Introducción a la Gestión de Riesgos. Objetivo: Introducir a los participantes en el contexto y lenguaje de la Gestión de Riesgos, para lograr un mayor.

Presentación del tema: "Introducción a la Gestión de Riesgos. Objetivo: Introducir a los participantes en el contexto y lenguaje de la Gestión de Riesgos, para lograr un mayor."— Transcripción de la presentación:

1 Introducción a la Gestión de Riesgos

2 Objetivo: Introducir a los participantes en el contexto y lenguaje de la Gestión de Riesgos, para lograr un mayor nivel de entendimiento de este enfoque a través del análisis de las distintas componentes del enfoque de la Gestión de Riesgos y modelos asociados. Metodología: Se desarrollara bajo un primer enfoque expositivo por parte del relator entregando los conceptos básicos, estructura de modelos (COSO ERM) y normas asociados a la Gestión de Riesgos (ISO 31.000), lo cual será complementado a partir de la interacción de los participantes de acuerdo al trabajo desarrollado en sus propias empresas para finalmente presentar y conocer una experiencia de empresa minera. Sergio Hernández M. / Rodolfo Miranda Z. Sergio Hernández M. / Rodolfo Miranda Z.

3 Introducción a la Gestión de Riesgos Agenda. Primera Parte. Introducción a la Gestión de Riesgos 1.Origen y evolución de la gestión de riesgos. 2.Conceptos y definiciones de riesgos. 3.Clasificaciones de los riesgos. Segunda Parte. Componentes de la Gestión de Riesgos bajo COSO ERM. 1.Entorno Interno 2.Definición de objetivos 3.Identificación de eventos 4.Evaluación de riesgos 5.Respuesta al riesgo 6.Actividades de control 7.Información y comunicación 8.Monitoreo Tercera parte. Gestión de Riesgos bajo ISO 31.000. 1.Visión general ISO 31.000. 2.Estructura para la gestión de riesgos. 3.Proceso de la administración de riesgos Cuarta Parte. 1.- Experiencia practica empresa minera.

4 Primera Parte. Introducción a la Gestión de RiesgosIntroducción a la Gestión de Riesgos –COSO ERM (Enterprise Risk Management).

5 Kennecott Utah Copper's Bingham Canyon Mine (2013) The world's largest man-made excavation - a US copper mine - has been shut down by an enormous landslide that smashed roads and buildings and left two-thirds of the pit base buried. Nobody was hurt in the collapse at the massive open-cast Bingham Canyon Mine, run by Rio Tinto-owned Kennecott Utah Copper - largely because workers had been evacuated amid several weeks of warning signs the ground was going to shift.Bingham Canyon MineKennecott Utah Copper "We started noticing movement in that part of the mine in February," said Rio Tinto-Kennecott spokesman Kyle Bennett, according to The Salt Lake City Tribune.The Salt Lake City Tribune He said that indications were that the mine’s wall was slipping a millimetre or so each day. The mine monitors for movement at all times. But, by Wednesday morning (local time) mine engineers started seeing movement of up to 5cm per day and moved out the 37 workers at the bottom of the vast open mine. The company also warned residents nearby that a slide was possible any day. Excavación más grande hecho por el hombre del mundo - una mina de cobre EE.UU. - se ha cerrado por un enorme derrumbe que destrozó carreteras y edificios y dos terceras partes de la base de la picadura enterrado izquierda. Nadie resultó herido en el colapso de la masiva a cielo abierto Mina de Bingham Canyon, a cargo de propiedad de Rio Tinto Kennecott Utah Copper - en gran parte porque los trabajadores habían sido evacuados en medio de varias semanas de señales de advertencia de la tierra iba a cambiar. "Empezamos a notar movimiento en esa parte de la mina en febrero", dijo el portavoz de Rio Tinto-Kennecott Kyle Bennett, según The Salt Lake City Tribune. Dijo que las indicaciones fueron que la pared de la mina se le escapaba un milímetro más o menos cada día. La mina monitorea el movimiento en todo momento. Pero, por la mañana del miércoles (hora local) los ingenieros de minas comenzaron a ver el movimiento de hasta 5 cm por día y se movieron los 37 trabajadores en el fondo de la gran mina a cielo abierto. La compañía también advirtió a los residentes cercanos que una diapositiva era posible cualquier día.

6 Huelga Portuaria en Chile – Abril 2013

7 Huelga de Mineras – MEL/Codelco/Collahuasi

8 On March 23, 2005, a fire and explosion occurred at BP's Texas City Refinery in Texas City, Texas, killing 15 workers and injuring more than 170 others. TEXAS CITY REFINERY DISASTER El 23 de marzo de 2005, un incendio y explosión se produjo a las de BP Texas City refinería en Texas City, Texas, matando a 15 trabajadores e hiriendo a más de 170.

9 DEEPWATER HORIZON DISASTER Fortune's investigation shows ‘Perhaps the most crucial culprit: an emphasis on personal safety (such as reducing slips and falls) rather than process safety (avoiding a deadly explosion)’. Consider this: BP had strict guidelines barring employees from carrying a cup of coffee without a lid -- but no standard procedure for how to conduct a "negative- pressure test“. La investigación de FORTUNE muestra 'Tal vez la causa más importante: un énfasis en la seguridad personal (como por ejemplo la reducción de resbalones y caídas) en lugar de la seguridad del proceso (evitando una explosión mortal). Considere esto: BP tenía normas estrictas que prohíben a los empleados para llevar una taza de café sin tapa - pero ningún procedimiento estándar de cómo llevar a cabo una "prueba de presión negativa".

