Conceptos básicos de ABR y su implementación

Rafael Salas Mercado

Consultor Senior

Noviembre de 2017
[email protected]
+591 (2) 2441627
Edificio Capitán Ravelo, Calle Capitán Ravelo 2101
www.noesisla.com
 2

PROCESO DE GESTIÓN DE
RIESGOS
 ASFI

1 Identificación 2 Gestión

Identificación Medición Monitoreo Control Mitigación Divulgación

1 Identificación 2 Evaluación 3 Gestión

Identificación Evaluación y
Preparación y Reportes Monitoreo y
de Riesgos cuantificación Acciones
contexto Revisión
de los riesgos
Tipos de Evaluaciones
Tipos de Evaluaciones
Tipos de Evaluaciones
Tipos de Evaluaciones
Medición

R2 R1

R3
Tipos de Evaluación
La evaluación del riesgo se realiza a menudo como un proceso de dos etapas. Una evaluación inicial
de los riesgos y oportunidades se lleva a cabo utilizando técnicas cualitativas seguidas de un
tratamiento más cuantitativo de los riesgos y oportunidades más importantes que se prestan a la
cuantificación, entendiendo que no todos los riesgos son cuantificables, ejemplo: Riesgo Reputacional.

Evaluación cualitativa
La evaluación cualitativa consiste en evaluar cada riesgo y oportunidad de acuerdo con las escalas
descriptivas. El análisis cuantitativo requiere valores numéricos para el impacto y la probabilidad
usando datos de una variedad de fuentes.
Este análisis utiliza conformaciones de palabras o niveles descriptivos de la magnitud potencial de las
consecuencias y la probabilidad de que éstas ocurran. Estos niveles se pueden ajustar a las
circunstancias y se pueden recurrir a distintas descripciones para riesgos diferentes.
Para las evaluaciones cualitativas, las técnicas de evaluación más utilizadas son entrevistas, talleres
multifuncionales, encuestas, benchmarking y análisis de escenarios.

Evaluación cuantitativa
Las técnicas cuantitativas van desde el benchmarking y el análisis de escenarios hasta la generación
de estimaciones prospectivos (modelos determinísticos) y luego a generar distribuciones prospectivas
(modelos probabilísticos).

Algunos de los modelos probabilísticos más poderosos desde el punto de vista de toda la empresa
incluyen modelos causales de riesgo que se utilizan para estimar los márgenes de beneficios brutos,
los ingresos en efectivo o las ganancias en un horizonte temporal a niveles de confianza dados.
Técnicas de evaluación

Análisis de datos existentes

Revisar los datos internos y externos ayuda a evaluar la probabilidad y el
impacto de un riesgo u oportunidad. Las fuentes de datos de ocurrencia de
riesgo pueden incluir: informes de auditoría interna y externa, reportes de
dominio público y datos internos de eventos de pérdidas y los informes
publicados por organizaciones de investigación o reguladores. Si bien
confiar en los datos existentes proporciona objetividad, es importante
evaluar la relevancia de los datos bajo las condiciones del contexto actual y
proyectado. Los ajustes pueden ser justificados usando criterios de
expertos en el tema. En estos casos, la justificación de los ajustes debe
estar claramente documentada y comunicada.
Técnicas de evaluación

Entrevistas y talleres multifuncionales (brainstorming).

La evaluación puede realizarse a través de entrevistas individuales o
reuniones facilitadas de brainstorming.

Los talleres de brainstorming son preferibles a entrevistas o encuestas con

fines de evaluación, ya que facilitan la consideración de las interacciones de
riesgo y evitan el pensamiento en silos. Los talleres mejoran la
comprensión de un riesgo reuniendo diversas perspectivas. Al evaluar un
riesgo, los participantes, que pertenecen a diferentes áreas pueden traer
diferente información sobre las consecuencias, probabilidades e
interacciones de riesgo.

Las entrevistas serán utilizadas para evaluar riesgos conocidos o que el

evaluador ya los conoce íntimamente.
Técnicas de evaluación
Análisis de escenarios
El análisis de escenarios permite sensibilizar al análisis. También es útil para
evaluar los riesgos y vincularlos con los objetivos estratégicos. Supone la
determinación de uno o más escenarios de riesgo, detallando las suposiciones
que determinan la gravedad del impacto y la estimación del impacto en un
objetivo clave.

