Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Presentaci n - D a 2

Anuncio 
Sistema Efectivo de Análisis
de Riesgo (SEAR)
Fondo Nacional de Financiamiento de la
Actividad Empresarial del Estado
FONAFE
Taller a Personal Clave
Lima, 21 de octubre 2015
Agenda – Día 2
III
Actividades de Control
3.1 Criterios para la identificación y documentación de
3.2 Clasificación de Controles
IV
controles
Evaluación de Riesgos
4.1 Definición de la criticidad por probabilidad e impacto
4.2 Evaluación del riesgo inherente
4.2 Evaluación del riesgo residual
V
Tratamiento al Riesgo
5.1 Elaboración de estrategias de tratamiento al riesgo
5.2 Elaboración de planes de acción
5.3 Definición y documentación de KRI’s
VI
Seguimiento y Monitoreo Continuo
6.1 Cronograma de seguimiento a los planes de acción
6.2 Evaluación del riesgo residual y actualización su calificación
6.3 Evaluación de efectividad de controles y actualización de controles
6.4 Evaluación de KRI’s y modificación de estrategias de tratamiento al
riesgo y planes de acción
VII Actividades de Reporte del SEAR
7.1 Reporte del avance de la implementación del plan de gestión de riesgos
a FONAFE
7.2 Autoevaluación del nivel de madurez del SEAR
III
Actividades de
Control
III. Actividades de Control
La identificación y clasificación de controles consiste en la identificación de los esfuerzos realizados
por la Empresa para procurar que los riesgos se encuentren dentro del nivel de apetito de riesgo.
III. Actividades de Control
Página 4
3.1 Criterios para la identificación
y documentación de controles
3.2 Clasificación de Controles
Identificación de las actividades que
existen para controlar los riesgos
identificados.
Los controles se clasifican según la
periodicidad en que se ejecutan y su
grado de automatización.
III. Actividades de Control
3.1 Criterios para la identificación y documentación de controles
¿Qué es un control?
Es una actividad que tiene como finalidad reducir la criticidad de un riesgo al cual se encuentra asociado.
¿Cómo documentarlo?
Definir:
1
3
2
¿Cuándo?
¿Quién?
4
¿Qué?
5
¿Cómo?
Evidencia
Ejemplo de Control:
“Semanalmente, el Gerente de Administración, revisa y aprueba en la plataforma de pagos las
transferencias a proveedores, para ello verifica que cada pago cuente con su factura, firma de
autorización del usuario y sustento respectivo, de ser conforme, aprueba la transferencia en la
plataforma de pagos, de lo contrario, solicita los cambios correspondientes”.
Página 5
III. Actividades de Control
3.2 Clasificación de controles
Los controles se clasifican según: (i) la oportunidad en la que se ejecutan, y (ii) el grado de
automatización.
Según
oportunidad
Preventivo
Ayuda a evitar la ocurrencia de un riesgo
Detectivo
Permite identificar errores luego de ocurrido el
riesgo.
Tipos de
controles
Manual
Depende de la habilidad de una persona para
prevenir o detectar los errores ocurridos.
Según
automatización
Semi-Automático
Depende de la habilidad de una persona para
prevenir o detectar los errores ocurridos, utilizando
información proveniente de un sistema.
Automático
Es realizado a través de un sistema de información.
Página 6
IV
Evaluación de
Riesgos
IV. Evaluación de Riesgos
La evaluación de riesgos tiene como objetivo determinar la criticidad de los riesgos a los que la
Empresa está expuesta y, así, definir un tratamiento de riesgos adecuado, priorizando los
esfuerzos hacia los riesgos más críticos.
IV. Evaluación de Riesgos
Probabilidad
4.1 Definición de la
criticidad por probabilidad
e impacto
4
A
A
E
3
M
A
A
E
2
B
M
M
A
1
B
B
B
M
1
2
3
4
4.2 Evaluación del riesgo
inherente
4.3 Evaluación del riesgo
residual
Evaluación de la criticidad de
un riesgo en su estado natural,
antes de aplicar controles.
Evaluación de la criticidad del
riesgo luego de haber aplicado
el control. Determinación de la
efectividad del control sobre el
riesgo.
E
Impacto
Determinación de la criticidad
de un riesgo evaluando el
grado de posibilidad de que
este ocurra y el nivel del daño
que causaría.
