GESTIÓN DE RIESGOS
ANÁLISIS PESTEL
Factores
Económicos
Descripción
Socio -
Culturales
Tecnológicos
Entorno General
Variables a considerar
Crecimiento actual y esperado del PIB, del consumo interno, del ahorro, de la inversión…
Variables macroeconómicas que evalúan la situación actual y futura de la economía.
Variables demográficas, sobre cambios
sociales y culturales de la población.
Nivel científico y las infraestructuras tecnológicas de un contexto determinado.
Inflación
Evolución de los tipos de interés
Tasa de desempleo
Evolución de la pirámide de población
Densidad de población
Tasa de natalidad y mortalidad
Evolución de emigración e inmigración
Nivel educativo
Valores sociales, morales, éticos
Nivel de desarrollo tecnológico
Grado de implantación de tecnologías de la información
Grado de obsolescencia tecnológica
% PIB dedicado a R&D
Número de investigadores
Número de patentes/año
Entorno General
Factores
Descripción
Políticos Marco institucional que existe en un determinado contexto socio-económico.
Variables a considerar
Tipo y características del sistema político vigente
Transparencia, solidez y madurez del sistema político
Nivel de estabilidad del gobierno
Políticas monetaria y financiera
Políticas de bienestar
Legales
Medioambientales
Desarrollo legislativo que pudiera afectar al sector.
Leyes y normativas (tributaria, laboral, etc.)
Derechos de propiedad intelectual
Grado de ecologismo y la tendencia a la sostenibilidad de los agentes implicados en nuestro contexto.
% de reciclado de productos
Energías renovables
Existencia de tasas ecológicas
Leyes medioambientales
Contexto internacional
Contexto nacional
CONTEXTO
Incertidumbre
Riesgos
AS/NZS:
IIA:
ISACA:
COSO:
PMI:
DRII:
ALGUNAS VISIONES DE RIESGO
Posibilidad de que suceda algo que tendría impacto en los Objetivos.
Probabilidad de que un evento o acción pueda afectar adversamente la organización o actividad auditada.
Posibilidad de que ocurra un evento o acto que podría tener un efecto adverso en la organización y sus sistemas de información.
Eventos con potencial impacto negativo. Posibilidad de que un evento ocurra y que afecte de manera adversa el alcance de los objetivos.
El riesgo de un proyecto es un evento o condición incierta que, de producirse tiene un efecto positivo o negativo en uno o más objetivos del proyecto, tales como el alcance, el cronograma, el costo y la calidad.
Probabilidad de que se presente un evento que pudiera causar daños o pérdidas o afectar la capacidad para alcanzar los objetivos del negocio, asociado a la vulnerabilidad de la organización ante esa amenaza.
Gestión de riesgos:
Tolerancia al riesgo:
Resilencia:
Vunerabilidad:
Continuidad del negocio:
CONCEPTOS BÁSICOS
Desarrollo estructurado y aplicación de la cultura de gestión, a través de políticas, procedimientos y prácticas por medio de la definición de actividades para la identificación, análisis, evaluación y control de los riesgos.
Estado de preparación de una organización para soportar el riesgo después de los tratamientos de riesgo, con el fin de lograr sus objetivos.
Capacidad de una organización para mantener sus funciones y su estructura críticas ante cualquier cambio interno o externo y regresar a un nivel aceptable de rendimiento en un periodo mínimo después de una interrupción.
Grado de exposición de una persona, activo, proceso, información, infraestructura y otros recursos a las acciones o efectos de un riesgo, suceso u otro acontecimiento.
Capacidad de una organización para continuar con la entrega de sus productos o servicios después de una interrupción a un nivel predefinido aceptable.
Amenaza:
Situación o condición natural u ocasionada por el hombre que puede causar una interrupción de las operaciones o servicios de una organización.
Apetito de riesgo:
Crisis:
Es el nivel de riesgo que la empresa está dispuesta a aceptar, tolerar o estar expuesta en cualquier punto en el tiempo. Su tolerancia será la desviación respecto a ese nivel de riesgo.
Evento crítico que, si no se maneja de manera adecuada, podría afectar drásticamente la rentabilidad, reputación o capacidad operativa de una organización.
Impacto:
Efecto, aceptable o no, que un evento tiene en una organización. Los tipos de impactos al negocio son normalmente descritos como financieros y no financieros.
Probabilidad:
Posibilidad verosímil y fundada de que algo suceda, haya sido esto definido, medido o estimado objetiva o subjetivamente.
