Preparándose para gestionar y entender los nuevos escenarios de riesgos
Webcast series EY
Conócenos
Marcelo Carlos
Daremos 10 minutos al final de la charla para responder tus dudas.
Para hacer preguntas, escríbela a través de Q&A:
• Debes dirigirte a la parte inferior de la pantalla, hacer clic en Q&A y escribirla
• Así las preguntas que hagas las podrán ver todas las personas que estén conectadas
Algunas instrucciones
Horario Detalle
9:30 a 9:35 horas Bienvenida y presentación
9:35 a 9:40 horas Introducción al marco de trabajo de empresas resilientes
9:40 a 10:00 horas Nuevos desafíos que plantea el Covid-19 para la función de Riesgo
10:00 a 10:20 horas Gestión de riesgos de terceras partes
10:20 a 10:30 horas Preguntas y cierre
Agenda
Pregunta 1
a) 0 a 3 meses
b) 3 a 6 meses
c) 6 a 12 meses
d) Más de 12 meses
¿Cuánto tiempo estimas que será la duración de la crisis del Covid-19?
Pregunta 2
¿En una escala de 1 a 5, en qué medida crees que los modelos de negocio y realidad de las organizaciones cambiarán después de la crisis del Covid-19?
1Nada
cambiaráHabrá cambios significativos y
profundos
5
The Global Risks Landscape
Atención a los cisnes negros
The Global Risks Report 2020
Infectious diseases
NOW NEXT BEYONDSalvaguardar la continuidad del negocio a través
de un adecuado Plan de Gestión de CrisisComenzar la recuperación a través de la
adaptación del modelo operacional y una mayor resiliencia empresarial
Creación de valor a largo plazo reformulando y transformando negocios
Shock & re-start
Continuación de la crisis y lenta recuperación
La “nueva normalidad”
SOCIEDADGenerar confianza en los mercados de capitales y
tener un verdadero impacto social y ambiental.
FINANZASAsegurando el crecimiento de largo plazo a
través de optimización de márgenes y costos.
CONSUMIDORMantener la reputación y confianza cubriendo
la nueva demanda con ofertas innovadoras.
PERSONASCrear una cultura inclusiva de
desarrollo personal y de propósito.
Creando valor en el largo plazo
Responder y Continuar► Proteger las personas y la fuerza laboral
► Asegurar la estabilidad financiera
► Continuar las operaciones
Adaptar las operaciones► Adaptar la cadena de suministro
► Reiniciar la producción
► Garantizar el acceso del cliente
► Reducir costos
► Racionalizar estructuras, cartera de iniciativas, proyectos
Mejorar la resiliencia► Lograr mejores costos y agilidad
► Flexibilidad de la fuerza laboral
► Optimizar cadena de suministro
► Riesgos geopolíticos
► Potenciar canales digitales
► Mejorar automatización y ciberseguridad
Transformarse► Aprovechar nuevas oportunidades de crecimiento
► Redefinir el propósito
► Repensar relaciones comerciales y alianzas
► Balancear fuerza de trabajo presencial vs remota
► Reinventar soluciones comerciales
► Explorar diferentes canales de crecimiento del mercado
► Acelerar la transformación digital
Marco de resiliencia corporativa
Gobierno y Políticas Públicas
Cadena de Suministro
Salud y bienestar de los empleados
Talento y Fuerza Laboral
Seguros y Contratos
Clientes y Marca
Tecnología y Ciberseguridad
Finanzas e Inversionistas
Gestión de Riesgos
NOW, NEXT & BEYOND
¿Cómo el
COVID-19 está
disrumpiendo
las
organizaciones
globalmente?
Ciberseguridad
Capital de
Trabajo
Demanda
Responsabilidad
Social
Obligaciones
Legales
Fuerza de
Trabajo
Salud y
Seguridad
79% de los miembros del Directorio
afirman que sus organizaciones no están preparadas para enfrentar un crisis de grandes dimensiones
Cadena de
Suministros
EY Global Risk Survey 2020
¿Cuáles son algunas de las responsabilidades legales y contractuales que podrían activarse debido a este evento? ¿Cómo estamos respondiendo a nuevos requisitos de cumplimiento normativo?
