RIESGO OPERATIVO
XXIII CONGRESO AMA
Septiembre, 2007
ACT. ELVIA OJEDA APREZA
�Contenido
I.
Introduccin
II. Administracin del Riesgo Operativo
Identificacin de riesgos
Matriz de riesgos
III. Ejemplo
IV. Conclusiones
2
�I. Introduccin
Circular S-11.6 de la CNSF seala :
Impulsar la cultura de la administracin de riesgos
financieros en las instituciones seguros,
Se requiere la aplicacin de prcticas de
administracin de riesgos consistentes con las
recomendaciones internacionales.
�I. Introduccin
Seala que las instituciones de seguros deben
realizar las actividades necesarias para hacer la
administracin del:
Riesgo Financiero
Riesgo de Crdito
Riesgo de Mercado
Riesgo de Liquidez
Riesgo Operativo
Riesgo Legal
�I. Introduccin
ADMINISTRACION DE RIESGOS
Es la cultura o conjunto de procesos, polticas,
procedimientos y acciones que se implementan para
identificar, medir, monitorear, controlar, informar y
revelar los distintos tipos de riesgo a que se
encuentra expuesta una empresa; de tal forma que
les permita minimizar prdidas y maximizar
oportunidades.
�I. Introduccin
Responsable de aprobar las polticas y procedimientos
Para la administracin de riesgos
Administrar los Riesgos
que enfrenta la Institucin
Consejo de
Administracin
Comit de Riesgos
Director General
Identificar, Medir,
Monitorear e
Informar Riesgos
Administracin de
Riesgos
Director de rea
Director de rea
Director de rea
Director de rea
Difundir la Cultura de Administracin de Riesgos
�I. Introduccin
Riesgo Operativo
Es la prdida potencial por fallas o deficiencias en los
sistemas de informacin, en los controles internos o
por errores en el procesamiento de las operaciones.
�II. Administracin del Riesgo Operativo
Cmo hacerlo?
Por dnde empezar?
Qu controlar?
�II. Administracin del Riesgo Operativo
ETAPAS PARA REALIZAR LA ADMINISTRACIN
DEL RIESGO OPERATIVO
1. Identificacin del riesgo;
2. Cuantificacin y control del riesgo;
3. Mitigacin o eliminacin de dichos riesgos.
�II. Administracin del Riesgo Operativo
Identificar
Cuantificar
Mitigar / eliminar
Controlar
Monitorear
10
�II. Administracin del Riesgo Operativo
Es necesario contar con la mayor cantidad de datos
disponibles y con la participacin de las personas
que ejecutan los procesos y procedimientos para
lograr que las acciones determinadas alcancen los
niveles de efectividad esperados.
11
�II. Administracin del Riesgo Operativo
Es continua y depende de la red de
comunicacin dentro de la empresa, generando
un flujo constante de informacin acerca de las
actividades de la organizacin.
12
�Identificacin de Riesgos
Existen dos grupos de riesgos operativos que se
pueden conocer de una compaa:
Cuantitativos
Incidencias y eventos de prdida, se basan en
informacin histrica.
Cualitativos
Riesgos potenciales, que se basan en el juicio experto.
13
�Identificacin de Riesgos
INCIDENCIAS Y EVENTOS DE PRDIDA
La metodologa primaria para la identificacin de
riesgos es la observacin de las prdidas y cada vez
que se materializa un riesgo se toman medidas para
prevenir su posible recurrencia.
Registros histricos sobre incidencias y eventos de
prdidas sobre los procesos operativos son una
fuente bsica de la informacin requerida por el
anlisis de riesgos.
14
�Identificacin de Riesgos
La informacin debe ser conocida por
EL ADMINISTRADOR DE RIESGOS
15
�Identificacin de Riesgos
RIESGOS POTENCIALES
Se requiere conocer:
a.
b.
c.
d.
e.
Organigramas Funcionales
Procesos operativos
Diagramas de flujo de procedimientos
Tipologa de riesgos
Matrices de riesgos y controles
16
�Identificacin de Riesgos
a. Organigramas Funcionales.
Revela las divisiones de la organizacin y sus
relaciones, lo que permite al administrador de
riesgos entender la naturaleza y el campo de accin
de las operaciones de la organizacin.
Se evita que una misma persona, unidad o rea
realice funciones que no respetan la adecuada
segregacin de labores, generando conflicto de
inters o riesgos operativos que pueden ser evitados
fcilmente.
17
�Identificacin de Riesgos
b. Procesos
Operativos.
Permiten al administrador de riesgos conocer cmo
se realizan las actividades por rea.
18
�Identificacin de Riesgos
c. Diagramas de flujo
Pueden alertar al administrador de riesgos de
aspectos inusuales en las operaciones de la empresa
y permite descubrir las contingencias que pueden
interrumpir sus procesos.
El administrador de riesgos se ve forzado a
familiarizarse con los aspectos tcnicos de las
operaciones de la empresa.
