• Encuesta:

18/05/2023
 Contenido:

Módulo 5 : GESTIÓN DEL RIESGO OPERATIVO

Marcos conceptual del Esquemas de Gestión Riesgo Operativo y

Riesgo Operativo del Riesgo Operativo Seguridad de la
Información

▪ Visión general del ▪ Gestión cualitativa

Riesgo en las IFIS para la gestión del ▪ Gestión cuantitativa
▪ Importancia del riesgo operativo para la gestión del
Gobierno Corporativo ▪ Metodologías para la Riesgo Operativo
para la gestión de gestión del riesgo ▪ Conformación de base
Riesgos. operativo de eventos
▪ Generalidades y ▪ Identificación, ▪ Fuentes de
Aspectos Conceptuales medición, control y información
del Riesgo Operativo monitoreo del riesgo ▪ KRI´s
▪ Elementos mínimos operativo • Amenazas
gestión factores de informáticas de
riesgo: Procesos,
actualidad
Personas, Tecnologías
• Aspectos de
de información,
Eventos externos, ciberseguridad
Riesgo legal • Integración de RO
▪ Roles y con la
Responsabilidades Ciberseguridad.
 NORMATIVA Y MEJORES PRÁCTICAS RELACIONADAS CON EL RIESGO
OPERATIVO

• En 2003, el CSBB publicó principios sobre buenas prácticas para

la administración del riesgo operacional, sentando las bases para
el tratamiento de este riesgo como categoría de riesgo
diferenciada (fueron actualizados en 2011 y 2014*).
• En 2004, el CSBB publicó “Basilea II” (actualizado a 2006)
estableciendo por primera vez las tres metodologías para el
cálculo de un cargo de capital regulatorio para atender a las
pérdidas provenientes de eventos de riesgo operacional
ordenadas de acuerdo a la dificultad de implementación.
• En 2010, el CSBB publicó “Basilea III” una serie de iniciativas,
promovidas por el Foro de Estabilidad Financiera (FSB, Financial
Stability Board por sus siglas en inglés) y el G-20, para fortalecer
el sistema financiero tras la crisis de las hipotecas subprime. Se
trata de la primera revisión de Basilea II (CRD II) y se llevó a cabo
a lo largo de 2009, entrando en ejecución a partir del 31 de
diciembre de 2010
NORMATIVA Y MEJORES PRÁCTICAS RELACIONADAS CON EL RIESGO
OPERATIVO
ISO 9001
(PROCESOS)
COBIT
ITIL COSO
MAGERIT

Riesgo
ISO 22301
operat
CONTINUID
AD DEL
ivo BASILEA
NEGOCIO

ISO 2700 Y
(SEGURIDA
LEGISLACIÓ
D DE LA
N LOCAL
INFORMACI
ÓN
18/05/2023
NORMATIVA Y MEJORES PRÁCTICAS RELACIONADAS CON EL RIESGO
OPERATIVO
SECTOR DE LA ECONOMIA SECTOR BANCARIO
POPULAR Y SOLIDARIA
TITULO XII.- DEL RIESGO OPERATIVO
LIBRO I.- NORMAS DE CONTROL PARA LAS
Capítulo I.- Norma de Control de Seguridades en el Uso de Canales
Electrónicos para las
ENTIDADES DE LOS SECTORES
Entidades Financieras Controladas por la Superintendencia de
Economía Popular y Solidaria
FINANCIEROS PÚBLICO Y PRIVADO
Capítulo II.- Norma de control respecto de la seguridad física y
TITULO IX.- DE LA GESTIÓN Y
electrónica ADMINISTRACIÓN DE RIESGOS CAPÍTULO
Capítulo III.- Norma de control para la administración del riesgo
operativo y riesgo legal en las entidades del sector financiero popular y
V.- NORMA DE CONTROL PARA LA
solidario bajo el control de la Superintendencia de Economía Popular y GESTIÓN DEL RIESGO
Solidaria
OPERATIVO
Capítulo IV.- Norma de control para la administración del riesgo
ambiental y social en las cooperativas de ahorro y crédito y asociaciones
mutualistas de ahorro y crédito para la vivienda

Capítulo V.- Norma de control respecto a la seguridad de la información

en las entidades del Sector Financiero Popular y Solidario bajo control
de la Superintendencia de Economía Popular y Solidaria

