2. JAHVMcGREGOR
S.A.S
Agenda
Introducción
Objetivos
Propósito y Desarrollo del proyecto SARO
Enfoque de la solución
Marco conceptual de la Gestión del Riesgo
Casos de Riesgo Operativo
Identificación de Riesgos
Definición de los Gestores de Riesgo Operativo
Funciones y Responsabilidades de los Gestores de RO
Consideraciones Finales
3. Introducción
Ninguna organización es inmune al riesgo. Es más, los riesgos de negocios de cada
organización cambian constantemente. La naturaleza de los riesgos y las
consecuencias potenciales de los mismos, que enfrentan las organizaciones son
cada vez más complejas y sustanciales.
Ninguna organización puede eliminar completamente los riesgos del negocio. Esto
es un hecho inherente a la realidad de las empresas. La alta dirección de las
organizaciones deciden qué nivel de riesgo es aceptable y crean una estructura de
control que lo mantenga dentro de los límites apropiados. En la administración de
riesgos del negocio, la clave es el equilibrio eficaz entre el riesgo y el control.
Es indispensable la creación e implementación de un Sistema de Administración de
Riesgo Operativo (SARO) que permita a las empresas gestionar sus procesos
identificando y administrando sus riesgos y así mismo fortaleciendo el sistema de
control interno.
JAHVMcGREGOR
S.A.S
4. Objetivos SARO
JAHVMcGREGOR
S.A.S
Implementar una metodología de administración de riesgos operativos de
acuerdo con la normatividad y el funcionamiento de los procesos de S&A
Servicios y Asesorías y ServiEspeciales (En adelante las EmpresasEmpresas).
Impulsar en las EmpresasEmpresas la cultura de la administración de los riesgos
operativos.
Identificar oportunidades de mejoramiento en cada uno de los procesos
evaluados que busque adicionalmente el fortalecimiento del Sistema de Gestión
del Riesgo Operativo.
5. Propósito y Desarrollo del proyecto SARO
JAHVMcGREGOR
S.A.S
Construcción de caracterización, diagramas de flujo y matrices de riesgos, fallas
y controles consolidados para los procesos estratégicos, misionales y
habilitantes, que conforman la red de procesos de las Empresas,Empresas,
Definición e implementación de los “elementos” del SARO:
Políticas
Estructura organizacional
Órganos de control
Difusión y divulgación de información
Registro de eventos
Plataforma tecnológica
Capacitación
6. Enfoque de la solución
JAHVMcGREGOR
S.A.S
CADENA DE VALOR
DE LA ENTIDAD
Objetivos
de
Negocio
Iniciativas de
Negocio -
Proyectos
Procesos del Negocio
(Macro procesos /
Procesos / Subprocesos
Riesgos
del
Negocio
Clasificación de
los riesgos y
priorización de los
mismos para
evaluar los macro
procesos /
procesos
Entrevistas
Reuniones de
conocimiento
Talleres
Estrategias / Definición de los
Componentes del Sistema de Control
Interno
Encuestas
Dinámica
Financiera
Entorno de la
industria /
sector
Fuerzas
del
mercado
Gobierno /
Regulaciones
Competencia
Estrategias – Procesos - Riesgos
Eficiencia del
Proceso y
Aseguramiento
de ingresos
Diagnóstico del
Sistema de
Control Interno
Identificar
planes de
acción
MBB
AMB
AAM Mapa de riesgo
operativos
7. Cadena de Valor
JAHVMcGREGOR
S.A.S
ClientesyPartesInteresadas
ClientesyPartesInteresadas
Estratégicos
Direccionamiento Estratégico
Planeación
Estratégica
Planeación y
Desarrollo
Dirección y
Coordinación
Permanencia
del Negocio
Comunicación
con grupos de
interés
Generación de
Utilidades
Habilitantes / Soporte
Gestión de Servicio al Cliente
Gestión Financiera y Contable
Gestión Jurídica y Legal
Gestión de Auditoría
Gestión de Talento Humano
Gestión de Recursos Físicos y Administrativos
Operaciones
Operaciones
Misionales / Operativos / Productivos / Básicos
Administración de Riesgos
Administración de Riesgos
• Administración de Riesgo de Lavado
de Activos y Financiación del
Terrorismo
• Administración de Riesgo Operativo
• Administración de Contratos
• Registro y procesamiento de
transacciones
• Tecnología de Información
Servicio al Cliente
Servicio al Cliente
• Manejo de solicitudes, quejas y
reclamos
• Notificaciones / comunicaciones con
los Clientes
• Mantenimiento de cuentas
Desarrollo de negocios
Desarrollo de negocios
• Diseño de productos / servicios
• Administración de productos
• Mercadeo (publicidad)
• Ventas / Comercialización
• Apertura de productos / servicios
• Monitoreo de productos / servicios
Tecnológicos
Tecnológicos
8. Cadena de Valor
JAHVMcGREGOR
S.A.S
Cadena de Valor
Integración de tres
categorías de procesos que
conforman una organización
• Procesos que proporcionan directrices a los demás
procesos
• Orientados a cumplir con los objetivos y políticas
institucionales
• Relacionados con planeación estratégica, la estructura
organizacional, entre otros.
• Procesos esenciales de la Entidad
• Ejecutan actividades para cumplir objetivos
relacionados con los productos o servicios que ofrece.
