Capacitación a gestores de riesgo

JAHVMcGREGOR S.A.S

FEBRERO-2017FEBRERO-2017

JAHVMcGREGOR S.A.S

Agenda

Introducción

Objetivos

Propósito y Desarrollo del proyecto SARO

Enfoque de la solución

Marco conceptual de la Gestión del Riesgo

Casos de Riesgo Operativo

Identificación de Riesgos

Definición de los Gestores de Riesgo Operativo

Funciones y Responsabilidades de los Gestores de RO

Consideraciones Finales

IntroducciónNinguna organización es inmune al riesgo. Es más, los riesgos de negocios de cada organización cambian constantemente. La naturaleza de los riesgos y las consecuencias potenciales de los mismos, que enfrentan las organizaciones son cada vez más complejas y sustanciales.

Ninguna organización puede eliminar completamente los riesgos del negocio. Esto es un hecho inherente a la realidad de las empresas. La alta dirección de las organizaciones deciden qué nivel de riesgo es aceptable y crean una estructura de control que lo mantenga dentro de los límites apropiados. En la administración de riesgos del negocio, la clave es el equilibrio eficaz entre el riesgo y el control.

Es indispensable la creación e implementación de un Sistema de Administración de Riesgo Operativo (SARO) que permita a las empresas gestionar sus procesos identificando y administrando sus riesgos y así mismo fortaleciendo el sistema de control interno.

JAHVMcGREGOR S.A.S

Objetivos SARO

JAHVMcGREGOR S.A.S

Implementar una metodología de administración de riesgos operativos de acuerdo con la normatividad y el funcionamiento de los procesos de S&A Servicios y Asesorías y ServiEspeciales (En adelante las EmpresasEmpresas).

Impulsar en las Empresas Empresas la cultura de la administración de los riesgos operativos.

Identificar oportunidades de mejoramiento en cada uno de los procesos evaluados que busque adicionalmente el fortalecimiento del Sistema de Gestión del Riesgo Operativo.

Propósito y Desarrollo del proyecto SARO

JAHVMcGREGOR S.A.S

Construcción de caracterización, diagramas de flujo y matrices de riesgos, fallas y controles consolidados para los procesos estratégicos, misionales y habilitantes, que conforman la red de procesos de las Empresas,Empresas,

Definición e implementación de los “elementos” del SARO:

Políticas

Estructura organizacional

Órganos de control

Difusión y divulgación de información

Registro de eventos

Plataforma tecnológica

Capacitación

Enfoque de la solución

JAHVMcGREGOR S.A.S

CADENA DE VALOR DE LA ENTIDAD

Objetivos de Negocio

Iniciativas de Negocio - Proyectos

Procesos del Negocio (Macro procesos /

Procesos / Subprocesos

Riesgos del Negocio

Clasificación de los riesgos y

priorización de los mismos para

evaluar los macro procesos / procesos

EntrevistasReuniones de conocimiento

Talleres

Estrategias / Definición de los Componentes del Sistema de Control

Interno

Encuestas

Dinámica Financiera

Entorno de la industria /

sector

Fuerzas del mercado

Gobierno / Regulaciones

Competencia

Estrategias – Procesos - Riesgos

Eficiencia del Proceso y Aseguramiento de ingresos

Diagnóstico del Sistema de Control Interno Identificar planes de acción

MBB

AMB

AAMMapa de riesgo operativos

Cadena de Valor

JAHVMcGREGOR S.A.S

Clientes y P

artes Interesadas

Clientes y P

artes Interesadas

EstratégicosDireccionamiento Estratégico

Planeación Estratégica

Planeación y Desarrollo

Dirección y Coordinación

Permanencia del Negocio

Comunicación con grupos de

interés

Generación de Utilidades

Habilitantes / SoporteGestión de Servicio al Cliente

Gestión Financiera y Contable

Gestión Jurídica y Legal

Gestión de Auditoría

Gestión de Talento Humano

Gestión de Recursos Físicos y Administrativos

OperacionesMisionales / Operativos / Productivos / Básicos

Administración de Riesgos

• Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo

• Administración de Riesgo Operativo• Administración de Contratos

• Registro y procesamiento de transacciones

• Tecnología de Información

Servicio al Cliente

• Manejo de solicitudes, quejas y reclamos

• Notificaciones / comunicaciones con los Clientes

• Mantenimiento de cuentas

Desarrollo de negocios

• Diseño de productos / servicios• Administración de productos• Mercadeo (publicidad)• Ventas / Comercialización• Apertura de productos / servicios• Monitoreo de productos / servicios

Tecnológicos

Cadena de Valor

JAHVMcGREGOR S.A.S

Cadena de Valor

Integración de tres categorías de procesos que conforman una organización

• Procesos que proporcionan directrices a los demás procesos

• Orientados a cumplir con los objetivos y políticas institucionales

• Relacionados con planeación estratégica, la estructura organizacional, entre otros.

