Gestión de Riesgo Operacional

Gestión de Riesgo
Operacional
Programa de Finanzas
2016
Contenido
 Marco metodológico y regulatorio
 Requerimiento Patrimonial por Riesgo Operacional
 Marcos de Gestión con enfoque especializado
Gestión de Riesgo Operacional

Marco metodológico y regulatorio

Riesgos en las Entidades Financieras
Riesgo Estratégico Riesgo es el potencial de pérdidas

directas, que impactan las
Riesgo de Riesgos de Riesgo de utilidades o el patrimonio, o
Mercado Crédito Liquidez indirectas al imponer restricciones
a la capacidad de la entidad de
alcanzar sus objetivos de
Riesgo Operacional
negocios.
Riesgo Regulatorio y de Cumplimiento The Financial Services Roundtable
Riesgo de Reputación

Categorías de Riesgo
• Estratégico – Efectos negativos que resultan • Cumplimiento – Pérdidas por incumplimiento
de las decisiones que se toman o dejan de de leyes y regulaciones resulte en juicios o
tomar en el curso de administrar el negocio sanciones regulatorias
• Crédito – Pérdida económica porque un • Legal – Incumplimiento de contratos o no
deudor o contraparte no puede o no quiere observar prácticas comerciales vigentes
cumplir con una obligación resulten en contratos inexigibles, juicios u
otras consecuencias adversas
• Mercado – Pérdidas que resultan de
cambios en precios y tasas de mercado • Regulatorio – Cambios en las leyes y
(intereses, tipo de cambio, acciones, regulaciones afecten adversamente las
commodities) operaciones y viabilidad competitiva de la
entidad
• Liquidez – La entidad no puede cumplir con
sus obligaciones a medida que vencen • Reputacional – Reacción pública negativa
debido a que no logra obtener financiamiento que resulte de incidentes inesperados, o
o liquidar activos respuestas no esperadas a las iniciativas,
acciones u actividades rutinarias de la entidad

¿Qué es Riesgo Operacional?
“… posibilidad de ocurrencia de pérdidas debido a procesos inadecuados, fallas del

personal, de la tecnología de información, o eventos externos. Esta definición incluye el
riesgo legal, pero excluye el riesgo estratégico y de reputación.”
Superintendencia de Banca Seguros y AFP - Perú
“... es el riesgo de pérdida debido a la inadecuación o a fallos de los procesos, el personal y los
sistemas internos o bien a causa de acontecimientos externos. Esta definición incluye el riesgo legal,
pero excluye el riesgo estratégico y el de reputación.”
Comité de Basilea

Regulación SBS  Esta resolución fijó las bases para que todas las
instituciones bajo supervisión de la SBS, realicen la
• RESOLUCIÓN Nº 2116-2009 - Reglamento implementación de la gestión del riesgo operacional
para la Gestión del Riesgo Operacional (procesos, personas, informática, eventos externos).
• RESOLUCIÓN Nº 2115-2009 - Reglamento  Exige la creación de una Unidad de Riesgo
para el cálculo de patrimonio efectivo por Operacional la cual debe contar con funciones y
procedimientos para la administración de los riesgos.
riesgo operacional
 Fija las responsabilidades del Directorio, Gerencia y
• CIRCULAR G139-2009 – Gestión de la del personal en general.
Continuidad del Negocio
 Las instituciones deben contar con un enfoque
• CIRCULAR G140-2009 – Gestión de la metodológico para la identificación, evaluación,
Seguridad de la Información (modificado monitoreo de los riesgos que enfrenten las
por la Circular G167-2012) instituciones financieras.
 Se debe capacitar a todo el personal en conocer lo
• RESOLUCIÓN Nº 037-2008 - Reglamento que es el Riesgo Operacional en sus instituciones.
de la Gestión Integral de Riesgos
 Las instituciones debe reportar a la SBS como están
gestionando los riesgos operacionales.

