Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL

(1)

GESTION DEL RIESGO

OPERACIONAL

(2)

Es la posibilidad de pérdidas

financieras por deficiencias o

fallas en los procesos internos,

en

la

tecnología

de

la

información, en las personas o

por la ocurrencia de eventos

externos adversos.

RIESGO OPERATIVO

Riesgo de

Mercado

Riesgo de

Liquidez

Riesgo

de

Crédito

Riesgo

Legal

Lavado de

Activos

Estratégico

Reputacion

al

Riesgo

Operacion

al

2

(3)

(4)

DIFERENCIAR



RIESGO:

(5)



Proceso Internos:

-

Deficiencia de las operaciones

-

Errores de Transacciones



Persona:

-

Robo

-

Fraude

-

Sabotaje

(6)

RIESGO DE TECNOLOGIA DE INFORMACION

Los riesgos de operación asociados a

los sistemas informáticos y a la

tecnología relacionados a dichos

sistemas, que pueden afectar el

desarrollo de las operaciones y

servicios que realiza la empresa al

atentar contra la confidencialidad,

integridad y disponibilidad de la

información, entre otros criterios.

(7)



Son los recursos (metodologías, documentos, programas

y dispositivos físicos) utilizados para controlar y limitar

el acceso a la información única y exclusivamente a

quienes tengan la autorización para hacerlo.



La información puede estar impresa o escrita en papel,

almacenada electrónicamente, transmitida por correo o

utilizando medios electrónicos, presentada en imágenes

o expuesta en una conversación.

¿Qué es Seguridad de la

Información?

(8)



Confidencialidad: Acceso a la Información sólo a personas

autorizadas.



Integridad: Exactitud y suficiencia de la información, así

como su validez de acuerdo con las expectativas del Banco



Disponibilidad: Acceso a la información en el momento que

se la requiera.

Pilares de la Seguridad de la

Información

(9)

Seguridad de la Información

CONTROLES

DE ACCESO

CAMARAS DE

SEGURIDAD

LEYES Y

REGULACIONES

NORMAS Y

POLITICAS

BOVEDA O

CAJA FUERTE

SEGURIDAD FISICA

SEGURIDAD

INFORMATICA

SEGURIDAD

POLICIAL

PAPEL IMAGENES IMPRESOS CORREO MEDIOS ELECTRONICOS MEDIOS MAGNETICOS CONVERSACION

Información

(10)

Eventos Externos:

COOPERATIVA

DESASTRES NATURALES ACCESOS NO AUTORIZADOS ROBOS, ASALTOS CONVULSION SOCIAL INTERRUPCION DE SERVICIOS

ATAQUES EXTERNOS

(11)

La administración de riesgos consiste en el

proceso de identificar, medir, analizar y

controlar los riesgos actuales y futuros a los

que está expuesto una institución financiera

por la naturaleza de las actividades que

realiza, con el objeto de obtener un balance

adecuado entre la búsqueda de mayores

ganancias y el control de los riesgos que

pueden poner en peligro su continuidad.

(12)

Establecer el contexto

Identificar Riesgos

Analizar Riesgos

Evaluar Riesgos

Tratar Riesgos

Co

m

unica

r

y

Cons

ultar

M

o

nitor

ea

r

y

Revis

a

r

METODOLOGIA PARA ADMINISTRAR

RIESGO OPERATIVO

(13)



Realizar una lista o check list , de

todos los posibles riesgos que se

pueden producir en una

determinada unidad.

Se realiza mediante un formato

denominado Registro de Riesgos.

(14)

COMO ANALIZAR RIESGOS ?

Determinar los controles existentes y analizar riesgos en términos

de impacto y probabilidad en el contexto de esos controles. El

analisis debería considerar el rango de impactos potenciales y

cuan probable es que ocurran esos impactos . Impacto y

probabilidad pueden ser combinadas para producir un nivel

estimado de riesgo.

Separar los riesgos menores de los riesgos significativos.

 Impacto. Magnitud de la consecuencia si se materializa el

riesgo.

Probabilidad. Se estima asumiendo que no hay controles, con

controles existentes y controles puestos en practica.

Probabilidad e impacto definen el nivel de riesgos: Mapa de

Riesgos

(15)

Pérdidas derivadas de algún tipo

de

actos

encaminados

a

defraudar, apropiarse o burlar

regulaciones, la ley o las

normas internas, excluyendo

hechos por discriminación, los

cuales, como mínimo, tienen un

origen en parte interno.

