Contenido:

Módulo 5 : GESTIÓN DEL RIESGO OPERATIVO

Marcos conceptual del Esquemas de Gestión Riesgo Operativo y

Riesgo Operativo del Riesgo Operativo Seguridad de la
Información

▪ Visión general del ▪ Gestión cualitativa

Riesgo en las IFIS para la gestión del ▪ Gestión cuantitativa
▪ Importancia del riesgo operativo para la gestión del
Gobierno Corporativo ▪ Metodologías para la Riesgo Operativo
para la gestión de gestión del riesgo ▪ Conformación de base
Riesgos. operativo de eventos
▪ Generalidades y ▪ Identificación, ▪ Fuentes de
Aspectos Conceptuales medición, control y información
del Riesgo Operativo monitoreo del riesgo ▪ KRI´s
▪ Elementos mínimos operativo • Amenazas
gestión factores de informáticas de
riesgo: Procesos,
actualidad
Personas, Tecnologías
• Aspectos de
de información,
Eventos externos, ciberseguridad
Riesgo legal • Integración de RO
▪ Roles y con la
Responsabilidades Ciberseguridad.
Gestión Cuantitativa del Riesgo Operativo

Las metodologías y herramientas más utilizadas para la gestión del riesgo

operativo incluyen:

Autoevaluaciones y Base de datos Indicadores de

mapas de riesgo eventos de riesgo (KRIs)
pérdidas

“ex-ante” “ex-post”
Gestión proactiva Gestión reactiva
Gestión Cuantitativa del Riesgo Operativo
Base de datos de eventos e incidencias de riesgo operacional

Las BD permiten almacenar una gran cantidad de datos de

manera organizada e integrada y procesarla a fin de obtener
información relevante para la toma de decisiones, a través de
la generación de estadísticas e indicadores de riesgo y de
pérdidas, clasificados por:
• Proceso/Sub proceso
• Línea de negocio
• Producto
• Factor de riesgo
• Categoría de evento
• Etc.

La explotación de las BD posibilitan el análisis de los

eventos de riesgo y pérdida que se presentan con mayor
frecuencia y severidad, los procesos y actividades más
riesgosas, y finalmente, cuánto dinero perdió la entidad
financiera por riesgo operacional.
Gestión Cuantitativa del Riesgo Operativo

Las Bases de datos internas aportan información muy valiosa para la gestión del
Riesgo operativo:

• Especialmente para los eventos de bajo impacto y alta frecuencia (Ej.: Fraude
tarjeta de crédito)
• Es más fácil conocer la exposición al Riesgo Operativo por los eventos ocurridos,
que por factores cualitativos que aún no se han manifestado en forma de eventos.
“se aprende de la experiencia”.
• Los eventos evidencian la existencia de un factor de RO que en algunas ocasiones
era desconocido por la entidad.
• Las BBDD externas o los grandes eventos de dominio público deben ser analizados:
“¿Le puede ocurrir a mi empresa también?”

18/05/2023
Gestión Cuantitativa del Riesgo Operativo

¿Qué debo considerar para valorar los eventos?

• Consolidando en un solo importe el impacto económico de los diversos tipos de

pérdidas, aunque se encuentren registradas en cuentas diferentes
• La valoración se basa en la información contenida en los registros contables
• Activos sustituidos: Se considera pérdida el precio de reposición del activo(precio de
aadquisición).
• Activos no reemplazados: La pérdida se valora teniendo en cuenta el precio de
mercado del activo en el momento de producirse el evento.
• En el supuesto de que no sea conocido, la pérdida se registra considerando el valor del
activo en libros
• El evento se computa por su importe bruto sin deducir la recuperación conseguida
mediante gestiones realizadas una vez reconocido el evento y/o por los seguros
contratados para la mitigación.

18/05/2023
Gestión Cuantitativa del Riesgo Operativo

¿Qué debo excluir en la valoración de los eventos?

