Derechos Reservados - Visión Estratégica para la Gestión de Riesgos: Basilea II Riesgo...
-
Upload
maria-jose-escobar-revuelta -
Category
Documents
-
view
216 -
download
0
Transcript of Derechos Reservados - Visión Estratégica para la Gestión de Riesgos: Basilea II Riesgo...
Derechos Reservados - www.griskm.com
Visión Estratégica para la Gestión de Riesgos: Basilea II
Riesgo Operativo
Derechos Reservados - www.griskm.com
Transacciones
Supervisión Inadecuada
Reputación
InsuficienteEntrenamiento
Cumplimiento
Deficiente gestión
Estrategia
Ejecución
Información
Relaciones
Personas
Normas & Reglamentos
Estructura de Costos Fijos
Entrega
Ejecutivo Dominante
Ladrón
Fraude
Clientes
Interrupción del
Negocio
Tecnología
Carencia de recursos
Activos Físicos
CARACTERÍSTICAS RIESGO OPERATIVO
Derechos Reservados - www.griskm.com
CAPACITACIÓN INSUFICIENTE
CAPACITACIÓN INSUFICIENTE
CAUSAS EVENTOS CONSECUENCIAS
DÉBIL SUPERVISIÓNDÉBIL SUPERVISIÓN
PROCESOS DE AUDITORÍA INADECUADOS
PROCESOS DE AUDITORÍA INADECUADOS
MEDIDAS DE SEGURIDAD INEFICIENTES
MEDIDAS DE SEGURIDAD INEFICIENTES
POLÍTICAS DE RRHH DÉBILES
POLÍTICAS DE RRHH DÉBILES
DISEÑO DE SISTEMAS DEFICIENTE
DISEÑO DE SISTEMAS DEFICIENTE
INADECUADA SEGREGACIÓN DE
FUNCIONES
INADECUADA SEGREGACIÓN DE
FUNCIONES
FRAUDE EXTERNOFRAUDE EXTERNO
PRÁCTICAS DE EMPLEO Y SEG. LABORAL
PRÁCTICAS DE EMPLEO Y SEG. LABORAL
PRÁCTICAS DE NEGOCIOS, CLIENTES Y PRODUCTOS
PRÁCTICAS DE NEGOCIOS, CLIENTES Y PRODUCTOS
DAÑOS A ACTIVOS FÍSICOS
DAÑOS A ACTIVOS FÍSICOS
INTERRUPCIÓN DEL NEGOCIO Y FALLAS DE
SISTEMA
INTERRUPCIÓN DEL NEGOCIO Y FALLAS DE
SISTEMA
GESTIÓN DE PROCESOS, EJECUCIÓN Y ENTREGA
GESTIÓN DE PROCESOS, EJECUCIÓN Y ENTREGA
FRAUDE INTERNOFRAUDE INTERNO PENALIDADES TRIBUTARIAS,
REGULATORIAS Y DE CUMPLIMIENTO
PENALIDADES TRIBUTARIAS, REGULATORIAS Y DE
CUMPLIMIENTO
RESTITUCIONESRESTITUCIONES
PÉRDIDA DE RECURSOSPÉRDIDA DE RECURSOS
REPUTACIÓNREPUTACIÓN
NEGOCIO/ESTRATEGIANEGOCIO/ESTRATEGIA
EFECTOSPérdidas
Monetarias
EFECTOSPérdidas
Monetarias
OTROS IMPACTOS
OTROS IMPACTOS
•
•
•
CASTIGOCASTIGO
PÉRDIDA O DAÑO DE ACTIVOS
PÉRDIDA O DAÑO DE ACTIVOS
RESPONSABILIDAD LEGALRESPONSABILIDAD LEGAL
CAUSAS, EVENTOS Y CONSECUENCIAS
Derechos Reservados - www.griskm.com
Unidades de negocio
Auditores externos
Auditor interno
Seguros
Tecnología de información
Operaciones
Legal
Middle & Back office
Impuestos
DATA DE PÉRDIDA: PRINCIPALES FUENTES
Derechos Reservados - www.griskm.com
Establecer la gestión de RO como propietaria de la base de datos
Preparar una documentación detallada que describa:
Qué es una pérdida
Cómo categorizar por evento y efecto
Identificar en el Libro Mayor las cuentas que comúnmente registran esos
eventos
Preparar workshops para entrenar al staff
Desarrollar o comprar un software de base de datos
Establecer procedimientos de reporte
Establecer en el Mayor códigos para eventos de riesgo operativo que permitan
una conciliación con P & G
RECOLECCIÓN DE DATA DE PÉRDIDA
Derechos Reservados - www.griskm.com
Gestión Corporativa
Front Banking Gestión Directa Gestión Corporativa
Registrocompletado
No pago de cheque
Incidentes
Fallas sistema
Cobro sin DI
3
Envío Email
No pago de cheque
