Documentos de Académico
Documentos de Profesional
Documentos de Cultura
28/08/2020
Instructor: Iván Velástegui 1
CONTENIDO
5. Tecnología de la información
7. Riego Legal
2
EXPERIENCIAS RIESGO OPERATIVO
Bernard Madoff
3
RIESGO ?
• Entender el Riesgo Tipos de Riesgos - Gestión del Riesgo
• Causas - Efectos
• Probabilidad - Impacto
Tratamiento individual para cada riesgo
• Vulnerabilidad - Amenaza
Probabilidad Mayor
Impacto exposición al
ROP
Terrorismo
Causas
Fusiones
Nuevas
Actividades y
Sofisticación Canales
tecnología de
Globalización servicios El riesgo
de servicios financieros operativo no
Desregulación es nuevo.
5
FACTORES DE RIESGO OPERATIVO:
Eventos
Procesos Personas Tecnología Legal
Externos
N Reputacional
Estratégico
O Sistémico
6
Eventos de Riesgo Operativo
7
Eventos de Riesgo Operativo
Prácticas con
Interrupciones del Ejecución de clientes, productos
software procesos de gestión y negocios
• Problemas de • Errónea entradas de • Pérdida de
telecomunicaciones datos, información
• Apagones negocios y • Documentación legal confidencial,
sistemas públicos. incompleta, • Inapropiado manejo
• Accesos no aprobados de cuentas,
a las cuentas de • Lavado de activos,
clientes, rupturas de • ventas no autorizadas
contratos, de productos,
• Disputas con • Errores en contratos
proveedores y daños con clientes y
colaterales. proveedores.
8
Eventos de Riesgo Operativo
9
Manejo del Riesgo Operativo
10
El riesgo operativo en Instituciones
7. Riego Legal
12
Acuerdo de Basilea
Ambiente Administración
de Riesgo de Riesgos
Principios de Riesgo
1,2,3 4,5,6,7
Operativo
10 8,9
13
P1- Ambiente de desarrollo de riesgos
14
P2- Ambiente de desarrollo de riesgos
El Consejo de Administración
• Asegurar que el marco para la gestión
del riesgo operativo esté sujeto a un
proceso de auditoría interna eficaz e
integral por parte de personal
independiente, capacitado y
competente.
Imágenes google
15
P3- Ambiente de desarrollo de riesgos
17
P4- Administración de riesgos
18
P5- Administración de riesgos
19
P6 - Administración de riesgos
20
P7 - Administración de riesgos
21
P8 - Supervisores P9 - Supervisores
• Establecer procedimientos y mecanismos
de control
• Exigir a todas las entidades, sea • Evaluar los métodos de monitoreo
cual sea su tamaño que
mantengan un marco eficaz para • Evaluar la integridad del procedimiento de
identificar, evaluar, seguir y ROP
controlar o mitigar sus riesgos • Determinar la efectividad de las medidas de
operativos más relevantes, mitigación
como parte de su aproximación
general a la gestión de riesgos. • Evaluar los procesos para determinar las
necesidades de capital
• Evaluar la calidad de los reportes internos y
si estos son revisados
22
P10 - Divulgación
23
ISO 31000/2018 (Organización Internacional de Normalización)
Principios
Creación
Marco de Referencia Proceso
y
protección
Alcance,
contexto,
del valor
Comunicación
criterios
Seguimiento
y consulta
y revisión
Evaluación
Liderazgo y del Riesgo
Compromiso Terminación
del Riesgo
Registro e
informe
24
Principios: Creación y protección del valor:
Integrada
Mejora continua
25
Creación y Protección del valor:
Integrada
26
Creación y Protección del valor:
Inclusiva
Participación de las partes interesadas.
Dinámica Mejorar información disponible
Los riesgos son cambiantes, anticipar y responder a
los eventos de manera oportuna.
