1.86k likes | 3.46k Views
GESTION DEL RIESGO OPERATIVO. I. CONCEPTOS DE RIESGO OPERACIONAL. Elementos B á sicos del Riesgo. La Conciencia “ Against the Gods: the remarkable story of risk” Peter Bernstein.
E N D
I. CONCEPTOS DE RIESGO OPERACIONAL
Elementos Básicos del Riesgo La Conciencia “Against the Gods: the remarkable story of risk” Peter Bernstein “La idea revolucionaria que define la línea divisoria entre los tiempos modernos y el pasado es el manejo del riesgo: la noción de que el futuro es más que un improntus de los dioses y que hombres y mujeres no son pasivos frente a la naturaleza. Hasta que la humanidad descubrió el camino para cruzar esa línea divisoria, el futuro era un espejo del pasado o el oscuro dominio de oráculos o pitonisos que tenían el monopolio del conocimiento de los eventos futuros.”
Concepto de Riesgo • “La posibilidad de que algo ocurra que impacte determinados objetivos, el cual se mide en términos de consecuencias y esperanza matemática” • “Toda aquella probabilidad que pudiese afectar de forma adversa el logro de los objetivos del negocio” • “La combinación de las probabilidades de ocurrencia de un evento y su consecuencias, haciendo notar que estas pueden ser positivas o negativas, y en algunas circunstancias el riesgo surge de la posibilidad de desviación de la ocurrencia del evento esperado”
Gestión Tradicional de Riesgo • Enfocada en Finanzas (inversiones, flujos de efectivo, infidelidad) y coberturas de seguros para activos de la empresa (incendio, pérdidas de activos, vida, HCM) • Atomizada en varias unidades funcionales de la empresa (RRHH, Seguridad Física, Tesorería, Administración) El riesgo es entendido y gestionado de formas distintas, dependiendo del estilo de gerencia y de como lo percibe cada unidad de negocio
Administración de RiesgosIntegrada Estrategia Negocios Gestión de Riesgos Financieros Operación Gestión de Riesgos Operativos Gestión de Riesgos Crediticios Mercado Mercado OPERATIVO Crédito Crédito Crédito 1980’s Mediados 1990’s Principios 2000’s Evolución de la Administración del Riesgo Operativo
¿Qué es Riesgo Operativo? • Concepción tradicional de Riesgo Operacional: “...todo aquello que no era ni riesgo de crédito, ni riesgo de mercado”
Definición: • Comité de Basilea (Junio de 2004): “el riesgo operacional se define como el riesgo de pérdida resultante: • de una falta de adecuación o • un fallo de los procesos, • el personal y • los sistemas internos o • bien de acontecimientos externos”. • Esta definición incluye el riesgo legal (jurídico), pero excluye el riesgo estratégico y el riesgo de reputación.
El control del riesgo operacional es una de las preocupaciones principales de la Industria Financiera • “Las pérdidas derivadas de los procesos operacionales han sido superiores en cuantía a las más importantes de las provocadas por el riesgo de mercado o de crédito” Senior Federal Reserve Bank Official. • “24% de los bancos encuestados han experimentado pérdidas por motivos operacionales superiores a 1,5 millones de euros en los últimos 3 años” Encuesta de la Asociación de Bancos Británicos.