Gerenciar de manera más proactiva que reactiva
OBJETIVOS DE LA GESTIÓN DE RIESGOS
Gestión de Riesgos
Contar con bases confiables para la planeación y toma de decisiones
Hacer realidad la gobernabilidad organizacional
Mejorar la identificación de oportunidades y amenazas
Obtener valor de la incertidumbre y la variabilidad
Lograr el cumplimiento efectivo de normas y requerimientos legales
Asignación y uso más efectivo de los recursos
Reactiva
Reactiva a los riesgos
Ni el Directorio ni la Gerencia enfatizan en la gestión del riesgo.
Basada en la experiencia y a riesgos sucedidos.
Cubrimiento incompleto y aislado de los riesgos, con énfasis en riesgos financieros.
Responsabilidad diluida.
Valoración muy subjetiva.
Auditoría tradicional (Cumplimiento).
EVOLUCIÓN DE LA GESTIÓN DE RIESGO
Táctica
Preparada para los riesgos
El Directorio y Alta Dirección respaldan la gestión del Riesgo.
Se establece el Comité de Riesgo y la política de riesgos.
Se reconoce necesidad de administrar el riesgo en toda la empresa.
Identificación aislada de riesgos según naturaleza.
Anticipa los riesgos
Comités de Riesgo a Nivel del Directorio y Alta Dirección.
Administración del riesgo desde contexto estratégico.
Predictiva: Enfocada a prever riesgos potenciales.
Identificación integral de Riesgos en los procesos.
Valoración cuantitativa riesgos críticos.
Valoración cualitativa o semicuantitativa.
Auditoría mas proactiva.
Auditoría basada en riesgos.
EVOLUCIÓN DE LA GESTIÓN DE RIESGO
Personas Procesos Tecnología Eventos externos
EL RIESGO Y LA EMPRESA
Ejemplo
ESTABLECIMIENTO
Gobierno del Riesgo
Infraestructura y Gerencia del Riesgo
Estrategias
DE UN MODELO DE GESTIÓN DE RIESGO
Propiedad del Riesgo
Supervisión
Cultura de riesgo
Infraestructura
Común de Riesgo
Personas Procesos Tecnología Eventos externos
Directorio y Gerencia General
Alta Dirección
Gobierno
Ciclo de Gestión de Riesgos
Identificación Evaluación Tratamiento Diseño y pruebas de mitigación Monitoreo
Estrategia y Planeación
Ciclo de Gestión de Riesgos
Operaciones/ Infraestructura
Cumplimiento Reporte
Unidades de Negocio y Funciones de Soporte
PANORAMA DE LOS RIESGOS MUNDIALES 2019
Riesgos de Desastre:
Riesgos del Negocio:
Riesgo Operacional:
ALGUNOS TIPOS DE RIESGOS DEL ENTORNO EMPRESARIAL
Posibles pérdidas que ocasionaría un desastre en términos de vidas, las condiciones de salud, los medios de sustento, los bienes y servicios, y que podrían ocurrir en una comunidad o sociedad particular en un período específico de tiempo en el futuro.
Exposición a factores tanto internos como externos que pueden afectar la capacidad de la organización para proporcionar un servicio o producto, o que pueden generar una caída en la demanda de los mismos, situaciones que pueden representar un impacto financiero inesperado.
Riesgo de pérdida resultante de controles y procedimientos inadecuados o fallidos. Incluye la pérdida por eventos relacionados con tecnología e infraestructura, fallas, interrupciones de negocios, problemas relacionados con el personal y eventos externos, tales como los cambios regulatorios. Se basa en el riesgo de la operación, independientemente del riesgo del negocio en particular.
STAKEHOLDERS
¿Quiénes son?
Personas u organizaciones
Involucrados activamente en el entorno en el que te desenvuelves
Interesados que puedan verse afectados de manera positiva o negativa.
Influyen sobre el resultado o proceso de negocio
DRII:
Individuo o grupo que tiene un interés en el desempeño o éxito de una organización, por ejemplo, clientes, socios, empleados, accionistas, propietarios, la comunidad local, organizaciones del primer nivel de respuesta, gobierno o instituciones regulatorias.
QUÉ CONSIDERAR EN LA “NUEVA NORMALIDAD”
RESILIENCIA ORGANIZACIONAL
Anticipación Preparación
Continuidad y preparación Adaptación
TURBULENCIA: La nueva “normalidad”?
RADAR DE RIESGOS (Corto Plazo)
Fuente: Encuesta de percepción sobre los riesgos mundiales 2019-2020 del Foro Económico Mundial
RADAR DE RIESGOS (Largo Plazo)
Fuente: Encuesta de percepción sobre los riesgos mundiales 2019-2020 del Foro Económico Mundial