Factores humanos y culturales
27
Creación y Protección del valor:
Mejora continua
28
Marco de referencia
29
Proceso de la gestión de riesgos
31
Objetivos y Componentes del COSO
Componentes
32
Objetivos del COSO - ERM
OBJETIVOS
Estratégicos Operaciones
•Misión y Visión •Uso eficiente
de la entidad de los recursos
de la entidad
Información Cumplimiento
•Transparencia •Leyes y
de información regulaciones
interna y aplicables.
externa
33
Norma Australiana
Establecer el • Organizacional • Gestión de riesgos
contexto • Externo • Plan de trabajo
34
CONTENIDO
7. Riego Legal
35
Contexto Organizacional
Recursos requeridos
Roles y responsabilidades
36
Manual de ROP
Políticas, procesos y procedimientos
Roles y responsabilidades
37
Identificar los riesgos
Qué puede suceder ? Cómo puede suceder ? Efectos
Proceso de gestión de
Medir los riesgos
riesgo operativo
Estimar nivel de riesgo
Seguimiento
Continúo
38
Identificación de Riesgo Operativo
Metodología para MACROPROCESO
Identificar Procesos • Agrupación de procesos
PROCESO
• Conjunto de actividades que transforman
insumos en productos o servicios
SUBPROCESO
• Es la desagregación de un proceso
ACTIVIDAD
• Conjunto de Tareas
TAREA
• Procedimientos que conducen a un resultado
39
39
Clasificación Procesos Mapear los Procesos
Verificar la documentación
Solicitante
impresa y firmar la aceptación.
Se acerca al ISSFA para
Soluciono Entrega de Solicitud y requisitos Recibe notificación y soluciona 2 1
averiguar si puede acceder al SI
novedades? de ser el caso. el inconveniente generado
Préstamo Quirografario 3
1
operativos ¿Cumple
condiciones?
¿Esta correcto? SI
Determina monto y plazo
del crédito y actualiza
información en el sistema
1
soportan el Crédito
Quirografario
2
3
¿Cuenta Bancaria
SI
Actualizada?
JEFE DE SERVICIO CLIENTE/
JEFE DE AGENCIA
NO
Genera informes de los créditos Informar al solicitante
quirografarios generados que actualice cuenta 2
diariamente y remite a Crédito bancaria
1 4
2
Recibe la documentación Legaliza y envía los Recibe las novedades y genera la Recopila y Archiva la
Generación de
Crédito
entregada por Servicio al reportes a Tesorería y los COBRANZAS nueva orden de pago y el reporte documentación generada durante
los reportes
Cliente y Agencias pagares para su custodia de las novedades solucionadas todo el proceso
1 7 FIN
4 6 2 6
2
3
3 4
3 Documentos Generados
Recibe la información generada en
Tesoreria
Remite a Crédito para 1. Solicitud de Préstamo / Requisitos Préstamo
el Dpto. de crédito y procede con ¿Existen 2. Pagare
SI que se solucione el
la transferencia a las cuentas novedades? 3. Tabla de Amortización
inconveniente. 4. Reporte de Solicitudes de Préstamo/ Solicitudes de Préstamo
bancarias de los beneficarios
6. Archivo Magnético/Factura de créditos pre-aprobados/
NO Reporte detallado / Listado de Pagares
7. Reporte Novedades solucionadas
40
40
Líneas de Negocio
Basilea
Minorista • Recepción de depósitos
• Otorgamiento de créditos consumo y vivienda.
• Negociación de letras de cambio, pagarés, facturas, que representen
obligación de pago creados por ventas a crédito.
Microfinanzas • Préstamos de microcrédito
• Ahorro o transferencias a personas naturales que provenga de actividades
económicas de menor escala
Tarjetas • Actividades y servicios de tarjetas de crédito, débito, pago y prepago
Comercial • Crédito comercial de primer piso, operaciones financieras de segundo
piso del sector popular y solidario
Inmobiliaria • Planificación, construcción y comercialización de proyectos de vivienda
Compensación de pagos • Gestión de pagos, transferencias y compensación
Tesorería tradicional • Gestión de liquidez y administración de flujo de fondos.
