RIESGO OPERACIONAL€¦ · Web viewevoluciÓn de la gestiÓn del riego Tradicionalmente, los...

RIESGO OPERACIONAL.LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORIA

INTRODUCCIÓN

Siempre ha sido importante para las organizaciones intentar evitar fraude, mantener la integridad de los controles internos, reducir los errores en el procesamiento de transacciones, etcétera, sin embargo, en un contexto cada vez más globalizado, enfrentan con mayor rigor diversos riesgos producidos por avances tecnológicos, política, consumidores, competencia, terrorismo, entre otros factores, en escalas de tiempo cada vez más cortas. Esto ha llevado a estructurar una Gestión de Riegos bajo un enfoque integral, que le permite trascender el análisis individual de cada riesgo para asumir una visión sistémica y de conjunto.

El Comité de Basilea de Supervisión de Bancos, define riesgo operacional como ‘el riesgo de pérdida como resultado de personas, sistemas y procesos internos fracasados o inadecuados o de eventos externos’, y está asociado a errores humanos, a fallas en los sistemas y a la existencia de procedimientos y controles inadecuados. La definición incluye el riesgo legal, pero excluye el riesgo estratégico y el riesgo de reputación.

También explica que el enfoque exacto para la administración del riesgo operativo escogido por una organización dependerá de una serie de factores, incluyendo el tamaño, nivel de sofisticación, y la índole y complejidad de las actividades, y por ende, cada organización podrá tener su propia definición de riesgo operacional. No obstante, a pesar de estas diferencias, los siguientes elementos son de suma importancia para un marco de administración del riesgo operativo para todos, independientemente de su tamaño y alcance de actividades: estrategias claras y supervisión por el directorio y la Gerencia, una fuerte cultura del riesgo operativo y una cultura interna de control (incluyendo, entre otras cosas, claras líneas de responsabilidad y segregación de obligaciones, un sistema interno efectivo de presentación de informes, y planes de contingencia).

El riesgo operativo puede ser más pronunciado si las organizaciones empiezan a trabajar con actividades nuevas o si desarrollan productos nuevos (sobre todo si esas actividades o productos no son coherentes con las estrategias centrales de la organización), ingresan en mercados que no conocen bien, y/o participan en negocios a una considerable distancia geográfica de la oficina central. La administración de riesgo operacional también depende del juicio experto y de un análisis pragmático de la gerencia para colocar el riesgo en contexto y priorizar las acciones para la mejora. Ayuda la habilidad que tenga el personal de las áreas operativas para crear escenarios de riesgo que permitan poder estar preparados, ya que se complementan con posibles acciones correctivas y sus costos asociados con anterioridad.

El marco de actuación en esta materia se formaliza mediante la Política para la Gestión de Riesgos, en la cual se definen los conceptos básicos, se establece el alcance, los componentes del ciclo de Gestión de Riegos y las correspondientes responsabilidades, sin embargo, el éxito de la gestión de Riesgo radica en la persistencia y seguimiento sobre la base de la metodología adoptada.

Expositor: José M. Taveras LayContralor, Banco Central de la República Dominicana


Los principales resultados de la Gestión de Riegos deberán ser, la unidad de criterio en torno al manejo de riesgos, la generación de conciencia, la priorización de los riesgos de mayor impacto para cada uno de los recursos, la definición clara y explícita de responsabilidades en todos los niveles de la organización y convertir la Gestión de Riegos en eje articulador de temas sensibles a la actividad organizacional, tales como: la preservación de la reputación y el plan de continuidad del negocio.

Los beneficios derivados de la aplicación de la metodología de Gestión de Riesgo resultan más amplios, especialmente en aspectos relacionados con mejoras de procesos y para la generación de mejoras en eficiencia y efectividad. El resultado final de este proceso producirá una entidad más eficiente, con una reducción en los eventos de pérdida operacional, mejores niveles de servicio y -por supuesto y como consecuencia de esto- una reducción en los requerimientos de capital.

ANTECEDENTES DE LA GESTIÓN DE RIESGO

Por supuesto que hablar de riesgo no es una novedad, aunque ha sido a partir de los acontecimientos financieros ocurridos en las últimas décadas que muchas organizaciones lo han incluido como tema crítico en sus planes de trabajo. Conciente o inconcientemente y en diferentes grados, las organizaciones han tocado el tratado de lidiar con las causas y consecuencias de estos eventos que definitivamente impactan sus operaciones y es a partir de lo anterior que podemos identificar en ellas distintos niveles de madurez en este sentido.

