GESTION DEL RIESGO OPERACIONAL
RIESGO OPERATIVO
Es la posibilidad de pérdidas financieras por deficiencias o fallas en los procesos internos, en la tecnología de la información, en las personas o por la ocurrencia de eventos externos adversos.
DIFERENCIAR
RIESGO:
DEFICIENCIAS :
Fuentes de Riesgos Operativos
-
Proceso Internos: Deficiencia de las operaciones Errores de Transacciones Persona: Robo Fraude Sabotaje
RIESGO DE TECNOLOGIA DE INFORMACION Los riesgos de operación asociados a los sistemas informáticos y a la tecnología relacionados a dichos sistemas, que pueden afectar el desarrollo de las operaciones y servicios que realiza la empresa al atentar contra la confidencialidad, integridad y disponibilidad de la información, entre otros criterios.
Circular SBS Nº G - 105 - 2002 Riesgos de tecnología de información
¿Qué es Seguridad de la Información?
Son los recursos (metodologías, documentos, programas y dispositivos físicos) utilizados para controlar y limitar el acceso a la información única y exclusivamente a quienes tengan la autorización para hacerlo.
La información puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes o expuesta en una conversación.
Pilares de la Seguridad de la Información
Confidencialidad: Acceso a la Información sólo a personas autorizadas.
Integridad: Exactitud y suficiencia de la información, así como su validez de acuerdo con las expectativas del Banco
Disponibilidad: Acceso a la información en el momento que se la requiera.
Seguridad de la Información LEYES Y REGULACIONES
NORMAS Y POLITICAS CAMARAS DE SEGURIDAD
SEGURIDAD INFORMATICA PAPEL
CONVERSACION
MEDIOS MAGNETICOS
Información CONTROLES DE ACCESO
MEDIOS ELECTRONICOS
IMAGENES
SEGURIDAD POLICIAL CORREO
BOVEDA O CAJA FUERTE
IMPRESOS
SEGURIDAD FISICA
Eventos Externos:
INTERRUPCION DE SERVICIOS INTRUSOS (Hackers, Crackers)
CONVULSION SOCIAL
ATAQUES EXTERNOS
ROBOS, ASALTOS
COOPERATIVA
DESASTRES NATURALES
ACCESOS NO AUTORIZADOS
ADMINISTRAR RIESGO OPERATIVO
La administración de riesgos consiste en el proceso de identificar, medir, analizar y controlar los riesgos actuales y futuros a los que está expuesto una institución financiera por la naturaleza de las actividades que realiza, con el objeto de obtener un balance adecuado entre la búsqueda de mayores ganancias y el control de los riesgos que pueden poner en peligro su continuidad.
METODOLOGIA PARA ADMINISTRAR RIESGO OPERATIVO Establecer el contexto
C o m u n i c a r y C o n s u l t a r
Identificar Riesgos
Analizar Riesgos
Evaluar Riesgos
Tratar Riesgos
M o n i t o r e a r y R e v i s a r
COMO IDENTIFICAR RIESGOS ?
Realizar una lista o check list , de todos los posibles riesgos que se pueden producir en una determinada unidad. Se realiza mediante un formato denominado Registro de Riesgos.
COMO ANALIZAR RIESGOS ? Determinar los controles existentes y analizar riesgos en términos de impacto y probabilidad en el contexto de esos controles. El analisis debería considerar el rango de impactos potenciales y cuan probable es que ocurran esos impactos . Impacto y probabilidad pueden ser combinadas para producir un nivel estimado de riesgo. Separar los riesgos menores de los riesgos significativos. Impacto. Magnitud de la consecuencia si se materializa el
riesgo. Probabilidad. Se estima asumiendo que no hay controles, con
controles existentes y controles puestos en practica. Probabilidad e impacto definen el nivel de riesgos: Mapa de
Tipología de Riesgos Operacionales
FRAUDE INTERNO
Fraude Externo
Prácticas de Empleo
Pérdidas derivadas de algún tipo de actos encaminados a defraudar, apropiarse o burlar regulaciones, la ley o las normas internas, excluyendo hechos por discriminación, los cuales, como mínimo, tienen un origen en parte interno.