Modelos causales de riesgo

El valor en riesgo (VaR),) y las ganancias en riesgo (EaR) son métricas
basadas en modelos causales en los que factores de riesgo específicos
impulsan la incertidumbre futura de los principales componentes de efectivo o
ganancias. Cada factor de riesgo puede modelarse en detalle e incorporarse al
modelo general. El uso de un modelo causal de riesgo puede proporcionar una
visión de cómo las relaciones históricas podrían desacoplarse y desviarse
significativamente de las expectativas. Con el conocimiento de cómo cada
factor de riesgo podría variar en el futuro y el impacto de los ingresos en
efectivo o ganancias, el riesgo puede ser medido y gestionado de una mejor
manera. Independientemente del tipo de modelo, debe establecerse
claramente el nivel de confianza sobre las estimaciones de los niveles de
riesgo y las suposiciones hechas en el análisis.
Técnicas de evaluación
Análisis de riesgos con diagramas de
Arboles de Fallas, Arboles de Eventos y
Bow-Tie

Los diagramas rompen una compleja

ocurrencia de riesgo en sus partes
componentes y permiten mostrar las cadenas
de eventos que podrían conducir o resultar de
la ocurrencia son indispensables para
identificar y evaluar las respuestas a los
riesgos y los principales indicadores de
riesgo. Los diagramas pueden ser cualitativos
o servir como base para los modelos
cuantitativos. Un diagrama bow-tie combina
un árbol de fallos y un árbol de eventos y
toma su nombre de su forma. Los modelos
probabilísticos construidos sobre diagramas
de bow-tie permiten cuantificar los niveles de
riesgo inherentes.
Selección de técnicas de valoración de
riesgos
La valoración de riesgos puede realizarse en varios grados de
profundidad y detalle y utilizando uno o más métodos que
varían de simples a complejos.

Las técnicas adecuadas deben mostrar las siguientes

características:

•  Debe ser justificable y apropiada para la situación u

organización
•  Debe proporcionar resultados en una forma entendible
•  Debe ser capaz de utilizarse en una manera trazable,
repetible y verificable

“Un método simple bien hecho, puede proporcionar mejores

resultados que un procedimiento más sofisticado pobremente
realizado”
Aplicabilidad de las herramientas
Aplicabilidad de las herramientas
Aplicabilidad de las herramientas
Técnicas de evaluación

Riesgos estratégicos Brainstorming + consequence/probability matrix

Riesgo operativo Brainstorming/ structured interviews +
consequence/probability matrix
Riesgo de continuidad de negocios BIA + consequence/probability matrix
Riesgo de seguridad física Preliminary Hazard Analysis
Riesgos en incidentes de tecnología Bow tie analysis / Root Cause Analysis (RCA)
y seguridad de la información
Cuantificación de riesgo operativo Scenario Analysis + Montecarlo Simulation
Riesgos de gestión de proyectos Proyectos simples: Brainstorming/Checklist +
Decision Tree + consequence/probability matrix

Proyectos complejos: Brainstorming/Checklist +
Decision Tree + consequence/probability matrix +
Montecarlo Simulation

Medición del riesgo
SISTEMA DE CONTROL INTERNO
Riesgo en Procesos y actividades
Proceso para la contrucción de ICF
I.  Identificar los riesgos (causa – consecuencia)
II.  Identificar las actividades de control
III.  Identificar los riesgos residuales
IV.  Validar con el apetito de riesgo
actividades de control
Revisiones a alto nivel: la alta dirección se encarga de revisar los datos reales de
v  funcionamiento en función de los presupuestos, previsiones y datos de periodo
previos, además de realizar un seguimiento de las iniciativas importantes.
Gestión directa de funciones o actividades: los directivos que gestionan las
v  funciones o actividades revisan los informes de rendimiento.
Procesamiento de la información: se realiza una variedad de controles para
v  verificar la exactitud, integridad y autorización de las transacciones, controlándose
también el desarrollo de nuevos sistemas y modificaciones en los existentes.
Controles físicos: las existencias, equipos y valores se someten a recuentos
v  periódicos y se cotejan con los registros de control.
v  Indicadores de rendimiento: el contraste de diferentes conjuntos de datos,
operativos o financieros, junto con el análisis de relaciones y las acciones de
investigación y corrección.
Segregación de funciones: las funciones se dividen en diferentes personas para
v  reducir el riesgo de error o fraude.
Documentar Controles
•  Identificar Riesgos en sus Casas
•  Documentar sus Controles
CI Test – Deficiencias de Controles
Deficiencia de documentación (descripción del control)

