Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales...
Transcript of Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales...
![Page 1: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/1.jpg)
![Page 2: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/2.jpg)
• Conceptos y fuentes del riesgo operativo. • Cómo identificar riesgos por fuente de
riesgo.• Controles y tipo de control.• Determinar el perfil de riesgo operativo
inherente y residual.• Gobierno y seguimiento al riesgo operativo.• Aspectos importantes a considerar en el
registro de eventos.
![Page 3: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/3.jpg)
![Page 4: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/4.jpg)
Fuente: Operational Risk Management - Ariane Chapelle
![Page 5: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/5.jpg)
Es el riesgo de pérdida resultante de procesos,
personas y sistemas internos inadecuados o
fallidos o de eventos externos. Esta definición
incluye el riesgo legal, pero excluye el riesgo
estratégico y de reputación
2011
2011
Tres Líneas de Defensa
Es el riesgo de pérdida resultante de procesos,
personas y sistemas internos inadecuados o
fallidos o de eventos externos. Esta definición
incluye el riesgo legal, pero excluye el riesgo
estratégico y de reputación
PRINCIPIOS
Cultura
Marco de Gestión del Riesgo
Junta Directiva
Apetito y Tolerancia al Riesgo
Alta Gerencia
Identificación del Riesgo
Control del Riesgo
Reporte y Monitoreo del Riesgo
Continuidad del Negocio y Resiliencia
Tercera: Auditoría
Segunda: Áreas de gestión de riesgos
Primera: Área comercial /operativa
![Page 6: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/6.jpg)
• Fraude interno (fraudes y actividades no autorizadas por parte de los empleados).
• Fraude externo (retenciones, robos, piratería de sistemas, etc.). • Prácticas de empleo y seguridad en el lugar de trabajo (terminación del
contrato, disputas con empleados, etc.). • Clientes, productos y prácticas comerciales (información errónea del
cliente, quejas y descuentos debido a errores, especificación errónea de productos, etc.).
• Daño a los bienes físicos. Interrupción del negocio y fallas del sistema (falla de TI, etc.).
• Ejecución, entrega y gestión de procesos (error de procesamiento, transferencia de información, etc.)
![Page 7: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/7.jpg)
InfraestructuraFUENTES DEL
RIESGO
Personas
Tecnología
Externos Procesos
![Page 8: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/8.jpg)
Empleados
Contratistas
Proveedores
Clientes
Fraude (Interno y Externo)Errores humanos
Inadecuadas relaciones laboralesDependencia de personal clave
Ausencia de personalRotación
Perfiles InadecuadosFalta de competencia/conocimiento
/capacitación
PERSONAS
Personal directo e Indirecto
![Page 9: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/9.jpg)
Conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una
necesidad”
••Complejidad••Dependencias entre áreas••Estrategias de Negocio••Niveles de Automatización••Complejidad de los productos que soporta••Volumen de transacciones que soporta••Cambios organizacionales••Requerimientos de continuidad del negocio
••Fallas en la ejecución y administración de los procesos
••Fallas en los productos••Fallas en el diseño de procesos y/o productos
PROCESOS
![Page 10: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/10.jpg)
* Obsolescencia Tecnológica* Complejidad entre redes, equipos y
software* Intervención de terceros en proceso de TI
* Tiempos de procesamiento*Sistemas y componentes de TI
* Seguridad* Interfaces
Fallas en comunicacionesFallas en SoftwareFallas en Hardware
Falta de disponibilidad
TECNOLOGÍA
![Page 11: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/11.jpg)
Desastres Naturales Terceros Acontecimientos
PolíticosEstabilidad
Ambiente Jurídico (legislación)
Ambiente para Crimen
Entorno Económico
Mercado y competencia (productos, servicios)
EVENTOS EXTERNOS
![Page 12: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/12.jpg)
12
Elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte.
Oficinas principales
Sucursales Cobertura Geográfica
Canales de atención
INFRAESTRUCTURA
![Page 13: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/13.jpg)
Riesgo Legal Riesgo Reputacional
Posibilidad de pérdida por
Desprestigio, mala imagen, publicidad negativa, cierta o no.
Causa pérdida de clientes, disminución de ingresos o procesos judiciales.
Posibilidad de pérdida por
•Sanciones o indemnización de daños por incumplimiento de normas o regulaciones y obligaciones contractuales
Fallas en contratos y transacciones por acciones malintencionadas, negligencia o actos involuntarios que afecten la ejecución de contratos.