10 The Deepwater Horizon drilling rig explosion occurred on April 20, 2010 in the Gulf of Mexico. The explosion killed 11 workers and injured 17 others and resulted in one of the USA’s worst environmental disasters. La plataforma Deepwater Horizon plataforma de perforación explosión ocurrió el 20 de abril de 2010 en el Golfo de México. La explosión mató a 11 trabajadores e hirió a otras 17 y dio lugar a uno de los peores desastres ambientales de los EE.UU..

11 THE PRINCIPAL FINDING : Was that BP Management had not distinguished between “occupational safety” (i.e. slips-trips-and-falls, driving safety, etc.) vs “process/systems safety” (i.e. design for safety, hazard analysis, material verification, equipment maintenance, process upset reporting, etc.). TEXAS CITY REFINERY DISASTER El principal hallazgo: Fue que la Dirección BP no había distinguido entre "seguridad en el trabajo" (es decir, se desliza-viajes-y-caídas, seguridad en la conducción, etc) vs "la seguridad de procesos / sistemas" (es decir, el diseño de la seguridad, análisis de riesgos, la verificación de materiales, mantenimiento de equipos, rearranque del proceso de informes, etc.)

12 Japan Earthquake & Tsunami 2011

13 The Upper Big Branch Mine disaster occurred on April 5, 2010 about 1,000 feet (300 m) underground at Massey Energy's Upper Big Branch longwall operation at Montcoal in Raleigh County West Virginia. Twenty-nine out of thirty-one miners at the site were killed. El desastre de la mina Upper Big Branch ocurrió el 5 de abril de 2010 Unas 1.000 pies (300 m) bajo tierra en la operación de tajo largo Upper Big Branch de Massey Energy en Montcoal en el condado de Raleigh West Virginia. Veintinueve de los treinta y un mineros en el lugar fueron asesinados.

14 MASSEY UPPER BIG BRANCH Massey boss Don Blankenship said: “Safety has always been of paramount importance at Massey” and cited various statistics the amount of time lost to accidents at Massey has bested the industry average for 17 of the last 19 years. Massey’s “non fatal days lost” record has shown consistent improvement and was better than the industry average. Massey jefe Don Blankenship dijo: "La seguridad siempre ha sido de vital importancia en el Massey" y citó varias estadísticas de la cantidad de tiempo perdido por accidentes de Massey ha superado a la media del sector porl 17 de los últimos 19 años. Massey "días no fatales perdieron" registro ha mostrado una mejora constante y era mejor que la media del sector.

15 MASSEY UPPER BIG BRANCH Governor’s Independent Investigation Panel Upper Big Branch Mine Disaster – 19 May 2011 Conclusion : “The April 5 2010 explosion was not something that happened out of the blue, an event that could not have been anticipated or prevented. It was, to the contrary, a completely predictable result for a company that ignored basic safety standards and put too much faith in its own mythology” Gobernador Independiente de Investigación Grupo Upper Big Branch desastre de la mina - 19 de mayo 2011 Conclusión: "El 5 de abril de 2010 la explosión no fue algo que sucedió de la nada, un evento que no se podría haber anticipado o evitado. Era, por el contrario, un resultado totalmente predecible para una empresa que ignora las normas básicas de seguridad y poner demasiada fe en su propia mitología "

16

17

18

19

20

21

22

23 FAILURE TO LEARN....

24

25

26

27

28 Una realidad a nivel de formación.

29 Introducción a COSO ERM (Enterprise Risk Management). Punto de partida. Pongámonos de acuerdo ¿Que es la gestión de riesgo? ¿Quien debe desarrollarla en una organización?

30 La creación de valor define un concepto único para contemplar a las regulaciones e integrarlas en sus procesos de negocios... ¿Cumplir? a)Respuesta al requerimiento b)Convicción. Introducción a COSO ERM (Enterprise Risk Management).

31 Gobierno Corporativo Administración del Riesgo Cumplimiento StakeHolders CulturaProcesosTecnología “Cumplir sin conformarse” Introducción a COSO ERM (Enterprise Risk Management).

32 COSO  El nombre de COSO proviene del Committee of Sponsoring Organizations of the Treadway Commission.  en 1992, publicó un informe denominado Internal Control – Integrated Framework (IC- IF), conocido también como COSO I.  Adoptado por el sector público y privado en USA, por el Banco Mundial y el BID, y se extiende rápidamente por todo Latino América. Sergio Hernández M. Sergio Hernández M. Introducción a COSO ERM (Enterprise Risk Management).