•  Los atributos de control no son correctos (frecuencia, automatizado /

manual, prevenir / detectar)
•  Los riesgos de control no se han asignado correctamente al control
•  Las fuentes de referencia no son correctas / completas.
•  La persona responsable no es correcta
•  La descripción del control no es completa / no es comprensible (se requiere
que la actividad de control se escriba para que una tercera persona
competente sin conocimiento previo del proceso pueda comprender
completamente la actividad de control)
•  La descripción no responde a las preguntas qué, cómo, cuándo, quién
•  La descripción contiene parte de la documentación del proceso.
•  Existe un control y está funcionando de manera efectiva, pero no se ha
documentado.
 Fases de la Metodología
I. Documentación y Validación
Esta fase, consiste en entender el proceso, asi
como la identificación de los riesgos y controles
que los mitigan.

Se divide em cuatro fases: Fase IV.

Documentar e
Fase III.. Implementar
Analizar los las actividades
controles de gerenciales de
sistemas y validación del
Fase II. aplicaciones control
Identificar y tecnológicas.
documentar el
riesgo y control.

Fase I.
Conocer y
Documentar
los Procesos

Para todo ambiente de control interno robusto y eficaz, estas fases se

complementan con las actividades de evaluación, supervisión y control de
I. calidad de la documentación llevado a cabo, lo que lleva a una mejora
Documentation continua de la operación del negocio.
& Evaluation

Se termina con la aceptación de la responsabilidad del proceso de todas

las actividades de control.
11
Fases de la Metodología ICF (cont.)
I. Documentación y Validación (cont)
FASE I: Conocer y Documentar los Procesos

Objetivo: conocer el proceso de início a fin, para responder las siguientes

preguntas: qué , quién, cómo y donde para determinar sus riesgos.

CONTROL

Inicio Actividades del Proceso Fin

Los actores principales son los Responsables de los procesos en su papel de

dueños y de la Gerencia de Riesgos, a través del responsable de Controles
Internos en su rol de especialista.

13
 32

Metodología de Implementación – Top Down approach

Activity Framework
Process utilization as building bricks
(what do we do)

Value Added Chains

C1 Manage contacts

Handle custome r

Level 1
conta cts Inbound

Ha ndle customer
contacts Outbound

High level grouping of

C2 Develop and manage products

Product Development Mainta in Product

Compete nce
Mana gement
Re move Product

KPIs
process areas loosely C3 sell products and services

IT planning
defined around Quote Buy Issue documents

Process Overview IT
functions. C4 manage and underwrite risks
tsr
O rg aniza tiona l elem ents & Applica tion s ys ... .

Risk and Control

o GE-Outcome for Pilot I "new business" motor PL paper based-w/o KPI Policy
p
p Buy: Customer
New Business u

Implementation
S
t &
CUSTOMER accepts quote
u
o
s
ei
rr
a
C
Ex isting Business

How to control the major

s
rt
o
p Copy agent
p

Level 2
u
S Tied Agent Check Collect missing
t & Distribution completeness information
u
o and foward
s
ie quote
rr
a
C

operational risks
s
rt
o
p VII. Print policy,
p II. Scanning &
u Document I. Capture party ship and
S

What the company does:

& indexing
t Management data archive image
u request
o
copy
s
e
rir
a
C

No
s No
rt
o
p III. Check
p Policy IV. Check
u

Generic activities
S completeness & Request Back Office V. Issue policy
Administration knock-out
t & Front Office
enter data into comple...
criterion
required? documentation
u system
o
s Yes
ei
rr Yes
a
C

s
rt
o
p

showing the main

p Policy
u VI. Issue policy
S Administration
&
t documentation
u Back Office
o

s
ie
rr
a
C

s
rt
o

transactions
p
p
u
S Underwriting
&
t
u
o
s
ei
rr
a
C

Level 3
tsr
o
p
p
u
S
t &
u
Sub Process
Who does what &
o
s
ei
rr
a
C

tsr
o
p
p
u
S
&
t

where: View of
u
o
s
ei
rr
a
C

s
rt
o
p
p
u
S

processes rolled up and

t &
u
o

s
ier
r
a
C

tsr
o
p
p
u

key decision and handoff

S
t &
u
o
s
ei
rr
a
C

points
r
e
th
O

Level 4
How we do things: Detailed Activity
Business processes
Post
valuate phone distribution/index
contact ation