• Ejecutan actividades para cumplir estrategias
relacionadas con la calidad de los productos y/o
servicios que ofrece
• Sirven de apoyo para la ejecución de procesos
estratégicos o misionales
• Permiten preservar la calidad de los materiales,
equipos y herramientas
• Mantienen las condiciones de operatividad y
funcionamiento de recursos
• Apoyan la coordinación y control de la eficacia del
desempeño administrativo
9. Marco Conceptual – Introducción a los fundamentos del enfoque de
Administración de Riesgos
JAHVMcGREGOR
S.A.S
10. Sistema de Gestión de Riesgo
JAHVMcGREGOR
S.A.S
Que es?
Administración Integrada de Riesgos (Enterprise Risk Management): La
consideración de los riesgos a todos los niveles de la organización.
ERM – ayuda a las organizaciones a concentrarse en los riesgos relevantes
para alcanzar las metas y objetivos de la misma, tanto desde una perspectiva
operativa como estratégica
Actividades coordinadas para dirigir y controlar una organización con respecto al
riesgo – AS/NZS ISO 31000.
11. Vista general de la Administración de Riesgos
JAHVMcGREGOR
S.A.S
AS/NZS 4360 Estándar AustralianoAS/NZS 4360 Estándar Australiano
12. Sistema de Administración de Riesgo Operativo
JAHVMcGREGOR
S.A.S
Sistema de Administración de Riesgo Operativo:
Sistema de Gestión orientado a que las
empresas gestionen sus procesos,
identificando y administrando sus riesgos y
fortaleciendo el sistema de control interno.
13. Sistema de Administración de Riesgo Operativo
JAHVMcGREGOR
S.A.S
ELEMENTOS DEL SARO
o Políticas: Son los lineamientos generales que las entidades deben adoptar en
relación al SARO. Estas deben permitir un adecuado funcionamiento del
SARO y traducirse en reglas de conducta y procedimientos que orienten la
actuación de la entidad, Ej. Impulsar a nivel institucional la cultura en materia
de Riesgo Operativo (RO)
o Procedimientos: Las entidades deben establecer los procedimientos
aplicables para la adecuada implementación y funcionamiento de las etapas y
elementos del SARO, Ej. Adoptar las medidas por el incumplimiento del
SARO.
o Documentación: Las etapas y los elementos del SARO implementados por
las entidades deben constar en documentos y registros garantizando la
integridad, oportunidad, confiabilidad y disponibilidad de la información allí
contenida, Ej. Manual de Riesgo Operativo
14. Sistema de Administración de Riesgo Operativo
JAHVMcGREGOR
S.A.S
ELEMENTOS DEL SARO
o Manual de Riesgo Operativo: Debe contener como mínimo, lo siguiente:
La estructura organizacional del SARO, los roles y responsabilidades de
quienes participan en la administración del RO, los procedimientos que
deben implementar los órganos de control frente al SARO.
o Estructura Organizacional: La entidad debe establecer y asignar
funciones en relación con las distintas etapas y elementos del SARO.
o Junta Directiva: Establece las políticas relativas al SARO y hace el
seguimiento y se pronuncia sobre el perfil de Riesgo Operativo (RO) de la
entidad.
o Registro de eventos de Riesgo Operativo: La entidad debe construir un
registro de eventos de Riesgo Operativo (RO) y mantenerlo actualizado
15. Sistema de Administración de Riesgo Operativo
JAHVMcGREGOR
S.A.S
ELEMENTOS DEL SARO
o Representante Legal: Son funciones mínimas: Velar por el cumplimiento
efectivo de las políticas establecidas por la Junta Directiva, velar porque
las etapas y los elementos del SARO cumplan, como mínimo, con las
disposiciones señaladas en la norma.
o Órganos de Control: La entidad debe establecer instancias responsables
de efectuar una evaluación del SARO, dichas instancias informarán, de
forma oportuna, los resultados a los órganos competentes. Ej. Revisoría
Fiscal y Auditoria Interna.
o Plataforma Tecnológica: La entidad debe contar con la tecnología y los
sistemas necesarios para garantizar el adecuado funcionamiento del
SARO.
o Divulgación de la Información: Debe hacerse de forma periódica y estar
disponible cuando se requiera.
17. Definición de Riesgo Operativo
JAHVMcGREGOR
S.A.S
Es el efecto de la incertidumbre sobre los objetivos (ISO 31000).
Un efecto es una desviación de lo esperado, negativo o positivo
Es la posibilidad de que un evento ocurra y afecte de manera adversa el logro
de los objetivos. Se expresa en función de la probabilidad de que ocurra y el
impacto que genere (Económico, Reputacional, Legal, Clientes, Ambiental,
Valor de Mercado)
Posibilidad de ocurrencia de pérdidas debido a procesos inadecuados, fallas
del personal, de la tecnología de información o por la ocurrencia de eventos
externos. Esta definición incluye el riesgo legal y el riesgo reputacional , pero
excluye el riesgo estratégico (Comité de Basilea)
18. Definiciones de Riesgo Legal y Reputacional
JAHVMcGREGOR
S.A.S
Riesgo Legal:
Es la posibilidad de pérdida en que incurre una identidad al ser
sancionada u obligada a indemnizar daños como resultado del
incumplimiento de normas o regulaciones y obligaciones
contractuales.