33 TRANSICIÓN COSO/COSOERM Sergio Hernández M. Sergio Hernández M. Introducción a COSO ERM (Enterprise Risk Management).

34 Proyecto E.R.M. Concluye que había una necesidad de una estructura, reconociendo no obstante una abundancia de literatura en el asunto. Cree que hay un acuerdo general respecto a que todas las organizaciones pueden beneficiarse de un mejor proceso de identificación de riesgos y de los procedimientos de análisis de estos. Reconoce la existencia de muchas organizaciones que están comprometidas en algunos aspectos de la dirección de riesgo de empresa. Cree que este estudio ayudará a identificar todos los aspectos que deben estar presentes y cómo ellos pueden coordinarse. Sin embargo, debido al aumento de preocupación por la administración de riesgos en los años 90, The Committee of Sponsoring Organisations of the Treadway Commission determinó la necesidad de la existencia de un marco reconocido de administración integral de riesgos. Introducción a COSO ERM (Enterprise Risk Management).

35 Proyecto E.R.M. El proyecto se inició en enero de 2001 con el objeto de desarrollar un marco global para evaluar y mejorar el proceso de administración de riesgo, reconociendo que muchas organizaciones están comprometidas en algunos aspectos de la administración de riesgos. Septiembre de 2004, se publica el informe denominado Enterprise Risk Management – Integrated Framework, el cual incluye el marco global para la administración integral de riesgos. Enterprise Risk Management - Integrated Framework incluye el control interno, por lo que en ningún caso reemplaza a Internal Control – Integrated Framework. Introducción a COSO ERM (Enterprise Risk Management).

36 El marco proporciona: -Una definición de Enterprise Risk Management - Los principios y componentes críticos de un efectivo proceso de Enterprise Risk Management. - Lineamientos para que las organizaciones lo utilicen para mejorar su administración de riesgo. - Criterio para determinar si su administración de riesgo es efectiva, y si no, que necesita. Las técnicas de aplicación proveen: -Ilustraciones de como los principios críticos pueden ser observados en una organización. - Una perspectiva de un proceso de implementación. - Ilustraciones que consideran una variedad de organizaciones, en cuanto a: Tamaño Estrategia Industria Complejidad Introducción a COSO ERM (Enterprise Risk Management).

37 Premisas Fundamentales. La premisa principal de la administración corporativa de riesgos es que cada entidad, con o sin fines de lucro, existe para crear valor a sus grupos de interés. Todas las organizaciones encaran la incertidumbre…, el desafío para la administración es determinar cuanta incertidumbre esta dispuesta y preparada a aceptar en la búsqueda de aumentar el valor de los grupos de interés. La incertidumbre nace tanto del entorno como de las decisiones dentro de la organización. La incertidumbre se puede presentar tanto como riesgo y oportunidad, con el potencial de destruir o generar valor. La administración de riesgos corporativos posibilita a la administración a manejar esa incertidumbre, su riesgo y oportunidad asociado y, por lo tanto, incrementar la capacidad de la organización para construir valor.

38 Punto de partida: Definición de marco de administración de riesgo…

39 Definición: “Riesgo es la posibilidad que un evento ocurra y afecte adversamente el logro de los objetivos”. Tips: –Reducir las “Amenazas” –Manejar la “Incertidumbre” –Explotar la “Oportunidad”

40 Fuente: Gestión Corporativa de Riesgos /PWC 2011

41 Definición del marco de Administración de Riesgos… Construyamos la definición.

42 La administración de riesgos corporativos es un proceso, efectuado por la junta de directorio, la administración y otro personal de una entidad, aplicado en la definición de la estrategia y a través de la organización, diseñado para identificar eventos potenciales que pueden afectar a la entidad, y para administrarlos dentro de su apetito por el riesgo, para proveer una seguridad razonable respecto del logro de los objetivos de la entidad". Enterprise Risk Management – Integrated Framework, COSO II, 13 de octubre de 2004

43 Tipos de riesgos (En general). Riesgos de mercado, ej. Tasa de interés, tipo de cambio, precio de activos cotizados. Riesgo de Liquidez. Riesgo de crédito, ej. incumplimiento de clientes, deterioro de cartera de clientes. Riesgo país. Ej. Cesación de pagos de un gobierno, cambios regulaciones. Riesgo de contraparte. Ej. Riesgo de que un emisor de instrumentos financieros no cumpla Riesgo operacional. Ej. Riesgo de perdidas derivadas de la operación (control interno deficiente, proc. Inadecuados, error, fraude, fallo sistemas, etc. Riesgo …………………………………………………………..

44

45

46 ERM: Preguntas claves para comenzar con el análisis. ¿Cuales son los principales riesgos que afectan a nuestra organización? ¿Existe una definición formal de nuestro apetito y filosofía de administración de riesgo?. ¿Esta es comunicada y conocida? ¿Tenemos una visión y lenguaje integrado de riesgos en todas las unidades de negocio de la organización? ¿Tenemos un proceso de gestión de riesgo, de acuerdo a nuestro apetito y filosofía de administración de riesgo? ¿Cómo identificamos, evaluamos, comunicamos y monitoreamos nuestros riesgos? ¿Nuestras personas entienden su rol como parte de la administración de riesgos?

47 Segunda Parte. Componentes Gestión de Riesgo bajo COSO ERM.Componentes Gestión de Riesgo bajo COSO ERM. (Enterprise Risk Management). 1.Entorno Interno 2.Definición de objetivos 3.Identificación de eventos 4.Evaluación de riesgos 5.Respuesta al riesgo 6.Actividades de control 7.Información y comunicación 8.Monitoreo

48 Componentes de ERM.

49

50

51 2.1 Componente : Entorno Interno. “El entorno interno abarca el diseño de la organización, influencia la conciencia al riesgo de las personas, es el fundamento de todos los otros componentes de Enterprise Risk Management y provee disciplina y estructura”.

