 2 3 4 Impacto El impacto es el nivel de exposición de la Empresa ante un riesgo. El impacto puede ser cuantitativo como cualitativo. Criterios Cuantitativo % Utilidad Antes de Impuestos Cualitativo Reclamos o Denuncias Objetivos Estratégicos Incumplimientos legales / regulatorios Reputación/ Imagen Página 10 E 4.1 Definición de la criticidad por probabilidad e impacto Probabilidad IV. Evaluación de Riesgos 4 A A E 3 M A A E 2 B M M A 1 B B B M 1 2 3 4 Impacto La probabilidad de ocurrencia es el grado de posibilidad de que ocurra un riesgo en un período. Puede ser estimada en función a cuántas veces históricamente el riesgo ha ocurrido, o qué posibilidad existe de que ocurra en el futuro. Escala 1. Página 11 Bajo Probabilidad El evento no ha ocurrido pero podría presentarse al menos 1 vez en el año. 2. Medio El evento podría ocurrir entre 3 a 4 veces al año. 3. Alto El evento podría ocurrir de manera mensual. 4. Extremo El evento podría ocurrir de manera semanal o diaria. E Probabilidad IV. Evaluación de Riesgos 4.1 Definición de la criticidad por probabilidad e impacto 4 A A E 3 M A A E 2 B M M A 1 B B B M 1 2 3 4 Impacto La criticidad de un riesgo es la medida que surge de la combinación de sus niveles de probabilidad e impacto. De acuerdo a la criticidad, la Empresa puede identificar los riesgos cuya respuesta es más urgente. Tipos de riesgos de acuerdo a su criticidad: ► ► ► Riesgos bajos Riesgos medios Riesgos altos Riesgos extremos Uno de los objetivos de la Gestión de Riesgos es mantener la mayor parte de los riesgos en la zona inferior izquierda, donde son menos críticos. Página 12 Probabilidad ► Mapa de riesgos 4 A A E 3 M M A 2 B M M A 1 B B M A 1 2 3 Impacto 4 E E E IV. Evaluación de Riesgos 4.2 Evaluación del riesgo inherente Un riesgo inherente es aquel riesgo en su forma natural sin el efecto mitigante de los controles. Reflejan la exposición de la Empresa a la ocurrencia de un evento de impacto negativo. Probabilidad Si bien estos riesgos no pueden eliminarse por completo, es posible implementar controles que mitiguen la probabilidad de ocurrencia y/o el impacto del riesgo en la Empresa. 4 A A E 3 M M A 2 B M M A 1 B B M A 1 2 3 4 E E Impacto Se debe documentar un mapa de riesgo con la evaluación del riesgo inherente Página 13 IV. Evaluación de Riesgos 4.3 Evaluación del riesgo residual Un riesgo residual es el riesgo restante luego de haber aplicado los controles. El nivel de riesgo al que está sometido una Empresa nunca puede erradicarse totalmente, es importante alinear el mismo a la tolerancia al riesgo definida por la Empresa. Evaluación considerando los controles disponibles Riesgos Residuales Probabilidad Riesgos Inherentes 4 A A E 3 M M A 2 B M M A 1 B B M A 1 2 3 Impacto 4 E E Se debe documentar un nuevo mapa de riesgo con la evaluación del riesgo residual Página 14 V Tratamiento al Riesgo V. Tratamiento al Riesgo El tratamiento que se le brinda a un riesgo tiene como propósito mantener la criticidad del riesgo dentro de los niveles de apetito al riesgo definidos por la Empresa. V. Tratamiento al Riesgo 5.1 Elaboración de estrategias de tratamiento al riesgo 5.2 Elaboración de planes de acción 5.3 Definición y documentación de KRI’s Definición de estrategias de tratamiento a los riesgos identificados para mantenerlos dentro de los niveles establecidos en el apetito de riesgo. Establecimiento de planes de acción que materialicen las estrategias de tratamiento al riesgo. Seguimiento al desarrollo de las estrategias de respuesta al riesgo en base a métricas. Permite desarrollar un sistema de predicción y seguimiento del tratamiento de los riesgos Página 16 V. Tratamiento al Riesgo 5.1 Elaboración de estrategias de tratamiento al riesgo Existen diversas alternativas para