Riesgo Reputacional:
Es la posibilidad de pérdida en que incurre una identidad por
desprestigio, mala imagen, publicidad negativa, cierta o no, respecto
de la institución y sus practicas de negocios, que cause pérdidas de
clientes, disminución de ingresos o procesos judiciales.
19. Definiciones de Riesgo Legal y Reputacional
JAHVMcGREGOR
S.A.S
Riesgo Estratégico:
Es la posibilidad de pérdida por el impacto actual y futuro en los
ingresos y el capital que podría surgir de las decisiones adversas de
negocios, la aplicación indebida de las decisiones, o la falta de
capacidad de respuesta a los cambios de la industria. Este riesgo es
una función de la compatibilidad de los objetivos estratégicos de la
Entidad, las estrategias desarrolladas para alcanzar dichos objetivos,
los recursos utilizados en contra de estos objetivos, así como la
calidad de su ejecución. Los recursos necesarios para llevar a cabo
las estrategias de negocios son evaluados en relación con el impacto
de los cambios económicos, tecnológicos, competitivos y regulatorios.
20. Metodología
JAHVMcGREGOR
S.A.S
1- Definir criterios
7- Consolidación
Planes de
Acción de Mejora
6- GAP Análisis
De Riesgos y
Controles
5- Calificación de
Controles
4- Análisis y
Evaluación
de Riesgos
3- Identificar
Riesgos
2- Acuerdo
Estrategia
Despliegue
- Talleres de Trabajo
- Matriz de
Riesgos y Controles
23. JAHVMcGREGOR
S.A.S
Gestión Cualitativa
Que se hace?
Identificar Riesgos
Identificar Controles
Valorar los Riesgos y Controles
Construir Matrices de Riesgo
Monitorear efectividad del Control
Medidas de Mitigación del Riesgo
Repetir el ciclo correspondiente
Gestión Cuantitativa
Que se hace?
Construir BD Interna
Construir BD Externa
Calcular el VaR de Riesgo
Operativo
Integrar la gestión cualitativa
con la gestión cuantitativa
• El evento puede ocurrir entre el 3 y el 10% de los casos
• Se ha presentado alguna vez en la Entidad ó en el sector en los
últimos cinco años
Baja
• El evento puede ocurrir en menos del 3% de los casos
• Se ha presentado una vez en al Entidad o en el sector en los últimos
20 años
Muy Baja
• El evento puede ocurrir entre el 10 y 15% de los casos
• Se presenta por lo menos una vez cada año
Moderada
• El evento ocurrirá entre el 15 y el 20% de los casos
• Se presenta con alguna frecuencia (1 vez cada trimestre)
Alta
• Se espera la ocurrencia del evento en más del 20% de los casos
• Nos ocurre con cierta periodicidad (1 vez cada mes)Muy Alta
Descripción
Probabilidad
de
Ocurrencia
• El evento puede ocurrir entre el 3 y el 10% de los casos
• Se ha presentado alguna vez en la Entidad ó en el sector en los
últimos cinco años
Baja
• El evento puede ocurrir en menos del 3% de los casos
• Se ha presentado una vez en al Entidad o en el sector en los últimos
20 años
Muy Baja
• El evento puede ocurrir entre el 10 y 15% de los casos
• Se presenta por lo menos una vez cada año
Moderada
• El evento ocurrirá entre el 15 y el 20% de los casos
• Se presenta con alguna frecuencia (1 vez cada trimestre)
Alta
• Se espera la ocurrencia del evento en más del 20% de los casos
• Nos ocurre con cierta periodicidad (1 vez cada mes)Muy Alta
Descripción
Probabilidad
de
Ocurrencia
24. Caracterización de procesos
JAHVMcGREGOR
S.A.S
La CARACTERIZACIÓNCARACTERIZACIÓN
del proceso es el
conjunto de variables que
ayudan a un mayor
entendimiento del
proceso.
La CARACTERIZACIÓNCARACTERIZACIÓN
del proceso es el
conjunto de variables que
ayudan a un mayor
entendimiento del
proceso.
25. Clasificación del Riesgo Operativo (Eventos)
JAHVMcGREGOR
S.A.S
• Fraude Interno:
Actos que de forma intencionada buscan defraudar o apropiarse
indebidamente de activos de la entidad o incumplir normas o leyes, en los
que está implicado, al menos, un empleado o administrador de la entidad.
Ejemplo: Inadecuada utilización de información confidencial.
• Fraude Externo:
Actos, realizados por una persona externa a la entidad, que buscan
defraudar, apropiarse indebidamente de activos de la misma o incumplir
normas o leyes.
Ejemplo: Robo, Falsificación de documentos
• Relaciones laborales:
Actos que son incompatibles con la legislación laboral, con los acuerdos
internos de trabajo y, en general, la legislación vigente sobre la materia.
Ejemplo: Reclamos por compensación e indemnización de personal.
26. Clasificación del Riesgo Operativo (Eventos)
JAHVMcGREGOR
S.A.S
• Clientes:
Fallas negligentes o involuntarias de obligaciones empresariales
frente a los clientes y que impiden satisfacer una obligación
profesional frente a éstos. Ejemplo: Abuso de confianza ,Uso de
información privilegiada a favor de la institución
• Daños a activos físicos:
Pérdidas derivadas de daños o perjuicios a activos físicos de la
entidad.
