Gestión del Riesgo Operacional Expositora: Ing. Econ. Isabel Ávila Arosemena Copyright (c) QA & Asesoría Empresarial
Temario 1. Introducción al riesgo operacional en el sector financiero 2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). 4. Dificultades metodológicas. 5. Requerimiento de Patrimonio Efectivo por Riesgo Operacional Copyright (c) QA & Asesoría Empresarial
Temario 1. Introducción al riesgo operacional en el sector financiero 2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). 4. Dificultades metodológicas. 5. Requerimiento de Patrimonio Efectivo por Riesgo Operacional Copyright (c) QA & Asesoría Empresarial
1. Introducción al riesgo operacional en el sector financiero Copyright (c) QA & Asesoría Empresarial
EMISION DE NORMAS SBS PERU Principio Básicos de Supervisión 1. Introducción al riesgo operacional en el sector financiero Principios: Proceso/Evaluación Suficiencia de Capital y Estrategia / Mantenimiento Nivel Capital. Supervisor interviene cuando no se da lo anterior. Supervisor exige mínimo capital requerido Medidas correctivas a lo anterior Acuerdo Original de Capital Mínimo = 8% de Activos Ponderados por Riesgo EMISION DE NORMAS SBS PERU BASILEA I Principio Básicos de Supervisión 1996 2001 - 2003 2008 - 2009 2010 1988 1999 Propuesta de Basilea 2004 - 2006 BASIELA III Riesgo de Mercado BASILEA II NAC Fundamentos COSO Nuevas prácticas Se integra el Riesgo de Mercado. Medición: Análisis VaR. Modelos Estandarizados (Tasa, Posición, Moneda y Commodities) Modelos Propios (con aprobación del supervisor). Se define el ROP Basilea II: Requerimientos de Capital Principios de supervisión básicos Recomendaciones sobre la transparencia del mercado (tercer pilar disciplina de mercado) Copyright (c) QA & Asesoría Empresarial
1. Introducción al riesgo operacional en el sector financiero Copyright (c) QA & Asesoría Empresarial
1. Introducción al riesgo operacional en el sector financiero Copyright (c) QA & Asesoría Empresarial
1. Introducción al riesgo operacional en el sector financiero Marco Internacional general COSO: es la metodología más extendida e implementada a nivel internacional, dedicada a proveer marcos y orientaciones sobre la gestión del riesgo empresarial, control interno y la disuasión del fraude. ERM: son estándares de gerencia de riesgos que considera las consecuencias positivas y negativas en todo tipo de organizaciones y actividades en el corto y largo plazo. AZ/NZ 4360:2004: publicado por la organización de estandarización de Australia y Nueva Zelanda, acaba de ser sustituido por el estándar AZ/NZ ISO 31000:2009. NS 5814:1991: es un estándar noruego que propone unas líneas de actuación para el tratamiento de los riesgos enfocado a la propuesta de mejoras y la consecución de las mismas. ISO 31000:2009: «Gestión del Riesgo. Principios y Orientaciones», que recoge y unifica todos los estándares mencionados. Está diseñado para que cualquier tipo de organización pueda identificar y evaluar todos sus riesgos de una forma estructurada. ISO 30010:2009: «Gestión del Riesgo. Técnicas de Evaluación del Riesgo», diseñadas para facilitar la aplicación de la norma ISO 31000 en los procesos de identificación y evaluación del riesgo. Copyright (c) QA & Asesoría Empresarial
1. Introducción al riesgo operacional en el sector financiero Marco Internacional específico ISO 27001:2013 para sistemas de seguridad de información. ISO 23201:2012 para sistemas de continuidad de negocio. COBIT 5 2012 para los riesgos tecnológicos. PMIBOOK 5ta Edición para la gestión de riesgos en proyectos. ISO 22000 2005 y HACCP para el control de riesgos alimentarios. ISO 14000:2004 para la gestión de riesgos de naturaleza ambiental. OSHAS 18001:2007 para la gestión de seguridad y salud ocupacional. ISO 9001:2015 para la gestión de la calidad donde introduce el énfasis en el pensamiento basado en el riesgo para mejorar la aplicación del enfoque basado en procesos. Copyright (c) QA & Asesoría Empresarial
1. Introducción al riesgo operacional en el sector financiero Marco Local financiero Resolución SBS N° 2115-2009 de fecha 02.04.09 y sus modificatorias «Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo Operacional». Resolución SBS N° 2116-2009 de fecha 02.04.09 y sus modificatorias. «Reglamento para la Gestión del Riesgo Operacional». Circular SBS N° G-139-2009 de fecha 02.04.09 «Gestión de la Continuidad de Negocios». Circular SBS N° G-140-2009 de fecha 02.04.09 «Gestión de la Seguridad de la Información» Resolución SBS N° 1928-2015 de fecha 27.03.2015 «Reglamento para la Gestión del Riesgo Social y Ambiental». Resolución SBS Nº 2660-2015 de fecha 14.05.2015 «Reglamento de Riesgos de Lavado de Activos y Financiamiento del Terrorismo». Resolución en consulta «Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos» que reemplazará a la Resolución Nº 037-2008 del 10.01.2008 «Reglamento de la Gestión Integral de Riesgos». Copyright (c) QA & Asesoría Empresarial
Empresas no reguladas x la SBS 1. Introducción al riesgo operacional en el sector financiero Caso Tailandia en 1997 Caso Indonesia en 1997 Caso España en 2008 Caso EEUU entre los 80 y 90 Banca corporativa Banca de consumo Banca pyme Empresas no reguladas x la SBS Copyright (c) QA & Asesoría Empresarial
