Gestión de Riesgos de Operación

Fundamentos

Alejandro Medina Moreno

Agenda Sesión 1

- Revisaremos los conceptos básicos de la gestión de riesgos de

operación, y su relación con la gestión de operaciones y proyectos.

1
En qué consiste el riesgo operacional?

El riesgo de pérdidas que surge por fallas en los procesos, la

tecnología o el personal debidos a eventos internos o externos. Este
riesgo está asociado con el error humano, procedimientos
inadecuados en los procesos críticos de negocio y fallas en los
sistemas de información. Incluye riesgo legal, excluye reputación.

Resolución SBS 006-2002.

Reglamento para la Administración de los Riesgos de
Operación

REDUCIR RIESGOS
MACROPROC
ESOS

PROCESOS
Informes Unidades
NORMAS anuales de
EVALUAR
RIESGOS Supervisión

FLUJO DE CONTROL
Unidad de
Acciones de Riesgo
Supervisión Operativo
Unidades • Nuevos
Unidad de
de productos
Riesgo
Línea • Evaluación
periódica
SBS
Circular G-105 Riesgos de Tecnología

Resolución de Riesgos de Operación

Procesos internos Personas Tecnología Eventos Plan de

Continuidad

Plan de
Evaluación de Seguridad
riesgos por
proceso
+ Requeri-
miento
normativo
Procesos
Informe
Tecnología anual
internos
Un proceso depende del punto de vista...
MACRO PROCESOS S. B. S. (EJEMPLO)

•1. •2. •3. •4. •5. •6. •7.

Comprender a Gestionar
Desarrollar •Gestionar Diseñar Supervisar
las empresas visión y Supervisar ingreso y
Regulación extra situ
y entorno Riesgos in situ salida de
estrategia
económico empresas

Visión 1000 metros: •8. Desarrollar y Administrar los Recursos Humanos

•5.
•9. Administrar la Información

Definir estrategia.............
•5.
•10. Administrar los Recursos Financieros y Físicos

– •5.
•11. Administrar las Relaciones Externas

•5.
•12. Administrar la Mejora y el Cambio

Proceso a Mejorar:
Procesos críticos al desempeño del proceso seleccionado
Proceso relacionados que serían impactados o pueden impactan al proceso seleccionado

NOMBRE PROCESO

Visión 100 metros Propietario:

Proveedores Insumos Transformación Output Cliente

– Diseñar un producto
– Gestionar la cobranza... Empieza con: Acaba con:

SIPOC

Visión 1 metro Audit

Flowchart
Customer Loan Production Secondary Marketing Follow-up

– Evaluar una solicitud de crédito del Loan Request

Origination: Obtain
loan and credit data
from customer.
Marketing: Monitor
pipeline & warehouse
inventories.

Underwriting: Evaluate
Trading: Obtain
commitments from
Commitment to
purchase loans
Loan Production: investors.
risk of borrower and
Verify loan and

prospecto ABC.........
property to underwriting
credit information.
guidelines.

Loan Production:
Loan Declined Loan Approved
Notify customer.

Marketing: Set up
commitments on marketing/
pipeline management system.
Loan Closer: Prepare
Loan Approved necessary loan
documentation.
Elaboración propia basado en APQC y el Nuevo Acuerdo de Capital
La Gestión del Riesgo operativo.

Líneas de
negocio

Eventos
Externos

Politicas
Eventos Tolerancia al riesgo
internos Tipo de negocio
.......
Actividades de Actividades de .......
control apoyo
Visión simplificada nivel empresa

Banca Minorista
Líneas de negocio Servicios de Agencia

Operaciones
Actividades de control

Sistemas
Actividades de apoyo
RR HH
Visión simplificada nivel negocio

Banca Personal La relación con clientes y el

Banca Hipotecaria mundo exterior
Micro crédito

Comité de Créditos La definición de Políticas y límites

Unidad de Riesgos la toma de riesgo, evaluación del
riesgo

Administración de Créditos Las operaciones internas que se

Administración Oficinas Encargan de llevar adelante los
Gestión de Personal Negocios de acuerdo a lo definido
Los negocios están expuestos a pérdidas operativas…

Robos y fraudes
Actividades no autorizadas
Fraude en tarjeta de débito
Fraude en tarjeta de crédito
Fallas informáticas
Ataques a la seguridad informática
Política Comercial
Diseño de producto defectuoso Eventos
Contratos inapropiados externos

Incumplimiento de instrucciones de los clientes

Fallas en las comunicaciones

Eventos
internos
Los negocios están expuestos a pérdidas
operativas…

Incumplimiento de la normativa
Errores en la documentación
Fallos judiciales inesperados…..
Y la lista continúa!