Página 8
Probabilidad
IV. Evaluación de Riesgos
4.1 Definición de la criticidad por probabilidad e impacto
4
A
A
E
3
M
A
A
E
2
B
M
M
A
1
B
B
B
M
1
2
3
4
Impacto
Los riesgos son evaluados en función de dos variables:
1
Probabilidad
Frecuencia de ocurrencia del
riesgo
2
Impacto
Severidad del riesgo
Para estandarizar el análisis de la criticidad de cada variable, se definen criterios generales de
calificación, los cuales deben ser revisados y actualizados en el tiempo.
La definición de estos criterios debe encontrarse alineada al nivel de apetito de riesgo.
La evaluación de riesgos involucra la evaluación del riesgo inherente como la del riesgo residual.
Riesgo residual
Riesgo inherente
Riesgo:
Que se produzcan accidentes
laborales debido a que el
personal no cuenta con el EPP
necesario.
Página 9
E
4.1 Definición de la criticidad por probabilidad e impacto
Probabilidad
IV. Evaluación de Riesgos
4
A
A
E
3
M
A
A
E
2
B
M
M
A
1
B
B
B
M
1
2
3
4
Impacto
El impacto es el nivel de exposición de la Empresa ante un riesgo. El impacto puede ser
cuantitativo como cualitativo.
Criterios
Cuantitativo
% Utilidad Antes de Impuestos
Cualitativo
Reclamos o Denuncias
Objetivos Estratégicos
Incumplimientos legales / regulatorios
Reputación/ Imagen
Página 10
E
4.1 Definición de la criticidad por probabilidad e impacto
Probabilidad
IV. Evaluación de Riesgos
4
A
A
E
3
M
A
A
E
2
B
M
M
A
1
B
B
B
M
1
2
3
4
Impacto
La probabilidad de ocurrencia es el grado de posibilidad de que ocurra un riesgo en un
período. Puede ser estimada en función a cuántas veces históricamente el riesgo ha ocurrido, o
qué posibilidad existe de que ocurra en el futuro.
Escala
1.
Página 11
Bajo
Probabilidad
El evento no ha ocurrido pero podría
presentarse al menos 1 vez en el año.
2. Medio
El evento podría ocurrir entre 3 a 4 veces
al año.
3. Alto
El evento podría ocurrir de manera
mensual.
4. Extremo
El evento podría ocurrir de manera
semanal o diaria.
E
Probabilidad
IV. Evaluación de Riesgos
4.1 Definición de la criticidad por probabilidad e impacto
4
A
A
E
3
M
A
A
E
2
B
M
M
A
1
B
B
B
M
1
2
3
4
Impacto
La criticidad de un riesgo es la medida que surge de la combinación de sus niveles de
probabilidad e impacto. De acuerdo a la criticidad, la Empresa puede identificar los riesgos cuya
respuesta es más urgente.
Tipos de riesgos de acuerdo a su
criticidad:
►
►
►
Riesgos bajos
Riesgos medios
Riesgos altos
Riesgos extremos
Uno de los objetivos de la
Gestión de Riesgos es
mantener la mayor parte de los
riesgos en la zona inferior
izquierda, donde son menos
críticos.
Página 12
Probabilidad
►
Mapa de riesgos
4
A
A
E
3
M
M
A
2
B
M
M
A
1
B
B
M
A
1
2
3
Impacto
4
E
E
E
IV. Evaluación de Riesgos
4.2 Evaluación del riesgo inherente
Un riesgo inherente es aquel riesgo en su forma natural sin el efecto mitigante de los controles.
Reflejan la exposición de la Empresa a la
ocurrencia de un evento de impacto negativo.
Probabilidad
Si bien estos riesgos no pueden eliminarse por
completo, es posible implementar controles
que mitiguen la probabilidad de ocurrencia y/o
el impacto del riesgo en la Empresa.
4
A
A
E
3
M
M
A
2
B
M
M
A
1
B
B
M
A
1
2
3
4
E
E
Impacto
Se debe documentar un mapa de riesgo
con la evaluación del riesgo inherente
Página 13
IV. Evaluación de Riesgos
4.3 Evaluación del riesgo residual
Un riesgo residual es el riesgo restante luego de haber aplicado los controles.
El nivel de riesgo al que está sometido una Empresa nunca puede erradicarse totalmente, es importante alinear el
mismo a la tolerancia al riesgo definida por la Empresa.
Evaluación
considerando los
controles disponibles
Riesgos
Residuales
Probabilidad
Riesgos
Inherentes
4
A
A
E
3
M
M
A
2
B
M
M
A
1
B
B
M
A
1
2
3
Impacto
4
E
E
Se debe documentar un nuevo mapa de riesgo
con la evaluación del riesgo residual
Página 14
V
Tratamiento al Riesgo
V. Tratamiento al Riesgo
El tratamiento que se le brinda a un riesgo tiene como propósito mantener la criticidad del riesgo
dentro de los niveles de apetito al riesgo definidos por la Empresa.
