GESTION DEL

RIESGO OPERACIONAL

Facilitador: Rosa Damaris Díaz

MBA, CISA, CRISC, FIBA AMLCA,
Implementador Líder ISO22301
ESPECIALISTA EN RIESGO OPERACIONAL

1 1
 INTRODUCCIÓN CONCEPTOS
RIESGO OPERACIONAL

04. RESUMEN REGULACIÓN

RIESGO OPERACIONAL
03. GESTIÓN
RIESGO OPERACIONAL

2
INTRODUCCIÓN

3 3
INTRODUCCIÓN

VIRUS

CIBERSEGURIDAD
4 4
INTRODUCCIÓN

Posibles
ocurrencias!!!

5 5
 INTRODUCCIÓN
ENTONCES NOS FALTÓ ALGO DE IDENTIFICAR?

6 6
7 7
 INTRODUCCIÓN
QUE CAMBIO?

PROCESOS,
TRABAJO
CONTROLES..
EN CASA

MANTENER LA FORMAS DE
CONTINUIDAD Y COMUNICACIÓN
VOLVERNOS Y ENTREGA DE
RESILIENTES SERVICIOS

AUMENTO DE
RIESGOS
8 8
QUE SIGUE?

9 9
CONCEPTOS

10
10
 QUE ES RIESGO?

ISO 31000 ADMINISTRACIÓN DE RIESGOS

Efecto Incertidumbre
• Desviación de algo
que se espera
Estado de DEFICIENCIA DE
INFORMACIÓN ligada a la comprensión
o conocimiento de un evento, su
Positivo consecuencia o probabilidad.

Negativo

11
11
RIESGO OPERACIONAL-CONCEPTOS

Pérdidas financieras por eventos

o hechos derivados de:

Personas
Procesos
Tecnología

o Incluye Riesgo Legal

12
 RIESGO OPERACIONAL-CONCEPTOS
Factores de Riesgo
Operacional

Personas Procesos Externos Sistemas

• Fraude interno • Fallas en la Ejecución • Fraudes Externo • Fallas en las
• Errores Humanos del Proceso • Desastres Telecomunicaciones
• Pérdida de personal • Procesos mal diseñados Naturales • Fallas en el Software
clave • Incumplimiento de • Actos delictivos • Interrupciones en el
• Falta de Normas o Políticas • Fallas en servicios • Suministro de Energía
capacitación • Errores en la Captura y provistos por • Fallas en el Hardware
13
• Lavado de activos Ejecución de terceros
Transacciones

13
13
 RIESGO OPERACIONAL-CONCEPTOS
Fraude interno

Fraude externo

Contratación y lugar de trabajo

7 Tipo de Clientes, productos y servicios

eventos por Daño a activos físicos

Riesgo
Interrupción del negocio y fallas en los sistemas
Operacional
Ejecución, entrega y gestión de procesos

14
14
RIESGO OPERACIONAL-CONCEPTOS

Normas mínimas para la regulación y supervisión prudencial de

bancos y sistemas bancarios

Objetivos:
PILAR I • Promover una supervisión bancaria eficaz en todo el mundo, que
resista el paso del tiempo y los cambios del entorno;
PILAR II
• Identificar posibles ámbitos de mejora.
PILAR III

Bancos con actividad internacional

15
15
RIESGO OPERACIONAL-CONCEPTOS

Riesgo Operacional:
Principio 25
PILAR I
• Los supervisores deben estar satisfechos
de que los bancos han establecido
PILAR II políticas y procesos de administración del
riesgo para identificar, evaluar, vigilar y
controlar/mitigar el riesgo operacional.
PILAR III
• Estos procesos y políticas deben ser
acordes con el tamaño y la complejidad
de la institución.

16
16
Riesgo Operacional-
conceptos

Productos Actividades

Servicios

17
17
RIESGO OPERACIONAL-CONCEPTOS

18
18
Que hemos aprendido?

