1
Riesgo operacional
Lineamientos para la gestión del
riesgo operacional en las entidades
financieras
Silvia G. Gavilan
Gerencia de Consultas Normativas
Subgerencia General de Normas
Salón Bosch -Banco Central de la República Argentina-
25 de abril del 2008
Riesgo operacional
Lineamientos
Las entidades financieras deberán implementar:
� Sistema de gestión de riesgo operacional
� Disciplina integral
� Separada de los restantes riesgos
� Proporcional a las dimensiones de la entidad
� Acorde a la complejidad de sus operatorias
2
Riesgo operacional
Riesgo de pérdidas
resultantes
Falta de adecuación
o fallas
Procesos
internos
Actuación
del personal
Sistemas
Eventos externos
Marco conceptual
Riesgo operacional
Riesgo operacional
Riesgo legal
Riesgo estratégico
y reputacional
3
Riesgo operacional
Riesgo operacional
Incluye
Riesgo legal
Exposición a
sanciones
Penalidades
Consecuencias
económicas
Verificable
en forma
Endógena o exógena
Por incumplimiento
De normas y
Obligaciones
contractuales
Riesgo operacional
Riesgo operacional
No incluye
Riesgo
estratégico
Estrategia de
Negocios
Inadecuada
Cambio adverso
Previsiones
Parámetros
Objetivos
4
Riesgo operacional
Riesgo operacional
No incluye
Riesgo
reputacional
Posibilidad de
pérdida
Formación de
opinión pública
negativa sobre los
servicios prestados
Creación de mala
imagen o
posicionamiento
negativo de los
clientes
Menos clientes
Caída de ingresos
Caída de depósitos
Fundados
Infundados
Riesgo operacional
Gestión del riesgo operacional
Identificación Evaluación SeguimientoControl/
Mitigación
Evaluar vulnerabilidad Adoptar medidas correctivas
Proceso continuo
5
Riesgo operacional
� Comprende:
� Políticas
� Procedimientos
� Estructuras
Sistema para la gestión del riesgo operacional
Adecuada gestión
Riesgo operacional
� Fraude Interno
� Fraude Externo
� Relaciones laborales y seguridad en el puesto de trabajo
� Prácticas con los clientes, productos y negocios
� Daños a activos físicos
� Alteraciones en la actividad y fallas tecnológicas
� Ejecución, gestión y cumplimiento del plazo de los procesos
Eventos de pérdida
Siete tipos de eventos establecidos por Basilea para su
clasificación
6
Riesgo operacional
Fraude interno
� Información falsa sobre posiciones -propias o de clientes-
� Robos por parte de empleados
� Utilización de información confidencial de la entidad financiera en beneficio del empleado
� Etc.
Riesgo operacional
Riesgo externo
� Robo
� Falsificación
� Daños por intromisión en los sistemas informáticos
� Etc.
7
Riesgo operacional
� Reclamos de indemnizaciones por parte de los empleados
� Infracciones a:
� normas laborales de seguridad e higiene
� normas de discriminación
� Responsabilidades generales
� Etc.
Relaciones laborales y seguridad en el puesto de trabajo
Riesgo operacional
Prácticas con los clientes, productos y negocios
� Abuso de información confidencial sobre el cliente
� Negociación fraudulenta en las cuentas de la entidad financiera
� Lavado de dinero
� Venta de productos no autorizados
� Etc.
8
Riesgo operacional
Daños a activos físicos
� Derivados de:
� Actos de terrorismo y vandalismo
� Terremotos
� Incendios
� Inundaciones
� Etc.
Riesgo operacional
Alteraciones en la actividad y fallas tecnológicas
� Fallas del hardware o del software
� Problemas en las telecomunicaciones
� Interrupción en la prestación de servicios públicos
� Etc.
9
Riesgo operacional
Ejecución, gestión y cumplimiento del plazo de los procesos
� Errores en la introducción de datos
� Fallas en la administración de garantías
� Documentación jurídica incompleta
� Concesión de acceso no autorizado a las cuentas de los clientes
� Litigios con proveedores
� Etc.
Riesgo operacional
Responsabilidades y Estructura para la gestión del riesgo operacional
Implementar
administración
eficiente
Dimensión de
la entidad
Lineamientos
Complejidad
de operaciones
10
Riesgo operacional
Responsabilidades
• Directorio u órgano afín:
– Establecer, aprobar y revisar periódicamente las políticas de
gestión del RO
– Establecer una estructura para implementar el marco de gestión del RO
(líneas de responsabilidad, evitar conflictos de interés...)
– Asegurar que el marco esté sujeto a revisión independiente por parte de la
auditoría interna.
– Directorio + Alta Gerencia: responsables de crear cultura de gestión del
RO
– Entre otros..