• Procesos esenciales de la Entidad • Ejecutan actividades para cumplir objetivos

relacionados con los productos o servicios que ofrece.• Ejecutan actividades para cumplir estrategias

relacionadas con la calidad de los productos y/o servicios que ofrece

• Sirven de apoyo para la ejecución de procesos estratégicos o misionales

• Permiten preservar la calidad de los materiales, equipos y herramientas

• Mantienen las condiciones de operatividad y funcionamiento de recursos

• Apoyan la coordinación y control de la eficacia del desempeño administrativo

Marco Conceptual – Introducción a los fundamentos del enfoque de Administración de Riesgos

JAHVMcGREGOR S.A.S

Sistema de Gestión de Riesgo

JAHVMcGREGOR S.A.S

Que es?

Administración Integrada de Riesgos (Enterprise Risk Management): La consideración de los riesgos a todos los niveles de la organización.

ERM – ayuda a las organizaciones a concentrarse en los riesgos relevantes para alcanzar las metas y objetivos de la misma, tanto desde una perspectiva operativa como estratégica

Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo – AS/NZS ISO 31000.

Vista general de la Administración de Riesgos

JAHVMcGREGOR S.A.S

AS/NZS 4360 Estándar AustralianoAS/NZS 4360 Estándar Australiano

Sistema de Administración de Riesgo Operativo

JAHVMcGREGOR S.A.S

Sistema de Administración de Riesgo Operativo:

Sistema de Gestión orientado a que las empresas gestionen sus procesos, identificando y administrando sus riesgos y fortaleciendo el sistema de control interno.


JAHVMcGREGOR S.A.S

ELEMENTOS DEL SARO

o Políticas: Son los lineamientos generales que las entidades deben adoptar en relación al SARO. Estas deben permitir un adecuado funcionamiento del SARO y traducirse en reglas de conducta y procedimientos que orienten la actuación de la entidad, Ej. Impulsar a nivel institucional la cultura en materia de Riesgo Operativo (RO)

o Procedimientos: Las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de las etapas y elementos del SARO, Ej. Adoptar las medidas por el incumplimiento del SARO.

o Documentación: Las etapas y los elementos del SARO implementados por las entidades deben constar en documentos y registros garantizando la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida, Ej. Manual de Riesgo Operativo


JAHVMcGREGOR S.A.S

ELEMENTOS DEL SARO

o Manual de Riesgo Operativo: Debe contener como mínimo, lo siguiente: La estructura organizacional del SARO, los roles y responsabilidades de quienes participan en la administración del RO, los procedimientos que deben implementar los órganos de control frente al SARO.

o Estructura Organizacional: La entidad debe establecer y asignar funciones en relación con las distintas etapas y elementos del SARO.

o Junta Directiva: Establece las políticas relativas al SARO y hace el seguimiento y se pronuncia sobre el perfil de Riesgo Operativo (RO) de la entidad.

o Registro de eventos de Riesgo Operativo: La entidad debe construir un registro de eventos de Riesgo Operativo (RO) y mantenerlo actualizado


JAHVMcGREGOR S.A.S

ELEMENTOS DEL SARO

o Representante Legal: Son funciones mínimas: Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva, velar porque las etapas y los elementos del SARO cumplan, como mínimo, con las disposiciones señaladas en la norma.

o Órganos de Control: La entidad debe establecer instancias responsables de efectuar una evaluación del SARO, dichas instancias informarán, de forma oportuna, los resultados a los órganos competentes. Ej. Revisoría Fiscal y Auditoria Interna.

o Plataforma Tecnológica: La entidad debe contar con la tecnología y los sistemas necesarios para garantizar el adecuado funcionamiento del SARO.

o Divulgación de la Información: Debe hacerse de forma periódica y estar disponible cuando se requiera.

JAHVMcGREGOR S.A.S

¿QUE ES EL RIESGO OPERATIVO?

Definición de Riesgo Operativo

JAHVMcGREGOR S.A.S

Es el efecto de la incertidumbre sobre los objetivos (ISO 31000).