phone call task assigned incoming mails

identified as
dissatisfaction

Guideline
Contact Center Agent identify complaints
Sales&Service dissatisfaction

showing individual
-definition-
Contact Center Agent check receiver Guideline
Sales&Service of complaints
dissatisfaction -scope- Standard Claim
Handler
Standard Claim
Handler
Medium Claim
Handler
Medium Claim
Handler
Complex Claim
Handler
Complex Claim
Handler

activities
dissatisfaction
is identified dissatisfaction customer letter email identified
fax identified as
concerns third identified as as complaint
dissatisfaction
party dissatisfaction dissatisfaction addressed to
board

forward list of contact

Contact Center Agent addresses
dissatisfaction
Sales&Service partner/supplier
to
partner/supplier
Standard Claim
Handler
dissatisfaction
Medium Claim is sent to
Handler partner/suppl...

Complex Claim
Handler

Contact Center Agent forward

Sales&Service complaint to
team manager

check if defect Standard Claim

Contact Center Agent handling Handler
Sales&Service procedure has complaints
to be executed forwarded to
team manager
Standard Claim
Handler

Medium Claim
Handler

Complex Claim
Handler

no defect
handling defect handling
needed

description
execute defect procedure of
Contact Center Agent
handling defect handling
Sales&Service
procedure

Standard Claim
Handler

defect
Medium Claim
handlung
Handler
procedure...

Complex Claim
Handler

Contact Center Agent

Sales&Service

check task and TN - Tasks &

Standard Claim
notes in Info Notes
Handler

Medium Claim
Handler

Complex Claim
Handler

Level 5
Fases de la Metodología ICF (cont.)
I. Documentación y Validación (cont)

Fase II: Identificar y documentar los riesgos y controles

•  Objetivo: identificar los riesgos y sus respectivas actividades de control,

determinando “que puede fallar” y sus causas

Los controles deben ser identificados por su función como: Preventivo o

Detectivo, y por su aplicación como: Manual o Automático, y
adicionalmente si son considerados Primarios o no.

Que son los controles Primarios?

Son aquellas actividades de control que en caso de no existir, pueden
generar riesgo en las operaciones, riesgo financieros o de cumplimiento y
por su esencia no pueden ser mitigados por otros medios.

Son los controles más importantes para la gestión gestión y para las
transacciones que garantizan que las actividades se cumplan los objetivos.

14
Fases de la Metodología ICF (cont.)
I. Documentación y Validación (cont)

Fase II: Identificar y documentar los riesgos y controles

§  Los productos de esta fase son la identificación de los controles, su

eficacia, la frecuencia de ejecución y los responsables, así como los
riesgos operacionales.

§  Los principales actores son los responsables del proceso en su calidad

de Administrador, junto con la Gerencia de Riesgos, a través del
responsable de ICF

15
 Internal Control Framework
Control Activity Description Documentation – Control Activity Comments Appli Evaluatio Evaluatio MRCA validation Contr
(1), (7) of Local cable n of n of step including: ol
Control Cont Design Operating Description, Title/ Activi
Function, Evidence
Activity rol Effectiven Effectiven ty
(9)
(1), (9), (10) Activ ess ess Class
ity? (5)
Evidence or Title or Frequenc Contro Contro Satisfactory Satisfactory
(4)
Reference Sources Position, y l Type l Type NI – Needs NI – Needs
(8), (10) Dept. (8), (10) 1 2 Improvemen Improvemen
(8), (10) (2), (6) (3), (6) t t
Unsatisfactor Unsatisfactor
y y

REC01 Não tem As políticas e Gerente Eventua P-D M-A Y NI NI POPR

As políticas e controle sobre procedimentos Financeir lmente
procedimentos as atualizações da área estão o
relacionados ao dos descritas no
c i c l o d e procedimentos Manual de
recebíveis . Procedimentos
(inclusive as – Á r e a
políticas de As políticas e Financeira.
reconheciment procediment Entretanto este
o de receitas, os documento não
medição, relacionados está atualizado e
d iv u l g a ç ã o, ao ciclo de n ã o é d e
IFRS e políticas recebíveis conhecimento
do Grupo) são estão de todos.
documentados desatualizad
e comunicados os.
a o s
funcionários
relevantes.
(I, II)

Se genera um issue porque la actividad no se la está realizando.

Fases de la Metodología ICF (cont.)
I. Documentación y Validación (cont)
Fase IV - Documentar e Implementar as atividades de control y
acompañamiento (MRCA)
Objetivo: Para dejar evidencia escrita de control de las actividades de
supervisión. Los pasos para evaluar el rendimiento de control y se identifican y
documentan las actividades asociadas con él sobre una base diaria por los
responsables.