• Costes internos resultado de la dedicación de miembros de la entidad a la

resolución del evento así como el coste de eventuales horas extras.
• El valor de los contratos de mantenimiento formalizados previamente para evitar
o mitigar determinado tipo de eventos, así como el importe de las primas de
seguro satisfechas para la cobertura de siniestros.
• Costos de las mejoras realizadas para evitar futuros eventos de riesgo operativo.
• Costos del asesoramiento jurídico cuando la entidad renuncia a seguir adelante
con un proceso legal.

18/05/2023
Gestión Cuantitativa del Riesgo Operativo
Ejemplos de valoración de eventos

Caso 1: Un Cajero sustrajo dinero en 2 Caso 2: Un contrato contenía una cláusula

ocasiones, por $2.000 y$3.500 abusiva, el ente de control le dio la razón al
cliente. El Banco tuvo que indemnizar
• Se trata de 2 eventos, sin embargo la causa y la $100.000 al cliente, pagar $30.000 por costos
persona involucrada es la misma, por tanto, al Juzgado y $20.000 a los abogados para que
podemos decir que el evento raíz el mismo. modificaran la cláusula de cara al futuro.

• Se debe registrar un solo evento por$5.500 • La indemnización al cliente y los costos

judiciales, forman parte claramente de la
valoración del evento y por tanto deben
sumarse.
• La factura de los abogados, por $20.000, es un
costo que no se hubiera producido si el evento
no hubiera ocurrido. Por tanto, también se
considerar como parte de la valoración del
evento.
• En total se deberá registrar en la base de datos
un evento de$150.000

18/05/2023
Gestión Cuantitativa del Riesgo Operativo

3 caminos para localizar los eventos de RO

Gestión Cuantitativa del Riesgo Operativo
3 caminos para localizar los eventos de RO

• Se establece contacto con los

máximos responsables de la Línea
de Negocio/Soporte, ya que es
esencial que la Gerencia esté
involucrada en el proceso de
gestión del Riesgo Operativo.
• Los responsables de la Línea de
Negocio/Soporte identifican a los
que conocen de la información y
se les designan formalmente para
que en función de la taxonomía de
RO de la Unidad e identifican las
fuentes de información.
Gestión Cuantitativa del Riesgo Operativo

• El análisis de las consecuencias del riesgo operacional nos ayudará a encontrar

qué cuentas pueden contener pérdidas por eventos de RO

Tipo de eventos Información relacionada

Responsabilidad legal Gastos en juicios, litigios, etc…
Incumplimiento regulatorio Toda clase de sanciones y multas
Pérdidas o daños en activos En inmuebles, en equipos.
Indemnizaciones A clientes, proveedores, empleados
Pérdidas de efectivo Diferencias en caja, etc
Pérdidas por fraudes Robos, estafas, falsificaciones, etc…
18/05/2023
Gestión Cuantitativa del Riesgo Operativo
Existen 3 formas de capturar los eventos

Captura semiautomática:
Captura manual:
La captura semiautomática es aquella en la que la Entidad
Es la forma más sencilla de implantar dispone de una aplicación en su intranet con formatos y
una base de datos de pérdidas pues no parametrización estandarizadas y da acceso a las áreas
requiere ningún desarrollo informático. Informantes
Ro diseña un formato sencillo (en Excel Los integrantes de estas áreas son los encargados de reportar
o Word) que se facilita a las Áreas los eventos rellenando el formulario en la intranet.
Informantes reportar los eventos La información queda registrada en la aplicación de la Unidad
rellenando el formulario y enviándolo a Central de manera automática, una vez ésta la ha validado.
RO
Captura automática:
Ir a ejemplo:
La captura automática la realizan aquellas entidades que han
adaptado su contabilidad a las tipologías de Riesgo operativo.
La unidad de RO ha diseñado interfases que capturan los apuntes
contables que afectan a las cuentas de RO.

Estos datos son introducidos por quien contabiliza la partida y los

eventos son descargados directamente en la base centralizada.
Los eventos importantes se completan con información de gestión
Gestión Cuantitativa del Riesgo Operativo
Información mínima a considerar

• Código de identificación del evento.