¿Cuáles son las funciones críticas, los procesos y las dependencias críticas de terceras partes, especialmente en ubicaciones afectadas?
¿Cuál es el impacto en su gente: cuarentenas, evacuaciones, viajes y métodos de trabajo alternativos? ¿Cómo se ven afectados sus clientes, proveedores y capacidades de producción?
¿Se estableció un equipo de gestión de crisis que está facultado para aprobar excepciones y actual con agilidad?
¿Cuál es el impacto financiero y cómo se ven impactadas las necesidades de capital a corto y largo plazo?
NOW Focalizarse en los nuevos riesgos emergentes y una adecuada comunicación con todas las partes involucradas
Mantener contacto regular y cercano
con la fuerza laboral (trabajando de forma remota), el Directorio, alta administración y
otras partes interesadas
Analizar el impacto de la volatilidad del
mercado y sus implicancias en los riesgos de negocio, riesgo de crédito y liquidez, seguros,
etc.
Identificar a clientes y sectores
afectados y la relación con el
riesgo de crédito y las medidas de
tolerancia / umbrales
Alineación de la estrategia, planes
de inversión y operaciones con
una nueva evaluación de
riesgos
NOW Focalizarse en los nuevos riesgos emergentes y una adecuada comunicación con todas las partes involucradas
Proporcionar información oportuna y
consistente a las partes interesadas internas y externas
¿Se están actualizando las políticas y procedimientos para un nuevo escenario con un ecosistema más distribuido y colaborativo que mejore la productividad?
¿Se está adaptando la infraestructura y tecnología existente para apoyar la nueva normalidad?
¿Se están adoptando estrategias para mitigar rápidamente brechas de capacidad productiva y activar canales alternativos para atender la demanda de los clientes?
¿Están operando adecuadamente, y de manera confiable y transparente, los canales de comunicación con todas las partes interesadas, incluidos empleados, clientes, reguladores y proveedores?
¿Se están creando planes de contingencia en base a modelos de riesgos y distintos escenarios de ingresos y costos?
NEXT Adaptación y agilidad en la estrategia, las operaciones, la gestión de riesgos y las comunicaciones
Centrándose en la gestión de riesgos basada en nuevos escenarios de disrupciónNEXT
Asegurarse de que las operaciones sean sostenibles
durante más tiempo si el escenario se
profundiza o vuelve a ocurrir en poco
tiempo
Seguimiento periódico de la
posición de capital y liquidez, medidas
de coberturas y otras medidas de preservación de
capital
Apoyar en el rediseño de procesos,
procedimientos, roles y cambios de
TI
Análisis de las transacciones
internas y externas por posible fraude
Asegurarse que los límites de riesgo
sean adecuados las condiciones únicas y atípicas de esta
crisis
¿Se han considerado cambios en su modelo operacional como consecuencia de la respuesta a los riesgos de la crisis de COVID-19?
¿Tiene su organización un modelo de inteligencia de riesgos para detectar e identificar futuros escenarios de riesgo?
¿En caso que no se hiciere anteriormente, se prueban periódicamente los procesos y controles críticos para determinar su efectividad operativa?
¿Necesitamos adaptar la función de gestión de riesgos de nuestra organización como consecuencia de la crisis del Covid-19?
¿Necesitamos actualizar los planes de continuidad operacional y los escenarios de pruebas de stress incorporando los aprendizajes de la crisis COVID-19?
