Capacitación a gestores de riesgo
-
Upload
ericka-vanessa-pejendino-perea -
Category
Business
-
view
147 -
download
3
Transcript of Capacitación a gestores de riesgo
JAHVMcGREGOR S.A.S
FEBRERO-2017FEBRERO-2017
JAHVMcGREGOR S.A.S
Agenda
Introducción
Objetivos
Propósito y Desarrollo del proyecto SARO
Enfoque de la solución
Marco conceptual de la Gestión del Riesgo
Casos de Riesgo Operativo
Identificación de Riesgos
Definición de los Gestores de Riesgo Operativo
Funciones y Responsabilidades de los Gestores de RO
Consideraciones Finales
IntroducciónNinguna organización es inmune al riesgo. Es más, los riesgos de negocios de cada organización cambian constantemente. La naturaleza de los riesgos y las consecuencias potenciales de los mismos, que enfrentan las organizaciones son cada vez más complejas y sustanciales.
Ninguna organización puede eliminar completamente los riesgos del negocio. Esto es un hecho inherente a la realidad de las empresas. La alta dirección de las organizaciones deciden qué nivel de riesgo es aceptable y crean una estructura de control que lo mantenga dentro de los límites apropiados. En la administración de riesgos del negocio, la clave es el equilibrio eficaz entre el riesgo y el control.
Es indispensable la creación e implementación de un Sistema de Administración de Riesgo Operativo (SARO) que permita a las empresas gestionar sus procesos identificando y administrando sus riesgos y así mismo fortaleciendo el sistema de control interno.
JAHVMcGREGOR S.A.S
Objetivos SARO
JAHVMcGREGOR S.A.S
Implementar una metodología de administración de riesgos operativos de acuerdo con la normatividad y el funcionamiento de los procesos de S&A Servicios y Asesorías y ServiEspeciales (En adelante las EmpresasEmpresas).
Impulsar en las Empresas Empresas la cultura de la administración de los riesgos operativos.
Identificar oportunidades de mejoramiento en cada uno de los procesos evaluados que busque adicionalmente el fortalecimiento del Sistema de Gestión del Riesgo Operativo.
Propósito y Desarrollo del proyecto SARO
JAHVMcGREGOR S.A.S
Construcción de caracterización, diagramas de flujo y matrices de riesgos, fallas y controles consolidados para los procesos estratégicos, misionales y habilitantes, que conforman la red de procesos de las Empresas,Empresas,
Definición e implementación de los “elementos” del SARO:
Políticas
Estructura organizacional
Órganos de control
Difusión y divulgación de información
Registro de eventos
Plataforma tecnológica
Capacitación
Enfoque de la solución
JAHVMcGREGOR S.A.S
CADENA DE VALOR DE LA ENTIDAD
Objetivos de Negocio
Iniciativas de Negocio - Proyectos
Procesos del Negocio (Macro procesos /
Procesos / Subprocesos
Riesgos del Negocio
Clasificación de los riesgos y
priorización de los mismos para
evaluar los macro procesos / procesos
EntrevistasReuniones de conocimiento
Talleres
Estrategias / Definición de los Componentes del Sistema de Control
Interno
Encuestas
Dinámica Financiera
Entorno de la industria /
sector
Fuerzas del mercado
Gobierno / Regulaciones
Competencia
Estrategias – Procesos - Riesgos
Eficiencia del Proceso y Aseguramiento de ingresos
Diagnóstico del Sistema de Control Interno Identificar planes de acción
MBB
AMB
AAMMapa de riesgo operativos
Cadena de Valor
JAHVMcGREGOR S.A.S
Clientes y P
artes Interesadas
Clientes y P
artes Interesadas
EstratégicosDireccionamiento Estratégico
Planeación Estratégica
Planeación y Desarrollo
Dirección y Coordinación
Permanencia del Negocio
Comunicación con grupos de
interés
Generación de Utilidades
Habilitantes / SoporteGestión de Servicio al Cliente
Gestión Financiera y Contable
Gestión Jurídica y Legal
Gestión de Auditoría
Gestión de Talento Humano
Gestión de Recursos Físicos y Administrativos
OperacionesMisionales / Operativos / Productivos / Básicos
Administración de Riesgos
• Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo
• Administración de Riesgo Operativo• Administración de Contratos
• Registro y procesamiento de transacciones
• Tecnología de Información
Servicio al Cliente
• Manejo de solicitudes, quejas y reclamos
• Notificaciones / comunicaciones con los Clientes
• Mantenimiento de cuentas
Desarrollo de negocios
• Diseño de productos / servicios• Administración de productos• Mercadeo (publicidad)• Ventas / Comercialización• Apertura de productos / servicios• Monitoreo de productos / servicios
Tecnológicos
Cadena de Valor
JAHVMcGREGOR S.A.S
Cadena de Valor
Integración de tres categorías de procesos que conforman una organización
• Procesos que proporcionan directrices a los demás procesos
• Orientados a cumplir con los objetivos y políticas institucionales
• Relacionados con planeación estratégica, la estructura organizacional, entre otros.