¿Qué es el Riesgo de Operación? Riesgos tecnológicos Riesgos estratégicos Riesgos de procesos de negocios Riesgos RR.HH Riesgos de comunicación Cualquier cosa que pueda evitar que la organización cumpla con sus objetivos Riesgos ambientales Riesgos de reputación Riesgos externos Riesgos legales Riesgos Regulativos Riesgos de seguridad
¿Qué es el Riesgo de Operación?Tipos de Enfoque Amplia Cualquier cosa que pueda evitar que la organización cumpla con sus objetivos. Todos los riesgos, que no son riesgos de crédito o de mercado. El riesgo de pérdidas directas o indirectas resultantes de un inadecuado o fallido proceso interno, personal y fallas de sistemas o de eventos externos. El riesgo de pérdidas originadas por un procesamiento transaccional. Específica
Eventos Interno Externo Riesgos asociados Personas Procesos Tecnología ¿Qué es el Riesgo de Operación? El Comité de Basilea propuso la siguiente definición: “El riesgo de pérdida causado por la falla o insuficiencia de los procesos, personas y sistemas internos, o por eventos externos. Esta definición incluye el riesgo legal, pero excluye los riesgos estratégico, de reputación y sistémico” Legal • Fuente: Prácticas Adecuadas para la Gestión y Supervisión de los Riesgos de Operación. Comité de Supervisión Bancaria de Basilea, Julio de 2002. BANK FOR INTERNATIONAL SETTLEMENTS Fuentes Cambio Complejidad Brechas de control
¿Qué tópicos abarca el R.O.P? • ¿Qué es Riesgo Legal? (SI) Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución de contratos o acuerdos, al incumplimiento no intencional de las normas, así como a factores externos, tales como cambios regulatorios, procesos judiciales, etc. • ¿Qué es Riesgo Estratégico? (NO) La posibilidad de pérdidas por decisiones de alto nivel asociadas a la creación de ventajas competitivas sostenibles. Se encuentra relacionado a fallas o debilidades en el análisis del mercado, tendencias e incertidumbre del entorno, competencias claves de la empresa y en el proceso de generación e innovación de valor.
¿Qué tópicos abarca el R.O.P?: • ¿Qué es Riesgo Reputacional? (NO) La posibilidad de pérdidas por la disminución en la confianza en la integridad de la institución que surge cuando el buen nombre de la empresa es afectado. El riesgo de reputación puede presentarse a partir de otros riesgos inherentes en las actividades de una organización. • ¿Qué es Riesgo Sistémico? (NO) Aquella reacción en cadena que conduce a que el riesgo de una entidad financiera de incumplir con sus obligaciones cause que otras entidades incumplan con las suyas cual si fuesen piezas de dominó interconectadas. O Alternativamente, shock macro-económico que produce efectos adversos para la mayor parte del sistema financiero.
¿Qué tópicos abarca el R.O.P? Procesos internos 1 PSI Personas 2 Seguridad de la Información Tecnología Mejora Continua 6 Continuidad del Negocio 5 3 PCN Eventos Externos 4
Costos de no gestionar Riesgos de Operación (Impactos posibles) • Responsabilidades legales. • Interrupción del negocio. • Pérdidas financieras. • Costos financieros. • Pérdida de la reputación. • Daño a las personas, y al entorno. • Sanciones regulatorias. • Suspensión del servicio al cliente. • Salir del negocio. • NO GESTIONAR ADECUADAMENTE LOS OTROS RIESGOS.
Riesgo de Mercado Riesgo de Crédito Riesgo de Operación Costos de no gestionar Riesgos de Operación (Impactos posibles) • NO GESTIONAR ADECUADAMENTE LOS OTROS RIESGOS: MERCADO Y CREDITO ¡Las fronteras no son claras!
Costos de no gestionar Riesgos de Operación (Impactos posibles) • NO GESTIONAR ADECUADAMENTE TODOS LOS OTROS RIESGOS Tasa de Interés Crédito Liquidez País OPERATIVO Precio Tipo de Cambio Legal Reputación
Elementos Básicos del RiesgoLa amplitud y variabilidad Gestión Reputación Fraude Personas Marketing Modelo y Valorización RIESGO Cartera e Inversiones Sistemas Procesamiento de Transacciones Terceras Partes Contratos Cambio de precios
FRAUDE INTERNO Fraude Externo Prácticas de Empleo Clientes y Productos Daños a Activos Físicos Fallos de Sistemas Ejecucióny Gestión de Procesos Pérdidas derivadas de algún tipo de actos encaminados a defraudar, apropiarse o burlar regulaciones, la ley o las normas internas, excluyendo hechos por discriminación, los cuales, como mínimo, tienen un origen en parte interno. Tipología de Riesgos Operacionales • No informar intencionadamente de determinadas posiciones. • Infidelidades de empleados. • Uso el de información privilegiada para enriquecimiento propio.
Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o a soslayar legislación por parte de un tercero. Tipología de Riesgos Operacionales Fraude Interno Fraude Externo Prácticas de Empleo Clientes y Productos Daños a Activos Físicos Fallos de Sistemas Ejecucióny Gestión de Procesos • Robos; • Falsificación; • Daños de “piratas” informáticos (hackers),
Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, de higiene o seguridad en el empleo, del pago de reclamaciones por daños a las personas, o de eventos de diversidad o discriminación. Tipología de Riesgos Operacionales Fraude Interno Fraude Externo Prácticas de Empleo Clientes y Productos Daños a Activos Físicos Fallos de Sistemas Ejecucióny Gestión de Procesos • Compensaciones a trabajadores por quejas; • Violaciones a las normas de seguridad e higiene en el trabajo;
Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto. Tipología de Riesgos Operacionales Fraude Interno Fraude Externo Prácticas de Empleo Clientes y Productos Daños a Activos Físicos Fallos de Sistemas Ejecucióny Gestión de Procesos • Mal uso de la información confidencial de clientes; • Actividades comerciales inadecuadas en cuentas propias; • Venta de productos no autorizados.
Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos. Tipología de Riesgos Operacionales Fraude Interno Fraude Externo Prácticas de Empleo Clientes y Productos Daños a Activos Físicos Fallos de Sistemas Ejecucióny Gestión de Procesos • Terrorismo, vandalismo, terremotos, fuegos e inundaciones.
Pérdidas derivadas de incidencias en el negocio y de fallos en los sistemas. Tipología de Riesgos Operacionales Fraude Interno Fraude Externo Prácticas de Empleo Clientes y Productos Daños a Activos Físicos Fallos de Sistemas Ejecucióny Gestión de Procesos • Caídas del software; • Problemas de telecomunicaciones (Internet); • Apagones públicos
Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores. Tipología de Riesgos Operacionales Fraude Externo Fraude Externo Prácticas de Empleo Clientes y Productos Daños a Activos Físicos Fallos de Sistemas Ejecución y Gestión de Procesos • Errónea entradas de datos; • Documentación legal incompleta; • Accesos no aprobados a las cuentas de clientes; • Rupturas de contratos y disputas con proveedores y daños colaterales.
PASOS PARA LA ADMINISTRACION DEL RIESGO OPERATIVO • Para la administración de riesgos operativos en la empresa, se han establecido cinco (5) pasos principales, a fin de ofrecer mejor detalle de cada uno de los procesos de administración del riesgo operativo que serán implantados gradualmente en la empresa: • Paso 1: Identificación de los riesgos operativos • Paso 2: Análisis y valoración de los riesgos operativos • Paso 3: Estrategias de gestión de los riesgos operativos • Paso 4: Información y comunicación de los riesgos operativos • Paso 5: Monitoreo de los riesgos operativos
FASE I: Identificación de los Riesgos Operativos Objetivo: Determinar los riesgos operativos a los cuales se encuentra expuesta la organización, considerando tanto factores internos como externos, que puedan afectar adversamente la implantación de estrategias y el logro de objetivos del negocio.
PASO I: Identificación de los riesgos operativos Insumos -Información referente a la cadena de valor (ver detalle en sub-fase 1.1) -Planificación del proceso de identificación de los riesgos operativos en la cadena de valor - Construcción del inventario de los riesgos operativos - Categorización de los riesgos operativos - Determinación del riesgo legal y reputacional como consecuencia de un riesgo operacional -- A continuación se presenta un resumen de lo concerniente a esta fase : Sub-Fases Productos Entregables -Plan de identificación de los riesgos operativos -Inventario de riesgos operativos -Inventario de riesgos operativos categorizados -Inventario de riesgos operativos con riesgo legal y reputacional
Planificación del proceso de identificación de los riesgos en la cadena de valor • Consiste en la obtención de información y análisis preliminar de los riesgos operativos que podrían impactar la cadena de valor seleccionada, con la finalidad de elaborar junto con las unidades de negocio y apoyo un “Plan de Identificación de los Riesgos Operativos” que sirva de orientación para la construcción de un “Inventario de Riesgos Operativos”. • Esta sub-fase debe ser realizada por la unidad de control de riesgos para obtener el “Plan de Identificación de los Riesgos Operativos”, que incluye la recolección de información, el catálogo teórico de riesgos operativos, selección de la técnica de identificación de riesgos operativos y de las áreas y personas clave que intervendrán en el trabajo.