Un efecto es una desviación de lo esperado, negativo o positivo

Es la posibilidad de que un evento ocurra y afecte de manera adversa el logro de los objetivos. Se expresa en función de la probabilidad de que ocurra y el impacto que genere (Económico, Reputacional, Legal, Clientes, Ambiental, Valor de Mercado)

Posibilidad de ocurrencia de pérdidas debido a procesos inadecuados, fallas del personal, de la tecnología de información o por la ocurrencia de eventos externos. Esta definición incluye el riesgo legal y el riesgo reputacional , pero excluye el riesgo estratégico (Comité de Basilea)

Definiciones de Riesgo Legal y Reputacional

JAHVMcGREGOR S.A.S

Riesgo Legal: Es la posibilidad de pérdida en que incurre una identidad al ser

sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.

Riesgo Reputacional:

Es la posibilidad de pérdida en que incurre una identidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus practicas de negocios, que cause pérdidas de clientes, disminución de ingresos o procesos judiciales.

Definiciones de Riesgo Legal y Reputacional

JAHVMcGREGOR S.A.S

Riesgo Estratégico: Es la posibilidad de pérdida por el impacto actual y futuro en los

ingresos y el capital que podría surgir de las decisiones adversas de negocios, la aplicación indebida de las decisiones, o la falta de capacidad de respuesta a los cambios de la industria. Este riesgo es una función de la compatibilidad de los objetivos estratégicos de la Entidad, las estrategias desarrolladas para alcanzar dichos objetivos, los recursos utilizados en contra de estos objetivos, así como la calidad de su ejecución. Los recursos necesarios para llevar a cabo las estrategias de negocios son evaluados en relación con el impacto de los cambios económicos, tecnológicos, competitivos y regulatorios.

Metodología

JAHVMcGREGOR S.A.S

1- Definir criterios

7- ConsolidaciónPlanes de

Acción de Mejora

6- GAP Análisis De Riesgos y

Controles

5- Calificación deControles

4- Análisis yEvaluación de Riesgos

3- Identificar Riesgos

2- Acuerdo Estrategia Despliegue

- Talleres de Trabajo

- Matriz de Riesgos y Controles

Metodología

JAHVMcGREGOR S.A.S

JAHVMcGREGOR S.A.S

Gestión Cualitativa

Muy Alta

Alta

Moderada

Baja

Muy Baja

Inferior Menor Importante Mayor Superior

PRO

BAB

ILID

AD D

E O

CU

RR

ENC

IA

IMPACTO

Severidad del Riesgo

Bajo

Moderado

Alto

Extremo

Severidad del Riesgo

Bajo

Moderado

Alto

Extremo

En el anexo se describe el procedimiento colorimetríaQue se hace?Identificar RiesgosIdentificar ControlesValorar los Riesgos y ControlesConstruir Matrices de RiesgoMonitorear efectividad del ControlMedidas de Mitigación del RiesgoRepetir el ciclo correspondiente

Gestión Cuantitativa

Que se hace?Construir BD InternaConstruir BD ExternaCalcular el VaR de Riesgo OperativoIntegrar la gestión cualitativa con la gestión cuantitativa

• El evento puede ocurrir entre el 3 y el 10% de los casos• Se ha presentado alguna vez en la Entidad ó en el sector en los

últimos cinco añosBaja

• El evento puede ocurrir en menos del 3% de los casos • Se ha presentado una vez en al Entidad o en el sector en los últimos

20 añosMuy Baja

• El evento puede ocurrir entre el 10 y 15% de los casos• Se presenta por lo menos una vez cada añoModerada

• El evento ocurrirá entre el 15 y el 20% de los casos• Se presenta con alguna frecuencia (1 vez cada trimestre)Alta

• Se espera la ocurrencia del evento en más del 20% de los casos• Nos ocurre con cierta periodicidad (1 vez cada mes)Muy Alta

DescripciónProbabilidad

de Ocurrencia

• El evento puede ocurrir entre el 3 y el 10% de los casos• Se ha presentado alguna vez en la Entidad ó en el sector en los

últimos cinco añosBaja

• El evento puede ocurrir en menos del 3% de los casos • Se ha presentado una vez en al Entidad o en el sector en los últimos

20 añosMuy Baja

• El evento puede ocurrir entre el 10 y 15% de los casos• Se presenta por lo menos una vez cada añoModerada

• El evento ocurrirá entre el 15 y el 20% de los casos• Se presenta con alguna frecuencia (1 vez cada trimestre)Alta

• Se espera la ocurrencia del evento en más del 20% de los casos• Nos ocurre con cierta periodicidad (1 vez cada mes)Muy Alta

DescripciónProbabilidad

de Ocurrencia

Caracterización de procesos

JAHVMcGREGOR S.A.S

La CARACTERIZACIÓN CARACTERIZACIÓN del proceso es el

conjunto de variables que ayudan a un mayor entendimiento del

proceso.

