8 asobancaria%20linea%203

Anuncio
CAPITULO “CLASES DE RIESGO OPERACIONAL”
BORRADOR PARA COMENTARIOS
ASOBANCARIA
COMITE DE RIESGO OPERACIONAL
Vicepresidencia Económica
Dirección de Estudios y Regulación Financiera
11 de Septiembre de 2007
CLASES DE RIESGO OPERACIONAL
CLASES DE RIESGO OPERACIONAL
1- EJECUCIÓN Y ADMINISTRACIÓN DE PROCESOS
Son los riesgos derivados de errores en la ejecución y administración de los procesos.
También, son riesgos cuyo origen está en las deficiencias de los procesos de la entidad, tanto si se deben a
decisiones adoptadas en el diseño y gestión de los mismos, como si corresponden a errores individuales en la
ejecución de procedimientos y operaciones.
Errores en la ejecución de órdenes de clientes. Quebrantos ocasionados
por deficiencias en la ejecución de órdenes de clientes a consecuencia de
errores involuntarios, falta de diligencia en la tramitación o deficiente
interpretación de las mismas. (Órdenes de compra/venta de Valores,
suscripciones… órdenes de transferencias individuales, masivas y
permanentes- operaciones de Cuentas Personales, Préstamos, Medios de
Pago, Fondos, etc.).
101 ERRORES EN LA OPERATIVA
Errores en la operativa. Pérdidas originadas por errores o duplicidad en la
entrada de datos. Afecta a todo tipo de datos (límites, importes, plazos,
referencias, etc.) en toda clase de operaciones (operativa de Caja, cobros,
pagos, liquidaciones, extravío de remesas de moneda nacional o divisas,
liquidación de impuestos y seguros sociales, extranjero, etc. ), a la
divulgación no intencionada de información privilegiada, etc.
Pérdidas cuyo origen se encuentra en
errores
operativos
o
en
las
comunicaciones emitidas por la
entidad. Pueden estar originados por
errores humanos o en el diseño del
Errores en las Comunicaciones a clientes. Pérdidas ocasionadas por
proceso.
deficiencias en las comunicaciones remitidas a clientes, corresponsales,
empleados, etc.
Implantaciones deficientes. Deficiencias en el diseño y/o implantación de
productos y sistemas, modelos de valoración, riesgos, precios, etc.
Deficiencias en litigios. Pérdidas por incorrecto planteamiento o enfoque en
litigios, demandas, reclamaciones de deuda, recursos, oferta de servicios,
mandatos de asesoramiento, etc.
Segregación funcional. Inadecuada estructura organizativa, ausencia o
inadecuada segregación funcional, de tareas, comités, etc., o deficiente
utilización de las mismas.
102. CONTROLES DEFICIENTES
Riesgo
relacionado
con
los
mecanismos de control, ya sea por
inexistencia, inadecuado diseño o
deficiente utilización de los mismos.
Deficiencias en el control de operaciones de cobros/pagos, cheques,
recibos y otros medios de pagos, etc.
Deficiencias en la intervención de documentos, cuadres y conciliaciones
periódicas, acceso a sistemas externos de listas negras, control dual,
seguimiento de la composición, evolución y saldos de cuentas.
Deficiencias o falta de verificación en scorings, ASNEF, RAI, CIRBE, o
cualquier otro tipo de filtro de calidad crediticia.
1- EJECUCIÓN Y ADMINISTRACIÓN DE PROCESOS
103 INCUMPLIMIENTO
NORMATIVA.
DE
LA
Riesgo que tiene su origen en el
incumplimiento
o
errónea
interpretación de normas de todo tipo,
excepto laborales, que deban ser
aplicadas por la Entidad, y tanto si se
debe a procesos defectuosamente
diseñados como a errores de
ejecución de los mismos. Cuando los
incumplimientos estén relacionados
con la normativa laboral,
se
clasificarán en la categoría de
Recursos Humanos.
104
ERRORES EN LA GESTION
Y
ADMINISTRACIÓN
DE
CUENTAS DE CLIENTE
105 ERRORES EN
DOCUMENTACIÓN Y CONTRATOS
LEGALES
Riesgo como consecuencia de
deficiencias en el proceso de
contratación, formalización y custodia
de documentos que alteren las
condiciones prefijadas o la fuerza
ejecutiva de los contratos.