Controles
Fallas sistema
Cobro sin DI
5
Información Contable
Gestor de Cumplimiento
No pago de cheque
Controles
Fallas sistema
Cobro sin DI
6
Unidad de Riesgos
Reportes
Área de gestión
Control4
Archivos
…
Reportes0102030405060708090
1st Qtr2nd Qtr3rd Qtr4th Qtr
… …
Archivos
…
Reportes
Acciones EVP.doc
Área de Gestión Directa
Incidente
Base de Datos de Pérdida
2
1
Transacciones
Dpto. Crédito
Captaciones
1. Línea d negocio
2. Eventos de pérdida registrada en BD
3. Información inmediata a los departamentos de gestión, acciones
4. Conciliación de Contabilidad
5. Reportes de RO periódicamente distribuidos
RECOLECCIÓN DE DATA DE PÉRDIDA
Derechos Reservados - www.griskm.com
Indicadores de riesgo humano
Sobretiempo
Rotación
Periodo de empleo
Indicadores de riesgo de proceso
Grado de automatización
Retraso en transacciones
Dimensión y presencia de proyectos
Indicadores de riesgo tecnológico
Antigüedad del sistema
Grado de uso del sistema
Duración de las fallas
Indicadores de riesgo de productos
Antigüedad del producto
Número de productos
Rangos y escalas de producto
ALGUNOS INDICADORES DE RIESGO OPERATIVO
Derechos Reservados - www.griskm.com
Alineación de Estructura
Organizativa y Políticas
Identificación de Procesos y Subprocesos
Identificación de Riesgos y Controles en
los Procesos y Subprocesos
Medición Cualitativa y
Análisis
Desagregación de funciones back y front office (anteriormente a cargo de Negocios)
Definición de estructura administrativa gestión
Inventario y revisión de políticas y normasAdministrativaFinanzasCréditosOperaciones
Descripción de metodología de evaluaciónEntendimiento de procesosAnálisis de riesgosTratamiento de riesgosMonitoreo continuo
Descripción de controles implementados por proceso
Identificación de indicadores relevantes, medición de impactos y frecuencias en función a análisis de criticidad y riesgo de procesos
ASPECTOS PREVIOS AL RELEVAMIENTO DE LA DATA DE PÉRDIDA
Derechos Reservados - www.griskm.com
Identificación de fuentes
de información
Elaboración de inventario de bases de datos
Construcción de matriz
de responsabilidades
ETAPAS DEL PROCESO DE RECOLECCIÓN DE PÉRDIDAS OPERATIVAS
Derechos Reservados - www.griskm.com
Identificación de fuentes
de información
Se debe determinar la información sobre los eventos de pérdida operativa que se desean obtener para cada uno de los productos, procesos o áreas definidas como críticas para la IMF
Pasos:
Reunión previa con gerente responsable del proceso/producto en estudio
Taller de trabajo con áreas involucradas directa o indirectamente con el área o proce3so bajo análisis
ETAPAS DEL PROCESO DE RECOLECCIÓN DE PÉRDIDAS OPERATIVAS
Derechos Reservados - www.griskm.com
Construcción de matriz
de responsabilidades
Construcción de matriz de responsabilidades para la captura de datos de pérdida operativa
A partir de la información recopilada en el taller la Unidad de Riesgo debe construir la matriz de responsabilidades para la captura de datos en la cual se relacionan los distintos tipos de eventos de pérdida operativa con las diferentes áreas de negocio y apoyo en lo9s cuales se puede obtener datos sobre los mismos.