Es una fase asociado con el monitoreo y la conciencia con respecto a los

controles y el riesgo, donde los principales objetivos son:

•  Confirmar la comprensión de las actividades de control por el

responsable del proceso y dejar evidencia de conformidad con el
mismo trimestre.
•  Fortalecer la responsabilidad y el compromiso de los responsables de
los procesos en la ejecución de las actividades de control
•  determinar de antemano la ineficacia de los controles
•  Contribuir a la reducción de las actividades de prueba de control por
parte del grupo de auditoría o grupos externos.

17
 Internal Control Framework
•  Ejemplo de MRCA - Managerial Review of Control Activities

La revisión gerencial de las actividades de control es el paso realizado por el Supervisor/Gerente

para validar la eficacia operacional de las actividades de control como parte de la operación del
día a día.

Description of Local Control Activity MRCA MRCA

applicable

REC01 yes Brief description:

El Departamento de Recursos Humanos El gerente se asegura de que el documento correcto está en la carpeta compartida
mantiene políticas y procedimientos una vez que se se aprobó.. El gerente también se asegura de que el personal es
aprobados para garantizar que los consciente y esta debidamente formado en las políticas y procedimientos del
procedimientos están en cumplimiento con departamento en las reuniones trimestrales con su personal y se tiene establecido
las normas contables IFRS. Estos un plan de entrenamientos anual.
procedimientos son revisados y aprobados Responsible: Gerente del área
anualmente. Evidence:
El gerente completa el formulario de revisión trimestral, lo firma, escanea y guarda
en la carpeta compartida MRCA
Frequency: Anual
REPORTES DE ABR
Tips

Cualquiera que sea el área de observación indicada

(Monitoreo), cada una de ellas debe contener lo siguiente:

1.  Descripción de la deficiencia encontrada.

2.  Causa del problema
3.  Consecuencia de la debilidad y de ser posible su
cuantificación
4.  Acciones correctivas adecuadas para el nivel de riesgo
(consecuencia) y la cirscunstancia.
SCORECARD AUDITORIA
SCORECARD PLANES DE ACCION
SCORECARD INCUMPLIMIENTO
Enterprise Risk
Management
 Gestión de riesgos de Bancos

Riesgo Riesgo Riesgo

de Crédito de Crédito de
Mercado
Riesgo de
bancos Riesgo
Operacional

Basilea I (1988) Basilea I (1995)

Riesgo Riesgo
de de
Crédito Mercado
Riesgo
Riesgo
Estratégico o
Operacion Reputacional
al

Basilea II (2004)
Gestión de riesgos estratégicos
Gestión de riesgos operacionales
Riesgo de ¿Crédito?

• Documentacion
transaccional/contractual
• Documentación de
procesos La gestión de riesgos operacionales nos permite observar la empres
• Diseño de procesos a de una manera holística para crear un mapa detallado de los
• Ejecución de procesos riesgos. Los gerentes de línea y los gerentes de negocio pueden
• Falla en productos usarlo para conducir su negocio de mejor manera
• Datos Internos y
externos • Falta de personal
• Reportes internos y clave
externos • Habilidades y ¿Cual es la probabilidad que las fallas en los
• Gestión de cambios y capacidades
proyectos • Fraude del Controles de gestión de crédito deterioren mi
• Servicio al cliente e empleado cartera?
interacciones • Actividad no
autorizada
• Seguridad ambiental ¿Cuál es la severidad de las pérdidas?
• Relaciones de los
empleados ¿Cómo esta la industria y mis competidores?
• Diversidad y
discriminación
Gestión de riesgos operacionales

• Falta de personal
clave
• Habilidades y
capacidades
• Fraude del
empleado
• Documentacion • Actividad no
transaccional/contractual autorizada
• Documentación de • Seguridad ambiental
procesos • Relaciones de los
• Diseño de procesos empleados
• Ejecución de procesos • Diversidad y
• Falla en productos discriminación
• Datos Internos y • Outsourcing
externos • Eventos naturales y
• Reportes internos y • Hardware hechos por el
externos • Software hombre
• Gestión de cambios y • Redes • Legislación y
proyectos • Interfases regulación
• Servicio al cliente e • Comunicaciones • Fraude externo y
interacciones • Seguridad actividad criminal
ASFI
 ASFI

1 Identificación 2 Gestión

Identificación Medición Monitoreo Control Mitigación Divulgación