Temario 1. Introducción al riesgo operacional en el sector financiero 2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). 4. Dificultades metodológicas. 5. Requerimiento de Patrimonio Efectivo por Riesgo Operacional Copyright (c) QA & Asesoría Empresarial
2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 El Comité publicó el Enterprise Risk Management - Integrated Framework y sus Aplicaciones técnicas asociadas, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo. COSO – ERM. Comité de Organizaciones Patrocinantes de la Comisión Treadway (COSO) seleccionó a Coopers & Lybrand para estudiar el control interno. Se formó la Comisión Nacional para Emisión de Informes Fraudulentos, conocida como la Treadway Commission. 1985 1987 1988 1992 2004 2013 Treadway Commission solicitó realizar un estudio para desarrollar una definición común del control interno y marco conceptual. Se publicó el informe del Marco Conceptual integrado de Control Interno (Estudio COSO I). Se amplia la categoría de objetivos de la información financiera, incluyendo otras formas importantes de reporting, como la información no financiera y el reporting interno. Además refleja cambios en el entorno empresarial y operativo. COSO III. American Accounting Association (AAA). American Institute of Certified Public Accountants (AICPA). Financial Executive Institute (FEI). Institute of Internal Auditors (IIA). Institute of Management Accountants (IMA). Copyright (c) QA & Asesoría Empresarial
2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 Copyright (c) QA & Asesoría Empresarial
2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 Coso I Coso III COSO 2013 toma la esencia del COSO 1992 y enfatiza que los cinco componentes de COSO deben estar presentes (diseñados) y funcionando (ser efectivos) conjuntamente de manera integrada. Además se formalizan 17 principios relevantes que ya estaban implícitos en un sistema con control interno efectivo y 79 puntos de enfoque. Copyright (c) QA & Asesoría Empresarial
2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 Entorno de Control Demuestra compromiso con la integridad y valores éticos. Ejercita la responsabilidad de supervisión Establece estructura, autoridad y responsabilidad Demuestra compromiso con la compañía Hace cumplir las rendiciones (accountability) Medición de Riesgos 6. Especifica los objetivos relevantes 7. Identifica y analiza los riesgos 8. Aprecia y analiza riesgos de fraude 9. Identifica y analiza los cambios significativos Control de Actividades 10. Selecciona y desarrolla el control de actividades 11. Selecciona y desarrolla controles generales 12. Despliega por medio de políticas y procedimientos Información y Comunicación 13. Usa información relevante 14. Comunicaciones internas 15. Comunicaciones externas Monitoreo de Actividades 16. Conduce evaluaciones en línea o separadas 17. Evalúa y comunica las deficiencias Copyright (c) QA & Asesoría Empresarial
2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 DIAGRAMA ISO 31000:2010 Crear valor. Parte integral de todos los procesos de la organización. Parte de la toma de decisiones. Trata explícitamente la incertidumbre. Sistemática, estructurada y oportuna. Se basa en la mejor información disponible. Se adapta. Integra los factores humanos y culturales. Transparente y participativa. Dinámica, iterativa y responde a los cambios. Facilita la mejora continua y el desarrollo permanente de la organización Mandato y compromiso Establecimiento del contexto Diseño del marco de trabajo de la gestión del riesgo Apreciación del Riesgo Identificación del riesgo Comunicación y Consulta Seguimiento y revisión Análisis del riesgo Mejora continua del marco de trabajo Implementación de la gestión del riesgo Evaluación del riesgo Seguimiento y revisión del marco de trabajo Tratamiento del riesgo Copyright (c) QA & Asesoría Empresarial Principios Marco de trabajo Proceso
2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 Copyright (c) QA & Asesoría Empresarial
2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 Copyright (c) QA & Asesoría Empresarial MA: Mayormente Aplicable A: Aplicable NA: No Aplicable
2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 Copyright (c) QA & Asesoría Empresarial MA: Mayormente Aplicable A: Aplicable NA: No Aplicable
2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 Copyright (c) QA & Asesoría Empresarial
2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 Copyright (c) QA & Asesoría Empresarial
2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 Copyright (c) QA & Asesoría Empresarial
Temario 1. Introducción al riesgo operacional en el sector financiero 2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). 4. Dificultades metodológicas. 5. Requerimiento de Patrimonio Efectivo por Riesgo Operacional Copyright (c) QA & Asesoría Empresarial
3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). Debilidades / Vulnerabilidades Amenazas Evento Impacto Internas del proceso, proyecto o empresa Externas al proceso, proyecto o proceso Suceso o incidencia Valor económico de la pérdida Copyright (c) QA & Asesoría Empresarial