Ejemplo: Terrorismo, Vandalismo, Terremotos, Fuegos e
inundaciones
• Fallas tecnológicas:
Pérdidas derivadas de incidentes por fallas tecnológicas.
Ejemplo: Fallas de hardware o software, Problemas en las
telecomunicaciones
• Ejecución, Entrega y Administración de procesos:
Pérdidas derivadas de errores en la ejecución y administración de los
procesos.
Ejemplo: Errores en el ingreso de datos.
27. Conceptos asociados al Riesgo Operativo
JAHVMcGREGOR
S.A.S
Factores de Riesgo:
Se entiende por factores de riesgo, las fuentes generadoras de eventos en las que
se originan las pérdidas por riesgo operativo.
Son factores de riesgo el recurso humano, los procesos, la tecnología, la
infraestructura y los acontecimientos externos. Dichos factores se deben clasificar
en internos o externos.
Factores de Riesgo:
Se entiende por factores de riesgo, las fuentes generadoras de eventos en las que
se originan las pérdidas por riesgo operativo.
Son factores de riesgo el recurso humano, los procesos, la tecnología, la
infraestructura y los acontecimientos externos. Dichos factores se deben clasificar
en internos o externos.
Falla o Insuficiencia:
Causa u origen de un evento de riesgo.
Falla o Insuficiencia:
Causa u origen de un evento de riesgo.
29. Conceptos asociados al Riesgo Operativo
JAHVMcGREGOR
S.A.S
Controles:
Se refiere a toda medida tomada para mitigar o gestionar el riesgo, y para que la probabilidad de
que el negocio / proceso logre sus metas y objetivos sea mayor.
Son incorporados en los procesos para garantizar que se cumplan los requerimientos del flujo de
trabajo y los objetivos generales del negocio y de los procesos.
Controles:
Se refiere a toda medida tomada para mitigar o gestionar el riesgo, y para que la probabilidad de
que el negocio / proceso logre sus metas y objetivos sea mayor.
Son incorporados en los procesos para garantizar que se cumplan los requerimientos del flujo de
trabajo y los objetivos generales del negocio y de los procesos.
Evaluación de Controles:
En la evaluación de los controles se tienen en cuentan dos criterios: Diseño y la Ejecución de los
mismos. Como resultado de la combinación de estos criterios se determina la Solidez de control.
Evaluación de Controles:
En la evaluación de los controles se tienen en cuentan dos criterios: Diseño y la Ejecución de los
mismos. Como resultado de la combinación de estos criterios se determina la Solidez de control.
30. Conceptos asociados al Riesgo Operativo
JAHVMcGREGOR
S.A.S
Elementos del Control:
• El control siempre existe para verificar el logro de los objetivos que se establecen
en la planeación.
• Para controlar es imprescindible medir y cuantificar los resultados.
• Descubrir las diferencias que se presentan entre la ejecución y la planeación.
• El objeto del control es prever y corregir los errores.
Importancia de los Controles:
• Establece medidas para corregir las actividades, de tal forma que se alcancen los
planes exitosamente.
• Determina y analiza rápidamente las causas que pueden originar desviaciones,
para que no se vuelvan a presentar en el futuro.
• Reduce costos y ahorra tiempo al evitar errores.
• Su aplicación incide directamente en la racionalización de la administración y
consecuentemente, en el logro de la productividad de todos los recursos de la
empresa.
Elementos del Control:
• El control siempre existe para verificar el logro de los objetivos que se establecen
en la planeación.
• Para controlar es imprescindible medir y cuantificar los resultados.
• Descubrir las diferencias que se presentan entre la ejecución y la planeación.
• El objeto del control es prever y corregir los errores.
Importancia de los Controles:
• Establece medidas para corregir las actividades, de tal forma que se alcancen los
planes exitosamente.
• Determina y analiza rápidamente las causas que pueden originar desviaciones,
para que no se vuelvan a presentar en el futuro.
• Reduce costos y ahorra tiempo al evitar errores.
• Su aplicación incide directamente en la racionalización de la administración y
consecuentemente, en el logro de la productividad de todos los recursos de la
empresa.
31. Conceptos asociados al Riesgo Operativo
JAHVMcGREGOR
S.A.S
Evaluación de Controles:
En la evaluación de los controles se tienen en cuentan dos criterios: Diseño y la Ejecución de
los mismos. Como resultado de la combinación de estos criterios se determina la Solidez de
control.
• Diseño del Control: Es la configuración del control con respecto al riesgo que está mitigando.
La calificación del diseño es el resultado de la evaluación de los siguientes parámetros:
Actividades que componen el control
Frecuencia del control
Tipo de control
Responsable de la ejecución del control
Naturaleza
Documentación del control
El diseño se califica como:
• Muy adecuado
• Adecuado
• Inadecuado
Evaluación de Controles:
En la evaluación de los controles se tienen en cuentan dos criterios: Diseño y la Ejecución de
los mismos. Como resultado de la combinación de estos criterios se determina la Solidez de
control.
• Diseño del Control: Es la configuración del control con respecto al riesgo que está mitigando.