Regulación SBS  Fija reportes de interrupciones de negocio,
activación de planes de continuidad, proveedores
• CIRCULAR Gº 182-2015 – Indicadores principales, planes de continuidad de negocios y
clave para la gestión de la continuidad de pruebas.
negocios
• CIRCULAR Nº 180-2015 – Indicadores  Fija reportes de incidentes de seguridad de la
clave para la gestión de la seguridad de la información, controles de seguridad, pruebas.
información
 Fija reportes de incidentes que afectan en
• CIRCULAR Nº 164-2012 – Reporte de
funcionamiento del negocio.
eventos de interrupción significativa de
operaciones

Definiciones
• Apetito por el riesgo: El nivel de riesgo que la empresa está dispuesta a asumir en su
búsqueda de rentabilidad y valor.
• Directorio: Toda referencia al directorio, entiéndase realizada también a cualquier órgano

equivalente.
• Evento: Un suceso o serie de sucesos que pueden ser internos o externos a la empresa,
originados por la misma causa, que ocurren durante el mismo periodo de tiempo.
• Evento de pérdida por riesgo operacional: El evento que conduce a una o varias pérdidas,
cuyo origen corresponde al riesgo operacional.
• Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios,

susceptible de ser procesada, distribuida y almacenada.

• Proceso: Conjunto de actividades, tareas y procedimientos organizados y repetibles que
producen un resultado esperado.
• Riesgo legal: Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la

ejecución de contratos o acuerdos, al incumplimiento no intencional de las normas, así
como a factores externos, tales como cambios regulatorios, procesos judiciales, entre
otros.
• Subcontratación: Modalidad de gestión mediante la cual una empresa contrata a un

tercero para que éste desarrolle un proceso que podría ser realizado por la empresa
contratante.
• Superintendencia: Superintendencia de Banca, Seguros y Administradoras Privadas de

Fondos de Pensiones.
• Tolerancia al riesgo: El nivel de variación que la empresa está dispuesta a asumir en caso
de desviación de los objetivos empresariales trazados.

Comité de Basilea
• Establecido en 1974
• Miembros: Bélgica, Canadá, Francia,

Alemania, Italia, Japón, Luxemburgo, Holanda,
España, Suecia, Suiza, Reino Unido y Estados
Unidos
• Los países son representados por sus bancos

centrales y por la entidad supervisora bancaria
• Formula estándares, guías y recomendaciones

de mejores prácticas que se espera que las
autoridades nacionales implementen
• Promueve la convergencia hacia estándares y

enfoques comunes

Figura: Pilares de Basilea II

Figura: Pilares de Basilea III

Principios para una buena gestión de riesgo operacional
Desarrollo de un marco adecuado para la gestión del riesgo
Principio 1: El Consejo de administración deberá conocer cuáles son los principales

aspectos de los riesgos operativos para el banco, en tanto que categoría de riesgo
diferenciada, y deberá aprobar y revisar periódicamente el marco que utiliza el banco para la
gestión de este riesgo. Este marco deberá ofrecer una definición de riesgo operativo válida
para toda la empresa y establecer los principios para definir, evaluar, seguir y controlar o
mitigar este tipo de riesgos.
Principio 2: El consejo de administración deberá asegurar que el marco para la gestión del
riesgo operativo en el banco esté sujeto a un proceso de auditoría interna eficaz e integral por
parte de personal independiente, capacitado y competente. La función de auditoría interna no
deberá ser directamente responsable de la gestión del riesgo operativo.
. Gestión de Riesgo Operacional

.
Principio 3: La alta gerencia deberá ser la responsable de poner en práctica el marco para la
gestión del riesgo operativo aprobado por el consejo de administración. Dicho marco deberá
ser aplicado de forma consistente en toda la organización bancaria y todas las categorías
laborales deberán comprender sus responsabilidades al respecto. La alta gerencia también
deberá ser responsable del desarrollo de políticas, procesos y procedimientos destinados a la
gestión de estos riesgos para todos los productos, actividades, procesos y sistemas
relevantes para el banco.

