viernes, 11 de diciembre de 2009

Análisis de Riesgos

Una vez que tenemos el listado de riesgos, organizados ya sea por procesos, por producto, por cualquier otro ente agrupador, procedemos a conocer un poco más de ellos, es decir es la etapa de analizarlos para conocerlos un poco más.

Reúnase con el dueño del proceso donde está el riesgo, y empiece con la documentación de cada riesgo, los datos que debe reunir son los siguientes:

  • Nombre del riesgo
  • Descripción del riesgo
  • Tipo de riesgo (operacional, de crédito, de mercado, etc)
  • Categoría (por ejemplo si es riesgo operacional se habren las categorías de basilea, como son:Fraude Interno, Fraude Externo; Relaciones laborales y seguridad en el puesto de trabajo; Clientes, productos y prácticas empresariales; Daños a activos materiales; Incidencias en el negocio y fallas en los sistemas; Ejecución, entrega y gestión de procesos); sin embargo en los demás riesgos también puede abrir categorías si lo necesita.
  • Responsable de su administración
  • Fuentes de riesgos
  • Areas de impacto
  • Procesos contra los que impacta
  • Objetivos corpotaivos comprometidos
  • Causa principal
  • Demás causas (trate de hacer un esquema de espina de pescado)
  • Cuándo, cómo dónde podría ocurrir.
Esta información se consigue de manera iterativa, a medida que se avanza en el conocimiento del mismo.

Comparto un listado de algunas áreas de impactos:
  • Activos y recursos (activos, pasivos, capital, tangibles e intangibles de TI, empleados, etc)
  • Costos (tanto directos, como indirectos, sanciones, indemninzaciones, reposiciones, reconstrucción y otras multas de diferentes fuentes)
  • Desempeño (tanto en la productividad, como en la calidad y rendimiento del capital)
  • Intangibles (Seguridad, solidez, confianza, reputación, conocimiento, inteligencia de negocios y del sector)
  • Ingresos y otros derechos (Intereses, patentes, propiedad industrial, regalías, comisiones, etc)
  • Clima organizacional (Valores éticos, Idoneidad, Moral de los empleados, Estabilidad, etc)
  • Emprendimientos y actividades (lanzamiento de nuevos productos, gestión del cambio tecnológico, inversiones de oportunidad y expanción del negocio)
  • Comunidad y entorno (Vecinos, medio ambiente, clima, país, sociedad, etc)
Las fuentes son diversas, entre ellas destacan:
  • Las personas de la empresa y externas (malas conductas, avaricia, soberbia, despidos y venganzas, hackers, crakers, etc)
  • Entorno geográfico, político, social, cultural, etc.
  • Los mismos sistemas al interior de la empresa constituyen fuente de riesgos
  • Los procesos mal ejecutados o con fallas en sus deficiones, o mal documentados son fuente de riesgos.
  • Muchas otras.
Consulte los diagramas de Ishikawa, diagrama causa efecto, para ayudarse a documentar las causas.
Publicado por en No hay comentarios:

miércoles, 9 de diciembre de 2009

IDENTIFICACIÓN DE RIESGOS

Una vez establecidos los objetivos, es momento de identificar los riesgos que atentan al cumplimiento de los mismos.
Para ello existen varias técinas, por ejemplo:
  • Análisis de flujos de procesos
  • Cuestionarios a los empleados
  • Inventario de eventos pasados con los dueños de los procesos
  • Entrevistas con Auditoría Interna y demás auditorías externas, allí pueden existir documentación de riesgos.
  • Trabajos en grupo de diversas áreas.
  • Otras
Si opta por ejemplo por uso del análisis de flujos de procesos, podrá identificar las actividades dentro del proceso y hacer la pregunta ¿qué podría salir mal?, luego podría hacer una lista de posibles eventos. Como se habrá percatado, necesitamos el mapeo de todos los procesos de negocio, que sea actual, y que estén debidamente estandarizados y documentados de manera adecuada. Esta técnica es ampliamente usada, pues además permite la gerencia por procesos.

Si empleamos los cuestionarios a los empleados, podremos abordar preguntas respecto a todos los componentes de la gestión de riesgos y analizar las brechas que posee la empresa en cultura de riesgos y poder obtener un listado de posibles eventos causados por decisiones ineficientes de las personas.

Quien mejor que los dueños de los procesos, para inventariar los problemas que tiene o ha tenido durante su gestión, estos problemas pueden constituir eventos riesgosos.

Auditoría Interna y otras auditorías, también son fuente para inventariar eventos de riesgos. Pues son las fuentes oficialmente de deficiencias, reclamos o denuncias al interior del negocio y que han llevado una investigación aceptable y profesional, además de ser orientados a sus principales clientes, el Directorio de la empresa.