ETAPAS DEL PROCESO DE RECOLECCIÓN DE PÉRDIDAS OPERATIVAS
Derechos Reservados - www.griskm.com
Elaboración de inventario de
bases de datos
Construcción de matriz de responsabilidades para la captura de datos de pérdida operativa
A partir de la información recopilada en el taller la Unidad de Riesgo debe construir la matriz de responsabilidades para la captura de datos en la cual se relacionan los distintos tipos de eventos de pérdida operativa con las diferentes áreas de negocio y apoyo en los cuales se puede obtener datos sobre los mismos.
ETAPAS DEL PROCESO DE RECOLECCIÓN DE PÉRDIDAS OPERATIVAS
Derechos Reservados - www.griskm.com
Eventos rutinarios (alta frecuencia y de bajo impacto o baja frecuencia y de alto impacto)
Seguimiento de ambos tipos de eventos de pérdida (incluyen datos externos sobre grandes eventos de pérdida).
Pérdidas promedio o esperadas, manejadas por los eventos de alta frecuencia y bajo impacto (presupuestadas con alto grado de confianza y fluyen de manera rutinaria a través del estado de ganancias y pérdidas)
RELEVAMIENTO DE DATA DE PÉRDIDA
Derechos Reservados - www.griskm.com
Pérdidas inesperadas (por lo general eventos de baja frecuencia y alto impacto) ocurren con muy poca frecuencia y algunas veces son suficientemente grandes como para causar una pérdida periódica y una reducción en el capital básico.
Pérdidas esperadas pueden considerarse como el medio de distribución de una pérdida; y las pérdidas inesperadas, como eventos de “cola”.
Estas últimas, las pérdidas inesperadas, son el principal centro de los procesos de asignación de capital y de supervisión para el riesgo operativo.
RELEVAMIENTO DE DATA DE PÉRDIDA
Derechos Reservados - www.griskm.com
Bancos tienen la capacidad de evaluar los requerimientos de capital y la estrategia para alcanzarlo.
Supuestos razonables y transparentes que permitan la validación interna como por los supervisores.
Se debe establecer qué elementos son medidos y cuáles son determinados de forma más subjetiva (por ejemplo, el riesgo de reputación).
Los elementos relevantes:
Enfoques cuantitativos para la evaluación del capital del ROP
Evaluaciones cualitativas
Técnicas de validación
RELEVAMIENTO DE DATA DE PÉRDIDA
Derechos Reservados - www.griskm.com
Amplitud del contexto de riesgo operativo, considerando pérdidas indirectas, lucro cesante y gastos varios
Definición de nuevos criterios de contabilización de las pérdidas operativas y la segregación de líneas de negocio
Evaluación de los indicadores institucionales (factores claves de riesgo, pérdida, exposición, de comportamiento y de control)
Modificación de paradigma cultural: medición de pérdidas efectivas y de los niveles de exposición comprendida como herramienta de gestión referida a
eficiencia operativa
Control de pérdidas operativas separadas de las pérdidas de crédito y mercado. Evitar duplicación o contagio
Revisión del Plan de Cuentas para la correcta segregación entre pérdidas operativas y gastos administrativos
1
2
3
4
5
6
Definiciones y conceptos estratégicos (políticas, documentos y responsabilidades y uniformización de conceptos de carácter corporativo
7
FACTORES CRÍTICOS DE ÉXITO
Derechos Reservados - www.griskm.com
Identificación ValidaciónInvestigación
De los eventosDe pérdidas
ControlY
AutorizaciónIdentificación Validación
InvestigaciónDe los eventos
De pérdidas
ControlY
Autorización
IdentificaciónDe las fuentesDe información
ConstrucciónDe la
Matriz deresponsabilidades
Elaboración deInventario de Las bases de
datos
IdentificaciónDe las fuentesDe información
ConstrucciónDe la
Matriz deresponsabilidades
Elaboración deInventario de Las bases de
datos
ETAPAS DEL PROCESOS DE RECOLECCIÓN DE EVENTOS DE PÉRDIDA
Derechos Reservados - www.griskm.com
FORMATO DE ELABORACIÓN DE MATRIZ DE RESPONSABILIDADES
Derechos Reservados - www.griskm.com
Selección de lasBase de datos
Diseño de losProcesos de
HomogeneizaciónDe los datos
NombramientoDe las personas
EncargadasDe la
recolección
NombramientoDe los
DelegadosSelección de lasBase de datos
Diseño de losProcesos de
HomogeneizaciónDe los datos
NombramientoDe las personas
EncargadasDe la
recolección
NombramientoDe los
Delegados
INVESTIGACIÓN DE EVENTOS DE PÉRDIDA
Derechos Reservados - www.griskm.com
Base original del área
Campos Agregados
Campos obtenidos a través de relaciones
Area encargada de agregar datos a la Base original
Base original del área
Campos Agregados
Campos obtenidos a través de relaciones
Base de datos del área lo suficientemente completa para que la Unidad de Riesgo Operacional, termine de completar los campos faltantes
Área de Procesos y Tecnología, encargada del diseño del proceso de obtención y homogeneización de datos.