• Procesos esenciales de la Entidad • Ejecutan actividades para cumplir objetivos
relacionados con los productos o servicios que ofrece.• Ejecutan actividades para cumplir estrategias
relacionadas con la calidad de los productos y/o servicios que ofrece
• Sirven de apoyo para la ejecución de procesos estratégicos o misionales
• Permiten preservar la calidad de los materiales, equipos y herramientas
• Mantienen las condiciones de operatividad y funcionamiento de recursos
• Apoyan la coordinación y control de la eficacia del desempeño administrativo
Marco Conceptual – Introducción a los fundamentos del enfoque de Administración de Riesgos
JAHVMcGREGOR S.A.S
Sistema de Gestión de Riesgo
JAHVMcGREGOR S.A.S
Que es?
Administración Integrada de Riesgos (Enterprise Risk Management): La consideración de los riesgos a todos los niveles de la organización.
ERM – ayuda a las organizaciones a concentrarse en los riesgos relevantes para alcanzar las metas y objetivos de la misma, tanto desde una perspectiva operativa como estratégica
Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo – AS/NZS ISO 31000.
Vista general de la Administración de Riesgos
JAHVMcGREGOR S.A.S
AS/NZS 4360 Estándar AustralianoAS/NZS 4360 Estándar Australiano
Sistema de Administración de Riesgo Operativo
JAHVMcGREGOR S.A.S
Sistema de Administración de Riesgo Operativo:
Sistema de Gestión orientado a que las empresas gestionen sus procesos, identificando y administrando sus riesgos y fortaleciendo el sistema de control interno.
Sistema de Administración de Riesgo Operativo
JAHVMcGREGOR S.A.S
ELEMENTOS DEL SARO
o Políticas: Son los lineamientos generales que las entidades deben adoptar en relación al SARO. Estas deben permitir un adecuado funcionamiento del SARO y traducirse en reglas de conducta y procedimientos que orienten la actuación de la entidad, Ej. Impulsar a nivel institucional la cultura en materia de Riesgo Operativo (RO)
o Procedimientos: Las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de las etapas y elementos del SARO, Ej. Adoptar las medidas por el incumplimiento del SARO.
o Documentación: Las etapas y los elementos del SARO implementados por las entidades deben constar en documentos y registros garantizando la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida, Ej. Manual de Riesgo Operativo
Sistema de Administración de Riesgo Operativo
JAHVMcGREGOR S.A.S
ELEMENTOS DEL SARO
o Manual de Riesgo Operativo: Debe contener como mínimo, lo siguiente: La estructura organizacional del SARO, los roles y responsabilidades de quienes participan en la administración del RO, los procedimientos que deben implementar los órganos de control frente al SARO.
o Estructura Organizacional: La entidad debe establecer y asignar funciones en relación con las distintas etapas y elementos del SARO.
o Junta Directiva: Establece las políticas relativas al SARO y hace el seguimiento y se pronuncia sobre el perfil de Riesgo Operativo (RO) de la entidad.
o Registro de eventos de Riesgo Operativo: La entidad debe construir un registro de eventos de Riesgo Operativo (RO) y mantenerlo actualizado
Sistema de Administración de Riesgo Operativo
JAHVMcGREGOR S.A.S
ELEMENTOS DEL SARO
o Representante Legal: Son funciones mínimas: Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva, velar porque las etapas y los elementos del SARO cumplan, como mínimo, con las disposiciones señaladas en la norma.
o Órganos de Control: La entidad debe establecer instancias responsables de efectuar una evaluación del SARO, dichas instancias informarán, de forma oportuna, los resultados a los órganos competentes. Ej. Revisoría Fiscal y Auditoria Interna.
o Plataforma Tecnológica: La entidad debe contar con la tecnología y los sistemas necesarios para garantizar el adecuado funcionamiento del SARO.
o Divulgación de la Información: Debe hacerse de forma periódica y estar disponible cuando se requiera.
JAHVMcGREGOR S.A.S
¿QUE ES EL RIESGO OPERATIVO?
Definición de Riesgo Operativo
JAHVMcGREGOR S.A.S
Es el efecto de la incertidumbre sobre los objetivos (ISO 31000).