Fraude

Externo

Prácticas

de Empleo

Clientes y

Productos

Daños a

Activos

Físicos

Fallos

de

Sistemas

Ejecucióny

Gestión de

Procesos

FRAUDE

INTERNO

No informar intencionadamente de

determinadas posiciones.

Infidelidades de empleados.

Uso el de información privilegiada para

enriquecimiento propio.

(16)

Fraude

Interno

Prácticas

de Empleo

Clientes y

Productos

Daños a

Activos

Físicos

Fallos

de

Sistemas

Ejecucióny

Gestión de

Procesos

Pérdidas derivadas de

algún tipo de actuación

encaminada a defraudar,

apropiarse de bienes

indebidamente o a

soslayar legislación por

parte de un tercero.

Fraude

Externo

Robos;

Falsificación;

Daños de “piratas”

informáticos (hackers),

(17)

(18)

Fraude

Externo

Fraude

Interno

Clientes y

Productos

Daños a

Activos

Físicos

Fallos

de

Sistemas

Ejecucióny

Gestión de

Procesos

Pérdidas derivadas de

actuaciones incompatibles

con la legislación o acuerdos

laborales, de higiene o

seguridad en el empleo, del

pago de reclamaciones por

daños a las personas, o de

eventos de diversidad o

discriminación.

Prácticas

de Empleo

Compensaciones a trabajadores

por quejas;

Violaciones a las normas de

seguridad e higiene en el trabajo;

Demandas por discriminaciones y

por responsabilidades generales

(por ejemplo, DEMANDAS DE

CLIENTES POR RESBALARSE

EN UNA OFICINA).

(19)

Fraude

Externo

Prácticas

de Empleo

Fraude

Interno

Daños a

Activos

Físicos

Fallos

de

Sistemas

Ejecucióny

Gestión de

Procesos

Pérdidas derivadas del incumplimiento

involuntario o negligente de una obligación

profesional frente a clientes concretos (incluidos

requisitos fiduciarios y de adecuación), o de la

naturaleza o diseño de un producto.

Clientes y

Productos

Mal uso de la información

confidencial de clientes;

Actividades comerciales

inadecuadas en cuentas

propias;

Venta de productos no

autorizados.

(20)

Fraude

Externo

Prácticas

de Empleo

Clientes y

Productos

Fraude

Interno

Fallos

de

Sistemas

Ejecucióny

Gestión de

Procesos

Pérdidas derivadas de daños o

perjuicios a activos materiales como

consecuencia de desastres naturales

u otros acontecimientos.

Daños a

Activos

Físicos

Terrorismo, vandalismo,

terremotos, fuegos e

inundaciones.

(21)

Fraude

Externo

Prácticas

de Empleo

Clientes y

Productos

Daños a

Activos

Físicos

Fraude

Interno

Ejecucióny

Gestión de

Procesos

Pérdidas derivadas de

incidencias en el negocio y de

fallos en los sistemas.

Fallos de

Sistemas

 Caídas del software;

 Problemas de telecomunicaciones

(Internet);

 Apagones públicos

(22)

Fraude

Externo

Prácticas

de Empleo

Clientes y

Productos

Daños a

Activos

Físicos

Fallos

de

Sistemas

Fraude

Externo

Pérdidas derivadas de errores en el

procesamiento de operaciones o en la

gestión de procesos, así como de

relaciones con contrapartes comerciales y

proveedores.

Ejecución y

Gestión de

Procesos

Errónea entradas de datos;

Documentación legal incompleta;

Accesos no aprobados a las

cuentas de clientes;

Rupturas de contratos y disputas

con proveedores y daños

colaterales.

(23)

La gestión de Riesgo Operacional

"Basilea II representa un enfoque

completo de la gestión de riesgos y

la supervisión bancaria”

Jean-Claude Trichet,

Presidente del Banco Central

Europeo.

BUENAS PRÁCTICAS

PARA LA GESTIÓN Y SUPERVISIÓN

DEL RIESGO OPERACIONAL

“Sound Practices for the

Management and Supervision of

Operational Risk”

BENCHMARKING

RIESGO OPERACIONAL RIESGO DE MERCADO RIESGO DE CRÉDITO GESTIÓN INTEGRAL (BIS II)

 Asegurar la continuidad del negocio de la

entidad a largo plazo.

 Suscitar la mejora continua de los

procesos e incrementar la calidad del

servicio al cliente.

 Cumplir el marco regulador establecido y

optimizar la asignación de capital.

