E.R.M. Gestión de Riesgos Empresariales

1. E.R.M. Gestión de Riesgos Empresariales Apostando por Sistemas de Gestión Integral de Riesgos Sencillos y Progresivos Jesús Aisa Díez Madrid, 7 de Noviembre 2008

2. Errores que no se pueden repetir “ …. Quizás lo mas importante es que las entidades tenemos que gestionar el riesgo con prudencia . Si hay algo que ha quedado claro en esta crisis es la necesidad de poner el foco en la gestión de los riesgos. Y para esto no hay que innovar mucho . No hay que inventar nada nuevo. Hay que dedicarle tiempo y atención al más alto nivel… “ “ Las subprime activaron la crisis pero no la causaron” Discurso de D. Emilio Botín en la Conferencia de Banca Internacional del Banco Santander. 16 Octubre 2008

3. Concepto de ERM “ Es un proceso efectuado por el Directorio, la Gerencia y otros miembros del personal, aplicado en el establecimiento de la estrategia a lo largo de toda la Organización, diseñado para la identificación de eventos potenciales que puedan afectarla y administrar las amenazas de acuerdo a su apetito al riesgo, de modo de proveer seguridad razonable en cuanto al logro de los objetivos de la Organización” • Se publica en 2004 • Lo promueve COSO • Es elaborado por PwC ( 2001/ 04) • Se traduce al español por el IAI España • No anula al Marco sobre Control • Interno o COSO I , lo perfecciona e • integra

4. COSO II algo mas que gestionar riesgos Objetivo Nuevo E.R.M = COSO I + SGIR Nuevo Componente Componente Ampliado Nuevo Componente Nuevo Componente Considera las actividades de todos los niveles de la organización Foco de la ponencia

5. COSO I vs COSO II. Conceptos adicionales Respecto de COSO I se han incluido : Objetivos estratégicos , que son los que fijan la estrategia de la compañía Objetivos Estratégicos Estrategia los otros objetivos ( operativos + informativos + cumplimiento) Identificación de eventos. Fenómenos que afectan a la empresa, bien favorable o desfavorablemente Respuesta a los riesgos. Previo análisis del coste-beneficio, como responder a ellos, evitándolos, reduciéndolos , compartiéndolos o aceptándoles.

6. Resultados de la implantación de ERM Según la encuesta realizada por PwC a más 1.400 CEO´s en todo el mundo, la conclusión es que ERM produce grandes beneficios, tales como : > Incrementa la capacidad objetiva para asumir los riesgos necesarios para crear valor. > Aporta claridad a la toma de decisiones > Agrega solvencia a las operaciones del negocio > Mejora el seguimiento del desempeño > Apoya el establecimiento de procedimientos de gobierno consistentes > Refuerza la reputación Sin oponer ninguna reserva a estas opiniones, creemos que normalmente su implantación : * Ha precisado de un periodo de desarrollo amplio * Se han empleado apoyos de especialistas externos * El coste no ha resultado irrelevante ¡ CONDICIONANTES DESMOTIVADORES DE SU EMPLEO !

7. Rol de Auditoría Interna en ERM según el IIA

8. “Hoja de ruta” implantación ERM 1. Diseño del plan de implantación a desarrollar ( Alcance, objetivos , recursos necesarios , participantes, facultades , etc ) 2. Trasladarlo al CEO solicitando su preceptiva aprobación 3. Ratificación de la aprobación por parte del Consejo/ Directorio 4. Difusión de la existencia del proyecto a TODA la Organización 5. Solicitar copia del Plan Estratégico del negocio ( objetivos, Pptos , política de inversión, de financiación, ……. ) 6. Modelo riesgos/procesos a emplear . 7. Identificación de los procesos del negocio mas influyentes en la consecución del Plan Estratégico 8. Ordenación de los procesos por su importancia para alcanzar los objetivos estratégicos

