Trabajo Final Integrador

Universidad
de Buenos Aires
Posgrado y Maestría
en Seguridad
Informática
Trabajo Final Integrador
Trabajo Final
Especialización en
Seguridad Informática
Gestión del Riesgo Operacional
en las Entidades Financieras
Autora
Elisabet Moreno
Cohorte
2009
Profesor
Raúl Saroka
Noviembre de 2009 / Marzo 2010

Propuesta del Trabajo Final Integrador de la Especialización en Seguridad
Informática

Tema

en las Entidades Financieras

Antecedentes y motivación
Los negocios de las organizaciones actuales están soportados por tecnologías de información.
A medida que se incorporan a las empresas nuevas tecnologías de información, la información
se convierte en un valioso activo intangible. La calidad de los datos se considera un factor
crítico de éxito dentro de los sistemas de información, por lo tanto requieren una atención
especial para asegurar el cumplimiento de los objetivos de la organización.
Asimismo, el factor riesgo está presente en todas las actividades y procesos que se desarrollan
en una organización. Dentro de este contexto se encuentran las entidades financieras que
junto con la tecnología han creado un conjunto de servicios financieros que llevan aparejados
un gran número de riesgos operacionales. Por esta razón surge la necesidad de mejorar la
gestión del riesgo operacional en las entidades financieras.
El Acuerdo de Capitales de Basilea II, perteneciente al Comité de Supervisión Bancaria de
Basilea, es un marco metodológico para el tratamiento de riesgos y es un estándar a nivel
internacional para la medición y gestión de riesgos. Por esta razón el Banco Central de la
República Argentina emitió una serie de comunicaciones para adoptar gradualmente este
proceso desde Diciembre de 2006 hasta su implementación efectiva a partir de Enero del
2010.
Debido a la entrada en vigencia de las comunicaciones del Banco Central de la República
Argentina alineado con los lineamientos propuestos por Basilea II, el objetivo de este trabajo
es analizar los antecedentes normativos de la materia de estudio y las normas vigentes a
aplicarse, realizar una investigación de los temas relacionados con la problemática y como se
aplican en la normativa y por último como impacta en las entidades financieras el
cumplimiento de esta nueva normativa.

Hoja de ruta
Para realizar este trabajo utilicé el Plan de Proyecto que se describe a continuación:
Fase I Elevación y aceptación de la propuesta del trabajo ante el Comité Académico.
Noviembre 2009.
Fase II Recopilación bibliográfica e investigación sobre temas relacionados y antecedentes.
Diciembre 2009.
Fase III Análisis del contenido de las comunicaciones BCRA “A” 4793, “A” 4854 y “A” 4904.
Diciembre 2009.
Fase IV Diseño de la estructura y contenido del trabajo final. Diciembre 2009.
Fase V Documentación del trabajo. Enero/Febrero 2010.
Fase VI Revisión y Aprobación del trabajo. Marzo 2010.
Fase VII Presentación y Defensa del Trabajo Final Integrador. Marzo 2010
Agradecimientos
Quiero en primer lugar agradecer a mi familia que me acompañó incondicionalmente en este
proyecto personal de cursar el posgrado, a mis compañeros de curso con los que compartí el
orgullo de trabajar en equipo, a mis colegas de trabajo que son especialistas en la materia y
que me brindaron su valiosa colaboración para elaborar este trabajo y finalmente a los
profesores que me motivaron para realizar este trabajo final.

Gestión de Riesgo Operacional en las Entidades Financieras ‐ Trabajo Final Integrador ‐ Marzo 2010
Tabla de contenido

Propuesta del Trabajo Final Integrador de la Especialización en Seguridad Informática ............. 2
Tema .......................................................................................................................................... 2
Antecedentes y motivación ....................................................................................................... 2
Hoja de ruta ............................................................................................................................... 3
Agradecimientos ....................................................................................................................... 3
Gestión del Riesgo Operacional en las Entidades Financieras ...................................................... 6
Introducción .............................................................................................................................. 6
Objetivo y Alcance ..................................................................................................................... 6
Esquema del trabajo ................................................................................................................. 6
¿Qué es Basilea II? ..................................................................................................................... 7
Basilea II y como medir el RO .................................................................................................... 8
Basilea II en Argentina ............................................................................................................... 9
Conceptos básicos ....................................................................................................................... 10
Definición de Riesgo Operacional ........................................................................................... 10
Definición de Riesgo Legal ....................................................................................................... 11
Definición de Riesgo Estratégico ............................................................................................. 11
Definición de Riesgo Reputacional .......................................................................................... 11
Análisis de la normativa del BCRA ............................................................................................... 11
Comunicaciones del BCRA ....................................................................................................... 11
Comunicación “A” 4609 y la Gestión del Riesgo Operacional ................................................. 12
Algunas conclusiones acerca de la comunicación “A” 4609 y el Riesgo Operacional ............. 15
Comunicación “A” 4793 y la Gestión del Riesgo Operacional ................................................. 16
Definición de Riesgo Operacional y algunos ejemplos........................................................ 17
Gestión del Riesgo Operacional .......................................................................................... 18
Categorías de los eventos de pérdida ................................................................................. 19
Comunicaciones “A” 4854, “A” 4954, “A” 4993, “A” 5009 y “A” 5010 ................................... 21
Desafíos en la implementación del proceso de Gestión del Riesgo Operativo .......................... 21
Conclusiones ............................................................................................................................... 22
Acrónimos ................................................................................................................................... 24
Tabla de figuras ........................................................................................................................... 24
Recursos bibliográficos y en Internet .......................................................................................... 25
Autora: Elisabet Moreno DNI 16.894.443
Profesor: Raúl Saroka
Universidad de Buenos Aires – Posgrado y Maestría en Seguridad Informática 4/ 25