106
INCUMPLIMIENTO
CONTRATOS
Incumplimiento de la normativa fiscal: Penalizaciones por infracciones
cometidas en el cumplimiento de obligaciones tributarias, impago o evasión
de impuestos y otras contingencias de carácter fiscal. Coste de oportunidad
por la no utilización de los mecanismos existentes para obtener ahorros de
carácter fiscal, etc.
Incumplimiento de la normativa bancaria: Informes financieros inexactos
o fuera de plazo, multas y sanciones impuestas por organismos supervisores
a consecuencia de incumplimientos en la presentación (plazos y contenidos)
de cualquier tipo de información exigida a las Entidades Financieras –
documentos, justificaciones, Balances, etc. -, ya sea por razón de
desconocimiento, interpretación de la norma, etc.
Incumplimiento de la normativa de edificios. Multas pagadas a
organismos: Comunidades autónomas, ayuntamientos, etc. Son pérdidas
relacionadas con el incumplimiento de normativa tributaria, de seguridad, de
mantenimiento, de publicidad, etc., sobre edificios.
Incumplimiento de otras normas: Pérdidas por reclamaciones
relacionadas con información errónea facilitada a organismos, instituciones,
registros de morosos (ASNEF, RAI, etc.), medios de comunicación,
falsificación de registros, resultados de encuestas, etc. En este apartado
quedan incluidas las multas y sanciones de la Agencia de Protección de
Datos (APD).
Deficiente gestión y administración de activos: En depósitos, custodia,
aportaciones a fondos, gestión de carteras, fiducias y otros vehículos de
inversión.
Deficiente diseño de contratos. Utilización de contratos cuya cobertura
jurídica ofrezca dudas razonables en la formalización de operaciones
realizadas con clientes (activo, pasivo y servicios), terceros (arrendamientos,
contratos de servicios, subcontrataciones, etc.) o bien en la materialización
de pactos de novación, modificación y renovación en cualquier tipo de
operación, etc.
Errores tipográficos en los contratos (importes, precios, comisiones,
plazos, etc.)
Ausencia de contratos o con cláusulas erróneas para al objeto de la
operación. Ejemplo cláusulas indemnizatorias que puedan originar pérdidas
por reclamaciones.
Pérdida de contratos. Pérdidas por omisión o extravío de documentos
exigidos en las relaciones comerciales con clientes. Defectos formales en
contratos – firmas, fechas, apoderados, etc. – que invaliden la fuerza
ejecutiva del documento.
DE
Incumplimiento de contratos de carácter comercial relacionados con
proveedores, acuerdos con otras entidades del sector, etc.
Riesgo como consecuencia de
incumplimientos de la propia entidad,
en las relaciones mantenidas con no
clientes.
Inadecuado uso de derechos de propiedad intelectual. Sanciones y
compensaciones satisfechas por aspectos relacionados en general, con la
utilización y uso de derechos de propiedad intelectual, registro, documentos
técnicos, patentes y marcas. Etc.
Deficiencias en el servicio. Pérdidas originadas por demoras en la entrega
y deficiencias en la calidad de los servicios contratados.
107. PROVEEDORES
Riesgo originado por las carencias
del servicio prestado por proveedores
y empresas subcontratadas
Incumplimiento de contratos. Pérdidas ocasionadas por la ruptura
unilateral de contratos de servicios, modificación de las condiciones
pactadas, precios, etc.
Corte de suministros. Quebrantos derivados de la suspensión de la
entrega de los productos y servicios contratados, cualquiera que sea la
causa que lo origine (huelga, quiebra, averías, cierre de la empresa, etc.).
2-FRAUDE EXTERNO
2-FRAUDE EXTERNO
Son los riesgos debidos a actos realizados por una persona externa a la entidad, clientes o no, que buscan defraudar,
apropiarse indebidamente de activos de la misma o incumplir normas o leyes.
201. USO FRAUDULENTO DE
TARJETAS
202. ROBOS Y ATRACOS
Uso indebido por terceros, ej. Demora en la tramitación de órdenes de
cancelación de tarjetas robadas/extraviadas tanto de débito como de
crédito.
Utilización por el titular (cuando la pérdida no sea imputable a riesgo
de crédito).
Robos y atracos perpetrados contra activos de la Entidad.
Uso fraudulento de Cheques y transferencias. Pérdidas por pagos
contra documentos sin fondos cuando no pueda ser considerado Riesgo
de Crédito.
Falsificación de documentos. Quebrantos originados por la
manipulación en cualquier tipo de operación (activo, pasivo y servicios),
de documentos mercantiles, contractuales e informativos: Contratos,
poderes, Efectos de Comercio, Cheques, Billetes, Cartas de garantía de
Pago, etc.
