• Conceptos y fuentes del riesgo operativo. • Cómo identificar riesgos por fuente de
riesgo.• Controles y tipo de control.• Determinar el perfil de riesgo operativo
inherente y residual.• Gobierno y seguimiento al riesgo operativo.• Aspectos importantes a considerar en el
registro de eventos.
Fuente: Operational Risk Management - Ariane Chapelle
Es el riesgo de pérdida resultante de procesos,
personas y sistemas internos inadecuados o
fallidos o de eventos externos. Esta definición
incluye el riesgo legal, pero excluye el riesgo
estratégico y de reputación
2011
2011
Tres Líneas de Defensa
Es el riesgo de pérdida resultante de procesos,
personas y sistemas internos inadecuados o
fallidos o de eventos externos. Esta definición
incluye el riesgo legal, pero excluye el riesgo
estratégico y de reputación
PRINCIPIOS
Cultura
Marco de Gestión del Riesgo
Junta Directiva
Apetito y Tolerancia al Riesgo
Alta Gerencia
Identificación del Riesgo
Control del Riesgo
Reporte y Monitoreo del Riesgo
Continuidad del Negocio y Resiliencia
Tercera: Auditoría
Segunda: Áreas de gestión de riesgos
Primera: Área comercial /operativa
• Fraude interno (fraudes y actividades no autorizadas por parte de los empleados).
• Fraude externo (retenciones, robos, piratería de sistemas, etc.). • Prácticas de empleo y seguridad en el lugar de trabajo (terminación del
contrato, disputas con empleados, etc.). • Clientes, productos y prácticas comerciales (información errónea del
cliente, quejas y descuentos debido a errores, especificación errónea de productos, etc.).
• Daño a los bienes físicos. Interrupción del negocio y fallas del sistema (falla de TI, etc.).
• Ejecución, entrega y gestión de procesos (error de procesamiento, transferencia de información, etc.)
InfraestructuraFUENTES DEL
RIESGO
Personas
Tecnología
Externos Procesos
Empleados
Contratistas
Proveedores
Clientes
Fraude (Interno y Externo)Errores humanos
Inadecuadas relaciones laboralesDependencia de personal clave
Ausencia de personalRotación
Perfiles InadecuadosFalta de competencia/conocimiento
/capacitación
PERSONAS
Personal directo e Indirecto
Conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una
necesidad”
••Complejidad••Dependencias entre áreas••Estrategias de Negocio••Niveles de Automatización••Complejidad de los productos que soporta••Volumen de transacciones que soporta••Cambios organizacionales••Requerimientos de continuidad del negocio
••Fallas en la ejecución y administración de los procesos
••Fallas en los productos••Fallas en el diseño de procesos y/o productos
PROCESOS
* Obsolescencia Tecnológica* Complejidad entre redes, equipos y
software* Intervención de terceros en proceso de TI
* Tiempos de procesamiento*Sistemas y componentes de TI
* Seguridad* Interfaces
Fallas en comunicacionesFallas en SoftwareFallas en Hardware
Falta de disponibilidad
TECNOLOGÍA
Desastres Naturales Terceros Acontecimientos
PolíticosEstabilidad
Ambiente Jurídico (legislación)
Ambiente para Crimen
Entorno Económico
Mercado y competencia (productos, servicios)
EVENTOS EXTERNOS
12
Elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte.
Oficinas principales
Sucursales Cobertura Geográfica
Canales de atención
INFRAESTRUCTURA
Riesgo Legal Riesgo Reputacional
Posibilidad de pérdida por
Desprestigio, mala imagen, publicidad negativa, cierta o no.
Causa pérdida de clientes, disminución de ingresos o procesos judiciales.
Posibilidad de pérdida por
•Sanciones o indemnización de daños por incumplimiento de normas o regulaciones y obligaciones contractuales
Fallas en contratos y transacciones por acciones malintencionadas, negligencia o actos involuntarios que afecten la ejecución de contratos.
RIESGOS RELEVANTES
a) Verdadero (V)
b) Falso (F)
a) Verdadero (V)
b) Falso (F)
Una de las definiciones comunes de riesgo operativo.
Lo que comúnmente se determina como riesgo operativo en el sector financiero, es la administración de los riesgos en otro tipo de
industrias.
IDENTIFICACIÓN DE RIESGOS
PÉRDIDAS
CAUSA RAIZ
MAPEO DE PROCESOS
TOP DOWNBOTTOM‐UP
Top Down● Riesgos en la estrategia de
negocio● Riesgos emergentes● Amenazas globales
Bottom-Up● Organización de procesos● Eficiencia de los sistemas● Personal competente
ENTREVISTAS CON
PERSONAL CLAVE
EXPOSICIONES Y VULNERABILIDADES
Premisas para la determinación de un riesgo
• Tecnología no es un riesgo, es un recurso.• Procesos manuales no es un riesgo, es una
fuente de riesgo.• El cumplimiento y los cambios regulatorios,
no son un riesgo en si, el riesgo es la brecha de incumplimiento dad la complejidad regulatoria
• La capacitación insuficiente o supervisión inadecuada no es un riesgo, son fallas de control.