3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). Copyright (c) QA & Asesoría Empresarial
3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). Identificación del Riesgo El proceso de identificación del riesgo incluye la identificación de las causas y el origen del riesgo (peligro en el contexto de los daños físicos), sucesos, situaciones o circunstancias que pudieran tener un impacto material sobre los objetivos y la naturaleza del impacto. Análisis del Riesgo El proceso de análisis de riesgo consiste en determinar las consecuencias y sus probabilidades para sucesos de riesgo identificados, teniendo en cuenta la presencia (o no) y la eficacia de todos los controles existentes. Las consecuencias y sus probabilidades se combinan después para determinar el nivel de riesgo. Se deberían tener en cuenta los controles de riesgo existentes y la eficacia de los mismos. Evaluación del Riesgo La evaluación del riesgo implica la comparación de niveles estimados de riesgo con los criterios de riesgo definidos cuando se estableció el contexto, con el objetivo de determinar la importancia del nivel y tipo de riesgo. El resultado de la evaluación implica la toma de decisiones sobre acciones futuras que puede ser: si el riesgo necesita tratarse, las prioridades del tratamiento, si se debería emprender una actividad, y qué camino seguir. Copyright (c) QA & Asesoría Empresarial
3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). Copyright (c) QA & Asesoría Empresarial
3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). Nivel 1 Macro proceso Nivel 2 Proceso Nivel 3 Sub proceso Nivel 4 Actividades Nivel 5 Tareas Copyright (c) QA & Asesoría Empresarial
3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). Apetito de riesgo: Es el máximo nivel del riesgo que los accionistas están dispuestos a aceptar: Es una guía en el establecimiento de la estrategia La gerencia lo expresa como como un balance entre: crecimiento, riesgo y retorno Dirige la asignación de recursos Alinea la organización, personal, procesos e infraestructura Tolerancia al riesgo: Son los niveles aceptables de variación de las metas fijadas: La tolerancia al riesgo se puede medir preferiblemente en las mismas unidades que los objetivos relacionados Copyright (c) QA & Asesoría Empresarial
3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). Copyright (c) QA & Asesoría Empresarial
3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). Copyright (c) QA & Asesoría Empresarial
3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). I IV II III PROBABILIDAD IMPACTO Bajo Alto Baja Alta POSIBLES PLANES DE TRATAMIENTO I Aceptación II Mitigación / Contingencias III Transferencia IV Reducción / Evitar Copyright (c) QA & Asesoría Empresarial
3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). Copyright (c) QA & Asesoría Empresarial
Temario 1. Introducción al riesgo operacional en el sector financiero 2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). 4. Dificultades metodológicas. 5. Requerimiento de Patrimonio Efectivo por Riesgo Operacional Copyright (c) QA & Asesoría Empresarial
4. Dificultades metodológicas Identificación del riesgo Tamaño y complejidad de las operaciones Estructura organizacional Cultura organizacional Análisis del riesgo Disponibilidad de datos Mapas de procesos Selección de alternativas ISO 31010 Evaluación del riesgo Criterios de tolerancia y apetito al riesgo Selección de parametrizaciones Selección de modelos Copyright (c) QA & Asesoría Empresarial
Temario 1. Introducción al riesgo operacional en el sector financiero 2. Comparación entre el Marco de Aplicación COSO vs ISO 31000/ISO 31010 3. Etapas críticas de la gestión del riesgo operativo (identificación, análisis, evaluación y tratamiento). 4. Dificultades metodológicas. 5. Requerimiento de Patrimonio Efectivo por Riesgo Operacional Copyright (c) QA & Asesoría Empresarial
Pilar I Requerimientos de capital 5. Requerimiento de Patrimonio Efectivo por Riesgo Operacional Basilea Pilar I Requerimientos de capital Riesgo de crédito Riesgo de mercado Riesgo operacional Copyright (c) QA & Asesoría Empresarial
Requerimiento patrimonial por riesgo operacional 5. Requerimiento de Patrimonio Efectivo por Riesgo Operacional Requerimiento patrimonial por riesgo operacional Indicador Básico Método Estándar Método Avanzado (AMA) Copyright (c) QA & Asesoría Empresarial
Pérdidas por riesgo operacional 5. Requerimiento de Patrimonio Efectivo por Riesgo Operacional Más allá del indicador básico se requiere de un registro de pérdidas por riesgo operacional clasificado y ponderado por tipo de pérdida según Basilea. Pérdidas por riesgo operacional Personas Fraude interno (actos internos) Prácticas de empleo y seguridad laboral Procesos Ejecución, entrega y gestión de proyectos Clientes, productos y prácticas comerciales Sistemas Interrupción de operaciones o fallas del sistema Externos Daños o pérdidas de activos fijos Fraude externo Copyright (c) QA & Asesoría Empresarial
¿Preguntas? Ing. Econ. Isabel Ávila Isabel.avilaa@gmail.com qayasesoríaempresarial@gmail.com ¿Preguntas? Copyright (c) QA & Asesoría Empresarial