V. Tratamiento al Riesgo
5.1 Elaboración de
estrategias de tratamiento
al riesgo
5.2 Elaboración de planes
de acción
5.3 Definición y
documentación de KRI’s
Definición de estrategias de
tratamiento a los riesgos
identificados para mantenerlos
dentro de los niveles
establecidos en el apetito de
riesgo.
Establecimiento de planes de
acción que materialicen las
estrategias de tratamiento al
riesgo.
Seguimiento al desarrollo de
las estrategias de respuesta al
riesgo en base a métricas.
Permite desarrollar un sistema
de predicción y seguimiento
del tratamiento de los riesgos
Página 16
V. Tratamiento al Riesgo
5.1 Elaboración de estrategias de tratamiento al riesgo
Existen diversas alternativas para administrar los riesgos de acuerdo a sus características.
Una vez realizada la evaluación del riesgo residual y de acuerdo al apetito de riesgo definido, se
debe escoger la opción de tratamiento a seguir.
Estrategia
¿Qué hacer?
Evitar
Dejar de realizar la actividad ligada al
riesgo.
El beneficio de implementar un control es menor al costo de la
materialización del riesgo inherente.
Reducir o
Mitigar
Disminuir la probabilidad de
ocurrencia e impacto.
El beneficio de implementar un control es mayor al costo del
riesgo inherente y la Empresa se encuentra en capacidad de
realizar el tratamiento del riesgo.
Transferir
Transferir a un tercero la
administración del riesgo o enfrentar
las pérdidas originadas.
El beneficio de implementar un control es mayor al costo del
riesgo inherente y un tercero tiene mayor capacidad para realizar
el tratamiento del riesgo.
Retener
Conservar el riesgo en su presente
nivel.
El control (efectivo) no disminuye la criticidad y el riesgo debe
permanecer monitoreado pues afecta a la Empresa.
Explotar
No definir actividades de control para
que el riesgo se materialice.
Se presenta una oportunidad al momento en que el riesgo se
materializa; y el beneficio obtenido es mayor al costo.
Eliminar
Eliminar la causa raíz que ocasiona el
riesgo.
Es factible eliminar la causa que ocasiona el riesgo. El beneficio
obtenido por esta acción es mayor al costo.
Página 17
¿Cuándo?
V. Tratamiento al Riesgo
5.2 Elaboración de planes de acción
El plan de acción es la medida a implementarse para aplicar la estrategia de tratamiento
definida sobre el riesgo identificado.
Definición de Planes de acción
Es necesario definir planes de acción cuando:
►
►
►
El control que mitiga al riesgo se encuentra mal diseñado.
El riesgo no cuenta con un control.
El riesgo residual se encuentra por encima de los niveles de tolerancia al riesgo.
Se debe definir los responsables de su implementación así como la fecha de inicio y fin.
Necesidades de recursos y contingencias
Para la realización de los planes de acción se debe considerar:
►
►
►
Tiempo: si será necesario el pago de horas extras o si el personal se dará abasto para la tarea.
Infraestructura: si se tendrá que adquirir nueva infraestructura o realizar modificaciones a la actual.
Conocimiento técnico: si será necesario contratar a un tercero.
La necesidad de estos recursos se debe plasmar en el presupuesto anual.
Las actividades de control, resultados de las evaluaciones de riesgo,
estrategias de tratamiento y planes de acción, deberán documentarse en
una Matriz de Riesgos y Controles a nivel entidad y por proceso
Página 18
V. Tratamiento al Riesgo
5.3 Definición y documentación de Key Risk Indicators - KRI’s
Los KRI´s son métricas financieras u operacionales que ofrecen una base razonable para
estimar la probabilidad de ocurrencia y severidad de uno o más eventos de riesgo.
¿Qué riesgos requieren un
KRI´S?
Riesgos residuales de severidad
igual o mayor a Alto.
Riesgos de acuerdo al criterio del
dueño del proceso.
►
►
Características
►
►
►
►
►
Ser dinámico.
No redundante.
Medible.
De fácil implementación.
Auditable.
El valor meta
debe alinearse al
apetito de riesgo.
Ejemplos de KRI´S
►
►
►
►
Tasa de rotación del personal.
Número de accidentes
ocupacionales.
Número de ataques
informáticos.
Número de quejas de los
clientes.