19
�Matriz de Riesgos
d. Tipologa de riesgos
Por su origen:
INTERNO.- es cuando la causa que origina el riesgo es
EXTERNO.- si la causa que genera el riesgo es derivada
propia del proceso, rea o actividad interna de la
empresa.
de la participacin de un proveedor o rea diferente a la
que est ejecutando el proceso.
20
�Matriz de Riesgos - Tipologa del Riesgo
MATRIZ DE RIESGOS
ORIGEN
Interno
Externo
21
�Matriz de Riesgos - Tipologa del Riesgo
Por su tipo:
Riesgo de Proceso (Operativo)
Riesgo Legal
Riesgo Humano
Riesgo Tecnolgico
Riesgo de Contraparte (o Proveedor)
Riesgos de Desastres Naturales
22
�Matriz de Riesgos - Tipologa del Riesgo
MATRIZ DE RIESGOS
ORIGEN
TIPO
Proceso
Operativo
Legal
Interno
Humano
Tecnolgico
Proveedores
Externo
Regulacin
Desastres
Naturales
23
�Matriz de Riesgos - Tipologa del Riesgo
Por la FUENTE de causa del riesgo:
9
9
9
9
9
9
9
9
Errores humanos
Incumplimiento
Diseo
Abuso
Planeacin
Fallas
Seguridad
Experiencia
24
�Matriz de riesgos - Tipologa del Riesgo
MATRIZ DE RIESGOS
ORIGEN
Interno
TIPO
FUENTE
Proceso
Operativo
Errores
Legal
Incumplimiento
Humano
Diseo
Tecnolgico
Abuso
Planeacin
Externo
Proveedores
Fallas
Regulacin
Seguridad
Desastres
Naturales
Experiencia
25
�Matriz de Riesgos
FRECUENCIA
Para cada riesgo ya clasificado se asigna una
probabilidad de ocurrencia a cada uno de ellos:
casi nulo
raro
probable
casi seguro
26
�Matriz de Riesgos
ORIGEN
Interno
TIPO
FUENTE
Proceso
Operativo
Errores
Legal
Incumplimiento
Humano
Diseo
Tecnolgico
Externo
Casi Nulo
Raro
Abuso
Planeacin
Proveedores
FRECUENCIA
Fallas
Regulacin
Seguridad
Desastres
Naturales
Experiencia
Probable
Casi Seguro
27
�Matriz de Riesgos
SEVERIDAD
Se estima el impacto en caso de materializarse el
riesgo:
Insignificante
Moderado
Fuerte
Significante
28
�Matriz de Riesgos
ORIGEN
TIPO
Proceso
Operativo
Interno
FUENTE
Errores
Legal
Incumplimiento
Humano
Diseo
Tecnolgico
Externo
Casi Nulo
Raro
SEVERIDAD
Insignificante
Moderado
Abuso
Planeacin
Proveedores
FRECUENCIA
Fallas
Regulacin
Seguridad
Desastres
Naturales
Experiencia
Probable
Casi Seguro
Fuerte
Significante
29
�Matriz de Riesgos
Esta matriz nos permite identificar los tipos de riesgo
y el perfil inicial de riesgo de un rea.
Es aqu donde ya hemos cuantificado el riesgo, de
una manera cualitativa basada en el BUEN JUICIO
del
experto del proceso
y
el administrador de riesgos.
30
�ESQUEMA DE FRECUENCIA-SEVERIDAD
FRECUENCIA
CASI
SEGURO
(4)
12
16
PROBABLE
(3)
12
RARO
(2)
CASI NULA
(1)
INSIGNIFICANTE MODERADO
(1)
(2)
SEVERIDAD
FUERTE
(3)
SIGNIFICANTE
(4)
31
�EJEMPLO
Procedimiento de Emisin de Pliza Vida
Individual
32
�Proceso de Emisin de Pliza
Vida Individual
CODIGO:
PROCESO:
ACTIVIDADES
PROCEDIMIENTO PARA LA EMISION DE POLIZAS
Recibe solicitudes
Entrega solicitudes
y valida
de seguros al
documentacin
Analista Suscriptor
necesaria
Est completa la
solicitud y su
documentacin
Est la suma
SI.- cambia estatus
Captura
asegurada dentro de solicitud a "P".
informacin de la
de los lmites de
NO.- Turna la
solicitud en el
suscripcin
solicitud al Gerente
Sistema
autorizados?
de Suscripcin
NO
Agente
SI
Analista Suscriptor
SI
NO
Gerente Suscriptor
RIESGO OPERATIVO
IDENTIFICADO
CONTROLES
No llenar
totalmente la
solicitud
Se reciba solicitud
Dejar pasar la
Error de Captura
sin toda la
solicitud sin todos los
de la
documentacin
documentos
informacin en el
requerida segn
Sistema
requeridos
tabla de requisitos
Emite pliza con
suma asegurada
superior al lmite
establecido para el
analista
Supervisin por un
superior
Automatizacin de
lmites de suma
asegurada
Hojas de
Validacin
33
�Proceso de Emisin de Pliza
Vida Individual
(parte 2)
CODIGO:
PROCESO:
ACTIVIDADES
SI.- cambia estatus
Recibe solicitud y
Requiere
de solicitud a "P".
documentacin
Imprime y arma
informacin adicional
Entrega plizas
NO.- Turna la
para realizar la
las plizas
para realizar
solicitud al Gerente
suscripcin de la
suscripcin?
de Suscripcin
pliza
SI
Agente
Analista Suscriptor
Gerente Suscriptor
SI
NO
RIESGO OPERATIVO
IDENTIFICADO
Impresin lote
de plizas de un
da diferente al
de emisin.