• Clase de Riesgo de la pérdida.
• Línea de negocio asociada.
• Descripción corta del evento.
• Descripción larga del evento.
• Fecha de ocurrencia o de inicio del evento.
• Fecha de descubrimiento del evento.
• Fecha de registro contable del evento.
• Monto bruto de la pérdida.
• Monto recuperado.
• Monto recuperado mediante coberturas existentes de forma previa al evento

18/05/2023
Gestión Cuantitativa del Riesgo Operativo
Base de datos de eventos e incidencias de riesgo operacional

Unidades de Analistas de
negocio RO
Reportan

Analiza y
registra

Incidentes Registra nuevos eventos de pérdida y

recuperación
Evento-
BDD Rop
Riesgo

Planes de
mitigación Reporte
avances
Verifica
cumplimiento

Auditores
Gestión Cuantitativa del Riesgo Operativo

Las metodologías y herramientas más utilizadas para la gestión del riesgo

operativo incluyen:

Autoevaluaciones y Base de datos Indicadores de

mapas de riesgo eventos de riesgo (KRIs)
pérdidas

“ex-ante” “ex-post”
Gestión proactiva Gestión reactiva
Gestión Cuantitativa del Riesgo Operativo
Indicadores clave de riesgo (KRI’s)

Evolución KRI Pérdidas operativas

0,90%

0,80% Pérdidas
0,70%
operativas/Marge
n Ordinario
0,60%
Riesgo bajo
Los INDICADORES CLAVE DE RIESGO (Key Risk
0,50%

0,40%
Indicators) permiten monitorear la evolución
0,30%
Riesgo Moderado
de los riesgos operativos de forma continua.
0,20%

0,10%
0,20% Riesgo Alto
0,00% Los indicadores son métricas, que al ser
analizados en una línea de tiempo permiten
observar el comportamiento del riesgo, sus
variaciones y tendencias.
Indicadores clave de riesgo (KRI’s)
Uso y aplicaciones
¿Para qué se utilizan?

Los KRI´s se utilizan como una medida de cuantificación y seguimiento de los

riesgos.
• Los indicadores pueden representarse en valores absolutos o relativos.
• Detectar si la entidad financiera está fuera del apetito a riesgo definido uno o
varios riesgos relevantes.
• Detectar si la exposición a riesgos actual de la entidad financiera presenta una
tendencia de desmejora, a partir de la comparación con los valores de
períodos anteriores.
• Evaluar el nivel de exposición y la tendencia del riesgo de los diferentes
indicadores, identificando las relaciones que puede estar observándose entre
ellos y necesidad de indicadores de profundidad.
Indicadores clave de riesgo (KRI’s)
Ejemplos de KRI´s
Reportes de Riesgos Operativo
Indicadores de Riesgos
Administrador de Riesgo
- Seguimiento al cumplimiento de planes de
acción.
- Matriz de Riesgo Operativo
- Mapa de Riesgos
- Indicadores Clave de Riesgo (KRI`s)
- Informes mensuales al CAIR y CA

Auditoria Interna
- Verificación del cumplimiento de los planes de
acción Distribución de pérdidas por Factor / porcentaje corte junio 2020

TECNOLOGI
Estado Planes de Acción A DE
INFORMACI EVENTOS
ON EXTERNOS
VIGEN… 12 24
14% 29%
VENCID
O; 45;
9%
REPRO…
CULMIN PROCESOS
ADO; INTERNOS PERSONAS
341; 24 23
70% 29% 28%
Amenazas informáticas

Características principales

Convención de Naciones Unidas contra la delincuencia organizada: “Un

grupo estructurado de tres o más personas que durante cierto tiempo actúe
concertadamente con el propósito de cometer uno o más delitos graves con
miras a obtener, directa o indirectamente, un beneficio económico u otro
beneficio de orden material”

• Alto nivel de cooperatividad e intercambio de conocimiento

• Totalmente transaccional
• Distintas motivaciones: económica, hacktivista, geopolítica, terrorista,
repercusión mediática.