Clasificación del Riesgo Operativo (Eventos)

JAHVMcGREGOR S.A.S

• Fraude Interno:Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la entidad.Ejemplo: Inadecuada utilización de información confidencial.

• Fraude Externo:Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes. Ejemplo: Robo, Falsificación de documentos

• Relaciones laborales:Actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia. Ejemplo: Reclamos por compensación e indemnización de personal.

Clasificación del Riesgo Operativo (Eventos)

JAHVMcGREGOR S.A.S

• Clientes:Fallas negligentes o involuntarias de obligaciones empresariales frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos. Ejemplo: Abuso de confianza ,Uso de información privilegiada a favor de la institución

• Daños a activos físicos:Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad.Ejemplo: Terrorismo, Vandalismo, Terremotos, Fuegos e inundaciones

• Fallas tecnológicas:Pérdidas derivadas de incidentes por fallas tecnológicas.Ejemplo: Fallas de hardware o software, Problemas en las telecomunicaciones

• Ejecución, Entrega y Administración de procesos:Pérdidas derivadas de errores en la ejecución y administración de los procesos.Ejemplo: Errores en el ingreso de datos.

Conceptos asociados al Riesgo Operativo

JAHVMcGREGOR S.A.S

Factores de Riesgo:Se entiende por factores de riesgo, las fuentes generadoras de eventos en las que se originan las pérdidas por riesgo operativo.

Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos. Dichos factores se deben clasificar en internos o externos.

Falla o Insuficiencia:Causa u origen de un evento de riesgo.


JAHVMcGREGOR S.A.S


JAHVMcGREGOR S.A.S

Controles:Se refiere a toda medida tomada para mitigar o gestionar el riesgo, y para que la probabilidad de que el negocio / proceso logre sus metas y objetivos sea mayor.

Son incorporados en los procesos para garantizar que se cumplan los requerimientos del flujo de trabajo y los objetivos generales del negocio y de los procesos.

Evaluación de Controles:En la evaluación de los controles se tienen en cuentan dos criterios: Diseño y la Ejecución de los mismos. Como resultado de la combinación de estos criterios se determina la Solidez de control.


JAHVMcGREGOR S.A.S

Elementos del Control:• El control siempre existe para verificar el logro de los objetivos que se establecen

en la planeación. • Para controlar es imprescindible medir y cuantificar los resultados. • Descubrir las diferencias que se presentan entre la ejecución y la planeación. • El objeto del control es prever y corregir los errores.

Importancia de los Controles:• Establece medidas para corregir las actividades, de tal forma que se alcancen los

planes exitosamente. • Determina y analiza rápidamente las causas que pueden originar desviaciones,

para que no se vuelvan a presentar en el futuro. • Reduce costos y ahorra tiempo al evitar errores. • Su aplicación incide directamente en la racionalización de la administración y

consecuentemente, en el logro de la productividad de todos los recursos de la empresa.


JAHVMcGREGOR S.A.S

Evaluación de Controles:En la evaluación de los controles se tienen en cuentan dos criterios: Diseño y la Ejecución de los mismos. Como resultado de la combinación de estos criterios se determina la Solidez de control.

• Diseño del Control: Es la configuración del control con respecto al riesgo que está mitigando.

La calificación del diseño es el resultado de la evaluación de los siguientes parámetros: Actividades que componen el control Frecuencia del control Tipo de control Responsable de la ejecución del control Naturaleza Documentación del control

El diseño se califica como:• Muy adecuado• Adecuado• Inadecuado


JAHVMcGREGOR S.A.S

Evaluación de Controles (cont.):

• Ejecución del Control: Es la calificación dada al nivel de implementación del control en el proceso.

La ejecución del control / eficiencia operativa se califica como:• Débil: no se está ejecutando el control• Moderada: el control se está ejecutando en el proceso, pero no cumple con todos

los parámetros establecidos en el diseño del mismo• Fuerte: el control se está ejecutando en el proceso de acuerdo con los

parámetros establecidos en el diseño del mismo

Esta calificación se selecciona en la matriz de riesgos y controles de acuerdo con la evaluación de los dueños de proceso, auditoria interna y organización y métodos.


