Diapositiva 1
Anuncio
Alfredo Zayas Gestión del Riesgo Operativo Agenda 1. 2. 3. 4. 5. 6. 7. 8. Objetivos Fundamentos y Conceptos Gestión del Riesgo Operativo Estándares Ejemplo de Modelo de Riesgo Operativo Beneficios Conclusiones Preguntas This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 2 1 Objetivos 1.1 Objetivos 1. Comprender los fundamentos y conceptos del Riesgo Operativo 2. Comprender el ciclo de Gestión del Riesgo Operativo 3. Conocer los estándares para Gestión de Riesgo 4. Comprender la importancia y el desafío de gestionar los Riesgos dentro de la Organización This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 4 2 Fundamentos y Conceptos This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 5 2.1 Antecedentes El riesgo operativo deriva de la ejecución de las actividades de negocio. El peor riesgo (como el peor enemigo) es el que no se conoce. La supervivencia de las organizaciones en un mundo globalizado y altamente competitivo ha obligado a mejorar el desempeño y la buena gestión del riesgo. El riesgo operativo se ha trabajado desde 1994 en el Comité de Basilea (comité formado en Suiza en 1974, por los principales bancos centrales de países desarrollados). Ha adquirido mayor importancia con Sarbanes – Oxley. Su buena gestión es una ventaja competitiva. This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 6 2.2 Fundamentos Riesgo: Efecto de la incertidumbre sobre los objetivos – ISO 31000 Efecto potencial de que una amenaza dada pueda explotar las vulnerabilidades de un activo o grupo de activos y por consecuencia causar daño a una organización – ISO 27005 El impacto y probabilidad de que un evento no deseado pueda afectar el logro de metas. Gestión de Riesgos Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo – ISO 31000 This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 7 2.2 Fundamentos Riesgo Operativo: El riesgo de pérdida como resultado de procesos, gente y sistemas internos inadecuados o que fallan y de eventos externos - Comité de Basilea. Esta definición incluye el riesgo legal, de fraude, de TI, físico y ambiental. Excluye el riesgo estratégico, de crédito, de mercado y de reputación. Situaciones que incurren en un riesgo operativo: Incumplimiento de normas y procedimientos. Falta de documentación de los procesos. Pérdida de confidencialidad de la información. Fallas en los procedimientos por errores humanos. This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 8 2.2 Fundamentos El alcance del Riesgo Operativo contempla los siguientes elementos: Integridad y consistencia de los procedimientos administrativos y procesos asociados Calidad de la gestión de los recursos humanos, a través de sus habilidades, perfiles y entrenamiento Política de suministros, en especial en lo referido a terceras partes Infraestructura, sistemas y telecomunicaciones Seguridad física y de la información This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 9 2.3 Características del Riesgo Operativo Es el más antiguo de todos. Está presente en cualquier clase de negocio y casi toda actividad. Es inherente a toda actividad en que intervengan personas, procesos y plataformas tecnológicas. Es complejo por la gran diversidad de causas que lo originan. Se conoce por las grandes pérdidas que ha ocasionado en la industria financiera. Existe poca cultura para gestionarlo. This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 10 2.4 Tipos de Riesgo Operativo Riesgo Operativo Significativo Tiene un impacto potencial adverso (cualitativo y cuantitativo) que amenaza la misma existencia de la entidad. Riesgo Operativo Intrínseco Se deriva de la realización de las actividades propias de la entidad. Está implícito en la actividad que realizamos. Es medible, gestionable y mitigable. Riesgo Operativo Residual Es el remanente y se manifiesta en eventos de pérdidas. Debe ser administrado. This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 11 2.5 Tipos de Eventos por Riesgo Operativo Fraude Interno Ejecución, Entrega y Gestión de Procesos Fraude Externo Riesgo Operativo Interrupción del Negocio y Sistemas Daños o Pérdidas de Activos Empleados y seguridad del trabajo Clientes, Productos y Prácticas Comerciales This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 12 2.6 Evento de Pérdida Es la materialización del RO al interior de la organización. De acuerdo a su cuantificación puede clasificarse en dos grupos: Impacto Directo. Pérdida cuantificable y aplicable de forma directa a los resultados o al capital de las empresas. Ejemplos Fraudes y Robos. Impacto