La calificación del diseño es el resultado de la evaluación de los siguientes parámetros:
Actividades que componen el control
Frecuencia del control
Tipo de control
Responsable de la ejecución del control
Naturaleza
Documentación del control
El diseño se califica como:
• Muy adecuado
• Adecuado
• Inadecuado
32. Conceptos asociados al Riesgo Operativo
JAHVMcGREGOR
S.A.S
Evaluación de Controles (cont.):
• Ejecución del Control: Es la calificación dada al nivel de implementación del control en el
proceso.
La ejecución del control / eficiencia operativa se califica como:
• Débil: no se está ejecutando el control
• Moderada: el control se está ejecutando en el proceso, pero no cumple con todos
los parámetros establecidos en el diseño del mismo
• Fuerte: el control se está ejecutando en el proceso de acuerdo con los
parámetros establecidos en el diseño del mismo
Esta calificación se selecciona en la matriz de riesgos y controles de acuerdo con la
evaluación de los dueños de proceso, auditoria interna y organización y métodos.
Evaluación de Controles (cont.):
• Ejecución del Control: Es la calificación dada al nivel de implementación del control en el
proceso.
La ejecución del control / eficiencia operativa se califica como:
• Débil: no se está ejecutando el control
• Moderada: el control se está ejecutando en el proceso, pero no cumple con todos
los parámetros establecidos en el diseño del mismo
• Fuerte: el control se está ejecutando en el proceso de acuerdo con los
parámetros establecidos en el diseño del mismo
Esta calificación se selecciona en la matriz de riesgos y controles de acuerdo con la
evaluación de los dueños de proceso, auditoria interna y organización y métodos.
33. Conceptos asociados al Riesgo Operativo
JAHVMcGREGOR
S.A.S
Atributos del
Control:
Atributos del
Control:
34. Conceptos asociados al Riesgo Operativo
JAHVMcGREGOR
S.A.S
Atributos del
Control:
Atributos del
Control:
36. Despliegue metodológico
JAHVMcGREGOR
S.A.S
Evaluación del riesgo inherente (Evaluación inicial):
Es la evaluación preliminar del riesgo, con la cual la Entidad quiere conocer el nivel de
exposición al mismo, sin tener en cuenta las medidas de mitigación o los controles.
En esta evaluación se involucran dos conceptos la probabilidad de ocurrencia y la
magnitud del impacto.
Evaluación del riesgo inherente (Evaluación inicial):
Es la evaluación preliminar del riesgo, con la cual la Entidad quiere conocer el nivel de
exposición al mismo, sin tener en cuenta las medidas de mitigación o los controles.
En esta evaluación se involucran dos conceptos la probabilidad de ocurrencia y la
magnitud del impacto.
Probabilidad de que se materialice o
manifieste el riesgo
Impacto o efecto del riesgo sobre la organización
(ingresos, reputación, satisfacción de clientes,
emisión de la información, etc)
Evaluación / Severidad / Calificación: Es la evaluación general del riesgo, resulta
de la combinación de la probabilidad y el impacto:
Probabilidad
de ocurrencia
Impacto
Muy Alta
Alta
Moderada
Baja
Muy Baja
Inferior Menor Importante Mayor Superior
Tecnología
Bajo
Moderado
Alto
Extremo
Resultado de la combinación
de las dos variables
37. Despliegue Metodológico
JAHVMcGREGOR
S.A.S
Mapa de riesgos Residuales por proceso
Muy Alta
Alta
Moderada
Baja
Muy Baja
Inferior Menor Importante Mayor Superior
IMPACTO
PROBABILIDADDEOCURRENCIA
R3
R1
R1
R3
38. Despliegue Metodológico
JAHVMcGREGOR
S.A.S
Riesgo Residual:
• Es el nivel de riesgo al cual está expuesto la Entidad de acuerdo con los
controles existentes
• El riesgo residual es el resultado del desplazamiento del riesgo inherente por la
aplicación de los controles, dependiendo de si el conjunto de controles
disminuye la probabilidad y/o el nivel de impacto.
Se definen los niveles de criticidad de los riesgos residuales: Extremo, alto,
moderado y bajo.
Riesgo Residual:
• Es el nivel de riesgo al cual está expuesto la Entidad de acuerdo con los
controles existentes
• El riesgo residual es el resultado del desplazamiento del riesgo inherente por la
aplicación de los controles, dependiendo de si el conjunto de controles
disminuye la probabilidad y/o el nivel de impacto.
Se definen los niveles de criticidad de los riesgos residuales: Extremo, alto,
moderado y bajo.
39. Despliegue Metodológico
JAHVMcGREGOR
S.A.S
Tratamiento / Mitigación del riesgo:
Son las alternativas seleccionadas por la Empresa para mitigar los riesgos.
Tratamiento / Mitigación del riesgo:
Son las alternativas seleccionadas por la Empresa para mitigar los riesgos.
Posibles
estrategias
establecidas
por la
Dirección de
la Entidad
Transferir
Reducir
Evitar
Aceptar
Apetito
de Riesgo
Perfil de
Riesgo
Mitigación / Tratamiento
del Riesgo
40. Despliegue Metodológico
JAHVMcGREGOR
S.A.S
Compromiso
Responsa
ble
Equipo de
apoyo
Presupue
sto
Priorid
ad
Fecha
inicio
Fecha
fin
Para el caso en que las fallas en
los equipos se deban a causas
internas (daños no intencionales,
mal uso, falta de mantenimiento,
etc.) el área cuenta con equipos
de respaldo en el área de Back
Office.