Un efecto es una desviación de lo esperado, negativo o positivo
Es la posibilidad de que un evento ocurra y afecte de manera adversa el logro de los objetivos. Se expresa en función de la probabilidad de que ocurra y el impacto que genere (Económico, Reputacional, Legal, Clientes, Ambiental, Valor de Mercado)
Posibilidad de ocurrencia de pérdidas debido a procesos inadecuados, fallas del personal, de la tecnología de información o por la ocurrencia de eventos externos. Esta definición incluye el riesgo legal y el riesgo reputacional , pero excluye el riesgo estratégico (Comité de Basilea)
Definiciones de Riesgo Legal y Reputacional
JAHVMcGREGOR S.A.S
Riesgo Legal: Es la posibilidad de pérdida en que incurre una identidad al ser
sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.
Riesgo Reputacional:
Es la posibilidad de pérdida en que incurre una identidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus practicas de negocios, que cause pérdidas de clientes, disminución de ingresos o procesos judiciales.
Definiciones de Riesgo Legal y Reputacional
JAHVMcGREGOR S.A.S
Riesgo Estratégico: Es la posibilidad de pérdida por el impacto actual y futuro en los
ingresos y el capital que podría surgir de las decisiones adversas de negocios, la aplicación indebida de las decisiones, o la falta de capacidad de respuesta a los cambios de la industria. Este riesgo es una función de la compatibilidad de los objetivos estratégicos de la Entidad, las estrategias desarrolladas para alcanzar dichos objetivos, los recursos utilizados en contra de estos objetivos, así como la calidad de su ejecución. Los recursos necesarios para llevar a cabo las estrategias de negocios son evaluados en relación con el impacto de los cambios económicos, tecnológicos, competitivos y regulatorios.
Metodología
JAHVMcGREGOR S.A.S
1- Definir criterios
7- ConsolidaciónPlanes de
Acción de Mejora
6- GAP Análisis De Riesgos y
Controles
5- Calificación deControles
4- Análisis yEvaluación de Riesgos
3- Identificar Riesgos
2- Acuerdo Estrategia Despliegue
- Talleres de Trabajo
- Matriz de Riesgos y Controles
Metodología
JAHVMcGREGOR S.A.S
Metodología
JAHVMcGREGOR S.A.S
JAHVMcGREGOR S.A.S
Gestión Cualitativa
Muy Alta
Alta
Moderada
Baja
Muy Baja
Inferior Menor Importante Mayor Superior
PRO
BAB
ILID
AD D
E O
CU
RR
ENC
IA
IMPACTO
Severidad del Riesgo
Bajo
Moderado
Alto
Extremo
Severidad del Riesgo
Bajo
Moderado
Alto
Extremo
En el anexo se describe el procedimiento colorimetríaQue se hace?Identificar RiesgosIdentificar ControlesValorar los Riesgos y ControlesConstruir Matrices de RiesgoMonitorear efectividad del ControlMedidas de Mitigación del RiesgoRepetir el ciclo correspondiente
Gestión Cuantitativa
Que se hace?Construir BD InternaConstruir BD ExternaCalcular el VaR de Riesgo OperativoIntegrar la gestión cualitativa con la gestión cuantitativa
• El evento puede ocurrir entre el 3 y el 10% de los casos• Se ha presentado alguna vez en la Entidad ó en el sector en los
últimos cinco añosBaja
• El evento puede ocurrir en menos del 3% de los casos • Se ha presentado una vez en al Entidad o en el sector en los últimos
20 añosMuy Baja
• El evento puede ocurrir entre el 10 y 15% de los casos• Se presenta por lo menos una vez cada añoModerada
• El evento ocurrirá entre el 15 y el 20% de los casos• Se presenta con alguna frecuencia (1 vez cada trimestre)Alta
• Se espera la ocurrencia del evento en más del 20% de los casos• Nos ocurre con cierta periodicidad (1 vez cada mes)Muy Alta
DescripciónProbabilidad
de Ocurrencia
• El evento puede ocurrir entre el 3 y el 10% de los casos• Se ha presentado alguna vez en la Entidad ó en el sector en los
últimos cinco añosBaja
• El evento puede ocurrir en menos del 3% de los casos • Se ha presentado una vez en al Entidad o en el sector en los últimos
20 añosMuy Baja
• El evento puede ocurrir entre el 10 y 15% de los casos• Se presenta por lo menos una vez cada añoModerada
• El evento ocurrirá entre el 15 y el 20% de los casos• Se presenta con alguna frecuencia (1 vez cada trimestre)Alta
• Se espera la ocurrencia del evento en más del 20% de los casos• Nos ocurre con cierta periodicidad (1 vez cada mes)Muy Alta
DescripciónProbabilidad
de Ocurrencia
Caracterización de procesos
JAHVMcGREGOR S.A.S
La CARACTERIZACIÓN CARACTERIZACIÓN del proceso es el
conjunto de variables que ayudan a un mayor entendimiento del
proceso.