Riesgo operacional
Responsabilidades
• Alta Gerencia:
• Responsable de trasladar el marco establecido por el Directorio en
políticas específicas, procesos y procedimientos:
– Que tengan en cuenta la estrategia de negocios del banco
– Las áreas a ser cubiertas
– Recursos necesarios para la implementación
• Auditoría interna:
– Evaluación independiente del marco de gestión de RO. Puede
colaborar con su experiencia en la etapa inicial de implementación
11
Riesgo operacional
OrganigramaDIRECTORIO
o autoridad
equivalente
Gerencia General o
autoridad equivalente
Gerencia IIIAuditoria
Interna
Unidad de riesgo
operacional o persona
responsable
Gerencia IIGerencia I
Aplicar en las distintas unidades de negocios
-según el ámbito de su competencia- los procesos y
procedimientos concretos conforme el régimen
definido para la gestión del riesgo operacional
Gestión integral del sistema
detección de deficiencias y
propuesta de correcciones
A la Gerencia General o
autoridad equivalente
A la Unidad de riesgo operacional o persona
responsable
�Aprueba el sistema para la gestión del R.O. –periodicidad mínima de revisión
anual
�Aprueba las políticas de difusión del régimen y de capacitación,
�Establece las políticas para la gestión de los riesgos operacionales
�Responsable de la implementación, reporte y control de los procesos y
procedimientos
�Es la encargada de que existan procesos y procedimientos.
�Debe Asegurar la existencia de los recursos necesarios.
� Informa al Directorio sobre la gestión del R.O. -mínimo semestralmente-.
�Aprueba las correcciones propuestas por la Unidad de riesgo operacional o persona
responsable.
Función:
Informa a:
Frecuencia: en ambos casos con la periodicidad que establezca la respectiva entidad financiera de acuerdo con su tamaño, la naturaleza y
complejidad de sus productos y procesos y con la magnitud de sus operaciones.
Riesgo operacional
Etapas del proceso de gestión del riesgo operacional
Identificación
y evaluación SeguimientoControl y
mitigación
12
Riesgo operacional
Identificación y evaluación
� Factores internos
� Estructura de la entidad y naturaleza de sus actividades
� Factores externos
� Cambios en el sector y avances tecnológicos
� Datos internos
� Proceso que registre y consigne la frecuencia, severidad, categorías y
otros aspectos relevantes de los eventos de pérdida por RO
� Política de incentivos
� Promoción de cultura organizacional que contribuyan a la verificación de
su consistencia e integridad
Riesgo operacional
Herramientas para identificar y evaluar el RO
Auto-evaluación
Proceso interno
utilizando listas de
control o de grupos de
trabajo para identificar
fortalezas y debilidades
del entorno de RO
Asignación o
“mapeo de riesgos”
Permite agrupar por
tipo de riesgo a las
diferentes unidades
de negocio, funciones
organizativas o
procesos
Indicadores de
riesgo
Indicadores que
reflejen fuentes
potenciales de RO
Parámetros: número
de operaciones
fallidas, rotación
personal, frecuencia
y gravedad de
errores etc
13
Riesgo operacional
Seguimiento
• Debe ser eficaz e insertarse en las actividades habituales de la EF
• Unidad o persona responsable debe remitir al Gerente General o
autoridad equivalente informes sobre los resultados del seguimiento
realizado
– Con la periodicidad que cada EF establezca
– Debe comunicarse a los demás niveles gerenciales y las áreas involucradas
Riesgo operacional
Control y mitigación
• Se deberán establecer procesos y procedimientos de control
• Sistema adecuado que asegure el cumplimiento de las políticas establecidas
• Reexamen con frecuencia mínima anual y reajustes pertinentes
• Utilización de herramientas o programas de cobertura de riesgo (pólizas de
seguro) como complemento de medidas de control interno
• Internalización de alto grado de compromiso en todas las áreas
especialmente en el Directorio y el Gerente General –o equivalentes-
• Planes de contingencia acorde al tamaño y complejidad de las operaciones
• Periódicamente se deberá comprobar la eficacia de sus planes de
recuperación y de continuidad del negocio con su puesta a prueba
• Adecuada tecnología informática (Comunicación “A” 4609).
14
Riesgo operacional
Cronograma de implementación
14.4.08 hasta
31.7.08
Establecimiento y
aprobación del
Directorio de los
lineamientos
generales –
estrategias y
políticas del RO
1.8.08 hasta
31.12.08
Definición y
documentación de
la Gerencia General
de los procesos y
procedimientos
involucrados y la
estructura funcional
1.1.09 hasta
31.12.09
Implementación
plena:
� Hasta 31.8.09:
procesos críticos
� Hasta 31.12.09:
totalidad de los
procesos
Riesgo operacional
Conclusiones
• Paso inicial: la importancia de contar con un marco normativo que
permita gestionar el RO de manera integral, como ocurre con otros
riesgos.
• Desafío hacia la Supervisión: monitorear que todo el sistema financiero
local tome conciencia de la importancia de contar con una sana
administración integral del RO y comiencen a recorrer el camino
señalado por la regulación.
• Pendiente pero en desarrollo: “Estándares mínimos para la recolección
de eventos y pérdidas por RO”.
15
Riesgo operacional
Gracias por su atención