Indirecto. Pérdida que no se puede cuantificar de forma clara el efecto en los resultados o en el capital de la organización. Ejemplos: Pérdida de confianza de clientes/ciudadanos, fallas en productos o servicios, disminución de ventas, pérdida de Participación en el Mercado. This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 13 2.7 Control Interno Evalúa y corrige el rumbo de los procesos para que la organización alcance sus objetivos. Contiene o disminuye el Riesgo Operativo al interior de la organización. Permite Mitigar, Transferir, Cambiar (MTC) los Riesgos Operativos. El Control Interno y las Regulaciones acotan el Riesgo Operativo. El riesgo de detección y el riesgo de cuantificación están asociados implícitamente al Riesgo Operativo afectando de igual manera a la organización. This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 14 2.7 Control Interno Funciona con cinco componentes relacionados entre sí: 1. Ambiente de control 2. Evaluación de los riesgos 3. Actividades de control y segregación de funciones. 4. Información y comunicación. 5. Actividades de monitoreo y corrección de deficiencias. This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 15 3 Gestión del Riesgo Operativo This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 16 3.1 Gestión de Riesgo Operativo Su principal objetivo es la detección temprana del Riesgo Operativo, para aplicar controles que permitan mantener el riesgo en un nivel aceptable. La organización debe: Conocer su “Perfil de Riesgo”. Identificar las causas de aquellas situaciones que representen una exposición extrema. Evaluar y determinar acciones de manera proactiva. Identificar el “Apetito de Riesgo”. This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 17 3.2 Identificación de Riesgo Operativo FRECUENCIA Frecuente SVERIDAD Catastrófico Probable RIESGO EXTREMO EVITAR Muy poco probable Improbable TRANSFERIR RIESGOS ALTO Importantes Moderado Eventual MEDIO GESTIONAR Mitigar Frecuencia BAJO Insignificante ASUMIR NIVELES DE RIESGOS This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 18 3.3 Ciclo de Gestión de Riesgo Operativo Ciclo que implementa mejoras que responden a cambios en el control y en la organización Identificación Control Evaluación Gestión del Riesgo Operativo Monitoreo Medición This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 19 3.4 Unidad de Riesgo Operativo Organización Políticas y Procedimientos Tecnología Infraestructura de Gestión Datos de Pérdidas Sistema de Información Herramientas y Metodologías This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 20 4 Estándares This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 21 4.1 Estándares COSO ERM (Enterprise Risk Mgmt) COSO (Committee of Sponsoring Organization of the Treadway Commission) publicó el “Enterprise Risk Management Integratred Framework”. Modelo tridimensional que establece 4 categorías de objetivos, 8 componentes, y 4 unidades de entidad Segmenta la Gestión de Riesgos en alcances específicos, simplificando el análisis e implementación de soluciones This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 22 4.1 Estándares AAIRM Compendio de tres organizaciones: AIRMIC (Association of Insurance and Risk Managers), la ALARM (National Forum for Risk Management in the Public Sector), y el IRM (Institute of Risk Management) Inicia desde los objetivos estratégicos de la organización y es soportado por auditorías formales. Incluye un apéndice con una relación de técnicas de identificación de riesgos, así como métodos para el análisis de riesgos. Descripción detallada de las etapas y actividades requeridas para la administración de riesgos. AAIRM Risk Management Process The Organization’s Strategic Objectives Risk Assessment Risk Analysis Risk Identification Risk Description Risk Estimation Risk Evalution Risk Reporting (Threats) Formal Audit Decision Risk Treatment Residual Risk Reporting Monitoring This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 23 4.1 Estándares AS/NZ 4360 Estándar Australiano / Neo Zelandés Agrega actividades para el establecimiento del contexto del proceso, comunicación y consulta de resultados, carece de referencias específicas a roles y responsabilidades disponibles en el AAIRM. Analyze Risks Evaluate Risks Monitor and Review Identify Risks Risk Assessment Communicate and Consult Establish the Context Treat Risks This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 24 4.1 Estándares ISO/IEC 31000 Proporciona principios y lineamientos generales para la Gestión de todo tipo de Riesgos