Página 19
Base de datos de eventos
de pérdidas
La base de datos de eventos de
pérdidas dará soporte a los KRI´S.
La cual debe actualizarse
trimestralmente.
VI
Seguimiento y
Monitoreo Continuo
VI. Seguimiento y Monitoreo Continuo
Las acciones e indicadores producto de las fases previas deben estar en constante seguimiento y
monitoreo continuo, de modo que la gestión de los riesgos se desarrolle de acuerdo a lo establecido.
VI. Seguimiento y Monitoreo Continuo
6.1 Cronograma de
seguimiento a los
planes de acción
Los planes de acción
definidos se consolidan y
monitorean a través de un
cronograma de
implementación.
Página 21
6.2 Evaluación del
riesgo residual y
actualización de su
calificación
Evaluación del riesgo
residual para determinar
si ha disminuido a causa
del despliegue de planes
de acción, en función a
las estrategias de
tratamiento.
6.3 Evaluación de
efectividad de
controles y
actualización de
controles
6.4 Evaluación de
KRI’s y modificación
de estrategias de
tratamiento al riesgo y
planes de acción
Evaluación de la
pertinencia de los
controles para disminuir
el riesgo residual.
Evaluación de KRI’s para
determinar la necesidad
de modificar estrategias
de tratamiento y planes de
acción.
VI. Seguimiento y Monitoreo Continuo
6.1 Cronograma de seguimiento a los planes de acción
Definición del Cronograma de implementación
Los planes de acción definidos deben consolidarse y monitorearse a través de un
cronograma de implementación utilizando la herramienta Gantt.
Página 22
VI. Seguimiento y Monitoreo Continuo
6.2 Evaluación del riesgo residual y actualización de su calificación
Se debe evaluar si las estrategias de tratamiento al riesgo implementadas tuvieron algún
impacto en los riesgos residuales.
De esta manera, se vuelven a clasificar los riesgos residuales con la criticidad actualizada.
g
Riesgos
Residuales
Página 23
Estrategias de
Tratamiento de
Riesgos
Reclasificación
de Riesgos
Residuales
VI. Seguimiento y Monitoreo Continuo
6.3 Evaluación de efectividad de controles y actualización de controles
Efectividad de los controles
El riesgo residual sirve como principal indicador para medir la efectividad de los controles,
midiendo la variación entre el riesgo inherente y el residual.
Página 24
Calificación
del control
Probabilidad
Impacto
Fuerte
2 niveles hacia
abajo
2 niveles hacia la
izquierda
Moderado
1 nivel hacia
abajo
1 nivel hacia la
izquierda
Débil
0 nivel hacia
abajo
0 nivel hacia la
izquierda
VI. Seguimiento y Monitoreo Continuo
6.3 Evaluación de efectividad de controles y actualización de controles
Criterios para definir el beneficio
– costo de los controles
Criterios de diseño y efectividad
Un control se considera deficiente en los
siguientes casos:
Cuantificación del beneficio
de la implementación de un
Beneficio control al cumplimiento de
los objetivos de la Empresa.
Costo
Descripción
►
Diseño del
control
Cuantificación del costo de la
implementación de un
control.
La evaluación del beneficio – costo
debe esta alineado al apetito de
riesgo de la Empresa.
Página 25
Deficiencia
►
►
Operatividad
del control
►
Si el diseño del control no
permite prevenir o detectar
errores.
Si el control en su estado
actual no alcanza el objetivo
para el que fue creado.
Cuando un control
apropiadamente diseñado no
opera como está diseñado.
Cuando el responsable de
realizar el control no posee la
autoridad y/o calificación
necesaria para realizarlo.
VI. Seguimiento y Monitoreo Continuo
6.3 Evaluación de efectividad de controles y actualización de controles
Para evaluar el diseño del control se deberá considerar lo siguiente:
Se asigna un puntaje
por cada característica:
1. Automatización
Control Manual
Control Semi Automático
Control Automático
1
2
3
3. Definición
2. Objetivo
El control no mitiga el riesgo
El control mitiga el riesgo
parcialmente
El control mitiga al riesgo
1
2
No se han definido actividad,
periodicidad, evidencia y responsable.
Se han definido parcialmente actividad,
periodicidad, evidencia y responsable.
Se han definido actividad, periodicidad,
evidencia y responsable.
1
Calificación Diseño
De 0 a 3
2
Mayor a 4
hasta 6
Mayor a 7
hasta 9
3
3
Débil
Moderado
Fuerte
Para evaluar la operatividad del control se deberá considerar lo siguiente:
Recorrido
Acciones realizadas para validar que
la información sobre los controles a
probar es correcta o requiere alguna
revisión.