Clasificación del Riesgo Operativo (Eventos)
JAHVMcGREGOR S.A.S
• Fraude Interno:Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la entidad.Ejemplo: Inadecuada utilización de información confidencial.
• Fraude Externo:Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes. Ejemplo: Robo, Falsificación de documentos
• Relaciones laborales:Actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia. Ejemplo: Reclamos por compensación e indemnización de personal.
Clasificación del Riesgo Operativo (Eventos)
JAHVMcGREGOR S.A.S
• Clientes:Fallas negligentes o involuntarias de obligaciones empresariales frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos. Ejemplo: Abuso de confianza ,Uso de información privilegiada a favor de la institución
• Daños a activos físicos:Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad.Ejemplo: Terrorismo, Vandalismo, Terremotos, Fuegos e inundaciones
• Fallas tecnológicas:Pérdidas derivadas de incidentes por fallas tecnológicas.Ejemplo: Fallas de hardware o software, Problemas en las telecomunicaciones
• Ejecución, Entrega y Administración de procesos:Pérdidas derivadas de errores en la ejecución y administración de los procesos.Ejemplo: Errores en el ingreso de datos.
Conceptos asociados al Riesgo Operativo
JAHVMcGREGOR S.A.S
Factores de Riesgo:Se entiende por factores de riesgo, las fuentes generadoras de eventos en las que se originan las pérdidas por riesgo operativo.
Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos. Dichos factores se deben clasificar en internos o externos.
Falla o Insuficiencia:Causa u origen de un evento de riesgo.
Conceptos asociados al Riesgo Operativo
JAHVMcGREGOR S.A.S
Conceptos asociados al Riesgo Operativo
JAHVMcGREGOR S.A.S
Controles:Se refiere a toda medida tomada para mitigar o gestionar el riesgo, y para que la probabilidad de que el negocio / proceso logre sus metas y objetivos sea mayor.
Son incorporados en los procesos para garantizar que se cumplan los requerimientos del flujo de trabajo y los objetivos generales del negocio y de los procesos.
Evaluación de Controles:En la evaluación de los controles se tienen en cuentan dos criterios: Diseño y la Ejecución de los mismos. Como resultado de la combinación de estos criterios se determina la Solidez de control.
Conceptos asociados al Riesgo Operativo
JAHVMcGREGOR S.A.S
Elementos del Control:• El control siempre existe para verificar el logro de los objetivos que se establecen
en la planeación. • Para controlar es imprescindible medir y cuantificar los resultados. • Descubrir las diferencias que se presentan entre la ejecución y la planeación. • El objeto del control es prever y corregir los errores.
Importancia de los Controles:• Establece medidas para corregir las actividades, de tal forma que se alcancen los
planes exitosamente. • Determina y analiza rápidamente las causas que pueden originar desviaciones,
para que no se vuelvan a presentar en el futuro. • Reduce costos y ahorra tiempo al evitar errores. • Su aplicación incide directamente en la racionalización de la administración y
consecuentemente, en el logro de la productividad de todos los recursos de la empresa.
Conceptos asociados al Riesgo Operativo
JAHVMcGREGOR S.A.S
Evaluación de Controles:En la evaluación de los controles se tienen en cuentan dos criterios: Diseño y la Ejecución de los mismos. Como resultado de la combinación de estos criterios se determina la Solidez de control.
• Diseño del Control: Es la configuración del control con respecto al riesgo que está mitigando.
La calificación del diseño es el resultado de la evaluación de los siguientes parámetros: Actividades que componen el control Frecuencia del control Tipo de control Responsable de la ejecución del control Naturaleza Documentación del control
El diseño se califica como:• Muy adecuado• Adecuado• Inadecuado
Conceptos asociados al Riesgo Operativo
JAHVMcGREGOR S.A.S
Evaluación de Controles (cont.):
• Ejecución del Control: Es la calificación dada al nivel de implementación del control en el proceso.
La ejecución del control / eficiencia operativa se califica como:• Débil: no se está ejecutando el control• Moderada: el control se está ejecutando en el proceso, pero no cumple con todos
los parámetros establecidos en el diseño del mismo• Fuerte: el control se está ejecutando en el proceso de acuerdo con los
parámetros establecidos en el diseño del mismo
Esta calificación se selecciona en la matriz de riesgos y controles de acuerdo con la evaluación de los dueños de proceso, auditoria interna y organización y métodos.
