GESTION DEL RIESGO OPERATIVO

GESTION DEL RIESGO GESTION DEL RIESGO OPERATIVOOPERATIVO

“La idea revolucionaria que define la línea divisoria entre los tiempos modernos y el pasado es el manejo del riesgo: la noción de que el futuro es más que un improntus de los dioses y que hombres y mujeres no son pasivos frente a la naturaleza. Hasta que la humanidad descubrió el camino para cruzar esa línea divisoria, el futuro era un espejo del pasado o el oscuro dominio de oráculos o pitonisos que tenían el monopolio del conocimiento de los eventos futuros.”

La ConcienciaLa Conciencia

“Against the Gods: the remarkable story of risk”

Peter Bernstein

Elementos BElementos Báásicos del sicos del RiesgoRiesgo

Concepto de RiesgoConcepto de Riesgo

“La posibilidad de que algo ocurra que impacte determinados objetivos, el cual se mide en términos de consecuencias y esperanza matemática”

“Toda aquella probabilidad que pudiese afectar de forma adversa el logro de los objetivos del negocio”

“La combinación de las probabilidades de ocurrencia de un evento y su consecuencias, haciendo notar que estas pueden ser positivas o negativas, y en algunas circunstancias el riesgo surge de la posibilidad de desviación de la ocurrencia del evento esperado”

4

Gestión Tradicional de Riesgo Gestión Tradicional de Riesgo Enfocada en Finanzas (inversiones, flujos de efectivo,

infidelidad) y coberturas de seguros para activos de la empresa (incendio, pérdidas de activos, vida, HCM)

Atomizada en varias unidades funcionales de la empresa (RRHH, Seguridad Física, Tesorería, Administración)

6

El riesgo es entendido y gestionado de formas distintas, dependiendo del estilo de gerencia y de como lo percibe cada unidad de negocio

Evolución de la Administración Evolución de la Administración del Riesgodel Riesgo

Ope

rativ

o

1980’s

Crédito

Gestión de Riesgos

Crediticios

Mediados 1990’s

Crédito

Mercado

Gestión de Riesgos

Financieros

Principios 2000’s

Crédito

Mercado

Estrategia

Negocios

Operación

Administración de Riesgos Integrada

OPERATIVO

Gestión de Riesgos

Operativos

¿Qué es Riesgo Operativo?¿Qué es Riesgo Operativo?

• Concepción tradicional de Riesgo Operacional: “...todo aquello que no era ni riesgo de crédito, ni riesgo de mercado”

Riesgo de Crédito

Riesgo de Mercado

Riesgo Operacional

Otros Riesgos

R. Estratégico R. de Negocio R. Reputacional

PILAR I

Cálculo de Capital PILAR II

Revisión

Supervisora

Definición:Definición:

• Comité de Basilea (Junio de 2004): “el riesgo operacional se define como el riesgo de pérdida resultante:– de una falta de adecuación o – un fallo de los procesos, – el personal y – los sistemas internos o – bien de acontecimientos externos”.

• Esta definición incluye el riesgo legal (jurídico), pero excluye el riesgo estratégico y el riesgo de reputación.

El control del riesgo operacional El control del riesgo operacional es una de las preocupaciones es una de las preocupaciones

principales de la Industria principales de la Industria FinancieraFinanciera

• “Las pérdidas derivadas de los procesos operacionales han sido superiores en cuantía a las más importantes de las provocadas por el riesgo de mercado o de crédito” Senior Federal Reserve Bank Official.

• “24% de los bancos encuestados han experimentado pérdidas por motivos operacionales superiores a 1,5 millones de euros en los últimos 3 años” Encuesta de la Asociación de Bancos Británicos.

¿Qué es el Riesgo de ¿Qué es el Riesgo de Operación?Operación?

Riesgos legales

Riesgos Regulativos

Riesgos tecnológicos

Riesgos externos

Riesgos ambientales

Riesgos estratégicos

Riesgos de seguridad

Riesgos RR.HH

Riesgos de reputación

Riesgos de procesos de

negocios

Riesgos de comunicación

Cualquier cosa que pueda evitar que la

organización cumpla con sus objetivos

Cualquier cosa que pueda evitar que la organización cumpla con sus objetivos.

El riesgo de pérdidas directas o indirectas resultantes de un inadecuado o fallido proceso interno, personal y fallas de sistemas o de eventos externos.

Todos los riesgos, que no son riesgos de crédito o de mercado.

Amplia

Específica

El riesgo de pérdidas originadas por un procesamiento transaccional.

¿Qué es el Riesgo de Operación?¿Qué es el Riesgo de Operación?Tipos de EnfoqueTipos de Enfoque

“El riesgo de pérdida causado por la falla o insuficiencia de los procesos, personas y sistemas internos, o por eventos externos. Esta definición incluye el riesgo legal, pero excluye los riesgos estratégico, de reputación y sistémico”

¿Qué es el Riesgo de Operación?¿Qué es el Riesgo de Operación?

El Comité de Basilea propuso la siguiente definición:

Interno Externo

Eventos

Riesgos asociados

Personas

Procesos

Tecnología

Fuentes

Cambio Complejidad

Brechas de control

Legal

Fuente: Prácticas Adecuadas para la Gestión y Supervisión de los Riesgos de Operación. Comité de Supervisión Bancaria de Basilea, Julio de 2002. BANK FOR INTERNATIONAL SETTLEMENTS

• ¿Qué es Riesgo Legal? (SI)

Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución de contratos o acuerdos, al incumplimiento no intencional de las normas, así como a factores externos, tales como cambios regulatorios, procesos judiciales, etc.

• ¿Qué es Riesgo Estratégico? (NO)

La posibilidad de pérdidas por decisiones de alto nivel asociadas a la creación de ventajas competitivas sostenibles. Se encuentra relacionado a fallas o debilidades en el análisis del mercado, tendencias e incertidumbre del entorno, competencias claves de la empresa y en el proceso de generación e innovación de valor.

¿Qué tópicos abarca el R.O.P? ¿Qué tópicos abarca el R.O.P?

• ¿Qué es Riesgo Reputacional? (NO)

La posibilidad de pérdidas por la disminución en la confianza en la integridad de la institución que surge cuando el buen nombre de la empresa es afectado. El riesgo de reputación puede presentarse a partir de otros riesgos inherentes en las actividades de una organización.

• ¿Qué es Riesgo Sistémico? (NO)

Aquella reacción en cadena que conduce a que el riesgo de una entidad financiera de incumplir con sus obligaciones cause que otras entidades incumplan con las suyas cual si fuesen piezas de dominó interconectadas. O Alternativamente, shock macro-económico que produce efectos adversos para la mayor parte del sistema financiero.

¿Qué tópicos abarca el R.O.P?: ¿Qué tópicos abarca el R.O.P?:

Tecnología

Procesos internos

Personas

EventosExternos

Continuidad del Negocio

Seguridad de la Información

¿Qué tópicos abarca el R.O.P? ¿Qué tópicos abarca el R.O.P?

1

2

3

4

65

Mejora Continua

PSI

PCN

Responsabilidades legales.

Interrupción del negocio.

Pérdidas financieras.

Costos financieros.

Pérdida de la reputación.

Daño a las personas, y al entorno.

Sanciones regulatorias.

Suspensión del servicio al cliente.

Salir del negocio. NO GESTIONAR ADECUADAMENTE

LOS OTROS RIESGOS.