La pregunta es
¿QUÉ ES LO QUE PUEDE SALIR MAL?
Respuesta:Ser específico permitirá evaluar los riesgos
y encontrar las acciones de mitigación adecuadas
a) Pérdidas económicas debidas a actos de fraude, malversación de bienes o por eludir la ley, a causa de un tercero.
b) Altos cambios regulatorios generados en el último trimestre.c) Pérdidas derivadas de incumplimiento involuntario para cumplir una obligación
establecida con clientes específicos (incluidos los requisitos fiduciarios y de idoneidad), o de la naturaleza o diseño de un producto.
d) A y C son correctas.e) Todas las anteriores.
a) Pérdidas económicas debidas a actos de fraude, malversación de bienes o incumplimiento regulatorio a causa de un tercero.
b) Altos cambios regulatorios generados en el último trimestre.c) Pérdidas derivadas de incumplimiento involuntario para cumplir una obligación
establecida con clientes específicos (incluidos los requisitos fiduciarios y de idoneidad), o de la naturaleza o diseño de un producto.
d) A y C son correctas.e) Todas las anteriores
Para el ejemplo b podría ser:Pérdidas derivadas de las brechas de incumplimiento en la
organización debido a los altos cambios regulatorios presentados en el último trimestre
Categorías de identificación
Categoría 1 Riesgo Categoría 2 Actividades
Fraude Externo Pérdidas económicas por fraude, malversación de bienes o incumplimiento regulatorio a causa de un tercero.
Robo y fraude RoboFalsificación
Seguridad en los sistemas Daños por HackeoRobos de información (Pérdidas monetarias)
Basilea
No solo las categorías de Basilea son suficientes, por eso deben explorarse las causas
Tipos de controles (ejemplos)Preventivos Detectivos Correctivos
Segregación de funciones Validaciones de conciliaciones Compensaciones a terceras partes afectadas en un evento
Control de acceso Detectores de humo Backpus y sistemas de respaldo
Niveles de autorización Sistemas de detección de intrusos Planes de contingencia
Disminuye la probabilidad de ocurrencia o modificar la causa del
riesgo, y son generalmente ejecutados antes de que ocurra un
evento
Detectar inconsistencias o generar alertas.
Mitiga el impacto. Se ejecutan durante o después de un evento.
Evaluación de controlesErrores comunes en los controles
1. Controles optimistas. Requieren habilidad o motivación en la ejecución del control. Ejemplo: aprobaciones por segundas instancias para grandes volúmenes de documentos.
2. Controles duplicados. Comúnmente controles duales, o segundas verificaciones, son efectivas cuando se realizan entre jefe-subordinado, o entre áreas.
Un diseño deficiente de control aumenta vulnerabilidades
PROCESOS CON DISEÑOS ADECUADOSUn proceso diseñado adecuadamente es más útil en la gestión de riesgos
que la agregación de múltiples controles
a) Verdadero (V)
b) Falso (F)
a) Verdadero (V)
b) Falso (F)
a) Puede volverse preventivo en la medida que pueda detectar la causa del evento
b) Funciona también como una señal de alerta
c) Todas las anteriores
a) Puede volverse preventivo en la medida que pueda detectar la causa del evento
b) Funciona también como una señal de alerta
c) Todas las anteriores
PERFIL DE RIESGO OPERATIVO
Niveles de tolerancia a la pérdida – análisis de bases de históricas
Riesgo residual + controles de prevención
Administración de Incidentes - Controles Correctivos y mitigación
Apetito de controles – costo y tiempo de implementación
Nivel de Exposición
Apetito de Riesgo Cuando los riesgos operativos son bajos o menores pueden incomodar a la organización
Cuando los riesgos tienen altas exposiciones generan miedo
Riesgo Inherente: exposiciones y amenazas
Controles InternosPrevención
Riesgo Residual
Eventos
Daño
Misión y estrategia del negocio
Autoevaluaciones de riesgo
1. Obtener riesgos clave (inherentes)
2. Evaluación de los controles
¿Que se debe hacer?
● Establecer si el control esta alineado con el apetito
○ SI: mantener y monitorear
○ NO: mayor mitigación + planes de acción
● Mitigar no necesariamente significa implementar más controles, puede ser reducir exposición.
Mapas de calor
Tiempos de remediación
($)
Experiencia del Cliente ($)
Incumplimiento regulatorio ($)
Financiero Daños a la reputación
IMPACTOS
En los últimos años las escalas de calificación de riesgos en probabilidad e impacto han pasado de 5 a 4 niveles.