Eventos
externos

Eventos
internos
Necesidad de una clasificación

Doble clasificación es la práctica actual, cuando se trata de eventos

de pérdida. Pero es útil usarlo para clasificar los posibles eventos y
asociar medidas de gestión.

El primer eje: Centrado en el negocio

El segundo eje: Centrado en el tipo de pérdida

Por Ejemplo:
– El Riesgo de pérdidas debido a reclamos de clientes por clonación de
tarjetas de crédito que la empresa debe asumir, sería clasificado como..

Banca Minorista. Tarjetas de Crédito, y

Fraude externo. Delitos informáticos.
Los eventos de pérdida pueden agruparse por línea de negocio
afectada

De acuerdo al negocio:

– Banca Corporativa Fusiones y adquisiciones, emisiones

– Banca de empresas Construccion, proyectos, exportaciones, descuentos
– Banca Minorista Préstamos, servicios bancarios, tarjetas
– Gestión de Activos Fideicomisos
– Intermediación Minorista Venta de seguros
– Negociación y ventas Renta fija, Divisas, Valores
– Pagos y liquidaciones Recaudaciones, pagos, transferencias de
fondos
– Servicios de agencia Cajas de seguridad, certificados…
Las pérdidas pueden agruparse por tipo de evento

Por tipos de pérdida

– Clientes, Productos y prácticas de negocio Incumplimiento

involuntario o negligente frente a clientes, diseño de productos.
– Daños a Activos fijos Desastres naturales y otros
– Fraude externo Realizado por terceros
– Fraude interno Con al menos una parte interna a la empresa
– Entrega procesos Procesamiento de operaciones, relaciones con
proveedores
– Interrupción del Negocio y fallos en el sistema Provenientes de
fallas en los sistemas de información
– Recursos Humanos Seguridad laboral, reclamos laborales, otros
 Recursos Humanos

Pérdidas / Riesgos clasificados por doble entrada Interrupción Negocio

Entrega de procesos

Fraude Interno

Fraude interno

Fraude Externo

Activos Fijos

Clientes y Productos
Actividades de control

Actividades de apoyo
Líneas de negocio
La gestión de Riesgos en los Proyectos

Un proyecto busca lograr un cambio, un nuevo producto o servicio,

algo que es definido y que tiene un costo, un alcance y un diseño que
lo hace único.
Los Proyectos fallan muchas veces, por razones atribuibles al propio
proyecto, como también a eventos externos.
– Sistemas inapropiados
– Cambios en los procesos
– Reingeniería
– Calidad total
– Implementación de nuevos productos
La Gestión de Riesgos de proyectos, está incluida en la Gestión de
Riesgo Operacional?
Gestión de Riesgos en los Proyectos

Mientras que algunos riesgos de proyecto pueden ser considerados

como riesgo operacional, otros permanecen en varias otros tipos de
riesgo.

Con frecuencia estos riesgos se ignoran, cuando se enfatiza el

problema de medición. Si ya es díficil estimar el riesgo operacional de
las actividades cotidianas…imaginemos lo díficil de estimar las
pérdidas de las actividades no cotidianas, que además son siempre
únicas.

No obstante, una buena Gestión de Proyectos, incluye siempre la

gestión de sus riesgos, sean estos operacionales o de otro tipo.
Posibles relaciones con la Gestión de Operaciones

a. La Gestión de Operaciones es lo mismo que

la gestión del riesgo operacional?

Por ejemplo:

1. La empresa no cuenta con procedimientos definidos

para verificar los antecedentes y referencias de un solicitante
de crédito.

2. La empresa no cuenta con un plan de desarrollo de sus

operaciones, no realiza planes estratégicos y además
cuenta con sistemas de información obsoletos.
La gestión de riesgos integrada a las operaciones

La gestión de Riesgos de Operación presupone un buen ambiente operativo, y

adecuados controles internos.

Entonces puede establecerse un segundo nivel de aseguramiento, centrado en

preguntarse que eventos pueden desencadenar pérdidas, si estos controles
pueden fallar y que pasaría si fallan. En estimar las posibles pérdidas y tomar
decisiones de
– Aceptar
– Evitar
– Transferir

La Gestión de Riesgos Operacional no es sustituto de buenas prácticas de

gestión.
Los errores operacionales, pueden ser con frecuencia simplemente errores y
no riesgo operativo!
Gestión del Riesgo Operacional

Un proceso, realizado por el personal, diseñado con el fin de disminuir

las pérdidas y aprovechar las oportunidades relacionadas a diversos
tipos de fallas operativas, internas o externas.