9. “ Hoja de ruta” (2 ) 9. Decidir número de procesos con los que vamos a trabajar ( 10 / 15 más relevantes) 10. Identificación de los riesgos inherentes que conviven con los procesos seleccionados 11. Determinación factores que pueden generar los riesgos identificados ( nivel de corrupción, mantenimientos, estado infraestructuras, pericia profesional, ……….) 12. Concretar rangos de evaluación de los atributos de los riesgos. Impacto y Probabilidad 13. Evaluar los riesgos existentes ( no riesgos inherentes). 14. Concretar “apetito al riesgo” aceptado 15. Establecer las medidas correctoras para ajustar el “riesgo residual”. 16. Evaluar “gap” entre la “tolerancia al riesgo” y el riesgo residual real

10. Desarrollo de la Hoja de Ruta. Puntos 1 a 5 • Se corresponden con las condiciones necesarias para la implementación • Pretenden tres objetivos fundamentales , sin ellos no es posible avanzar • Conocer los objetivos estratégicos vigentes • Aseguranos el compromiso de la Gerencia y el Directorio • Adquirir la autoridad necesaria para actuar y solicitar la colaboración 1. Diseño del plan de implantación a desarrollar 2. Aprobación del CEO 3. Ratificación por parte del Consejo/ Directorio 4. Difusión del proyecto a TODA la Organización 5. Solicitar copia del Plan Estratégico del negocio

11. MODELO CORPORATIVO DE RIESGOS A Riesgos de operaciones B Riesgos de información para la toma de decisiones C Riesgos de entorno Desarrollo de la Hoja de Ruta. Punto 6 . Modelo R/ P AUDITORIA DE PROCESOS A3. RIESGOS DE DIRECCION Recursos Humanos Incentivos Límites Autoridad/Segregación Funciones Liderazgo Flexibilidad al cambio INSPECCION A1. RIESGOS DE OPERACIONES Satisfacción del cliente Duración proceso productivo Desarrollo de productos y servicios Proveedores - Recursos externos Obsolescencia- gestión inventarios Incumplimiento de compromisos Facturación / Pérdida de ingresos Comunicación interna Eficiencia Capacidad Diferenciación Interrupción del negocio Medio Ambiente Salud y seguridad Imagen Subcontratación A2. RIESGOS DE INTEGRIDAD Fraude interno Fraude externo AUDITORIA INFORMATICA AUDITORIA FINANCIERA A5. RIESGOS FINANCIEROS Evolución mercados financieros Liquidez Crédito a clientes Garantía A4. RIESGOS DE PROCESO DE INFORMACIÓN Acceso Integridad Relevancia/Disponibilidad Infraestructura B3. INFO. FINANCIERA Planificación y presupuestación Info. financiero-contable y fiscal Evaluación de la info. financiera Evaluación de inversiones Disponibilidad recursos financieros B2. ESTRATÉGICA Diversificación del negocio Valor del negocio Planificación estratégica y Normativa Ciclo de vida B1. OPERATIVA Fijación de precios Compromisos adquiridos Medición del desempeño Alineación con la estrategia Competencia Relaciones con accionistas Cambios en la industria AUDITORIA FISCAL Y REGULATORIA Entorno Legal y Fiscal Regulación Entorno Político y Económico Modelo de riesgos ya conocido por los miembros de ACHIET

12. Procesos Operativos Procesos Operativos 3.Compra de productos 3.Compra de productos 5.Facturación 5.Facturación 1. Desarrollo de la 1. Desarrollo de la 2.Comercialización 2.Comercialización 4.Producción y 4.Producción y y servicios, inversión y servicios, inversión y cuentas a y cuentas a Estrategia Corporativa y ventas y ventas almacenaje almacenaje Estrategia Corporativa y cuentas a pagar y cuentas a pagar cobrar cobrar Procesos de Gestión y Soporte Procesos de Gestión y Soporte 6. 6. Gestión de Recursos Gestión de Recursos Humanos 7. 7. Gestión de la tecnología Gestión de la tecnología y la información 8. 8. Gestión recursos Gestión recursos financieros 9. 9. Información financiera - contable y fiscal Información financiera - contable y 10. 10. Gestión de riesgos específicos Gestión de riesgos específicos y apoyo Desarrollo de la Hoja de Ruta. Punto 6. Modelo R/ P Procesos Corporativos

