DISEÑO DEL MARCO DE TRABAJO DE LA GESTIÓN DE RIESGO

A continuación, se explicarán las principales etapas y conceptos a utilizar en la

implementación de un modelo de gestión de riesgos basado en ISO 31000 Y COSO ERM las
cuales se enfocan en la orientación de la estrategia de la compañía en función de los
riesgos empresariales y emergentes
1.- Que es un riesgo?

Cualquier evento con probabilidad de ocurrencia que pueda afectar adversamente a al

organización

¿Qué NO es un riesgo?

No son riesgos:

• Los problemas actuales – un problema es una situación que debo enfrentar

inmediatamente… está ocurriendo ahora… por lo tanto no tiene probabilidad de
ocurrencia…
• Las fallas o ausencias de controles… Estas situaciones están o no (0% o 100%)
• No confundir las consecuencias con los riesgos…

2.- Proceso completo: Gestión de riesgos para todos los procesos

Corresponde a las etapas de la implementación del modelo de gestión de riesgos explicadas por
hito.
HITO 1:

DEFINICIÓN DE MAPA DE RIESGO:

Apetito del riesgo: Responde a la pregunta…¿Qué tan arriesgada es la compañía?, Hasta donde
estamos dispuestos a aceptar?

Es la definición global del negocio para realizar sus actividades, considerando las expectativas de
todos los stakeholders, las condiciones del entorno, la condición de la empresa desde el punto de
vista financiero, exposición pública, normativas, su historia y desafíos futuros.

Se calcula a través de la creación de un cuestionario especifico que interprete los principales

conceptos de la organización tales como Naturaleza de la organización, Entorno del negocio,
situación financiera, ambiente competitivo, entre otros.

Es de vital importancia la historia de compañía, los eventos ocurridos en el pasado lo cual

ayudará a establecer el apetito y tolerancia frente a los riesgos ya materializados.

Selección de mapa de riesgo.

HITO 2

DEFINICIÓN DE LOS NIVELES DE TOLERANCIA:

Criterios establecidos para los eventos que se generan en la organización, es la definición de la

organización sobre el nivel que desea aceptar de un tipo de riesgo particular. Para determinarlo, se
debe establecer la capacidad (o decisión) de aceptar la materialización de un nivel específico de
riesgo

Determinación del nivel de tolerancia para cada uno de los conceptos seleccionados:

CRITERIO FINANCIERO REPUTACIONAL INFRAESTRUCTUR PERMISOS KNOW HOW PERSONAS INFORMACIÓN

A
NIVEL/CRITICO

Se deben establecer los rangos de tolerancia que definirá cada riesgo en la matriz lo cual lo
categorizará según el apetito del riesgo definido anteriormente.

HITO 3:

DEFINICIÓN DE LA ESTRUCTURA DE LA MATRIZ DE RIESGO

1)Riesgos estratégicos: Considerados los macro- riesgos, es decir, los principales riesgos del
negocio considerando la siguiente clasificación

 Fuente interna: Generados producto de la operación por ejemplo Escape de Peces /

Incumplimiento normativo, Daño Ambiental.
 Fuente externa: Son aquellos que nos afectan pero que no podemos alterar su
ocurrencia ejemplo, Cambio normativo.
 Fuente mixta: Comprende ambos criterios por ejemplo mortalidad masiva.
1.1) Evaluación de riesgos de fuente externa

Dada las características de estos riesgos, no reciben el mismo tratamiento de aquellos de fuente
interna, por lo que se deben gestionar a través del monitoreo de drivers, que consiste en el
monitoreo a través de un cuestionario que evidencia la situación / efecto que podría tener la
compañía una vez materializado este riesgo.

Estos riesgos no se mitigan con controles porque no se puede minimizar su ocurrencia, nos
obstante, entrega las luces para la generación de un BCP.

2)Riesgos Operacionales: Son los riesgos propios de las operación, presente en cada una de las
actividades ejemplo, contaminación de aguas, caída de altura, mortalidad masiva ….etc.

i. El impacto esta medido por el criterio seleccionado en el nivel de tolerancia

ii. La probabilidad es por el tipo de proceso / recursos/ frecuencia y masividad.

3) Estructura en base a procesos.