Conceptos asociados al Riesgo Operativo
JAHVMcGREGOR S.A.S
Atributos del Control:
Conceptos asociados al Riesgo Operativo
JAHVMcGREGOR S.A.S
Atributos del Control:
JAHVMcGREGOR S.A.S
Despliegue Metodológico
Despliegue metodológico
JAHVMcGREGOR S.A.S
Evaluación del riesgo inherente (Evaluación inicial):Es la evaluación preliminar del riesgo, con la cual la Entidad quiere conocer el nivel de exposición al mismo, sin tener en cuenta las medidas de mitigación o los controles. En esta evaluación se involucran dos conceptos la probabilidad de ocurrencia y la magnitud del impacto.
Probabilidad de que se materialice o manifieste el riesgo
Impacto o efecto del riesgo sobre la organización (ingresos, reputación, satisfacción de clientes,
emisión de la información, etc)
Evaluación / Severidad / Calificación: Es la evaluación general del riesgo, resulta de la combinación de la probabilidad y el impacto:
Probabilidadde ocurrencia
Impacto
Muy Alta
Alta
Moderada
Baja
Muy Baja
Inferior Menor Importante Mayor Superior
TecnologíaBajoModeradoAltoExtremo
Resultado de la combinación de las dos variables
Despliegue Metodológico
JAHVMcGREGOR S.A.S
Mapa de riesgos Residuales por proceso
Muy Alta
Alta
Moderada
Baja
Muy BajaInferior Menor Importante Mayor Superior
IMPACTO
PRO
BA
BIL
IDA
D D
E O
CU
RR
ENC
IA
R3
R1
R1
R3
Despliegue Metodológico
JAHVMcGREGOR S.A.S
Riesgo Residual:
• Es el nivel de riesgo al cual está expuesto la Entidad de acuerdo con los controles existentes
• El riesgo residual es el resultado del desplazamiento del riesgo inherente por la aplicación de los controles, dependiendo de si el conjunto de controles disminuye la probabilidad y/o el nivel de impacto.
Se definen los niveles de criticidad de los riesgos residuales: Extremo, alto, moderado y bajo.
Despliegue Metodológico
JAHVMcGREGOR S.A.S
Tratamiento / Mitigación del riesgo:Son las alternativas seleccionadas por la Empresa para mitigar los riesgos.
Posibles estrategias establecidas por la Dirección de la Entidad
Transferir
Reducir
Evitar
Aceptar
Apetito de Riesgo
Perfil de Riesgo
Mitigación / Tratamiento del Riesgo
Despliegue Metodológico
JAHVMcGREGOR S.A.S
Compromiso Responsable
Equipo de apoyo
Presupuesto
Prioridad
Fecha inicio
Fecha fin
Para el caso en que las fallas enlos equipos se deban a causasinternas (daños no intencionales,mal uso, falta de mantenimiento,etc.) el área cuenta con equiposde respaldo en el área de BackOffice.
Ref: Documentado en Manual delFront Office
Reducir la probabilidad
Se recibenconciliaciones diariastardías de bancoscorresponsales lo quepuede ocasionarsobregiros en laadministración deliquidez
Programar una reunión de lasáreas del Front Office eInternacional con el objetivo deidentificar conjuntamente lascausas del envío tardío odesactualizado de los saldos debancos corresponsales, con elpropósito de acordar las accionesque sean requeri
La Gerente de Tesoreríaconvocará una reunión deretroalimentación entre el FrontOffice e Internacional con elobjetivo de identificar las causasdel envío tardío o desactualizadode los saldos de bancoscorresponsales y las posiblesacciones que sean re
Gerente de
TesoreríaN/A Alta Jun-07 Ago-07
ME: Back Ups de la informaciónen otros equipos del área.
Ref: Documentado en Manual delFront Office
Reducir la probabilidad
Los back upsrealizados por losadministradores deliquidez a lainformación relevantede sus computadoreses guardada enequipos de la mismaárea.
Evaluar entre los Administradoresde Liquidez y el Back Office laposibilidad que los traders envienperiódicamente los back ups deinformación efectuados a susequipos, al área de Back Office conel fin que sea esta área la querealice el archivo corresp
Los administradores de liquidezindagarán con el Back Office laposibilidad de enviar a esa áreael back up realizadoperiódicamente a sus equipos.