A lo externo de la organización podemos identificar:

o Cambios en la economía mundial. Mercados globalizados, lo que hace que los efectos de un evento de riesgo no se circunscriba al país donde se dio, sino que pueda afectar a varios países con los que éste tiene relaciones.

o La ocurrencia de eventos como:• El caso del Banco Barings, con pérdidas operativas cercanas a los 850 millones de USD.• El caso del Daiwa Bank, con pérdidas operativas de alrededor de 1.000 millones de USD.• El caso del Sumitomo Bank, con pérdidas por riesgo operacional de 2.600 millones de USD.• El caso de Allied Irish Bank, cuyos problemas por riesgo operacional ocasionaron pérdidas por aproximadamente 700 millones de USD.• El caso de la caída del banco Baninter en la República Dominicana, que además de producir una crisis financiera, también tuvo un fuerte impacto en la economía del país.



o El Comité de Basilea llama la atención sobre la mayor sofisticación de la operativa bancaria y de los mercados financieros. La desregulación y globalización de los servicios financieros, junto con la creciente sofisticación de la tecnología financiera, están incrementando la complejidad de las actividades y no solo para los bancos sino también para el resto de las organizaciones.

A lo interno de las organizaciones podemos identificar:

o Diferentes estructuras del personal soportaban la Gestión de Riesgo (independientemente del tipo de riesgo), así que pueden encontrarse diferentes escenarios:

1. Cada área gestiona su propio riesgo de manera individual. No existe una estructura formal para la gestión del riesgo.

2. Auditoría es la que analiza y controla todos los temas relacionados con riesgo. Se atribuye al Comité de Auditoría la responsabilidad de todo lo relacionado a la gestión de riesgo.

3. Auditoria interna, por tradición, detectaba cierta categoría de Riesgo Operacional utilizando un enfoque metodológico con base en el control interno, infiriendo hacia los riesgos. Generalmente, no se incluía la fase metodológica de identificación de los riesgos y su ponderación semi-cuantitativa y cuantitativa.

o Poca cultura de riesgo y control. Depende del tipo de organización el grado de atención que recibía este tema.

o No existe una metodología ni proceso formal para la gestión del riesgo. Los eventos se manejaban de manera reactiva.

o Alto índice de ocurrencia de eventos de riesgo. Los eventos se mantenían en secreto y no se mantenía un registro que incluyera una documentación completa de lo ocurrido.

EVOLUCIÓN DE LA GESTIÓN DEL RIEGO

Tradicionalmente, los riesgos más tratados en las organizaciones habían sido los riesgos Financieros, como el riesgo de mercado (tipo de cambio, de tipo de interés) y riesgo de crédito y se basaron, casi exclusivamente, en mecanismos de control interno en las líneas de actividad, complementados con la función de auditoría, para administrarlos.

A pesar de que estos mecanismos siguen siendo importantes, recientemente han empezado a emerger estructuras y procesos específicos para administrar el riesgo



operativo, sobre la base de lo expuesto en los antecedentes. En este sentido, un número creciente de organizaciones ha llegado a la conclusión que un programa de administración del riesgo operativo otorga seguridad y solvencia, y por ende, están avanzando en el tratamiento del riesgo operativo como un tipo distinto de riesgo similar al tratamiento del riesgo de crédito y el riesgo de mercado. Durante la última década las organizaciones ha presentado una mayor preocupación respecto al riesgo operacional que se incorpora como parte del modelo de gobierno corporativo.

El Comité de Basilea de Supervisión de Bancos cree que es esencial tener un activo intercambio de ideas entre los supervisores y el sector para el desarrollo constante de pautas adecuadas para administrar el riesgo operativo.

Se inicia una carrera en la búsqueda de diseñar e implementar la gestión de riesgo operacional, que parte con el diseño del marco general y que se complementa con la búsqueda o definición de una metodología. Dicha metodología estará basada en los estándares o en combinaciones de lineamientos de los estándares internacionales, además, el personal realiza investigaciones en otras organizaciones con metodologías de gestión de riesgo maduras (recordemos que la gestión de riesgo ha tenido, dependiendo de la industria, diferentes grados de apoyo por parte del equipo Directivo, y dependiendo de la naturaleza de sus operaciones). El principal reto para la Gerencia es determinar cuanta incertidumbre acepta y maximizar valor cuando equilibra los objetivos estratégicos mediante un balance óptimo entre crecimiento, retorno de inversión, riesgo, oportunidades, eficacia y eficiencia.

La gestión de riesgo exige que en la organización exista un grado aceptable de conocimiento y documentación de los procesos internos, sobre los cuales se debe apoyar la metodología de gestión de riesgo y que facilitan grandemente su implementación. Es por eso que se debe partir sobre la base de la identificación y priorización de procesos operacionales (mapa de procesos). A nivel organizativo, resulta vital la creación de una unidad independiente, responsable por la gestión del riesgo operacional, dado que ésta será la que genere los mecanismos para una adecuada administración del riesgo. Además, se busca hacer sinergias con otras áreas de la organización, como auditoría, que tienen un largo camino recorrido en la identificación de eventos de riesgo e implementación de controles.

La estructura de los recursos humanos de la organización también evoluciona, a partir de que se requiere la creación de nuevas áreas de trabajo (estructura del Gestión de Riesgos) y se incorporan funciones a las descripciones de puesto de los empleados existentes.