Gestión del Riesgo Operacional en las Entidades Financieras

Introducción
Los resultados obtenidos de las experiencias de la industria bancaria revelan que el negocio
bancario consiste en administrar correctamente los riesgos derivados de su actividad
financiera tales como el riesgo de crédito y el riesgo de mercado.
El tratamiento del Riesgo Operacional (RO) no es algo nuevo en muchas organizaciones,
particularmente en las entidades financieras este tema es algo que se viene considerando hace
bastante tiempo.
Sin embargo esta práctica se realizaba como una gestión individual de RO, sin una categoría
propia bien definida, como un riesgo residual de otro tipo de riesgos considerados más
importantes.
A pesar de observarse un avance significativo en esta materia, tanto en la medición como en la
administración del riesgo operacional, las prácticas no eran homogéneas ni la información
estaba estandarizada.
Asimismo el acceso a esta información era restringido y al no disponerse de un criterio
unificado, el análisis de estos datos no resultaba objetivo. Por lo tanto, surge la necesidad de
establecer un estándar aplicable a todas las entidades financieras en esta cuestión para poder
contar con métricas adecuadas y tomar medidas asociadas a estos riesgos, aplicando una
metodología de mejora continua de los procesos en cuestión.
Objetivo y Alcance
El presente trabajo intenta definir de que se trata el Riesgo Operacional (RO) y como se debe
gestionar este riesgo dentro del ámbito de las entidades bancarias de la República Argentina.
Por su parte el Banco Central de la República Argentina exige el cumplimiento por parte de las
entidades de gestionar este riesgo mediante la identificación, evaluación, seguimiento, control
y mitigación.
Para el logro de este objetivo se involucra a la Alta Dirección de las entidades para que
participen de este proceso. El BCRA además determina que las entidades deben conformar
una Base de Datos sobre eventos de Riesgo Operacional para presentar trimestralmente al
Banco Central dentro del Régimen Informativo Contable.
Esquema del trabajo
Este trabajo no pretende ahondar en los temas específicos de la supervisión bancaria sino que
se enfoca exclusivamente en el riesgo operacional de las entidades financieras. El principal

antecedente quedó establecido en el Comité de Basilea II, en el que se enfatiza la importancia
que ocupa el riesgo operacional y por este motivo se incluye una breve descripción de dicha
recomendación como punto de partida. Luego continúo con la situación en la Argentina, entre
el Banco Central de la República Argentina y el acuerdo de Basilea II para ubicarnos en el
estado de situación actual.
Inmediatamente se brindan los conceptos básicos y sus definiciones para avanzar con una
mayor claridad en la comprensión del tema. Se define Riesgo Operacional, el Riesgo Legal, el
Riesgo Estratégico y Riesgo Reputacional. Para evitar confusiones se extrajeron estas
enunciaciones a partir de lo establecido por las “Sanas Prácticas de gestión y supervisión del
Riesgo Operacional” de Basilea II.
Una vez establecido el escenario, continúo con una descripción de la misión del Banco Central
de la República Argentina, sus funciones y las comunicaciones emitidas por la entidad. A partir
de allí se comienza a analizar las comunicaciones más relevantes relacionadas con nuestro
tema de interés que es el Riesgo Operacional. Esto incluye a las comunicaciones “A” 4609 y “A”
4793. Se presentan en detalle estas comunicaciones y se analizan cuáles son los elementos
más relevantes y novedosos de estas normativas.
Por último se extraen un conjunto de conclusiones y consideraciones finales acerca del trabajo,
destacando los puntos principales que se observaron a los largo del mismo a modo de hilo
conductor y como una visión resumida de lo aprendido.
¿Qué es Basilea II?
Los acuerdos de Basilea son un conjunto de recomendaciones sobre legislación y regulación
bancaria y son emitidos por el Comité de Supervisión Bancaria de Basilea. En junio de 2004 se
publicó el documento “Convergencia internacional de medidas y normas de capital. Marco
revisado” conocido como Basilea II, que establece un estándar internacional para asegurar la
protección de las entidades frente a los riesgos financieros y operativos.
Esta recomendación se considera una mejora en la flexibilidad, respecto a su antecesora
denominada Basilea I, porque tiene en cuenta las variaciones de riesgo y la calidad crediticia.
Basilea II está estructurada en 3 pilares: Pilar I – Requisitos mínimos de capital, Pilar II –
Revisión de la supervisión y Pilar III – Disciplina del mercado.
Con respecto al Pilar I se contemplan los requisitos mínimos de capital de acuerdo al riesgo
operacional, el BCRA adopta el Enfoque Estandarizado Simplificado para riesgo crediticio.
En cuanto al Pilar II permite incrementar el nivel prudencial exigible a los bancos mediante la
utilización de datos estadísticos y la revisión del supervisor. El Pilar II además exige a la Alta
Dirección que se involucre en el control de riesgo financiero y operacional e incluso alienta a
incorporar otro tipo de riesgos intangibles como por ejemplo el riesgo reputacional y el riesgo
legal.

En el Pilar III se refiere a la disciplina de mercado, se busca establecer normas de transparencia
y buenas prácticas bancarias mediante informes de riesgos homogéneos publicados por los
distintos bancos.