Costos de no gestionar Riesgos Costos de no gestionar Riesgos de Operación (Impactos posibles)de Operación (Impactos posibles)

NO GESTIONAR ADECUADAMENTE LOS OTROS RIESGOS: MERCADO Y CREDITO


Riesgo de Crédito

Riesgo de Mercado

Riesgo de Operación

¡Las fronteras no son claras!

CréditoLiquidez

Tasa de Interés

País OPERATIVO

Precio

Legal Reputación

Tipo de Cambio


NO GESTIONAR ADECUADAMENTE TODOS LOS OTROS RIESGOS

Fraude

Sistemas

Procesamiento de Transacciones

Gestión

Marketing

Contratos Cambio de precios

Reputación

Modelo y Valorización

Terceras Partes

Cartera e Inversiones

Personas

Elementos BElementos Báásicos del Riesgosicos del RiesgoLa amplitud y variabilidadLa amplitud y variabilidad

RIESGO

Fraude Externo

Prácticas de Empleo

Clientes y Productos

Daños a Activos Físicos

Fallos de Sistemas

Ejecucióny Gestión de Procesos

FRAUDE INTERNO

No informar intencionadamente de determinadas posiciones.

Infidelidades de empleados.Uso el de información

privilegiada para enriquecimiento propio.

Tipología de Riesgos Tipología de Riesgos OperacionalesOperacionales

Fraude InternoFraude Interno

Prácticas de EmpleoPrácticas de Empleo

Clientes y ProductosClientes y Productos



Fallos de Sistemas

Fallos de Sistemas



Fraude ExternoFraude Externo

Robos; Falsificación; Daños de “piratas” informáticos (hackers),

Robos; Falsificación; Daños de “piratas” informáticos (hackers),

Tipología de Riesgos Operacionales

Fraude Externo

Fraude Interno



Fallos de Sistemas


Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, de higiene o seguridad en el empleo, del pago de reclamaciones por daños a las personas, o de eventos de diversidad o discriminación.

Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, de higiene o seguridad en el empleo, del pago de reclamaciones por daños a las personas, o de eventos de diversidad o discriminación.


Compensaciones a trabajadores por quejas;

Violaciones a las normas de seguridad e higiene en el trabajo;


Fraude Externo


Fraude Interno


Fallos de Sistemas


Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.

Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.


Mal uso de la información confidencial de clientes;

Actividades comerciales inadecuadas en cuentas propias;

Venta de productos no autorizados.


Fraude Externo



Fraude Interno

Fallos de Sistemas


Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos.

Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos.


Terrorismo, vandalismo, terremotos, fuegos e inundaciones.


Fraude Externo




Fraude Interno


Pérdidas derivadas de incidencias en el negocio y de fallos en los sistemas.

Pérdidas derivadas de incidencias en el negocio y de fallos en los sistemas.

Fallos de Sistemas

Caídas del software;

Problemas de telecomunicaciones (Internet);

Apagones públicos


Fraude Externo




Fallos de Sistemas

Fraude Externo

Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores.

Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores.

Ejecución y Gestión de Procesos

Errónea entradas de datos;

Documentación legal incompleta;

Accesos no aprobados a las cuentas de clientes;

Rupturas de contratos y disputas con proveedores y daños colaterales.


TALLERTALLER

PASOS PARA LA ADMINISTRACION PASOS PARA LA ADMINISTRACION

DEL RIESGO OPERATIVODEL RIESGO OPERATIVO• Para la administración de riesgos operativos en la

empresa, se han establecido cinco (5) pasos principales, a fin de ofrecer mejor detalle de cada uno de los procesos de administración del riesgo operativo que serán implantados gradualmente en la empresa:

• Paso 1: Identificación de los riesgos operativos• Paso 2: Análisis y valoración de los riesgos operativos• Paso 3: Estrategias de gestión de los riesgos

operativos• Paso 4: Información y comunicación de los riesgos

operativos• Paso 5: Monitoreo de los riesgos operativos

Determinar los riesgos operativos a los cuales

se encuentra expuesta la organización,

considerando tanto factores internos como

externos, que puedan afectar adversamente la

implantación de estrategias y el logro de

objetivos del negocio.

31

Objetivo:

FASE I:FASE I: Identificación de los Riesgos Identificación de los Riesgos

Operativos Operativos

32

Insumos

- Información referente a la cadena de valor (ver detalle en sub-fase 1.1)

- Planificación del proceso de identificación de los riesgos operativos en la cadena de valor- Construcción del inventario de los riesgos operativos- Categorización de los riesgos operativos- Determinación del riesgo legal y reputacional como consecuencia de un riesgo operacional

--

PASO I:PASO I: Identificación de los Identificación de los riesgos operativosriesgos operativos

Sub-Fases

Productos Entregables

-Plan de identificación de los riesgos operativos-Inventario de riesgos operativos-Inventario de riesgos operativos categorizados-Inventario de riesgos operativos con riesgo legal y reputacional

A continuación se presenta un resumen de lo concerniente a esta A continuación se presenta un resumen de lo concerniente a esta fase : fase :

• Consiste en la obtención de información y análisis preliminar de los riesgos operativos que podrían impactar la cadena de valor seleccionada, con la finalidad de elaborar junto con las unidades de negocio y apoyo un “Plan de Identificación de los Riesgos Operativos” que sirva de orientación para la construcción de un “Inventario de Riesgos Operativos”.

• Esta sub-fase debe ser realizada por la unidad de control de

riesgos para obtener el “Plan de Identificación de los Riesgos Operativos”, que incluye la recolección de información, el catálogo teórico de riesgos operativos, selección de la técnica de identificación de riesgos operativos y de las áreas y personas clave que intervendrán en el trabajo.

33

Planificación del proceso de Planificación del proceso de identificación de los riesgos en la identificación de los riesgos en la

cadena de valor cadena de valor

34

Recolección de información Recolección de información

Objetivos y metas del negocioLeyes, normas y regulaciones en general.Políticas y procedimientos.Mapa de procesos / Áreas involucradasHallazgos de auditoria interna, si existen Informes de auditoria externa, si existenDatos históricos de pérdidas operativas, si existenData externa de pérdidas y/o tendencias del sector

en que opera la empresa.Auto-evaluaciones de riesgo y controles, si existen. Información sobre futuros cambios, si existe

Se debe obtener la siguiente información en el marco de la cadena de valor, canalizada mediante la Dirección o Gerencia responsable:

Consiste en examinar los procesos con el mejor entendimiento de las interrelaciones de sus componentes, entradas, actividades, salidas y responsabilidades, para facilitar la identificación de los posibles riesgos operativos en cada uno de los procesos. Para ello, se construye un listado de procesos de la cadena de valor evaluada.

35

Análisis de flujos de procesos Análisis de flujos de procesos

Una vez recolectada la información y analizado el flujo de procesos, se procederá a generar el “Catálogo Teórico de Riesgos Operativos”, en el cual se deberán señalar todos los riesgos operativos de forma teórica, los procesos y las áreas directas de apoyo, lo que servirá de guía a las unidades de negocio y apoyo para identificar los riesgos operativos que realmente se presentan en la cadena de valor y obtener con mayor detalle el inventario de todos los riesgos

36

Construcción del catalogo teórico Construcción del catalogo teórico de los riesgos operativos en la de los riesgos operativos en la

cadena de valor cadena de valor

37

Un apropiado análisis de los riesgos operativos involucra el uso de técnicas acertadas de identificación de riesgos, para obtener la mayor información posible sobre la cadena de valor. La técnica de identificación debe estar estructurada para obtener información comparable de múltiples fuentes.