Por suerte, han surgido iniciativas que han permitido aunar esfuerzos en este campo, y se conocen a través de diferentes análisis de mejores prácticas levantadas a partir de las discusiones en foros Internacionales. Dichas mejores prácticas han evolucionado y se han convertido en estándares internacionales. Entre ellos podemos mencionar:

- 1988. Basilea I. Acuerdo de Capitales. El acuerdo establecía una definición de "capital regulatorio" compuesto por elementos que se agrupan en 2 categorías (o



"niveles") si cumplen ciertos requisitos de permanencia, de capacidad de absorción de pérdidas y de protección ante quiebra. Este capital debe ser suficiente para hacer frente a los riesgos de crédito, mercado y tipo de cambio. Cada uno de estos riesgos se medía con unos criterios aproximados y sencillos. El principal riesgo era el riesgo de crédito, y se calculaba agrupando las exposiciones de riesgo en 5 categorías según la contraparte y asignándole una "ponderación" diferente a cada categoría (0%, 10%, 20%, 50%, 100%), la suma de los riesgos ponderados formaba los activos de riesgo. El acuerdo establecía que el capital mínimo de la entidad bancaria debía ser el 8% del total de los activos de riesgo (crédito, mercado y tipo de cambio sumados). Este acuerdo era una recomendación: cada uno de los países signatarios, así como cualquier otro país, quedaba libre de incorporarlo en su ordenamiento regulatorio con las modificaciones que considerase oportunas. El primer acuerdo de capital de Basilea ha jugado un papel muy importante en el fortalecimiento de los sistemas bancarios. La repercusión de ese acuerdo, en cuanto al grado de homogenización alcanzado en la regulación de los requerimientos de solvencia ha sido extraordinaria. Entró en vigor en más de 130 países.

- COSO I. Debido a la preocupación y al aumento del interés en la gestión de riesgo operativo durante la Segunda mitad de los años 90, el Comité de las organizaciones que patrocinaban la Comisión de Treadway, conocido como COSO, determinó que había la necesidad de un marco común de Gestión Integral de Riesgo. Producto de esta necesidad, dicha comisión publicó el Internal Control-Integrated Frame work con el objetivo de facilitar a las empresas el proceso de evaluación y de mejorar sus sistemas de control interno. Desde entonces esta metodología se incorporó en las políticas, normativas y regulaciones y ha sido utilizada por muchas compañías para mejorar sus actividades de control hacia el logro de sus objetivos.

- 2004, Basilea II. Es un estándar internacional que sirve de referencia a los reguladores bancarios, con el objetivo de establecer los requerimientos de capital necesarios para asegurar la protección de las entidades frente a los riesgos financieros y operativos. Este estándar surge como una iniciativa del Comité de Basilea y sustituye al anterior Acuerdo de Capitales (Basilea I). Este estándar es un marco integral que estimula a las entidades a gestionar de forma adecuada sus riesgos operativos, evitando que se generen desequilibrios financieros y mitigando el impacto de eventos adversos.

- 2004, COSO II. Como respuesta a una serie de escándalos, e irregularidades que provocaron pérdidas importantes a inversionistas, empleados y otros grupos de interés, publicó el Enterprise Risk Management-Integrated Frame work y sus Aplicaciones técnicas asociadas. Este marco es un complemento del modelo anterior (ampliando el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo. El resultado final de estas adecuaciones es un modelo que contempla algunos objetivos y componentes de la gestión de riesgo. ERM se crea ampliando a COSOI para la gestión integral de riesgo, pero no para sustituir el marco de control interno.



- ISO 31000:2009, Gestión de Riegos- Principios y directrices. Establece los principios, el marco y un proceso para la gestión de cualquier forma de riesgo de manera transparente, sistemático y creíble dentro de cualquier ámbito o contexto. La norma recomienda a las organizaciones desarrollar, implementar y mejorar continuamente un marco de gestión del riesgo como un componente integral de su sistema de gestión.

- Norma Australiana AS/NZS4360:2004. Este estándar fue preparado por el Comité conjunto de estándares de Australia / Estándares Nueva Zelanda OB-007 de Administración de Riesgos, como revisión del estándar de administración de riesgos AS/NZS 4360. El mismo provee una estructura genérica para establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos.

- Ley Sabarnes-Oxley 404. Es una ley de Estados Unidos también conocida como el Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista. La Ley Sarbanes Oxley nace en Estados Unidos con el fin de monitorizar a las empresas que cotizan en bolsa de valores, evitando que las acciones de las mismas sean alteradas de manera dudosa, mientras que su valor es menor. Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inversor.