Figura 1. Pilares de Basilea II
Basilea II introduce el concepto de gestión del RO que comprende la identificación, evaluación,
monitoreo, control y mitigación de ese riesgo. Además fija por primera vez un cargo de capital
explícito para atender pérdidas provenientes de eventos de RO y propone la aplicación
efectiva de las buenas prácticas dictadas en la materia como precondición para cuantificar ese
capital destinado a cubrir el RO.
En cuanto a la adopción de estas recomendaciones podemos observar que Basilea I ha sido
adoptada por más de 100 países. Por su parte, de acuerdo al Financial Stability Institute (FSI),
al menos 95 países indicaron que implementarían Basilea II e incluso varios países anunciaron
sus cronogramas de implementación. Estas recomendaciones ya están implementadas en toda
la Unión Europea, Japón y Australia.
Basilea II y como medir el RO
El riesgo operacional u operativo, está definido como las pérdidas resultantes de procesos,
personal o sistemas internos inadecuados o defectuosos o bien acontecimientos externos.
Incluye el riesgo legal y excluye el riesgo estratégico y de reputación.
La cuantificación de este riesgo plantea la necesidad de desarrollar técnicas que permitan
medirlo de la manera mas ajustada a sus actividades y riesgos subyacentes. Para esto existen

varias alternativas posibles que se describen a continuación: Método del Indicador Básico,
Método Estándar y el Método de Medición Avanzada.
Las entidades que utilicen el Método del Indicador Básico, deberán cubrir el riesgo operativo
con un capital equivalente a un porcentaje fijo, denominado alfa, de los ingresos brutos
promedio de los tres últimos años. Dado que el método del Indicador Básico constituye el
punto de partida del proceso de cálculo del capital, en el Nuevo Acuerdo no se detallan
criterios específicos de utilización, pero aconseja seguir los lineamientos del documento
emitido “Sanas Prácticas para el Manejo y Supervisión del Riesgo Operativo”
El Método Estándar consiste en dividir las actividades de los bancos en ocho líneas de negocios
y el requerimiento de capital de cada línea se calcula multiplicando el ingreso bruto por un
factor denominado beta, que se asigna a cada línea. El requerimiento de capital se calcula por
suma simple de valores ponderados correspondientes a cada línea de negocios.
Por último en el Método de Medición Avanzada, la exigencia de capital por riesgo operativo es
determinada por un sistema interno de estimación de riesgo operativo propio de cada entidad,
mediante la aplicación de criterios cuantitativos y cualitativos, y requiere la autorización del
supervisor para su implementación.
Basilea II en Argentina
El Banco Central de la República Argentina, responsable del marco regulatorio para la
entidades bancarias, emitió en Diciembre de 2006 una “Hoja de ruta” informando año por año
los pasos a seguir para adoptar gradualmente este proceso, desde Enero de 2007 hasta su
implementación efectiva a partir de Enero del 2010.
En la elaboración de la “Hoja de ruta” se tuvieron en cuenta los datos reunidos en un estudio a
octubre 2006, que permitió constatar que en materia de administración del RO, gran parte del
sistema financiero argentino estaba en una etapa primaria, sin desarrollos generalizados de
sistemas integrales, pese a lo cual, se visualizaba a la medición y control del RO como un factor
importante.
Transcurridos los dos primeros años, se cumplieron en tiempo y forma todos los pasos
previstos inicialmente, con la cual se busca prevenir y mitigar en nuestro sistema bancario las
vulnerabilidades ante las nuevas formas de riesgo y fraude que causan enorme pérdidas en el
sistema financiero a nivel internacional.
En este esquema se publicaron los lineamientos generales para adoptar Basilea II y un
cronograma con tareas específicas a desarrollar para avanzar en el proceso de
implementación. Adicionalmente el BCRA realizó una serie de publicaciones que le dan soporte
a este proceso como las comunicaciones “A” 4609, “A” 4793, “A” 4854, “A” 4904, “A” 4993,
“A” 5009 y “A” 5010, las que analizaremos más adelante.

Conceptos básicos
Definición de Riesgo Operacional
Pueden encontrarse diferentes definiciones para Riesgo Operacional dentro de la literatura
especializada, pero en este trabajo utilizaré la definición correspondiente al Comité de Basilea
para la Supervisión Bancaria BCBS (2003) de “Sanas prácticas de gestión y supervisión del
Riesgo Operacional”.
El riesgo operacional (RO) es el riesgo de pérdidas resultantes de la falta de

adecuación o fallas en los procesos internos, las personas, los sistemas o por
eventos externos. Esa definición incluye al riesgo legal, pero excluye el riesgo
estratégico y reputacional.

Figura 2. Definición de Riesgo Operacional
En la Comunicación “A” 4793 se provee una definición equivalente. De acuerdo a lo
establecido en el alcance de la definición del RO, se incluye el riesgo legal pero no se incluye el
riesgo reputacional ni estratégico. Adicionalmente, en dicha Comunicación en el punto 1.1 de
la “Sección I. Conceptos” se da una definición para riesgo legal, estratégico y reputacional.

Definición de Riesgo Legal
El riesgo legal, que puede verificarse en forma endógena o exógena a la entidad
financiera, comprende, entre otros aspectos, la exposición a sanciones,
penalidades u otras consecuencias económicas y de otra índole por
incumplimiento de normas y obligaciones contractuales.
Definición de Riesgo Estratégico
Se entiende por riesgo estratégico al procedente de una estrategia de negocios
inadecuada o de un cambio adverso en las previsiones, parámetros, objetivos y
otras funciones que respaldan esa estrategia.
Definición de Riesgo Reputacional
Por su parte, el riesgo reputacional se refiere a la posibilidad de que se
produzca una pérdida debido, entre otros casos, a la formación de una opinión
pública negativa sobre los servicios prestados por la entidad financiera -
fundada o infundada-, que fomente la creación de una mala imagen o un
posicionamiento negativo de los clientes, que conlleve a una disminución del
volumen de clientes, a la caída de los ingresos, de los depósitos, etc.
Cada entidad podrá adoptar a su criterio una definición de riesgo operacional

mas amplia, adecuándola a su realidad y necesidades, siempre que, como
mínimo, se incluyan los conceptos contemplados precedentemente.