Suplantación de personalidad.
Estafas. Pérdidas por estafas sufridas en sus activos.
203. OTROS FRAUDES EXTERNOS
Uso y/o divulgación de Información privilegiada. Pérdidas por multas
o sanciones debido al uso y/o divulgación de este tipo de información.
Espionaje Industrial. Robo de información propiedad de la entidad. (p.e.
Base de datos de clientes, información confidencial, etc.).
Extorsión y soborno.
Secuestros y Rescates. Pérdidas por gastos y pagos satisfechos como
consecuencia de secuestros de empleados.
Contrabando. Pérdidas por multas o sanciones a consecuencia de la
acusación de contrabando de bienes, por evasión de impuestos o
incumplimiento de otras obligaciones aduaneras.
204. VIOLACION DE LA SEGURIDAD
INFORMATICA
Utilización inadecuada de claves de acceso y/o niveles de
autorización, independientemente del canal en que se produzcan:
Banca Telefónica, Banca Electrónica, Banca Automática, Internet, etc.
Fraudes a través de ordenador. Pérdidas directas y multas o sanciones
relacionadas con fraudes y otros delitos (ej. piratería informática, accesos
no autorizados, sabotaje de datos críticos, virus introducidos, robo de
información, etc.) a través del uso irregular de los sistemas del Banco.
3-FRAUDE INTERNO
Son los riesgos causados por actos que de forma intencionada buscan defraudar o apropiarse indebidamente de
activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de
la entidad.
Estos riesgos también se derivan de actuaciones irregulares, comisión de hechos delictivos, infidelidades, abuso de
confianza, etc. efectuadas con ánimo de dolo o lucro por parte del personal interno de la entidad, así como la
realización de otras actividades no autorizadas.
Falsificación de documentos. Por medio de la manipulación de
documentos mercantiles, contractuales, informativos, etc.
Vulneración de sistemas de identificación y de seguridad por
utilización fraudulenta de las claves de acceso y/o niveles de
autorización. Utilización fraudulenta de password por personas distintas
al titular.
Desfalco y malversación. Pérdidas causadas por la apropiación de
activos del banco.
301. ROBOS Y FRAUDES INTERNOS
Uso y/o divulgación de Información privilegiada. Pérdidas por multas
o sanciones debidas al uso, con ánimo de lucro, de este tipo de
información.
Espionaje Industrial. Robo de información propiedad de la entidad. (p.e.
Base de datos de clientes, información confidencial, etc.).
Extorsión y soborno. Pérdidas como resultado de multas o sanciones
como consecuencia de delitos de esta naturaleza cometidos por
empleados.
Otros fraudes internos. Pérdidas por cualquier otro motivo por
actuaciones irregulares de empleados con ánimo de dolo o lucro.
Sabotaje - Contrabando y Daños Informáticos (en Bases de Datos,
Programas, etc.)
302 ACTIVIDADES
NO
AUTORIZADAS. Riesgo a consecuencia
del uso incorrecto de los poderes
conferidos a cualquier miembro de la
Entidad y por la realización de
operaciones
sin
que
se
tengan
atribuciones. Independientemente de cual
sea el medio utilizado para realizar esas
actividades: A través de sistemas
informáticos (incluida utilización de
password o claves de usuarios de otras
personas),
firma
de
documentos,
autorizaciones, etc.
Uso indebido de facultades y poderes. Quebrantos producidos a
consecuencia de la incorrecta utilización de facultades delegadas:
Aprobación del riesgo en operaciones de Activo (préstamos, líneas de
crédito, exceso de límites, etc.) y de precios en operaciones de Activo y
Pasivo que deben ser propuestas a organismos superiores. Utilización
inadecuada de los poderes conferidos, (por ámbito territorial, clase de
apoderamiento, limitación de importes, etc.).
Divulgación de Información privilegiada intencionada pero sin ánimo
de lucro.
Otras operaciones no autorizadas. Aplicación incorrecta de los criterios
de consolidación de cifras de riesgo en grupos de empresa y, en general,
incumplimiento de la política establecida en la concesión y realización de
todo tipo de operaciones financieras.
4- FALLAS TECNOLÓGICAS
Son los riesgos derivados de incidentes por fallas tecnológicas.
Arquitectura de sistemas inadecuada. Pérdidas originadas por la
utilización de sistemas y/o aplicaciones anticuados, que no soportan la
carga de trabajo, el volumen, las funcionalidades o la complejidad de los
productos y operaciones actuales. Rendimiento deficiente de
herramientas. Herramientas externas con versiones anticuadas o
inconsistentes.