• Concepto Riesgo
• Concepto Riesgo Operacional
– Factores
– Tipos de eventos
• Basilea

19
19
 GESTION DEL
RIESGO OPERACIONAL

20
20
GESTION DEL RIESGO OPERACIONAL1
Cubre dos aspectos clave:
Integridad de los procesos de negocios

Habilidad de mantener la operatividad del negocio

21
21
GESTION DEL RIESGO OPERACIONAL1

Identificar los
riesgos
operacionales
Monitorear que los
mismos se mitigan a
niveles aceptables

. Cuantificar
su consumo
de capital

22
22
 GESTION DEL RIESGO OPERACIONAL1
Tendencia en el mercado financiero hacia la
automatización de operaciones.

Aplicación del nuevo acuerdo de Basilea- capital

regulatorio por riesgo operacional.
Porque es
necesario
gestionar el Casos de debacles financieras por falta de GESTIÓN.
Riesgo
Operacional
Tendencia en el mercado financiero hacia una
descentralización de sus actividades.

Globalización y mayor negocio relacionados con Internet.

23
23
 GESTION DEL RIESGO OPERACIONAL1
Característica del Sistema de Gestión
• Riguroso, estricto.
• Siempre esta por encima de las personas.
• La confianza y la jerarquía no son motivo para no cumplir con el control
interno.
• No pretende burocratizar las operaciones, pretende asegurarlas.
• No busca culpar.
• No implica desconfiar, implica aumentar la confianza a través de su
cumplimiento.
• Es una cultura (es un hábito de hacer bien las cosas).
• Es cuidar mi puesto, mi empresa, mi patrimonio y mi integridad.

24
24
 GESTION DEL RIESGO OPERACIONAL1
METODOLOGIA

2.
Identificar y
documentar
El proceso de riesgo

Gestión de Riesgo
Operacional en 3.
1.
una Entidad de 5.
Definir el
Analizar y
Evaluar
Intermediación Monitorear Contexto niveles de
riesgos
Financiera
consiste en:
4.
Definir
tratamiento
de riesgos

25
 GESTION DEL RIESGO OPERACIONAL1
METODOLOGIA

CAUSAS EFECTOS

EVENTOS
IDENTIFICAR CUANTIFICAR

¿Qué ¿Qué impacto

¿Por qué sucedió?
sucedió? tuvo?

Razones por las Situación o

cuales ocurren los Suceso que impacto
eventos y altera el curso negativo
determinan el normal de un generado por
origen del evento proceso el evento

26
26
GESTION DEL RIESGO OPERACIONAL1
METODOLOGIA

Identificación
de Riesgos

Eventos que pueden

impactar en la
estrategia o en el
alcance de los objetivos

27 27
 GESTION DEL RIESGO OPERACIONAL1
METODOLOGIA
Evaluación
• Evaluar que el riesgo residual luego de tratar el riesgo esté de
acuerdo con apetito y tolerancia al riesgo
• Se debe realizar una evaluación costo beneficio de las posibles
respuestas al riesgo

Aprobado
por el
consejo Riesgo
residual

Controles

Riesgo
Inherente 28
 GESTION DEL RIESGO OPERACIONAL1
METODOLOGIA

Aceptación
Alto

Mitigación /
Contingencias
IMPACTO

Transferencia
Bajo

Baja Alta Reducción /

Eliminación
PROBABILIDAD

29
 GESTION DEL RIESGO OPERACIONAL1
METODOLOGIA

MONITOREO

REPORTAR (DEFICIENCIAS
Monitorear las actividades Evaluaciones externas e internas) para
en curso independientes que se tomen las medidas
correctivas correspondientes

30
 GESTION DEL RIESGO OPERACIONAL1
HERRAMIENTAS

Autoevaluación de • Evaluación del riesgo y de los controles a nivel

Riesgo y Control de unidad de negocio o de departamento.

• Análisis de procesos y de riesgos y controles

Asignación de riesgos
asociados – Mapas de Riesgos

• Estadísticas o parámetros, como los

Indicadores de Riesgo
indicadores clave de riesgo o de actuación

Datos de eventos de
• Recopilación de datos de eventos de pérdidas
pérdidas

31
Establecer El apetito por el riesgo
• La cantidad de riesgo en un nivel amplio, que una entidad
está dispuesta a aceptar, en cumplimiento de su misión.