Análisis de la normativa del BCRA
Comunicaciones del BCRA
De acuerdo a la Carta Orgánica del BCRA, Ley 24.144, en el CAPITULO I “Naturaleza y Objeto”,
artículos 1º y 3º se establece que el Banco Central de la República Argentina es una entidad
autárquica del Estado Nacional cuya misión primaria y fundamental es preservar el valor de la
moneda. Para llevar a cabo esta misión, el Banco Central formula y ejecuta la política
monetaria y financiera.
Las atribuciones para el cumplimiento de su misión son la regulación de la cantidad de dinero y
del crédito en la economía y el dictado de normas en materia monetaria, financiera y
cambiaria conforme a la legislación vigente. Es la entidad que tiene la facultad de emitir el
dinero.
Son funciones del Banco Central vigilar el buen funcionamiento del mercado financiero y
aplicar la Ley de Entidades Financieras y demás normas que se dicten. De esta manera el BCRA
publica una serie de comunicaciones para establecer temas normativos para aplicar en las
entidades financieras. Estas se encuentran ordenadas de acuerdo al tipo de comunicación y su
agrupamiento.

En este trabajo se analizarán las comunicaciones de tipo “A” que pertenecen a la categoría
temas normativos de carácter permanente y a los agrupamientos denominados RUNOR
(Rubros no comprendidos en otros ordenamientos) y CONAU (Contabilidad y Auditoría) que
hace referencia a las normas contables para las entidades financieras. En particular para el
interés de este trabajo, se analizarán las comunicaciones “A” 4609, “A” 4793 y sus
comunicados relacionados.
Comunicación “A” 4609 y la Gestión del Riesgo Operacional
El BCRA publicó el 27 de diciembre de 2006 la comunicación “A” 4609 Circular RUNOR 1‐805,
que contiene un conjunto de normas aplicables a todas las Entidades Financieras. En la misma
se establecen los requisitos mínimos de gestión, implementación y control de los riesgos
relacionados con tecnología informática, sistemas de información y recursos asociados.
Relacionado con el objeto de estudio del presente trabajo, se encuentran en la comunicación
“A” 4609 algunos puntos vinculados al riesgo: por un lado el análisis y control de riesgos y por
otro lado una breve mención del Riesgo Operacional. A continuación se destacarán estos
puntos y su análisis correspondiente.
Esta comunicación está compuesta por un conjunto de secciones organizadas de la siguiente
manera:

Figura 3. Estructura de la comunicación “A” 4609

En la Sección 2, denominada “Organización funcional y gestión de tecnología informática y
sistemas”, el punto 2.3 establece el requerimiento del análisis de riesgos.
2.3. Análisis de Riesgos.
El Directorio, o autoridad equivalente, será responsable de la existencia de

mecanismos de control del grado de exposición a potenciales riesgos inherentes a los
sistemas de información, de la tecnología informática y sus recursos asociados. Serán a
la vez los responsables primarios de observar su continua ejecución.
Se deberá evidenciar la existencia de análisis de riesgos formalmente realizados y

documentados sobre los sistemas de información, la tecnología informática y sus
recursos asociados. Los mismos permanecerán disponibles para su revisión por parte
de la Gerencia de Auditoría Externa de Sistemas de la Superintendencia de Entidades
Financieras y Cambiarias.
Los resultados de los análisis mencionados y sus actualizaciones periódicas deben ser
formalmente reportados al Directorio, o autoridad equivalente, que será el responsable
primario de gestionar que las debilidades que expongan a la entidad a niveles de riesgo
alto o inaceptable sean corregidas a niveles aceptables.

Figura 4. Comunicación “A” 4609 – Análisis de Riesgos
En este punto se establece como requisito la existencia de análisis de riesgos en la Entidades
Financieras, los mismos deberán ser realizados formalmente y estar documentados. Asimismo
aclara que estos análisis deberán aplicarse a los sistemas de información, la tecnología
informática y sus recursos asociados. Agrega que deberán estar disponibles para su revisión
por parte de las dependencias encargadas de la auditoría y supervisión del BCRA.
Cabe destacar que la comunicación hace un énfasis especial en cuanto a la responsabilidad de
la Dirección Superior con respecto a la existencia de los mecanismos de control relativos al
control de los riesgos, al que le asigna un grado de responsabilidad primaria de observar su
continua ejecución.
En la Sección 6, denominada “Banca electrónica por diversos medios”, en el punto 6.3, se
encuentra el único párrafo de la comunicación en donde se mencionan los riesgos
operacionales.