13. Desarrollo de la Hoja de Ruta. Punto 6. Modelo R/ P Subprocesos Corporativos a dos dígitos

14. RIESGOS D E OPERACIONES OPERACIONES FINANCIEROS TECNOLOGIA/ SISTEMAS INFORMACION Alto Medio Bajo INTEGRIDAD Desarrollo de la Hoja de Ruta. Punto 6 Modelo R/P RIESGOS DEL ENTORNO MAPA DE RIESGOS High Risk 1 Medium Risk 1 DIRECION High Risk 2 IMPORTANCIA High Risk 3 Medium Risk 2 Low Risk 1 Medium Risk 3 Low Risk 2 Medium Risk 4 Low Risk 3 RIESGOS DE LA INFORMACION TOMA DE DECISONES PROBABILIDAD OPERACIONES INFORM fINANCIE ESTRATEGIA Esquema de Clasificación de Procesos Procesos Operativos 5. Producción y entrega (Industrias de Transformación) 1.Entender Mercado y Clientes 2. Desarrollo de la Estrategia 3. Diseño de Productos y Servicios 4. Marketing y Venta 7. Facturación y Servicio al Cliente 6. Producción y entrega (Industrias de Servicios) Procesos de Gestión y Soporte 8. Desarrollo y Gestión de Recursos Humanos 9. Gestión de la Información 10. Gestión de Recursos Físicos y Financieros 11. Ejecución de Programas de Gestión Medioambiental 12. Gestión de Relaciones Externas Matriz: Riesgos/Procesos 13. Gestión de la Mejora Continua y del Cambio

15. Desarrollo de la Hoja de Ruta. Puntos 7, 8 y 9. Priorización Procesos En reunión colegiada del Comité de Dirección, en sesión tipo “ workshops“, todos los ejecutivos opinan sobre todos los procesos de la organización Identificando aquellos con mayor incidencia en la consecución/ alejamiento de los objetivos de la empresa. Basta que todos los ejecutivos les puntúen por su importancia , para ello deben marcarse los factores sobre los que opinar. Económicos, reputacionales, legales, medioambiente…. • Proceso Logístico • Proceso de Subcontratación • Proceso Facturación • Proceso de postventa. • Etc Valoración subjetiva pero razonada

16. Desarrollo de la Hoja de Ruta. Puntos 10 y 11. Identificación Riesgos y Factores de Riesgo • Decididos los procesos con los que trabajar, se deben identificar los eventos • que los pueden afectar. • La matriz riesgos- procesos nos dará una primera aproximación • Los gestores responsables de los procesos seleccionados, deben completar la • relación riesgos –procesos deducida de la matriz teórica, adecuándola a la • realidad de la empresa • De los riesgos seleccionados debemos determinar los factores que los generarán Averías mecánicas Inclemencias Huelgas Atascos • Duración proceso productivo • Continuidad del negocio • Subcontratación • Fraudes • Calidad del servicio • Facturación/ Perdida de ingresos Proceso Logística RIESGOS FACTORES RIESGO

17. Desarrollo de la Hoja de Ruta. Punto 12. Valoración de los Riesgos • Probabilidad • Estimando la frecuencia de aparición del evento • Probabilidad REMOTA Menor que una vez cada X años. • Probabilidad MUY BAJA. Estimación de ocurrencia menor a X años, pero mayor a cada Y años • Probabilidad BAJA Ocurrencia situada entre un intervalo menor de Y años y mayor de uno. • Probabilidad MEDIA. Menos que anual, pero más que trimestral • Probabilidad ALTA. Menos que trimestral, pero mayor que mensual. • Probabilidad MUY ALTA. Menos que mensual. • Puede resultar muy útil medir la frecuencia de la aparición de los FACTORES

18. Desarrollo de la Hoja de Ruta. Punto 12 • Valoración de los Riesgos. Impacto • Relacionar los diferentes daños/consecuencias que pudieran producirse de materializarse cada riesgo • a) Económicos • b) Reputacionales • c) Laborales • e) Medioambientales • f) Informativos • g) Penales,etc • Cuantificar cada uno de estos perjuicios según el consenso establecido. • Agregar la cuantificación individualizada