RIESGOS RELEVANTES
![Page 14: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/14.jpg)
a) Verdadero (V)
b) Falso (F)
![Page 15: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/15.jpg)
a) Verdadero (V)
b) Falso (F)
Una de las definiciones comunes de riesgo operativo.
Lo que comúnmente se determina como riesgo operativo en el sector financiero, es la administración de los riesgos en otro tipo de
industrias.
![Page 16: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/16.jpg)
![Page 17: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/17.jpg)
IDENTIFICACIÓN DE RIESGOS
PÉRDIDAS
CAUSA RAIZ
MAPEO DE PROCESOS
TOP DOWNBOTTOM‐UP
Top Down● Riesgos en la estrategia de
negocio● Riesgos emergentes● Amenazas globales
Bottom-Up● Organización de procesos● Eficiencia de los sistemas● Personal competente
ENTREVISTAS CON
PERSONAL CLAVE
EXPOSICIONES Y VULNERABILIDADES
![Page 18: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/18.jpg)
Premisas para la determinación de un riesgo
• Tecnología no es un riesgo, es un recurso.• Procesos manuales no es un riesgo, es una
fuente de riesgo.• El cumplimiento y los cambios regulatorios,
no son un riesgo en si, el riesgo es la brecha de incumplimiento dad la complejidad regulatoria
• La capacitación insuficiente o supervisión inadecuada no es un riesgo, son fallas de control.
La pregunta es
¿QUÉ ES LO QUE PUEDE SALIR MAL?
Respuesta:Ser específico permitirá evaluar los riesgos
y encontrar las acciones de mitigación adecuadas
![Page 19: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/19.jpg)
a) Pérdidas económicas debidas a actos de fraude, malversación de bienes o por eludir la ley, a causa de un tercero.
b) Altos cambios regulatorios generados en el último trimestre.c) Pérdidas derivadas de incumplimiento involuntario para cumplir una obligación
establecida con clientes específicos (incluidos los requisitos fiduciarios y de idoneidad), o de la naturaleza o diseño de un producto.
d) A y C son correctas.e) Todas las anteriores.
![Page 20: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/20.jpg)
a) Pérdidas económicas debidas a actos de fraude, malversación de bienes o incumplimiento regulatorio a causa de un tercero.
b) Altos cambios regulatorios generados en el último trimestre.c) Pérdidas derivadas de incumplimiento involuntario para cumplir una obligación
establecida con clientes específicos (incluidos los requisitos fiduciarios y de idoneidad), o de la naturaleza o diseño de un producto.
d) A y C son correctas.e) Todas las anteriores
Para el ejemplo b podría ser:Pérdidas derivadas de las brechas de incumplimiento en la
organización debido a los altos cambios regulatorios presentados en el último trimestre
![Page 21: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/21.jpg)
Categorías de identificación
Categoría 1 Riesgo Categoría 2 Actividades
Fraude Externo Pérdidas económicas por fraude, malversación de bienes o incumplimiento regulatorio a causa de un tercero.
Robo y fraude RoboFalsificación
Seguridad en los sistemas Daños por HackeoRobos de información (Pérdidas monetarias)
Basilea
No solo las categorías de Basilea son suficientes, por eso deben explorarse las causas
![Page 22: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/22.jpg)
![Page 23: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/23.jpg)
Tipos de controles (ejemplos)Preventivos Detectivos Correctivos
Segregación de funciones Validaciones de conciliaciones Compensaciones a terceras partes afectadas en un evento
Control de acceso Detectores de humo Backpus y sistemas de respaldo
Niveles de autorización Sistemas de detección de intrusos Planes de contingencia
Disminuye la probabilidad de ocurrencia o modificar la causa del
riesgo, y son generalmente ejecutados antes de que ocurra un
evento
Detectar inconsistencias o generar alertas.
Mitiga el impacto. Se ejecutan durante o después de un evento.
![Page 24: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/24.jpg)
Evaluación de controlesErrores comunes en los controles
1. Controles optimistas. Requieren habilidad o motivación en la ejecución del control. Ejemplo: aprobaciones por segundas instancias para grandes volúmenes de documentos.
2. Controles duplicados. Comúnmente controles duales, o segundas verificaciones, son efectivas cuando se realizan entre jefe-subordinado, o entre áreas.