401. DEFICIENCIAS EN TECNOLOGIA
Riesgo ocasionado por deficiencias en el
diseño o implantación de sistemas de
información, problemas o demoras
generados en la ejecución de procesos
automáticos
concretos,
deficiente
funcionamiento de los sistemas Host, de
comunicaciones - caídas de líneas -,
pérdidas
de
información
en
los
dispositivos de respaldo, o aplicaciones y
desarrollos por no responder a las
especificaciones del usuario, carencias en
la seguridad de los edificios de proceso
de datos y en la seguridad de la
infraestructura tecnológica, etc.
Fallos en la implantación de sistemas. Deficiente funcionamiento de
los sistemas por errores en el diseño, construcción e implantación de
nuevas funcionalidades y/o aplicaciones o no adaptación a los
requerimientos de negocio del usuario. Quebrantos originados por la
demora de nuevos desarrollos e incumplimiento de los planes de
sistemas, desfases en presupuestos, falta de capacidad de desarrollo,
retrasos por subordinación de unas áreas (desarrollo host) a otras
(desarrollo nueva tecnología), pérdidas derivadas de la implantación de
macro-proyectos: transición al Euro, Año 2000, Integración, etc.
Fallos de Hardware: Se trata de pérdidas por deficiencias en el Nivel de
Servicio Hardware que ofrece Sistemas por capacidad excedida, caídas
de sistemas, no disponibilidad, excesivo volumen de transacciones,
tiempo de respuesta on-line, averías, etc.
Fallos de Software: Pérdidas por deficiencias en el Nivel de Servicio
Software que presta Sistemas, provocadas por la ejecución incorrecta de
procesos establecidos, incompatibilidad entre sistemas, módulos y/o
aplicativos, falta de conectividad on line entre aplicativos o interfaces,
errores (abend's) o demoras en procesos batch planificados, que retrasan
la apertura del servicio on line, pérdida de información por incorrecto
funcionamiento de los sistemas de respaldo y seguridad, etc.
Fallos en las Comunicaciones y Redes: Pérdidas por incidencias en
los sistemas de comunicaciones/redes que ocasionen deficiencias en la
productividad y/o degradación del nivel del servicio ofrecido en red de
oficinas y canales alternativos, por cortes en vías de suministro de
energía eléctrica, saturación en líneas de transmisión de datos,
incidencias en el hardware/software de redes/comunicaciones, etc.
5-RELACIONES LABORALES
Riesgos asociados con actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y,
en general, la legislación vigente sobre la materia.
Estos riesgos se vinculan a la gestión de Recursos Humanos, incluyendo todo lo relativo a incumplimientos de la
normativa laboral y otras situaciones de cualquier tipo que originen sanciones, multas, indemnizaciones, etc.,
relacionadas con las condiciones laborales.
Deficiencias en la contratación y retención de recursos humanos,
incluida la gestión de cobertura de vacantes. Quebrantos ocasionados
por la fuga de talento, conocimiento y experiencia, puestos importantes
sin cubrir, alta rotación de plantilla, etc.
501
GESTION DE RECURSOS
HUMANOS
Huelgas. Quebrantos ocasionados a causa de huelgas sectoriales y de
empresa.
Riesgo de pérdidas ocasionadas por
litigios relacionados con las fórmulas de
contratación y retribución utilizadas,
contingencias derivadas de procesos de
negociación sindical, etc.
Despidos improcedentes. Indemnizaciones pagadas por este motivo.
502
Multas y sanciones impuestas por las autoridades laborales
relacionadas con el incumplimiento de las normas de Seguridad e
Higiene en el trabajo.
503
INCUMPLIMIENTO DE LA
SEGURIDAD E HIGIENE
LABORAL
DISCRIMINACIÓN, ACOSO
Multas, sanciones e indemnizaciones
relacionadas con la discriminación laboral.
Admisión forzosa de personal externo. Pérdidas originadas por la
admisión forzosa de personal externo subcontratado.
Retribución y beneficios sociales. Pérdidas consecuencia de
denuncias por la aplicación de criterios retributivos, compensación,
bonus, errores de administración o de gestión de fondos de pensiones,
etc.
Difamación e invasión de la intimidad. Pérdidas resultado de la
divulgación, hablada o escrita, de información falsa que daña la
reputación de una persona o la invasión ilegal de la intimidad.