La gestión del Riesgo Operacional entonces tiene un claro

componente de negocio y favorece la estabilidad de los ingresos, y
aún la supervivencia de la empresa en caso de fallas extremas.

Quién es responsable por la gestión del Riesgo Operacional?

Las técnicas - Comparación

Gestión de la calidad
Certificaciones ISO
Mapas de Procesos
Six Sigma
Mapas de Riesgo
Balanced Scorecard
Matrices de Riesgo
Análisis de fuerzas
Indicadores de Riesgo
Autoevaluación
Gestión de Proyectos Análisis de escenarios
Indicadores de Proceso
Gestión de Programas Análisis de pérdidas
Gestión de la Seguridad
Gestión del Portafolio Distribuciones frecuencia
Gestión de la Continuidad
Balanced Scorecard? / severidad
Análisis de incidentes
Bases de datos de
Análisis de fallas
pérdidas
Gestión de crisis
Gestión de seguros
Frecuencia

Casi seguro

Muy Alta

Alta

Media

Baja

Muy Baja

10M 20M 50M 100M 1MM 10MM Extrema

 Distribución de Pérdidas

Frecuencia

Pérdidas Pérdidas
inesperadas extremas

Pérdidas Pérdidas acumuladas

esperadas
 Distribución de Pérdidas

Frecuencia

Casi seguro

Muy Alta

Alta

Pérdidas Pérdidas
Media
inesperadas extremas
Baja

Muy Baja

10M 20M 50M 100M 1MM 10MM Extrema

Resumen

El ámbito y herramientas de la gestión de riesgos de operacion ha ganado en

precisión de manera importante.

De la nueva clasificación se desprende claramente la responsabilidad de las

Gerencias de Negocios, de Riesgos y de Operaciones, entre otras para la
debida gestión del Riesgo Operacional.

No debe confundirse la gestión de operaciones con la gestión de los Riesgos

Operacionales. Aunque hay relaciones entre ambos temas, cada uno de ellos
tiene sus propias herramientas y disciplinas.

La evaluación de riesgos es aún un arte, y requiere juicio en el uso de las

metodologías tanto cualitativas como cuantitativas.
Gestión de Riesgos de Operación

Hacia el Nuevo Acuerdo

Agenda Sesión 2

Revisaremos los principales conceptos del Nuevo Acuerdo en lo que

se refiere a la gestión de Riesgos Operativos, con enfásis en los
métodos iniciales.

31
Los tres pilares del Nuevo Acuerdo – Riesgo
Operativo
Situación actual
ACUERDO DE CAPITAL DE BASILEA SOBRE RIESGOS DE OPERACION

Nivel Básico
Estandarizado Avanzado

El requerimiento de La empresa se Se requiere

capital se calcula descompone en 8 información consolidada
basado en líneas de negocio. en forma global y por
ingresos brutos Metodo alternativo línea de negocio
promedios de los incluye factor de Requerimiento basado
ultimos tres años corrección “m” sobre en medición interna
por un factor de los saldos de retail y sujeta a los criterios
15%, comerciales en definidos por el
Sin criterio reemplazo de acuerdo.
específico de ingresos brutos
Criterios definidos de
entrada
organizacion y gestión,
data y control

Adaptado de Operational Risk for financial institutions, 2000

REGLAMENTO DE ADMINISTRACION DE RIESGOS DE OPERACION
RESOLUCION 006 - 002

Nivel Básico*
Estandarizado*

Se espera que las El banco se descompone

empresas cumplan en líneas de negocio y
con el Reglamento. estas definen su propio
marco de evaluación

Alcance: Riesgo de Pérdidas directas en todas las empresas supervisadas excepto AFP
Situación Actual
Qué deben de tener en cuenta?

El método básico puede representar un cargo importante al capital.

Las empresas deben buscar acceder al método estandarizado cuando

menos.

Para ello, debe asegurarse:

– Un buen nivel de cumplimiento de la Regulacion vigente en riesgos
operativos.
– Integrar la gestión de riesgos en las áreas significativas.
– Asegurar un buen control de su área informática
Cuáles son los problemas usuales?

Evaluaciones de riesgos realizadas están desconectadas de la

operación diaria.

No incluyen las áreas significativas.

Los avances realizados por ejemplo con consultorías o proyectos, no

se internalizan.

Problemas estructurales en la organización informática

Cuáles son las oportunidades?

La gestión de riesgos operativos puede integrarse muy bien con

acciones de mejora y cambio.

Puede servir para reducir controles y costos.

Puede ayudar a mayor estabilidad en los ingresos

Puede mejorar la estabilidad a largo plazo de la empresa