administrar los riesgos de acuerdo a sus características. Una vez realizada la evaluación del riesgo residual y de acuerdo al apetito de riesgo definido, se debe escoger la opción de tratamiento a seguir. Estrategia ¿Qué hacer? Evitar Dejar de realizar la actividad ligada al riesgo. El beneficio de implementar un control es menor al costo de la materialización del riesgo inherente. Reducir o Mitigar Disminuir la probabilidad de ocurrencia e impacto. El beneficio de implementar un control es mayor al costo del riesgo inherente y la Empresa se encuentra en capacidad de realizar el tratamiento del riesgo. Transferir Transferir a un tercero la administración del riesgo o enfrentar las pérdidas originadas. El beneficio de implementar un control es mayor al costo del riesgo inherente y un tercero tiene mayor capacidad para realizar el tratamiento del riesgo. Retener Conservar el riesgo en su presente nivel. El control (efectivo) no disminuye la criticidad y el riesgo debe permanecer monitoreado pues afecta a la Empresa. Explotar No definir actividades de control para que el riesgo se materialice. Se presenta una oportunidad al momento en que el riesgo se materializa; y el beneficio obtenido es mayor al costo. Eliminar Eliminar la causa raíz que ocasiona el riesgo. Es factible eliminar la causa que ocasiona el riesgo. El beneficio obtenido por esta acción es mayor al costo. Página 17 ¿Cuándo? V. Tratamiento al Riesgo 5.2 Elaboración de planes de acción El plan de acción es la medida a implementarse para aplicar la estrategia de tratamiento definida sobre el riesgo identificado. Definición de Planes de acción Es necesario definir planes de acción cuando: ► ► ► El control que mitiga al riesgo se encuentra mal diseñado. El riesgo no cuenta con un control. El riesgo residual se encuentra por encima de los niveles de tolerancia al riesgo. Se debe definir los responsables de su implementación así como la fecha de inicio y fin. Necesidades de recursos y contingencias Para la realización de los planes de acción se debe considerar: ► ► ► Tiempo: si será necesario el pago de horas extras o si el personal se dará abasto para la tarea. Infraestructura: si se tendrá que adquirir nueva infraestructura o realizar modificaciones a la actual. Conocimiento técnico: si será necesario contratar a un tercero. La necesidad de estos recursos se debe plasmar en el presupuesto anual. Las actividades de control, resultados de las evaluaciones de riesgo, estrategias de tratamiento y planes de acción, deberán documentarse en una Matriz de Riesgos y Controles a nivel entidad y por proceso Página 18 V. Tratamiento al Riesgo 5.3 Definición y documentación de Key Risk Indicators - KRI’s Los KRI´s son métricas financieras u operacionales que ofrecen una base razonable para estimar la probabilidad de ocurrencia y severidad de uno o más eventos de riesgo. ¿Qué riesgos requieren un KRI´S? Riesgos residuales de severidad igual o mayor a Alto. Riesgos de acuerdo al criterio del dueño del proceso. ► ► Características ► ► ► ► ► Ser dinámico. No redundante. Medible. De fácil implementación. Auditable. El valor meta debe alinearse al apetito de riesgo. Ejemplos de KRI´S ► ► ► ► Tasa de rotación del personal. Número de accidentes ocupacionales. Número de ataques informáticos. Número de quejas de los clientes. Página 19 Base de datos de eventos de pérdidas La base de datos de eventos de pérdidas dará soporte a los KRI´S. La cual debe actualizarse trimestralmente. VI Seguimiento y Monitoreo Continuo VI. Seguimiento y Monitoreo Continuo Las acciones e indicadores producto de las fases previas deben estar en constante seguimiento y monitoreo continuo, de modo que la gestión de los riesgos se desarrolle de acuerdo a lo establecido. VI. Seguimiento y Monitoreo Continuo 6.1 Cronograma de seguimiento a los planes de acción Los planes de acción definidos se consolidan y monitorean a través de un cronograma de implementación. Página 21 6.2 Evaluación del riesgo residual y actualización de su calificación Evaluación del riesgo residual para determinar si ha disminuido a causa del despliegue de planes de acción, en función a las estrategias de tratamiento. 