Determinación de la técnica de Determinación de la técnica de identificación de los riesgos identificación de los riesgos

operativosoperativos

Realizar una sesión de inducción sobre la Metodología de Gestión Riesgo Operacional (MGRO), a fin de preparar a los participantes y garantizar el acceso a la información.

Los participantes deben ser personas que conozcan el proceso que se está analizando y que tengan capacidad y disponibilidad de cumplir con todas las fases de la metodología y presentar su punto de vista frente a los demás miembros del taller

Las sesiones deben ser conducidas de manera que incentiven la participación activa de todos los integrantes del grupo.

Cada sesión debe indicar la agenda y los pasos a seguir para que sirvan de guía en el desarrollo efectivo del taller de trabajo (workshop).

Los resultados obtenidos en la identificación de riesgos deben analizarse y expresarse de forma que recoja una percepción consensual de los riesgos operativos.

Facilitar la retroalimentación permanente de los análisis y conclusiones, a los fines de incorporar posibles cambios que surjan en los talleres.

Las técnicas de identificación de riesgos son:

38

Ejemplo de los lineamientos que debe contener un taller de trabajo(workshop), incluyendo una agenda recomendada :

RESUMEN: RESUMEN:

Lineamientos para un taller de trabajo

(workshop)

Agenda recomendada

Agenda sugerida para una apropiada sesión

de entrevista

39

2

8

1

5

14

96

3

7

11

4

10

12

4

15

A los fines de realizar una selección de las personas clave,

es recomendable indagar sobre las preguntas siguientes:

Selección de personas clave para Selección de personas clave para la identificación de riesgola identificación de riesgo

16

17

1921

18

2022

23

24

25

26

27

13¿Qué posiciones ocupan dentro de la organización y cuáles son sus responsabilidades? ¿Cuáles son sus niveles de

conocimiento de la cadena de valor?

¿Cuáles son sus contribuciones para lograr la identificación de los riesgos?

¿Quiénes son las personas competentes para identificar los riesgos operativos?

40

A efectos de lograr una adecuada identificación de los riesgos operativos, es importante considerar lo siguiente:

Construcción del inventario de los Construcción del inventario de los riesgos operativos en la cadena de riesgos operativos en la cadena de

valorvalor

En caso de no contar con la documentación de los procesos de la cadena de valor, bajo el enfoque de modelos extendidos de negocio, se sugiere realizar una diagramación de los principales flujos de procesos asociados a la cadena de valor y efectuar la identificación de los riesgos operativos con narrativas descriptivas, en donde el funcionario principal del proceso describe las actividades / pasos que ejecuta y el especialista de la unidad de control de riesgos facilitará la identificación de los riesgos. Se recomienda que los participantes se a abstraigan de los controles existentes, a fin de que puedan visualizar los riesgos inherentes a la cadena de valor, ya que en caso de fallar el control se materializaría el riesgo.

A fin de facilitar una guía para la identificación de los riesgos operativos, se podría utilizar el “Catálogo Teórico de Riesgos Operativos”, que ha sido elaborado en el paso 1.1.2

41

Categorización de los riesgos Categorización de los riesgos operativosoperativos

Categoría de Riesgos Operativos (RO) / Nivel I: Naturaleza u origen de los riesgos:

Personas: posibles pérdidas generadas por fallas en el recurso humano

Procesos: Posibles pérdidas por ausencias o deficiencias en los procedimientos que originan debilidades en la ejecución

Sistemas :Posibles pérdidas generadas por fallas en los sistemas o tecnologías.

Eventos Externos: Posibles pérdidas por cambios adversos en el entorno de la organización, generados por fuerzas de la naturaleza o por terceros.

Consiste en clasificar los riesgos operativos listados en el

“Inventario de Riesgos Operativos” según las siguientes categorías / niveles:

42

Riesgosoperacionales

Personas

Procesos

Sistemas

Externos

• Fraude interno (actos internos)

• Prácticas de empleo y seguridad laboral

• Ejecución, entrega y gestión de procesos

• Clientes, productos y prácticas comerciales

• Interrupción de operaciones o fallos de sistemas

• Daños o pérdidas de activos físicos

• Fraude externo

Riesgosoperacionales

Personas

Procesos

Sistemas

Externos

• Fraude interno (actos internos)

• Prácticas de empleo y seguridad laboral

• Ejecución, entrega y gestión de procesos

• Clientes, productos y prácticas comerciales

• Interrupción de operaciones o fallos de sistemas

• Daños o pérdidas de activos físicos

• Fraude externo

Categoría de RO / Nivel II: El Categoría de RO / Nivel II: El origen potencial de las pérdidas origen potencial de las pérdidas de acuerdo a lo establecido por de acuerdo a lo establecido por

Basilea II:Basilea II:

44

Ejemplo

Factores / Categorías

Eventos Riesgo / Oportunidad

Tecnología• Nueva tecnología disponible para la

línea de producción• Sistema de información obsoleto

• Oportunidad

Clientes• Cambio en el patrón de consumo• Deterioro del poder adquisitivo del

mercado

Proceso productivo

• Determinación de baja calidad de los productos

• Aumento del número de accidentes• Adquisición de un nuevo software de

control

Capital Humano• Huelga del personal• Cambio en la productividad del

personal

• Riesgo• Ambos• Riesgo

• Riesgo

• Riesgo• Oportunidad

• Riesgo• Ambos

45

InversiónLiquidez

Entorno

Logística

Producción

Fin

anciero

Tecnología

Info

rmació

n

Clientes

Competencia

Pro

veed

or

RRHH

Riesgo

1. Multas por violaciones ambientales y sanitarias

2. Deterioro de Imagen3. Daño en el ambiente

4. Pérdida de mercado por precios bajos

5. Litigios clientes por incumplimientos

6. Lenta respuesta a necesidades de clientes

7. Alta concentración - venta en pocos clientes

8. Insatisfacción de clientes no percibida

9. Plan de contingencia10. Calidad de servicio11. Integridad de la

información

12. Alta dependencia13. Proveedores no confiables

14. Riesgo cambiario15. Alta inflación

16. Proceso Productivo ineficiente17. Plan de producción ineficiente18. Alto costo laboral

19. Obsolescencia de inventario

20. Alto costo materia prima21. Alto inventario de

repuestos

22. Contrataciones colectivas

23. Huelgas que afecten la producción

24. Fraudes – Ética25. Actos y conductas

ilegales

FASE I: EvaluaciónFASE I: Evaluación Ejemplo

26. Flujo de caja irreal27. Costo oportunidad28. Bajo retorno inversión

46

Riesgo legal: Pérdidas por incumplimientos de leyes, normas, reglamentos, prácticas

prescritas o normas de ética.

Riesgo reputacional: El Riesgo Reputacional surge cuando la forma de conducir el

negocio no satisface las expectativas de los grupos de interés

Determinación del riesgo legal y Determinación del riesgo legal y reputacional como consecuencia reputacional como consecuencia

de un riesgo operacionalde un riesgo operacionalA continuación se presentan las definiciones de Riesgo Legal y Riesgo Reputacional:

TALLETALLERR

Realizar un análisis y valoración de los riesgos operativos, que permita comprender el perfil de riesgo y dirigir de manera más efectiva los recursos para la gestión de los riesgos identificados. A tal efecto, se tomarán como insumo los inventarios de riesgos operativos obtenidos durante la Fase 1 de identificación de riesgos, para analizar y valorar los riesgos inherente, residual y reputacional y determinar aquellos riesgos operativos que requieran una auto-evaluación de los controles de forma prioritaria.