Definición común en
términos de plazo
Considerar tipos de riesgo
Considerar evolución de riesgos (TI,
fraude…)
Velocidad de los riesgos
(Fraude…)
PROBABILIDADES
Expresión del Apetito de Riesgo
Gobierno
Ejemplo de comités de riesgos Modelo de las tres líneas de defensa
Gobierno
Políticas
Reglas y principios sobre las cuales se
administra un negocio
Procedimientos
Describen pautas para ejecutar actividades
Comunicación
Relacionamiento con el negocio y con
Ejercicios prácticos
Controles Directivos o Generales
a) Supervisión de la identificación y gestión del riesgo operativo.
b) Generar recomendaciones relacionadas con la evolución de los riesgos y sus niveles de exposición
c) Notificar a la Alta Dirección sobre incidentes mayores o relevantes
d) Última instancia de aprobación del apetito de riesgo
a) Supervisión de la identificación y gestión del riesgo operativo.
b) Generar recomendaciones relacionadas con la evolución de los riesgos y sus niveles de exposición
c) Notificar a la Alta Dirección sobre incidentes mayores o relevantes
d) Última instancia de aprobación del apetito de riesgo
Esta función corresponde a Órgano de Administración de mayor instancia en la Organización
Indicadores
• Monitorear los riesgos y los potenciales impactos de los eventos en una organización.• Traducir el apetito de riesgo• Detectar los cambios en la exposición
EjemplosRotación de personal. Debe indicar:• Personal clave en funciones de control• Personal especializado o de alto desempeño
Indicadores
Ejemplos• Cambios en el entorno
regulatorio o en la política
Ejemplos• Tiempo de vacantes en
equipos pequeños• Aumento funciones o
actividades en el personal• % de una hardware
operando a su limite
Indicadores de ExposiciónMonitorea los cambios de exposición de los riesgos, bien sea a probabilidad o
impacto.
Indicadores de Stress (Recursos)
Reflejan el uso excesivo de recurso humano o físico (incluye
recursos de TI)
Ejemplos• Información de clientes
incompleta (AML)• Calificaciones bajas de
servicio al cliente
Indicadores de fallas
Reflejan el desempeño y controles que no funcionan
Ejemplos• Patrones de
comportamiento anormales
• Patrones transaccionales anormales (fraude - perfil transaccional)
Indicadores de Causa
Se centran en los factores de riesgo, y se toman las causas
directas de los riesgos.
Monitoreo
Revisión/Actualización de
Riesgos Operativos
Fuentes de Riesgo
Cambios en procesos,
organización etc.
Evaluación de Controles
Calificación de Controles
Ajuste y definición de nuevos controles
Ajuste de Riesgo Neto
Actualización de Riesgo Neto
Ajuste al apetito de Riesgo de la
Entidad
Indicadores
Supervisión de la Junta
Directiva / Órganos de
Administración y Alta Gerencia
EVENTOS DE RIESGO OPERACIONAL
• Los riesgos se convierten en "eventos" o "incidentes" cuando se convierten en una realidad y ya no es una posibilidad.
• Un evento es la materialización de un riesgo.
• Un evento puede tener múltiples impactos.
Registro de eventos• Los datos de pérdidas internas son un componente del enfoque de medición avanzado • Al igual que los datos de pérdidas externas, son un impulsor del capital regulatorio para
muchas empresas.• Ayudan a fortalecer el control interno• Prever escenarios de riesgo• Fortalecen el buen gobierno y gestión del riesgo
Requerimientos de capital establecidos por Basilea- Básico- Estándar- Avanzado (AMA)
Se consideran• Eventos con Impactos Financieros• Eventos sin Impactos Financieros Todos los eventos tienen algún impacto Financiero. Eje
- Insatisfacción de los clientes- Reprocesos- Atención de gerencia y altos directivos
a) Los eventos de pérdida deben registrarse en una base de datos consolidadab) Se pueden tomar fuentes externas, diferentes al proceso de notificación de eventos,
para alimentar la base de datos consolidadac) Los eventos de pérdida deben llevarse a cuentas contables de la organización, donde
puedan consolidarse con los balances de la entidad.d) Las recuperaciones de los eventos de pérdida por compensaciones de terceros o
reconocimiento de seguros también deben ser registrados contablemente.e) Todas las anterioresf) Ninguna de las anteriores.
a) Los eventos de pérdida deben registrarse en una base de datos consolidadab) Se pueden tomar fuentes externas, diferentes al proceso de notificación de eventos,
para alimentar la base de datos consolidadac) Los eventos de pérdida deben llevarse a cuentas contables de la organización, donde
puedan consolidarse con los balances de la entidad.d) Las recuperaciones de los eventos de pérdida por compensaciones de terceros o
reconocimiento de seguros también deben ser registrados contablemente.e) Todas las anterioresf) Ninguna de las anteriores
Continuidad del negocio
Realizar evaluación de riesgos y controles
Definir estrategias
Respuesta a emergencias y crisis
Concientizar
Continuidad de procesos y operaciones criticas Soporte Tecnológico
Recurso Humano Procesos Operativos y de TI
Toda la Organización
EVALUACIÓN
DE CONTROLES
Primera Meta:VELAR POR LA VIDA DE LAS PERSONAS
Segunda Meta:PROTEGER Y
SALVAGUARDAR LA INFORMACIÓN
Diana Marcela Vargas
• IIA - DOCUMENTO DE CONSULTA DEL IIA Tres líneas de defensa• COSO ERM• ALARYS• ISACA org• ISO 31000• Operational risk management, ariane chapelle• Basilea• DRII