19. Desarrollo de la Hoja de Ruta. Punto 12 Valoración de los Riesgos. Impacto(II) Proponemos trabajar con técnicas cualitativas, empleando el modelo de “ medición por ratios” La misma escala, 0 a 10, según el nivel de importancia daño. Efectos Económicos Leves . Hasta 100.000 Euros ………………………………………….. Valor ponderación 1 Bajos. De 100.000 a 1.000.000 Euros…………………………….. Valor ponderación 3 Intermedios . De 1 millón a 5 millones de Euros……………. Valor 6 Elevados . De 5 millones a 10 millones Euros ……………….. Valor 8 Extremos . Superiores a 20 millones de Euros ……………… Valor 10 Efectos Reputacionales Leves . El evento afecta mínimamente a la imagen o reputación …… Valor 0 Moderados. El evento afecta a i/ r apreciablemente …………………… Valor 1 Importantes. El daño puede considerarse importante …………………… Valor 3 Críticos. La imagen es dañada en forma grave pero recuperable…… Valor 6 Extremos. Los daños son graves y de difícil recuperación………………. Valor 8

20. Desarrollo de la Hoja de Ruta. Punto 12 Valoración de los Riesgos. Impacto (III) Efectos Laborales. Leves. Lesiones poco importantes que no requieren hospitalización………… Valor 1 Moderados. Lesiones o politraumatismos menores con hospitalización……… Valor 2 Elevados. Lesiones incapacitantes con hospitalización………………………….. Valor 4 Criticos. Lesiones con muertes ……………………………………………………… Valor 10 Efectos Medioambientales Reversible inmediato…………………………………………………………………. Valor 0 Reversible en el corto plazo………………………………………………………….. Valor 1 Reversible en el medio plazo……………………………………………………… Valor 3 Mitigable-compensable……………………………………………………………….. Valor 5 Irreversible de pequeña magnitud…………………………………………… …… Valor 6 Irreversible de eleva magnitud ……………………………………………………….. Valor 10

21. Desarrollo de la Hoja de Ruta. Punto 12 Valoración de los Riesgos. Impacto (IV) • Efectos Informativos • Leve. No afecta datos confidenciales y puede ser recuperada ………………………..Valor 1 • Moderado.Idém a lo anterior, pero no puede ser recuperada………………… Valor 2 • Crítico. Afecta a datos confidenciales pero puede ser recuperada ……………… Valor 3 • Muy crítico.Idém al anterior pero sin posibilidad de recuperación………………. Valor 4 • La severidad de cada Riesgo será la suma de los valores de los Efectos Económicos + Efectos Reputacionales + Efectos Laborales + Efectos Medioambientales + Efectos Informativos • Debemos considerar que estamos sumando elementos diferentes, por lo que • el valor de la escala deben ajustarse para conseguir una adecuada ponderación de las diferentes perturbaciones

22. Desarrollo de la Hoja de Ruta. Punto 13 Evaluación Si trabajásemos en el Marco de COSO I 22

23. Desarrollo de la Hoja de Ruta. Punto 13. Evaluación Pero como estamos trabajando con COSO II Impacto Riesgo inherente Apetito al Riesgo Riesgo residua Riesgo residual 23 Probabilidad

24. Desarrollo de la Hoja de Ruta. Punto 14 y 15 Concreción “apetito al riesgo” y medidas correctoras Apetito al riesgo, máximo riesgo que la Organización está en condiciones de aceptar para no interferir en la consecución de los objetivos Del riesgo inherente pasamos al riesgo aceptable ( apetito al riesgo) adoptando una serie medidas , todas ellas encaminadas a gestionarlos, dentro de las siguientes posibilidades * Aceptarlos * Compartirlos * Reducirlos * Rechazarlos La elección de alguna de estas cuatro alternativas dependerá del coste- beneficio esperado.