Usamos el término de identificación de riesgos, porque sólo estamos considerando los eventos riesgosos, y no todos los eventos. Debemos aclarar que la nueva norma ISO de riesgos (año 2009) menciona que el riesgo es el efecto conjunto sobre los objetivos, ello implica tanto consecuencias positivas o negativas, pero por ahora para nosotros riesgo es impacto negativo en los objetivos, ya que metdológicamente la gestión de los eventos de oprtunidades corresponden un poco con la planificación estratégica de crecimiento del negocio. La gestión de oportunidades ya se hace en cierta forma, ello se explica por ejemplo por las cuotas de mercado, salida de un competidor, etc.

También el Estandar Australiano, le puede servir como documento de consulta, pues tiene un método de identificación de riesgos, mediente las matrices de fuentes de riesgos y áreas de impacto. Las fuentes de riesgos, alineadas con Basilea, son las personas, los procesos, los sistemas y eventos externos. Las áreas de impacto son los recursos que apoyan al logro de los objetivos, como son Activos corrientes, activos fijos, pasivos, otros exigibles, patrimonio, costos, etc. Tomando como apoyo los estados fnancieros, como el balance, pero también el estado de resultados, para analizar el impacto total de las pérdidas por riesgo operacional dentro de la rentabilidad del negocio, esto permite elaborar ratios de rentabilidad/riesgo.

Los riesgos deben de clasificarse por tipos de riesgos. Debemos aclarar que usando los marcos COSO ERM, AS/NZS, ISO, tratan de la gestión integral de riesgos, tanto como lo dice Basilea, debemos de tener una metodología estándar en la empresa para todos los tipos de riesgos, de crédito, de mercado, operacional; sin embargo también puede aplicar para los demás riesgos como de liquidez, reputacional, estratégico, etc. Obviamente cada tipo de riesgo puede tener sus propias personalizaciones con la metodología.

La identificación de riesgos debe darse para los procesos, proyectos (además es parte de PMBOK, del PMI), cambios importantes en el negocio, sistemas, procesos, personas, y otros factores que pueden ser generadores de riesgos.

Seguramente que para implementar un sistema de gestión de la calidad como ISO 9001:2000, también le servirá, al momento de implementar puntos de control o inspecciones, antes debieron de identificarse qué podría salir mal o qué aspecto no debe fallar para lograr la calidad total. Vea cómo se van integrado todas las herramientas de gestión.
Publicado por en No hay comentarios:

sábado, 21 de noviembre de 2009

Establecimiento de Objetivos

Todos los emprendimientos en las organizaciones públicas y privadas son para cumplir finalmente con sus objetivos, su misión y poder alcanzar la visión. Una vez establecido el ambiente interno, esto es, tiene la escructura de gestión de riesgos operacionales, se han definido los puestos necesarios, las funciones, se han segregado las funciones, se han dado las políticas y el directorio de la empresa está comprometida con la aprobación de políticas, recursos y la gerencia general con la implementación, además el personal esta capacitado en sus deficiencias para el apoyo a las demás actividades del desarrollo del modelo de administración de riesgos operacionales, entonces es hora se identificar los objetivos a todo nivel. Los objetivos los obtenemos del plan corporativo y de los demás planes por áreas, así como sus estrategias, sus factores críticos de éxito, y demás elementos propios del proceso de planeamiento estratégico.
Por cada objetivo, debemos de establecer una meta, y tolerancias al riesgo, y un apetito al riesgo alineado. Las tolercias lo da el directorio y está en base a los análisis de costos, volumen y utilidad de la oportunidad del negocio, por cada línea de negocio, línea de productos y productos individuales incluso. Además dependiendo de la metodología de planeamiento estratégico, como el balanced scorecard, pueden existir objetivos desde varias perspectivas tanto a nivel corporativo como a nivel de áreas es cascadas.
El directorio es responsable de establecer el rendimiento del capital dado el nivel de riesgos de la entidad. De tal forma que se cumpla que el apetito al riesgo guarde correlación con las tolerancias y niveles de riesgos que asume la empresa, esto es si el inversionista asume más riesgo, debe obtener un premio por ello, que es la mayor rentabilidad para compensar el riesgo.
Entonces se debe de elaborar la alineación entre apetito al riesgo y las tolerancias al riesgo. De forma que cuando el nivel de riesgo crezca, la probabilidad de cumplimiento de objetivos disminuya, es una relación inversa. Esta alineación es posible de hacerlo de manera sencilla, mediante modelos en un inicio semi-cuantitativos, pero si hay suficiente información se podrían hacer modelos basados en valores reales y esperados mediante la simulación, identificando el comportamiento de las variables para asiganr los tipos correctos de distribuciones y mediante simulación por ejemplo montecarlo ajustas las variables de probabilidad, impacto, nivel de riesgo y capital ajustado al riesgo.
Una vez establecidos los objetivos con todos los elementos linkeados de riesgos, estamos en condiciones de pasar a la siguiente fase de la metodología de administración de riesgo operacionales, que es, identificación de eventos.
Una aclaración hago, pues me consultaron a mi correo, la administración de riesgo operacionales no sólo es aplicable a las empresas del sector financiero, como bancos, financieras, Edpymes, Cajas y otras; sino a cualquier empresa que quiera tener una mayor seguridad de alcanzar sus objetivos mediante un proceso de administración de riesgos operacionales, esto es disminuir las pérdidas debido a fallas o inadecuaciones en sistemas, procesos, personas, eventos externos, temas legales, sin incluir en temas reputacionales y estratégicas; sin embargo no quita el mérito de administrar los demás riesgos como los reputacionales y estratégicos, aunque la medición no es tan simple pues hay que elaborar otros métodos de puentes como los procesos de negocios.
Publicado por en No hay comentarios:

lunes, 16 de noviembre de 2009

Gestión del ambiente interno

El ambiente interno de la empresa, es el inicio del proceso de gestión de riesgos operacionales. Lo compone su gente con sus costumbres, la calidad de las decisiones de los directivos, la forma de hacer las cosas de todo el personal, sus creencias, prioridades, grado de responsabilidad y valores éticos.

En esta etapa es necesario tener listo lo siguiente:
  • La filosofía de gestión de la empresa, tanto a nivel directorio, gerencia general y demás gerencias. La forma de planificación y gestión de la empresa.
  • La cultura organizacional, que conforma el conjunto de formas de actuar dentro del negocio, sus costumbres, creencias y prácticas en general.
  • Una adecuada estructura organizacional y una adecuada segregación de funciones, los roles y responsabilidades de cada individuo para administrar los riesgos bajo su responsabilidad. Si no se tiene la estructura necedsaria alineado al tamaño de la organización y complejidad de la misma, es envano hacer todo el resto, no dará resultados.
  • La empresa debe tener políticas para administrar sus recursos humanos, desde procesos de convocatorias, investigación de antecedentes, formalización de la contratación, ascensos internos, escalas de salarios, incentivos, promociones, sanciones ante faltas, políticas de tratamiento de despidos.
  • Otros elementos que dependiendo del negocio es vital que se consideren.

Pero llega la hora de saber cómo vamos en estos conceptos para implementar la administración de riesgos de manera satisfactoria, y es cuando necesitamos herramientas y métodos para poder medirlos.

Entre las herramientas más conocidas están las encuestas, por ejemplo con preguntas como las siguientes:

  • La empresa posee códigos de conducta y valores, documentados, comunicados y los empleados saben que existen.
  • Los empleados saben las acciones sancionables y la sanción misma.
  • Existen políticas de tratamiento de recursos humanos, bien definidas y los empleados saben qué necesitan para lograr ascensos.
  • Etc.

Luego debemos de consolidar los resultados y evaluar en qué aspectos necesitamos mejorar, y establecer por lo tanto planes de acción para la mejora del ambiente interno, antes de seguir con el resto del proceso de administración de riesgos.

Publicado por en No hay comentarios:

jueves, 5 de noviembre de 2009

Riesgo Operacional - 1

Para gestionar adecuadamente el riesgo operacional es necesario disponer de una serie de elementos que involucra toda la empresa.
Todo debe partir desde el directorio y la alta gerencia de la empresa; ellos son quienes definen las políticas relacionadas a este riesgo, siempre enlazada a los demás tipos de riesgos. El directorio y la alta gerencia deben de emitir políticas relacionadas y el aseguramiento de provisión de recursos necesarios para la ejecución y la continuidad de este proceso, que es el proceso de gestión del riesgo operacional como parte integral de las tareas de todo el personal en la empresa.
Función central del directorio y la alta gerencia es formular o reformular el plan estratégico de la empresa, a partir de ella, debe existir una alineación de las demás áreas. La teoría dice que debemos de administrar los riesgos que antenten contra estos objetivos a todo nivel. Así que hay objetivos estratégicos, relacionados, de procesos, y otros más. Si no tiene los objetivos de la empresa, los demás departamentos y de los procesos, es recomendable no avanzar con la implementación hasta que los tenga.
Publicado por en No hay comentarios:

martes, 4 de agosto de 2009

Estándar COSO ERM, Introducción.