41
Identificación de Riesgo Operativo
FACTORES EVENTOS
Tipo
Crítico
Frecuenci
a
Nivel
• Gobernante • Macro • Diario • SI
• Productivo • Proceso • Semanal • NO
• Apoyo • Subproceso • Mensual
Base de datos los distintos
procesos, que permita: BASE DE DATOS – CUBO DE INFORMACION
La rápida identificación,
• Tesorería
Áreas
Manual
Ejecutoras
Ejecución
Supervisión
Supervisión
Nivel de
Nivel de
clasificación, jerarquización • Asistente • Director • SI
con un enfoque de • Técnico • Subgerent • Crédito • NO
• Director e • Contabilidad
administración de riesgos. • Gerente
42
Identificación de Riesgo Operativo
43
Identificar los riesgos
Qué puede suceder ? Cómo puede suceder ? Efectos
Seguimiento
Continúo
44
Costos de las fallas en la Identificación de Riesgos
CONSECUENCIAS
CAUSAS, FUENTES
45
Analizar el Riesgo Operativo
Identificar
Pérdidas y Amenazas al cumplimiento
de objetivos, estratégicos y de negocio
Probabilidad
1. Insignificante A. Mu Baja
Riesgo
D
Bajo
C 2. Menor B. Baja
Moderado
B 3. Moderado C. Moderada
Alto
A 4. Alto D. Alta
Crítico
5. Catastrófico E. Muy Alta
1 2 3 4 5
46
Analizar el Riesgo Operativo
Probabilidad Nivel Descripción Impacto Nivel Descripción Riesgo Nivel Descripción
A Muy baja 1 Insignificante 1 Bajo
B Baja 2 Menor 2 Moderado
C Moderada 3 Moderada 3 Alto
D Alta 4 Alto 4 Crítico
E Muy Alta 5 Catastrófico
47
Identificar los riesgos
Qué puede suceder ? Cómo puede suceder ? Efectos
Proceso de gestión de
riesgo operativo Analizar los riesgos
Determinar probabilidad Determinar impacto
Seguimiento
Continúo
48
Medición del Riesgo Operativo
50
Medición del Riesgo Operativo
P-
I- I+
Dentro del riesgo aceptado
P = Probabilidad / I = Impacto
51
Limitaciones uso de la matriz
El análisis del riesgo en función de dos Calculo de la Probabilidad:
variables Probabilidad / Impacto, pudiera
generar desviaciones en la percepción de Análisis de las Vulnerabilidades y Amenazas
algunos riesgos de un determinado evento de riesgo
P+ Vulnerabilidad
A
m
e
n
a
z
I+
a
52
Medición del Riesgo Operativo – Método Cuantitativo
OBJETIVO:
Medir la máxima perdida posible en un intervalo
de tiempo y bajo un intervalo de confianza
determinado.
53
Medición del Riesgo Operativo – Método Cuantitativo
• Método Básico
• Método Estándar
• Metodología Estandarizada
• Métodos Avanzados
54
Medición del Riesgo Operativo – Método Cuantitativo
Elementos necesarios para la medición Los sistemas de medida deben
del Riesgo Operativo –AMA- considerar
• Mitigación del riesgos
• Correlación de los eventos
55
CONTENIDO
7. Riego Legal
56
Identificar los riesgos
Qué puede suceder ? Cómo puede suceder ? Efectos
Seguimiento
Continúo
57
Gestión de Riesgo Operativo
58
Gestión de Riesgo Operativo
59
Gestión de Riesgo Operativo
Medidas de Mitigación
Antes de Medidas
la Severidad del riesgo Reducir
Transferir
inherente por el
porcentaje de
Medidas
Después
mitigación del control
de
60
Transferencia del riesgo - Póliza de seguros
Evitar
Nivel de Riesgo
Gestión Interna Alertar
Reducir
Transferir Seguro
Riesgo Asumido
61
POLIZA DE SEGUROS
62
TIPOS DE POLIZAS
63
Riesgo de Tercerización
64
Tercerización de Servicios Financieros
Objetivos:
• Reduce Costos
• Transferir Riesgos o
o
o
o
o
o
o Pueden ser empresas donde
o la administración y el
o cumplimiento del proveedor
IF o no esta regulado.