49

Objetivo:

Paso 2:Paso 2: Análisis y valoración de Análisis y valoración de los riesgos operativoslos riesgos operativos

50

Técnicas cualitativas

Técnicas cuantitativas

Mientras algunas mediciones cualitativas son definidas en términos subjetivos y otras en más de un término objetivo, la calidad de la evaluación depende en gran parte del conocimiento y juicio de los individuos involucrados y que además entiendan los eventos potenciales y el entorno que les rodea.

Las técnicas cuantitativas pueden ser usadas

cuando existe suficiente información

estadística o numérica para estimar la

frecuencia de ocurrencia o el impacto del

riesgo, usando escalas de intervalos o de

razón. Adicionalmente, son comúnmente

utilizadas para el análisis de riesgos en

procesos o áreas específicas de una

organización.

L1

L2

51

Escala ordinalTipos

generales de medida

Escala nominal

Escala de intervalos

Escala de razón

Para propósitos de ilustración, se Para propósitos de ilustración, se puede indicar que existen cuatro puede indicar que existen cuatro

tipos generales de medidas:tipos generales de medidas:

52

Insumos . -Inventario de riesgos operativos -Inventario de riesgos operativos categorizadosI -identificación del riesgo legal y reputacional como consecuencia del

riesgo operacional

- Análisis y valoración del riesgo inherente- Análisis y valoración del riesgo residual- Análisis y valoración del riesgo reputacional

--

A continuación se presenta un resumen de esta fase, que abarca insumos, sub-fases, productos entregables y referencias.

RESUMEN:RESUMEN:

Sub-Fases


-Mapa de riesgo inherente-Mapa de riesgo residual-Matriz del impacto del riesgo reputacional

53

A continuación se presentan gráficamente las tres (3) sub-fases que forman parte de la evaluación de los riesgos operativos:

Sub- fases del análisis y valoración de los riesgos

operativos

2.1 Análisis y valoración del riesgo inherente

2.2 Análisis y valoración del riesgo residual

2.3 Análisis y valoración del riesgo reputacional

En esta sub-fase se determinarán el nivel de impacto por evento y la frecuencia de ocurrencia de cada riesgo operacional. Para esta actividad, se tomará como base los inventarios de riesgos operativos elaborados en la Fase 1. Finalmente, se obtendrá el impacto anualizado o riesgo inherente, como resultado de multiplicar el impacto por cada evento y la frecuencia de ocurrencia de este evento en un año. Para la determinación del impacto y la frecuencia de ocurrencia, se utilizarán los intervalos de escalas definidos en los pasos.

54

Análisis Análisis y valoración del riesgo y valoración del riesgo inherenteinherente

En este paso se persigue determinar el impacto que

podría tener un evento, por cada riesgo operacional

identificado, sobre el patrimonio de la empresa. Para

ello, se utilizará una escala valorativa. De esta manera,

se obtiene el impacto de un evento al año para cada

riesgo operacional identificado.

55

Determinación del impacto del Determinación del impacto del riesgo inherenteriesgo inherente

• Cuando se cuente con una base de datos histórica de pérdidas, se podrán utilizar fórmulas estadísticas para el cálculo de intervalos, tal como la de Sturges que se ilustra a continuación:

• [k = 1 + 3.3222 log10 (n)]• Donde k: es el número de intervalos y n: es el número de datos. Los intervalos de la escala

pueden ser uniformes o no, es decir que no necesariamente todos los intervalos mantendrán la misma amplitud o longitud. Por ejemplo:

• – Si se cuenta con una base de datos histórica de pérdidas, se podrá calcular la longitud de

clase uniforme, utilizando la fórmula siguiente:• • l = Dato mayor – Dato menor• K• Donde l: es la longitud que deben tener los intervalos y K: es el número de intervalos.

56

Cuando se cuente con una base de datos Cuando se cuente con una base de datos histórica de pérdidas, se podrán utilizar histórica de pérdidas, se podrán utilizar fórmulas estadísticas para el cálculo de fórmulas estadísticas para el cálculo de intervalos, tal como la de Sturges que se intervalos, tal como la de Sturges que se ilustra a continuación:ilustra a continuación:

• Base de la escala = 100 US$. • • Luego, para hallar los límites superiores de los diferentes grados de la

escala, se procede a utilizar la siguiente fórmula:• • Lim superior (n)= Base X 10n-1; n ≥ 1• • Por ejemplo, para calcular el límite superior del grado de escala 1 y 2, se

procede de la siguiente manera:• • Lim superior (1) = 100 X 10(1-1) = 100• Lim superior (2) = 100 X 10(2-1) = 1.000• • Y así, sucesivamente.

57

A continuación se presenta la A continuación se presenta la escala que puede ser utilizada escala que puede ser utilizada

para valorar el impacto para valorar el impacto patrimonial de los riesgos:patrimonial de los riesgos:

58

Código Color

Indicador

Gradode Escala

Orden de Magnituden US$

Descripción

Bajo

1 0 – 100El riesgo afecta poco al patrimonio de la Empresa.2 101 - 1.000

Medio

3 1.001 - 10.000El riesgo afecta significativamente al patrimonio de la Empresa.

4 10.001 - 100.000

5100.001 - 1.000.000

Alto

61.000.001 - 10.000.000 El riesgo afecta seriamente

al patrimonio de la Empresa .7 ≥ 190,000.

A continuación, se muestra la tabla A continuación, se muestra la tabla con los valores que corresponden a con los valores que corresponden a

esta escala:esta escala:

59

Determinación de la frecuencia de Determinación de la frecuencia de ocurrencia anualizada del riesgo ocurrencia anualizada del riesgo

inherenteinherente

El número de veces que un evento se repite en el año, se puede expresar como se muestra en la siguiente tabla:

Color Código ColorGrado de Escala

DescripciónOcurrencia Annual

Bajo

1 1 al año 12 2 al año 23 1 al trimester 44 1 al mes 12

Medio

5 2 al mes 246 1 por semana 527 2 por semana 1048 1 al día 365

Alto

9 2 - 5 al día 1,27810 6 - 20 al día 4,74511 21 - 40 al día 11,13312 ≥41 al día 14,965

60

Determinación del riesgo Determinación del riesgo inherenteinherente

Una vez determinado el impacto unitario y la frecuencia de ocurrencia de cada riesgo operacional, se elaborará una “Matriz de Análisis y Valoración del Riesgo Inherente”, en la cual se consoliden el impacto unitario y la frecuencia de ocurrencia de los riesgos. En otras palabras, se procederá a multiplicar el impacto determinado de cada riesgo por la frecuencia de ocurrencia de cada uno de esos riesgos, a fin de obtener el riesgo inherente; este último monto se debe ubicar en la escala de impacto del riesgo patrimonial, para determinar que grado le corresponde.

61

Elaboración del mapa de riesgo Elaboración del mapa de riesgo inherenteinherente

A fin de tener una visión global de los riesgos, a los cuales está expuesto el Empresa, se elabora el mapa de riesgo inherente, el cual podrá ser mediante curvas o cuadrantes.