52 Componente : Entorno Interno. Es la base filosófica sobre la cual se construye un ERM continuo. “Lo imposible no es siempre tan imposible” (11 de Septiembre). Elementos.  Filosofía de administración de riesgo.  Apetito al riesgo.  Supervisión de la junta directiva.  Integridad, valores éticos y competencias del personal.  Como la administración asigna autoridad, responsabilidades y organiza y desarrolla a sus personas.

53 Componente : Entorno Interno. Filosofía de administracion de riesgo.

54 Componente : Entorno Interno. Apetito al riesgo.  El apetito al riesgo es la cantidad de riesgo, a nivel global, que la administración y el directorio están dispuestos a aceptar en su búsqueda de valor.  Refleja la filosofía de administración de riesgo e influencia la cultura y estilo de operación.  Debe considerarse en la definición de la estrategia, alineando la estrategia con el apetito al riesgo.  Puede expresarse como el balance aceptable entre las metas de crecimiento y retorno con los riesgos o como la medida de riesgo ajustado al valor agregado del accionista.  Entidades sin fines de lucro, expresan su apetito al riesgo como el nivel de riesgo que pueden aceptar entregando valor a sus stakeholders.

55 Componente : Entorno Interno. Apetito al riesgo.

56 Preguntas del apetito al riesgo a considerar… ¿Que riesgos son aceptados y cuáles no en los negocios de la entidad? ¿Está nuestra entidad conforme con la cantidad de riesgo aceptado para cada uno de los negocios? ¿Está nuestra entidad preparada para aceptar una mayor cantidad de riesgo y que nivel de retorno debería requerir? ¿Hasta que punto nuestra entidad podría aceptar un mayor riesgo de disminución de la utilidades marginales brutas para alcanzar una mayor participación de mercado?

57 Componente : Entorno Interno. Supevisión de la junta directiva. Elemento crítico del entorno interno.  Debe ser activa e implicada en el negocio.  Debe estar preparada para cuestionar e investigar sobre las actividades de la administración, presentar sus puntos de vista y actuar frente a problemas existentes.  La mayoría de ellos deben ser directores externos independientes.  Proveer supervisión y facilitar el Enterprise Risk Management. Ejemplo: Una compañía intermediaria de energía representaba el “ejemplo a seguir”, dado que contaba con una gerencia respetada, directores reconocidos, estrategias innovadoras, sistemas de información y reporte de avanzada y manuales de riesgos detallados …. Sin embargo la gerencia participaba en negocios cuestionables y los directores ignoraron dichas prácticas…… La actitud y preocupación de la Dirección sigue siendo el punto crítico a considerar

58 Componente : Entorno Interno. Integridad y valores eticos.  Influyen en la definición de objetivos, estrategias y como estas se llevan a cabo.  Están reflejados en los estándares de comportamiento de una entidad.  No sólo deben ser documentados y comunicados, sino deben acompañarse con guías expresas de que hacer y que no.  Se comunican de manera formal a través de un código de conducta.  Deben comunicarse con las acciones y  ejemplos de la administración.

59  Reflejan el conocimiento, las habilidades y destrezas necesarias para realizar las tareas asignadas.  Existen competencias organizacionales, gerenciales, funcionales y técnicas.  La administración alinea las competencias con el costo. Componente : Entorno Interno. Competencias.

60 Modelos de estructuras. Relaciones de comunicación y protocolos de autorización. Concomimiento de correlación de acciones propias y logro de objetivos propios y de otros. Políticas de recursos humanos (contratación, entrenar, evaluar, promover, remunerar, acciones correctivas) asociadas a alcanzar el nivel deseado de comportamiento (ético y de competencia). Acciones disciplinarias sobre conductas alejadas del comportamiento deseado. Componente : Entorno Interno. Estrucura organizacional, asinacion de autoridad, responsabilidades y desorrollo de personas..

61 Componente : Entorno Interno (Final). Implicancia del Entorno Interno… Incumplimiento de los objetivos de la entidad, pérdidas financieras, deterioro de la imagen, entre otros. “La actitud y preocupación de la administración superior por una eficaz administración de riesgo debe estar definida, clara e impregnada en la organización. No es suficiente dar el vamos, tener una actitud de "hace lo que digo, no como lo hago" sólo traerá un ineficaz ambiente interno”

62 Golpe de realidad. Columbia Disaster Eyewitness Video.mpeg

63

64

65

66 Golpe de realidad Caso-6_EI-Filosofia-Administracion-Riesgo.doc

67 Actividad alumnos. (Reflexión) ¿Conoce la misión, visión y objetivos estratégicos de su organización? ¿Sabe si en su organización existe una política de riesgos corporativa?. ¿Son declaraciones de intenciones o son realidad en la cultura organizacional?