Capacidad de riesgo
• Cantidad de pérdida que una empresa puede tolerar sin
arriesgar su existencia continuada en base a sus objetivos

Tolerancia de riesgo
• El grado de variación aceptable que la administración está
dispuesta a permitir que ningún riesgo particular que la
empresa persigue sus objetivos.

https://auditoresinternos.es/uploads/media_items/150629-caso-
pr%C3%A1ctico-sobre-apetito-de-riesgo.original.pdf

32
32
 • Por otra parte, gestionar la continuidad de negocios…

Continuidad

Prevención,
mitigación y
recuperación contra
las interrupciones

33
33
• Porque diseñar e implementar el DRP
Mantener la
Proteger al negocio de
continuidad de los
fallas generales en los
servicios relacionados con
servicios informáticos.
la TIC del negocio

Minimizar los riesgos

Garantizar el acceso de la
generados por la falta de
información empresarial.
servicios.

Minimizar la toma de
Mantener la disponibilidad
decisiones erróneas al
de los recursos
presentarse algún
informáticos.
desastre.

Dar atención continua a

los clientes, proveedores, Tener capacidad de
accionistas, recuperación exitosa.
colaboradores.

34
34
• Bueno, nos
salvamos,
salimos… y..
Ahora que
hacemos¡¡??

35
35
 GESTION DEL RIESGO
OPERACIONAL
ROLES Y RESPONSABILIDADES

36
36
 GESTION DEL RIESGO OPERACIONAL1
Roles y Responsabilidades

El Consejo de Administración

•Conocer cuáles son los principales aspectos de los

riesgos operacionales
•Aprobar la aplicación de un marco y las políticas.
•Establecer una estructura de gestión
•Líneas claras de responsabilidad, asunción de
responsabilidades e información para la entidad.
•Asegurar que el marco para la gestión del riesgo
operacional en el banco esté sujeto a un proceso
de auditoría

37
37
 GESTION DEL RIESGO OPERACIONAL1
Roles y Responsabilidades

Alta gerencia
• Poner en práctica el marco para la gestión del riesgo aprobado
por el consejo de administración.
• Desarrollar políticas, procesos y procedimientos destinados a la
gestión de estos riesgos para todos los productos, actividades,
procesos y sistemas relevantes para el banco.
• Garantizar que se cuenta con personal cualificado
• Garantizar que las políticas son acordes con su apetito por el
riesgo.
• Prestar especial atención a la calidad de los controles sobre la
documentación y a las prácticas para realizar de las
operaciones.

38
38
 GESTION DEL RIESGO OPERACIONAL1
Roles y Responsabilidades

Función de Gestión de Riesgo Operacional

• Identificar y evaluar el riesgo operativo inherente a todos sus
productos, actividades, procesos y sistemas relevantes.
• Identificar los riesgos potenciales más perjudiciales.
• Vigilar de forma periódica los perfiles de riesgo operativo y
las exposiciones sustanciales a pérdidas.
• Identificar indicadores que les avisen con antelación en
caso de aumentar el riesgo de sufrir pérdidas en el futuro.
• Informar al Consejo de Administración acerca del perfil de
riesgo operativo

39
39
 GESTION DEL RIESGO OPERACIONAL1
Roles y Responsabilidades
Comité Gestión Integral de Riesgo

Principal organismo que tiene la organización en relación con los

temas de riesgo.

Junta Directiva se apoya para la definición de políticas y

Procedimiento
Controlar que las áreas de la organización ejecuten correctamente
la estrategia de gestión de riegos aprobada.

Debe reunirse periódicamente y todas las sesiones y acuerdos se

hacen constar en actas.

40
40
 GESTION DEL RIESGO OPERACIONAL1
Roles y Responsabilidades
Comité Gestión Integral de Riesgo

Velar se cumplan la Adoptar, implementar y

Recomendar a la junta
administración de riesgo difundir los planes de
directiva la modificación
según en la normatividad acción para eventos de
de los límites de
vigente y las políticas contingencia por caso
exposición a los riesgos.
internas fortuito o fuerza mayor

Informar a la junta
Proponer la metodología
Conocer el monto de las directiva de los puntos
que se aplicará para
estimaciones y de las tratados y aprobados en
gestionar los diversos
pérdidas realizadas. las sesiones de otros
riesgos asumidos por la
comité de riesgo.