Ref: Documentado en Manual del
Front Office
Reducir la
probabilidad
Se reciben
conciliaciones diarias
tardías de bancos
corresponsales lo que
puede ocasionar
sobregiros en la
administración de
liquidez
Programar una reunión de las
áreas del Front Office e
Internacional con el objetivo de
identificar conjuntamente las
causas del envío tardío o
desactualizado de los saldos de
bancos corresponsales, con el
propósito de acordar las acciones
que sean requeri
La Gerente de Tesorería
convocará una reunión de
retroalimentación entre el Front
Office e Internacional con el
objetivo de identificar las causas
del envío tardío o desactualizado
de los saldos de bancos
corresponsales y las posibles
acciones que sean re
Gerente
de
Tesorería
N/A Alta Jun-07 Ago-07
ME: Back Ups de la información
en otros equipos del área.
Ref: Documentado en Manual del
Front Office
Reducir la
probabilidad
Los back ups
realizados por los
administradores de
liquidez a la
información relevante
de sus computadores
es guardada en
equipos de la misma
área.
Evaluar entre los Administradores
de Liquidez y el Back Office la
posibilidad que los traders envien
periódicamente los back ups de
información efectuados a sus
equipos, al área de Back Office con
el fin que sea esta área la que
realice el archivo corresp
Los administradores de liquidez
indagarán con el Back Office la
posibilidad de enviar a esa área
el back up realizado
periódicamente a sus equipos.
Administra
dor de
Liquidez
N/A Alta Jun-07 Ago-07
Negociación Fraude Interno
Semestralmente el Front Office
solicita a cada una de las
entidades contrapartes: carta
firmada por el Representante
Legal autorizando a los
funcionarios para realizar
operaciones en nombre de la
entidad y certificación de
representación legal no superior
Reducir la
probabilidad
Para efectuar la
confirmación de
operaciones con
clientes el Back Office
utiliza fax de las
instrucciones de
clientes enviado por las
oficinas
Evaluar entre el área de Back
Office y OyM la factibilidad de
ajustar el procedimiento para recibir
instrucciones de clientes de las
oficinas, de tal forma que no sea
suficiente el fax para cumplimiento
de las operaciones sino la
recepción por correo elet
Definir fecha de reunión con el
área de OyM para evaluar la
factibilidad de recibir de las
oficinas la imagen digital de las
intrucciones de clientes por
correo electrónico.
Posteriormente, el área de OyM
deberá efectuar la debida
documentación y divulga
Director
Back
Office
OyM Alta Jun-07 Ago-07
Opción de
Tratamiento
Plan de acción
Recomendación
Oportunidades de
Mejoramiento
Administración
de liquidez
Información
inadecuada,
inoportuna o
insuficiente
Proceso
Riesgos del
Proceso
Descripción del Control
Ilustrativo Definiendo Planes de Tratamiento…
45. Casos de Riesgo Operativo
JAHVMcGREGOR
S.A.S
Target, uno de los gigantes de las ventas
al detal de EE.UU, se vio afectado por
cibercriminales que robaron información
de millones de tarjetas de crédito de sus
clientes (entre 70 y 110 millones USD) las
cuales fue copiadas de sus cajas
registradoras mediante un virus
informático (malware) y vendida en el
mercado negro.
46. Casos de Riesgo Operativo
JAHVMcGREGOR
S.A.S
• Caso Edificio Space
El colapso del Edificio Space en
Medellín generó gran impacto en la
sociedad, más aun cuando señalan
como causa principal que el terreno
no era apto para construir, por las
condiciones de desnivel en que se
encontraba, a pesar de tener
controles de las interventorías.
47. Casos de Riesgo Operativo
JAHVMcGREGOR
S.A.S
• CASO ACCIDENTE VUELO 2933 DE LAMIA
(CHAPECOENSE) La noche del lunes 27 de noviembre de
2016, un avión de la línea aérea Lamia,
proveniente de la ciudad boliviana de Santa
Cruz de la Sierra, se estrelló a pocos
kilómetros de la pista de aterrizaje del
aeropuerto de Medellín. En el avión viajaba
el plantel del equipo de futbol brasilero
Chapecoense -que debía jugar la final de la
copa Sudamericana- directivos del club, un
grupo de simpatizantes y periodistas que
acompañaban al plantel. El saldo es de 71
muertos y 6 sobrevivientes con heridas de
distinta consideración.
48. Casos de Riesgo Operativo
JAHVMcGREGOR
S.A.S
• CASO ACCIDENTE VUELO 2933 DE LAMIA (CHAPECOENSE)
Conceptos clave de risk management
que pueden funcionar como lecciones
que dejó la tragedia:
•La importancia del Mapa de
Riesgos: Nadie (en LaMia, en el club
Chapecoense o en la Conmebol)
consideró posible que ocurriera un
accidente así. Es decir, ninguna de las
entidades involucradas tenía un
accidente de este tipo en su mapa de
riesgo.