JAHVMcGREGOR S.A.S

Atributos del Control:

JAHVMcGREGOR S.A.S

Despliegue Metodológico

Despliegue metodológico

JAHVMcGREGOR S.A.S

Evaluación del riesgo inherente (Evaluación inicial):Es la evaluación preliminar del riesgo, con la cual la Entidad quiere conocer el nivel de exposición al mismo, sin tener en cuenta las medidas de mitigación o los controles. En esta evaluación se involucran dos conceptos la probabilidad de ocurrencia y la magnitud del impacto.

Probabilidad de que se materialice o manifieste el riesgo

Impacto o efecto del riesgo sobre la organización (ingresos, reputación, satisfacción de clientes,

emisión de la información, etc)

Evaluación / Severidad / Calificación: Es la evaluación general del riesgo, resulta de la combinación de la probabilidad y el impacto:

Probabilidadde ocurrencia

Impacto

Muy Alta

Alta

Moderada

Baja

Muy Baja

Inferior Menor Importante Mayor Superior

TecnologíaBajoModeradoAltoExtremo

Resultado de la combinación de las dos variables


JAHVMcGREGOR S.A.S

Mapa de riesgos Residuales por proceso

Muy Alta

Alta

Moderada

Baja

Muy BajaInferior Menor Importante Mayor Superior

IMPACTO

PRO

BA

BIL

IDA

D D

E O

CU

RR

ENC

IA

R3

R1

R1

R3


JAHVMcGREGOR S.A.S

Riesgo Residual:

• Es el nivel de riesgo al cual está expuesto la Entidad de acuerdo con los controles existentes

• El riesgo residual es el resultado del desplazamiento del riesgo inherente por la aplicación de los controles, dependiendo de si el conjunto de controles disminuye la probabilidad y/o el nivel de impacto.

Se definen los niveles de criticidad de los riesgos residuales: Extremo, alto, moderado y bajo.


JAHVMcGREGOR S.A.S

Tratamiento / Mitigación del riesgo:Son las alternativas seleccionadas por la Empresa para mitigar los riesgos.

Posibles estrategias establecidas por la Dirección de la Entidad

Transferir

Reducir

Evitar

Aceptar

Apetito de Riesgo

Perfil de Riesgo

Mitigación / Tratamiento del Riesgo


JAHVMcGREGOR S.A.S

Compromiso Responsable

Equipo de apoyo

Presupuesto

Prioridad

Fecha inicio

Fecha fin

Para el caso en que las fallas enlos equipos se deban a causasinternas (daños no intencionales,mal uso, falta de mantenimiento,etc.) el área cuenta con equiposde respaldo en el área de BackOffice.

Ref: Documentado en Manual delFront Office

Reducir la probabilidad

Se recibenconciliaciones diariastardías de bancoscorresponsales lo quepuede ocasionarsobregiros en laadministración deliquidez

Programar una reunión de lasáreas del Front Office eInternacional con el objetivo deidentificar conjuntamente lascausas del envío tardío odesactualizado de los saldos debancos corresponsales, con elpropósito de acordar las accionesque sean requeri

La Gerente de Tesoreríaconvocará una reunión deretroalimentación entre el FrontOffice e Internacional con elobjetivo de identificar las causasdel envío tardío o desactualizadode los saldos de bancoscorresponsales y las posiblesacciones que sean re

Gerente de

TesoreríaN/A Alta Jun-07 Ago-07

ME: Back Ups de la informaciónen otros equipos del área.

Ref: Documentado en Manual delFront Office


Los back upsrealizados por losadministradores deliquidez a lainformación relevantede sus computadoreses guardada enequipos de la mismaárea.

Evaluar entre los Administradoresde Liquidez y el Back Office laposibilidad que los traders envienperiódicamente los back ups deinformación efectuados a susequipos, al área de Back Office conel fin que sea esta área la querealice el archivo corresp

Los administradores de liquidezindagarán con el Back Office laposibilidad de enviar a esa áreael back up realizadoperiódicamente a sus equipos.