6.3 Evaluación de efectividad de controles y actualización de controles 6.4 Evaluación de KRI’s y modificación de estrategias de tratamiento al riesgo y planes de acción Evaluación de la pertinencia de los controles para disminuir el riesgo residual. Evaluación de KRI’s para determinar la necesidad de modificar estrategias de tratamiento y planes de acción. VI. Seguimiento y Monitoreo Continuo 6.1 Cronograma de seguimiento a los planes de acción Definición del Cronograma de implementación Los planes de acción definidos deben consolidarse y monitorearse a través de un cronograma de implementación utilizando la herramienta Gantt. Página 22 VI. Seguimiento y Monitoreo Continuo 6.2 Evaluación del riesgo residual y actualización de su calificación Se debe evaluar si las estrategias de tratamiento al riesgo implementadas tuvieron algún impacto en los riesgos residuales. De esta manera, se vuelven a clasificar los riesgos residuales con la criticidad actualizada. g Riesgos Residuales Página 23 Estrategias de Tratamiento de Riesgos Reclasificación de Riesgos Residuales VI. Seguimiento y Monitoreo Continuo 6.3 Evaluación de efectividad de controles y actualización de controles Efectividad de los controles El riesgo residual sirve como principal indicador para medir la efectividad de los controles, midiendo la variación entre el riesgo inherente y el residual. Página 24 Calificación del control Probabilidad Impacto Fuerte 2 niveles hacia abajo 2 niveles hacia la izquierda Moderado 1 nivel hacia abajo 1 nivel hacia la izquierda Débil 0 nivel hacia abajo 0 nivel hacia la izquierda VI. Seguimiento y Monitoreo Continuo 6.3 Evaluación de efectividad de controles y actualización de controles Criterios para definir el beneficio – costo de los controles Criterios de diseño y efectividad Un control se considera deficiente en los siguientes casos: Cuantificación del beneficio de la implementación de un Beneficio control al cumplimiento de los objetivos de la Empresa. Costo Descripción ► Diseño del control Cuantificación del costo de la implementación de un control. La evaluación del beneficio – costo debe esta alineado al apetito de riesgo de la Empresa. Página 25 Deficiencia ► ► Operatividad del control ► Si el diseño del control no permite prevenir o detectar errores. Si el control en su estado actual no alcanza el objetivo para el que fue creado. Cuando un control apropiadamente diseñado no opera como está diseñado. Cuando el responsable de realizar el control no posee la autoridad y/o calificación necesaria para realizarlo. VI. Seguimiento y Monitoreo Continuo 6.3 Evaluación de efectividad de controles y actualización de controles Para evaluar el diseño del control se deberá considerar lo siguiente: Se asigna un puntaje por cada característica: 1. Automatización Control Manual Control Semi Automático Control Automático 1 2 3 3. Definición 2. Objetivo El control no mitiga el riesgo El control mitiga el riesgo parcialmente El control mitiga al riesgo 1 2 No se han definido actividad, periodicidad, evidencia y responsable. Se han definido parcialmente actividad, periodicidad, evidencia y responsable. Se han definido actividad, periodicidad, evidencia y responsable. 