BEYOND Una función de riesgo centrada en los riesgos de alto impacto, apalancada en tecnología y nuevas competencias
BEYOND
Revisar el apetito de riesgo y la capacidad
de respuesta operativa como consecuencia de
las lecciones aprendidas
El uso de nuevas tecnologías y analítica
de datos para implementar alertas
tempranas que permitan anticiparse a posibles interrupciones
futuras
Apoyar en el diseño de nuevos productos o
iniciativas tendientes a cubrir las nuevas
necesidades de los clientes y en coherencia con los nuevos riesgos
de negocio
Supervisión del GRC para las iniciativas del negocio tendientes a
revisar la fuerza laboral, la ubicación, las
operaciones y las estrategias de negocio
Una función de riesgo centrada en los riesgos de alto impacto, apalancada en tecnología y nuevas competencias
¿Están sus terceros críticos preparados para apoyar a su organización durante la crisis de COVID-19?
EY Third-Party Risk Management (TPRM) responde a la pandemia
1 de 5 organizaciones
está usando Data Analytics,
y aún menos están usando
IA, robótica o blockchain.
1 de 3 espera
comenzar a usar Data
Analytics en los próximos
dos o tres años
42%
de las organizaciones confían
en sus terceros para
monitorear y evaluar a sus
proveedores.
de las organizaciones tienen
una plataforma tecnológica
TPRM. Más de la mitad de
ellos tienen enlaces a datos
de inteligencia de amenazas
externas o datos de
proveedores.
76%
Ciberseguridad
Modelo Operativo
50%
39%
de las organizaciones
informaron tener una
estructura
centralizada,
de las organizaciones
informaron tener una
estructura híbrida
de las organizaciones
esperan usar más
servicios gestionados
para ejecutar su
programa TPRM en
dos o tres años.
Servicios Gestionados
68%
Gestión de cuartas partes
de las organizaciones que
recopila información de las
cuartas partes lo hace mediante
una evaluación de riesgos y
controles.
36%
56%
Evaluación de
Riesgos
TecnologíaLos proveedores con
infracciones o incidentes se
informan al Directorio en
menos de una cuarta parte de
las organizaciones; sin
embargo, la alta gerencia
está involucrada en más del
60% de las organizaciones.
60%
36%de las organizaciones
tuvieron una violación de
datos causada por un
tercero durante los últimos 2
años
de las organizaciones
reevalúan (evaluación de
riesgo / control) a terceros
críticos anualmente.
Desafios claves relacionados con la gestion de riesgos de terceras partes
El 94% de las compañías
Fortune 1000 están viendo
interrupciones en la cadena de suministro debido al
COVID-19.
• Aumento de las preocupaciones sobre la seguridad de los datos o la fuga de datos debido a que terceros hacen trabajo remoto
• Incapacidad para llevar a cabo evaluaciones de riesgos y actividades de aseguramiento adecuadas a terceros (por ejemplo, no poder realizar visitas in situ, los terceros tienen disponibilidad limitada)
• Dificultades para comprender la visión holística de las dependencias y vulnerabilidades entre terceras y cuartas partes
• Capacidad de terceros críticos para continuar operando bajo un estrés significativo durante un período prolongado de tiempo
• Incapacidad para cumplir con los plazos legales o contractuales existentes o en curso
EY Gestión de Riesgos de Terceras Partes (TPRM) Respuesta a la pandemia
Identifique terceros críticos que soporten las funciones y operaciones esenciales de su organización
Evaluar a terceros críticos para identificar vulnerabilidades y dependencias, y revisar los planes de contingencia existentes / estrategias de salida
Mapear las concentraciones de actividad con terceras y cuartas partes críticas. Realizar un análisis de ubicación a medida que todos los países entren en escenarios de bloqueo
Revisar el alcance de las pruebas de resiliencia realizadas actualmente con terceros
Reforzar los protocolos de seguridad de la información en nuevos escenarios de trabajo (por ejemplo, trabajar desde el modelo de casa)
NOW Respuesta de EY TPRM ante la pandemia
Definir protocolos continuos de monitoreo y soporte a terceros, enfocándose en áreas tales como salud financiera, ciberseguridad, riesgo geopolítico y operacional