68 Política de la Gestión de Riesgos. La política de la gestión de riesgos debería indicar claramente los objetivos y el compromiso de la organización en materia de gestión de riesgos y abordar, normalmente lo siguiente: a)La razón fundamental de la organización en materia de gestión del riesgo. b)Los enlaces entre los objetivos y las políticas de la organización y la política del riesgo. c)Las obligaciones de rendir cuentas y las responsabilidades en materia de gestión del riesgo. d)La manera en la que se tratan los intereses que entran en conflicto. e)El compromiso con el fin de tener disponibles los recursos necesarios para ayudar a aquellos con la obligación de rendir cuentas y responsables por la gestión del riesgo. f)La manera en que se mide e informa el desempeño de la gestión del riesgo. g)El compromiso para revisar y mejorar la política de gestión del riesgo y el marco de trabajo, periódicamente y como respuesta a un evento o a un cambio en las circunstancias.

69 Actividad alumnos. Descripción de una Política de Riesgos. Elementos a considerar Filosofía (Contexto) Objetivos Planificación de Operaciones Aplicación Desempeño Criterio de aceptación. Documentación. Responsables. 5 Xstrata Copper - Politica Gesti├│n Riesgo.pdf6 Estructura recomendada Pol├¡tica.doc

70 2.2 Componente : Definición de objetivos. Los objetivos se establecen a nivel estratégico y son las bases para la operación, el reporte y cumplimiento. Toda entidad enfrenta una variedad de riesgos. Sus fuentes son externas e internas El establecimiento de objetivos es una condición para :  Identificar eventos  Valorar riesgos  Responder a los riesgos A su vez están alineados con el apetito al riesgo y sus niveles de tolerancia…

71 Componente : Definición de objetivos. El apetito al riesgo se define como el grado de riesgo, en un nivel amplio, que la organización o la entidad está dispuesta a aceptar en la búsqueda de sus objetivos. La tolerancia al riesgo se define como el nivel aceptable de la variación alrededor del logro de un objetivo de negocio específico y se debe alinear con el apetito del riesgo de una organización.

72 Componente : Definición de objetivos. El apetito al riesgo se define como el grado de riesgo, en un nivel amplio, que la organización o la entidad está dispuesta a aceptar en la búsqueda de sus objetivos. La tolerancia al riesgo se define como el nivel aceptable de la variación alrededor del logro de un objetivo de negocio específico y se debe alinear con el apetito del riesgo de una organización.

73 Jugando un amistoso contra Inglaterra, en el legendario estadio de Wembley, Rene realiza una jugada vistosa conocida como "El Escorpión" para rechazar un balón tras el disparo de Jamie Redknapp jugador inglés. En 2008 la jugada fue consagrada como La Mejor Jugada de la Historia del Futbol por el portal Footy-Boots.com. Colombia Vs Inglaterra - El Escorpin - Rene Higuita.mpeg

74 3.- Componente : Identificación de eventos. La gerencia identifica potenciales eventos que afectan la implantación de la estrategia y el logro de sus objetivos. Dichos eventos son riesgos u oportunidades. Los riesgos requieren ser valorados y elaborar respuestas acordes La estrategia se retroalimenta El ejercicio se realiza considerando a toda la organización, su contexto y la tolerancia al riesgo

75 Componente : Identificación de eventos. “Un evento es un incidente que emana de fuentes internas o externas que afecta la implementación de la estrategia o logro de los objetivos. Los eventos pueden generar impactos positivos o negativos, o ambos”_

76 Componente : Identificación de eventos. Ejemplo: Análisis debe ser caso a caso, algunos muy sencillos, otros muy complejos.

77 Inventario de eventos. Worshops (braisntorming estructurados, abiertos o anonimos). Entrevistas Encuestas y cuestionarios. Análisis de flujos de procesos (foco inicial en procesos críticos). Indicadores de riesgo e indicadores de excepcion (precio petroleo, rotacion c xc, trafico en sitios web, etc.), alertas sobre un umbral definido. Componente : Identificación de eventos. Tecnicas.

78 Componente : Identificación de eventos. Técnicas (ejemplo). Mecanismo continuo de identificación de eventos. (Inventario)

79 Componente : Identificación de eventos. Técnicas (ejemplo).

80

81

82 Actividad alumnos. Escribir un proceso de identificación de eventos para constituir riesgos. –Elija una organización, un objetivo y/o un proceso. A continuación describa 5 riesgos utilizando la estructura de los siguientes ejemplos 8puede tomar como referencia las categorías de eventos y factores de la lamina anterior): Fuente del riesgo (a veces conocida como peligro) Evento (incluye cuando y donde) Un resultado (consecuencia) Una causa (¿como y por que? FUEGO SUBITO FUEGO EN LA OFICINA COSTO ESTIMADO DE MM$100 CORTO CIRCUITO (POR CALENTAMIENTO DE CIRCUITOS O EXTENSIONES EN MAL ESTADO) VIRUS LIBRE EN EL AMBIENTE PANDEMIA H1N1 INTERRUPCION DE LAS OPERACIONES (30% DEL PERSONAL CON LICENCIA MEDICA / REDUCCION DE LA FUERZA LABORAL) EMPLEADOS NO VACUANDO EN CONTACTO CON EL VIRUS

83 Por ejemplo: en el riesgo de accidente en carretera existen muchas posible causas que los pueden provocar: mal estado de la carretera o de las ruedas, exceso de velocidad, la falta de pericia del conductor, etcétera. Que son los aspectos sobre los que habrá que incidir para controlar el riesgo de accidente, al menos desde la perspectiva de la probabilidad de ocurrencia. En la reproducción de la información recogida en la prensa respecto de la cronología de los hechos que concurrieron en el accidente de hace unos años en un vuelo de Air France en el Océano Atlántico, podemos leer la sucesión de acontecimientos en la parte izquierda del Slide, mientras que en la parte derecha podemos ver los factores de riesgos que se pudieron observar, y que no fueron debidamente gestionados.

