CAPITULO “CLASES DE RIESGO OPERACIONAL”

BORRADOR PARA COMENTARIOS

ASOBANCARIA

COMITE DE RIESGO OPERACIONAL

Vicepresidencia Económica
Dirección de Estudios y Regulación Financiera
11 de Septiembre de 2007
 CLASES DE RIESGO OPERACIONAL

CLASES DE RIESGO OPERACIONAL

1- EJECUCIÓN Y ADMINISTRACIÓN DE PROCESOS

Son los riesgos derivados de errores en la ejecución y administración de los procesos.
También, son riesgos cuyo origen está en las deficiencias de los procesos de la entidad, tanto si se deben a
decisiones adoptadas en el diseño y gestión de los mismos, como si corresponden a errores individuales en la
ejecución de procedimientos y operaciones.

Errores en la ejecución de órdenes de clientes. Quebrantos ocasionados

por deficiencias en la ejecución de órdenes de clientes a consecuencia de
errores involuntarios, falta de diligencia en la tramitación o deficiente
interpretación de las mismas. (Órdenes de compra/venta de Valores,
suscripciones… órdenes de transferencias individuales, masivas y
permanentes- operaciones de Cuentas Personales, Préstamos, Medios de
Pago, Fondos, etc.).

101 ERRORES EN LA OPERATIVA
Pérdidas cuyo origen se encuentra en
errores operativos o en las
comunicaciones emitidas por la
entidad. Pueden estar originados por
errores humanos o en el diseño del
proceso.
Errores en la operativa. Pérdidas originadas por errores o duplicidad en la
entrada de datos. Afecta a todo tipo de datos (límites, importes, plazos,
referencias, etc.) en toda clase de operaciones (operativa de Caja, cobros,
pagos, liquidaciones, extravío de remesas de moneda nacional o divisas,
liquidación de impuestos y seguros sociales, extranjero, etc. ), a la
divulgación no intencionada de información privilegiada, etc.
Errores en las Comunicaciones a clientes. Pérdidas ocasionadas por
deficiencias en las comunicaciones remitidas a clientes, corresponsales,
empleados, etc.
Implantaciones deficientes. Deficiencias en el diseño y/o implantación de
productos y sistemas, modelos de valoración, riesgos, precios, etc.
Deficiencias en litigios. Pérdidas por incorrecto planteamiento o enfoque en
litigios, demandas, reclamaciones de deuda, recursos, oferta de servicios,
mandatos de asesoramiento, etc.