Clientes y Productos
Daños a Activos Físicos
Fallos de Sistemas
Ejecucióny Gestión de Procesos
No informar intencionadamente de
determinadas posiciones. Infidelidades de empleados. Uso el de información privilegiada para enriquecimiento propio.
Tipología de Riesgos Operacionales
Fraude Interno
Fraude Externo
Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o a soslayar legislación por parte de un tercero.
Prácticas de Empleo
Clientes y Productos
Daños a Activos Físicos
Fallos de Sistemas
Ejecucióny Gestión de Procesos
Robos; Falsificación; Daños de “piratas”
informáticos (hackers),
Fraudes…
Tipología de Riesgos Operacionales
Fraude Interno
Fraude Externo
Prácticas de Empleo
Clientes y Productos
Daños a Activos Físicos
Fallos de Sistemas
Compensaciones
Ejecucióny Gestión de Procesos
a trabajadores
por quejas; Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, de higiene o seguridad en el empleo, del pago de reclamaciones por daños a las personas, o de eventos de diversidad o discriminación.
Violaciones
a las normas de seguridad e higiene en el trabajo; Demandas
por discriminaciones y por responsabilidades generales (por ejemplo, DEMANDAS DE CLIENTES POR RESBALARSE EN UNA OFICINA).
Tipología de Riesgos Operacionales
Fraude Interno
Fraude Externo
Prácticas de Empleo
Clientes y Productos
Daños a Activos Físicos
Fallos de Sistemas
Ejecucióny Gestión de Procesos
Mal
Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.
uso de la información confidencial de clientes; Actividades
comerciales inadecuadas en cuentas propias; Venta
de productos no autorizados.
Tipología de Riesgos Operacionales
Fraude Interno
Fraude Externo
Prácticas de Empleo
Clientes y Productos
Daños a Activos Físicos
Fallos de Sistemas
Ejecucióny Gestión de Procesos
Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos.
Terrorismo,
vandalismo, terremotos, fuegos e inundaciones.
Tipología de Riesgos Operacionales
Fraude Interno
Fraude Externo
Prácticas de Empleo
Clientes y Productos
Caídas del software;
Problemas de telecomunicaciones (Internet);
Apagones
públicos
Daños a Activos Físicos
Fallos de Sistemas
Ejecucióny Gestión de Procesos
Pérdidas derivadas de incidencias en el negocio y de fallos en los sistemas.
Tipología de Riesgos Operacionales
Fraude Externo
Errónea
Fraude Externo
Prácticas de Empleo
Clientes y Productos
Daños a Activos Físicos
Fallos de Sistemas
Ejecución y Gestión de Procesos
entradas de datos;
Documentación
legal incompleta;
Accesos
no aprobados a las cuentas de clientes;
Rupturas
de contratos y disputas con proveedores y daños colaterales.
Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores.
La gestión de Riesgo Operacional
"Basilea II representa un enfoque completo de la gestión de riesgos y la supervisión bancaria” Jean-Claude Trichet, Presidente del Banco Central Europeo.
BUENAS PRÁCTICAS PARA LA GESTIÓN Y SUPERVISIÓN DEL RIESGO OPERACIONAL Practices for the Management and Supervision of Operational Risk” BENCHMARKING
RIESGO OPERACIONAL
Asegurar GESTI N INTEGRAL (BIS II) RIESGO DE CRÉDITO
“Sound
RIESGO DE MERCADO
la continuidad del negocio de la entidad a largo plazo. Suscitar la mejora continua de los procesos e incrementar la calidad del servicio al cliente. Cumplir el marco regulador establecido y optimizar la asignación de capital.
RESPONSABI LI DADES DE L A AL TA DIRECCIÓN:
1. Establecer políticas para lala correcta gestión de l riesgo operacional. Buenas prácticas para gestión y supervisión del riesgo 2. Asegurar y auditar el esquema de gestión del riesgo operacional. operacional 3. Implementación del marco de gestión del riesgo operacional.