Se entenderá como proceso un conjunto de actividades íntimamente interrelacionadas que

existen para generar un bien o servicio, el cual tiene uno o más clientes y proveedores,
internos y/o externos a la organización en que opera.

Matriz de riesgo y cálculo de riesgo inherente

MACROPROCESO PROCESO SUBPROCESO RIESGO CRITERIO
AGUA MAR ENGORDA INGRESO DE INFORMACIÓN MODIFICACIONES A DATOS SANCIONES
PRODUCTIVA PROUCTIVOS NO AUTORIZADOS
Evaluación de impacto y probabilidad

Nivel de riesgo según la ponderación

del impacto y consecuencia
Nivel de riesgo según la ponderación
del impacto y consecuencia
Identificación y priorización de procesos críticos

Se consideran procesos críticos aquellos identificados como claves para el logro de la misión de la
compañía a través del cumplimiento de los objetivos estratégicos por lo que se deben analizar e
identificar en conjunto con los ejecutivos y directivos responsables, la estructura de los procesos
haciendo la relación con la misión y objetivos estratégicos y los procesos específicos y su nivel de
contribución.

 Escala para Medir el Nivel de Contribución que Afecta el Cumplimiento del Objetivo
Una vez identificados todos los procesos que existen en la organización, se debe aplicar la
siguiente metodología para determinar la priorización de los procesos en base a su nivel de
contribución para todos los objetivos estratégicos. Análisis que posteriormente servirá para
determinar cuáles serán los procesos críticos con los cuales se comenzara la gestión de riesgos.

HITO 4

DETERMINACIÓN DE CONTROLES REQUERIDOS

El próximo paso consiste en el reconocimiento y levantamiento de los controles existentes y que

se orientan a mitigar los riesgos operativos identificados. En este punto, debe hacerse un análisis
de los controles relevando sólo aquellos claves.

Deben clasificarse y calificarse los controles, de acuerdo a su nivel de cumplimiento con los
elementos de un control adecuado especificados en el modelo y según su tipo.

Tipos de controles:

Directivos: Corresponden a políticas, procedimientos, directrices, estos controles no

tienen impacto directo en el riesgo ya son formalidades asociadas a la actividad.
Efectivi
Operacionales: Controles que afectan directamente la materialización del riesgo y se
clasifican en:

Efectividad
Prioridad
 Descripción del control
Código de Evidencia del Responsable de Impacto Probabilidad
Control Visible Efectivo P/A P/M D/A D/M
Controles Control ejecutar
Declaración obligatoria para colaboradores que
C-060 representen a la compañía en otras sociedades o mesas de Si Si Legal X X
trabajo
Revisión de decisiones o acuerdos tomados por ejecutivos
en otras sociedades, por parte de niveles Directivos de
C-061 Si Si Compliance X X
Empresa y Compliance, ante posible conflicto de interés con
las operaciones de la compañía
Niveles de autorización de contabilización de diferencias de
C-069 Si Si Contabilidad X X
inventario

Luego, debe calcularse el nivel de exposición al riesgo, que corresponde al nivel de riesgo una vez
considerada la calificación de los controles. El nivel de exposición al riesgo, se determinará por
riesgo, por etapa, por subproceso y por proceso

HITO 5

FORMULACIÓN DE LA MATRIZ DE RIESGO ESTRATÉGICA

De la aplicación de esta metodología se obtendrá como producto la “Matriz de Riesgos

Estratégica” de la organización al momento del análisis de los procesos críticos, la que contendrá
los siguientes elementos:

 Procesos críticos de la organización (previamente priorizados).

 Identificación de subprocesos componentes de los procesos críticos de la organización y
su ponderación.
 Identificación de etapas en cada subproceso (si corresponde).
 Identificación de los objetivos operativos por etapa o subproceso.
 Identificación de todos los riesgos operativos relevantes.
 Identificación de la fuente del riesgo y su tipología.
 Valor y clasificación de la severidad de los riesgos operativos.
 Identificación, valor y clasificación de la efectividad de los controles mitigantes asociados
al riesgo operativo.
 Valor de la exposición al riesgo individual, por etapa, subproceso y proceso crítico.
 Valor de la exposición ponderada por subproceso.
HITO 6

FASE MONITOREO Y REVISIÓN

En esta fase es necesario nombrar responsables de monitorear la efectividad de todos los

pasos del Proceso de Gestión de Riesgos, también es conveniente, internalizar en la cultura
organizacional la implantación y utilización de modelos de autoevaluación de riesgos viéndolo
desde el punto de vista de las responsabilidades actuales entregándoles un valor agregado a su
actual gestión lo cual no consiste en adicionar más trabajo para los dueños de procesos.