Administrador de
LiquidezN/A Alta Jun-07 Ago-07
Negociación Fraude Interno
Semestralmente el Front Officesolicita a cada una de lasentidades contrapartes: cartafirmada por el RepresentanteLegal autorizando a losfuncionarios para realizaroperaciones en nombre de laentidad y certificación derepresentación legal no superior
Reducir la probabilidad
Para efectuar laconfirmación deoperaciones conclientes el Back Officeutiliza fax de lasinstrucciones declientes enviado por lasoficinas
Evaluar entre el área de BackOffice y OyM la factibilidad deajustar el procedimiento para recibirinstrucciones de clientes de lasoficinas, de tal forma que no seasuficiente el fax para cumplimientode las operaciones sino larecepción por correo elet
Definir fecha de reunión con elárea de OyM para evaluar lafactibilidad de recibir de lasoficinas la imagen digital de lasintrucciones de clientes porcorreo electrónico.Posteriormente, el área de OyMdeberá efectuar la debidadocumentación y divulga
Director Back Office
OyM Alta Jun-07 Ago-07
Opción de Tratamiento
Plan de acciónRecomendaciónOportunidades de
Mejoramiento
Administración de liquidez
Información inadecuada, inoportuna o insuficiente
Proceso Riesgos del Proceso Descripción del Control
Ilustrativo
Definiendo Planes de Tratamiento…
Despliegue Metodológico
JAHVMcGREGOR S.A.S
Despliegue Metodológico
JAHVMcGREGOR S.A.S
Despliegue Metodológico
JAHVMcGREGOR S.A.S
EstructuraOrganizacional
Factores de Riesgo
Órganosde Control
Registrode Eventos
PlataformaTecnológica
Divulgación e Información
Capacitación
Políticas
Documentación
Procedimientos
Etapas y MetodologíaElementos
Procesos
Recurso Humano
Tecnología
Eventos Externos
Infraestructura
FraudeInterno
Clase deEventos
FraudeExterno
RelacionesLaborales
Clientes
Daños aActivosFísicos
FallasTecnológicas
Ejecución y Administración
de Procesos
Metodología
DefinirCriterios
IdentificarRiesgos
MedirRiesgos
ControlarRiesgos
Monitorear y Consultar
Monitorear y Consultar
Comunicar y Consultar
R1
R3
R1
R3
Mapa de RiesgosInherente
Mapa de RiesgosResidual
+ Controles
Casos de Riesgo Operativo
JAHVMcGREGOR S.A.S
Casos de Riesgo Operativo
JAHVMcGREGOR S.A.S
Target, uno de los gigantes de las ventas
al detal de EE.UU, se vio afectado por
cibercriminales que robaron información
de millones de tarjetas de crédito de sus
clientes (entre 70 y 110 millones USD) las
cuales fue copiadas de sus cajas
registradoras mediante un virus
informático (malware) y vendida en el
mercado negro.
Casos de Riesgo Operativo
JAHVMcGREGOR S.A.S
• Caso Edificio Space
El colapso del Edificio Space en
Medellín generó gran impacto en la
sociedad, más aun cuando señalan
como causa principal que el terreno
no era apto para construir, por las
condiciones de desnivel en que se
encontraba, a pesar de tener
controles de las interventorías.
Casos de Riesgo Operativo
JAHVMcGREGOR S.A.S
• CASO ACCIDENTE VUELO 2933 DE LAMIA (CHAPECOENSE) La noche del lunes 27 de noviembre de
2016, un avión de la línea aérea Lamia,
proveniente de la ciudad boliviana de Santa
Cruz de la Sierra, se estrelló a pocos
kilómetros de la pista de aterrizaje del
aeropuerto de Medellín. En el avión viajaba
el plantel del equipo de futbol brasilero
Chapecoense -que debía jugar la final de la
copa Sudamericana- directivos del club, un
grupo de simpatizantes y periodistas que
acompañaban al plantel. El saldo es de 71
muertos y 6 sobrevivientes con heridas de
distinta consideración.
Casos de Riesgo Operativo
JAHVMcGREGOR S.A.S
• CASO ACCIDENTE VUELO 2933 DE LAMIA (CHAPECOENSE)
Conceptos clave de risk management que pueden funcionar como lecciones que dejó la tragedia:
•La importancia del Mapa de Riesgos: Nadie (en LaMia, en el club Chapecoense o en la Conmebol) consideró posible que ocurriera un accidente así. Es decir, ninguna de las entidades involucradas tenía un accidente de este tipo en su mapa de riesgo.