Administrador de

LiquidezN/A Alta Jun-07 Ago-07

Negociación Fraude Interno

Semestralmente el Front Officesolicita a cada una de lasentidades contrapartes: cartafirmada por el RepresentanteLegal autorizando a losfuncionarios para realizaroperaciones en nombre de laentidad y certificación derepresentación legal no superior


Para efectuar laconfirmación deoperaciones conclientes el Back Officeutiliza fax de lasinstrucciones declientes enviado por lasoficinas

Evaluar entre el área de BackOffice y OyM la factibilidad deajustar el procedimiento para recibirinstrucciones de clientes de lasoficinas, de tal forma que no seasuficiente el fax para cumplimientode las operaciones sino larecepción por correo elet

Definir fecha de reunión con elárea de OyM para evaluar lafactibilidad de recibir de lasoficinas la imagen digital de lasintrucciones de clientes porcorreo electrónico.Posteriormente, el área de OyMdeberá efectuar la debidadocumentación y divulga

Director Back Office

OyM Alta Jun-07 Ago-07

Opción de Tratamiento

Plan de acciónRecomendaciónOportunidades de

Mejoramiento

Administración de liquidez

Información inadecuada, inoportuna o insuficiente

Proceso Riesgos del Proceso Descripción del Control

Ilustrativo

Definiendo Planes de Tratamiento…


JAHVMcGREGOR S.A.S


JAHVMcGREGOR S.A.S

EstructuraOrganizacional

Factores de Riesgo

Órganosde Control

Registrode Eventos

PlataformaTecnológica

Divulgación e Información

Capacitación

Políticas

Documentación

Procedimientos

Etapas y MetodologíaElementos

Procesos

Recurso Humano

Tecnología

Eventos Externos

Infraestructura

FraudeInterno

Clase deEventos

FraudeExterno

RelacionesLaborales

Clientes

Daños aActivosFísicos

FallasTecnológicas

Ejecución y Administración

de Procesos

Metodología

DefinirCriterios

IdentificarRiesgos

MedirRiesgos

ControlarRiesgos

Monitorear y Consultar

Monitorear y Consultar

Comunicar y Consultar

R1

R3

R1

R3

Mapa de RiesgosInherente

Mapa de RiesgosResidual

+ Controles


JAHVMcGREGOR S.A.S


JAHVMcGREGOR S.A.S

Target, uno de los gigantes de las ventas

al detal de EE.UU, se vio afectado por

cibercriminales que robaron información

de millones de tarjetas de crédito de sus

clientes (entre 70 y 110 millones USD) las

cuales fue copiadas de sus cajas

registradoras mediante un virus

informático (malware) y vendida en el

mercado negro.


JAHVMcGREGOR S.A.S

• Caso Edificio Space

El colapso del Edificio Space en

Medellín generó gran impacto en la

sociedad, más aun cuando señalan

como causa principal que el terreno

no era apto para construir, por las

condiciones de desnivel en que se

encontraba, a pesar de tener

controles de las interventorías.


JAHVMcGREGOR S.A.S

• CASO ACCIDENTE VUELO 2933 DE LAMIA (CHAPECOENSE) La noche del lunes 27 de noviembre de

2016, un avión de la línea aérea Lamia,

proveniente de la ciudad boliviana de Santa

Cruz de la Sierra, se estrelló a pocos

kilómetros de la pista de aterrizaje del

aeropuerto de Medellín. En el avión viajaba

el plantel del equipo de futbol brasilero

Chapecoense -que debía jugar la final de la

copa Sudamericana- directivos del club, un

grupo de simpatizantes y periodistas que

acompañaban al plantel. El saldo es de 71

muertos y 6 sobrevivientes con heridas de

distinta consideración.


JAHVMcGREGOR S.A.S

• CASO ACCIDENTE VUELO 2933 DE LAMIA (CHAPECOENSE)

Conceptos clave de risk management que pueden funcionar como lecciones que dejó la tragedia:

•La importancia del Mapa de Riesgos: Nadie (en LaMia, en el club Chapecoense o en la Conmebol) consideró posible que ocurriera un accidente así. Es decir, ninguna de las entidades involucradas tenía un accidente de este tipo en su mapa de riesgo.


JAHVMcGREGOR S.A.S


• Incentivos a asumir riesgos: Desde el punto de vista empresario, los incentivos a asumir un riesgo (o a mitigarlo) varían con el nivel de aversión al riesgo del individuo, y ésta no es igual en diferentes stakeholders (o partes interesadas). En el caso del avión de Lamía, el piloto, que era quien decidía asumir el riesgo, era además accionista de la compañía, por lo que el potencial ahorro que se conseguía sin parar a reabastecer el avión, y "tirarse a llegar a Medellín", generaba, al menos en parte, un beneficio que lo incentivaba a asumir el riesgo


JAHVMcGREGOR S.A.S


• Sesgos en la Gestión de Riesgos: La gente suele tener una menor percepción de la importancia de un riesgo cuando suele creer que tiene cualidades diferenciales para hacerles frente. Esto se puede encuadrar dentro de dos sesgos conocidos; el del exceso de confianza (overconfidence, en inglés) y el optimismo (optimism).Ambos conceptos tienden a minimizar el riesgo asumido, y se realimentan cuando el agente repite este comportamiento muchas veces sin consecuencias negativas.