Imp

acto

Pat

rim

on

ial

Frecuencia de ocurrencia

62

Elaboración del mapa de riesgo Elaboración del mapa de riesgo inherenteinherente

A fin de tener una visión global de los riesgos, a los cuales está expuesto el Empresa, se elabora el mapa de riesgo inherente, el cual podrá ser mediante curvas o cuadrantes.

7

Más de 10 000 000

6

1 000 001 - 10 000 000

5

100 001 - 1 000 000

4

10001 - 100000

3

1001 - 10000

2

101 - 1000

1

0 - 100

1 2 4 12 24 52 104 365 1 278 4 745 11 133 14 965

1 2 3 4 5 6 7 8 9 10 11 12

Ocurrencia Anual (Veces)

Fre

cu

en

cia

($

)

Figura Nº 4.2 Mapa de riesgos operativos

En esta sub-fase se identificarán los controles de los riesgos inherentes, que mitiguen la frecuencia, el impacto o ambos, para determinar el riesgo residual.

De esta manera, se obtendrá la “Matriz de Análisis y

Valoración del Riesgo Residual”

63

Análisis y valoración del Análisis y valoración del riesgo residualriesgo residual

64

Un control interno se define como el proceso efectuado por la Junta Directiva, la Gerencia y el resto del personal de una organización, diseñado para proveer una seguridad razonable. El control interno no debe ser acontecimientos, mecanismos o decretos aislados de la gerencia. Son mucho más efectivos cuando se crean en los procesos de negocios. El control interno se refiere a la gente, por lo cual todas las personas en sus diferentes niveles de cargo deben estar conscientes de la evaluación y los controles de los riesgos, a fin de responder de manera apropiada. No se puede esperar que los controles internos eviten todos los problemas, aborden todos los

asuntos o permitan la suficiencia organizacional.

Identificación y evaluación Identificación y evaluación funcional de los controles funcional de los controles asociados a la cadena de asociados a la cadena de

valorvalor

65

¿Quién ejecuta el control ? (una persona / sistema de información)

¿Qué tarea pone en acción el control? (aprobación, comparación, reconciliación)

¿Cuándo? (frecuencia de ejecución del control: tiempo real, lotes, diario, semanal)

¿Dónde? (punto de la transacción donde se ejecuta el control)

¿Cómo se realiza el control y su evidencia?

El personal de las unidades de El personal de las unidades de negocios y apoyo, deberá identificar negocios y apoyo, deberá identificar los controles, que mitigan los riesgos los controles, que mitigan los riesgos

operativos, tomando en cuenta lo operativos, tomando en cuenta lo siguiente:siguiente:

66

Efectividad Descripción Ponderación

Control efectivoEl control identificado reduce los niveles inherentes de impacto, frecuencia de ocurrencia o ambos en un 75%

0,25(un control no elimina el riesgo)

Control medioEl control identificado reduce los niveles inherentes de impacto, frecuencia de ocurrencia o ambos en un 50%

0,50

Sin control o control inefectivo

No se identificaron controles, por lo que los niveles inherentes de impacto y frecuencia de ocurrencia quedan iguales.El control es inefectivo

1

Escala cualitativa para valorar Escala cualitativa para valorar la efectividad de los controles la efectividad de los controles

implantadosimplantados

En este paso se determinará el impacto de cada riesgo operacional identificado, considerando los controles que la gerencia ha identificado para mitigar ese riesgo.

En este sentido, se procederá a calcular, para cada riesgo operacional identificado, el impacto unitario residual mediante la siguiente fórmula:Impacto Unitario Residual = (Impacto Unitario Inherente) * (Efectividad del Control)

67

Determinación del impacto Determinación del impacto unitario del riesgo residualunitario del riesgo residual

En este paso, se revaluará la frecuencia anual de cada riesgo operacional identificado, considerando los controles identificados que mitigan ese

Para obtener la frecuencia anualizada residual, se utilizan los resultados obtenidos al valorar la efectividad de los controles implantados. Se procederá a calcular, para cada riesgo operacional identificado, la frecuencia anualizada residual mediante la siguiente fórmula:

Frecuencia Anualizada Residual = (Frecuencia Anualizada Inherente) *

(Efectividad del control)

68

Determinación de la frecuencia Determinación de la frecuencia de ocurrencia anualizada del de ocurrencia anualizada del

riesgo residualriesgo residual

69

Una vez calculada el impacto y la frecuencia anualizada inherente, se procede a calcular el riesgo residual. Para esto se toma el total del riesgo inherente multiplicado por la efectividad del control. Para cada uno de los riesgos es importante determinar cuál de las dos dimensiones está disminuyendo el riesgo, (ya sea el impacto, la probabilidad o ambos). Una vez que se ha calculado la dimensión que afecta la efectividad del control, se procede a ubicar el resultado en la escala del mapa.

Determinación del riesgo Determinación del riesgo residualresidual

70

Ejemplo del cálculo del Riesgo Ejemplo del cálculo del Riesgo Residual:Residual: Ejem

ploSi el impacto de un riesgo inherente es $50 000 y su frecuencia de ocurrencia es 12 veces en un año, el total del riesgo inherente es: $600 000. Si se determinó que el grado de efectividad del control es medianamente efectivo, el riesgo residual es el resultado de multiplicar $600 000 X 0.5, lo que da un riesgo residual de $300 000.

71

Elaboración del mapa de riesgo Elaboración del mapa de riesgo residualresidual

Como producto de este paso se obtendrá el “Mapa de Riesgo Residual. En este sentido, se elabora el “Mapa de Riesgo Residual”, de la misma forma como se construyó el “Mapa de Riesgo Inherente”, pero utilizando los valores de frecuencia anualizada residual e impacto anualizado residual.

72

Análisis y valoración del riesgo Análisis y valoración del riesgo reputacionalreputacional

Los riesgos operativos identificados que puedan desencadenar riesgos reputacionales. En este sentido, se podrá utilizar la escala definida en la Tabla N° 8, donde se establecen valores cualitativos. Ello permitirá centrar los esfuerzos en aquellos riesgos operativos que, a su vez, tengan implícito un riesgo reputacional, como elemento de decisión, dentro de un grupo de riesgos.

73

Daños de Imagen (Valor Cualitativo)

Código Color

IndicadorGrado de la Escala

Descripción

Débil 1

El evento atrajo la atención de personas externas aunque limitado a un pequeño círculo (determinados clientes, autoridades locales, entre otros).

El evento es conocido sólo al ámbito de la institución.

Medio 2

El evento atrajo la atención de un amplio rango de personas (reguladores).

El nombre de la Empresa es citado públicamente.

Fuerte 3

Pérdida de reputación colocando en peligro la continuidad del negocio.

Múltiples citaciones en los medios de comunicación. la Empresa es cuestionado con respecto a como ha

coordinado la situación y más aún sus valores y sus prácticas. Investigaciones externas.