18/05/2023
Amenazas informáticas
¿Quién está detrás del cibercrimen?

El perfil ha cambiado con los años. De ataques

individuales y dirigidos a un proceso industrial
completamente automatizado y dirigido por
delincuencia organizada global.
Línea de negocio muy rentable: Alto Retorno con
Riesgo mínimo.

Los ciberdelincuentes profesionales y las bandas

organizadas se encuentran entre
las mayores amenazas externas a las que se
enfrentan actualmente las empresas. En 2022, más
del 30% de los casos de fraude externo fue cometido
por hackers –con casi un 30% llevado a cabo por
grupos de ciberdelincuentes profesionales.
Fuente: www.forbes.com.mx.tendencias
Incidentes de ciberseguridad en orden de mayores ataques
El uso de correos electrónicos que parecen provenir de una fuente
Phishing confiable para engañar a un usuario
para ingresar credenciales válidas en un sitio web falso.
Un tipo de malware que es una forma de extorsión. Funciona
Ransomware cifrando un
el disco duro de la víctima negándoles el acceso a los archivos clave
Suplantación de identidad, sobornos, chantajes y amenazas,
Ingeniería Social
utilizados para atacar los sistemas de información
Malware Término genérico para varios tipos diferentes de código malicioso
Día cero Es el día en que se da a conocer una nueva vulnerabilidad
Garantiza que los recursos solo se otorguen a aquellos usuarios que
Control de accesos tienen derecho a ellos
Gran cantidad de computadoras comprometidas que se utilizan para
Botnet
crear y enviar spam o virus o inundar una red con mensajes
Denegación de
servicio Retraso de las operaciones y funciones del sistema
Honeypot Programas que simulan uno o más servicios de red
Fuente: Kaspersky Labs (2022). Ricerca di mercato Kaspersky sulla Threat Intelligence.
Aspectos de ciberseguridad

Han sufrido más de 5 ciber La Administración de eventos e información de seguridad, SIEM y los
incidentes en los últimos 12 Antivirus/Endpoint Detection and Response (EDR) fueron las principales
meses herramientas que ayudaron a las organizaciones a detector ciber incidentes

Han evidenciado un Están preparados para Están preparados para

incremento en ciber ataques detectar un ciber incidente responder un ciber incidente
en los últimos 12 meses dentro de la primera hora dentro de la primera hora

Fuente: BCI Cyber Resilence Report 2023

Aspectos de ciberseguridad

Han sufrido pérdidas por Han sufrido un ciber Reportan que los ataques de
mas de $ 10.000 debido a incidente como resultado de ransomware son los
ciberincidentes phishing incidentes mas presentados
después del phishing

Links maliciosos – software desactualizado – contraseñas débiles son las principales causas de ciber
incidentes generados por los empleados

Fuente: BCI Cyber Resilence Report 2023

Detección proactiva vs reactiva principales recursos

Detección proactiva Detección Reactiva

Administración de eventos e
39,9% Obsolescencia tecnológica 14,5%
información de seguridad, SIEM

Antivirus/Endpoint Detection and

35,2% Notificación de usuarios 12,4%
Response (EDR)
Soporte departamento IT 31,60% Notificación de terceros 12,4%
Alertas Firewall e IPS 29,0% Fallas en sitios web 78,8%
Redes sociales 5,7%
Fallas en el hardware 3,1%

Fuente: BCI Cyber Resilence Report 2023

Impacto financiero de ciber incidentes en los últimos 12 meses

Fuente: BCI Cyber Resilence Report 2023

Aspectos de ciberseguridad

Ciberseguridad. ¿Por dónde empezar?

18/05/2023
Integración de RO con la Ciberseguridad

El proceso de gestión de riesgos relacionado con la TI y SI debe seguir una

metodología estructurada basada en buenas prácticas y un deseo de buscar
una mejora continua

18/05/2023
Integración de RO con la Ciberseguridad

18/05/2023
Integración de RO con la Ciberseguridad

Fuente: Security-report-latam
18/05/2023