6.3 Operatoria y control de las transacciones cursadas por medio de puntos de

venta (POS) utilizando débito directo en cuentas con tarjetas de débito.
La operatoria realizada por medio de puntos de venta (POS) con el uso de las
tarjetas de débito en cuenta, conllevan un importante nivel de riesgo operacional.
Para minimizar la exposición al mismo, se deben aplicar las siguientes medidas de
seguridad:
Las entidades deben requerir a los comercios asociados a la red de puntos de

venta que soliciten al cliente la presentación de su documento de identidad, a
efectos de verificar la correspondencia con el titular de la tarjeta de débito.
La tarjeta de débito, habilitada para realizar compras a través de puntos de

venta, deberá permitir la asociación de una clave de identificación personal distinta
a la utilizada para el resto de los canales electrónicos (cajeros automáticos, banca
por Internet, otros).
Las transacciones de compra deben, en todos los casos, requerir el ingreso de la

clave de identificación personal, y se emitirá un comprobante que deberá ser
firmado por el titular de la tarjeta, quedando una copia en poder del mismo.
Los sistemas de seguridad, aplicativos y operativos que operen con los sistemas
de punto de venta, deben restringir el acceso para la realización de transacciones
después de tres intentos de acceso fallido. Sólo deben reactivarlo por solicitud del
titular de la cuenta asociada a la clave de identificación personal, comprobando
fehacientemente su identidad en forma previa.
Se deben registrar, en tiempo real, todas las transacciones y mensajes del sistema
que administra los puntos de venta, para uso de los responsables del control y de la
auditoría. Este registro debe reunir todas condiciones de seguridad e integridad en
relación con la no alteración del estado registrado originalmente, con el fin de
garantizar su confiabilidad. Se conservará durante 10 (diez) años, y deberá estar
disponible en caso de que la Gerencia de Auditoría Externa de Sistemas de la
Superintendencia de Entidades Financieras y Cambiarias lo requiera para su
control.

Figura 5. Comunicación “A” 4609 – Operatoria y Control de las transacciones cursadas por medio de
Puntos de Venta (POS) utilizando tarjetas de débito
La llamada “Banca electrónica” consiste en la entrega de los productos y servicios de las
entidades financieras, a través de medios electrónicos, tanto a los usuarios internos como a los
clientes de la entidad (o usuarios externos). Por lo tanto incluye a los todos los usuarios, tanto
los internos que realizan la explotación de los servicios como a los clientes que acceden por
medio de un conjunto de dispositivos electrónicos como por ejemplo los cajeros automáticos
(ATM) y home banking.

Sin embargo, enfocándonos en el Riesgo Operacional, sólo menciona la operatoria realizada
por medio de puntos de venta (POS) con el uso de las tarjetas de débito en cuenta. Por lo que
propone una serie de medidas de seguridad para minimizar la exposición al riesgo, entre las
que se encuentran la solicitud de identificación de la persona física que va a operar y su
correcta comprobación, el requerimiento de ingresar su contraseña y la cantidad de intentos
que permite el sistema. También exige la existencia de los registros confiables de
transacciones o logs de auditoría y la duración de almacenamiento de estos datos por 10 años.
También en la Sección 6, el punto 6.4 reconoce que el canal de Internet es uno de los que
representa mayor riesgo y brinda una guía de buenas prácticas para su tratamiento. En la
misma se detalla un conjunto de medidas mínimas de seguridad y control, adicionales debido
al grado mayor de exposición.
6.4. Operatoria y control de las transacciones cursadas por medio de Internet (e-banking).
Dada la naturaleza de la exposición de Internet, éste es uno de los canales que representa
mayor nivel de riesgo. Por ello, es relevante que las entidades financieras consideren
políticas y prácticas adecuadas para la gestión del mismo.

Figura 6. Comunicación “A” 4609 – Operatoria y control de las transacciones por medio de Internet (e‐
banking)
Algunas conclusiones acerca de la comunicación “A” 4609 y el Riesgo
Operacional
En resumen, la comunicación “A” 4609 reemplazó las disposiciones dadas a conocer mediante
la comunicación “A” 3198 del 12 de diciembre de 2000, dejándola sin efecto para el caso de
Entidades Financieras. Esta última planteaba un conjunto de requisitos operativos mínimos del
área de sistemas de información (SI) – Tecnología informática y fue reemplazada por un
enfoque a los requisitos mínimos de gestión, implementación y control de los riesgos
relacionados con tecnología informática y sistemas de información.
El avance de la tecnología, su implementación y el uso masivo de esta, provocó la necesidad de
considerar nuevos escenarios que no se encontraban presentes al momento de redacción de la
norma precedente. Constantemente enfrentamos el desafío de replantear el estado de
situación en la que nos encontramos y diseñar mejores estrategias para gobernar efectiva y
eficientemente nuestras organizaciones.
Entre las mejoras visibles por ejemplo se puede apreciar el traslado de la responsabilidad a su
máxima expresión, en un principio el administrador de seguridad lógica tenía solo la
responsabilidad del control y seguimiento diario y formal de los archivos y reportes de
auditoría, en cambio en la nueva norma esto queda a cargo de la Dirección Superior, respecto
no solo a la existencia de mecanismos de control relativos al control de los riesgos sino
también a asegurar su continua ejecución.