Actividades Recomendadas para Monitorear los Planes de Tratamiento y Monitoreo

 Seguimiento de las estrategias seleccionadas y monitoreo de las actividades requeridas.
 Verificar periódicamente el avance en la implementación de la estrategia de tratamiento
de los riesgos.
 También se deben analizar y evaluar los controles existentes que contribuyen a asegurar el
cumplimiento de las medidas tomadas para mitigar los riesgos.
 Las áreas que realizan auditorias tienen un rol fundamental en esta actividad, las cuales se
deben unificar e ir asociadas a los riesgos levantados, con el objeto de identificar de una
manera continua y oportuna los cambios que se puedan producir en el nivel de
desempeño requerido o esperado y dar cuenta de la evolución del nivel del riesgo en
procesos críticos para la administración.
Ejemplos de tipos de criterios para la creación de riesgos
TIPO DE RIESGOS ELEMENTO QUE LO
CARACTERIZA
FINANCIEROS Se relacionan con el uso
adecuado de los recursos
entregados por la compañía
ECONOMICOS Se relacionan con
elementos financieros,
comerciales y
presupuestarios
SOCIALES Se relacionan con
elementos de comunidad
social, cultural, demográfica,
comportamientos sociales
ESTRATEGICOS Aspectos claves para el
desarrollo de la
Organización, que se
relaciona con decisiones
superiores
AMBIENTALES Aspectos que afectan la
calidad del medioambiente,
sean ocasionados por el
hombre o la naturaleza
LEGAL Aspectos de cumplimiento y
de conformidad del actuar
de la Organización con la
normativa aplicable al negocio.
PERSONAS Aspectos relacionados al
personal de la Organización
EJEMPLO DE RIESGOS ESPECIFICOS
- Mal uso de los recursos
- Desviación de recursos
- Entrega de recursos a no beneficiarios
- Malversación de fondos
- Uso de recursos con fines distintos a los
aprobados
Falta de disponibilidad presupuestaria
- Modificaciones presupuestarias por
deficiente ejecución
- Falta de liquidez
- Exceso de compromisos de la
que afecten su presupuesto
- Deficiencias en la ejecución
presupuestaria
- Deficiente comportamiento de la
compañía con la comunidad (bajo
compromiso, bajo cumplimiento, etc.)
- Falta de responsabilidad social de la
Organización
- Falta de planificación en los cambios de la
organización
- Deficiencias en el conocimiento,
comprensión y
aplicación de la normativa externa
-Falta de cumplimiento normativo en la
gestión de residuos
- Situaciones producidas por catástrofes
naturales
- Malas decisiones de impacto
medioambiental
Falta de actualización por cambios en la
legislación
- Aumento de los requerimientos por
cambio de
legislación
- Falta de cumplimiento de normas por
deficiencias en
las mismas (normas oscuras o
contradictorias, vacíos
legales)
- Falta de capacidad del personal
- Personal sin capacitación
- Actividad fraudulenta del personal
- Deficiencias en la seguridad e higiene y en
el ambiente de trabajo.
- Deficiencias en el cumplimiento de

REPUTACIONAL Aspectos relacionados con
el perfil de la Organización y la
reputación social del mismo.
Percepción de la comunidad
SISTEMAS Relacionado con los
sistemas de información de
la Organización, las
tecnologías que posee y los
datos que maneja.
*Todos los riesgos deben clasificarse sólo en una tipología.
Las tipologías deben asignarse de acuerdo a donde se originan los riesgos no según sus consecuencias.
normas del personal
- Publicidad negativa
- Corrupción
- Incumplimiento de las normativas
- Disconformidad de los usuarios
- Mal uso de recursos
- Falta de integridad y confiabilidad de
datos
- Falta de disponibilidad de datos y
sistemas
- Deficiencias en la selección de sistemas
- Deficiencias en el desarrollo y despliegue
de los sistemas
- Deficiencias en el mantenimiento
- Falta de interoperabilidad de los sistemas
 INFORMACIÓN DISPONIBLE DE GESTIÓN DE RIESGOS EN CERMAQ