Área encargada de agregar datos a la Base Original.
Base original del área
Campos Agregados
Campos obtenidos a través de relaciones
Area encargada de agregar datos a la Base original
Base original del área
Campos Agregados
Campos obtenidos a través de relaciones
Base de datos del área lo suficientemente completa para que la Unidad de Riesgo Operacional, termine de completar los campos faltantes
Área de Procesos y Tecnología, encargada del diseño del proceso de obtención y homogeneización de datos.
Área encargada de agregar datos a la Base Original.
Base original del área
Campos Agregados
Campos obtenidos a través de relaciones
Area encargada de agregar datos a la Base original
Base original del área
Campos Agregados
Campos obtenidos a través de relaciones
Base de datos del área lo suficientemente completa para que la Unidad de Riesgo Operacional, termine de completar los campos faltantes
Área de Procesos y Tecnología, encargada del diseño del proceso de obtención y homogeneización de datos.
Área encargada de agregar datos a la Base Original.
PROCESO DE REESTRUCTURACIÓN DE LA BASE DE DATOS
Derechos Reservados - www.griskm.com
Verificar la estructura
De la información
Revisar las DescripcionesDe los eventos
De pérdidas
Clasificar elEvento y su
Efecto
Verificar la estructura
De la información
Revisar las DescripcionesDe los eventos
De pérdidas
Clasificar elEvento y su
Efecto
CONTROL Y AUTORIZACIÓN
Derechos Reservados - www.griskm.com
Categoría del Producto: Sub - Producto:
Afectado: N° del Ente: N° Agencia/Centro de Negocio:
Área o Unidad Funcional: Vicepresidencia: Funcionario:
Proceso:
Evento de Pérdida Operacional:
Categoría Riesgo Operacional: Sub -Categoría de Riesgo Operacional: Causas:
Fecha Inicial: Fecha Descubrimiento: Fecha Final: Lapso de Exposición (días):
Impacto/Efecto:
Tipo de Moneda: Monto de Exposición: Cantidad Asegurada: Cantidad Recuperada por Seguros:
Otras recuperaciones: Gastos por la Pérdida: Monto de Pérdida Operacional Neta:
Plan de Acción (descripción breve):
Monto de la Pérdida Bruta:
INFORMACIÓN GENERAL
FORMATO DE RECOLECCIÓN DE PÉRDIDAS POR RIESGOS OPERACIONALES
Fecha: ______/______/ ______
Producto:
DESCRIPCIÓN DETALLADA DEL EVENTO
INFORMACIÓN DE LA PÉRDIDA
Responsabilidad Legal Acciones Regulatorias Restitución a Terceros Pérdida de Recursos Pérdida o daños de activos
Cliente Banco Servicios Centrales Agencia / Centro de Negocio
FORMATO DE RECOLECCION DE DATOS DE PÉRDIDA
Derechos Reservados - www.griskm.com
Campos
Descripción
Tipo de Campo
Información General
Categoría del Producto Clasificación del producto afectado por el evento de pérdida operacional, por ejemplo: Activo o Pasivo. Texto
Producto Nombre del producto afectado por el evento de pérdida operacional, por ejemplo: Tarjeta Master, Cuenta Corriente, etc. (Este campo debe estar asociado a la selección de “Categoría del Producto”).
Texto
Sub-Producto Nombre del tipo o clasificación del producto afectado por el evento de pérdida operacional, por ejemplo: Tarjeta Master Dorada, Cuenta Corriente Remunerada, etc.(Este campo debe estar asociado a la selección del “Producto”).