También aparece el uso de un término relevante que es el de “activos de información”, este se
encuentra en la Sección 3 denominado “Protección de activos de información” y habla de la
gestión de la seguridad y la implementación de los controles de seguridad física aplicados a los
activos de información.
Esta comunicación (“A” 4609) aborda una gran cantidad de aspectos y requisitos mínimos de
implementación de control de riesgos relacionados con la tecnología informática en las
entidades financieras. Establece además una serie de exigencias como la existencia formal de
análisis de riesgos y su documentación, de los registros de auditoría e instituye un grado de
responsabilidad primario de la Dirección Superior. Finalmente abarca una enorme cantidad de
temas a considerar en relación con el control de riesgos y propone un conjunto de buenas
prácticas y medidas mínimas de control y seguridad.
Sin embargo como podemos observar, la norma no es lo suficientemente clara ni específica en
cuanto al requerimiento de la administración de riesgo operacional en las entidades bancarias
ni tampoco estandariza la información requerida. Esto es fundamental para poder medir el
nivel de riesgo operacional en forma macro, de manera de establecer las medidas a
implementar para el proceso de mitigación y mejora continua en las entidades financieras.
Por esta misma razón no puede establecerse un criterio unificado para realizar un análisis
efectivo de estos riesgos. Esto induce a la necesidad de contar primero con una definición
explícita sobre que se considera Riesgo Operacional (RO) y como se debe gestionar este riesgo
dentro del ámbito de la entidades financieras de la República Argentina. Para ello analizaremos
la comunicación “A” 4793 a continuación.
Comunicación “A” 4793 y la Gestión del Riesgo Operacional
Esta comunicación El BCRA publicó el 27 de diciembre de 2006 la comunicación “A” 4793
Circular RUNOR 1‐853, que contiene un conjunto de normas aplicables a todas las Entidades
Financieras. En la misma se establecen los lineamientos para la gestión del riesgo operacional
en las entidades financieras.
Esta comunicación está alineada a los pilares de Basilea II y cumple con el plan del Banco
Central de la República Argentina de implementar la gestión de riesgo operacional en las
entidades financieras. Estas últimas deberán implementar un sistema para gestionar el riesgo
operacional como una disciplina integral y separada de los restantes riesgos, el cual deberá ser
proporcional a las dimensiones de la entidad y a la complejidad de sus operatorias.
Esta comunicación está compuesta por un conjunto de secciones organizadas de la siguiente
manera:


Figura 7. Estructura de la comunicación “A” 4793
En la primera sección, se define lo que se entiende por riesgo operacional, por gestión del
riesgo operacional y se indica una lista taxativa de categorías para clasificar lo eventos de
pérdida derivados del riesgo operacional.
Definición de Riesgo Operacional y algunos ejemplos
Todas las definiciones correspondientes fueron presentadas en el punto de Conceptos Básicos
pero vuelvo a incluir la definición de Riesgo Operacional para no perder de vista los elementos
que lo componen:

Figura 8. Elementos del Riesgo Operacional

“Se entiende por riesgo operacional -concepto que incluye el riesgo legal y
excluye el riesgo estratégico y reputacional-, al riesgo de pérdidas resultantes
de la falta de adecuación o fallas en los procesos internos, de la actuación del
personal o de los sistemas o bien aquellas que sean producto de eventos
externos.”
Sabemos que el riesgo operacional está presente en el funcionamiento diario de todas las
organizaciones. El riesgo operacional es el que ocupa el segundo lugar en ocasionar pérdidas
en las instituciones financieras, luego del riesgo de crédito. Algunos ejemplos de riesgos
operacionales son:
 Procesos: el no cumplimiento de las instrucciones del cliente; el procesamiento
incorrecto o fuera de tiempo en la captura, ejecución o liquidación de las
transacciones; la pérdida de los activos de los clientes; el precio inadecuado en las
transacciones; la asignación incorrecta de los activos; el incumplimiento de los
procedimientos; los errores contables o fiscales; los logs o registros incorrectos; etc.
 Personas: transacciones no autorizadas; fraude; enfermedad y accidentes de

empleados; discriminación; temas relacionados a compensación, beneficios y
liquidación de empleados; problemas en el reclutamiento y retención de empleados;
otros asuntos legales.
 Sistemas: fallas en el hardware o software; integridad de la información; información
no disponible; acceso no autorizado; fallas en telecomunicaciones; falta de energía
eléctrica; virus; hacking a los computadores.
 Eventos externos: fallas operacionales de los proveedores o servicios de terceros;
fuego; desastres naturales; terrorismo; vandalismo; robo.
La comunicación entiende que gestión del riesgo operacional se compone de la identificación,
evaluación, seguimiento, control y mitigación de este riesgo. Para una gestión adecuada, el
sistema de gestión del RO deberá considerar las políticas, los procedimientos y las estructuras
con que cuenta la entidad.
Por este motivo todas las entidades financieras deberán evaluar su vulnerabilidad ante la
ocurrencia de los eventos, para de esta manera comprender mejor su perfil de riesgo
operacional y adoptar las medidas correctivas de las políticas que sean pertinentes.

IDENTIFICACIÓN EVALUACIÓN
GESTIÓN
DEL RIESGO

MITIGACIÓN
OPERACIONAL SEGUIMIENTO
CONTROL

Figura 9. Gestión del Riesgo Operacional
Categorías de los eventos de pérdida
A continuación se enumera la lista de categorías para clasificar los eventos de pérdida
derivados del riesgo operacional, con la aclaración de que un mismo evento de pérdida no
podrá registrarse en más de una de las categorías, es decir que este criterio es excluyente.
# Categoría Descripción
1 Fraude interno información falsa sobre posiciones -propias o de

clientes-, robos por parte de empleados,
utilización de información confidencial de la
entidad financiera en beneficio del empleado, etc.
2 Fraude externo robo, falsificación, daños por intromisión en los

sistemas informáticos, etc.
3 Relaciones laborales y reclamos de indemnizaciones por parte de los

seguridad en el puesto empleados, infracciones a las normas laborales de
de trabajo seguridad e higiene, de discriminación,
responsabilidades generales, etc.

