RIESGO OPERATIVO

XXIII CONGRESO AMA

Septiembre, 2007

ACT. ELVIA OJEDA APREZA

Contenido
I.

Introduccin

II. Administracin del Riesgo Operativo

Identificacin de riesgos

Matriz de riesgos

III. Ejemplo
IV. Conclusiones
2

I. Introduccin

Circular S-11.6 de la CNSF seala :

Impulsar la cultura de la administracin de riesgos

financieros en las instituciones seguros,

Se requiere la aplicacin de prcticas de

administracin de riesgos consistentes con las
recomendaciones internacionales.

I. Introduccin
Seala que las instituciones de seguros deben
realizar las actividades necesarias para hacer la
administracin del:
Riesgo Financiero
Riesgo de Crdito
Riesgo de Mercado
Riesgo de Liquidez

Riesgo Operativo
Riesgo Legal

I. Introduccin

ADMINISTRACION DE RIESGOS
Es la cultura o conjunto de procesos, polticas,
procedimientos y acciones que se implementan para
identificar, medir, monitorear, controlar, informar y
revelar los distintos tipos de riesgo a que se
encuentra expuesta una empresa; de tal forma que
les permita minimizar prdidas y maximizar
oportunidades.

I. Introduccin
Responsable de aprobar las polticas y procedimientos
Para la administracin de riesgos
Administrar los Riesgos
que enfrenta la Institucin

Consejo de
Administracin
Comit de Riesgos

Director General

Identificar, Medir,
Monitorear e
Informar Riesgos

Administracin de
Riesgos

Director de rea

Director de rea

Director de rea

Director de rea

Difundir la Cultura de Administracin de Riesgos

I. Introduccin

Riesgo Operativo
Es la prdida potencial por fallas o deficiencias en los
sistemas de informacin, en los controles internos o
por errores en el procesamiento de las operaciones.

II. Administracin del Riesgo Operativo

Cmo hacerlo?
Por dnde empezar?
Qu controlar?

II. Administracin del Riesgo Operativo

ETAPAS PARA REALIZAR LA ADMINISTRACIN
DEL RIESGO OPERATIVO
1. Identificacin del riesgo;
2. Cuantificacin y control del riesgo;
3. Mitigacin o eliminacin de dichos riesgos.

II. Administracin del Riesgo Operativo

Identificar

Cuantificar

Mitigar / eliminar

Controlar
Monitorear

10

II. Administracin del Riesgo Operativo

Es necesario contar con la mayor cantidad de datos

disponibles y con la participacin de las personas
que ejecutan los procesos y procedimientos para
lograr que las acciones determinadas alcancen los
niveles de efectividad esperados.

11

II. Administracin del Riesgo Operativo

Es continua y depende de la red de

comunicacin dentro de la empresa, generando
un flujo constante de informacin acerca de las
actividades de la organizacin.

12

Identificacin de Riesgos

Existen dos grupos de riesgos operativos que se

pueden conocer de una compaa:
Cuantitativos
Incidencias y eventos de prdida, se basan en
informacin histrica.

Cualitativos
Riesgos potenciales, que se basan en el juicio experto.

13

Identificacin de Riesgos
INCIDENCIAS Y EVENTOS DE PRDIDA
La metodologa primaria para la identificacin de
riesgos es la observacin de las prdidas y cada vez
que se materializa un riesgo se toman medidas para
prevenir su posible recurrencia.
Registros histricos sobre incidencias y eventos de
prdidas sobre los procesos operativos son una
fuente bsica de la informacin requerida por el
anlisis de riesgos.
14

Identificacin de Riesgos

La informacin debe ser conocida por

EL ADMINISTRADOR DE RIESGOS

15

Identificacin de Riesgos
RIESGOS POTENCIALES
Se requiere conocer:
a.
b.
c.
d.
e.

Organigramas Funcionales
Procesos operativos
Diagramas de flujo de procedimientos
Tipologa de riesgos
Matrices de riesgos y controles

16

Identificacin de Riesgos

a. Organigramas Funcionales.
Revela las divisiones de la organizacin y sus
relaciones, lo que permite al administrador de
riesgos entender la naturaleza y el campo de accin
de las operaciones de la organizacin.
Se evita que una misma persona, unidad o rea
realice funciones que no respetan la adecuada
segregacin de labores, generando conflicto de
inters o riesgos operativos que pueden ser evitados
fcilmente.

17

Identificacin de Riesgos

b. Procesos

Operativos.

Permiten al administrador de riesgos conocer cmo

se realizan las actividades por rea.

18

Identificacin de Riesgos

c. Diagramas de flujo
Pueden alertar al administrador de riesgos de
aspectos inusuales en las operaciones de la empresa
y permite descubrir las contingencias que pueden
interrumpir sus procesos.
El administrador de riesgos se ve forzado a
familiarizarse con los aspectos tcnicos de las
operaciones de la empresa.
19

Matriz de Riesgos

d. Tipologa de riesgos
Por su origen:

INTERNO.- es cuando la causa que origina el riesgo es

EXTERNO.- si la causa que genera el riesgo es derivada

propia del proceso, rea o actividad interna de la

empresa.

de la participacin de un proveedor o rea diferente a la

que est ejecutando el proceso.