84 Autor: Jesús Aisa Díez

85 4.- Componente : Valuación de Riesgos Permite considerar como los eventos potenciales pueden impactar el cumplimiento de los objetivos. Se debe valorar su impacto y probabilidad utilizando metodologías cualitativas, cuantitativas o una combinación de ellas. Los eventos negativos se analizan en forma inherente y en forma residual.

86 Componente : Valuación de Riesgos. Definiciones. Un evento es un incidente o condición de fuente interna o externa para la empresa, que puede afectar la implementación de la estrategia o logro de objetivos. Un riesgo es la posibilidad de que un evento ocurra y afecte negativamente el logro de los objetivos. Basados en estas definiciones, riesgo puede ser considerado como una desviación de un resultado esperado (ya sea positivo a negativo)

87 Componente : Valuación de Riesgos. Tecnicas. Tres tipos de técnicas de valuación de riesgos: Técnicas cualitativas: Proporcionan una forma de priorizar y otorgar importancia relativa a los riesgos utilizando escalas descriptivas. Técnicas semi-cuantitativas: Utilización conjunta de escalas cuantitativas y descriptivas. Técnicas cuantitativas: Asignan un valor numérico del riesgo.

88 Componente : Valuación de Riesgos. Técnica cualitativa.

89 Componente : Valuación de Riesgos. Valuación de Riesgos: Matriz Impacto/ Probabilidad.

90

91 Técnica semi cuantitativa

92 Valuación de riesgos – Matriz para empresas del Estado, Documento técnico N° 34

93 Técnica Cuantitativas. Las técnicas cuantitativas incluyen: Benchmarking Técnicas no probabilísticas (Análisis de sensibilidad, análisis de escenarios, pruebas de stress). Técnicas probabilísticas Value at Risk (VaR), evaluación de eventos de pérdida y backtesting. Las técnicas de evaluación cuantitativas requieren: Exactitud y disponibilidad de información. Una metodología de cuantificación bien definida. Supuestos razonables. El proceso de valuación de riesgos requiere: Definición clara de todos los términos involucrados: Probabilidad, frecuencia, impacto ¿Medida como cantidad o como porcentaje, como valor? Para cualquier técnica de evaluación cuantitativa los supuestos utilizados son fundamentales, por lo que deben ser claramente comunicados. El valor esperado de la pérdida es calculado multiplicando la probabilidad del evento por el impacto esperado.

94 Técnica de evaluación: dónde aplicamos técnicas cuantitativas…

95 Actividad alumnos. Para los riesgos escritos en la actividad anterior: –Determine la escala de probabilidad de ocurrencia y la magnitud del impacto (considerando como parámetro una escala de perdidas financieras) y construya la matriz de riesgo (probabilidad e impacto). Considere solo riesgo inherente.

96 5.- Componente : Respuesta al riesgo. Las respuestas incluyen evitar, reducir, compartir y aceptar. Se debe evaluar el efecto sobre la probabilidad e impacto. Se debe evaluar los costos y beneficios. Seleccionar una respuesta que deje el riesgo residual dentro de las tolerancias del riesgo deseado

97 Componente : Respuesta al riesgo. Respuesta al riesgo es reducir la variabilidad potencial en el valor esperado de un objetivo (ej. Ingresos). Respuesta al riesgo es la acción que la compañía toma para prevenir o corregir los impactos de eventos que afectarían el logro de los objetivos

98 Respuesta al riesgo… COSO II define cuatro alternativas Componente : Respuesta al riesgo.

99 Respuesta al riesgo: aplicación del mapa de riesgo… I Reducir: gestión cualitativa y cuantitativa. II Evitar: condiciones excluyentes III – Aceptar: poco relevantes IV – Compartir / reducir impacto: mayor gestión cualitativa

100 Componente : Respuesta al riesgo.

101

102

103

104 Componente : Respuesta al riesgo. Ejemplos.  Una asociación sin fines de lucro identificó y valoró el riesgo de proveer servicios médicos a sus miembros y decidió no aceptar dicho riesgo. En cambio, gestionó un contrato con un proveedor preferido para los miembros socios.  Una data center identificó y valoró los riesgos de no contar con sistemas disponibles por más de tres horas y concluyó que el impacto de dicha situación no era aceptable. Por lo tanto invirtió en sistemas de alerta de fallas y de back-ups para reducir dicho riesgo.  Una Universidad identificó y valoró los riesgos de administrar las viviendas de los estudiantes y concluyó no tener las habilidades necesarias. Por ello realizó una tercerización de dicha actividad a una empresa especializada.  Una agencia del Gobierno identificó y valoró los riesgos de incendio en sus diversas regiones geográficas y valoró el costo de compartir el impacto a través de seguros. Concluyó que el costo incremental del seguro y sus deducibles excedían al potencial costo de reemplazo de los bienes y decidió aceptar el riesgo.