- En el caso particular de la Republica Dominicana, la Junta Monetaria mediante su Quinta Resolución del 2 de abril de 2009, aprobó de manera definitiva el Reglamento sobre Riesgo Operacional, el cual establece los criterios y lineamientos generales que deberán aplicar las entidades de intermediación financiera para administrar adecuadamente este tipo de riesgo, en cumplimiento con lo establecido en la Ley Monetaria y Financiera de fecha 21 de noviembre de 2002, lo que ha implicado la creación de una mayor conciencia sobre la importancia del riesgo operacional y un gran interés por la mejora de los sistemas de control interno en las entidades financieras. Mediante este Reglamento, las Autoridades establecen las políticas y los procedimientos mínimos que deberán implementar las referidas entidades para identificar, medir, evaluar, monitorear y controlar el riesgo operacional a que están expuestas al realizar sus operaciones, y que permitan minimizar las pérdidas en que puedan incurrir las mismas por este tipo de riesgo

De manera general, dichos estándares consideran, entre otros aspectos, lo siguiente: Establecimiento de Contexto, Identificación, Análisis, Evaluación de Riesgos, Tratamiento, Monitoreo y revisión y Comunicación y consulta.

GESTIÓN DE RIESGO EN LA ACTUALIDAD

Así es como la organización inicia la creación del marco de su estrategia de riesgo operacional, avanzando paso a paso, en la definición y diseño de los elementos claves que ayudan a dimensionar el trabajo a realizar. En general, el marco debería cubrir el apetito y tolerancia respecto del riesgo operativo, y la priorización de actividades en torno a la


http://es.wikipedia.org/wiki/Ley

http://es.wikipedia.org/wiki/Bolsa_de_valores

http://es.wikipedia.org/wiki/Estados_Unidos

http://es.wikipedia.org/wiki/Estados_Unidos


administración del riesgo operativo. A continuación, explicamos algunos de éstos elementos.

Política de gestión de riesgo

Debe definirse y documentarse una política para administrar riesgos, que incluya los objetivos el compromiso de cada miembro de la organización con la administración de los riesgos. La política debe ser relevante para el contexto estratégico de la organización y para sus metas, objetivos y naturaleza de la organización.

Filosofía de gestión de riesgo

Es el grupo de creencias y actitudes compartidas caracterizan la manera que la entidad considera el riesgo en todo lo que hace, lo cual es similar a Cultura de Riesgo.

La filosofía gestión de riesgo/cultura de riesgo depende mucho en:- La historia de la entidad- Desarrollo del nivel de madurez/organizacional (# años en operación)- Tipo de negocio- Tamaño- Ubicación- Los principios de controles y estilo de operación de la gerencia

Apetito de riesgo

Reflejan la filosofía de gestión de riesgo. El apetito de riesgo es una vista a alto nivel de cuanto riesgo la Junta Directiva está dispuesta a aceptar en la persecución de los objetivos estratégicos.

Encuesta de Cultura de Riesgo

Es una medida base sobre la cultura y prácticas de riesgo de una organización. Consiste en un validación directa desde los empleados sobre cómo se entiende y está alineada la estrategia y es un punto de inicio para el desarrollo de un marco de trabajo de gestión de riesgo de negocios robustos. Provee una visión a través de la organización sobre el riesgo y su preparación para moverse hacia arriba en el Riesgo y Control Continuo y le envía un mensaje a los empleados que la gerencia toma en serio el mejorar la gestión de riesgo.

Tolerancias de Riesgo

Son niveles aceptables de variación alrededor de los objetivos.

1. Las tolerancias de riesgo son medibles, preferiblemente en las mismas unidades que los objetivos relacionados.



2. En el establecimiento de la tolerancia de riesgo, la gestión considera la importancia relativa a los objetivos relacionados.

3. La tolerancia de riesgo alineado al apetito de riesgo.

Finalmente, el establecimiento de objetivos es una condición previa a la identificación de eventos eficaz, la evaluación de riesgos y respuesta a los riesgos (el marco que permita evaluar los eventos y riesgos). Los objetivos están alineados con el apetito de riesgo de la entidad que impulsa los niveles de tolerancia al riesgo de la organización.

Metodología de Evaluación del Riesgo Operacional

La metodología utilizada por las organizaciones puede variar en función del estándar que utilice para definirla o por la combinación de algunos de ellos. Sin embargo, los pasos a seguir a nivel general son los siguientes:

• Establecer Contexto : La dependencia bajo estudio identificará los objetivos del proceso, entendiendo el contexto estratégico y organizacional del mismo.

Esta etapa tiene como propósito conocer los objetivos del proceso, el responsable o los responsables del proceso, el marco legal o normativo por el cual se rige, los involucrados o interesados tanto internos a la Organización como externos, la relación con otros procesos, la información utilizada en el mismo y la resultante. Además conocer la infraestructura utilizada, los planes de contingencia y futuras mejoras o modificaciones al proceso.

• Identificar Riesgos : El Gestor de Riesgos y el área operativa bajo estudio determinarán los riesgos relevantes del proceso que puedan afectar el cumplimiento de los objetivos.



Todos los Riesgos inherentes al logro de los objetivos deben ser identificados. Se necesita una amplia visión para identificar todos los tipos de riesgos (amenazas, incertidumbres y oportunidades), por lo que se debe evaluar su probabilidad e impacto relativo para asegurar que se asignen adecuadamente los recursos existentes a las áreas más importantes.