Casos de Riesgo Operativo
JAHVMcGREGOR S.A.S
• CASO ACCIDENTE VUELO 2933 DE LAMIA (CHAPECOENSE)
• Incentivos a asumir riesgos: Desde el punto de vista empresario, los incentivos a asumir un riesgo (o a mitigarlo) varían con el nivel de aversión al riesgo del individuo, y ésta no es igual en diferentes stakeholders (o partes interesadas). En el caso del avión de Lamía, el piloto, que era quien decidía asumir el riesgo, era además accionista de la compañía, por lo que el potencial ahorro que se conseguía sin parar a reabastecer el avión, y "tirarse a llegar a Medellín", generaba, al menos en parte, un beneficio que lo incentivaba a asumir el riesgo
Casos de Riesgo Operativo
JAHVMcGREGOR S.A.S
• CASO ACCIDENTE VUELO 2933 DE LAMIA (CHAPECOENSE)
• Sesgos en la Gestión de Riesgos: La gente suele tener una menor percepción de la importancia de un riesgo cuando suele creer que tiene cualidades diferenciales para hacerles frente. Esto se puede encuadrar dentro de dos sesgos conocidos; el del exceso de confianza (overconfidence, en inglés) y el optimismo (optimism).Ambos conceptos tienden a minimizar el riesgo asumido, y se realimentan cuando el agente repite este comportamiento muchas veces sin consecuencias negativas.
Fuente: Lorenzo Preve - La Nación
IDENTIFICACIÓN DE RIESGOS
JAHVMcGREGOR S.A.S
JAHVMcGREGOR S.A.S
Como identificar un Riesgo Operativo?
JAHVMcGREGOR S.A.S
Como identificar un Riesgo Operativo?
Suministro de información falsa o errada por parte del
candidato
EVEN
TO
EXTE
RNO
Incumplimiento de las políticas de selección
establecidas por la Empresa
PROCESOS
FACTOR DE RIESGO
Inadecuada gestión de la selección de
personal
RIESGOOPERATIVO
Perfil y descripción de cargo desactualizado o
inexistente
PROCESOS
FALL
AS
O
INSU
FIC
IEN
CIA
S(C
AU
SAS)
PROCESO : SELECCIÓN
Ejecución y Administración de
Procesos
TIPO DE EVENTO
JAHVMcGREGOR S.A.S
Como identificar un Riesgo Operativo?
Suministro de información falsa o errada por parte del
candidato
EVEN
TO
EXTE
RNO
Incumplimiento de las políticas de selección establecidas por la
Empresa
PROCESOS
FACTOR DE RIESGO
Inadecuada gestión de la selección de
personal
RIESGOOPERATIVO
Perfil y descripción de cargo desactualizado o
inexistente
PROCESOS
FALL
AS
O
INSU
FIC
IEN
CIA
S(C
AU
SAS)
PROCESO : SELECCIÓN
Ejecución y Administración de
Procesos
TIPO DE EVENTO
Validación de la información y requisitos del candidato pre-seleccionado
Validación del Perfil y descripción del Cargo en la
matriz SEL-MTZ-002 Envío de informe de
selección para aprobación de la Empresa Usuaria
Taller Identificación de Riesgos
JAHVMcGREGOR S.A.S
Objetivo
Adquirir destrezas para identificar y analizar riesgos asociados a los procesos de las Empresas.Empresas.
Metodología
•Integrar grupos y nombrar un líder para cada uno•Teniendo en cuenta la información anteriormente vista, identificar y analizar riesgos, fallas y controles de cualquier proceso de las Empresas.Empresas.
JAHVMcGREGOR S.A.S
Taller Identificación de Riesgos- Formato de Asociación
JAHVMcGREGOR S.A.S
Taller Identificación de Riesgos- Formato de Asociación
R1 FACTOR DE RIESGO CONTROL REF. DOCUMENTAL
FALLA Causa u origen para que se materialice el riesgo
Fuentes generadoras de Eventos
Medida tomada para mitigar o gestionar el riesgoManual o Documento donde se encuentra descrito el control
F1F2F3
JAHVMcGREGOR S.A.S
Taller Identificación de Riesgos- Criterios de Probabilidad
Probabilidad de Ocurrencia Descripción
a) Se espera la ocurrencia del evento en más del 20% de los casosb) Nos ocurre con cierta periodicidad (1 vez cada mes)c) El evento ocurrirá entre el 15 y el 20% de los casosd) Se presenta con alguna frecuencia (1 vez cada trimestre)e) El evento puede ocurrir entre el 10 y 15% de los casosf) Se presenta por lo menos una vez cada año
g) El evento puede ocurrir entre el 3 y el 10% de los casos
h) Se ha presentado alguna vez en la Entidad ó en el sector (En cinco años)i) El evento puede ocurrir en menos del 3% de los casos j) Se ha presentado una vez en los últimos 20 años
Muy Alta
Alta
Moderada
Baja
Muy Baja
JAHVMcGREGOR S.A.S
Taller Identificación de Riesgos- Formato de AsociaciónNivel de Impacto Impacto Cualitativo