Recolección de información Se debe obtener la siguiente información en el marco de la cadena de valor, canalizada mediante la Dirección o Gerencia responsable: • Objetivos y metas del negocio • Leyes, normas y regulaciones en general. • Políticas y procedimientos. • Mapa de procesos / Áreas involucradas • Hallazgos de auditoria interna, si existen • Informes de auditoria externa, si existen • Datos históricos de pérdidas operativas, si existen • Data externa de pérdidas y/o tendencias del sector en que opera la empresa. • Auto-evaluaciones de riesgo y controles, si existen. • Información sobre futuros cambios, si existe
Análisis de flujos de procesos Consiste en examinar los procesos con el mejor entendimiento de las interrelaciones de sus componentes, entradas, actividades, salidas y responsabilidades, para facilitar la identificación de los posibles riesgos operativos en cada uno de los procesos. Para ello, se construye un listado de procesos de la cadena de valor evaluada.
Construcción del catalogo teórico de los riesgos operativos en la cadena de valor Una vez recolectada la información y analizado el flujo de procesos, se procederá a generar el “Catálogo Teórico de Riesgos Operativos”, en el cual se deberán señalar todos los riesgos operativos de forma teórica, los procesos y las áreas directas de apoyo, lo que servirá de guía a las unidades de negocio y apoyo para identificar los riesgos operativos que realmente se presentan en la cadena de valor y obtener con mayor detalle el inventario de todos los riesgos
Determinación de la técnica de identificación de los riesgos operativos Un apropiado análisis de los riesgos operativos involucra el uso de técnicas acertadas de identificación de riesgos, para obtener la mayor información posible sobre la cadena de valor. La técnica de identificación debe estar estructurada para obtener información comparable de múltiples fuentes. Las técnicas de identificación de riesgos son: • Realizar una sesión de inducción sobre la Metodología de Gestión Riesgo Operacional (MGRO), a fin de preparar a los participantes y garantizar el acceso a la información. • Los participantes deben ser personas que conozcan el proceso que se está analizando y que tengan capacidad y disponibilidad de cumplir con todas las fases de la metodología y presentar su punto de vista frente a los demás miembros del taller • Las sesiones deben ser conducidas de manera que incentiven la participación activa de todos los integrantes del grupo. • Cada sesión debe indicar la agenda y los pasos a seguir para que sirvan de guía en el desarrollo efectivo del taller de trabajo (workshop). • Los resultados obtenidos en la identificación de riesgos deben analizarse y expresarse de forma que recoja una percepción consensual de los riesgos operativos. • Facilitar la retroalimentación permanente de los análisis y conclusiones, a los fines de incorporar posibles cambios que surjan en los talleres.
RESUMEN: Ejemplo de los lineamientos que debe contener un taller de trabajo(workshop), incluyendo una agenda recomendada : Lineamientos para un taller de trabajo (workshop) Agenda recomendada Agenda sugerida para una apropiada sesión de entrevista
Selección de personas clave para la identificación de riesgo A los fines de realizar una selección de las personas clave, es recomendable indagar sobre las preguntas siguientes: ¿Quiénes son las personas competentes para identificar los riesgos operativos? 24 4 ¿Qué posiciones ocupan dentro de la organización y cuáles son sus responsabilidades? 26 7 13 1 10 11 18 ¿Cuáles son sus niveles de conocimiento de la cadena de valor? 17 12 5 27 2 20 8 15 22 3 25 14 ¿Cuáles son sus contribuciones para lograr la identificación de los riesgos? 6 16 19 9 21 23 4
Construcción del inventario de los riesgos operativos en la cadena de valor A efectos de lograr una adecuada identificación de los riesgos operativos, es importante considerar lo siguiente: En caso de no contar con la documentación de los procesos de la cadena de valor, bajo el enfoque de modelos extendidos de negocio, se sugiere realizar una diagramación de los principales flujos de procesos asociados a la cadena de valor y efectuar la identificación de los riesgos operativos con narrativas descriptivas, en donde el funcionario principal del proceso describe las actividades / pasos que ejecuta y el especialista de la unidad de control de riesgos facilitará la identificación de los riesgos. Se recomienda que los participantes se a abstraigan de los controles existentes, a fin de que puedan visualizar los riesgos inherentes a la cadena de valor, ya que en caso de fallar el control se materializaría el riesgo. A fin de facilitar una guía para la identificación de los riesgos operativos, se podría utilizar el “Catálogo Teórico de Riesgos Operativos”, que ha sido elaborado en el paso 1.1.2
Categorización de los riesgos operativos Consiste en clasificar los riesgos operativos listados en el “Inventario de Riesgos Operativos” según las siguientes categorías / niveles: Categoría de Riesgos Operativos (RO) / Nivel I: Naturaleza u origen de los riesgos: Personas: posibles pérdidas generadas por fallas en el recurso humano Sistemas :Posibles pérdidas generadas por fallas en los sistemas o tecnologías. Procesos: Posibles pérdidas por ausencias o deficiencias en los procedimientos que originan debilidades en la ejecución Eventos Externos: Posibles pérdidas por cambios adversos en el entorno de la organización, generados por fuerzas de la naturaleza o por terceros.