Texto
Monto de Exposición Monto del producto expuesto a pérdida o a fraude, por ejemplo: Límite de crédito de una Tarjeta Master Dorada en un momento dado.
Númerico (con separación de miles)
Afectado Ente afectado por el evento: Cliente o Banco. Texto
Número del Ente / Agencia /Centro de Negocio
Número de identificación del cliente, si el afectado es el Cliente; o número de la Agencia o Centro de Negocio donde se produjo la pérdida, si el afectado es el Banco.
Númerico (Depende del tipo de dato definido en la Base de Datos)
Territorio Región o localidad de la Agencia o Centro de Negocio a la cual pertenece el cliente, por ejemplo: Área Metropolitana, Central, Sur, Occidente, etc. Texto
Vice-presidencia Nombre de la Vicepresidencia a la cual pertenece el área en la cual se ha producido el evento; por ejemplo: Vicepresidencia de Negocios, Operaciones, Informática, etc. Texto
Área o Unidad funcional Nombre del área, adscrita a la Vicepresidencia, en la cual se produjo el evento que originó la pérdida. Por ejemplo: negocios, análisis de crédito, operaciones centralizadas, banca electrónica, etc. (Este campo debe estar asociado a la selección de la “Vice-presidencia”).
Texto
Funcionario Responsable o dueño del proceso que registró el evento. Texto
FORMATO DE RECOLECCION DE DATOS DE PÉRDIDA
Derechos Reservados - www.griskm.com
Campos Descripción Tipo de campoInformación de la pérdidaProceso Nombre del macro-proceso en el cual se produjo el evento; por ejemplo:
Proceso de Tarjeta de Crédito.Texto
Sub-Proceso Nombre del sub-proceso en el cual se produjo el evento; por ejemplo: Emisión de plástico y PIN de tarjeta de crédito.(Este campo debe estar asociado a la selección de “Proceso”).
Texto
Descripción del Evento
Breve descripción que explique el hecho acontecido. Texto
Categoría de Riesgo Operativo
Clasificación del evento de pérdida operacional según las categorías adoptadas por el Banco; por ejemplo: 1.Fraude Interno2.Fraude Externo3.Prácticas de empleo y seguridad laboral4.Clientes, Productos y Prácticas Comerciales.5.Daños a activos físicos6.Interrupción de operaciones o fallas del sistema7.Ejecución, entrega y gestión de procesos† Ver definiciones en la Guía Metodológica para la Identificación, Evaluación, Mitigación y Seguimiento del Riesgo Operacional en InverUnión, Banco Comercial, C.A.
Texto
FORMATO DE RECOLECCION DE DATOS DE PÉRDIDA
Derechos Reservados - www.griskm.com
Campos Descripción Tipo de campoInformación de la pérdidaSub-categoría de Riesgo Operativo
Clasificación del evento según las sub-categorías de riesgo operativo adoptadas por el Banco, por ejemplo: 1.Fraude Interno1.1 Actividad no autorizada1.2 Hurto y fraude (Interno)1.Fraude externo2.1 Uso fraudulento de tarjetas de crédito2.2 Hurto, atracos y fraude (externo)2.3 Seguridad de tecnología de información2.4 Otros fraudes externos1.Prácticas de empleo y seguridad laboral3.1 Habilidades y competencias del personal 3.2 Relaciones de los empleados3.3 Entorno de trabajo3.4 Diversidad y discriminación1.Clientes, Productos y Prácticas Comerciales.4.1 Idoneidad del cliente, divulgación y fiduciario4.2 Incumplimiento de estatutos legales4.3 Daños en la reputación 4.4 Defectos del producto4.5 Selección, patrocinio y riesgo bancario4.6 Actividades de asesoramiento
Texto
FORMATO DE RECOLECCION DE DATOS DE PÉRDIDA
Derechos Reservados - www.griskm.com
Campos Descripción Tipo de campoInformación de la pérdidaSub-categoría de Riesgo Operativo
Clasificación del evento según las sub-categorías de riesgo operativo adoptadas por el Banco, por ejemplo: 1.Daños a activos físicos5.1 Desastres y otros sucesos5.2 Planes de contingencia1.Interrupción de operaciones o fallas del sistema
1. Tecnología de Información2.Ejecución, entrega y gestión de procesos7.1 Captura de operaciones, ejecución y mantenimiento7.2 Supervisión y notificación7.3 Incorporación y documentación de clientes7.4 Gestión de clientes y cuentas de clientes7.5 Nuevos procesos† Ver definiciones en la Guía Metodológica para la Identificación, Evaluación, Mitigación y Seguimiento del Riesgo Operativo en subsidiaria.(Este campo debe estar asociado a la selección de la “Categoría de Riesgo operativo”).