Segregación funcional. Inadecuada estructura organizativa, ausencia o

102. CONTROLES DEFICIENTES
Riesgo relacionado con
mecanismos de control, ya sea por
inexistencia, inadecuado diseño o
deficiente utilización de los mismos.
inadecuada segregación funcional, de tareas, comités, etc., o deficiente
utilización de las mismas.
Deficiencias en el control de operaciones de cobros/pagos, cheques,
los recibos y otros medios de pagos, etc.
Deficiencias en la intervención de documentos, cuadres y conciliaciones
periódicas, acceso a sistemas externos de listas negras, control dual,
seguimiento de la composición, evolución y saldos de cuentas.
Deficiencias o falta de verificación en scorings, ASNEF, RAI, CIRBE, o
cualquier otro tipo de filtro de calidad crediticia.
 1- EJECUCIÓN Y ADMINISTRACIÓN DE PROCESOS
103 INCUMPLIMIENTO DE LA
NORMATIVA.
Riesgo que tiene su origen en el
incumplimiento o errónea
interpretación de normas de todo tipo,
excepto laborales, que deban ser
aplicadas por la Entidad, y tanto si se
debe a procesos defectuosamente
diseñados como a errores de
ejecución de los mismos. Cuando los
incumplimientos estén relacionados
con la normativa laboral, se
clasificarán en la categoría de
Recursos Humanos.
104 ERRORES EN LA GESTION
Y ADMINISTRACIÓN DE
CUENTAS DE CLIENTE
105 ERRORES EN
DOCUMENTACIÓN Y CONTRATOS
LEGALES
Riesgo como consecuencia de
deficiencias en el proceso de
contratación, formalización y custodia
de documentos que alteren las
condiciones prefijadas o la fuerza
ejecutiva de los contratos.
106 INCUMPLIMIENTO DE
CONTRATOS
Riesgo como consecuencia de
incumplimientos de la propia entidad,
en las relaciones mantenidas con no
clientes.
107. PROVEEDORES
Riesgo originado por las carencias
del servicio prestado por proveedores
y empresas subcontratadas
Incumplimiento de la normativa fiscal: Penalizaciones por infracciones
cometidas en el cumplimiento de obligaciones tributarias, impago o evasión
de impuestos y otras contingencias de carácter fiscal. Coste de oportunidad
por la no utilización de los mecanismos existentes para obtener ahorros de
carácter fiscal, etc.
Incumplimiento de la normativa bancaria: Informes financieros inexactos
o fuera de plazo, multas y sanciones impuestas por organismos supervisores
a consecuencia de incumplimientos en la presentación (plazos y contenidos)
de cualquier tipo de información exigida a las Entidades Financieras –
documentos, justificaciones, Balances, etc. -, ya sea por razón de
desconocimiento, interpretación de la norma, etc.
Incumplimiento de la normativa de edificios. Multas pagadas a
organismos: Comunidades autónomas, ayuntamientos, etc. Son pérdidas
relacionadas con el incumplimiento de normativa tributaria, de seguridad, de
mantenimiento, de publicidad, etc., sobre edificios.
Incumplimiento de otras normas: Pérdidas por reclamaciones
relacionadas con información errónea facilitada a organismos, instituciones,
registros de morosos (ASNEF, RAI, etc.), medios de comunicación,
falsificación de registros, resultados de encuestas, etc. En este apartado
quedan incluidas las multas y sanciones de la Agencia de Protección de
Datos (APD).
Deficiente gestión y administración de activos: En depósitos, custodia,
aportaciones a fondos, gestión de carteras, fiducias y otros vehículos de
inversión.
Deficiente diseño de contratos. Utilización de contratos cuya cobertura
jurídica ofrezca dudas razonables en la formalización de operaciones
realizadas con clientes (activo, pasivo y servicios), terceros (arrendamientos,
contratos de servicios, subcontrataciones, etc.) o bien en la materialización
de pactos de novación, modificación y renovación en cualquier tipo de
operación, etc.
Errores tipográficos en los contratos (importes, precios, comisiones,
plazos, etc.)
Ausencia de contratos o con cláusulas erróneas para al objeto de la
operación. Ejemplo cláusulas indemnizatorias que puedan originar pérdidas
por reclamaciones.
Pérdida de contratos. Pérdidas por omisión o extravío de documentos
exigidos en las relaciones comerciales con clientes. Defectos formales en
contratos – firmas, fechas, apoderados, etc. – que invaliden la fuerza
ejecutiva del documento.
Incumplimiento de contratos de carácter comercial relacionados con
proveedores, acuerdos con otras entidades del sector, etc.
Inadecuado uso de derechos de propiedad intelectual. Sanciones y
compensaciones satisfechas por aspectos relacionados en general, con la
utilización y uso de derechos de propiedad intelectual, registro, documentos
técnicos, patentes y marcas. Etc.
Deficiencias en el servicio. Pérdidas originadas por demoras en la entrega
y deficiencias en la calidad de los servicios contratados.
Incumplimiento de contratos. Pérdidas ocasionadas por la ruptura
unilateral de contratos de servicios, modificación de las condiciones
pactadas, precios, etc.
Corte de suministros. Quebrantos derivados de la suspensión de la
entrega de los productos y servicios contratados, cualquiera que sea la
causa que lo origine (huelga, quiebra, averías, cierre de la empresa, etc.).
 2-FRAUDE EXTERNO
2-FRAUDE EXTERNO
Son los riesgos debidos a actos realizados por una persona externa a la entidad, clientes o no, que buscan defraudar,
apropiarse indebidamente de activos de la misma o incumplir normas o leyes.
Uso indebido por terceros, ej. Demora en la tramitación de órdenes de
cancelación de tarjetas robadas/extraviadas tanto de débito como de
201. USO FRAUDULENTO DE crédito.
TARJETAS
Utilización por el titular (cuando la pérdida no sea imputable a riesgo
de crédito).

202. ROBOS Y ATRACOS Robos y atracos perpetrados contra activos de la Entidad.

Uso fraudulento de Cheques y transferencias. Pérdidas por pagos

203. OTROS FRAUDES EXTERNOS
contra documentos sin fondos cuando no pueda ser considerado Riesgo
de Crédito.
Falsificación de documentos. Quebrantos originados por la
manipulación en cualquier tipo de operación (activo, pasivo y servicios),
de documentos mercantiles, contractuales e informativos: Contratos,
poderes, Efectos de Comercio, Cheques, Billetes, Cartas de garantía de
Pago, etc.
Suplantación de personalidad.
Estafas. Pérdidas por estafas sufridas en sus activos.
Uso y/o divulgación de Información privilegiada. Pérdidas por multas
o sanciones debido al uso y/o divulgación de este tipo de información.