20

Matriz de Riesgos - Tipologa del Riesgo

MATRIZ DE RIESGOS
ORIGEN

Interno

Externo

21

Matriz de Riesgos - Tipologa del Riesgo

Por su tipo:

Riesgo de Proceso (Operativo)

Riesgo Legal
Riesgo Humano
Riesgo Tecnolgico
Riesgo de Contraparte (o Proveedor)
Riesgos de Desastres Naturales

22

Matriz de Riesgos - Tipologa del Riesgo

MATRIZ DE RIESGOS
ORIGEN

TIPO
Proceso
Operativo
Legal

Interno

Humano
Tecnolgico
Proveedores

Externo

Regulacin
Desastres
Naturales
23

Matriz de Riesgos - Tipologa del Riesgo

Por la FUENTE de causa del riesgo:

9
9
9
9
9
9
9
9

Errores humanos
Incumplimiento
Diseo
Abuso
Planeacin
Fallas
Seguridad
Experiencia
24

Matriz de riesgos - Tipologa del Riesgo

MATRIZ DE RIESGOS
ORIGEN

Interno

TIPO

FUENTE

Proceso
Operativo

Errores

Legal

Incumplimiento

Humano

Diseo

Tecnolgico

Abuso
Planeacin

Externo

Proveedores

Fallas

Regulacin

Seguridad

Desastres
Naturales

Experiencia

25

Matriz de Riesgos
FRECUENCIA
Para cada riesgo ya clasificado se asigna una
probabilidad de ocurrencia a cada uno de ellos:
casi nulo
raro
probable
casi seguro

26

Matriz de Riesgos

ORIGEN

Interno

TIPO

FUENTE

Proceso
Operativo

Errores

Legal

Incumplimiento

Humano

Diseo

Tecnolgico

Externo

Casi Nulo

Raro

Abuso
Planeacin

Proveedores

FRECUENCIA

Fallas

Regulacin

Seguridad

Desastres
Naturales

Experiencia

Probable
Casi Seguro

27

Matriz de Riesgos

SEVERIDAD
Se estima el impacto en caso de materializarse el
riesgo:
Insignificante
Moderado
Fuerte
Significante

28

Matriz de Riesgos

ORIGEN

TIPO
Proceso
Operativo

Interno

FUENTE
Errores

Legal

Incumplimiento

Humano

Diseo

Tecnolgico

Externo

Casi Nulo

Raro

SEVERIDAD

Insignificante
Moderado

Abuso
Planeacin

Proveedores

FRECUENCIA

Fallas

Regulacin

Seguridad

Desastres
Naturales

Experiencia

Probable
Casi Seguro

Fuerte
Significante

29

Matriz de Riesgos

Esta matriz nos permite identificar los tipos de riesgo

y el perfil inicial de riesgo de un rea.
Es aqu donde ya hemos cuantificado el riesgo, de
una manera cualitativa basada en el BUEN JUICIO
del
experto del proceso
y
el administrador de riesgos.
30

ESQUEMA DE FRECUENCIA-SEVERIDAD

FRECUENCIA

CASI
SEGURO
(4)

12

16

PROBABLE
(3)

12

RARO
(2)

CASI NULA
(1)

INSIGNIFICANTE MODERADO
(1)
(2)

SEVERIDAD

FUERTE
(3)

SIGNIFICANTE
(4)

31

EJEMPLO

Procedimiento de Emisin de Pliza Vida

Individual

32

Proceso de Emisin de Pliza

Vida Individual
CODIGO:
PROCESO:

ACTIVIDADES

PROCEDIMIENTO PARA LA EMISION DE POLIZAS

Recibe solicitudes
Entrega solicitudes
y valida
de seguros al
documentacin
Analista Suscriptor
necesaria

Est completa la
solicitud y su
documentacin

Est la suma
SI.- cambia estatus
Captura
asegurada dentro de solicitud a "P".
informacin de la
de los lmites de
NO.- Turna la
solicitud en el
suscripcin
solicitud al Gerente
Sistema
autorizados?
de Suscripcin

NO

Agente
SI

Analista Suscriptor

SI
NO

Gerente Suscriptor

RIESGO OPERATIVO
IDENTIFICADO

CONTROLES

No llenar
totalmente la
solicitud

Se reciba solicitud
Dejar pasar la
Error de Captura
sin toda la
solicitud sin todos los
de la
documentacin
documentos
informacin en el
requerida segn
Sistema
requeridos
tabla de requisitos

Emite pliza con

suma asegurada
superior al lmite
establecido para el
analista

Supervisin por un
superior

Automatizacin de
lmites de suma
asegurada

Hojas de
Validacin

33

Proceso de Emisin de Pliza

Vida Individual

(parte 2)
CODIGO:
PROCESO:

ACTIVIDADES

SI.- cambia estatus

Recibe solicitud y
Requiere
de solicitud a "P".
documentacin
Imprime y arma
informacin adicional
Entrega plizas
NO.- Turna la
para realizar la
las plizas
para realizar
solicitud al Gerente
suscripcin de la
suscripcin?
de Suscripcin
pliza

SI

Agente
Analista Suscriptor
Gerente Suscriptor

SI
NO

RIESGO OPERATIVO
IDENTIFICADO

Impresin lote
de plizas de un
da diferente al
de emisin.