Capítulo VI.- Norma de Control para la Gestión del Riesgo de Conducta

de Mercado para las Entidades Financieras Controladas por la
Superintendencia de Economía Popular y Solidaria

18/05/2023
Gestión Cualitativa del Riesgo Operativo

Las metodologías y herramientas más utilizadas para la gestión del riesgo

operativo incluyen:

Autoevaluaciones y Base de datos Indicadores de

mapas de riesgo eventos de riesgo (KRIs)
pérdidas
Gestión Cualitativa del Riesgo Operativo
ORIGEN E IMPACTO DEL RIESGO

CAUSAS RIESGO EVENTO IMPACTO

Debilidades que Toda circunstancia que Suceso que constituye

la materialización de Impacto queproduce
provocan la aparición puede desembocar un
un RO el evento(pérdida)
de factores de RO evento de RO

Proceso mal
diseñado Indemnización
Riesgo de error en Error de ingreso de al cliente
elproceso datos

Escasa capacitación
profesional
Gestión Cualitativa del Riesgo Operativo

• Se fundamenta en la identificación y
GESTIÓN cuantificación de los factores de Riesgo
CUALITATIVA Operativo.

• Se gestiona desde un departamento central pero

todas las unidades participan en su implantación
• Repositorio de Factores de
Riesgo • Se utiliza el conocimiento que tiene el personal
• Información Centralizada de la organización.
• Uso del conocimiento de la
organización • Proporciona el mapa de riesgos operacionales de
• Mapa de riesgo dinámico la entidad y su posterior evolución a lo largo del
tiempo

• Es la base para los planes de mitigación

Cambio cultural
• Genera una cambio cultural
Gestión Cualitativa del Riesgo Operativo
Autoevaluación de riesgos y controles
Autoevaluación de riesgos y controles

Herramienta con alta dosis cualitativa.

Identificación
Su objetivo es que cada gestor de proceso
(responsable del riesgo) pueda evaluar los riesgos
en los procesos a su cargo (riesgo inherente, la Monitoreo
Valoración y
Evaluación
de Riesgos
calidad de los controles internos y el riesgo
residual).
El proceso de evaluación es interno y se lo puede
realizar a través de talleres (workshops), Seguimiento Tratamiento
entrevistas y cuestionarios, con los expertos del y Control de Riesgos

proceso.

Se identifica el RO recorriendo las tareas,

cruzándolas con las tipologías deRO
Metodología de autoevaluación de riesgos y controles
• Priorización de procesos para la identificación de Riesgos

Identificación del • CRITERIOS DE PRIORIZACION DE PROCESOS

Riesgo Operativo • Procesos críticos por Continuidad del
Negocio
• Procesos asociados a pérdidas reales y/o
potenciales
• Procesos donde exista mayor
transaccionalidad o manejo de dinero
• Número de cargos críticos que integran el
proceso

• Identificación de responsables de procesos y/o expertos

• Fuentes de información para la identificación de Riesgos

• Informes de auditoría
• Reclamos
• Reportes de eventos/Incidentes
• Talleres de autoevaluación
• Informes de organismo de control
• Otros
Metodología de autoevaluación de riesgos y controles
Metodología de autoevaluación de riesgos y controles

Se identifica los riesgos/eventos que generan/ron pérdidas

económicas.
Identificación del
Riesgo Operativo
Para la identificación se considera:

¿Qué sucedió o podría suceder?

Suceso que altera el curso normal de un proceso
(Evento)

¿Por qué sucedió?

Razones por las cuales sucedieron los eventos
(Causas o fallas – asociados a los Factores)
El riesgo puede estar asociado a uno o más factores

¿Qué tipo de evento es?

Reconocer a que tipología de riesgo operativo esta asociado.

¿Qué impacto tuvo?

Valor de pérdida económica originada por el
evento
(Pérdida)
Metodología de autoevaluación de riesgos y controles

Identificación del Ejemplo: Se realiza una transferencia a una cuenta distinta a la

Riesgo Operativo que el cliente solicita por el valor de 50000 USD y no se pudo
ubicar al cliente, cliente viene a reclamar.

¿Qué sucedió o podría suceder?

Reclamo del cliente

¿Por qué sucedió?

Error en la ejecución de la transferencia por proceso manual.

¿Qué tipo de evento es?