Escalas para medir el nivel de Escalas para medir el nivel de riesgo reputacionalriesgo reputacional

El objetivo de esta fase es determinar las acciones que se emprenderán para reducir y/o mantener el riesgo dentro de los niveles aceptables para la organización

75

Objetivo:

Fase 3: Determinación de las Fase 3: Determinación de las estrategias de gestión de los estrategias de gestión de los

riesgos operativos riesgos operativos

76

Riesgos a los que se Riesgos a los que se encuentran expuesta la encuentran expuesta la

organizaciónorganización

Zona aceptación de riesgos

Riesgo Inherente

Zona de riesgos que requieren acción

12

34

5

Riesgo Residual

1 2 3 4 5 6 7 8 9 10 11 12

Impacto

Más de 10 000 000

1 000 001 - 10 000 000

100 001 - 1 000 000

10001 - 100000

1001 - 10000

101 - 1000

0 - 100

1 2 4 12 24 52 104 365 1 278 4 745 11 133 14 965

Zona Aceptación de Riesgos Frecuencia de ocurrencia

77

Insumos

-Mapa de riesgo inherente-Mapa de riesgo residual-Matriz de evaluación

-Definición de las estrategias de gestión de los riesgos operativos-Priorización de los riesgos operativos-Evaluación de las estrategias de los riesgos operativos-Selección de la estrategia de gestión del riesgo-Integración de las actividades de control con la estrategia de gestión de riesgo-Determinación de la prioridad y responsable de implantación

--

A continuación se presenta un resumen d de lo concerniente a esta fase :

RESUMEN:RESUMEN:

Sub-Fases


Plan de implantación

78

Definición de las estrategias de gestión de los riesgos operativos

Priorización de los riesgos operativos

Evaluación de las estrategias de gestión de los riesgos operativos

Selección de la estrategia de gestión del riesgo

Selección de la estrategia de gestión del riesgo

Determinación de la prioridad y responsables de implantación

A continuación se presentan gráficamente las seis (6) sub-fases que forman parte de la determinación de las estratega las de gestión de los riesgos operativos:

Sub-fases Sub-fases de la determinación de las de la determinación de las estrategias de gestión de los riesgos estrategias de gestión de los riesgos


En esta sub-fase, el área operativa y riesgo

operativos, definirán las estrategias de gestión que

seleccionarán para cada riesgo, las cuales deberán

estar sujetas al apetito de riesgo y al nivel de

tolerancia al riesgo establecidos por la institución. Esto

se terminará de definir y ajustar, con el apoyo brindado

por la Gerencia de las unidades de negocio.

79

Definición de las estrategias Definición de las estrategias de gestión de los riesgos de gestión de los riesgos


80

Opciones para gestionar el riesgo Opciones para gestionar el riesgo operacionaloperacional

81

En esta sub-fase se establecerá la prioridad de los riesgos

operativos residuales, calculados en la Fase 2, sobre los

cuales la Gerencia focalizará las estrategias de gestión.

Para ello, se ordenan los riesgos operativos según su nivel

de criticidad y se seleccionan aquellos riesgos que

requieren de una acción inmediata.

Priorización de los riesgos Priorización de los riesgos operativosoperativos

82

Riesgo 1

Riesgo 2

Riesgo 3

Zona de aceptación de riesgos

Riesgos que requieren de un plan de acción específico

Zona de riesgos que requieren acciones

1

Riesgo 4

Impacto

121 2 3

Riesgo 1

Riesgo 2

Riesgo 3

1

2

3

4

5

Riesgo 4

Impacto

76 8 9 10 111 2 4 5

Zonas de tratamiento y Zonas de tratamiento y aceptación de los riesgosaceptación de los riesgos

En esta sub-fase, la Gerencia de las unidades de negocio y apoyo evaluarán la

viabilidad de las estrategias de gestión determinadas anteriormente. Dicha

viabilidad se determinará en términos del efecto de la estrategia de gestión sobre

el impacto y la frecuencia de ocurrencia del riesgo, del análisis del costo-beneficio

y de la identificación de posibles oportunidades. El objetivo fundamental es

evaluar cuan efectiva es la estrategia de gestión para reducir el riesgo residual.

83

Evaluación de las estrategias Evaluación de las estrategias de gestión de los riesgos de gestión de los riesgos operativosoperativos

84

Evaluación del efecto de la Evaluación del efecto de la estrategia de gestión del riesgo estrategia de gestión del riesgo sobre el impacto y la frecuencia sobre el impacto y la frecuencia

de ocurrenciade ocurrencia

Una de las opciones para evaluar las estrategias de gestión de los riesgos operativos es determinar su efecto sobre el impacto, sobre la probabilidad de ocurrencia o sobre ambos. Por ejemplo, una institución podría movilizar sus servidores principales desde una región geográfica de alta peligrosidad por fenómenos naturales devastadores hacia otra de mayor estabilidad, pero ello no disminuirá el impacto, aunque si la probabilidad de ocurrencia.

El análisis de costo-beneficio permite establecer la factibilidad financiera de las estrategias de gestión del riesgo operacional determinadas. Su objetivo fundamental es proporcionar una medida de los costos en que se podría incurrir, y, a su vez, comparar dichos costos previstos con los beneficios esperados.

85

Métodos de análisis de Métodos de análisis de costo-beneficiocosto-beneficio

86

Análisis costo-beneficioAnálisis costo-beneficio

Costo de reducir de Riesgo

Valo

ració

nannual d

el R

iesg

o

Ba

joM

ed

ioA

lto

Bajo Medio Alto

Análisis Costo-Beneficio

Implantaciónde las Estrategias deGestión de Riesgo

Priorización de los Riesgos Operativospara la Implantación

No económico

Costo de reducir de Riesgo

Valo

ració

nannual d

el R

iesg

o

Ba

joM

ed

ioA

lto

Bajo Medio Alto

Análisis Costo-Beneficio

Implantaciónde las Estrategias deGestión de Riesgo

Priorización de los Riesgos Operativospara la Implantación

No económico

87

Identificación de posibles Identificación de posibles

oportunidadesoportunidades

Cuando se evalúan las estrategias de gestión de riesgos, también se podrían identificar nuevas oportunidades para la organización. Para la Gerencia de las unidades de negocio y apoyo, la evaluación de estrategias de gestión de riesgos podría ser innovadora y podrían surgir algunas oportunidades. De esta manera, al momento de seleccionar la estrategia de gestión, la Gerencia podría inclinarse por la estrategia en la cual identificó alguna nueva oportunidad de negocio o mejora.

Selección de la estrategia Selección de la estrategia de gestión del riesgode gestión del riesgo

88

En esta sub-fase, se deberá elegir la estrategia de gestión, para cada riesgo

operacional, de forma que se ubiquen los riesgos dentro de los límites de tolerancia

establecidos por la organización.

Integración de las actividades Integración de las actividades de control con la estrategia de de control con la estrategia de

gestión del riesgogestión del riesgo

89

En esta sub-fase, se deben definir las actividades de control a ser implantadas acordes con la estrategia de gestión de riesgo.En la selección de las actividades de control, la Gerencia deberá considerar como se pueden integrar a una o varias estrategias de gestión de riesgo.

90

Correctivos

Así mismo, se deben Así mismo, se deben determinar los tipos de determinar los tipos de controles a implantar:controles a implantar:

Preventivos

Detectivos

91

En esta sub-fase, se deberá establecer la prioridad y los responsables de implantación de la estrategia de gestión de riesgo. El plan de prioridades de implantación debe contemplar los siguientes aspectos:

- Indicar las acciones estratégicas para gestionar el riesgo operacional con la asignación de la unidad organizativa o persona responsable. -Establecer el período de tiempo requerido para la implantación de los planes de acción. El período de tiempo requerido de implantación definido por el Empresa, consta de los plazos siguientes:

Corto plazo: 0 a 6 meses.Mediano plazo: 6 a 12 meses.Largo plazo: Mayor a 12 meses.