Bienvenidos al desarrollo práctico del estándar COSO ERM. Por ahora uno de los modelos más aplicados a nivel mundial como apoyo al proceso de administración de riesgos corporativos.
Es ideal para la administración del riesgo operacional.
El riesgo operacional es todo aquello que atenta contra el cumplimiento de los objetivos de negocio y cuyas fuentes centrales de riesgos son: las personas, los sistemas y los procesos.
Dentro de cada grupo de fuentes podemos disgregar a más detalle (las personas con su cultura, sus valores, costumbres, niveles de vida más ostentosa cada día o al menos eso se aparenta,otros; los sistemas, porque cada vez las empresas se hacen más dependientes de la tecnología de información y sistemas de información; los procesos, porque son cada vez más intensos, se generan muchas más transacciones en períodos muy cortos de tiempo, los clientes quieren las cosas de mejor calidad, bajos costos, y entrega en tiempos record.).

Todo esto lleva a una creciente incertidumbre. En la incertidumbre hay riesgo.
Si decimos que los riesgos atentan contra el logro de los objetivos estratégicos de negocio, tales riesgos debemos de administrarlos para tener una mayor certeza del logro de los objetivos.

Todo modelo de administración de riesgos parte del análisis del Plan Estratégico Empresarial, pues allí está el plan de vida del negocio. Sus objetivos, sus estrategias, sus iniciativas, sus factores críticos de éxito y los indicadores de seguimiento del cumplimiento de los mismos.

Por lo tanto, si la empresa no tiene plan estratégico, ¿cómo se conduce por la vida?, ¿a dónde va?, ¿con qué sueña?. Entonces empecemos por definir o afinar el plan estrategico de negocios.

La primera tarea en esta parte para Ud. es disponer del plan estratégico de negocios de su empresa. Si no dispone de un Plan Estratégico puede escribirme a mi correo personal, que yo le puedo hacer llegar uno de ejemplo que servirá para el desarrollo de todo el modelo de riesgos.

La teoría define al riesgo como una relación de producto entre la probabilidad y el impacto. Es decir, la probabilidad o posibilidad que se de cierta amenaza y las consecuencias que acarrea tal materialización. Las consecuencias puden ser monetarias, pérdidas de vidas humanas, activos en la empresa, incremento en pasivos, etc.

En esta etapa de introducción le dejo las siguientes relaciones básicas, expresadas mediante matemática elemental, para que medite en ello:

1) RIESGO=PROBABILIDAD x IMPACTO
2) OBJETIVO ESTRATÉGICO (ajustado al riesgo) = VALOR META - RIESGO
3) Si RIESGO=0, entonces los objetivos se cumplen al 100% de acuerdo a lo planificado.
4) Pero en la práctica, es imposible escapar de todos los riesgos.
5) ADMINISTRACIÓN DE RIESGOS= Disminuición (PROBABILIDAD) y/o Disminuición (IMPACTO)
6) CORRECTA ADMINISTRACIÓN DE RIESGOS=Incremento (VENTAJA COMPETITIVA)

Este estándar no sólo es ideal para las empresas del sector financiero, sino para todas las que enfrentan riesgo operacional, es decir para todas, privadas y estatales, grandes y pequeñas.

Los beneficios son muchos, ejemplo:
1) Provisiona menos por capital regulatorio operacional (para los bancos, exigido por las supervisoras locales)
2) Incrementa el grado de control interno.
3) Ayuda a la obteneción de la certificación ISO de calidad.
4) Apoya al buen gobierno corporativo.
5) Ayuda a mejorar los procesos, es decir a la mejora continua.
6) Ayuda a cumplir con los objetivos del negocio.
7) Incrementa la buena imagen de la empresa ante interesados en ella.
8) Genera confianza a los interesados en ella.
9) Disminuye las pérdidas por ocurrencia de eventos.
10) Encuentra mejor preparada a la empresa para afrontar ocurrencias negativas y aprovechar las oportunidades de negocios.
11) Incrementa la ventaja competitiva.
12) Incrementa solidez en el sector y frente a la competencia.
13) Acciones dirigidas hacia donde realmente son necesarios los recursos.
14) Identificar los problemas y las causas rápidamente, aunque Ud. no sea experto en riesgos.
15) ......la lista es interminable.

Publicado por en 1 comentario:

martes, 3 de marzo de 2009

Estándares de Administración de Riesgos, paso a paso

Proximamente veremos cómo encajan las piezas de la administración de riesgos en las empresas de diferentes rubros, mediante casos de ejemplos prácticos y llevados a la realidad en la implementación de los estándares mundiales de administración de riesgos y gobierno corporativo, los temas que veremos serán, entre otros:
1. Desarrollo paso a paso del COSO ERM
2. Desarrollo paso a paso del AS/NZS 4360
3. Desarrollo paso a paso del COBIT
4. Desarrollo paso a paso del BSC
5. Integración ERM & BSC

Así que estemos pendientes.....
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)