Página 26
Pruebas de Efectividad
Técnicas de verificación ocular
Comparación
Observación
Técnicas de verificación oral
Indagación
Entrevista
Técnica de verificación escrita
Analizar
Confirmación
Conciliación
Técnicas de verificación física
Inspección
Técnicas de verificación documental
Comprobación
Computación
Rastreo
Otras
Revisión selectiva
VI. Seguimiento y Monitoreo Continuo
6.3 Evaluación de efectividad de controles y actualización de controles
La calificación total del control se determinará de los resultados obtenidos en la evaluación
del diseño y ejecución.
Evaluación de Controles
Página 27
Diseño
Ejecución
Calificación Total
Débil
Débil
Débil
Moderado
Moderado
Moderado
Fuerte
Fuerte
Fuerte
Débil
Moderado
Fuerte
Débil
Moderado
Fuerte
Débil
Moderado
Fuerte
Débil
Débil
Débil
Débil
Moderado
Moderado
Débil
Moderado
Fuerte
VI. Seguimiento y Monitoreo Continuo
6.4 Evaluación de KRI’s y modificación de estrategias de tratamiento
al riesgo y planes de acción
Es importante monitorear que el valor de los KRI’s se encuentre dentro de los niveles
definidos.
La clave está
en el trabajo
conjunto con
los Dueños
de Proceso
Página 28
►
Sostener reuniones periódicas para
monitorear el estado de los KRI’s
►
Indagar los motivos que generan las
posibles desviaciones.
►
Identificar oportunidades de mejora en el
diseño de los KRI’s
►
Identificar la necesidad de implementar
nuevos KRI’s
VII
Actividades de
Reporte del SEAR
VII. Actividades de Reporte del SEAR
La totalidad de la gestión de riesgos de la Empresa debe ser monitoreada con el fin de realizar las
modificaciones necesarias. De este modo, a través de los 3 componentes de evaluación se logra un
monitoreo más objetivo de la gestión de riesgos:
VII. Actividades de Reporte del SEAR
7.1 Reporte del avance de
la implementación del
plan de gestión de riesgos
a FONAFE
Presentación semestral
del cumplimientos del
Plan de Gestión de
Riesgos a FONAFE.
7.2 Autoevaluación del
nivel de madurez del
SEAR
Presentación anual de los
resultados del desempeño
del SEAR a FONAFE.
7.3 Evaluación del SEAR
por FONAFE
Evaluación anual del nivel
de madurez del SEAR
realizada por personal
interno de FONAFE o un
tercero.
La evaluación anual del nivel
de madurez del SEAR será
realizada por FONAFE.
Página 30
VII. Actividades de Reporte del SEAR
7.1 Reporte del avance de la implementación del plan de gestión de riesgos
a FONAFE
Quincenalmente, la función a cargo de la ejecución del SEAR (Nivel 2) deberá
revisar en coordinación con los dueños de proceso (Nivel 3) el despliegue de las
actividades contenidas en el Plan de Gestión de Riesgos, y semestralmente deberá
presentar al Directorio (Nivel 1) el nivel de avance, ello deberá ser reportado a
FONAFE.
Página 31
VII. Actividades de Reporte del SEAR
7.2 Autoevaluación del nivel de madurez del SEAR
Anualmente, la función a cargo de la ejecución del SEAR (Nivel 2) debe evaluar el
nivel de madurez en gestión de riesgos. La aprobación de los resultados estará a
cargo del Directorio (Nivel 1).
El nivel de madurez se medirá utilizando el modelo desarrollado por EY.
1.
2.
3.
4.
5.
6.
7.
8.
9.
Componentes
Propósito
Recursos Humanos
Desarrollo de habilidades
Plan de carrera
Metodología
Herramientas y tecnología
Estructura organizacional
Operaciones
Soporte y mejora continua
Página 32
1.
2.
3.
4.
5.
Niveles de madurez
Inicial / no existe
Propósito
En procesos de implementación
Establecido / implementado
Optimizado / Práctica líder
Sistema Efectivo de Análisis
de Riesgo (SEAR)
Fondo Nacional de Financiamiento de la
Actividad Empresarial del Estado
FONAFE
Taller a Personal Clave
Lima, 21 de octubre 2015
Documentos relacionados
EL PUNTO DE VISTA DE LOS ALUMNOS
EL PUNTO DE VISTA DE LOS ALUMNOS
Descargar
Anuncio
Anuncio