Ejecución, entrega y gestión de procesos

¿Qué impacto tuvo?

Devolución del dinero al cliente. 50000 USD
(Pérdida)
Metodología de autoevaluación de riesgos y controles

Identificación del Categorización del Riesgo - Ejemplo

Riesgo Operativo

Ejemplo ilustrativo

Detalle de Línea de
Factor Tipo de evento Proceso
evento negocio
Reclamo de Ejecución,
clientes por entrega y Gestió de
Proceso Minorista
transferencia gestión de Transferencias
erróneas procesos
Metodología de autoevaluación de riesgos y controles
En la etapa de medición se establece el nivel de riesgo inherente del
riesgo, para lo cual se evalúa dos variables básicas:
Valoración y
Evaluación de IMPACTO
Riesgos Es el valor monetario que se pierde como consecuencia del evento de
riesgo.

PROBABILIDAD
Esta asociada a la frecuencia con la que un evento de riesgo se materializa
en un determinado tiempo

Probabilidad Impacto

Cuántas veces me puede pasar? Cuánto puedo perder?

Nivel de
Riesgo
Inherente
Metodología de autoevaluación de riesgos y controles
Pérdidas directas

La parte del RO mejor

conocida

Impacto directo en P&G

Cuentas “puras” (100%RO)
▪ Fraudes
▪ Faltas encaja
▪ Multas/Sanciones
Costes de “reparación”
Consultoría de sistemas
Gastos legales
Otros gastos “correctivos”

18/05/2023
Metodología de autoevaluación de riesgos y controles
Pérdidas indirectas

Están en la Contabilidad, pero

son de difíciles de identificar

Ineficiencias:
▪ Reprocesos
▪ Horas extras
Errores en diseño de procesos

Otras tipologías:
▪ Errores en precios
▪ Compensaciones

18/05/2023
Metodología de autoevaluación de riesgos y controles
Lucro Cesante

Difícil de identificar y de medir

Pérdida de negocio futuro

Imposibilidad de cobrar intereses,
comisiones oprimas
Clientes insatisfechos que reducen su
actividad con por indisponibilidad de
servicios
Pérdida de personal clave

18/05/2023
Metodología de autoevaluación de riesgos y controles

PROBABILIDAD # VECES AÑO

IMPACTO POSIBLE PERDIDA ECONOMICA
Muy Baja Ocurrencia excepcional 1 El ri esgo ti ene un efecto nul o o
pequeño en el desarrol l o del
Insignificante
Inferior proceso Hasta USD.1.000,00
posibilidad de
ocurrencia o se conocen
Menor El proceso sufre un daño menor Entre USD.1.000,01 y 10.000,00
Baja casos muy aislados 3
Ocurre con cierta El desarrol l o del proceso sufre
Moderada frecuencia Entre 4 Y 12 Importante un deteri oro Entre USD.10.000,01 y 100.000,00

La probabilidad de la
ocurrencia de eventos se El desarrol l o del proceso es
Alta Entre 13 Y 35
Mayor afectado si gni fi cati vamente Entre USD.100.000,01 y 300.000,00
incrementa
Ocurre de forma El desarrol l o del proceso es
Muy Alta continua y permanente Más de 36 Superior afectado gravemente Más de USD 300.000,01

Para establecer una escala de probabilidad e impacto usamos criterios

cuantitativos y cualitativos o una combinación de ambos.
Metodología de autoevaluación de riesgos y controles

NIVEL DE RIESGO

El nivel de riesgo resulta de la combinación de la probabilidad

Valoración y de ocurrencia y el impacto financiero de cada uno de los
Evaluación de riesgos identificados, para lo cual se pueden determinar rangos
Riesgos de valoración.
Esta combinación nos ayuda a determinar el Riesgo Inherente
Metodología de autoevaluación de riesgos y controles

Valoración y APETITO DE RIESGO

Evaluación de
Riesgos Se define como apetito al riesgo, al nivel de riesgo que la
entidad financiera está dispuesta asumir en su búsqueda de
rentabilidad y valor. El Consejo de Administración aprobará el
apetito o tolerancia por riesgo operacional.

No
aceptado

Aceptado
Metodología de autoevaluación de riesgos y controles
EVALUACIÓD DE CONTROLES
Valoración y Se considera las políticas, procesos, mecanismos, prácticas y
Evaluación de otras acciones que actúan para eliminar o minimizar los
Riesgos riesgos adversos o mejorar oportunidades positivas.