CONTROLES
Rediseo del
sistema
34
�Proceso de Emisin de Pliza
Vida Individual
No.
Riesgo
Descripcin del Riesgo
Origen
Tipo
Fuente
EM01
Recibir solicitud sin tener
todos los datos llenos.
Interno
Riesgo
Humano
Errores,
Experiencia
EM02
Error en la captura de
informacin en el Sistema.
Interno
Riesgo
Humano
Errores
EM03
Autorizar emisin con
suma asegurada fuera de
los lmites de suscripcin.
Interno
Riesgo
Humano
Experiencia,
Abuso
EM04
Imprimir lote de plizas de
un da diferente al de la
emisin.
Interno
Tecnolgico
Fallas
35
�Proceso de Emisin de Pliza
Vida Individual
No.
Riesgo
Descripcin del Riesgo
Frecuencia
Severidad
Peso
CASI NULA
MODERADO
RARO
FUERTE
EM01
Recibir solicitud sin tener
todos los datos llenos.
EM02
Error en la captura de
informacin en el Sistema.
EM03
Autorizar emisin con suma
asegurada fuera de los lmites
de suscripcin.
CASI NULA
FUERTE
EM04
Imprimir lote de plizas de un
da diferente al de la emisin.
PROBABLE
SIGNIFICANTE
12
36
�Proceso de Emisin de Pliza
Vida Individual
CASI
SEGURO
(4)
12
16
FRECUENCIA
EM04
PROBABLE
(3)
12
EM02
RARO
(2)
CASI NULA
(1)
EM01
6
EM03
INSIGNIFICANTE MODERADO
(1)
(2)
SEVERIDAD
FUERTE
(3)
SIGNIFICANTE
(4)
37
�Controles
Los riesgos del proceso que estn en la alarma roja son
los que deben atenderse en forma inmediata.
Los riesgos que no estn en alarma roja no deben
dejarse a un lado, sino en su momento se atendern.
Para cada riesgo se determina una o varias actividades
de control a realizar:
Modificacin al sistema
Capacitacin al personal
Reportes con cifras de control
Redefinir funciones
38
�Proceso de Emisin de Pliza
Vida Individual
Descripcin del Riesgo
CONTROL
EM01
Recibir solicitud sin tener todos
los datos llenos.
Supervisin
EM02
Error en la captura de
informacin en el Sistema.
EM03
Autorizar emisin con suma
asegurada fuera de los lmites
de suscripcin.
Automatizacin de control de
lmites de sumas aseguradas por
usuario del sistema
EM04
Imprimir lote de plizas de un
da diferente al de la emisin.
Solicitar que el sistema permita
marcar plizas que ya se
imprimieron
No.
Riesgo
Hoja de Validacin
39
�Monitoreo y Control
Peridicamente se deben revisar los procesos para
validar si el riesgo identificado ha disminuido en su
calificacin de frecuencia-severidad.
Se deben generar los Indicadores de Riesgo
Operativo, los cuales permitirn dar un seguimiento
peridico de la evolucin del nivel de riesgo, alertar
de situaciones graves de riesgo y verificar el impacto
en el nivel de riesgo de las acciones correctoras.
40
�Indicadores de Riesgo
Indicadores de Riesgo
Estadsticas de actividad.
Base de datos de incidencias y eventos de
prdida.
Reportes de cifras de control.
Reportes para anlisis de conciliaciones.
Grado de implementacin de las recomendaciones
de los auditores.
41
�Mitigacin o Eliminacin
La mitigacin o eliminacin de los riesgos se ir
presentando conforme ms instrumentados se
encuentren los controles de cada riesgo.
Las matrices de riesgo, los controles e indicadores
de riesgo son bases de informacin indispensable
que debe reunirse en el rea de Administracin de
Riesgos.
Hasta este punto solamente se tienen controles de
corto plazo, sin embargo el objetivo de la
administracin de riesgos tambin es el de prevenir
que se materialicen los riesgos.
42
�Conclusiones
Las bases de datos de incidencias y eventos de
prdida se estn empezando a hacer.
Esta metodologa permite establecer controles de
corto plazo.
En el futuro, las bases de datos permitirn generar
modelos probabilsticos para estimar el riesgo
operativo.
El Actuario tiene un campo de desarrollo nuevo en la
Administracin del Riesgo Operativo.
43
�Gracias!
44
