You are on page 1of 49

Gestión del

Riesgo Operacional
Enfoque integral con la Continuidad de
Negocios y Seguridad de Información

1
Agenda

1. Administración del Riesgo Operacional


2. Autoevaluación de Riesgos y Controles
3. Indicadores Claves de Riesgo
4. Base de Datos de Pérdidas
5. Evaluación de Riesgo Producto, Servicios y Cambios
6. Evaluación de Riesgo Proveedor
7. Gestión de la Continuidad de Negocios
8. Seguridad de la Información
Gestión del
Riesgo
Operacional

Gestión de la Gestión de la
Seguridad de Continuidad de
Información Negocios

2
Conceptos Básicos de Gestión de Riesgo Operacional

EVENTO
RIESGO
Un suceso o serie de sucesos que pueden ser
Es la posibilidad de obtener un resultado
internos o externos a la empresa, originados
desfavorable como efecto de la exposición a
por la misma causa, que ocurren durante el
un evento incierto dado.
mismo periodo de tiempo

PROBABILIDAD
IMPACTO

La consecuencia o consecuencias de un La posibilidad de la ocurrencia de un evento


evento, expresado ya sea en términos que usualmente es aproximada mediante una
cualitativos o cuantitativos. Usualmente se distribución estadística. En ausencia de
expresará en términos monetarios, como información suficiente, o donde no resulta
pérdidas. posible obtenerla, se puede aproximar
mediante métodos cualitativos.

3
Conceptos Básicos de Gestión de Riesgo Operacional
Riesgo Operacional
Posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en:

Sistemas
Sistemas Procesos
Esta definición internos
incluye el riesgo
legal, pero
excluye el riesgo
estratégico y el
de reputación.

Eventos
Externos Personas

Basilea II: “Riesgo operacional es el riesgo de pérdida


resultante de una falta de adecuación o de un fallo de los
procesos, el personal y los sistemas internos o bien de
acontecimientos externos”
4
Marco de Gestión Integral del Riesgo
Bases para la implementación – COSO ERM

El marco de ERM está orientado


a alcanzar los objetivos de la Categorías de objetivos
entidad.

Subsidiaria
Unidad de Negocio
División
Existe una relación directa entre

Nivel - Entidad
los objetivos que la entidad Ambiente Interno

desea lograr y los componentes Establecimiento de Objetivos

de la gestión de riesgos Identificación de Eventos

Componentes
corporativos, que representan lo Evaluación de Riesgos

que hace falta para lograr Respuesta al Riesgo


aquellos. Actividades de Control

Información y Comunicación

Supervisión

5
Requerimiento Regulatorio – ASFI
Circular ASFI 207-2013

Responsabilidades y Funciones

Comité de Comité de Gestión


DIRECTORIO
Auditoria Integral de Riesgos
AUDITORIA EXTERNA

AUDITORIA INTERNA

GERENCIA GENERAL Comités


Especializados
Riesgo de
Mercado
Riesgo
Operacional
UNIDADES DE NEGOCIO Y
SOPORTE Riesgo de
Crédito
Coordinadores de Riesgo