Categoría de RO / Nivel II: El origen potencial de las pérdidas de acuerdo a lo establecido por Basilea II:
Ejemplo • Riesgo • Ambos • Riesgo • Riesgo • Riesgo • Oportunidad • Riesgo • Ambos
FASE I: Evaluación Ejemplo Flujo de caja irreal Costo oportunidad Bajo retorno inversión Multas por violaciones ambientales y sanitarias Deterioro de Imagen Daño en el ambiente Inversión Liquidez Entorno Contrataciones colectivas Huelgas que afecten la producción Fraudes – Ética Actos y conductas ilegales Pérdida de mercado por precios bajos RRHH Competencia Riesgo Litigios clientes por incumplimientos Lenta respuesta a necesidades de clientes Alta concentración - venta en pocos clientes Insatisfacción de clientes no percibida Clientes Logística Obsolescencia de inventario Alto costo materia prima Alto inventario de repuestos Tecnología Información Producción Plan de contingencia Calidad de servicio Integridad de la información Proceso Productivo ineficiente Plan de producción ineficiente Alto costo laboral Proveedor Financiero Alta dependencia Proveedores no confiables Riesgo cambiario Alta inflación
Determinación del riesgo legal y reputacional como consecuencia de un riesgo operacional A continuación se presentan las definiciones de Riesgo Legal y Riesgo Reputacional: Riesgo legal: Pérdidas por incumplimientos de leyes, normas, reglamentos, prácticas prescritas o normas de ética. Riesgo reputacional: El Riesgo Reputacional surge cuando la forma de conducir el negocio no satisface las expectativas de los grupos de interés
Paso 2: Análisis y valoración de los riesgos operativos Objetivo: Realizar un análisis y valoración de los riesgos operativos, que permita comprender el perfil de riesgo y dirigir de manera más efectiva los recursos para la gestión de los riesgos identificados. A tal efecto, se tomarán como insumo los inventarios de riesgos operativos obtenidos durante la Fase 1 de identificación de riesgos, para analizar y valorar los riesgos inherente, residual y reputacional y determinar aquellos riesgos operativos que requieran una auto-evaluación de los controles de forma prioritaria.
Las técnicas cuantitativas pueden ser usadas cuando existe suficiente información estadística o numérica para estimar la frecuencia de ocurrencia o el impacto del riesgo, usando escalas de intervalos o de razón. Adicionalmente, son comúnmente utilizadas para el análisis de riesgos en procesos o áreas específicas de una organiza Mientras algunas mediciones cualitativas son definidas en términos subjetivos y otras en más de un término objetivo, la calidad de la evaluación depende en gran parte del conocimiento y juicio de los individuos involucrados y que además entiendan los eventos potenciales y el entorno que les rodea. Técnicas cualitativas L1 Las técnicas cuantitativas pueden ser usadas cuando existe suficiente información estadística o numérica para estimar la frecuencia de ocurrencia o el impacto del riesgo, usando escalas de intervalos o de razón. Adicionalmente, son comúnmente utilizadas para el análisis de riesgos en procesos o áreas específicas de una organización. Técnicas cuantitativas L2