Texto
FORMATO DE RECOLECCION DE DATOS DE PÉRDIDA
Derechos Reservados - www.griskm.com
CumplimientoCumplimiento
Relación de pérdidas
Relación de pérdidasReportesReportes
IndicadoresIndicadores
Reportes de auto evaluaciónReportes de auto evaluación
Fase 1 – Módulo CualitativoFase 1 – Módulo Cualitativo
Objetivos de control
Objetivos de control
Priorización Priorización
Metodología Metodología
MonitoreoMonitoreo
Matriz de riesgos Y controles
Matriz de riesgos Y controles
Modelo de
control
Modelo de
control
Auto evaluaciónAuto evaluación
Riesgos Riesgos Control Control ConformidadConformidad
Fase 2 – Módulo cuantitativoFase 2 – Módulo cuantitativo
Factores de riesgoFactores de riesgo
Base de datos de pérdidas
Base de datos de pérdidas
Modelos cuantitativosModelos cuantitativos
Sistema de información gerencial
Sistema de información gerencial
Fase 3 – Módulo de riesgosFase 3 – Módulo de riesgos
Riesgo de conyuntura Riesgo de conyuntura
Riesgo legal y de imagenRiesgo legal y de imagen
Asignación de capital
Asignación de capital
Modelos cuantitativos
Modelos cuantitativos
Mod
elo
Mod
elo
Organización y procesosOrganización y procesos
Sistemas
Sistemas
Banco do Brasil
MODELO GESTIÓN RIESGO OPERATIVO
Derechos Reservados - www.griskm.com
Cuantificación de RiesgoCuantificación de Riesgo
Modelo estadístic
o
Modelo estadístic
o
Modelo causalModelo causal
VaRVaR Capital asignadoCapital asignado
Informaciones de KRI que, asociadas con las informaciones de eventos de pérdida por medio de modelos causales de factores de riesgo reflejan cambios de riesgo en el corto y largo plazo
Informaciones de KRI que, asociadas con las informaciones de eventos de pérdida por medio de modelos causales de factores de riesgo reflejan cambios de riesgo en el corto y largo plazo
Informaciones históricas de eventos de pérdida históricas proporcionan insumo para modelos
Informaciones históricas de eventos de pérdida históricas proporcionan insumo para modelos
BacktestingBacktesting
Modelos estadísticos transforman las información de pérdidas y KRI en un monto de capital relacionado con riesgo operativo
EVENTOS DE PÉRDIDA
FACTORES DE RIESGO (KRI)
Banco do Brasil
MODELO EVALUACIÓN DE RIESGO OPERATIVO
Derechos Reservados - www.griskm.com
EVENTO DE
PÉRDIDA
Personas Sistemas
Análisis y programación
Procesos Eventos externos
Ambiente social
Hardware y Software
Ambiente regulatorio
Carga de Trabajo
Modelamiento
Comunicación Interna
Puntos de control
Desastre natural
catástrofe
Proveedores y clientes
Competencia
Conducta Seguridad
Lógica
Redes de comunicación
Adecuación a legislación
Seguridad Física
Medio ambiente
Factores validados para
eventos de pérdida
Calidad de ambiente
laboral
Usuarios
Banco do Brasil
FACTORES Y SUBFACTORES
Derechos Reservados - www.griskm.com
Factor Sub-factor Definición
Personas
Calidad de vida en el trabajo
Saldo; clima (estilo de gestión, motivación, etc..); condiciones del ambiente donde realizan actividades
Competencias
Conocimientos y habilidades específicas necesarias para la realización de tareas; actitudes específicas para cada cargo; autoridad y responsabilidad del gestor; incluye capacitación;
experiencias profesionales
Conducta
Ejecución de actividades autorizadas e inherentes al cargo; antecedentes; ética profesional en las actividades; atención y celo en la realización de tareas; imparcialidad; cumplimiento
de leyes y normas reglamentarias; confidencialidad, compromiso
Carga de trabajo Compatibilización entre demanda de trabajo y capacidad operativa en la jornada laboral