(24)

Buenas prácticas para la gestión y supervisión del riesgo

operacional

SUPERVISORES

10 PRINCIPIOS

GESTIÓN DEL RIESGO

OPERACIONAL

PROCESO DE GESTIÓN DIVULGACIÓN MARCO APROPIADO DE GESTIÓN

RESPONSABILIDAD DE LOS SUPERVISORES:

8. Exigir a todos los bancos que implementen un enfoque integral para la gestión de riesgos.

9. Llevar a cabo una evaluación periódica de las políticas, procedimientos y prácticas de riesgo operacional del banco.

RESPONSABILIDADES DE LA ALTA DIRECCIÓN:

1. Establecer políticas para la correcta gestión del riesgo operacional. 2. Asegurar y auditar el esquema de gestión del riesgo operacional. 3. Implementación del marco de gestión del riesgo operacional.

10. Los bancos deben realizar suficiente divulgación pública que permita la evaluación de su enfoque para la gestión del riesgo operacional.

4. Identificación y evaluación. 5. Indicadores de riesgos. 6. Control y mitigación. 7. Planes de contingencia SUPERVISORES

10 PRINCIPIOS

GESTIÓN DEL RIESGO

OPERACIONAL

PROCESO DE GESTIÓN DIVULGACIÓN MARCO APROPIADO DE GESTIÓN

4. Identificación y evaluación. 5. Indicadores de riesgos. 6. Control y mitigación. 7. Planes de contingencia

4. Identificación y evaluación. 5. Indicadores de riesgos. 6. Control y mitigación. 7. Planes de contingencia 4. Identificación y evaluación. 5. Indicadores de riesgos. 6. Control y mitigación. 7. Planes de contingencia

(25)

Identificación de RO

Proceso de Gestión

del

Riesgo Operacional

Identificación

de Riesgos

Evaluación/

Medición

Seguimien

to

Control y

Mitigación

Reporting

Base de Datos Interna de Pérdidas Operacionales

(BDIPO)

(26)

Tipo de análisis a utilizar.

(27)

Criterios Cualitativos de Probabilidad

Nivel Descriptor

Probabilidad

A Casi Certeza

Se espera que ocurra en la mayoría de circunstancias

B Probable

Probablemente ocurra en la mayoría de circunstancias

C Posible

Podría ocurrir en algún momento

D Improbable

Pudo ocurrir en algún momento

E Raro

Puede ocurrir sólo en circunstancias excepcionales

La probabilidad mide la frecuencia con la que

aparece un resultado determinado cuando

(28)

Criterios Cualitativos de Impacto

Nivel Descriptor

Consecuencia o Impacto

0 Insignificante

Sin prejuicios, baja pérdida financiera

1 Menor

Tratamiento de primeros auxilios, pérdida financiera media

2 Moderado

Requiere tratamiento urgente, pérdida financiera alta

3 Mayor

Prejuicios extensivos, pérdida financiera mayor

4 Catastrófico

Efectos nocivos, enorme pérdida financiera

El impacto es la magnitud de la consecuencia de

un resultado determinado cuando se realiza un

experimento.

(29)

0

1

2

3

4 Insignificante Menor

Moderado

Mayor

Catastrófico

A Casi Certeza

A

E

B Probable

M

A

E

C Posible

B

M

A

E

D Improbable

B

M

A

E

E Raro

B

M

A

Probabilidad

Consecuncia o Impacto

MATRIZ DE ANALISIS CUALITATIVO DE RIESGOS – NIVEL DE

RIESGOS

(30)

(31)

0

1

2

3

4 Insignificante

Menor

Moderado

Mayor

Catastrófico

A

Casi Certeza

A

E

B

Probable

M

A

E

C

Posible

B

M

A

E

D

Improbable

B

M

A

E

Raro

B

M

A

Probabilidad

Consecuncia o Impacto

Leyenda

E

Riesgo Extremo, requiere acción inmediata

A

Riesgo Alto, necesita atención de la alta gerencia

M

Riesgo Moderado, debe especificarse responsabilidad gerencial

B

Riesgo Bajo, administrar mediante procedimientos de rutina

RIESGO = PROBABILIDAD X IMPACTO

(32)

Modelo de Planilla de Identificación de

Riesgos - Matriz de Riesgos

¿Qué pude suceder?

La intención es generar una lista de eventos, que podrían afectar a cada

elemento de la estructura referida.

Estos son luego considerados en mayor detalle para identificar lo que puede suceder.