Discriminación. Pérdidas resultado de discriminación (no respeto del
principio de igualdad de oportunidades) por edad, estado civil, sexo o
género, situación médica, filiación política, raza, creencias religiosas,
orientación sexual, etc.
Acoso personal. Sexual, físico, verbal, etc.
6- CLIENTES, PRODUCTOS Y PRACTICAS EMPRESARIALES
Son riesgos debidos a fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden
satisfacer una obligación profesional frente a éstos.
También se considera como el riesgo originado por expectativas de clientes frustradas por malas prácticas y/o
deficiencias en la venta de productos y prestación de servicios (información facilitada acerca de condiciones
económicas, financieras u otros costes, riesgos inherentes a la operación, etc.), multas, sanciones e indemnizaciones
como consecuencia de incorrectas prácticas comerciales.
601
POLÍTICA COMERCIAL
Pérdidas por sanciones y reclamaciones originadas por: inadecuada
admisión de clientes, publicidad engañosa, deficiencias en los mensajes
comerciales o en la información facilitada a los medios de comunicación,
ventas agresivas, mal uso de información confidencial del cliente, etc.
602
ASESORAMIENTO DEFICIENTE
A CLIENTES
Pérdidas por indemnizaciones, sanciones, compensaciones, etc.
resultado de litigios por la diferente interpretación de las actividades de
asesoría prestadas.
603
PRODUCTOS DEFECTUOSOS
Pérdidas por indemnizaciones, sanciones o compensaciones como
consecuencia de inadecuados diseño y/o implantación de productos:
aplicación de modelos de riesgos, políticas de precios, ausencia de
manuales de procedimientos, insuficiencia de medios, etc.
Incumplimiento de la normativa de la Competencia. Multas y
sanciones relacionadas con el Tribunal de Defensa de la Competencia y
similares, participaciones societarias, fijación de precios y discriminación
en la aplicación de los mismos, etc.
Discriminación. Pérdidas por indemnizaciones originadas por la
discriminación en la venta de productos o servicios (precios, importes,
etc.)
Dumping. Sanciones por ventas a precios de mercado superiores en
pasivo e inferiores en activo.
604
PRACTICAS COMERCIALES
IMPROPIAS
Sobreprecios. Pérdidas por denuncias como consecuencia de la
aplicación de tarifas netamente superiores a las de mercado en: seguros,
servicios, etc.
Sobornos y comisiones ocultas. Pérdidas por multas, sanciones y
compensaciones, resultado de pagos realizados para generar o retener
negocio.
Blanqueo de Capitales. Sanciones como resultado de deficiencias, por
acción u omisión, que permitan actividades de este tipo, tanto realizadas
por personal interno como por terceros.
Venta engañosa y ocultación de riesgos. Pérdidas ocasionadas en el
proceso de ventas por información parcial o inadecuada. Incluye: Costes
de los litigios e indemnizaciones soportados como consecuencia de
fallos judiciales por reclamaciones de clientes.
605
TRANSGRESION
DE
INSTRUCCIONES DE CLIENTES
Pérdidas por multas, sanciones e indemnizaciones como
consecuencia de traspasar los límites fijados por el cliente y/o por no
aplicación de las directrices prefijadas por el mismo.
7 – DAÑOS A ACTIVOS FÍSICOS
Son los riesgos por daños o perjuicios a activos físicos de la entidad.
Los daños y perjuicios son el producto de acontecimientos externos: naturales y provocados, que originen daños en
activos físicos o la interrupción de la actividad de la empresa.
701. ACCIDENTES Y SINIESTROS NATURALES
Riesgo por acontecimientos externos, naturales y accidentales
(Incendios, inundaciones, rayos, terremotos, explosiones, epidemias,
etc.), que originen daños en activos físicos o la interrupción de la
actividad de la empresa.
Pérdidas por interrupción de la actividad,
caída del volumen de negocio o del margen,
coste de oportunidad, etc.
Daños en inmuebles.
Daños en instalaciones, equipamiento,
cajeros automáticos, etc.
Daños en vehículos.
Indemnizaciones por daños personales
702. SINIESTROS PROVOCADOS
Riesgo por acontecimientos externos provocados (vandalismo, actos
terroristas, sabotajes, guerras, tumultos, etc.), que originen daños en
activos físicos o la interrupción de la actividad de la empresa.
Pérdidas por interrupción de la actividad,
caída del volumen de negocio o del margen,
coste de oportunidad, etc.
Daños en inmuebles.
Daños en instalaciones, equipamiento,
cajeros automáticos, etc.
Daños en vehículos.
Indemnizaciones por daños personales
Descargar