Espionaje Industrial. Robo de información propiedad de la entidad. (p.e.

Base de datos de clientes, información confidencial, etc.).
Extorsión y soborno.
Secuestros y Rescates. Pérdidas por gastos y pagos satisfechos como
consecuencia de secuestros de empleados.
Contrabando. Pérdidas por multas o sanciones a consecuencia de la
acusación de contrabando de bienes, por evasión de impuestos o
incumplimiento de otras obligaciones aduaneras.

Utilización inadecuada de claves de acceso y/o niveles de

autorización, independientemente del canal en que se produzcan:
Banca Telefónica, Banca Electrónica, Banca Automática, Internet, etc.
204. VIOLACION DE LA SEGURIDAD
INFORMATICA Fraudes a través de ordenador. Pérdidas directas y multas o sanciones
relacionadas con fraudes y otros delitos (ej. piratería informática, accesos
no autorizados, sabotaje de datos críticos, virus introducidos, robo de
información, etc.) a través del uso irregular de los sistemas del Banco.
 3-FRAUDE INTERNO
Son los riesgos causados por actos que de forma intencionada buscan defraudar o apropiarse indebidamente de
activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de
la entidad.
Estos riesgos también se derivan de actuaciones irregulares, comisión de hechos delictivos, infidelidades, abuso de
confianza, etc. efectuadas con ánimo de dolo o lucro por parte del personal interno de la entidad, así como la
realización de otras actividades no autorizadas.

Falsificación de documentos. Por medio de la manipulación de

documentos mercantiles, contractuales, informativos, etc.
Vulneración de sistemas de identificación y de seguridad por
utilización fraudulenta de las claves de acceso y/o niveles de
autorización. Utilización fraudulenta de password por personas distintas
al titular.
Desfalco y malversación. Pérdidas causadas por la apropiación de
activos del banco.
Uso y/o divulgación de Información privilegiada. Pérdidas por multas
o sanciones debidas al uso, con ánimo de lucro, de este tipo de
301. ROBOS Y FRAUDES INTERNOS
información.
Espionaje Industrial. Robo de información propiedad de la entidad. (p.e.
Base de datos de clientes, información confidencial, etc.).
Extorsión y soborno. Pérdidas como resultado de multas o sanciones
como consecuencia de delitos de esta naturaleza cometidos por
empleados.
Otros fraudes internos. Pérdidas por cualquier otro motivo por
actuaciones irregulares de empleados con ánimo de dolo o lucro.
Sabotaje - Contrabando y Daños Informáticos (en Bases de Datos,
Programas, etc.)

Uso indebido de facultades y poderes. Quebrantos producidos a

302 ACTIVIDADES NO consecuencia de la incorrecta utilización de facultades delegadas:
AUTORIZADAS. Riesgo a consecuencia Aprobación del riesgo en operaciones de Activo (préstamos, líneas de
del uso incorrecto de los poderes crédito, exceso de límites, etc.) y de precios en operaciones de Activo y
conferidos a cualquier miembro de la Pasivo que deben ser propuestas a organismos superiores. Utilización
Entidad y por la realización de inadecuada de los poderes conferidos, (por ámbito territorial, clase de
operaciones sin que se tengan apoderamiento, limitación de importes, etc.).
atribuciones. Independientemente de cual
sea el medio utilizado para realizar esas Divulgación de Información privilegiada intencionada pero sin ánimo
actividades: A través de sistemas de lucro.
informáticos (incluida utilización de
password o claves de usuarios de otras Otras operaciones no autorizadas. Aplicación incorrecta de los criterios
personas), firma de documentos, de consolidación de cifras de riesgo en grupos de empresa y, en general,
autorizaciones, etc. incumplimiento de la política establecida en la concesión y realización de
todo tipo de operaciones financieras.