Gestión del riesgo: identificación, evaluación, seguimiento y cobertura/control
Principio 4: Los bancos deberán identificar y evaluar el riesgo operativo inherente a todos
sus productos, actividades, procesos y sistemas relevantes. Además, también deberán
comprobar que antes de lanzar o presentar nuevos productos, actividades, procesos o
sistemas, se evalúa adecuadamente su riesgo operativo inherente.
Principio 5: Los bancos deberán vigilar periódicamente los perfiles de riesgo operativo y las
exposiciones sustanciales a pérdidas. La alta gerencia y el consejo de administración deberán
recibir información pertinente de forma periódica que complemente la gestión activa del riesgo
operativo.

Principio 6: Los bancos deberán contar con políticas, procesos y procedimientos para
controlar y cubrir los riesgos operativos más relevantes. Además, deberán reexaminar
periódicamente sus estrategias de control y reducción de riesgos y ajustar su perfil de riesgo
operativo según corresponda, utilizando para ello las estrategias que mejor se adapten a su
apetito por el riesgo y a su perfil de riesgo.
Principio 7: Los bancos deberán contar con planes de contingencia y de continuidad de la

actividad, que aseguren su capacidad operativa continua y que reduzcan las pérdidas en caso
de interrupción grave de la actividad.

La función de los supervisores
Principio 8: Los supervisores bancarios deberán exigir a todos los bancos, sea cual sea su
tamaño, que mantengan un marco eficaz para identificar, evaluar, seguir y controlar o mitigar
sus riesgos operativos más relevantes, como parte de su aproximación general a la gestión
de riesgos.
Principio 9: Los supervisores deberán realizar, directa o indirectamente, una evaluación

periódica independiente de las políticas, prácticas y procedimientos con los que cuentan los
bancos para gestionar sus riesgos operativos. Además, deberán cerciorarse de que se han
puesto en marcha los mecanismos necesarios para estar al tanto de cualquier novedad que
se produzca en un banco.

La función de la divulgación de información
Principio 10: Los bancos deberán proporcionar información pública suficiente para que los
partícipes del mercado puedan evaluar sus estratégicas de gestión del riesgo operativo.

Figura: Métodos de medición del Riesgo Operacional

Ambiente Interno
• Filosofía de gestión de riesgos

• Apetito de riesgo
Establecimiento de Objetivos
• Objetivos medibles
• Inventario de • Tolerancia
oportunidades al riesgo
Identificación de eventos
• Inventario de riesgos
Evaluación de Riesgos
• Riesgos inherentes • Respuestas • Riesgos

evaluados residuales
al riesgo
Respuesta al riesgo
• Estrategias de •Acciones
tratamiento
Actividades de control
• Seguimiento • Informes • Indicadores Fuente : Committe of

Sponsoring
Organizations of the
Supervisión Treadway Commission
(COSO)

Estructura de gestión de riesgo operacional
La responsabilidad directa por

la apropiada gestión de los
riesgos inherentes a las líneas
de negocios, procesos,
productos y áreas funcionales
está en los ejecutivos y personal
a cargo de ellos.
La Unidad de Riesgos les asiste

en cumplir con esta
responsabilidad.

Responsabilidades del Directorio
El Directorio tiene las siguientes responsabilidades específicas respecto a la gestión del riesgo
operacional:
a) Definir la política general para la gestión del riesgo operacional.
b) Asignar los recursos necesarios para la adecuada gestión del riesgo operacional, a fin de
contar con la infraestructura, metodología y personal apropiados.
c) Establecer un sistema de incentivos que fomente la adecuada gestión del riesgo

operacional y que no favorezca la toma inapropiada de riesgos.
d) Aprobar el manual de gestión del riesgo operacional.

e) Conocer los principales riesgos operacionales afrontados por la entidad, estableciendo
cuando ello sea posible, adecuados niveles de tolerancia y apetito por el riesgo.
f) Establecer un sistema adecuado de delegación de facultades y de segregación de

funciones a través de toda la organización.
g) Obtener aseguramiento razonable que la empresa cuenta con una efectiva gestión del
riesgo operacional, y que los principales riesgos identificados se encuentran bajo control
dentro de los límites que han establecido.