o
Productos y Servicios
65
Tercerización de Servicios Financieros
66
Tercerización de Servicios Financieros
67
CONTENIDO
7. Riego Legal
68
Definición
C Control
OB Objectives
I for Information
T and Related Technology
69
COBIT 5 - GEIT
70
COBIT 5
Orientado a Procesos - Organizado en cuatro dominios:
Adquirir e Entregar y
Implementar dar soporte COMITÉ DE TI
Monitorear y Evaluar
71
Modelo de Madurez
Situación actual de la empresa Optimizado
Promedio de la Industria
Objetivo de la empresa
Administrado
Definido
Repetible
Inicial
Inexistente
72
Modelo de Madurez COBIT
73
Seguridad de la información - SGSI
Adecuada interrelación de normas, procedimientos, Cyberseguridad
Seguridad física
mecanismos y recursos en una ADECUADA estructura
de la Organización.
74
Vulnerabilidades - Cyberseguridad
75
Seguridad de la información - SGSI
76
Sensibilidad de la información
Criterios de sensibilidad de la información
77
Actores de la información
USUARIO
• Empleados a quienes
les ha asignado
licencias de uso de
CUSTODIO software o Sistemas de
Información para el
PROPIETARIO • Responsable de desempeño de sus
guardar, mantener y funciones.
• Responsable de proteger • Son responsables de
identificar, clasificar y adecuadamente los conocer el nivel de
establecer las medidas activos de información protección designado y
de protección según su clasificación. cumplir con los
adecuadas a cada controles establecidos
categoría. para su protección.
78
Respaldo de la información
Estrategia de respaldo de
información: Datos de aplicaciones centralizadas
79
Matriz de clasificación de la información
CLASIFICACION USUARIOS
CATEGORIAS Secreta Sensible Uso Pública Propietario Custodio Múltiples Grupos Individuales
Interno
80
CONTENIDO
7. Riego Legal
81
Aspectos Generales : Plan Continuidad del Negocio
Concepto
Un plan que mantiene la continuidad de los procesos críticos del negocio
requeridos a un nivel aceptable de operación desde el momento de ocurrencia
de un evento de interrupción de los mismos y/o de los recursos que los soportan
hasta la recuperación de la normalidad.
Operación Operación
Activación PCN Normal
Normal
Establecer Operación
de emergencia
Recuperación
82
Aspectos Generales : Plan Continuidad del Negocio
Objetivos:
83
Recomendaciones Basilea (BIS)
84
Recomendaciones BIS
85
Recomendaciones BIS
86
Recomendaciones BIS
4.- Comunicaciones internas y externas:
88
Fases del plan de
continuidad Preparar el
proceso
Desarrollar
Analizar
cultura
los riesgos
apropiada
CICLO DE VIDA
PARA GESTIONAR
LA CONTINUIDAD
DEL NEGOCIO
Identificar procesos críticos
• Indispensable para la continuidad del Probar y Definir la
negocio y las operaciones monitorear estrategia
• Falta de identificación y aplicación
puede generarle un impacto financiero Desarrollar
negativo respuesta
a incidente
89
https://www.youtube.com/watch?v=xsFYbkY3aeI&t=216s
28/08/2020 90
3. Definición del Plan de Continuidad
Identificación de riesgos potenciales y amenazas
91
3. Definición del Plan de Continuidad
Valoración de Riesgos:
• Limitaciones:
• Identificar todas las amenazas y estimaciones de probabilidad para riesgos
operacionales catastróficos.