Determinación de la prioridad y Determinación de la prioridad y responsables de implantación de la responsables de implantación de la

estrategia de gestión del riesgoestrategia de gestión del riesgo

Desarrollar una estructura y proceso de información y comunicación del estado de

gestión de los riesgos operativos, que permita a la Gerencia de las unidades de

negocio y apoyo comunicar el estatus de los riesgos operativos. En este sentido, la

información debe identificarse, captarse y comunicarse de una forma y en un marco

de tiempo que permiten a las personas llevar a cabo sus responsabilidades.

Asimismo, la organización debe contar con los medios para comunicar la

información significativa desde los niveles operativos hasta la alta gerencia, los

comités y la Junta Directiva. También debe haber una comunicación eficaz con

terceros, como es el caso de clientes, proveedores y accionistas.

93

Objetivo:

Fase 4:Fase 4: Información y Información y comunicación de la gestión de los comunicación de la gestión de los riesgos operativosriesgos operativos

94

Comentario de los principales eventos / incidentes de riesgo

Principales eventos / incidentes de riesgo Áreas donde los riesgos cambian adversamente. Avances de las acciones en riesgos potenciales

• Alta Gerencia• Alta Gerencia

• Línea gerencial• Línea gerencial

• Personal operativo• Personal operativo

Resultados de los indicadores clave de desempeño (Ley Performance Indicator / KPI)

Resultados de los indicadores clave de riesgo (Key Risk Indicator / KRI)

Comentarios de los principales eventos / incidentes de riesgo

Áreas donde los riesgos cambian adversamente

Nueva exposición al riesgo Avance de las acciones en riesgos

potenciales

Reporte Externo

Rep

orte

inte

rno

Divulgación de los riesgos y prácticas para gerenciar los riesgos a los entes relacionados

Proceso de Información y Comunicación de la Gestión de los Riesgos Operativos

Junta

Directiva

/ Comité

de Riesgo

Perfil de riesgo operacional Acciones para mitigar riesgos Efectividad y avance de las acciones aplicadas Estado del marco de gestión de riesgos

operativos Principales eventos / incidentes de riesgo

Ejemplo del proceso de información y Ejemplo del proceso de información y comunicación sobre la gestión de los comunicación sobre la gestión de los

riesgos operativosriesgos operativos

95

Insumos

-Definición de las directrices para informar el estado de la gestión de los riesgos operativos . -Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos

A continuación se presenta un resumen de lo concerniente a esta fase :

RESUMEN:RESUMEN:

Sub-Fases


-Plan de implantación

-Proceso de información y comunicación del estado de gestión los riesgos operativos.

96

Sub-fases de la información y Sub-fases de la información y comunicación del estado de comunicación del estado de

gestión de los riesgos operativosgestión de los riesgos operativos

Definición de las directrices para informar el estado de la gestión de los riesgos

Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos.

97

Definición de las directrices para Definición de las directrices para reportar el estado de la gestión reportar el estado de la gestión

de los riesgosde los riesgos

En esta sub-fase, se describen los lineamientos que deben ser considerados al comunicar la gestión de los riesgos operativos, a fin de que la información pueda fluir de manera precisa y oportuna.

Establecimiento del proceso de Establecimiento del proceso de información y información y

comunicación del estado de la gestión comunicación del estado de la gestión de los riesgosde los riesgos

98

En esta sub-fase, se establece el proceso que se debe seguir a fin de comunicar la situación o avance de la

gestión de los riesgos operativos, de manera efectiva, para lo cual se requiere definir la estructura de

información y comunicación, el alcance, la frecuencia de la información y los canales de comunicación a ser

utilizados.

99

Definición de la estructura de Definición de la estructura de información y comunicacióninformación y comunicación

En este paso, la Gerencia de las unidades de negocio y apoyo deberá acordar con su personal y con la unidad de control de riesgos la estructura, para que la información se comunique de forma fluida a las partes interesadas, tanto internas como externas.

100

Ejemplo de una estructura de Ejemplo de una estructura de información y comunicación:información y comunicación:Ejem

plo

101

El proceso de comunicación con entes internos debe producirse de forma clara y directa, para que la información se direcciones específicamente a los entes revisores de la gestión de los riesgos operativos y que reflejen correctamente las acciones, expectativas, roles y responsabilidades del personal involucrado.

La comunicación con entes internos debe proveer al personal y a

la organización, principalmente, lo siguiente:

La importancia y relevancia de la gestión de los riesgos operativos.La alineación de la gestión de los riesgos con los objetivos de la

organización.El apetito y la tolerancia al riesgo operacional.Un lenguaje común de riesgo operacional.Las funciones y responsabilidades del personal de la organización en el

apoyo a la gestión de los riesgos operativos.

ENTES INTERNOS:ENTES INTERNOS:

102

Ejemplo

Ejemplo de un proceso de Ejemplo de un proceso de comunicación con entes comunicación con entes

internosinternos

103

Dentro de la estructura de información y comunicación, también se debe estructurar una comunicación apropiada a los entes externos, tales como: clientes, proveedores, auditores, reguladores y otros relacionados.

ENTES EXTERNOS:ENTES EXTERNOS:

104

Definición del alcance y frecuencia de Definición del alcance y frecuencia de la informaciónla información

En este paso, se establecerá el alcance y frecuencia de la información a reportar, lo cual debe ser consistente con las necesidades de información de la organización sobre la situación o avance de la gestión de los riesgos operativos. La información debe fluir de manera oportuna, para reaccionar proactivamente sobre cualquier cambio que se requiera en la estrategia de gestión de los riesgos operativos.

105

Ejemplo

Alcance global de la Alcance global de la información a comunicarinformación a comunicar

Zona 1Sistemas / Aplicaciones operativas:• Transacciones• De captura mantenimiento y distribución

de información

Regl

as, e

stán

dare

s y

prot

ocol

os

Zona 3Sistemas de gestión de incidentes:• Sistemas de alerta de fraude• Información de pérdidas por fraude

Zona 2Sistemas de reporte financiero:• Mayor general• Cuenteas automatizadas• Ajuste manual de cuentas

Zona 4Sistemas de información gerencial:• Almacenamiento de datos

(data warehouse)• Modelos de cuantificación

Reporte de la situación o avance de la gestión de los riesgos operacionales, por ejemplo:Indicadores clave de riesgos, reporte de incidentes / eventos de pérdida operacional.

Reportedel estadofinanciero

Zona 1Sistemas / Aplicaciones operativas:• Transacciones• De captura mantenimiento y distribución

de información

Regl

as, e

stán

dare

s y

prot

ocol

os

Zona 3Sistemas de gestión de incidentes:• Sistemas de alerta de fraude• Información de pérdidas por fraude

Zona 2Sistemas de reporte financiero:• Mayor general• Cuenteas automatizadas• Ajuste manual de cuentas

Zona 4Sistemas de información gerencial:• Almacenamiento de datos

(data warehouse)• Modelos de cuantificación

Reporte de la situación o avance de la gestión de los riesgos operacionales, por ejemplo:Indicadores clave de riesgos, reporte de incidentes / eventos de pérdida operacional.

Reportedel estadofinanciero

106

En este paso se determinarán los canales de comunicación que las unidades de negocio y apoyo deberán utilizar para realizar un reporte efectivo de la situación o avance de la gestión de los riesgos operativos.