1.- CATEGORIZACIÓN DE RIESGOS

CATEGORIA MATERIA DE RIESGO TIPO DE RIESGO

ESTRATEGICOS Cumplimiento de los objetivos N/A
Impacto en la reputación, marca N/A
y relaciones con las partes
interesadas
Innovación y tecnología N/A
Política de riesgo y cambio Estrategicos
regulatorio
MERCADO Precios de mercado Estrategicos
Insumos Estrategicos
Abastecimiento y demanda Estrategicos
Percepción de la industrial del Estrategicos
Salmon
Aranceles comerciales Estrategicos
FINANCIEROS Liquidez Operacional
Divisas y tasas de interés Estrategicos
Impuestos y precios de Estrategicos
transferencia
Riesgo crediticio Operacional
PRODUCCIÓN Y Riesgo sanitario y biológico
MEDIO AMBIENTE Salud y bienestar de peces Operacional
Climáticos Estrategicos
Desastres naturales Estrategicos
Calidad Operacional
COMPLIANCE Ética empresarial Operacional
Seguridad alimentaria, permisos Estrategicos E.M
e informes de la autoridad
Procurement
Normativas asociadas a RRHH Estrategicos
FUNCIONAL Relaciones humanas Estrategicos
/PROCESOS Salud y seguridad ocupacional Operacional
Seguridad de sistemas e Operacional
información
Continuidad de negocios y Estrategicos
manejo de crisis (BCP)
2. MAPA DE RIESGO ACTUAL DE CERMAQ
1 2 3 4 5
P
6 7 10 12 15
R 5 6 7 10 12 15
O
5 6 9 11 14
B 4 5 6 9 11 14
A
4 5 8 10 13
B
3 4 5 8 10 13
I
L 3 4 7 9 12
2 3 4 7 9 12
I
D 2 3 6 8 11
1 2 3 6 8 11
A
CONSECUENCIA

Occurrence/Probabilities
1 = Never happens (not expected to occur during a 10 years period)
2 = Very seldom (i.e., less than 1 time each 3 year)
3 = Expected to occur from time to time, but not every year (i.e., once every 3 years)
4 = Expected to occur at least once a year
5 = Expected to occur several times each year

Impact/Consequence
1 = Very limited damage to the Company (if any)
2 = Regular (not material) damage to the Company
3 = Significant commercial or reputational damage to the Company
4 = Potentially devastating for the Company, but prepared to handle it (e.g., explaining to
stakeholders what we have done as a responsible company)
3.- RIESGOS LEVANTADOS