Son los riesgos derivados de incidentes por fallas tecnológicas.
401. DEFICIENCIAS EN TECNOLOGIA
Riesgo ocasionado por deficiencias en el
diseño o implantación de sistemas de
información, problemas o demoras
generados en la ejecución de procesos
automáticos concretos, deficiente
funcionamiento de los sistemas Host, de
comunicaciones - caídas de líneas -,
pérdidas de información en los
dispositivos de respaldo, o aplicaciones y
desarrollos por no responder a las
especificaciones del usuario, carencias en
la seguridad de los edificios de proceso
de datos y en la seguridad de la
infraestructura tecnológica, etc.
4- FALLAS TECNOLÓGICAS
Arquitectura de sistemas inadecuada. Pérdidas originadas por la
utilización de sistemas y/o aplicaciones anticuados, que no soportan la
carga de trabajo, el volumen, las funcionalidades o la complejidad de los
productos y operaciones actuales. Rendimiento deficiente de
herramientas. Herramientas externas con versiones anticuadas o
inconsistentes.
Fallos en la implantación de sistemas. Deficiente funcionamiento de
los sistemas por errores en el diseño, construcción e implantación de
nuevas funcionalidades y/o aplicaciones o no adaptación a los
requerimientos de negocio del usuario. Quebrantos originados por la
demora de nuevos desarrollos e incumplimiento de los planes de
sistemas, desfases en presupuestos, falta de capacidad de desarrollo,
retrasos por subordinación de unas áreas (desarrollo host) a otras
(desarrollo nueva tecnología), pérdidas derivadas de la implantación de
macro-proyectos: transición al Euro, Año 2000, Integración, etc.
Fallos de Hardware: Se trata de pérdidas por deficiencias en el Nivel de
Servicio Hardware que ofrece Sistemas por capacidad excedida, caídas
de sistemas, no disponibilidad, excesivo volumen de transacciones,
tiempo de respuesta on-line, averías, etc.
Fallos de Software: Pérdidas por deficiencias en el Nivel de Servicio
Software que presta Sistemas, provocadas por la ejecución incorrecta de
procesos establecidos, incompatibilidad entre sistemas, módulos y/o
aplicativos, falta de conectividad on line entre aplicativos o interfaces,
errores (abend's) o demoras en procesos batch planificados, que retrasan
la apertura del servicio on line, pérdida de información por incorrecto
funcionamiento de los sistemas de respaldo y seguridad, etc.
Fallos en las Comunicaciones y Redes: Pérdidas por incidencias en
los sistemas de comunicaciones/redes que ocasionen deficiencias en la
productividad y/o degradación del nivel del servicio ofrecido en red de
oficinas y canales alternativos, por cortes en vías de suministro de
energía eléctrica, saturación en líneas de transmisión de datos,
incidencias en el hardware/software de redes/comunicaciones, etc.
 5-RELACIONES LABORALES
Riesgos asociados con actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y,
en general, la legislación vigente sobre la materia.
Estos riesgos se vinculan a la gestión de Recursos Humanos, incluyendo todo lo relativo a incumplimientos de la
normativa laboral y otras situaciones de cualquier tipo que originen sanciones, multas, indemnizaciones, etc.,
relacionadas con las condiciones laborales.

Deficiencias en la contratación y retención de recursos humanos,

501 GESTION DE RECURSOS
HUMANOS
Riesgo de pérdidas ocasionadas por
litigios relacionados con las fórmulas de
contratación y retribución utilizadas,
contingencias derivadas de procesos de
negociación sindical, etc.
incluida la gestión de cobertura de vacantes. Quebrantos ocasionados
por la fuga de talento, conocimiento y experiencia, puestos importantes
sin cubrir, alta rotación de plantilla, etc.
Huelgas. Quebrantos ocasionados a causa de huelgas sectoriales y de
empresa.
Despidos improcedentes. Indemnizaciones pagadas por este motivo.
Admisión forzosa de personal externo. Pérdidas originadas por la
admisión forzosa de personal externo subcontratado.
Retribución y beneficios sociales. Pérdidas consecuencia de
denuncias por la aplicación de criterios retributivos, compensación,
bonus, errores de administración o de gestión de fondos de pensiones,
etc.

502 INCUMPLIMIENTO DE LA Multas y sanciones impuestas por las autoridades laborales

SEGURIDAD E HIGIENE relacionadas con el incumplimiento de las normas de Seguridad e
LABORAL Higiene en el trabajo.