• Analizar Riesgos : El Gestor de Riesgos y el área operativa bajo estudio determinarán la probabilidad y el impacto asociados a los riesgos identificados, así como la fortaleza de los controles existentes, utilizando como herramienta cuestionarios de autoevaluación, para riesgos inherentes, residuales y fortaleza de los controles.

• Evaluar Riesgos : El Gestor de Riesgos determinará, dada la tolerancia establecida, los riesgos residuales del proceso que deberán ser tratados. Estos son validados por el área operativa correspondiente para posterior elaboración de planes de tratamiento.

El propósito de esta etapa es proveer información para asistir en la evaluación y tratamiento de los riesgos. Esta etapa se encarga de determinar los riesgos residuales del proceso que deberán ser tratados de acuerdo a la prioridad que se obtiene según el nivel resultante del riesgo. El riesgo residual es el nivel restante de riesgo, luego de aplicados los controles.

• Tratamiento de Riesgos : El área operativa bajo estudio identificará las estrategias a utilizar para tratar los riesgos residuales que resulten fuera del nivel de riesgo aceptable. El plan de tratamiento será aprobado por el encargado de la unidad operativa correspondiente.

La estructura de controles debe ser diseñada para administrar los riesgos en base a las prioridades identificadas; considerando el ambiente de control, la actividad requerida para controlar los riesgos identificados, los sistemas de información y comunicación y la necesidad de hacer un seguimiento a la eficacia del proceso de administración del riesgo.

Las estrategias utilizadas para tratar los riesgos operativos resultantes por encima de los límites de tolerancia deberán enmarcarse en las siguientes opciones:

o Evitar el riesgo, mitigar el riesgo, transferir riesgos ó aceptar los riesgos.

• Monitoreo y Revisión: El Gestor de Riesgos monitoreará y revisará el desempeño del sistema de Gestión de Riegos y los cambios que podrían afectarlo.

El propósito de esta etapa es monitorear los riesgos evaluados y la efectividad del plan de tratamiento de riesgos, que facilite un cruce de resultados de eventos materializados contra riesgos identificados.



Los riesgos no son estáticos y las organizaciones deberían adoptar e incorporar procesos dinámicos para administrarlos.

Las prácticas de monitoreo y revisión se realizan de tres formas:

1. De forma continua : Uno de los instrumentos utilizados para realizar el monitoreo son los indicadores de riesgo operativo, métricas para identificar posibles eventos que podrían convertirse en futuras pérdidas para la organización. Estos indicadores proveen información sobre la efectividad de la gestión de riesgo operativo y pretenden reflejar el perfil de la organización.

2. De forma periódica : Las revisiones a los planes de tratamiento se realizarán con una periodicidad trimestral, pudiendo implicar ajustes a los mismos.

3. Auditorías : La auditoría interna y externa debe brindar una perspectiva independiente y se enfocará en las mejores prácticas internacionales (Ej. COSO II Control Interno).

Auditoría Interna proveerá a la Gerencia de una evaluación independiente y objetiva de la efectividad de los procesos de gestión de riesgos.

• Comunicación y Consulta : El Gestor de Riesgos comunicará y consultará con los interesados según corresponda en cada etapa del proceso de gestión de riesgos.

La comunicación y consulta son una consideración importante en cada etapa de la metodología de gestión de riesgos.

Los reportes de esta etapa se dividen en un rango de diferentes informes: periódicos, basados en excepciones o tendencias, temas específicos y en puntos clave de acción. El propósito es proveer al Comité de Riesgos, la Gerencia, los Departamentos y/o cualquier otro involucrado en la Gestión de Riesgos, de una clara visión del estado y la efectividad de la Gestión de Riegos del Banco.

RESPONSABILIDADES EN LA GESTIÓN DEL RIESGO OPERACIONAL

Debería haber una separación de responsabilidades y líneas entre las funciones de control del riesgo operativo, áreas operativas y funciones de apoyo, a fin de evitar conflictos de interés. Para iniciar, es importante conocer el ambiente interno, que abarca el tono de una organización (hacia el ambiente de control interno que se desea diseñar y elaborar) y que influye en la conciencia de riesgo de su gente.



Qué buscar cuando se evalúa un ambiente que soporte la gestión de riesgo?

• La existencia de una estructura de gobierno en la cual consideren la gestión de riesgo, ej. Comité de monitoreo de gestión de riesgo• La existencia de una estructura organizacional dedicada a la gestión de riesgo, con roles y responsabilidades definidos.• Una cultura de gestión de riesgo clara, dedicada y a la medida. Debe ser un tema de seguimiento continuo en las reuniones gerenciales.• La disponibilidad de programas de entrenamiento y concientización sobre la gestión de riesgo.