41
41
 GESTION DEL RIESGO OPERACIONAL1
Roles y Responsabilidades

Verificar que el Consejo de Directores haya aprobado y

revisado el marco que aplica la entidad para gestionar el
Auditoria Interna riesgo operacional

La gerencia de la entidad haya establecido la

metodología, los criterios y los procedimientos necesarios
para el adecuado desarrollo del modelo de la gestión de
riesgo operacional

Las políticas y procedimientos de riesgo operacional

establecido sean eficaces

Que el consejo esté debidamente

informado

42
Que hemos aprendido?

• Metodología
• Roles y responsabilidades

43
43
 REGULACIONES DE LA
REPÚBLICA DOMINICANA SOBRE
RIESGO OPERACIONAL

https://www.sib.gob.do/normativas-sib

44
44
 REGULACIONES RIESGO OPERACIONAL
Incluye Riesgo Tecnológico
• Quinta Resolución de la Junta Monetaria del 2 de
abril del 2009
Reglamento sobre el Riesgo
• Tercera Resolución de la Junta Monetaria del 16 de
Operacional
Septiembre del 2010
• Modifica los Artículos 43 y 44 del Reglamento

Instructivo para la Aplicación

del Reglamento sobre Riesgo • Circular SB: No. 011/10 del 9 de agosto 2010
Operacional

Instructivo sobre Tercerización

• CIRCULAR SB: No. 011 /12 del 28 de diciembre de
o Subcontratación de
2012
Servicios (OUTSOURCING)

45
45
 REGLAMENTO SOBRE EL RIESGO OPERACIONAL

Procesos de Eventos de Riesgo por Fallas o Insuficiencias por

Administración de factor: tipos de eventos
riesgo • Procesos
•Fraude interno
•Fraude externo
• Identificar • Personas •Prácticas laborales y seguridad en
• Medir • Tecnología de la ambiente de trabajo
• Controlar/Mitigar Información •Prácticas con clientes, productos y
• Monitorear • Eventos externos negocio
•Daños a los activos físicos
•Interrupción por fallas tecnológicas
•Deficiencias en procesos,
procesamiento de operaciones y
relaciones con proveedores y
terceros
46
46
REGLAMENTO SOBRE EL RIESGO OPERACIONAL

Implantar o
Revisar Actualizar o
modificar
estrategias y modificar
límites de
políticas. procesos.
riesgo.

Construir, Revisar
Planes de
incrementar o términos de
contingencia y
modificar pólizas de
continuidad.
controles. seguro.

Contratar
servicios de
terceros.

47
47
REGLAMENTO SOBRE EL RIESGO OPERACIONAL

Manuales de Políticas y Procedimientos

Criterios para
Tomando en
la
consideración
Adecuados a identificación,
todos los Factores de
la naturaleza y evaluación,
productos, riesgo
actividades mitigación,
servicios, operacional
de la entidad seguimiento y
procesos y
control del
sistemas
riesgo

48
48
 INSTRUCTIVO DE APLICACIÓN DEL REGLAMENTO
SOBRE EL RIESGO OPERACIONAL
Aprobado Establecer el procedimiento que deberán seguir las
mediante Entidades de Intermediación Financiera para dar
circular SB: cumplimiento a lo dispuesto en el Reglamento.
011/10
9 de agosto
de 2010 : Comprende los requisitos mínimos que deberán cumplir las
entidades en lo relativo a políticas; procedimientos y criterios
para identificar actividades, eventos de pérdidas; así como
para determinar los ingresos brutos asociados a cada línea
de negocio definida en la planificación estratégica de la
entidad.

Indica la frecuencia, modo y detalle con que se remitirán las

informaciones

49
49
 INSTRUCTIVO DE APLICACIÓN DEL REGLAMENTO
SOBRE EL RIESGO OPERACIONAL

Requerimientos RO01 Informe de Evaluación de Riesgo

de información Operacional
• RO01B Reporte de Riesgos Identificados

RO02 Reporte de Eventos de Pérdidas

• RO03 Reporte de Productos y Procesos afectados

RO04 Reporte de Ingresos y Gastos por Líneas

de Negocios

RO06 Informe de Auditoría Interna a la Gestión

de Riesgo Operacional

50
50
 TERCERIZACIÓN DE SERVICIOS

La gerencia es la responsable de gestionar el riesgo en todas las

relaciones de outsourcing.