CONTROLES

Rediseo del
sistema

34

Proceso de Emisin de Pliza

Vida Individual
No.
Riesgo

Descripcin del Riesgo

Origen

Tipo

Fuente

EM01

Recibir solicitud sin tener

todos los datos llenos.

Interno

Riesgo
Humano

Errores,
Experiencia

EM02

Error en la captura de
informacin en el Sistema.

Interno

Riesgo
Humano

Errores

EM03

Autorizar emisin con

suma asegurada fuera de
los lmites de suscripcin.

Interno

Riesgo
Humano

Experiencia,
Abuso

EM04

Imprimir lote de plizas de

un da diferente al de la
emisin.

Interno

Tecnolgico

Fallas

35

Proceso de Emisin de Pliza

Vida Individual
No.
Riesgo

Descripcin del Riesgo

Frecuencia

Severidad

Peso

CASI NULA

MODERADO

RARO

FUERTE

EM01

Recibir solicitud sin tener

todos los datos llenos.

EM02

Error en la captura de
informacin en el Sistema.

EM03

Autorizar emisin con suma

asegurada fuera de los lmites
de suscripcin.

CASI NULA

FUERTE

EM04

Imprimir lote de plizas de un

da diferente al de la emisin.

PROBABLE

SIGNIFICANTE

12

36

Proceso de Emisin de Pliza

Vida Individual
CASI
SEGURO
(4)

12

16

FRECUENCIA

EM04
PROBABLE
(3)

12

EM02
RARO
(2)

CASI NULA
(1)

EM01

6
EM03

INSIGNIFICANTE MODERADO
(1)
(2)

SEVERIDAD

FUERTE
(3)

SIGNIFICANTE
(4)

37

Controles

Los riesgos del proceso que estn en la alarma roja son

los que deben atenderse en forma inmediata.
Los riesgos que no estn en alarma roja no deben
dejarse a un lado, sino en su momento se atendern.
Para cada riesgo se determina una o varias actividades
de control a realizar:

Modificacin al sistema
Capacitacin al personal
Reportes con cifras de control
Redefinir funciones

38

Proceso de Emisin de Pliza

Vida Individual
Descripcin del Riesgo

CONTROL

EM01

Recibir solicitud sin tener todos

los datos llenos.

Supervisin

EM02

Error en la captura de
informacin en el Sistema.

EM03

Autorizar emisin con suma

asegurada fuera de los lmites
de suscripcin.

Automatizacin de control de
lmites de sumas aseguradas por
usuario del sistema

EM04

Imprimir lote de plizas de un

da diferente al de la emisin.

Solicitar que el sistema permita

marcar plizas que ya se
imprimieron

No.
Riesgo

Hoja de Validacin

39

Monitoreo y Control

Peridicamente se deben revisar los procesos para

validar si el riesgo identificado ha disminuido en su
calificacin de frecuencia-severidad.

Se deben generar los Indicadores de Riesgo

Operativo, los cuales permitirn dar un seguimiento
peridico de la evolucin del nivel de riesgo, alertar
de situaciones graves de riesgo y verificar el impacto
en el nivel de riesgo de las acciones correctoras.

40

Indicadores de Riesgo

Indicadores de Riesgo
Estadsticas de actividad.
Base de datos de incidencias y eventos de
prdida.
Reportes de cifras de control.
Reportes para anlisis de conciliaciones.
Grado de implementacin de las recomendaciones
de los auditores.

41

Mitigacin o Eliminacin
La mitigacin o eliminacin de los riesgos se ir
presentando conforme ms instrumentados se
encuentren los controles de cada riesgo.
Las matrices de riesgo, los controles e indicadores
de riesgo son bases de informacin indispensable
que debe reunirse en el rea de Administracin de
Riesgos.
Hasta este punto solamente se tienen controles de
corto plazo, sin embargo el objetivo de la
administracin de riesgos tambin es el de prevenir
que se materialicen los riesgos.

42

Conclusiones

Las bases de datos de incidencias y eventos de

prdida se estn empezando a hacer.
Esta metodologa permite establecer controles de
corto plazo.
En el futuro, las bases de datos permitirn generar
modelos probabilsticos para estimar el riesgo
operativo.
El Actuario tiene un campo de desarrollo nuevo en la
Administracin del Riesgo Operativo.
43

Gracias!

44