VISIÓN DE LA GERENCIA

Responsabilidades de la Junta Directiva y la Gerencia

En cualquier organización el Presidente Ejecutivo es el primer responsable de la Gestión de Riesgos. De aquí que una de sus más importantes responsabilidades es la de garantizar la existencia de un positivo y eficiente ambiente de control interno. Debe establecer e influir sobre los factores del ambiente de control, en norma de cascada, desde la junta directiva y gerencia, hasta cualquier componente de la Gestión de Riesgos.

El Comité de Basilea de Supervisión de Bancos, sugiere que el directorio debe aprobar la implementación de un marco a lo largo de la empresa para la administración explícita del riesgo operativo como un riesgo diferente que pone en peligro la seguridad y solvencia de la organización. El directorio debería suministrar pautas y directrices claras a la Gerencia respecto de los principios subyacentes del marco y aprobar las políticas correspondientes desarrolladas por la Gerencia y es responsable por la creación de una estructura gerencial capaz de implementar el marco de administración del riesgo operativo de la empresa y es especialmente importante que el directorio defina líneas claras de responsabilidad gerencial y para la presentación de informes.

Además, el directorio debería revisar regularmente el marco para garantizar que el banco esté administrando los riesgos operativos resultantes de cambios en el mercado externo y otros factores del entorno, al igual que los riesgos operativos asociados con productos, actividades o sistemas nuevos.

Tanto el directorio como la gerencia son responsables por la creación de una cultura organizacional que da máxima prioridad a una efectiva administración del riesgo operativo y el cumplimiento de controles operativos sanos. La administración del riesgo operativo es más efectiva si la cultura de un banco enfatiza altos estándares de conducta ética en todos los niveles de la organización.

La gerencia debe traducir el marco de administración del riesgo operativo fijado por el directorio en políticas, procesos y procedimientos específicos que se pueden implementar y verificar en las diferentes unidades de negocio y debe asegurar que las actividades del banco sean llevadas a cabo por personal calificado con la experiencia y capacidad técnica requerida



y con acceso a recursos, y que el personal responsable por el monitoreo y imposición de la política de riesgo de la institución tenga autoridad independiente de las unidades bajo su supervisión.

La gerencia debe asegurar que la política de administración del riesgo operativo del banco se haya comunicado claramente al personal en todos los niveles en las unidades expuestas a riesgos operativos importantes y también debería asegurar que el personal responsable por la administración del riesgo operativo trabaje en efectiva coordinación con el personal responsable por la administración de los riesgos de crédito, mercado, y otros, al igual que con el personal de la empresa encargado de la contratación de servicios externos, como ser seguros y acuerdos de subcontratación. Si no se toma en cuenta esta coordinación, podría haber vacíos o traslapos significativos en el programa general de administración de riesgos del banco.

Responsabilidades del Comité de Riesgos

Es el principal organismo que tiene la organización en relación con los temas de riesgo. Es el órgano en el cual la Junta Directiva se apoya para la definición de políticas y Procedimientos y para controlar que las áreas de la organización ejecuten correctamente la estrategia de Gestión de Riegos aprobada.

El Comité se debe reunir periódicamente y todas las sesiones y acuerdos se hacen constar en actas, debidamente suscritas por cada uno de los miembros que lo integren. Sus responsabilidades son:1. Pronunciarse sobre las recomendaciones del área de Gestión de Riesgos. 2. Realizar seguimiento permanente a las exposiciones de riesgo, verificando

la implementación de procedimientos para su administración.3. Velar por el cumplimiento efectivo de las políticas establecidas por la

Junta Directiva. 4. Aprobar los límites de exposiciones a los riesgos, dentro de las políticas

globales del proceso de Gestión de Riesgos aprobadas por la junta directiva.

5. Velar por que las etapas y elementos de los diferentes sistemas de administración de riesgo se cumplan con las disposiciones señaladas en la normatividad vigente y las políticas definidas por la Junta Directiva.

6. Adoptar, implementar y difundir los planes de acción para eventos de contingencia por caso fortuito o fuerza mayor, que impidan el cumplimiento de los límites de exposición de riesgos establecidos.

7. Designar a la persona responsable de la unidad de Gestión de Riesgos.8. Aprobar la metodología que se aplicará para gestionar los diversos riesgos

asumidos por la entidad, empresa o corporación en sus operaciones diarias, revisando la metodología cuando menos dos (2) veces al año, o con mayor frecuencia si las condiciones tanto internas como externas lo ameriten.



9. Aprobar las estrategias comunicacionales, a fin de difundir en la organización toda la información referida a la Gestión de Riesgos.

10.Recomendar a la junta directiva la modificación de los límites de exposición a los riesgos.

11.Conocer el monto de las estimaciones y de las pérdidas realizadas.12.Informar a la junta directiva de los puntos tratados y aprobados en las

sesiones del Comité de Riesgos.

Responsabilidades de las Areas Operativas

Cada nivel operativo es responsable por la conformidad y efectividad de las políticas, procesos, procedimientos y controles dentro de su ámbito de trabajo, la Gerencia debe asignar la autoridad, responsabilidades y relaciones de presentación de informes para promover y mantener el sistema, y asegurar que haya los recursos necesarios para administrar efectivamente el riesgo operativo.