Las instituciones deben establecer y mantener un proceso

eficiente de gestión del riesgo para el inicio y supervisión de
todas las operaciones externalizadas.

51
51
 TERCERIZACIÓN DE SERVICIOS
DUE DILIGENCE

La gerencia debe:
• Evaluar las propuestas del proveedor de servicios tomando en
cuenta los requerimientos;
• Llevar a cabo una due diligence a los posibles proveedores de
servicio;
• Asegurarse de que la selección de proveedores se realiza de
acuerdo con las regulaciones y lineamientos emitidos por el
ente regulador.

52
52
 TERCERIZACIÓN DE SERVICIOS
CONTRATO

Alcance del Servicio Costo

Estándares de
Desempeño Propiedad y Licencia

Seguridad y
Confidencialidad Duración

Auditoría Solución de
Conflictos

Planes de Contingencia y
Reanudación del Negocio Indemnización

53
53
 TERCERIZACIÓN DE SERVICIOS
CONTRATO
Cumplimiento reglamentario
• Incluir un acuerdo que indique que el proveedor y sus servicios
acatarán los requerimientos y lineamientos reglamentarios
• Proporcionar información exacta y acceso oportuno a los entes
reguladores adecuados basados en el tipo y nivel de servicio
que presta a la institución financiera.

Proveedores de servicios extranjeros

Las instituciones que celebran contratos con proveedores de

servicios extranjeros deben considerar una serie de
disposiciones y temas contractuales adicionales.

54
54
 TERCERIZACIÓN DE SERVICIOS
MONITOREO

Monitoreo Permanente El monitoreo debe comprender:

• La gerencia debe • Acuerdos de niveles de servicios
monitorear el desempeño claves (ANS) y disposiciones
del proveedor de servicios y contractuales;
los posibles cambios en los • Estado financiero del proveedor de
requerimientos de la servicios;
institución durante la • Entorno de control general del
vigencia del contrato. proveedor de servicio
• Posibles cambios a causa del
entorno externo.

55
55
Que hemos aprendido?

• MARCO REGULATORIO
– Requerimientos de información

56
56
 Cálculo de
requerimiento de capital

57
57
 Cálculo requerimiento de capital RO

Asegurar que los bancos

soporten importantes
Capital pérdidas sin causar una crisis
Objetivo bancaria que podría
regulatorio amenazar la integridad del
sistema financiero

PATRIMONIO
TÉCNICO
10.0%
>=
APRC + APRM + APROp

58
58
 Cálculo requerimiento de capital RO

Método
del Indicador
Indicador Estándar de
Básico Alternativo negocios
Facilidad para Sensibilidad
Implementar al riesgo
Método Método
Estándar Avanzado

Establecido
en la
regulación
vigente

59
59
59
 Cálculo requerimiento de capital RO

ESTANDAR
• Ingresos brutos = ingresos netos en concepto de
intereses + otros ingresos netos ajenos a intereses.
• Esta medida:
• es bruta de cualquier provisión dotada (por
ejemplo, por impago de intereses);
• es bruta de gastos de explotación, incluidas
cuotas abonadas a proveedores de servicios
de subcontratación;
• Excluye beneficios/pérdidas realizados de la
venta de valores de la cartera de inversión; y
partidas extraordinarias o excepcionales.

60
 Cálculo requerimiento de capital RO
Líneas de Negocio Actividades
 Finanzas Corporativas
Finanzas
 Finanzas de Administración Locales/Públicas
Corporativas
 Banca de Inversión Servicio de Asesoramiento
 Ventas
Negociación y  Creación de Mercado
Ventas  Posiciones Propias
 Tesorería
 Banca Minorista
Banca Minorista
 Banca Privada
Actividades con personas físicas y Pymes.
 Servicios de Tarjetas
Banca Comercial  Banca Comercial
Liquidación y
 Clientes Externos
Pagos
 Custodia
Servicios de
 Agencia
Agencia
 Fideicomisos de Empresas
Gestión de Activos  Administración de Fondos
Intermediación Minorista
 Intermediación Minorista
Actividades con personas físicas y Pymes