Desarrollar o refinar un plan de contingencia o estrategias alternativas de proveedores
Desarrollar y ejecutar escenarios de pruebas de estrés para terceros críticos
Realizar evaluaciones de riesgo por parte de terceros para dichas terceras partes críticas
Definir la estrategia de gestión de riesgos para los hallazgos clave identificados
NEXT Respuesta de EY TPRM ante la pandemia
Gestionar cualquier requisito regulatorio o legal y las fechas límite
Revise los convenios y los contratos con terceros críticos y de primer nivel
Movilizar capacidades en ubicaciones alternativas si es necesario
NEXT Respuesta de EY TPRM ante la pandemia
Realizar análisis de causa raíz en fallas conocidas
Refinar la estrategia y el enfoque de TPRM
Actualizar el plan continuidad del negocio y de pandemia con enfoque en terceros
Desarrollar ejercicios de escritorio de alto nivel con los aprendizajes de la pandemia
Evaluar la alineación estratégica de la organización con los proveedores externos
BEYOND Respuesta de EY TPRM ante la pandemia
Ampliar el alcance de la resiliencia más allá del riesgo cibernético
Revisar la estrategia del modelo operativo, por ejemplo, centralizado versus descentralizado
Aumentar el uso de datos y tecnología para establecer un enfoque automatizado basado en datos para TPRM
Implementar las modificaciones necesarias a convenios y contratos con terceros
BEYOND Respuesta de EY TPRM ante la pandemia
Descripcón del Riesgo: Capacidad de COMPAÑÍA DE ENERGÍA A para retener, administrar y supervisar a terceros / proveedores según lo establecido en los términos contractuales con el fin de garantizar que los servicios de terceros funcionen según lo necesite la empresa.
• Un enfoque fragmentado para la gestión de terceros dificulta la comprensión de todos los riesgos que presentan los terceros. También es más difícil de agregar, escalar y tomar medidas oportunas.
• Debido al entorno actual de “trabajo desde casa” impulsado por la cuarentena, las relaciones con terceros pueden ser cada vez más importantes. Es probable que las actividades comerciales normales de terceros estén limitadas o reducidas debido al bloqueo.
• El impacto negativo para la economía y los cierres de negocios generan una gran tensión financiera en los negocios de terceros en los que COMPAÑÍA DE ENERGÍA A podría confiar para las operaciones comerciales.
• Los servicios de proveedores externos que realizan auditorías, evaluaciones o mantenimiento en el sitio pueden verse interrumpidos o limitados debido a la Pandemia.
• La competencia por los servicios y contratistas EPC alineados con actividades esenciales se intensificará, ejerciendo más presión sobre los costos y la disponibilidad de recursos en toda la red de
proveedores.
• El cumplimiento de terceros con COMPAÑÍA DE ENERGÍA A, los protocolos de salud y seguridad deberán ser monitoreados y verificados utilizando formas convencionales / no tradicionales.
• Las evaluaciones de riesgo de proveedores tradicionales pueden no cubrir el alcance completo de la exposición / impacto de riesgo que la pandemia ha tenido en la red de proveedores de terceros.
Principales Consideraciones Consideraciones o ideas adicionales
• Considerar si la base de la oferta admite requerimientos de demanda cambiantes y requerimientos empresariales alterados.
• El lenguaje del contrato afectará la forma en que una organización puede responder durante una pandemia, por ejemplo:
• Tarifas- ¿cómo se definen las tarifas y si es que se ajustarán? ¿Qué se considera justo versus explotador?
• Exclusividad – las negociaciones iniciales pueden haber asegurado un derecho exclusivo de suministro a cambio de tarifas razonables.
• Clausula de terminación – Podrían las cláusulas de terminación y los rangos de tolerancia exponerlo a aumentos de precios más adelante, y puede mitigarlos ahora a través de la planificación anticipada?
• Fuerza mayor – si existe tal cláusula, esto puede significar que los proveedores no pueden rendir cuentas por el desempeño.