Un diseño deficiente de control aumenta vulnerabilidades
PROCESOS CON DISEÑOS ADECUADOSUn proceso diseñado adecuadamente es más útil en la gestión de riesgos
que la agregación de múltiples controles
![Page 25: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/25.jpg)
a) Verdadero (V)
b) Falso (F)
![Page 26: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/26.jpg)
a) Verdadero (V)
b) Falso (F)
![Page 27: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/27.jpg)
a) Puede volverse preventivo en la medida que pueda detectar la causa del evento
b) Funciona también como una señal de alerta
c) Todas las anteriores
![Page 28: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/28.jpg)
a) Puede volverse preventivo en la medida que pueda detectar la causa del evento
b) Funciona también como una señal de alerta
c) Todas las anteriores
![Page 29: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/29.jpg)
PERFIL DE RIESGO OPERATIVO
![Page 30: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/30.jpg)
Niveles de tolerancia a la pérdida – análisis de bases de históricas
Riesgo residual + controles de prevención
Administración de Incidentes - Controles Correctivos y mitigación
Apetito de controles – costo y tiempo de implementación
Nivel de Exposición
Apetito de Riesgo Cuando los riesgos operativos son bajos o menores pueden incomodar a la organización
Cuando los riesgos tienen altas exposiciones generan miedo
Riesgo Inherente: exposiciones y amenazas
Controles InternosPrevención
Riesgo Residual
Eventos
Daño
Misión y estrategia del negocio
![Page 31: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/31.jpg)
Autoevaluaciones de riesgo
1. Obtener riesgos clave (inherentes)
2. Evaluación de los controles
¿Que se debe hacer?
● Establecer si el control esta alineado con el apetito
○ SI: mantener y monitorear
○ NO: mayor mitigación + planes de acción
● Mitigar no necesariamente significa implementar más controles, puede ser reducir exposición.
![Page 32: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/32.jpg)
Mapas de calor
Tiempos de remediación
($)
Experiencia del Cliente ($)
Incumplimiento regulatorio ($)
Financiero Daños a la reputación
IMPACTOS
En los últimos años las escalas de calificación de riesgos en probabilidad e impacto han pasado de 5 a 4 niveles.
Definición común en
términos de plazo
Considerar tipos de riesgo
Considerar evolución de riesgos (TI,
fraude…)
Velocidad de los riesgos
(Fraude…)
PROBABILIDADES
Expresión del Apetito de Riesgo
![Page 33: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/33.jpg)
![Page 34: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/34.jpg)
Gobierno
Ejemplo de comités de riesgos Modelo de las tres líneas de defensa
![Page 35: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/35.jpg)
Gobierno
Políticas
Reglas y principios sobre las cuales se
administra un negocio
Procedimientos
Describen pautas para ejecutar actividades
Comunicación
Relacionamiento con el negocio y con
Ejercicios prácticos
Controles Directivos o Generales
![Page 36: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/36.jpg)
a) Supervisión de la identificación y gestión del riesgo operativo.
b) Generar recomendaciones relacionadas con la evolución de los riesgos y sus niveles de exposición
c) Notificar a la Alta Dirección sobre incidentes mayores o relevantes
d) Última instancia de aprobación del apetito de riesgo
![Page 37: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/37.jpg)
a) Supervisión de la identificación y gestión del riesgo operativo.
b) Generar recomendaciones relacionadas con la evolución de los riesgos y sus niveles de exposición
c) Notificar a la Alta Dirección sobre incidentes mayores o relevantes
d) Última instancia de aprobación del apetito de riesgo
Esta función corresponde a Órgano de Administración de mayor instancia en la Organización
![Page 38: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/38.jpg)
Indicadores
• Monitorear los riesgos y los potenciales impactos de los eventos en una organización.• Traducir el apetito de riesgo• Detectar los cambios en la exposición
EjemplosRotación de personal. Debe indicar:• Personal clave en funciones de control• Personal especializado o de alto desempeño
![Page 39: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/39.jpg)
Indicadores
Ejemplos• Cambios en el entorno
regulatorio o en la política
Ejemplos• Tiempo de vacantes en
equipos pequeños• Aumento funciones o
actividades en el personal• % de una hardware
operando a su limite
Indicadores de ExposiciónMonitorea los cambios de exposición de los riesgos, bien sea a probabilidad o
impacto.