# Categoría Descripción
4 Prácticas con los clientes, abuso de información confidencial sobre el cliente,

productos y negocios negociación fraudulenta en las cuentas de la
entidad financiera, lavado de dinero, venta de
productos no autorizados, etc.
5 Daños a activos físicos derivados de actos de terrorismo y vandalismo,

terremotos, incendios, inundaciones, etc.
6 Alteraciones en la fallas del hardware o del software, problemas en

actividad y fallas las telecomunicaciones, interrupción en la
tecnológicas prestación de servicios públicos, etc.
7 Ejecución, gestión y errores en la introducción de datos, fallas en la

cumplimiento del plazo administración de garantías, documentación
de los procesos jurídica incompleta, concesión de acceso no
autorizado a las cuentas de los clientes, litigios
con proveedores, etc.
En la Sección 2, se definen las responsabilidades y la estructura para la gestión del riesgo
operacional para los distintos stakeholders: Directorio, Gerencia General, Gerencias y la
Unidad de Riesgo Operacional.
En esta segunda sección se destaca el grado de compromiso que deberán evidenciar todos los
responsables del Riesgo Operacional, desde el Directorio y el Gerente General, las Gerencias,
hasta la Unidad de Riesgo Operacional. Este manifiesto tiene como intención mantener una
sólida cultura de la gestión del riesgo operacional en la cual las actividades relacionadas con
ese riesgo formen parte de los procesos diarios de la entidad financiera.
La Sección 3, se ocupa de determinar las etapas del proceso de gestión del riesgo operacional y
comprende las siguientes etapas: Identificación y evaluación, Seguimiento y Control y
mitigación. De acuerdo a la visión propuesta, la gestión efectiva de este riesgo contribuirá a
prevenir la ocurrencia de futuras pérdidas derivadas de eventos operativos.
Consecuentemente, las entidades financieras deberán gestionar el riesgo operacional
inherente a sus productos, actividades, procesos y sistemas relevantes.
También es importante tener en cuenta que en forma previa a un lanzamiento o presentación
de nuevos productos, inicio de actividades, puesta en marcha de procesos o sistemas, también
deberán comprobar que se evalúa adecuadamente su riesgo operacional inherente.
Por último se incluye una última sección que contiene un cronograma de implementación de
esta norma.

Comunicaciones “A” 4854, “A” 4954, “A” 4993, “A” 5009 y “A” 5010
Esta serie de comunicaciones fueron publicadas posteriormente para completar la
comunicación “A” 4793.
Desafíos en la implementación del proceso de Gestión del Riesgo
Operativo

Para llevar a cabo en forma exitosa un proceso de Gestión del Riesgo Operativo, se necesita

contar con una serie de condiciones para alcanzar un caso de éxito. De acuerdo a la
experiencia surgida en otros países, las principales razones por las cuales estas iniciativas no
han dado resultados incluyen:
 Falta de soporte de la Dirección Superior.
 Una pobre cultura corporativa y controles de alto nivel que no acompañan los
objetivos de negocios.
 Una estructura organizacional sin una clara definición de las funciones, roles y
responsabilidades del personal.
 Un universo de riesgo no definido y falta de lenguaje común de riesgos.
 Un proceso de identificación de riesgo operacional pobre o inconsistente.
 Falta de conexión entre los riesgos y la estructura de control.
 Subestimación del alcance que puede tener una transacción, ya que puede causar
grandes pérdidas por no ser bien monitoreada.
 Falta de definición de una escala jerárquica para la comunicación y aprobación de
excepciones.
 Administración del proyecto y monitoreo de los planes de acción deficientes.
 Inadecuada comunicación y planes de entrenamiento.
 Ausencia de la cultura de riesgos en la organización.
Por estos motivos, es fundamental que la Dirección Superior entienda la importancia de
controlar, medir y monitorear el RO y que provea a la Gerencia el soporte necesario para
designar el equipo de trabajo idóneo encargado de desarrollar las diferentes fases de este

proyecto. También es deseable contar un con el funcionamiento de un gobierno corporativo

que facilite la toma de decisiones en este tipo de proyectos.
Conclusiones
A lo largo del presente trabajo se desprenden una serie de conclusiones relevantes no sólo
para entender el significado del Riesgo Operacional, sino para comprender su importancia,
alcance y efecto en las organizaciones, en particular en la Entidades Financieras. De hecho,
durante el desarrollo de este estudio puede observarse como se aplican estas prácticas de
riesgos en los bancos de acuerdo a la propuesta del BCRA, que a su vez se alinea con Basilea II.
También es importante entender que se le asigna al Riesgo Operacional una categoría
específica y no es considerado un riesgo residual. Además es destacable la novedad de realizar
la gestión del RO como una práctica integral cuantificando las pérdidas por eventos del RO y
exigir capital regulatorio para afrontarlas.
Si bien existen diferentes técnicas, frameworks y metodologías para la medición y gestión del
riesgo operacional, es importante ver las coincidencias. En todos los modelos se busca
administrar estos riesgos en forma efectiva, ayudando además a tomar decisiones a la hora de
aceptar los riesgos y desarrollar una estrategia para mitigarlos.
En el caso particular de los lineamientos del Nuevo Acuerdo de Capitales Mínimos conocido
como Basilea II, emitido por el Comité de Supervisión Bancaria de Basilea, el objetivo primario
es promover en la industria bancaria las mejores prácticas de administración de riesgos y su
mejor entendimiento, desde la perspectiva de los bancos y de las autoridades financieras.
Los riesgos pueden ser considerados un factor crítico y pueden afectar el alcance de los
objetivos de un Banco, por lo tanto deben ser reconocidos y tenidos en cuenta al momento de
delinear el perfil institucional.
Cada entidad deberá implementar una administración eficiente del riesgo operacional, de
acuerdo a los lineamientos publicados en la comunicación “A” 4793 y teniendo en cuenta las
dimensiones de la entidad y la complejidad de sus operatorias.
Entre los puntos más destacables de esta norma, se encuentran por un lado el requerimiento
de involucrar responsablemente a la Dirección Superior en la función de administración de
riesgos además de las otras áreas como la unidad de gestión integral de riesgo y las áreas
especializadas dentro del marco de las responsabilidades descritas en el trabajo; y por otro
lado establecer una sólida cultura de gestión del RO y del control interno, contando para ello
con herramientas eficaces de medición de riesgos y aplicando un criterio unificado para
analizar esta información.
Finalmente concluimos que las herramientas de gestión de riesgo incrementan la credibilidad
de los Bancos Centrales al incentivar el uso de estas prácticas por parte de los bancos. Por este
motivo cada vez más los Bancos Centrales adoptan los criterios de Basilea II. La credibilidad, la
eficacia y la transparencia que logre un Banco Central le permitirá el alcance de sus objetivos
de política, redundando en un beneficio para todas las partes involucradas. Por eso es