DESCRIPCIÓN DE RIESGOS TIPO DE RIESGO

Destruction and/or damage of assets (biomass, product, fixed Financiero
assets, etc.)
Loss (extravío) of fixed assets Financiero
Not to be able to collect accounts receivable of clients with Financiero
credit.
Having people agreeing on sales no following the company's Fraude
best interest (i.e., accepting lower prices or conditions than
the ones available in the market)
Having people agreeing on purchases no following the Fraude
company's best interest (i.e., accepting higher prices or
conditions than the ones available in the market)
Reputational damage for engaging in commercial Fraude / MPD
relationships with questionable parties.
Entering into simulated transaction to meet KPI, and then Fraude
cancelling them by issuing a credit note or similar
Loss of information Pérdida de información
Tax noncompliance Financiero / Sanciones
Suffering reputational damage, being penalized and being Daño Ambiental
forced to remedy situations due to contaminating with
chemical waste.
Suffering reputational damage, being penalized and being Daño ambiental
forced to remedy situations due to contaminating the sea
bottom with non-organic waste or objects .
Suffering reputational damage, being penalized and being Daño Ambiental
forced to remedy situations due to not maintaining beaches
close to sites clean of the presence of waste or objects.
Suffering reputational damage, being penalized and being Daño Ambiental
forced to remedy situations due to not proper handling of
waste.
Suffering damage in sea water structures for not complying Sanciones / Financiero
with the frequency of the cleaning process of the non-
impregnated nets.
Being penalized by the authority for not complying with Sanciones
frequency of the cleaning process of the non-impregnated
nets and not maintaining the traceability of the
documentation related thereto.
Fish stolen from the sea water sites, either by employees, Fraude
contractors' employees or third parties.
Fish stolen from the waiting cages (i.e., any time after the fish Fraude
is received at the waiting cage and before entering into the
processing plant), either by employees, contractors'
employees or third parties.
Fish (processed product) stolen from the processing plants Fraude
either by employees, contractors' employees or third parties.
Fish (processed product) stolen when it is in transit to Fraude
costumers.
Organic waste (i.e., wellboat and waiting cages mortality, Fraude
offals, guts, etc.) stolen from processing plants.
Suffering reputational damage, being penalized and being Sanciones / Reputacional
forced to remedy situations due to exceeding the maximum
biomass allowed by the environmental permits (RCA) or
technical projects in fresh water centers.
Suffering reputational damage, being penalized and being Sanciones / Reputacional
forced to remedy situations due to exceeding the maximum
biomass allowed by the environmental permits (RCA) or
technical projects in sea water centers.
Suffering reputational damage, being penalized and being Sanciones / Reputacional
forced to remedy situations due to exceeding the maximum
number of fish or density authorized for a cage and/or site.
Being penalized by the authority for not handling mortality Sanciones
properly, as a consequence of not having the silage and
mortality extraction equipment duly certificated.
Being penalized by the authority or having the operation of a Sanciones
site or facility paralyzed for not having a required permit or
certification for an operational facility or site.
Having licenses terminated (caducadas) o not renewed Sanciones / Financiero
because of non compliances.
Having licenses terminated (caducadas) o not renewed Financiera
because of not operating them in the periods requested by
the law or for not paying the applicable yearly fees (patentes).

Suffering an economic loss for sea lion attacks Financiera

Suffering an economic loss, reputational damage, being Sanciones / financiero / Reputacional
penalized, being sued for damages and being forced to
remedy situations due to fish escape events.
Suffering reputational damage and being penalized for not Sanciones / Reputacional
reporting to the authority in accordance with the applicable
regulation, including mortality, sea lice, antibiotics' use.
Suffering reputational damage and being penalized for not Sanciones / Reputacional
reporting to the authority in accordance with the applicable
regulation, including mortality, sea lice, antibiotics' use.

Suffering operational inconveniences for paralysations No disponibilidad de personal crítico

imposed by the authority to contractors.
Being liable for non-compliances of contractors regarding Pérdida de información / Sanciones
their labour and HOS obligations .
Being penalized or suffering economic and reputational Mortalidad masiva
damages due to mass mortality events due to productive,
environmental or sanitary situations in fresh water or sea
water sites.
Being responsible for bribery, corruption or other illegal MPD
behaviour connected with relationship with authorities
Being responsible for corruption or other illegal behaviour MPD
connected with private third parties
Being responsible for infringing antitrust regulation by sharing Pérdida de información / Fraude
productive information with competitors, in a larger extension
or different terms that those instructed by the applicable
regulation, including, but not limited to the one regulating the
"neighborhoods" or licenses clusters operation.

Entering into contracts not under market conditions and/or Fraude

not in the best interest of the company, due conflicts of
interest of people responsible thereof
Joint and several liability for all labour-related amounts due Financiera
by contractors to their employees under subcontracting law
Having the company found criminally liable under the terms Sanciones
of the law 20.393, for conducts of its employees and
managers regarding matters covered by the law.
Having employees exceeding the legal limits applicable for Sanciones
working days and hours.
Being penalized by the authority or liable before employees Sanciones
for labour law noncompliances.
Being liable for accidents occurred during diving operations, Sanciones
either performed by employees or contractors.
Being liable before authorities, employees or third parties in Sanciones
connection to accidents suffered during operations performed
using boats.
Being liable before authorities, employees or third parties in Personas
connection to accidents caused by entrapment in moving
parts of machines and equipment and.
Being liable before authorities, employees or third parties in Siniestros en las instalaciones/ Sanciones /
connection to accidents caused by natural disasters. Reputacional
Being liable before authorities, employees or third parties in No disponibilidad de personal crítico/
connection to Covid19 cases at the company. Sanciones / Reputacional

4.-TRATAMIENTO DE RIESGOS

Controles que mitigan el riesgo.