• Determinar la formula para priorizar las amenazas y tabular un sistema scoring:
92
3. Definición del Plan de Continuidad
Matriz de Eventos de Riesgo
IMPACTO
2 3Alto Evento Definición Probabilidad Impacto
PROBABILIDAD
S
2 Temblor Alta Controlable
LE
RA
3 Incendio Baja Crítico
TU
1 3 4 1Bajo
NA
4 Terremoto Baja Devastador
1 2 3
93
3. Definición del Plan de Continuidad
Valoración del impacto de los eventos de riesgo en los procesos
ANALISIS DE CRITICIDAD
Descripción Tiempo de interrupción
Vitales:
Sensitivos:
94
3. Definición del Plan de Continuidad
Valoración de Impacto de los Eventos de Riesgo en TI
Esenciales
Demoradas
Suspendidas
95
3. Definición del Plan de Continuidad
Desarrollo de una respuesta
96
3. Definición del Plan de Continuidad
97
3. Definición del Plan de Continuidad
98
3. Definición del Plan de Continuidad
PROCESO
• Depósitos
• Cartera
• Inversiones Día 1 / Día 2 / Día 3
• Contable RECURSOS
• Fideicomisos • Personal
• Cubículos, Escritorios,
Sillas, Teléfonos, Pc's,
Impresoras,
Copidaoras.
99
3. Definición del Plan de Continuidad
100
3. Definición del Plan de Continuidad
Procedimientos de emergencia
101
CONTENIDO
7. Riego Legal
102
RIESGO LEGAL
Definición BIS, la posibilidad de ser Definición SEPS, Es la probabilidad de que una entidad incurra
sancionado, multado u obligado a en pérdidas debido a la inobservancia e incorrecta aplicación
pagar daños punitivos como de disposiciones legales, normativas e instrucciones emanadas
resultado de acciones supervisoras por organismos de control; aplicación de sentencias o
o de acuerdos privados entre las resoluciones judiciales o administrativas adversas; deficiente
partes. redacción de textos, formalización o ejecución de actos,
contratos o transacciones o porque los derechos de las partes
contratantes no han sido debidamente estipuladas.
• El Riesgo Legal, desde la perspectiva del ROP debe ser identificado, valorado
mediante escalas cualitativas y cuantitativas.
• Debe ser comunicado y monitoreado periódicamente por los niveles
administrativos.
103
RIESGO LEGAL
OBJETIVOS
ALCANCE
104
104
RIESGO LEGAL – Clasificación
• Riesgo de documentación: Documentos incorrectos o extraviados, o la
inexistencia de ellos, que incida negativamente en las actividades de negocio.
105
RIESGO LEGAL – Categorización
106
Aspectos del Riesgo Legal
• Leyes
• Decretos
1. 2. • Normas 1 Elemento esencial en
Entorno Legal
y
Políticas el sistema financiero
Cumplimiento Variables internas de a fin de evitar
cumplimientos problemas
permanente. Políticas relacionados a lavado
3. relacionadas con: el de activos y
Conocimiento
negocio, recursos adicionalmente con el
clientes humanos, clientes, riesgo reputacional.
terceros, etc.
2 3
107
Matriz de riego legal
108
Control del riego legal
• Operaciones estén de conformidad con las disposiciones legales
• Incursión de nuevos productos o mercados deben contar con un análisis de riesgo
legal
• Políticas para que previo a la celebración de actos jurídicos se analice su validez
• Manual de políticas legal
• Reportes de riesgo legal: estado de los juicios, pérdida esperada
• Cumplimiento de políticas, verificado por las áreas de control, riesgo y auditoria,
al menos una vez al año.
• Valoración de Demandas, Multas
109
Imágenes google