Banco do Brasil
FACTOR RIESGO DE PERSONAS
Derechos Reservados - www.griskm.com
Factor Sub-factor Definición
Procesos
Adecuación y legislación Adecuación con la legislación vigente
Puntos de control Aplicación efectiva y ejecución de los mecanismos de control de procesos
Comunicación interna
Comunicación de la forma apropiada, clara, objetiva, de fácil acceso para consulta
Modelamiento Diseño, rediseño y documentación de los procesos con sus controles e instrumentos de mitigación
Seguridad física Seguridad física de equipos y personas
Banco do Brasil
FACTOR RIESGO PROCESOS
Derechos Reservados - www.griskm.com
Factor Sub-factor Definición
Sistemas
Redes de comunicación
Protocolos y dispositivos de red que permite la comunicación y disponibilidad de los sistemas (softwares básicos, apoyo y aplicativos) de la IMF para los clientes, funcionarios, usuarios
externos, contratados, proveedores y clientes
Análisis y programación
Especificación, desarrollo (proyecto lógico y físico), mantenimiento, homologación e implantación de las
soluciones TI
Hardware y software
Computadores, periféricos, sistemas operacionales (software básico), programas de escritorio (software de apoyo) y
programas aplicativos de proveedores externos (software aplicativo)
Seguridad lógicaPermiso de acceso a sistemas de TI do IMF, clientes,
funcionarios, usuarios externos, contratados, proveedores y clientes
Banco do Brasil
FACTOR RIESGO SISTEMAS
Derechos Reservados - www.griskm.com
Factor Sub-factor Definición
Eventos externos
Proveedores y Clientes
Desempeño y calidad de proveedores de productos y servicios, energía, telecomunicaciones, servicios tercerizados,
corresponsales bancarios etc.
Desastres naturales e catástrofes
Eventos naturales (terremotos, temporales etc..) y catástrofes (caída de predios, etc.)
Ambiente regulatorio Cambios en políticas, legislación y reglamentaria
Ambiente social Situación económico-social, seguridad, facilidad para actuación del crimen organizado
Medio ambiente Biodiversidad y desarrollo sustentable
Usuarios Poca afinidad del usuario con las tecnologías de seguridad del banco, auto fraude
Banco do Brasil
FACTOR RIESGO EVENTOS EXTERNOS
Derechos Reservados - www.griskm.com
1er nivel 2do nivel 1er nivel 2do nivel
Fraude
Robos externos fraudes externos telefónicosAfectación de seguridad de información
Daños a activos físicos
Daños y desastres naturales Daños no naturales de origen internoDaños no naturales de origen externo
Fraude externo
Actividades no autorizadasActividades fraudulentas internasRobos internos
Falla de sistemas
Indisponibilidad del sistemaErrores en sistemas
Problemas trabajadores
Divergencia relación empleado/empleadorAmbiente de trabajo (salubridad)
Fallas de procesos
Pérdidas con relación a órganos supervisores
Pérdidas de no conformidad en los procesos de clientes
Pérdidas con relación a contrapartePérdidas relacionadas con
proveedoresPérdidas relacionadas con procesos
internos
Falla en negocios
Pérdida de relación de negocios con clientesPérdidas por prácticas de negocio no apropiadoPérdidas por defecto de producto
Banco do Brasil
7 nivel 1
22 nivel 2
EVENTOS DE PÉRDIDA: NIVELES DE AGREGACIÓN 1 Y 2
Derechos Reservados - www.griskm.com
1er nivel 2do nivel Definición Ejemplo 3er nivel
Fraude Interno
Actividades no autorizadas
Es una infracción de normas es una infracción de las
normas y procedimientos sin sustracción directa
Préstamos no autorizados, insider trading, diferencia en caja no
comunicada, etc.