Difamación e invasión de la intimidad. Pérdidas resultado de la

503 DISCRIMINACIÓN, ACOSO
Multas, sanciones e indemnizaciones
relacionadas con la discriminación laboral.
divulgación, hablada o escrita, de información falsa que daña la
reputación de una persona o la invasión ilegal de la intimidad.
Discriminación. Pérdidas resultado de discriminación (no respeto del
principio de igualdad de oportunidades) por edad, estado civil, sexo o
género, situación médica, filiación política, raza, creencias religiosas,
orientación sexual, etc.
Acoso personal. Sexual, físico, verbal, etc.
 6- CLIENTES, PRODUCTOS Y PRACTICAS EMPRESARIALES
Son riesgos debidos a fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden
satisfacer una obligación profesional frente a éstos.
También se considera como el riesgo originado por expectativas de clientes frustradas por malas prácticas y/o
deficiencias en la venta de productos y prestación de servicios (información facilitada acerca de condiciones
económicas, financieras u otros costes, riesgos inherentes a la operación, etc.), multas, sanciones e indemnizaciones
como consecuencia de incorrectas prácticas comerciales.

Pérdidas por sanciones y reclamaciones originadas por: inadecuada

admisión de clientes, publicidad engañosa, deficiencias en los mensajes
601 POLÍTICA COMERCIAL
comerciales o en la información facilitada a los medios de comunicación,
ventas agresivas, mal uso de información confidencial del cliente, etc.

Pérdidas por indemnizaciones, sanciones, compensaciones, etc.

602 ASESORAMIENTO DEFICIENTE
resultado de litigios por la diferente interpretación de las actividades de
A CLIENTES
asesoría prestadas.

Pérdidas por indemnizaciones, sanciones o compensaciones como

consecuencia de inadecuados diseño y/o implantación de productos:
603 PRODUCTOS DEFECTUOSOS
aplicación de modelos de riesgos, políticas de precios, ausencia de
manuales de procedimientos, insuficiencia de medios, etc.

Incumplimiento de la normativa de la Competencia. Multas y

sanciones relacionadas con el Tribunal de Defensa de la Competencia y
similares, participaciones societarias, fijación de precios y discriminación
en la aplicación de los mismos, etc.
Discriminación. Pérdidas por indemnizaciones originadas por la
discriminación en la venta de productos o servicios (precios, importes,
etc.)
Dumping. Sanciones por ventas a precios de mercado superiores en
pasivo e inferiores en activo.
Sobreprecios. Pérdidas por denuncias como consecuencia de la
604 PRACTICAS COMERCIALES aplicación de tarifas netamente superiores a las de mercado en: seguros,
IMPROPIAS servicios, etc.
Sobornos y comisiones ocultas. Pérdidas por multas, sanciones y
compensaciones, resultado de pagos realizados para generar o retener
negocio.
Blanqueo de Capitales. Sanciones como resultado de deficiencias, por
acción u omisión, que permitan actividades de este tipo, tanto realizadas
por personal interno como por terceros.
Venta engañosa y ocultación de riesgos. Pérdidas ocasionadas en el
proceso de ventas por información parcial o inadecuada. Incluye: Costes
de los litigios e indemnizaciones soportados como consecuencia de
fallos judiciales por reclamaciones de clientes.

605 TRANSGRESION DE Pérdidas por multas, sanciones e indemnizaciones como

INSTRUCCIONES DE CLIENTES consecuencia de traspasar los límites fijados por el cliente y/o por no
aplicación de las directrices prefijadas por el mismo.
 7 – DAÑOS A ACTIVOS FÍSICOS
Son los riesgos por daños o perjuicios a activos físicos de la entidad.
Los daños y perjuicios son el producto de acontecimientos externos: naturales y provocados, que originen daños en
activos físicos o la interrupción de la actividad de la empresa.
701. ACCIDENTES Y SINIESTROS NATURALES Pérdidas por interrupción de la actividad,
caída del volumen de negocio o del margen,
Riesgo por acontecimientos externos, naturales y accidentales coste de oportunidad, etc.
(Incendios, inundaciones, rayos, terremotos, explosiones, epidemias,
etc.), que originen daños en activos físicos o la interrupción de la Daños en inmuebles.
actividad de la empresa.
Daños en instalaciones, equipamiento,
cajeros automáticos, etc.
Daños en vehículos.
Indemnizaciones por daños personales

702. SINIESTROS PROVOCADOS Pérdidas por interrupción de la actividad,

caída del volumen de negocio o del margen,
Riesgo por acontecimientos externos provocados (vandalismo, actos coste de oportunidad, etc.
terroristas, sabotajes, guerras, tumultos, etc.), que originen daños en
activos físicos o la interrupción de la actividad de la empresa. Daños en inmuebles.
Daños en instalaciones, equipamiento,
cajeros automáticos, etc.
Daños en vehículos.
Indemnizaciones por daños personales