Responsabilidades de la Gerencia
La gerencia general tiene la responsabilidad de implementar la gestión del riesgo operacional
conforme a las disposiciones del Directorio.
Los gerentes de las unidades organizativas de negocios o de apoyo tienen la responsabilidad

de gestionar el riesgo operacional en su ámbito de acción, dentro de las políticas, límites y
procedimientos establecidos.
Comité de riesgos
Las funciones del Comité de Riesgos señaladas en el Reglamento de la Gestión Integral de
Riesgos, son de aplicación a la gestión del riesgo operacional en lo que corresponda.

Unidad de riesgos
De conformidad con el Reglamento de la Gestión Integral de Riesgos, las empresas podrán
contar con una Unidad de Riesgos centralizada o con unidades especializadas en la gestión
de riesgos específicos.
En ese sentido, la Unidad de Riesgos de la empresa o, de ser el caso, la unidad especializada

de gestión del riesgo operacional deberá cumplir con las siguientes funciones:
a. Proponer políticas para la gestión del riesgo operacional.
b. Participar en el diseño y permanente actualización del Manual de gestión del riesgo

operacional.
c. Desarrollar la metodología para la gestión del riesgo operacional.
d. Apoyar y asistir a las demás unidades de la empresa para la aplicación de la metodología

de gestión del riesgo operacional.

e. Evaluación del riesgo operacional, de forma previa al lanzamiento de nuevos productos y
ante cambios importantes en el ambiente operativo o informático.
f. Consolidación y desarrollo de reportes e informes sobre la gestión del riesgo operacional

por proceso, o unidades de negocio y apoyo.
g. Identificación de las necesidades de capacitación y difusión para una adecuada gestión

del riesgo operacional.
h. Otras necesarias para el desarrollo de la función

Factores que originan el riesgo operacional
Procesos internos
Las empresas deben gestionar apropiadamente los riesgos asociados a los procesos internos
implementados para la realización de sus operaciones y servicios, relacionados al diseño
inapropiado de los procesos o a políticas y procedimientos inadecuados o inexistentes que
puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la
suspensión de los mismos.
Personal
Las empresas deben gestionar apropiadamente los riesgos asociados al personal de la
empresa, relacionados a la inadecuada capacitación, negligencia, error humano, sabotaje,
fraude, robo, paralizaciones, apropiación de información sensible, entre otros.

Tecnología de información
Las empresas deben gestionar los riesgos asociados a la tecnología de información,
relacionados a fallas en la seguridad y continuidad operativa de los sistemas informáticos, los
errores en el desarrollo e implementación de dichos sistemas y la compatibilidad e integración
de los mismos, problemas de calidad de información, la inadecuada inversión en tecnología,
entre otros aspectos.
Eventos externos
Las empresas deberán gestionar los riesgos asociados a eventos externos ajenos al control
de la empresa, relacionados por ejemplo a fallas en los servicios públicos, la ocurrencia de
desastres naturales, atentados y actos delictivos, entre otros factores.

Tipos de
Eventos de
Pérdida

Eventos de pérdida por riesgo operacional
Fraude interno.- Pérdidas derivadas de algún tipo de actuación encaminada a defraudar,

apropiarse de bienes indebidamente o incumplir regulaciones, leyes o políticas empresariales
en las que se encuentra implicado, al menos, un miembro de la empresa, y que tiene como fin
obtener un beneficio ilícito.
Fraude externo.- Pérdidas derivadas de algún tipo de actuación encaminada a defraudar,

apropiarse de bienes indebidamente o incumplir la legislación, por parte de un tercero, con el
fin de obtener un beneficio ilícito.
Relaciones laborales y seguridad en el puesto de trabajo.- Pérdidas derivadas de

actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad
en el trabajo, sobre el pago de reclamos por daños personales, o sobre casos relacionados
con la diversidad o discriminación.

