Gestión del riesgo operacional Israel Fainboim (FMI) Seminario Internacional de Gestión de Tesorería (FOTEGAL) Colombia, Agosto 22-23

Importancia de la gestión de los Riesgos Operacionales y mecanismos de gestión de estos Los Ministerios de Finanzas tienen la responsabilidad por el manejo de un volumen considerable de activos, pasivos y transacciones. Exposiciones a riesgos operacionales pueden generar consecuencias financieras, políticas y reputacionales negativas de importancia considerable. Los riesgos operacionales incluyen riesgos de perdida de personal critico, fallas en liquidación de transacciones, fraude, fallas en los sistemas, fallas de proveedores de servicios, errores humanos, daños en edificaciones y otros danos por desastres naturales, etc. Para su gestión se requiere una variedad de herramientas, incluyendo: auditorias, políticas de personal, controles de sistemas y planes de continuidad de operación. Desarrollar y mantener un marco de gestión del riesgo operacional (incluyendo un PCO) es por lo tanto urgente, mas no se considera una prioridad en muchos países de AL, o se delega a las unidades de IT, aunque la situación ha venido cambiando lentamente (Brasil, Chile, los primeros; le ha seguido México; Colombia y Perú empezando). Quizás establecer la obligación legal de adoptar medidas para monitorear y controlar estos riesgos, como es el caso para los bancos centrales, pueda contribuir a la adopción de estos marcos en algunos países.

Importancia de la gestión de los Riesgos Operacionales y mecanismos de gestión de estos El marco de gestión de riesgos operacionales (MGRO) debe proveer una definición de riesgo operacional, y establecer los principios de cómo los riesgos operacionales se van a identificar, evaluar, monitorear y controlar o mitigar. Puede desarrollarse y aplicarse de manera gradual. La tesorería debe considerar el uso de auditores internos y/o externos para examinar y evaluar de manera independiente el marco. Un MGRO usualmente incluye un Plan de Continuidad de Operaciones y de Recuperación de Desastres (PCO/PRD). Desarrollar un PCO usualmente implica adoptar medidas que busquen prevenir la ocurrencia de eventos interrupción de las operaciones y establecer respuestas apropiadas si estos eventos ocurren. Un PCO/DRP se concentran en mejorar la resistencia a estos eventos y en asegurar que se adopten técnicas de mitigación especialmente para aquellas áreas que tienen una combinación de probabilidad de ocurrencia muy alta/alta e impacto catastrófico.

Importancia de la gestión de los Riesgos Operacionales y mecanismos de gestión de estos La tesorería debe seleccionar la intervención mas costo/efectiva y apropiada para actividad, entre las siguientes: Prevenir o evitar (eliminar) la ocurrencia del evento Transferir los riesgos a un tercero mediante aseguramiento o outsourcing Contener o limitar el impacto potencial de un evento Aceptar el evento y recuperarse utilizando un PRD, que se debe probar regularmente en el lugar de recuperación (sitio alterno) Existe usualmente un trade-off entre el costo de prevenir o recuperar y el tiempo de recuperación requerido por el tesoro. Si el tiempo para recuperar actividades criticas/procesos/sistemas es muy corto, se requerirán inversiones significativas en replicar sistemas, establecer espejos para los datos, establecer redundancia en comunicaciones e infraestructura y un sitio alterno que pueda activarse rápidamente. El costo de establecer este sitio puede ser alto; y debe ubicarse lejos del sitio primario para evitar que ambos se afecten por el mismo evento.

Importancia de la gestión de los Riesgos Operacionales y mecanismos de gestión de estos Para desarrrollar un PCO/PRC se recomienda seguir un proceso de seis etapas: Entender y documentar los procesos de negocio y sistemas y procesos críticos Identificar, evaluar y medir los riesgos (análisis de impacto sobre los negocios). Para cada categoría de riesgo operacional e incidente que pueda afectar las operaciones, se deben evaluar las exposiciones al riesgo (probabilidades e impactos) Desarrollar estrategias de gestión de riesgo (un PCO/PRD, que incluya terceros, como el banco central) Implementar o actualizar el PCO/PRD (implementar políticas de gestión de riesgos, limites y controles). Monitorear el desempeño y cumplimiento de políticas, limites y controles. Proveer entrenamiento al staff para que entienda sus roles y responsabilidades en relación con el PCO/PRD y para la asunción de responsabilidades en introducir o mantener estrategias de reducción o mitigación de riesgos en su área respectiva Realizar pruebas (tests) periódicas (anuales) de los sistemas y procesos críticos y actualizar el PCO/PRD con base en los resultados de las pruebas.