105 6.- Componente : Actividades de control. Las actividades de control son las políticas y procedimientos que aseguran que las respuestas al riesgo se están realizando…. Las actividades de control se realizan a lo largo de la organización y en todos sus niveles. Incluyen diversas actividades como:  Aprobaciones  Autorizaciones  Verificaciones  Reconciliaciones  Revisión de performance  Seguridad de los activos  Segregación de funciones

106 Componente : Actividades de control.

107 Las actividades de control deben estar respaldadas por políticas y procedimientos, los cuales son distintos…. Tipos de control. Preventivo Detectivo Manual Automatizado Control gerencial Las actividades del control también se pueden clasificar por objetivos de control especificas, tales como asegurar la integridad y exactitud del procesamiento de datos. Ejemplos Revisión a alto nivel Actividades de administración Procesamiento de información Controles físicos Indicadores de desempeño (KPI) Segregación de funciones Componente : Actividades de control.

108

109 Para relajarnos un poco de los temas tan serios con los que estamos tratando, permitámonos una pequeña licencia: averigüemos el tipo de controles que se emplean en la granja avícola que se presenta en el Slide. Cual es el control: Que tipo de control es: Control preventivo / Detective / Correctivo Sobre que actua: Probabilidad / Impacto Evaluacion del control: Eficaz / Debe ser mejorado / Ineficaz / Inexistente

110 Componente : Actividades de control.

111 Veamos con cierto detenimiento la siguiente fotografía; observamos que dos operarios están manejando lo que parece ser material inflamable. El riesgo es evidente, un accidente laboral, la razón, que entre en ignición alguno de los bidones, o que uno de los bidones le caiga sobre una mano o un pié a los operarios. El objetivo a conseguir: mover los bidones sin que existan accidentes. Si recordamos los riesgos se evalúan con base a dos atributos, el impacto (el daño producido) y la probabilidad de que este ocurra. En el caso de la foto, no apreciamos nada que pueda conducirnos a una menor probabilidad de una deflagración, salvo que ninguno de los dos operarios está fumando, ni se manipulan los bidones cerca de ninguna fuente de energía, por lo que la posibilidad de que ocurra el accidente no estaría alterada. Pero sin embargo, la dotación que llevan estos operarios da la impresión de ser ignífuga, por lo que si algún bidón se incendia, las consecuencias de las quemaduras que pueden sufrir serán menos importantes que si no llevaran esa protección. El control impuesto a la operación está incidiendo en el IMPACTO. En el mismo sentido puede apreciarse que ambos llevan guantes y calzado apropiado, lo que mitigaría las consecuencias de una caída del bidón. Recordemos que COSO II señala respecto a las actividades de control, que son: “Las políticas y procedimientos que ayudan a asegurar que se llevan a cabo las respuestas de la dirección a los riesgos”

112 Actividad alumnos. Para los riesgos descritos e incorporados a la matriz de riesgos inherentes de la actividad anterior: –Analice si existen controles (determínelos y escríbalos) para dichos riesgos y evalúelos en una de las siguientes categorías: Eficaz, Debe ser mejorado, Ineficaz e Inexistente. –Asocie si la clasificación de la evaluación del control apunta a la probabilidad o a la consecuencia. –En función de lo anterior modifique su evaluación de la probabilidad y/o impacto y realice nuevamente la matriz y analice la diferencia.

113 7.- Componente : Información y Comunicación. La información es identificada, capturada y comunicada de manera y forma oportuna para que la gente pueda cumplir con sus responsabilidades… Los sistemas de información utilizan datos internos y externos, proveyendo información para la administración del riesgo y la toma de decisiones informadas en relación a los objetivos. La comunicación efectiva es clave y todo el personal recibe un mensaje claro de sus responsabilidades. Los empleados comprenden su responsabilidad en la administración del riesgo y cómo sus actividades se relacionan con las de sus colegas La comunicación debe ser alentada en forma interna y externa

114 Componente : Información y Comunicación.

115

116 8.- Componente : Monitoreo. El proceso de administración del riesgo es monitoreado. Las actividades de monitoreo son continuas, actividades puntuales o una combinación de ambas. Las actividades continuas forman parte de las actividades gerenciales normales. Las actividades puntuales dependen de la priorización de los riesgos y la efectividad de los procesos continuos de monitoreo. Las deficiencias se reportan y las graves generan alertas

117 Componente : Monitoreo.

118

119

120

121

122 Indicadores de riesgo…actividades. Análisis de la metodología de diseño, documentación y aspectos claves a considerar en el desarrollo de un indicador de riesgo. Desarrollo de indicadores sobre la base de los eventos de riesgo identificados y documentados. Análisis de agregación de indicadores. Descripción de una herramienta para el manejo continuo de indicadores.