Clientes, productos y prácticas empresariales.- Pérdidas derivadas del incumplimiento
involuntario o negligente de una obligación empresarial frente a clientes concretos (incluidos
requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.
Daños a activos materiales.- Pérdidas derivadas de daños o perjuicios a activos materiales

como consecuencia de desastres naturales u otros acontecimientos.
Interrupción del negocio y fallos en los sistemas.- Pérdidas derivadas de interrupciones en

el negocio y de fallos en los sistemas.
Ejecución, entrega y gestión de procesos.- Pérdidas derivadas de errores en el

procesamiento de operaciones o en la gestión de procesos, así como de relaciones con
contrapartes comerciales y proveedores.

Líneas de negocio
Línea de negocio Definición
Finanzas corporativas Realización de operaciones de financiamiento estructurado y participación
en procesos de titulización; underwriting; asesoramiento financiero a
empresas corporativas, grandes y medianas empresas, así como al
gobierno central y entidades del sector público; entre otras actividades de
naturaleza similar.
Negociación y ventas Operaciones de tesorería; compra y venta de títulos, monedas y
commodities por cuenta propia; entre otras actividades de naturaleza
similar.
Banca Minorista Financiamiento a clientes minoristas incluyendo tarjetas de crédito,
préstamo automotriz, entre otros.
Banca Comercial Financiamiento a clientes no minoristas, incluyendo: factoring, descuento,
arrendamiento financiero, entre otros.
Liquidación y pagos Actividades relacionadas con pagos y cobranzas, transferencia
interbancaria de fondos, compensación y liquidación, entre otras
actividades de naturaleza similar.
Otros servicios Servicios de custodia, fideicomisos, comisiones de confianza y otros
servicios.

Perfil de Riesgo

Mapa de proceso

Matriz de riesgos
y controles

Criterios de evaluación – Ejemplo de COSO ERM

Evaluación Cualitativa
• Impacto: magnitud de la consecuencia si
se materializa el riesgo.
• Probabilidad: Frecuencia con que se
puede presentar el riesgo. RR I
RI
• El nivel de riesgo se puede estimar bajo

tres escenarios:
• Inherente (sin controles)
• Residual (con controles existentes) 3,15
• Residual deseado (con controles
RR-IP RR-P
propuestos)
• Impacto y probabilidad definen el nivel de
riesgo.
• Evento de baja impacto y probabilidad no RRD
1,2,3,4,5,
6,7
amerita mayor atención.
• Evento de alto impacto y alta probabilidad
amerita atención considerable.

Matriz de riesgos y controles

Indicadores clave de riesgo operacional
• Parte esencial del monitoreo
• Es una medida utilizada en la gestión para indicar

que tanto riesgo puede tener una actividad
• Se diferencia de un indicador clave de rendimiento

en que ésta se entiende como una medida de cuán
bien se está haciendo algo mientras que el primero
es un indicador de la posibilidad de efectos
adversos futuro
• KRI nos da una alerta temprana para identificar

eventos potenciales que puedan perjudicar la
operativa de una actividad / proyecto

Indicadores clave de riesgo operacional - Ejemplo

Reporte
• Evaluación de riegos
• Eventos de pérdida
• Riesgos potenciales
• Debilidades
• Evaluación de riesgo de nuevos productos /
proyectos / áreas / sistemas
• Indicadores clave de riesgo
• Gestión de riesgo operacional
• Boletines
• Comunicados

Requerimiento Patrimonial por Riesgo Operacional

Basilea 2
Pilar 1 Pilar 2 Pilar 3

Requerimiento de capital Revisión del Supervisor Disciplina de mercado
 3 Métodos:  4 Principios de supervisión  Define aspectos que deben
oIndicador Básico orientados a asegurar que los ser informados al mercado
oEstandarizado bancos posean un nivel respecto a la gestión de cada
oAvanzado (AMA) adecuado de capital riesgo:
 Criterios de admisión para los  Referencia a 20 guías emitidas oNivel de capital asignado en
Métodos Estandarizado y por el Comité sobre gestión de función al método de capital
Avanzado riesgos (incluye control interno, utilizado
 El primer método no tiene banca electrónica, riesgos oEstrategias y procesos
requisitos de entrada, aunque se operativos, etc.) oEstructura organizativa
recomienda el cumplimiento de las  Transparencia del supervisor oSistemas de medición y/o de
“Buenas prácticas” propuestas por  Coordinación con otros reporte utilizados
el Comité supervisores oPolíticas de cobertura y/o
mitigación del riesgo