49. Casos de Riesgo Operativo
JAHVMcGREGOR
S.A.S
• CASO ACCIDENTE VUELO 2933 DE LAMIA (CHAPECOENSE)
• Incentivos a asumir riesgos:
Desde el punto de vista empresario,
los incentivos a asumir un riesgo (o a
mitigarlo) varían con el nivel de
aversión al riesgo del individuo, y ésta
no es igual en
diferentes stakeholders (o partes
interesadas). En el caso del avión de
Lamía, el piloto, que era quien
decidía asumir el riesgo, era
además accionista de la compañía,
por lo que el potencial ahorro que se
conseguía sin parar a reabastecer el
avión, y "tirarse a llegar a Medellín",
generaba, al menos en parte, un
beneficio que lo incentivaba a asumir
el riesgo
50. Casos de Riesgo Operativo
JAHVMcGREGOR
S.A.S
• CASO ACCIDENTE VUELO 2933 DE LAMIA (CHAPECOENSE)
• Sesgos en la Gestión de Riesgos:
La gente suele tener una menor
percepción de la importancia de un
riesgo cuando suele creer que tiene
cualidades diferenciales para
hacerles frente. Esto se puede
encuadrar dentro de dos sesgos
conocidos; el del exceso de
confianza (overconfidence, en
inglés) y el optimismo (optimism).
Ambos conceptos tienden a
minimizar el riesgo asumido, y se
realimentan cuando el agente repite
este comportamiento muchas veces
sin consecuencias negativas.
Fuente: Lorenzo Preve - La Nación
53. JAHVMcGREGOR
S.A.S
Como identificar un Riesgo Operativo?
Suministro de información
falsa o errada por parte del
candidato
EVENTO
EXTERNO
Incumplimiento de las
políticas de selección
establecidas por la
Empresa
PR
O
C
ESO
S
FACTOR DE RIESGO
Inadecuada
gestión de la
selección de
personal
RIESGO
OPERATIVO
Perfil y descripción de
cargo desactualizado o
inexistente
PR
O
C
ESO
S
FALLASO
INSUFICIENCIAS
(CAUSAS)
PROCESO : SELECCIÓN
Ejecución y
Administración de
Procesos
TIPO DE
EVENTO
54. JAHVMcGREGOR
S.A.S
Como identificar un Riesgo Operativo?
Suministro de información
falsa o errada por parte del
candidato
EVENTO
EXTERNO
Incumplimiento de las
políticas de selección
establecidas por la
Empresa
PR
O
C
ESO
S
FACTOR DE RIESGO
Inadecuada
gestión de la
selección de
personal
RIESGO
OPERATIVO
Perfil y descripción de
cargo desactualizado o
inexistente
PR
O
C
ESO
S
FALLASO
INSUFICIENCIAS
(CAUSAS)
PROCESO : SELECCIÓN
Ejecución y
Administración de
Procesos
TIPO DE
EVENTO
Validación de la
información y requisitos del
candidato pre-seleccionado
Validación del Perfil y
descripción del Cargo en la
matriz SEL-MTZ-002
Envío de informe de
selección para aprobación
de la Empresa Usuaria
55. Taller Identificación de Riesgos
JAHVMcGREGOR
S.A.S
Objetivo
Adquirir destrezas para identificar y analizar riesgos asociados a los
procesos de las Empresas.Empresas.
Metodología
•Integrar grupos y nombrar un líder para cada uno
•Teniendo en cuenta la información anteriormente vista, identificar y
analizar riesgos, fallas y controles de cualquier proceso de las Empresas.Empresas.
57. JAHVMcGREGOR
S.A.S
Taller Identificación de Riesgos- Formato de Asociación
R1 FACTORDERIESGO CONTROL REF.DOCUMENTAL
FALLA
Causauorigenparaquesematerialiceel
riesgo
Fuentes generadoras de
Eventos
Medidatomada paramitigar ogestionar elriesgo
Manualo Documento
dondeseencuentra
descrito elcontrol
F1
F2
F3
58. JAHVMcGREGOR
S.A.S
Taller Identificación de Riesgos- Criterios de Probabilidad
Probabilidad de
Ocurrencia
Descripción
a) Se espera la ocurrencia del evento en más del 20% de
los casos
b) Nos ocurre con cierta periodicidad (1 vez cada mes)
c) El evento ocurrirá entre el 15 y el 20% de los casos
d) Se presenta con alguna frecuencia (1 vez cada
trimestre)
e) El evento puede ocurrir entre el 10 y 15% de los casos
f) Se presenta por lo menos una vez cada año
g) El evento puede ocurrir entre el 3 y el 10% de los casos
h) Se ha presentado alguna vez en la Entidad ó en el sector
(En cinco años)
i) El evento puede ocurrir en menos del 3% de los casos
j) Se ha presentado una vez en los últimos 20 años
Muy Alta
Alta
Moderada
Baja
Muy Baja
59. JAHVMcGREGOR
S.A.S
Taller Identificación de Riesgos- Formato de Asociación
Nivel de Impacto Impacto Cualitativo
1) Interrupción de las operaciones del Empresa por más de
24 horas
2) Intervención a la Empresa por parte de la
Superintendencia por Incumplimientos legales y/o
contractuales
3) Impacto que afecte la imagen de la empresa
negativamente en el mercado relacionada con prácticas
inseguras y/o irregulares
4) Pérdida de información crítica de la Empresa o de
terceros que no se pueda recuperar
5) Interrupción de las operaciones de la Empresa entre 16 y
24 horas
6) Sanciones económicas por incumplimiento de las normas
establecidas / operaciones / obligaciones contractuales)
7) Impacto que afecte la imagen de la Empresa en el
mercado relacionada con el servicio al cliente
8) Pérdida de información crítica de la Empresa o de
terceros que no se pueda recuperar fácilmente
9) Interrupción de las operaciones de la Empresa entre 12 y
16 horas
10) Inoportunidad de la información ocasionando retrasos en
las labores de las áreas y/o en la respuesta a los entes
reguladores
11) Reproceso de actividades y aumento de la carga
operativa (ejecutar nuevamente actividades de los procesos
por errores operativos)
12) Incremento entre el 50% - 100% del número de reclamos
formulados por los clientes
13) Interrupción de las operaciones de la Empresa por
algunas horas.