1 Calificación Diseño De 0 a 3 2 Mayor a 4 hasta 6 Mayor a 7 hasta 9 3 3 Débil Moderado Fuerte Para evaluar la operatividad del control se deberá considerar lo siguiente: Recorrido Acciones realizadas para validar que la información sobre los controles a probar es correcta o requiere alguna revisión. Página 26 Pruebas de Efectividad Técnicas de verificación ocular Comparación Observación Técnicas de verificación oral Indagación Entrevista Técnica de verificación escrita Analizar Confirmación Conciliación Técnicas de verificación física Inspección Técnicas de verificación documental Comprobación Computación Rastreo Otras Revisión selectiva VI. Seguimiento y Monitoreo Continuo 6.3 Evaluación de efectividad de controles y actualización de controles La calificación total del control se determinará de los resultados obtenidos en la evaluación del diseño y ejecución. Evaluación de Controles Página 27 Diseño Ejecución Calificación Total Débil Débil Débil Moderado Moderado Moderado Fuerte Fuerte Fuerte Débil Moderado Fuerte Débil Moderado Fuerte Débil Moderado Fuerte Débil Débil Débil Débil Moderado Moderado Débil Moderado Fuerte VI. Seguimiento y Monitoreo Continuo 6.4 Evaluación de KRI’s y modificación de estrategias de tratamiento al riesgo y planes de acción Es importante monitorear que el valor de los KRI’s se encuentre dentro de los niveles definidos. La clave está en el trabajo conjunto con los Dueños de Proceso Página 28 ► Sostener reuniones periódicas para monitorear el estado de los KRI’s ► Indagar los motivos que generan las posibles desviaciones. ► Identificar oportunidades de mejora en el diseño de los KRI’s ► Identificar la necesidad de implementar nuevos KRI’s VII Actividades de Reporte del SEAR VII. Actividades de Reporte del SEAR La totalidad de la gestión de riesgos de la Empresa debe ser monitoreada con el fin de realizar las modificaciones necesarias. De este modo, a través de los 3 componentes de evaluación se logra un monitoreo más objetivo de la gestión de riesgos: VII. Actividades de Reporte del SEAR 7.1 Reporte del avance de la implementación del plan de gestión de riesgos a FONAFE Presentación semestral del cumplimientos del Plan de Gestión de Riesgos a FONAFE. 7.2 Autoevaluación del nivel de madurez del SEAR Presentación anual de los resultados del desempeño del SEAR a FONAFE. 7.3 Evaluación del SEAR por FONAFE Evaluación anual del nivel de madurez del SEAR realizada por personal interno de FONAFE o un tercero. La evaluación anual del nivel de madurez del SEAR será realizada por FONAFE. Página 30 VII. Actividades de Reporte del SEAR 7.1 Reporte del avance de la implementación del plan de gestión de riesgos a FONAFE Quincenalmente, la función a cargo de la ejecución del SEAR (Nivel 2) deberá revisar en coordinación con los dueños de proceso (Nivel 3) el despliegue de las actividades contenidas en el Plan de Gestión de Riesgos, y semestralmente deberá presentar al Directorio (Nivel 1) el nivel de avance, ello deberá ser reportado a FONAFE. Página 31 VII. Actividades de Reporte del SEAR 7.2 Autoevaluación del nivel de madurez del SEAR Anualmente, la función a cargo de la ejecución del SEAR (Nivel 2) debe evaluar el nivel de madurez en gestión de riesgos. La aprobación de los resultados estará a cargo del Directorio (Nivel 1). El nivel de madurez se medirá utilizando el modelo desarrollado por EY. 1. 2. 3. 4. 5. 6. 7. 8. 9. Componentes Propósito Recursos Humanos Desarrollo de habilidades Plan de carrera Metodología Herramientas y tecnología Estructura organizacional Operaciones Soporte y mejora continua Página 32 1. 2. 3. 4. 5. Niveles de madurez Inicial / no existe Propósito En procesos de implementación Establecido / implementado Optimizado / Práctica líder Sistema Efectivo de Análisis de Riesgo (SEAR) Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado FONAFE Taller a Personal Clave Lima, 21 de octubre 2015