1. Identificar los riesgos y sus respectivos planes de tratamiento2. Determinar requerimientos de negocios y sofisticación de las metodologías

requeridas.3. Implantar nueva y ampliadas prácticas en un ambiente más amplio de negocios.4. Evitar brechas/traslapos entre las metodologías del riesgo operacional o riesgo de

crédito.

Responsabilidades del Area de Gestión de Riesgos

Es importante tener en cuenta que la unidad de riesgos es independiente del área comercial lo que permitirá la objetividad a la hora de tomar decisiones. Sus responsabilidades son:

1. Diseñar la metodología para identificar, medir, controlar y monitorear el riesgo a que se expone la entidad.

2. Evaluar los límites por líneas de negocios, operaciones y funcionarios, y presentar al comité de riesgo las observaciones o recomendaciones que considere pertinentes.

3. Objetar la realización de aquellas operaciones que no cumplan con las políticas y/o límites de riesgo establecidas.

4. Informar al comité de riesgos sobre los siguientes aspectos:a. La exposición al riesgo de manera global, así como la específica de

cada línea de negocio.b. Las desviaciones presentadas con respecto a los límites de

exposición de riesgo establecidos.c. Operaciones objetadas.

5. Informar diariamente al representante legal y a los responsables de las líneas de negocios, sobre el comportamiento del riesgo, así como las operaciones objetadas.



6. Informar semanalmente al representante legal y a los responsables de las líneas de negocios sobre los niveles de riesgo y condiciones de las negociaciones realizadas y, en particular, reportar incumplimientos sobre los límites, operaciones poco convencionales o por fuera de las condiciones de mercado. Este mismo reporte deberá hacerse de manera mensual a la Junta Directiva.

7. Monitorear la relación de las líneas de negocios y operaciones respecto del nivel de patrimonio técnico.

EJEMPLO ESTRUCTURA BANCO CENTRAL

APOYO DE AUDITORIA EN LA GESTIÓN DE RIESGO



El Comité de Basilea menciona que las organizaciones deberían tener estructuras adecuadas de auditoría interna para verificar si las políticas y procedimientos se han implementado efectivamente. El directorio (o bien directamente o bien indirectamente a través de su comité de auditoría) debe asegurar que el alcance y la frecuencia del programa de auditoría sean adecuados considerando la exposición a riesgo. La auditoría debería verificar periódicamente si el marco de administración del riesgo operativo de la empresa se está implementando efectivamente en toda la organización.

Además, explica que en la medida en que la función de auditoría participa en la supervisión del marco de administración del riesgo operativo, el directorio debería asegurar que se mantenga la independencia de la función de auditoría. Esta independencia puede correr peligro si la función de auditoría está involucrada directamente en el proceso de administración del riesgo operativo. La función de auditoria puede suministrar datos valiosos a los encargados de la administración del riesgo operativo, pero en sí no debe tener responsabilidad directa por la administración del riesgo operativo. En la práctica, el Comité reconoce que la función de auditoría en algunos bancos (sobre todo en los bancos más pequeños) puede tener la responsabilidad inicial por el desarrollo de un programa de administración del riesgo operativo. Si esto es el caso, los bancos deben asegurar que la responsabilidad por la administración diaria del riesgo operativo sea transferida oportunamente a otra división.

Responsabilidades del Comité de Auditoría:

1. Velar por que el proceso de gestión de riesgo sea comprensible, fácil de ejecutar y sea continuo.

2. Ayudar a la organización a tener un compromiso fuerte con controles internos efectivos.

3. Comunicar a la Gerencia temas actuales o potenciales que puedan provocar eventos de riesgo.

4. Revisar la información en los planes de auditoría interna, reportes y hallazgos importantes, que puedan ayudar en la implementación del proceso de gestión de riesgo.

5. Velar porque se realice el monitoreo de los historiales de riesgo y colaborar en la planificación futura identificando riesgos emergentes.

6. Revisar conjuntamente con la Gerencia de la organización, las políticas relacionadas a gestión de riesgo.

Responsabilidades de Auditoría:

1. Debe evaluar el sistema de gestión de riesgo de la organización para identificar su efectividad y eficiencia. Especialmente, la mitigación de riesgos y los riesgos residuales deben ser revisados y dar su opinión sobre el proceso de gestión de riesgos.

2. Enfocar la planificación de las auditorías de manera que estén sincronizadas con las prioridades de riesgo de la organización.



3. Validar la efectividad y eficiencia de las operaciones.4. Evaluar el control interno 5. Revisión de la línea de negocios y centralizar esfuerzos para administrar el riesgo

operacional.6. Vínculo con la auditoría externa y el Comité de auditoría



Segregación de responsabilidades entre la Gerencia y Auditoría.

Como apoya la auditoria este renovado enfoque sobre el riesgo que tiene la gerencia de la organización?

El objetivo principal de cualquier función o actividad en una organización debe ser el logro de los objetivos de la propia organización.