UNIDADES ESPECIALIZADAS
DE RIESGOS

6
Marco de Gestión Integral del Riesgo
Bases para la implementación

MBA Julissa Vega 7


Marco de Gestión del Riesgo Operacional
Bases para la implementación

MBA Julissa Vega


Marco de Gestión del Riesgo Operacional
Bases para la implementación

MBA Julissa Vega 9


9
Marco de Gestión del Riesgo Operacional
Enfoque conceptual

MBA Julissa Vega 10


Aplicación Marco de Gestión del Riesgo Operacional

11
Requerimiento Regulatorio – ASFI
Circular ASFI 207-2013

12
Responsabilidades y Funciones
Directorio u Órgano equivalente
Circular ASFI 207-2013
Requerimiento Regulatorio – ASFI

13
Responsabilidades y Funciones
Directorio u Órgano equivalente
Circular ASFI 207-2013
Requerimiento Regulatorio – ASFI

14
Requerimiento Regulatorio – ASFI
Circular ASFI 207-2013
Responsabilidades y Funciones
Gerencia General

15
Requerimiento Regulatorio – ASFI
Circular ASFI 207-2013
Responsabilidades y Funciones
Comité de Riesgos

16
Requerimiento Regulatorio – ASFI
Circular ASFI 207-2013
Responsabilidades y Funciones
Unidad de Riesgos

17
Requerimiento Regulatorio – ASFI
Circular ASFI 207-2013
Responsabilidades y Funciones
Unidad de Riesgos

18
Identificación y Priorización de Procesos
Lineamientos para la identificación de procesos clave

19
Apetito de Riesgo
Características y Estructura

Apetito Tolerancia Capacidad

• Nivel de riesgo que la • Desviación respecto al • Nivel máximo de riesgo


empresa quiere nivel en el que la que la empresa puede
aceptar, aquel con el empresa se siente soportar.
que se siente cómoda cómoda. Sirve de
alerta para evitar llegar
al nivel que establece
su capacidad.

20
• Enfoque general, que incluye las políticas, procesos, controles y sistemas mediante los
cuales se estable, comunica y monitorea el apetito por el riesgo.
• Incluye la declaración del apetito por el riesgo, los límites de riesgo y un esquema de los
Marco del apetito
roles y responsabilidades de los que supervisan la implementación y el monitoreo del RAF.
por el riesgo
• El RAF debe considerar los riesgos importantes que enfrenta la institución financiera, así
como los que afectan la reputación de la institución vis-à-vis los asegurados, depositante,
inversionistas y clientes. El RAF se alinea con la estrategia de la institución.

• La articulación en su forma escrita del nivel agregado de los tipos de riesgo que una
institución financiera está dispuesta a aceptar, o evitar, para lograr sus objetivos del
negocio. Incluye declaraciones cualitativas así como medidas cuantitativas formuladas
Declaración del respecto a ganancias, capital, medidas de riesgo, liquidez y otras medidas relevantes
apetito por riesgo según sea necesario.
• También debe abordar riesgos que son más difíciles de cuantificar, tales como los de
reputación y comportamiento así como los de lavado de dinero y prácticas poco éticas.

• El nivel máximo de riesgo que una institución financiera pude asumir dado su nivel actual
de recursos antes de violar las restricciones determinadas por el capital reglamentario y las
Capacidad de necesidades de liquidez, el ambiente operativo (e.g. infraestructura técnica, capacidad para
riesgo la gestión de riesgo, su conocimiento experto) y obligaciones, y también desde la
perspectiva del comportamiento, a los depositantes, asegurados, accionistas,
inversionistas a plazo fijo, así como a otros clientes y actores.

Fuente: Principles for An Effective Risk Appetite Framework, Nov 2013

MBA Julissa Vega 21


• El nivel agregado y los tipos de riesgo que una institución financiera está dispuesta a
Apetito por el
asumir dentro de su capacidad de riesgo para lograr sus objetivos estratégicos y plan de
riesgo
negocios.

• Medidas cuantitativas con base en supuestos sobre el futuro que determinan la declaración
del apetito por el riesgo agregado de la institución financiera (e.g. la medición de pérdidas o
Límites por riesgo de eventos negativos) para las líneas de negocios, entidades legales, conforme se
requiera, las categorías específicas de riesgos, las concentraciones y conforme sea
necesario, otros niveles.

• Evaluación en el tiempo de las exposiciones brutas y, según sea el caso, netas de riesgo
de la institución financiera (después de tomar en cuenta los mitigantes) que fueron
Perfil de riesgo
agregadas dentro y a través de cada categoría relevante de riesgo con base en los
supuestos futuros,

Fuente: Principles for An Effective Risk Appetite Framework, Nov 2013

MBA Julissa Vega


Auto Evaluación de Riesgos y Controles
Metodología para la implantación de Mapa de Riesgos Operacionales

23
Auto Evaluación de Riesgos y Controles
Taller de Autoevaluación

24
Auto Evaluación de Riesgos y Controles
Parámetros de evaluación y nivel de exposición

Nivel de Exposición
Extremo
Alto
Moderado
Bajo

25
Auto Evaluación de Riesgos y Controles
Caso Práctico

Riesgos inherentes a los principales procesos tipo de un Grupo Financiero


Una aproximación a la solución puede ser la siguiente:

26
MBA Julissa Vega 27
28
29
EVENTO EVENTO POR RIESGO OPERACIONAL

Un suceso o serie de sucesos que pueden ser Cualquier impacto negativo registrado en
internos o externos a la empresa, originados cuentas de resultados o en la situación
por la misma causa, que ocurren durante el patrimonial de la Entidad, y que haya sido
mismo periodo de tiempo provocado por el riesgo operacional.