Ejemplo Gestión de Riesgos de Terceras Partes –Causas y consideraciones
1. Revisar las dependencias y vulnerabilidades críticas, incluidas las posibles interconexiones y puntos de falla
2. Desarrollar un programa eficaz de gestión de riesgos de terceros para proporcionar información más significativa sobre terceros e impulsar la toma de decisiones basada en riesgos
3. Seguir los pasos a continuación para abordar el riesgo de terceros durante la pandemia:• Elaborar lista de proveedores y realice la segmentación de proveedores para priorizarlos e identificar proveedores críticos
• Realizar evaluaciones internas de riesgo a terceros críticos considerando el poder de compra, la viabilidad financiera / probabilidad de supervivencia, fuerza laboral, logística, desempeño e historial de confiabilidad
• Llevar a cabo encuestas o evaluaciones con los proveedores para verificar su preparación ante una pandemia e identificar a terceros en los casos en que se requieran intervenciones
• Determinar los esfuerzos de mitigación para abordar los riesgos identificados• Monitorear el desempeño continuo y la exposición al riesgo y mantener un nivel aceptable
• Revisar contratos / solicitudes de terceros y revisar incentivos para atraer / retener recursos prioritarios.• Mantener un nivel adecuado de supervisión ya que los incidentes relacionados con terceros podrían ser más propensos a materializarse• Extender los recursos de capacitación sobre salud / seguridad pandémica y PPA a terceros que los necesiten
Controles y Actividades de Control Propuestas
Impacto a corto plazo
• La complejidad aumentará a medida que los protocolos de salud y seguridad se extiendan a terceros
Impacto a mediano palzo
• Las relaciones con los proveedores son tensas debido a una reducción en la fuerza laboral dado el distanciamiento social y los requisitos de permanencia en casa.
• Es posible que sea necesario adquirir / identificar nuevos proveedores a medida que los proveedores / terceros alcanzan su capacidad.
Impacto a largo plazo
• Puede haber una mayor necesidad de incorporar nuevos contratistas en números más altos de lo habitual.
• Aumento del potencial de fraude y otras fallas en la calidad del servicio.
Ejemplo Gestión de Riesgos de Terceras Partes –Plazos y mitigación
1
2
3
4
5
¿Sabes qué servicios no puedes permitirte perder?
¿Conoces a tus terceros críticos y de nivel 1?
¿Tienes un cuestionario de divulgación de COVID-19 para sus terceros y quién está
revisando sus respuestas?
¿Sabes cómo tus terceros proporcionan continuamente servicios de calidad de forma
remota, manteniendo los datos seguros de su organización?
¿Están sus terceros críticos y de nivel 1 (incluidas las dependencias con cuartas partes)
preparados para apoyar las funciones y operaciones esenciales de su organización
durante la pandemia de COVID-19?
Reflexiones a considerar
Reflexiones a considerar
¿Tiene un método para comprender las cadenas de suministro de sus terceros y dónde
puede surgir el efecto de segundo orden?
¿Puede identificar cuántos contratos, terceros, empleados y otras relaciones clave
podrían verse afectados?
¿La clausula de "Fuerza mayor" en sus términos y condiciones de contratos clave se
aplican a esta crisis?
Al evaluar terceros alternativos, ¿existen cláusulas de exclusividad en los contratos
actuales que puedan complicar el cambio?
6
7
8
9
¿Puede determinar la viabilidad financiera o la actitud de sus terceros ante la crisis que
enfrenta su organización?10
¿Cómo liderar desde la función de riesgos?
1
2
3
4
5
Cómo liderar desde la función de riesgos
Establecer y mantener protocolos para evaluar y comprender los nuevos
riesgos y sus posibles impactos
Diseñar y participar en la planificación de escenarios según lo exijan los
hechos y las circunstancias
Identificar los nuevos desafíos crediticios que podrían afectar los escenarios actuales y los modelos de riesgo
Establecer y mantener canales y protocolos de comunicación efectivos
coordinados con un equipo de gestión de crisis
Impulsar el pensamiento estratégico de la organización para prepararse para lo
inesperado
Marcelo ZanottiSocio Consultoría Risk Transformation [email protected]
Carlos HammekenGerente Senior Consultoría Risk Transformation [email protected]
Contactos
Preparándose para gestionar y entender los nuevos escenarios de riesgos
Webcast series EY