25. Desarrollo de la Hoja de Ruta. Punto 14 y 15 Concreción “apetito al riesgo” y medidas correctoras (II) Determinado el nivel de los riesgos asumibles, nos centraremos en los factores que pueden desencadenar los eventos indeseados, definiendo las medidas que permitan reducir su impacto y/o probabilidad de ocurrencia . Riesgo Continuidad del Negocio. Factores que lo pueden inducir- Medidas . Huelgas. Coexistencia varias Subcontrataciones alternativas. . Dificultad de aprovisionamiento de materias primas. Aumentos de stock . Fallos de suministro de energía eléctrica. Instalación de grupos electrónicos. . Restricción del crédito. Aumento de capital. Todas estas medidas tienen un coste, que debe ser evaluado y comparado con los riesgos que eliminan, que ha controlarse, así como los beneficios reales obtenidos de acuerdo con el riesgo remanente resultante.

26. Cuantificación riesgo residual. Punto 16 Factores RiesgoProbabilidad ImpactoCoste Huelgas Alta a Baja 30 d a 10 d X miles € Dificultad de Media a Muy Baja 5 d a 1 d Z miles € aprovisionamientos Fallos energía Muy Alta a Baja 60 h a 0 h W miles € Restricción crédito Muy Baja a Remota 15 d a 0 d T miles € La nueva probabilidad ha pasado de Medía- Alta a Baja- Muy Baja, mientras que el impacto también se ha visto reducido de XXX h/d a YYY h/d La Dirección deberá aprobar el plan para reducir el riego ( impacto diferencial x variación probabilidad) mediante un plan que tiene un coste de ZZZ miles de euros

27. Cuantificación riesgo residual. Punto 16 Medir el coste-beneficio esperado por implantar una determinada estrategia de gestión de un riesgo, exige decidir previamente que respuesta damos al riesgo según las posibilidades ( Aceptar, Rechazar, Reducir, Compartir ) Riesgo de Continuidad del Negocio, las formas de actuar con los factores de riesgo no son únicas. ¿ Por cual debemos decantarnos ? Veamos, p. e. , el factor “ fallos de energía”. Posible formas de atajarlo: * Instalación de un grupo electrógeno. Incide sobre el impacto y probabilidad * Contratación con una segunda compañía eléctrica. Sobre los 2 atributos * Suscribir una póliza de seguros por los posibles daños. Solo sobre el impacto * Trasladar la fábrica a otro ámbito. Incide sobre la probabilidad y el impacto .

28. Cuantificación riesgo residual. Punto 16 Dado que las técnicas empleadas para estimar la probabilidad han sido cualitativas, puede dificultar la concreción del cálculo coste- beneficio. Una solución sencilla consistiría en convertir los atributos cualitativos en porcentuales Como el propio Marco sobre ERM señala, las técnicas probabilísticas miden la probabilidad y el impacto basándose en premisas del comportamiento de los eventos en forma de distribución estadística, en base a modelos en riesgos ( VaR) , pero requieren disponer de información estadística abundante. Es un estadio posterior. PROBABILIDAD Remota Muy Baja Baja Media Alta Muy alta Total 0 % 25 % 50 % 75 % 100 %

29. Desarrollo de la Hoja de Ruta. Punto 16 El gap entre lo esperado y lo conseguido debe medirse para actuar Impacto Riesgo residual Riesgo inherente Apetito al Riesgo Riesgo residua 29 Probabilidad

30. En conclusión: La implantación de un ERM, como cualquier proyecto ambicioso, debe seguir una serie de pautas. 1ª ) Planificar detalladamente su desarrollo. Obtener aprobación Directorio 2ª ) Disponer de los medios humanos y técnicos precisos. Formar el equipo 3ª) Desarrollarlo progresivamente en etapas. Empezar por lo sencillo 4ª) Aplicar las experiencias previas. No seamos utópicos 5ª ) Tomarse el tiempo que sea necesario. No nos precipitemos, objetivos realistas 6ª ) Aprovechar el momento oportuno . Cuando la empresa lo haya asumido 7º) Establecer objetivos a corto plazo. Huir de proyectos con tiempos prolongados

31. Un ejemplo válido.