Indicadores de Stress (Recursos)
Reflejan el uso excesivo de recurso humano o físico (incluye
recursos de TI)
Ejemplos• Información de clientes
incompleta (AML)• Calificaciones bajas de
servicio al cliente
Indicadores de fallas
Reflejan el desempeño y controles que no funcionan
Ejemplos• Patrones de
comportamiento anormales
• Patrones transaccionales anormales (fraude - perfil transaccional)
Indicadores de Causa
Se centran en los factores de riesgo, y se toman las causas
directas de los riesgos.
![Page 40: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/40.jpg)
Monitoreo
Revisión/Actualización de
Riesgos Operativos
Fuentes de Riesgo
Cambios en procesos,
organización etc.
Evaluación de Controles
Calificación de Controles
Ajuste y definición de nuevos controles
Ajuste de Riesgo Neto
Actualización de Riesgo Neto
Ajuste al apetito de Riesgo de la
Entidad
Indicadores
Supervisión de la Junta
Directiva / Órganos de
Administración y Alta Gerencia
![Page 41: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/41.jpg)
EVENTOS DE RIESGO OPERACIONAL
• Los riesgos se convierten en "eventos" o "incidentes" cuando se convierten en una realidad y ya no es una posibilidad.
• Un evento es la materialización de un riesgo.
• Un evento puede tener múltiples impactos.
![Page 42: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/42.jpg)
Registro de eventos• Los datos de pérdidas internas son un componente del enfoque de medición avanzado • Al igual que los datos de pérdidas externas, son un impulsor del capital regulatorio para
muchas empresas.• Ayudan a fortalecer el control interno• Prever escenarios de riesgo• Fortalecen el buen gobierno y gestión del riesgo
Requerimientos de capital establecidos por Basilea- Básico- Estándar- Avanzado (AMA)
Se consideran• Eventos con Impactos Financieros• Eventos sin Impactos Financieros Todos los eventos tienen algún impacto Financiero. Eje
- Insatisfacción de los clientes- Reprocesos- Atención de gerencia y altos directivos
![Page 43: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/43.jpg)
a) Los eventos de pérdida deben registrarse en una base de datos consolidadab) Se pueden tomar fuentes externas, diferentes al proceso de notificación de eventos,
para alimentar la base de datos consolidadac) Los eventos de pérdida deben llevarse a cuentas contables de la organización, donde
puedan consolidarse con los balances de la entidad.d) Las recuperaciones de los eventos de pérdida por compensaciones de terceros o
reconocimiento de seguros también deben ser registrados contablemente.e) Todas las anterioresf) Ninguna de las anteriores.
![Page 44: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/44.jpg)
a) Los eventos de pérdida deben registrarse en una base de datos consolidadab) Se pueden tomar fuentes externas, diferentes al proceso de notificación de eventos,
para alimentar la base de datos consolidadac) Los eventos de pérdida deben llevarse a cuentas contables de la organización, donde
puedan consolidarse con los balances de la entidad.d) Las recuperaciones de los eventos de pérdida por compensaciones de terceros o
reconocimiento de seguros también deben ser registrados contablemente.e) Todas las anterioresf) Ninguna de las anteriores
![Page 45: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/45.jpg)
![Page 46: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/46.jpg)
Continuidad del negocio
Realizar evaluación de riesgos y controles
Definir estrategias
Respuesta a emergencias y crisis
Concientizar
Continuidad de procesos y operaciones criticas Soporte Tecnológico
Recurso Humano Procesos Operativos y de TI
Toda la Organización
EVALUACIÓN
DE CONTROLES
Primera Meta:VELAR POR LA VIDA DE LAS PERSONAS
Segunda Meta:PROTEGER Y
SALVAGUARDAR LA INFORMACIÓN
![Page 47: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/47.jpg)
Diana Marcela Vargas
![Page 48: Gobierno y seguimiento al riesgo operativo. inherente y ... · Riesgos emergentes Amenazas globales Bottom-Up Organización de procesos Eficiencia de los sistemas Personal competente](https://reader034.fdocumento.com/reader034/viewer/2022051922/600fa7d2cd54a24b883550b8/html5/thumbnails/48.jpg)
• IIA - DOCUMENTO DE CONSULTA DEL IIA Tres líneas de defensa• COSO ERM• ALARYS• ISACA org• ISO 31000• Operational risk management, ariane chapelle• Basilea• DRII