fundamental que las Entidades Bancarias adopten estas prácticas no sólo como un mero
cumplimiento de la normativa sino como una herramienta valiosa para obtener ventajas
competitivas en el mercado financiero.

Acrónimos

BCBS – Basel Committee on Banking Supervision
BCRA – Banco Central de la República Argentina
FSI – Financial Stability Institute
GRO – Gestión del Riesgo Operacional
RO – Riesgo Operacional
Tabla de figuras

Figura 1. Pilares de Basilea II ......................................................................................................... 8
Figura 2. Definición de Riesgo Operacional ................................................................................ 10
Figura 3. Estructura de la comunicación “A” 4609...................................................................... 12
Figura 4. Comunicación “A” 4609 – Análisis de Riesgos ............................................................. 13
Figura 5. Comunicación “A” 4609 – Operatoria y Control de las transacciones cursadas por
medio de Puntos de Venta (POS) utilizando tarjetas de débito ......................................... 14
Figura 6. Comunicación “A” 4609 – Operatoria y control de las transacciones por medio de
Internet (e‐banking) ............................................................................................................ 15
Figura 7. Estructura de la comunicación “A” 4793...................................................................... 17
Figura 8. Elementos del Riesgo Operacional ............................................................................... 17
Figura 9. Gestión del Riesgo Operacional ................................................................................... 19

Recursos bibliográficos y en Internet

Carta Orgánica del Banco Central de la República Argentina
http://www.bcra.gov.ar/pdfs/marco/Carta_Organica.pdf
Normativa del BCRA
http://www.bcra.gov.ar/pdfs/normativa/normas.pdf
Basilea II: Hacia un nuevo esquema de medición de riesgos
http://www.felaban.com/boletin_clain/basileaII.pdf
Comunicación BCRA “A” 4609 “Requisitos mínimos de gestión, implementación y control de
los riesgos relacionados con tecnología informática y sistemas de información”.
http://www.bcra.gov.ar/pdfs/comytexord/A4609.pdf
Comunicación BCRA “A” 4793 “Lineamientos para la gestión del riesgo operacional en las
entidades financieras.”.
Comunicación BCRA “A” 4854 “Lineamientos para la gestión del riesgo operacional en las
entidades financieras. Dependencia funcional de la Unidad de Riesgo Operacional.
Modificaciones.”
Comunicación BCRA “A” 4904 “Régimen Informativo para Supervisión Trimestral / Anual (R.I.
‐ S.) ‐ Base de datos sobre eventos de Riesgo Operacional.”.
Comunicación BCRA “A” 4993 “Base de datos sobre eventos de Riesgo Operacional.”.
Comunicación BCRA “A” 5009 “Régimen Informativo para Supervisión Trimestral / Anual (R.I.
‐ S.) ‐ Base de datos sobre eventos de Riesgo Operacional.”.
Comunicación BCRA “A” 5010 “Base de datos sobre eventos de Riesgo Operacional.”.


Trabajo Final Integrador

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Trabajo Final Integrador

Cargado por

Copyright:

Formatos disponibles

Noviembre de 2009 / Marzo 2010

El riesgo operacional (RO) es el riesgo de pérdidas resultantes de la falta de

Cada entidad podrá adoptar a su criterio una definición de riesgo operacional

2.3. Análisis de Riesgos.

El Directorio, o autoridad equivalente, será responsable de la existencia de

Se deberá evidenciar la existencia de análisis de riesgos formalmente realizados y

6.3 Operatoria y control de las transacciones cursadas por medio de puntos de

Las entidades deben requerir a los comercios asociados a la red de puntos de

La tarjeta de débito, habilitada para realizar compras a través de puntos de

Las transacciones de compra deben, en todos los casos, requerir el ingreso de la

 Personas: transacciones no autorizadas; fraude; enfermedad y accidentes de

1 Fraude interno información falsa sobre posiciones -propias o de

2 Fraude externo robo, falsificación, daños por intromisión en los

3 Relaciones laborales y reclamos de indemnizaciones por parte de los

4 Prácticas con los clientes, abuso de información confidencial sobre el cliente,

5 Daños a activos físicos derivados de actos de terrorismo y vandalismo,

6 Alteraciones en la fallas del hardware o del software, problemas en

7 Ejecución, gestión y errores en la introducción de datos, fallas en la

Para llevar a cabo en forma exitosa un proceso de Gestión del Riesgo Operativo, se necesita

proyecto. También es deseable contar un con el funcionamiento de un gobierno corporativo

También podría gustarte