14) No afecta la oportunidad de la información de manera
significativa, no altera el funcionamiento de las áreas
receptoras y procesadoras de información
15) Incremento entre el 10% - 50% del número de reclamos
formulados por los clientes
16) No hay interrupción de las operaciones de la Empresa
17) No genera sanciones económicas y/o administrativas
18) No afecta las relaciones con los clientes
19) No afecta la oportunidad de la información
Superior
Mayor
Importante
Menor
Inferior
61. Definición de los Gestores de Riesgo
JAHVMcGREGOR
S.A.S
Proceso o
procesos a su
cargo
Subproceso 1 Subproceso 2 Subproceso 3 Subproceso 4
Gerente del Área /
Dueño de Proceso
Gestor Riesgo 1 Gestor Riesgo 1 Gestor Riesgo 1 Gestor Riesgo 1
Gestor de Riesgo
¿Qué se espera del Gestor?
Conocimiento del Proceso
Administración de las matrices de riesgos
(conocimiento y actualización)
Impulsar la capacitación – divulgación de
conocimiento
Interlocutor con la Unidad de Riesgo Operativo
¿Quién debe ser el seleccionado?
Una persona como mínimo tercer nivel en la
Organización con capacidad para tomar
decisiones (depende de la Entidad)
Liderazgo
Manejo de información confidencial
Funcionalmente reportando a la respectiva
Gerencia
62. Funciones y Responsabilidades Gestor de Riesgo Operativo
JAHVMcGREGOR
S.A.S
El Gestor de Riesgo Operativo, además de las funciones que desempeña actualmente en su
cargo debe:
– Establecer el inventario de procesos a su cargo.
– Administrar las matrices de riesgos (conocimiento y actualización) de su proceso o
subproceso.
– Monitorear el perfil de riesgo del proceso a su cargo, teniendo en cuenta los indicadores
de riesgo para aquellos que están calificados como extremos y altos (Trimestral).
– Participar en la definición e implementación de las acciones correctivas propuestas.
– Servir de canal de comunicación entre la URO y el área correspondiente.
– Brindar asesoría al área correspondiente con respecto a la metodología del SARO.
– Retroalimentar a la URO acerca del desarrollo del SARO en el área, al igual que a la
auditoria interna y organización y métodos según corresponda.
– Registrar los eventos de Riesgo Operativo que se presenten en el área.
– Garantizar que el cambio de procesos, así como el desarrollo de nuevos proyectos,
productos o servicios del área contemple la metodología de administración de riesgos
operativos.
– Custodiar la documentación soporte del SARO en su área.
El Gestor de Riesgo Operativo, además de las funciones que desempeña actualmente en su
cargo debe:
– Establecer el inventario de procesos a su cargo.
– Administrar las matrices de riesgos (conocimiento y actualización) de su proceso o
subproceso.
– Monitorear el perfil de riesgo del proceso a su cargo, teniendo en cuenta los indicadores
de riesgo para aquellos que están calificados como extremos y altos (Trimestral).
– Participar en la definición e implementación de las acciones correctivas propuestas.
– Servir de canal de comunicación entre la URO y el área correspondiente.
– Brindar asesoría al área correspondiente con respecto a la metodología del SARO.
– Retroalimentar a la URO acerca del desarrollo del SARO en el área, al igual que a la
auditoria interna y organización y métodos según corresponda.
– Registrar los eventos de Riesgo Operativo que se presenten en el área.
– Garantizar que el cambio de procesos, así como el desarrollo de nuevos proyectos,
productos o servicios del área contemple la metodología de administración de riesgos
operativos.
– Custodiar la documentación soporte del SARO en su área.
63. Consideraciones Finales
JAHVMcGREGOR
S.A.S
Los Gestores de Riesgo no son los únicos responsables de la gestión del
riesgo operativo, todos los funcionarios de las Empresas.Empresas. son responsables
por la gestión de los riesgos en los procesos y sólo con el compromiso de
toda la organización se logrará alcanzar las metas perseguidas.
El Riesgo Operativo facilita la generación de valor en el Banco, evita que el
personal vinculado actué “apagando incendios” y lo haga de forma
preventiva, anticipándose siempre a eventualidades, que puedan afectar
los resultados del mismo
No debemos interpretar el Riesgo Operativo como una amenaza sino como
una oportunidad, que hay que saber gestionar y controlar con el grado de
cobertura adecuado.