DISEÑO DEL CONTROL EJECUCIÓN DEL CONTROL

Ponderación Atributo Score Nivel Ponderación Atributo Score Nivel
3 Preventivo 3 Permanente
2 Detectivo 2 A solicitud
34% Tipo de control 30% Frecuencia del control
1 Correctivo 1 Aleatorio
0 Inexistente 0 Inexistente
3 Automático 3 Optimizado
2 Semiautomático 2 Administrado
33% Naturaleza del control 40% Revisión y mejora continua
1 Manual 1 Inicial
0 Inexistente 0 No definido
3 Vigente 3 Alta
2 Parcialmente 2 Media
33% Asignado y documentado 30% Capacidad de mitigación
1 Desactualizado 1 Baja
0 No asignado 0 Deficiente
100% 100%

Nivel de Efectividad % mínimo % máximo Puntaje mínimo Puntaje máximo

Alta 85% 100% 2,55 3,00
Aceptable 60% 85% 1,80 2,55
Baja 30% 60% 0,90 1,80
Deficiente 0% 30% - 0,90
Metodología de autoevaluación de riesgos y controles
EVALUACIÓN DE CONTROLES
Valoración y Se considera las políticas, procesos, mecanismos, prácticas y
Evaluación de otras acciones que actúan para eliminar o minimizar los
Riesgos riesgos adversos o mejorar oportunidades positivas.

A continuación veamos los tipos de controles a través de Ejemplos

Preventivo
Es implementar mecanismos o acciones que eviten la materialización de un Riesgo

Colocar vidrios blindados en las ventanillas de Cajas con el fin de evitar asaltos
Correctivo
Son mecanismos o acciones que sirven para corregir la materialización un Riesgo

Colocar anti skimming en los cajeros automáticos para evitar mas fraudes

Detectivo
Son mecanismos o acciones que sirven para identificar la posible materialización
de un Riesgo
Monitoreo en línea del comportamiento de clientes en movimiento de TC
Metodología de autoevaluación de riesgos y controles

EVALUACIÓD DE CONTROLES
Valoración y
Evaluación de
Riesgos ¿Qué controles tengo actualmente?

Ejemplo ilustrativo

Nivel de
Detalle de Efectividad
Debilidades Probabilidad Impacto Riesgo Control implementado
evento de control
Inherente
Reclamo de
Error por
clientes por Manual de Políticas y
procesos Muy Alta Moderado Alto Deficiente
transferencia procedimientos
manuales
erróneas
Metodología de autoevaluación de riesgos y controles

Valoración y
Evaluación de
Riesgos

Riesgo Eficiencia de Riesgo

inherente controles Residual

Ejemplo ilustrativo

Nivel de Nivel de
Detalle de Efectividad
Debilidades Probabilidad Impacto Riesgo Control implementado Riesgo
evento de control
Inherente Residual
Reclamo de
Error por
clientes por Manual de Políticas y
procesos Muy Alta Moderado Alto Deficiente Alto
transferencia procedimientos
manuales
erróneas
Metodología de autoevaluación de riesgos y controles

Se evalúan las alternativas frente al riesgo:

Tratamiento al • No hacer nada
Riesgo • Profundizar en la evaluación
• Replantear el proceso
• Analizar las estrategias de tratamiento
• Valorar el costo- beneficio de las opciones disponibles.

Estrategias tratamiento

Evitar Asumir
Para adoptar una decisión sobre las estrategias de
tratamiento contrastamos el nivel de riesgo residual
con el “apetito de riesgo” aprobado por el Consejo
de Administración.
Transferir Mitigar
Metodología de autoevaluación de riesgos y controles

NIVELES APETITO
BAJO
Tratamiento al MEDIO
ACEPTADOS
Riesgo ALTO
NO ACEPTADOS
EXTREMO

Ejemplo ilustrativo

Nivel de Nivel de
Detalle de Efectividad
Debilidades Probabilidad Impacto Riesgo Control implementado Riesgo Plan de acción
evento de control
Inherente Residual
Reclamo de
Error por
clientes por Manual de Políticas y
procesos Muy Alta Moderado Alto Deficiente Alto Automatización del proceso
transferencia procedimientos
manuales
erróneas
18/05/2023