Fuente: Lorenzo Preve - La Nación

http://www.lanacion.com.ar/autor/lorenzo-preve-6739

http://www.lanacion.com.ar/1978634-la-gestion-del-riesgo-las-lecciones-que-dejo-la-tragedia-del-chapecoense

IDENTIFICACIÓN DE RIESGOS

JAHVMcGREGOR S.A.S

JAHVMcGREGOR S.A.S

Como identificar un Riesgo Operativo?

JAHVMcGREGOR S.A.S


Suministro de información falsa o errada por parte del

candidato

EVEN

TO

EXTE

RNO

Incumplimiento de las políticas de selección

establecidas por la Empresa

PROCESOS

FACTOR DE RIESGO

Inadecuada gestión de la selección de

personal

RIESGOOPERATIVO

Perfil y descripción de cargo desactualizado o

inexistente

PROCESOS

FALL

AS

O

INSU

FIC

IEN

CIA

S(C

AU

SAS)

PROCESO : SELECCIÓN

Ejecución y Administración de

Procesos

TIPO DE EVENTO

JAHVMcGREGOR S.A.S


Suministro de información falsa o errada por parte del

candidato

EVEN

TO

EXTE

RNO

Incumplimiento de las políticas de selección establecidas por la

Empresa

PROCESOS

FACTOR DE RIESGO

Inadecuada gestión de la selección de

personal

RIESGOOPERATIVO

Perfil y descripción de cargo desactualizado o

inexistente

PROCESOS

FALL

AS

O

INSU

FIC

IEN

CIA

S(C

AU

SAS)

PROCESO : SELECCIÓN

Ejecución y Administración de

Procesos

TIPO DE EVENTO

Validación de la información y requisitos del candidato pre-seleccionado

Validación del Perfil y descripción del Cargo en la

matriz SEL-MTZ-002 Envío de informe de

selección para aprobación de la Empresa Usuaria

Taller Identificación de Riesgos

JAHVMcGREGOR S.A.S

Objetivo

Adquirir destrezas para identificar y analizar riesgos asociados a los procesos de las Empresas.Empresas.

Metodología

•Integrar grupos y nombrar un líder para cada uno•Teniendo en cuenta la información anteriormente vista, identificar y analizar riesgos, fallas y controles de cualquier proceso de las Empresas.Empresas.

JAHVMcGREGOR S.A.S

Taller Identificación de Riesgos- Formato de Asociación

JAHVMcGREGOR S.A.S

Taller Identificación de Riesgos- Formato de Asociación

R1 FACTOR DE RIESGO CONTROL REF. DOCUMENTAL

FALLA Causa u origen para que se materialice el riesgo

Fuentes generadoras de Eventos

Medida tomada para mitigar o gestionar el riesgoManual o Documento donde se encuentra descrito el control

F1F2F3

JAHVMcGREGOR S.A.S

Taller Identificación de Riesgos- Criterios de Probabilidad

Probabilidad de Ocurrencia Descripción

a) Se espera la ocurrencia del evento en más del 20% de los casosb) Nos ocurre con cierta periodicidad (1 vez cada mes)c) El evento ocurrirá entre el 15 y el 20% de los casosd) Se presenta con alguna frecuencia (1 vez cada trimestre)e) El evento puede ocurrir entre el 10 y 15% de los casosf) Se presenta por lo menos una vez cada año

g) El evento puede ocurrir entre el 3 y el 10% de los casos

h) Se ha presentado alguna vez en la Entidad ó en el sector (En cinco años)i) El evento puede ocurrir en menos del 3% de los casos j) Se ha presentado una vez en los últimos 20 años

Muy Alta

Alta

Moderada

Baja

Muy Baja

JAHVMcGREGOR S.A.S

Taller Identificación de Riesgos- Formato de AsociaciónNivel de Impacto Impacto Cualitativo