MARCO APROPIADO DE GESTIÓN
10. Los bancos deben realizar suficiente divulgación pública que permita la evalua ción d e su enfoque
10 PRINCIPIOS GESTIÓN DEL RIESGO OPERACIONAL DIVULGACIÓN
para la gestión del ries go opera cional.
PROCESO DE GESTIÓN
4. Identificación y evaluación. 5. Indicadores de riesgos. 6. Control y m itigación. 7. Planes de contingencia
SUPERVISORES
RESPONSABI LI DAD DE LOS SUPERVISORES :
8. Exigir a todos los bancos que implementen un enfoque integral para la gestión d e ries gos. 9. Llevar a cabo una evaluación periódica de las políticas, procedim ientos y p ráctica s de r iesgo op eraciona l del ba
Identificación de RO Proceso de Gestión del Riesgo Operacional
Identificación de Riesgos
Evaluación/ Medición
Seguimien to
Control y Mitigación
Reporting
Base de Datos Interna de Pérdidas Operacionales (BDIPO)
Tipo de análisis a utilizar.
Análisis cualitativo
Criterios Cualitativos de Probabilidad La probabilidad mide la frecuencia con la que aparece un resultado determinado cuando se realiza un experimento.
Nivel Descriptor
Probabilidad
A Casi Certeza
Se espera que ocurra en la mayoría de circunstancias
B Probable
Probablemente ocurra en la mayoría de circunstancias
C Posible
Podría ocurrir en algún momento
D Improbable
Pudo ocurrir en algún momento
E Raro
Puede ocurrir sólo en circunstancias excepcionales
Criterios Cualitativos de Impacto
El impacto es la magnitud de la consecuencia de un resultado determinado cuando se realiza un experimento. Nivel Descriptor
Consecuencia o Impacto
0
Insignificante
Sin prejuicios, baja pérdida financiera
1
Menor
Tratamiento de primeros auxilios, pérdida financiera media
2
Moderado
Requiere tratamiento urgente, pérdida financiera alta
3
Mayor
Prejuicios extensivos, pérdida financiera mayor
4
Catastrófico
Efectos nocivos, enorme pérdida financiera
MATRIZ DE ANALISIS CUALITATIVO DE RIESGOS – NIVEL DE RIESGOS
Consecuncia o Impacto Probabilidad A
Casi Certeza
0
1
2
3
4
Insignificante
Menor
Moderado
Mayor
Catastrófico
A
A
E
E
E
M
A
A
E
E
B
M
A
E
E
B
Probable
C
Posible
D
Improbable
B
B
M
A
E
E
Raro
B
B
M
A
A
RIESGO = PROBABILIDAD X IMPACTO Consecuncia o Impacto Probabilidad A
0
1
2
3
4
Insignificante
Menor
Moderado
Mayor
Catastrófico
A
A
E
E
E
M
A
A
E
E
B
M
A
E
E
Casi Certeza
B
Probable
C
Posible
D
Improbable
B
B
M
A
E
E
Raro
B
B
M
A
A
Gestión de Riesgo: Leyenda E
Riesgo Extremo, requiere acción inmediata
A
Riesgo Alto, necesita atención de la alta gerencia
M
Riesgo Moderado, debe especificarse responsabilidad gerencial
B
Riesgo Bajo, administrar mediante procedimientos de rutina
Modelo de Planilla de Identificación de Riesgos - Matriz de Riesgos ¿Qué pude suceder? La intención es generar una lista de eventos, que podrían afectar a cada elemento de la estructura referida. Estos son luego considerados en mayor detalle para identificar lo que puede suceder. ¿Cómo y por qué pude suceder? Habiendo identificado una lista de eventos, es necesario considerar causas y escenarios posibles. Hay muchas formas en que se puede iniciar un evento. Es importante que no se omitan las causas significativas.
HERRAMIENTAS PARA LA GESTION DEL RIESGO OPERACIONAL Mapa de Riesgos