- El principal objetivo de la auditoría interna es ayudar a la organización a lograr sus objetivos.

- El logro de estos objetivos se pudiera ver amenazado por la ocurrencia o materialización de los eventos de riesgos.

- Un programa de auditoría basado en riesgo que esté diseñado correctamente, esto es, que esté alineado con dichos objetivos, incrementa la eficiencia y efectividad de la organización, por ende, apoya el logro de los objetivos.



Auditoria basada en Riesgos

- El IIA proporciona la orientación autorizada de la profesión de auditoría organizada en el Marco para la Práctica Profesional Internacional (IPPF), que incluye una guía obligatoria sobre la gestión de riesgos:

• Estándar de Desempeño 2010 –Plan de AuditoríaEl encargado de auditoría tiene que considerar el marco de riesgo y definido en la organización y planificar las auditorías en función de las prioridades de riesgo definidas en dicho marco.

• Estándar de Desempeño 2120 –Gestión de RiesgoLa auditoría tiene que evaluar la efectividad de la gestión del riesgo y contribuir a mejorarla.

• Estándar de Desempeño 2210 –Compromiso con los Objetivos

• Estándar de Desempeño 2600 –Resolución de la Gerencia de la Aceptación de Riesgos

Transformación de Auditoría hacia la gestión de riesgos



CONCLUSIONES Y RECOMENDACIONES

La implementación de la gestión del Riesgo Operacional está todavía en proceso de maduración. En todos los sectores las organizaciones enfrentan retos y problemas comunes. Aunque se cuente con una metodología de Gestión de Riesgos digna de imitar, muchos elementos que se le entrecruzan pueden provocar el fracaso de su implementación. Detallamos los más comunes:

- Ausencia de patrocinio del ejecutivo principal.- Pobre cultura corporativa.- Miedo a reportar eventos de pérdida. - No admitir que hay riesgos.- Falta de la creación de una base de datos de eventos de pérdidas.- Alto nivel de ambiente de control, pero que esta distanciado de los objetivos de la

Organización.- Límites entre funciones y responsabilidades confusas.- Políticas de riesgo operacional inconsistentes y pobremente definidas.- Exceso de mecanismos para evaluación y medición del riesgo.- Programas de comunicación y educación deficientes.- Cuantificación de los eventos de riesgo.- Información inadecuada o imprecisa para una debida evaluación de los procesos.- Falta de recursos financieros necesarios para implementar los planes de

tratamiento.

Es importante resaltar, el miedo a reportar eventos de pérdidas, pues el poder crear una base de datos con los mismos, representa uno de los mayores desafíos que enfrentan las organizaciones. Aunque se pudiera recopilar información de externa, aquellas organizaciones que lo están haciendo tienen un cierto recelo en compartir informaciones de estas características.

La experiencia en la implementación de una auditoría basada en riesgo, será sin dudas diferente para cada organización, pues como ya hemos señalado, intervienen muchos elementos siendo los más importantes, aquellos relacionados con el factor humano y todo lo conlleva la cultura interna relacionada a riesgo. Es muy importante, durante el proceso, que los canales de comunicación dentro de las unidades de trabajo dentro de la organización sean fluidos y que todos se encuentren alineados al mismo objetivo, que es contribuir al logro de los resultados organizacionales. El encargado de la unidad de riesgo tiene la responsabilidad de promover a lo interno los beneficios de la evaluación de riesgos y debe hacerlo logrando el apoyo de las áreas operativas, porque de lo contrario el resultado es un fracaso garantizado.



FUENTES DE INFORMACION

KPMG. Boletín Colombia. Agosto 2004. BASILEA II: Una Mirada más Cercana. Administración del Riesgo Operacional. Cuarta Parte

CEO Argentina. Responsabilidad Social Corporativa. Hot Topics. Año 3. Edición Especial 2007. Riesgo Operacional.

International Business Consultant. CD&A. Estándar Australiano / Neo-Zelandés.

Comité de Basilea. Prácticas Sanas para la Administración y Supervisión del Riesgo Operativo. Febrero 2003. Banco de Pagos Internacionales.

Boletín de Asesoría Gerencial. Importancia de los roles y responsabilidades en la Gestión Integral de Riesgos.

Connectedthinking. Boletín de Asesoría Gerencial. Gestión Integral de Riesgos. Alternativas de organización. 2008. número 5.

Banco Central de la Rep. Dom. Reglamento sobre Riesgo Operacional, para las Entidades de Intermediación Financiera, República Dominicana.

Wikipedia. Basilea I.

Global Securities Colombia. Estrategia de Riesgos.

IIA. The Audit Commitee: Purpose, Process, Professionalism


RIESGO OPERACIONAL€¦ · Web viewevoluciÓn de la gestiÓn del riego Tradicionalmente, los...

Documents

Transcript of RIESGO OPERACIONAL€¦ · Web viewevoluciÓn de la gestiÓn del riego Tradicionalmente, los...