CUASI PÉRDIDAS INGRESO NO PERCIBIDO

Evento de riesgo operacional que debiera o costo de oportunidad: Ingreso real que la
materializarse como evento de pérdida, sin entidad deja de percibir por la ocurrencia de un
embargo, la pérdida no se produce debido a evento de riesgo operacional, cuando la
una situación fortuita distinta del control. transacción se ejecutó.

CONCESIÓN COMERCIAL
LUCRO CESANTE
Salidas monetarias asumidas por estrategia
Ingreso susceptible de estimación que la comercial propia de la entidad en función a
entidad deja de percibir por la ocurrencia un análisis costo beneficio. Si bien la salida
de un evento de riesgo operacional, es monetaria representa una pérdida, debido a
decir, no se ejecuta la transacción. que no existe un ingreso previo, esta no se
NO FORMA PARTE DE LA BASE DE RO. deriva de un evento de riesgo operacional.
NO FORMA PARTE DE LA BASE DE RO.
30
Establecer las políticas y organización para la implementación del proceso de
recolección de eventos de pérdidas.

Retroalimentación

Validación
Registro Informe del Monitoreo y Analizar y
Identificación Denominación y registro Comunicación
Contable Evento control Aprender
en la BD

Responsabilidades Generales

Todos X X

Gestores X X

Contabilidad X

R. Operacional X X X

31
Los campos mínimos requeridos por el regulación son:

• Código de identificación del evento.


• Línea de negocio afectada
• Tipo de evento de pérdida.
• Descripción corta del evento.
• Descripción larga del evento.
• Fecha de ocurrencia o de inicio del evento.
• Fecha de descubrimiento del evento.
• Fecha de registro contable del evento.
• Monto(s) bruto(s) de la(s) pérdida(s), moneda y tipo de cambio.
• Monto(s) recuperado(s) mediante coberturas existentes de forma previa al evento,
moneda, tipo de cambio y tipo de cobertura aplicada.
• Monto total recuperado, moneda y tipo de cambio.
• Cuenta(s) contable(s) asociadas.
• Identificación si el evento está asociado con el riesgo de crédito (para empresas del
sistema financiero) o con el riesgo de seguros (para empresas del sistema de seguros)

32
¿Como Afectan a los Resultados?
Impactos

Pérdida Pérdida Lucro


Directa Indirecta Cesante

• Impacto directo en • Ineficiencias • Pérdida de negocios /


Utilidades • Re procesos clientes
• Costes de reparación • Horas Extras • Imposibilidad de cargar
• Cuentas “puras” comisiones
• Fraudes • Otras Tipologías • Pérdida de personal
• Faltantes de Cajas • Errores en precios clave
• Multas • Compensaciones • Eventos Reputacionales
• Ocultas en Otros Gastos
• Consultorías
• Gastos Legales
• Otros gastos
“correctivos”

33
Tipo de evento de pérdida

N° Tipo de EP-Nivel 1 Definición

1 Fraude interno Actuación encaminada a defraudar, apropiarse de bienes indebidamente o


soslayar regulaciones, leyes o políticas empresariales (excluye eventos de
diversidad / discriminación) en las que se encuentra implicado, al menos, un
miembro de la empresa. .

2 Fraude externo Actuación encaminada a defraudar, apropiarse de bienes indebidamente o


soslayar la legislación, por parte de un tercero.

3 Relaciones laborales y Actuaciones incompatibles con la legislación o acuerdos laborales, sobre


seguridad en el puesto de higiene o seguridad en el trabajo, sobre el pago de reclamaciones por daños
trabajo personales, o sobre casos relacionados con la diversidad o discriminación.

4 Clientes, productos y Incumplimiento involuntario o negligente de una obligación empresarial frente


prácticas empresariales a clientes concretos o de la naturaleza o diseño de un producto.