Actividades fraudulentas
internas
Pérdidas en que funcionarios incurrido intencionalmente afectando al banco y a sus
clientes a través de falsificación de documentos y
firmas
Falsificación de firmas en cheques, substracción de clientes, etc.
Robos internos
Pérdidas en que los funcionario han incurrido
intencionalmente afectando al Banco a través de
substracción directa de activos o dinero
Canibalismo de equipos, robo de dinero, desvío de activos físicos, etc.
Banco do Brasil
FRAUDE INTERNO
Derechos Reservados - www.griskm.com
EVENTOS DE
PÉRDIDA
Factores de riesgo
Factores de riesgo
Factores de riesgo
Consecuencias
Factores de riesgo
Causas
Causas probables
Subfactor de riesgo
Subfactor de riesgo
Subfactor de riesgo
Subfactor de riesgo
KRI
KRI: PROCESO DE RIESGO OPERATIVO
Derechos Reservados - www.griskm.com
Productos finales
Productos finaleso Pérdidas
o Macroprocesoso Evaluaciones
cualitativas de riesgo
o Macroprocesos de mayor criticidad
o Mapa de relación proceso - pérdida
FasesFases
Banco do Brasil
Relevamiento de información
Relación entre
procesos y pérdidas
Detalle de macro
procesos críticos
Análisis causales
Propuesta indicadores de riesgo
Propuesta de plan para
implementar KRI
o Procesos críticos detallados
o Debilidades
o Vinculación causa y evento de pérdida
o KRIo Series históricas
(cuando sea posible).
o Plan de implementación de KRI
o Acciones de monitoreo
o Plan operativo
METODOLOGÍA DE IMPLEMENTACIÓN DE RIESGOS
Derechos Reservados - www.griskm.com Banco do Brasil
Macroproceso KRI
Reclamo de empleadosDepósitos judiciales y recursos no levantados ni liquidados en el procesos judiciales
Seguridad en atención
Seguridad en productos y servicios
Seguridad corporativa
Índice de no cumplimiento de demandas ejecutivas mitigadores de fraude electrónicoÍndice de no implementación de mitigadoras de fraudesÍndice de desempeño
Asesoría jurídicaVariación promedio de procesos en los últimos 12 meses
EJEMPLO BANCO DO BRASIL
Derechos Reservados - www.griskm.com
Base de Datos KRIOrigen de información Base de datos de pérdida
Funcionalidadesdel modelo
Producto
Preparación de variables
Modelamiento
Determinación de distribuciones estadísticas Ajuste del VaR
Cálculo del VaR
VaR ajustado por KRI
VaR a partir de base de datos de eventos de
pérdidaBanco do Brasil
ETAPAS DEL CÁLCULO DE VAR
Derechos Reservados - www.griskm.com
Base de datos de pérdida
Base de datos de pérdida
Base de datos KRIBase de datos KRI
Recolección dedata
Recolección dedata
Herramientas
estadísticas
Herramientas
estadísticas
Herramientas causalesHerramientas causales
Herramientas de divulgación
Herramientas de divulgación
Fuente de datos
Herramientas de cálculo
Herramientas de divulgación
Base de datos Base de datos externaexterna
Herramientas deHerramientas de backtestingbacktesting
Cálculo de VaR
Banco do Brasil
DIMENSIÓN DE SISTEMAS
Derechos Reservados - www.griskm.com
RIESGO DE MERCADO Y LIQUIDEZ RIESGO DE
CRÉDITORIESGO OPERATIVO
Comité de Riesgos
Políticas e DirectricesPolíticas e Directrices
Comité de Riesgo (Operativo)•Rating de Riesgo Operativo •Indicadores clave y límites de exposición•Pérdidas operativas•Nivel de conformidad•Plan de contingencia
Gestión de Pérdidas•Perfil de riesgo de líneas de negocio•Indicadores de exposición (demandas judiciales, fraudes externos/internos, afectación de sistemas
Metodologías•Matriz de riesgos y controles•Auto evaluación•Indicadores clave de riesgo•Límites de exposición
Bases de Dados•Base de Procesos (procesos, productos e servicios)
•Factores primarios de riesgo (personas, procesos, sistemas, eventos externos)
•Líneas de negocio•Pérdidas esperadas y no esperadas
Gestión
RIESGO OPERATIVO