123 Componente : Monitoreo. Indicadores de riesgo…resumen de aspectos claves a considerar en el desarrollo de un indicador de riesgo.  Nombre del indicador: Nombre claro que lo describa fácilmente.  Gerencia, Subgerencia y área, asociada a la importancia del indicador.  Descripción detallada del indicador: Describir en forma clara y precisa la funcionalidad del indicador.  Objetivo de control: Dejar claramente descrito el evento que se está monitoreando.  Responsables de las acciones de control que se están monitoreando. Son quienes deben desarrollar acciones directas producto del resultado del indicador.  Unidad de medida en la cual se está desarrollando la acción de monitoreo (días, %, USD, etc.).  Frecuencia del monitoreo, clave para cumplir con el objetivo del indicador.

124 Componente : Monitoreo.  Valores target y rangos de tolerancia. Estos deben ser bien analizados e identificados con los responsables. Además deben ser validados por las gerencias responsables.  Identificación clara y detallada de las fuentes de información que darán funcionalidad y efectividad al indicador (BD, módulos relacionados, etc.).  Nombre y descripción detallada de la información que debe ser recolectada de las fuentes de información identificadas, las cuales serán la base del reporte base para la operación lógica del indicador.  Descripción clara y detallada de la operación lógica que se debe desarrollar con la información incluida en el reporte. Esta operación es la que genera los resultados del indicador y de la efectividad de la acción de monitoreo.

125 Componente : Monitoreo.

126

127

128 Tercera Parte. Gestión de Riesgos bajo ISO 31.000. Visión general ISO 31.000. Estructura para la gestión de riesgos. Proceso de la administración de riesgos

129 129 Fuente: ISO 31000 – Traducción libre al español del señor Carlos Valdivieso Valenzuela Gestión de Riesgos bajo ISO 31.000.

130 130 Fuente: ISO 31000 – Traducción libre al español del señor Carlos Valdivieso Valenzuela Gestión de Riesgos bajo ISO 31.000.

131 131 Fuente: ISO 31000 – Traducción libre al español del señor Carlos Valdivieso Valenzuela Gestión de Riesgos bajo ISO 31.000.

132 CONCLUSIONES.

133

134

135 REFLEXIONES FINALES. “Lo que tenemos ahora es un control de los procesos. No tenemos un proceso de creación de valor. Eso es lo que estamos tratando de hacer.” Susan Stalnecker, Tesorera, DuPont Co. “Lo que tenemos ahora es un control de los procesos. No tenemos un proceso de creación de valor. Eso es lo que estamos tratando de hacer.” Susan Stalnecker, Tesorera, DuPont Co. “Creo que el objetivo de la gestión de riesgo no es operar un negocio en un ambiente libre de riesgo. Es explotar las oportunidades que los riesgos presentan. Por lo tanto, se convierte en algo estratégico más que en algo defensivo.” Peter Cox, CFO, United Grain Growers Ltd.

136 REFLEXIONES FINALES. “Creo que ustedes verán a casi todas las compañías en los próximos años moviéndose en la misma dirección (en la que nosotros vamos), realmente tratando de integrar la noción de gestión de riesgo con la noción de gestión del negocio. Para mi, llevar un negocio es gestionar su riesgo.” Tim Ling, presidente y COO (former CFO), Unocal Corp. “Creo que ustedes verán a casi todas las compañías en los próximos años moviéndose en la misma dirección (en la que nosotros vamos), realmente tratando de integrar la noción de gestión de riesgo con la noción de gestión del negocio. Para mi, llevar un negocio es gestionar su riesgo.” Tim Ling, presidente y COO (former CFO), Unocal Corp. “El enfoque que hemos tomado en riesgo financiero y riesgo de negocio es tratar de cuantificar lo que podamos y no necesariamente preocuparnos de todo lo que no somos capaces de capturar con nuestras mediciones.” George Zinn, director de finanzas corporativas, Microsoft Corp.

137 LECCIONES APRENDIDAS. Algunas lecciones aprendidas en diseños e implementación de modelos de administración de riesgos de negocio: - Ser lo más simple posible. - Tener un claro soporte y compromiso de la alta gerencia (o no hacer). - Establecer un lenguaje común. - Establecer una visión de Administración de Riesgos y un plan global (objetivos y metas). - Establecer una estructura de Administración de Riesgo – Roles y Reponsabilidades. - Establecer un proceso de administración de riesgos uniforme. - Establecer un proceso de reporte de administración de riesgo. - Partir pequeño (primero pilotos, después realizar una fase roll-out por las Unidades de Negocio de la organización).

138 LECCIONES APRENDIDAS. -Las unidades deben dar el perfil de sus propios riesgos (con guías). -Designar dueños de riesgos (por ejemplo, amarrar la compensación al desempeño versus el riesgo. - Construir auto-evaluaciones consensuadas de riesgo entre los ejecutivos. - Establecer medidas de riesgo e indicadores de alertas tempranas. - Lograr compromiso a través del entrenamiento del personal. - Crear cultura que alienta la identificación, reporte y corrección de los riesgos y/o pérdidas. -Desarrollar las nuevas competencias requeridas al personal responsable de la administración de riesgos. - Identificar e implementar herramientas requeridas - Resolver oportunamente problemas en los datos de pérdidas (administración de datos)

139 BONUS TRACK: MIRADA A LA ISO 31.010 TECNICAS DE EVALUACION DE RIESGOS.

140 Cuarta Parte. Construcción proceso de gestión de riesgo en empresa minera.