Requerimiento de Capital
ENFOQUES
ENFOQUE DEL INDICADOR ENFOQUE ESTANDARIZADO ENFOQUES DE

BASICO MEDICIÓN AVANZADOS
 Determinar el ingreso  Identifica 8 líneas de negocio  El capital regulatorio se
bruto promedio del banco según Basilea II. determina a través de
en los 3 últimos años. una medición interna
 Determinar el ingreso bruto sustentada en: datos
 Aplicar un porcentaje fijo promedio de los 3 últimos años de pérdidas externas,
15%. para cada línea de negocio. análisis de escenarios
y factores de ambiente
 Aplicar un porcentaje establecido de negocios y control
de 12%,15% o 18% según interno.
COMO SE DETERMINA corresponda.
EL CALCULO DEL
CAPITAL SEGÚN  Total es el capital regulatorio.
BASILEA II
REQUISITO GENERAL Cumplimiento con las “Buenas Prácticas para la Gestión del Riesgo Operacional” definidas por el
Comité de Basilea.

Base de datos de eventos de pérdida
• Código de identificación del evento

• Tipo de evento de pérdida
• Línea de negocio asociada
• Descripción corta del evento
• Descripción larga del evento
• Fecha de ocurrencia o de inicio del evento
• Fecha de descubrimiento del evento
• Fecha de registro contable del evento
• Monto(s) bruto(s) de la(s) pérdida(s), moneda y tipo de cambio
• Monto(s) recuperado(s) mediante coberturas existentes de forma previa al evento, moneda, tipo de
cambio y tipo de cobertura aplicada
• Monto total recuperado, moneda y tipo de cambio
• Cuenta(s) contable(s) asociadas
• Identificación si el evento está asociado con el riesgo de crédito (para empresas del sistema
financiero) o con el riesgo de seguros (para empresas del sistema de seguros)

Marcos de Gestión con enfoque especializado

Gestión de la continuidad del negocio
Fuente: Estándar ISO 223012

Gestión de la seguridad de la información
Seguridad de la información: Característica de la información que se logra mediante la
adecuada combinación de políticas, procedimientos, estructura organizacional y herramientas
informáticas especializadas a efectos que dicha información cumpla los criterios de
confidencialidad, integridad y disponibilidad, definidos de la siguiente manera:
• Confidencialidad: La información debe ser accesible sólo a aquellos que se encuentren

debidamente autorizados.
• Integridad: La información debe ser completa, exacta y válida.
• Disponibilidad: La información debe estar disponible en forma organizada para los

usuarios autorizados cuando sea requerida.
Las empresas deberán establecer, mantener y documentar un sistema de gestión de la

seguridad de la información (SGSI).

Gestión de la seguridad de la información
Las actividades mínimas que deben desarrollarse para implementar el SGSI, son las
siguientes:
• Definición de una política de seguridad de información aprobada por el Directorio.
• Definición e implementación de una metodología de gestión de riesgos, que guarde

consistencia con la gestión de riesgos operacionales de la empresa.
• Mantenimiento de registros adecuados que permitan verificar el cumplimiento de las

normas, estándares, políticas, procedimientos y otros definidos por la empresa, así como
mantener pistas adecuadas de auditoría.
Las entidades deben implementar una Estructura organizacional que les permita cumplir con
el reglamento.

Controles de seguridad de la información
• Seguridad lógica
• Seguridad de personal
• Seguridad física y ambiental
• Inventario de activos y clasificación de información
• Administración de las operaciones y comunicaciones
• Adquisición, desarrollo y mantenimiento de sistemas informáticos
• Procedimientos de respaldo
• Gestión de incidentes
• Cumplimiento normativo
• Privacidad de la información
• Autorización para el procesamiento de datos en el exterior

Gestión de Riesgo Operacional

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Gestión de Riesgo Operacional

Transféré par

Droits d'auteur :

Formats disponibles

Gestión de Riesgo