1) Interrupción de las operaciones del Empresa por más de 24 horas2) Intervención a la Empresa por parte de la Superintendencia por Incumplimientos legales y/o contractuales3) Impacto que afecte la imagen de la empresa negativamente en el mercado relacionada con prácticas inseguras y/o irregulares4) Pérdida de información crítica de la Empresa o de terceros que no se pueda recuperar5) Interrupción de las operaciones de la Empresa entre 16 y 24 horas
6) Sanciones económicas por incumplimiento de las normas establecidas / operaciones / obligaciones contractuales)
7) Impacto que afecte la imagen de la Empresa en el mercado relacionada con el servicio al cliente8) Pérdida de información crítica de la Empresa o de terceros que no se pueda recuperar fácilmente9) Interrupción de las operaciones de la Empresa entre 12 y 16 horas10) Inoportunidad de la información ocasionando retrasos en las labores de las áreas y/o en la respuesta a los entes reguladores11) Reproceso de actividades y aumento de la carga operativa (ejecutar nuevamente actividades de los procesos por errores operativos)12) Incremento entre el 50% - 100% del número de reclamos formulados por los clientes 13) Interrupción de las operaciones de la Empresa por algunas horas.14) No afecta la oportunidad de la información de manera significativa, no altera el funcionamiento de las áreas receptoras y procesadoras de información15) Incremento entre el 10% - 50% del número de reclamos formulados por los clientes 16) No hay interrupción de las operaciones de la Empresa17) No genera sanciones económicas y/o administrativas18) No afecta las relaciones con los clientes
19) No afecta la oportunidad de la información
Superior
Mayor
Importante
Menor
Inferior
DEFINICIÓN DE LOS GESTORES DE RIESGO OPERATIVO
JAHVMcGREGOR S.A.S
Definición de los Gestores de Riesgo
JAHVMcGREGOR S.A.S
Proceso o procesos a su
cargo
Subproceso 1 Subproceso 2 Subproceso 3 Subproceso 4
Gerente del Área / Dueño de Proceso
Gestor Riesgo 1 Gestor Riesgo 1 Gestor Riesgo 1 Gestor Riesgo 1
Gestor de Riesgo
¿Qué se espera del Gestor? Conocimiento del Proceso Administración de las matrices de riesgos
(conocimiento y actualización) Impulsar la capacitación – divulgación de
conocimiento Interlocutor con la Unidad de Riesgo Operativo
¿Quién debe ser el seleccionado? Una persona como mínimo tercer nivel en la
Organización con capacidad para tomar decisiones (depende de la Entidad)
Liderazgo Manejo de información confidencial Funcionalmente reportando a la respectiva
Gerencia
Funciones y Responsabilidades Gestor de Riesgo Operativo
JAHVMcGREGOR S.A.S
El Gestor de Riesgo Operativo, además de las funciones que desempeña actualmente en su cargo debe:
– Establecer el inventario de procesos a su cargo.– Administrar las matrices de riesgos (conocimiento y actualización) de su proceso o
subproceso.– Monitorear el perfil de riesgo del proceso a su cargo, teniendo en cuenta los indicadores
de riesgo para aquellos que están calificados como extremos y altos (Trimestral).– Participar en la definición e implementación de las acciones correctivas propuestas.– Servir de canal de comunicación entre la URO y el área correspondiente.– Brindar asesoría al área correspondiente con respecto a la metodología del SARO.– Retroalimentar a la URO acerca del desarrollo del SARO en el área, al igual que a la
auditoria interna y organización y métodos según corresponda.– Registrar los eventos de Riesgo Operativo que se presenten en el área.– Garantizar que el cambio de procesos, así como el desarrollo de nuevos proyectos,
productos o servicios del área contemple la metodología de administración de riesgos operativos.
– Custodiar la documentación soporte del SARO en su área.
Consideraciones Finales
JAHVMcGREGOR S.A.S
Los Gestores de Riesgo no son los únicos responsables de la gestión del riesgo operativo, todos los funcionarios de las Empresas.Empresas. son responsables por la gestión de los riesgos en los procesos y sólo con el compromiso de toda la organización se logrará alcanzar las metas perseguidas.
El Riesgo Operativo facilita la generación de valor en el Banco, evita que el personal vinculado actué “apagando incendios” y lo haga de forma preventiva, anticipándose siempre a eventualidades, que puedan afectar los resultados del mismo
No debemos interpretar el Riesgo Operativo como una amenaza sino como una oportunidad, que hay que saber gestionar y controlar con el grado de cobertura adecuado.
JAHVMcGREGOR S.A.S