Importancia de la gestión de los Riesgos Operacionales y mecanismos de gestión de estos La gestión de los riesgos operacionales requiere de una adecuada distribución de funciones entre los actores y la creación de una institucionalidad: El tesorero debe aprobar y revisar periódicamente el MGRO Un comité de riesgos puede supervisar el proceso de definir un MGRO La alta dirección de la tesorería debe ser responsable de implementar el MGRO Un “risk champion” debe dirigir y guiar el proceso de preparación del MGRO, coordinar el reporte al tesorero y la alta dirección y desarrollar las políticas y procedimientos apropiados de gestión de riesgos operacionales. Este “champion” debería ubicarse en una unidad de gestión de riesgos. La unidad dirige el desarrollo del proceso de gestión de riesgos, monitorea el desempeño y la ejecución, reporta al tesorero y actúa como asesora de los subdirectores (senior managers) en identificar riesgos y planear actividades de control Los gerentes o subdirectores deben ser responsables de identificar y monitorear los riesgos en sus propias unidades y asegurar que las actividades de control operan como se deseaba. El staff debe estar enterado de los riesgos operacionales en su respectiva área y como pueden afectar la continuidad de las operaciones y tener la responsabilidad de manejar las exposiciones bajo su control

Identificación de actividades criticas que pueden generar mayores riesgos operacionales

Adopcion de políticas y procedimientos de mitigación/control Sólo 4 de los encuestados en estas dos preguntas son los mismos. (Dos de 6 los países que contestó sí a Q31, 2 sólo contestaron una de las preguntas siguientes.) Otra incluye: 1) con la Coordinación de Seguridad Informática y también con asesorías del Banco Mundial, FMI y apoyo del Banco Central. 2) Programación Financiera y Dirección de Política Económica y Fiscal

Actividades y las correspondientes políticas y procedimientos para mitigar y/o controlar riesgos Manuales de Procedimientos, Plan de Continuidad de Negocio y Sitio Alterno Inversiones, Deuda, Pagos Municipales, Aporte Fiscal e Información Contable Elaboración de plan de contingencia, Actualización de procedimientos, Estructuración de sistema de calidad Mesa de Ayuda de la Unidad Informática Definición de destino de fondos—Ubicación en cuenta especial restringida; Atención de requerimientos de fondos—Conciliación de cuentas; Mejoramiento de los aplicativos de administración de portafolios; mejoramiento de planillas que se entregan a la Subdirección de pagos y para el cumplimiento de las operaciones

Política para identificar, monitorear y reportar riesgos operacionales Reporte anual del PCN y reporte periódico a la Secretaría de la Función Pública Reporte semestral Evaluación anual de riesgos Documentos Específicos En desarrollo

Auditorias de desempeño basadas en enfoque de análisis de riesgos Un país que contestó no a la primera pregunta contestó la segunda. No he incluído su respuesta a la segunda aquí.

Auditorias de los sistemas de información Un país que contestó no a la primera pregunta contestó la segunda. No he incluído su respuesta a la segunda aquí. Respuestas: 8

Sitio alterno para desarrollar actividades criticas En el 69% de los países (9) el Ministerio de Hacienda (y la Tesorería en particular) dispone de un sitio alterno desde donde desarrollar sus actividades críticas en caso de ocurrencia de eventos que impidan desarrollarlas en el sitio tradicional 8 de estos sitios están a menos de 50 km de las oficinas de la Tesorería 1 está más de 100 km 6 de ellos han sido utilizados para realizar pruebas o durante un incidente