61
 Cálculo requerimiento de capital RO

Total de Ingresos y Gastos

RO por Línea de Negocios
A1 A2 A3

Promedio de los
ingresos netos
Básico • 15 %
de los últimos
tres años

Ventajas Elementos a Evaluar Desafíos

Metodología más Menor beneficio por Realizar cálculo de
conservadora y mayor requerimiento en la capital por riesgo
sencilla de aplicar asignación de capital operacional

Su implementación no
reportaría grandes
ventajas de relación
capital y riesgo

62
62
62
 Cálculo requerimiento de capital RO
CARACTERISTICAS
Método estándar Actividades se dividen en ocho líneas de Negocio

Los ingresos brutos (margen bruto) se multiplica por factor BETA

Exigencia de capital, media de tres años, suma simple de los

exigencias por línea en cada año

LINEAS DE NEGOCIO BETA

Finanzas Corporativas (β1) 18%
Promedio de los
ingresos netos Negociación y ventas (β2) 18%
de los últimos Banca minorista (β3) 12%
tres años Banca comercial (β4) 15%
Pagos y liquidación (β5) 18%
Servicios de agencia (β6) 15%
Administración activos (β7) 12%
Intermediación minorista (β8) 12%

63
CONSIDERACIONES
DEL REGULADOR

64
 OBSERVACIONES GENERALES
METODOLOGIA No permite a gestión proactiva de identificación,
mitigación y monitoreo de los riesgos
operacionales a los cuales está expuesta. Esto se
deriva a que las características detalladas a
continuación:
Implementada parcialmente
Se base en la identificación de los riesgos a
partir de los de eventos de pérdidas ocurridos
No cuentan con Matriz Riesgos o no son
actualizadas “oportunamente”.
Inadecuado sistema de indicadores

65
65
 No hay correspondencia
Registros de eventos de entre la práctica y lo
No se establece un apetito al pérdidas son clasificados reportado a través de los
riesgo operacional. como “No económicos”, por informes de auditoria interna
haberse recuperado. o evaluación del riesgo
operacional.

El Comité de Gestón Integral

El perfil de la persona
de Riesgos no se reúne de
responsable de las funciones
forma periódica, no se tratan
de riesgo operacional no
los temas que permita el
cuenta con las competencias
monitoreo de la exposición al
requeridas.
riesgo.

No existe un esquema
organizado de reportes que No se cuenta con un sistema
permitan disponer de de indicadores para el
información suficiente y monitoreo de la exposición al
adecuada para gestionar el riesgo operacional.
riesgo operacional.

66
66
OBSERVACIONES GENERALES
No se cuenta con un Plan de Continuidad.

De existir uno, está desactualizado en cuanto

a la estructura y estrategia de negocio actual.

No se tiene conocimiento sobre lo establecido

en el plan de continuidad.

No se incluye un plan de sucesión formalizado

para asegurar la continuidad de las
operaciones.

67
67
El riesgo operacional es inherente a todos los productos
bancarios, servicios y actividades.
La buena gestión del riesgo operacional es reflejo de la
efectividad de la junta directiva y la gerencia en la
administración de su cartera de productos, servicios y
actividades.
La gestión efectiva del riesgo operacional es un elemento
fundamental del programa de gestión de riesgos.
Hay que considerar la gestión del riesgo operacional como
una práctica integral comparable a la gestión del riesgo
de crédito o de mercado.

68
68
 Referencias

Marco de Supervisión y Criterios de Evaluación de la OSFI.

• http://www.osfi-bsif.gc.ca/osfi/index_e.aspx?DetailID=294

Buenas Prácticas para la Gestión y Supervisión del Riesgo

Operacional.
• http://www.bis.org/publ/bcbs183.htm

Observaciones y Acontecimientos en el Marco de Apetito

de Riesgo e Infraestructura de TI.
• http://www.osfi-bsif.gc.ca/app/DocRepository/1/eng/osfi/SSGIT_e.pdf

69
69
Muchas gracias

70
 www.sib.gob.do

superdebancosrd

Rosa Damaris Díaz

rdiaz@sib.gob.do

71