5 Daños a activos materiales Pérdidas derivadas de daños o perjuicios a activos materiales como
consecuencia de desastres naturales u otros acontecimientos

6 Interrupción del negocio y Pérdidas derivadas de interrupciones en el negocio y de fallos en los sistemas
fallos en los sistemas

7 Ejecución, entrega y Pérdidas derivadas de errores en el procesamiento de operaciones o en la


gestión de procesos gestión de procesos, así como de relaciones con contrapartes comerciales y
proveedores

34
• Producto lanzado por primera vez por la
empresa. En la presente norma, se considera
también un “nuevo producto” cuando se realiza
Nuevo un cambio en un producto existente que modifica
Producto su perfil de riesgo.

• Bienes y/o servicios brindados por las empresas


a sus clientes y usuarios.
Producto

35
Evaluación del Riesgo ante Cambios Importantes

Cambios en la forma en la que se conducen los negocios y operaciones, originados por


modificaciones en las condiciones económicas, políticas o legales.

Cambios Subcontrataciones significativas.


importantes en
el ambiente de
negocios,
operativo o Alianzas, contratos asociativos, participación en negocios conjuntos.
informático.
Reorganizaciones empresariales.

Proyectos cuya falla pueda generar pérdidas significativas.

Implementación de un nuevo canal de atención: Cajeros Automáticos, Internet,


Telefonía móvil, Cajeros corresponsales, entre otros. (se considerará como CI la
implementación por primera vez).

Cambio de la infraestructura tecnológica que soporta los principales productos y/o


servicios de la empresa.

Traslado de la oficina principal de la empresa.

36
37
Gestión de la Continuidad del Negocio
Gestión de la Continuidad del Negocio

Gestión de Continuidad de Negocio


“Proceso de gestión holístico que identifica amenazas
potenciales a las que se puede enfrentar la Organización
y los impactos a las operaciones que dichas amenazas,
caso de materializarse, puedan causar, y que
proporciona un marco para construir resiliencia
organizativa con capacidad de dar una respuesta eficaz
que salvaguarde los intereses de sus grupos de interés,
prestigio, marca y actividades de creación de valor
fundamentales”
Esto es:
► Gestionar la recuperación o continuidad de actividades de negocio en el caso
de producirse un acontecimiento de interrupción de negocio (anticipación).
► Gestionar la formación, ejercicios y revisiones de CN para procurar que los
Planes de Continuidad de Negocio se mantengan al corriente y actualizados
(preparación continua y constante).
► Reducir los riesgos a un nivel aceptable y desarrollar planes para
restaurar las actividades del negocio si se interrumpen por un desastre.
Gestión de la Continuidad del Negocio

Fuente: National Institute of Standards and Technology (NIST) - USA


Gestión de la Continuidad del Negocio

RESPUESTA A INCIDENTES Personas


Instalaciones

RTO (Recovery tTme Objective)


BCP

CONTINUIDAD DE RPO (Recovery Point Objective)


Lugar alternativo
NEGOCIO Personas
Demanda

Requiere

Suministra
Servicio Provee
DRP

CONTINUIDAD DE Recuperación de sistemas


en sitio alternativo a
SERVICIO TI tiempo

Sistemas de información
Infraestructura de red
PLAN DE CONTINUIDAD DE
NEGOCIOS

Análisis de Impacto al Negocio -


BIA

Riesgos y Escenarios

Desarrollo de Estrategias BCP

Desarrollo e Implementación BCP

Mantenimiento y Pruebas BCP


PLAN DE CONTINGENCIA
TECNOLÓGICO - DRP

Análisis de Impacto a Tecnología -


AIA

Procesos de Recuperación
Tecnológico

Desarrollo de Estrategias
Tecnológicas

Desarrollo e Implementación DRP

Mantenimiento y Pruebas DRP


PLAN DE EMERGENCIA

Escenarios de Emergencia

Desarrollo de Estrategias

Activación de Comité de
Emergencia

Procesos de Emergencia
Antes – Durante – Después

Mantenimiento y Pruebas
PLAN DE CRISIS

Escenarios de Crisis

Estrategias de Crisis

Procesos de Gestión de Crisis

Desarrollo e Implementación

Mantenimiento y Pruebas
Gestión de la Seguridad de la Información
Gestión de la Seguridad de la Información
Controles de la Seguridad de la Información
Preguntas

Econ. Yuri Luna Coavoy


Gerente de Proyectos de Consultoría
PRIME Consultores