Determinación de los canales de Determinación de los canales de información y comunicación información y comunicación

Establecer un efectivo proceso de seguimiento de los riesgos operativos, lo cual permitirá velar por la implantación de las estrategias de gestión de los riesgos, recopilar la información sobre sus avances o reestructuraciones a que dieran lugar o su culminación; así como también asegurar que se detecten, comuniquen y gestionen los eventos de pérdidas / incidentes de riesgos operativos. La gestión de riesgo operacional se monitorea revisando la presencia y funcionamiento de sus fases a lo largo del tiempo, lo cual se puede llevar a cabo mediante monitoreo continuo, auto-evaluaciones separadas, análisis de eventos de pérdidas operativos y medición de la cultura de riesgo y control.

108

Objetivo:

Fase 5:Fase 5:Monitoreo de los Monitoreo de los riesgos operativosriesgos operativos

109

Reestructuración del plan de Reestructuración del plan de implantación producto del monitoreo implantación producto del monitoreo de las estrategias de gestión de los de las estrategias de gestión de los

riesgos operativosriesgos operativosRiesgos Operativos Identificados Nuevos Riesgos Operativos

- Identifica si el existente plan de estrategias de gestión se ha implantado en las cadenas de valor.

- Establece los objetivos del plan de estrategias de gestión; por ejemplo, cuales riesgos están siendo mitigados.

- Evalúa si las estrategias de gestión existentes satisface los objetivos fijados.

- Determina si el plan de estrategias de gestión es suficiente y relevante, es decir, si no se requiere agregar o eliminar alguna(s) de las estrategia(s) de gestión.

- Evalúa si la gestión de los riesgos está diseñada para considerar nuevos riesgos, en función del apetito y niveles de tolerancia.

- Determina si el plan de estrategias de gestión existente puede ser modificado para mitigar/controlar los nuevos riesgos identificados.

- Identifica y evalúa un rango de opciones de respuesta /estrategias de gestión de los riesgos.

- Diseña un plan de implantación de las estrategias de gestión seleccionadas, incluyendo los indicadores clave de riesgo (KRI´s).

- Ejecuta el plan de implantación.

110

Insumos

-Monitoreo de la gestión de los riesgos operativos-Monitoreo de la gestión de los riesgos operativos

A continuación se presenta un resumen de lo concerniente a esta fase:

RESUMEN: RESUMEN:

Sub-Fases


-Proceso de información y comunicación del estado de gestión los riesgos operativos

-Formatos de monitoreo de riesgos operativos

111

Sub-fases del monitoreo de los Sub-fases del monitoreo de los riesgos operativosriesgos operativos

Monitoreo de la gestión de los riesgos operativos

Métodos de monitoreo

112

En esta sub-fase, las unidades de negocio y apoyo deben velar por la implantación de las estrategias de gestión de los riesgos operativos y deben informar a la unidad de control de riesgos sobre la culminación o reestructuración de cronogramas de todas las estrategias de gestión de los riesgos operativos, establecidas en la Fase 3, y del proceso de información y comunicación, establecido en la Fase 4; adicionalmente, también deben realizar el monitoreo de los indicadores de riesgo operacional.

Monitoreo de la gestión de los Monitoreo de la gestión de los riesgos operativosriesgos operativos

Métodos de monitoreoMétodos de monitoreo

113

En esta sub-fase se presentan cuatro (4) métodos

que pueden ser utilizados para monitorear las estrategias de gestión de los riesgos operativos:

Monitoreo continuo, auto-evaluaciones separadas, análisis de eventos de pérdida operacional y

medición de la cultura de riesgo y control. También puede utilizarse combinaciones de las cuatro, para

asegurar la efectividad del monitoreo.

114

Consiste en monitorear el estado de la gestión de los riesgos operativos en un momento determinado (por ejemplo: trimestral, semestral o anualmente) o cuando ocurran eventos como:

L Reestructuración.

Incremento en el volumen de transacciones.

Nuevas tecnologías.

Cambios organizacionales.

Nuevos productos.

Eventos externos que impacten a la organización

Auto-evaluaciones separadas Auto-evaluaciones separadas

115

Alcance

¿Quién se auto-evalúa?

Proceso de auto-evaluaciones separadas

Metodología

Documentación

Los elementos que deben ser Los elementos que deben ser considerados al aplicar auto-considerados al aplicar auto-

evaluaciones separadas, son los evaluaciones separadas, son los siguientes:siguientes:

116

El análisis de eventos de pérdida operacional es un proceso importante en demostración de la necesidad de gestionar los riesgos operativos y permite demostrar como la unidad de control de riesgos puede mejorar los procesos utilizados para reducir las pérdidas y agregar valor al negocio.

Análisis de eventos de pérdida Análisis de eventos de pérdida operacionaloperacional

117

Un ejemplo de cómo se pueden Un ejemplo de cómo se pueden presentar los eventos de pérdida presentar los eventos de pérdida

operacionaloperacional : : Ejemplo

118

Medición de la cultura de Medición de la cultura de riesgo y controlriesgo y control

La cultura de riesgo y control es definida como el conjunto de valores, conocimientos y prácticas compartidas que indican cómo la organización considera los riesgos en las actividades del “día a día”. Constituye un factor clave de éxito para la gestión de los riesgos operativos.

119

Proporciona una visión global de cómo la estrategia de control interno y gestión de riesgo está integrado y se ha alineado en todos los niveles de cargo y áreas de la organización.

Provee información para desarrollar acciones que contribuyan con el fortalecimiento de la cultura de riesgo y control.

Provee información sobre los atributos clave de una efectiva y sólida gestión integral de riesgos.

Permite establecer un indicador que puede ser medido regularmente para monitorear e identificar posibles desviaciones y evoluciones en el ámbito de la cultura y práctica de gestión de riesgo y control interno

Entre los principales beneficios Entre los principales beneficios de la medición, se encuentran de la medición, se encuentran

los siguientes:los siguientes:

120

El marco metodológico contenido en este documento de trabajo debe ser actualizado cuando se presenten cambios externos o internos que impacten al Marco de Gestión de Riesgo Operacional de la empresa. A tal efecto, se deben considerar los siguientes aspectos:

Se debe actualizar el marco metodológico y de procedimientos para la gestión de riesgo operacional, de forma anual o cuando se presenten cambios externos o internos de gran impacto sobre el Empresa

Las enmiendas del marco metodológico y los procedimientos para la gestión de riesgo operacional deben ser discutidos y aprobados por el Comité de Riesgos.

Las revisiones frecuentes, bajo la asistencia de profesionales calificados, ayudarán a asegurar que el marco metodológico y de procedimientos para la gestión de riesgo operacional estén actualizadas y reflejen cambios de cualquier circunstancia.

Normas de actualización de la Normas de actualización de la guía metodológicaguía metodológica

121

2

3

1 22

14

106

13

7

11

4

8

12

9

15

Apéndice Glosario de Terminos Apéndice Glosario de Terminos MGROMGRO

16

17

1916

17

2022

21

24

23

26

18

5

Cadena de valor

Cultura de riesgo

Evento

Auto-evaluación

Frecuencia de ocurrencia

ApéndiceActivos

Apetito de riesgo

Catástrofe

Control interno

Impacto

MGRO

Monitoreo

Objetivo

Oportunidad

Organización

Riesgo

Riesgo inherente

Riesgo residual

Riesgo legal

Riesgo operaciona

l

Riesgo reputacional

Segregación de funciones

Tolerancia al riesgo

Volatilidad

TALLETALLERR

GESTION DEL RIESGO OPERATIVO

Documents

Transcript of GESTION DEL RIESGO OPERATIVO