1) Interrupción de las operaciones del Empresa por más de 24 horas2) Intervención a la Empresa por parte de la Superintendencia por Incumplimientos legales y/o contractuales3) Impacto que afecte la imagen de la empresa negativamente en el mercado relacionada con prácticas inseguras y/o irregulares4) Pérdida de información crítica de la Empresa o de terceros que no se pueda recuperar5) Interrupción de las operaciones de la Empresa entre 16 y 24 horas

6) Sanciones económicas por incumplimiento de las normas establecidas / operaciones / obligaciones contractuales)

7) Impacto que afecte la imagen de la Empresa en el mercado relacionada con el servicio al cliente8) Pérdida de información crítica de la Empresa o de terceros que no se pueda recuperar fácilmente9) Interrupción de las operaciones de la Empresa entre 12 y 16 horas10) Inoportunidad de la información ocasionando retrasos en las labores de las áreas y/o en la respuesta a los entes reguladores11) Reproceso de actividades y aumento de la carga operativa (ejecutar nuevamente actividades de los procesos por errores operativos)12) Incremento entre el 50% - 100% del número de reclamos formulados por los clientes 13) Interrupción de las operaciones de la Empresa por algunas horas.14) No afecta la oportunidad de la información de manera significativa, no altera el funcionamiento de las áreas receptoras y procesadoras de información15) Incremento entre el 10% - 50% del número de reclamos formulados por los clientes 16) No hay interrupción de las operaciones de la Empresa17) No genera sanciones económicas y/o administrativas18) No afecta las relaciones con los clientes

19) No afecta la oportunidad de la información

Superior

Mayor

Importante

Menor

Inferior

DEFINICIÓN DE LOS GESTORES DE RIESGO OPERATIVO

JAHVMcGREGOR S.A.S

Definición de los Gestores de Riesgo

JAHVMcGREGOR S.A.S

Proceso o procesos a su

cargo

Subproceso 1 Subproceso 2 Subproceso 3 Subproceso 4

Gerente del Área / Dueño de Proceso

Gestor Riesgo 1 Gestor Riesgo 1 Gestor Riesgo 1 Gestor Riesgo 1

Gestor de Riesgo

¿Qué se espera del Gestor? Conocimiento del Proceso Administración de las matrices de riesgos

(conocimiento y actualización) Impulsar la capacitación – divulgación de

conocimiento Interlocutor con la Unidad de Riesgo Operativo

¿Quién debe ser el seleccionado? Una persona como mínimo tercer nivel en la

Organización con capacidad para tomar decisiones (depende de la Entidad)

Liderazgo Manejo de información confidencial Funcionalmente reportando a la respectiva

Gerencia

Funciones y Responsabilidades Gestor de Riesgo Operativo

JAHVMcGREGOR S.A.S

El Gestor de Riesgo Operativo, además de las funciones que desempeña actualmente en su cargo debe:

– Establecer el inventario de procesos a su cargo.– Administrar las matrices de riesgos (conocimiento y actualización) de su proceso o

subproceso.– Monitorear el perfil de riesgo del proceso a su cargo, teniendo en cuenta los indicadores

de riesgo para aquellos que están calificados como extremos y altos (Trimestral).– Participar en la definición e implementación de las acciones correctivas propuestas.– Servir de canal de comunicación entre la URO y el área correspondiente.– Brindar asesoría al área correspondiente con respecto a la metodología del SARO.– Retroalimentar a la URO acerca del desarrollo del SARO en el área, al igual que a la

auditoria interna y organización y métodos según corresponda.– Registrar los eventos de Riesgo Operativo que se presenten en el área.– Garantizar que el cambio de procesos, así como el desarrollo de nuevos proyectos,

productos o servicios del área contemple la metodología de administración de riesgos operativos.

– Custodiar la documentación soporte del SARO en su área.

Consideraciones Finales

JAHVMcGREGOR S.A.S

Los Gestores de Riesgo no son los únicos responsables de la gestión del riesgo operativo, todos los funcionarios de las Empresas.Empresas. son responsables por la gestión de los riesgos en los procesos y sólo con el compromiso de toda la organización se logrará alcanzar las metas perseguidas.

El Riesgo Operativo facilita la generación de valor en el Banco, evita que el personal vinculado actué “apagando incendios” y lo haga de forma preventiva, anticipándose siempre a eventualidades, que puedan afectar los resultados del mismo

No debemos interpretar el Riesgo Operativo como una amenaza sino como una oportunidad, que hay que saber gestionar y controlar con el grado de cobertura adecuado.

JAHVMcGREGOR S.A.S

Capacitación a gestores de riesgo

Business

Transcript of Capacitación a gestores de riesgo