Puede utilizarse para todo tipo de Organización y en cualquier ámbito (estrategias, servicios, productos, procesos, proyectos) C o m u n i c a t i o n & c o n s u l t a t i o n 5.2 Establishing the context (5.3) Risk assessment (5.4) Risk identification (5.4.2) Risk analysis (5.4.3) Risk evaluation (5.4.4) M o n i t o r i n g & r e v i e w (5.6) Risk treatment (5.5) Process (Clause 5) This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 25 4.1 Estándares ISO/IEC 27005 Proporciona principios y lineamientos generales para la Gestión de Riesgos de Seguridad de Información Está enfocada en soportar un ISMS (Sistema de Gestión de Seguridad de Información ISO 27001) This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 26 4.1 Estándares Integrity Driven Performance: Managing Risk from the Boardroom to the Mailroom Market, Regulator and Stakeholder Expectations (emerging standards & new requirements) GRC tio n Governance, Risk & Compliance e i ca RISK MANAGEMENT nc rm a R ura Inf o ss tio n & &A Co GOVERNANCE ng mm un G ori nit Alcance Organizacional Mo Fomentado por diversos Corporativos C COMPLIANCE Not doing the wrong thing (rules & constraints) Extended Enterprise and Value Chain Doing the right thing (values) Culture Integrity Ehtics This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 27 5 Ejemplo de Modelo de RO This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 28 5.1 Modelo de RO de Deutsche Bank Función de GRO Central Independiente Estrategia Reportes Definición de objetivos Marco de GRO Cálculo de capital AMA Ejecución diaria • Parte de las líneas de negocio • Gestión de riesgo diario • Implementación de marco de GRO Equipos de RO en Divisiones de Socios de Negocio Monitoreo Pruebas y verificación por auditoría, cumplimiento, legal, financiero y otros Equipos de RO funcionales en Grupos de Control This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 29 5.2 Actividades de GRO de Deutsche Bank 1. Analizar el riesgo, causa raíz y lecciones aprendidas de eventos mayores a € 2 millones. Registro de pérdidas superiores a € 10,000 derivadas del RO. 2. Uso de información de eventos externos de la industria de la banca para prevenir que no ocurran en el banco. 3. Uso de Indicadores de Riesgo Clave para alertar de problemas inminentes. 4. Proceso de auto-evaluación de control y riesgo al menos anualmente. 5. Reportes de perfil de RO periódicos de las divisiones de negocio, países donde opera e infraestructura seleccionada. 6. Medición de resultado de medidas de mitigación de riesgo. 7. Donde el RO no puede ser mitigado completamente se sigue el principio de “tan bajo como sea razonablemente posible” y se acepta formalmente el riesgo residual. 8. Analizar los riesgos más altos considerando los resultados de las tareas anteriores para la planeación y la estrategia anual de RO. This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 30 6 Beneficios This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 31 6.1 Beneficios de GRO 1. Promueve la responsabilidad del riesgo y su aceptación en toda la organización. 2. Cumple con políticas, regulaciones y leyes. 3. Protege la información confidencial de la organización. 4. Evita pérdidas y protege el ingreso. 5. Provee una visión precisa de los riesgos operativos y cómo se gestionan en la organización. 6. Integra con las prácticas de riesgo global y de cumplimiento. 7. Provee un marco común para los ejecutivos, la organización de GRO, auditores y la dirección. This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 32 7 Conclusiones This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 33 7.1 Conclusiones 1. La Gestión del Riesgo Operativo se vuelve importante por: a. Aumento de riesgos en el ambiente de negocio/gobierno. b. Exigencia de políticas, leyes y reguladores. c. Mayor dependencia de la tecnología automatizada e incremento en su complejidad. f. Productos de mercado y ciudadanos que lo requieren, ejemplo: garantías, seguros, derivados de crédito, privacidad de información, servicios en línea, etc. 2. Si no lo gestionamos no podemos competir. 3. Acusar a la suerte de un hecho inesperado, es esconder la responsabilidad. This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 34 8.1 Preguntas This document may contain brand names, text, graphics or images which are registered trade marks, trade marks, service marks, or trade names of third parties which are owned by their respective owners. © Copyright 2011 Global Lynx, Inc. All rights reserved. This material is property of Global Lynx, Inc (www.globallynx.com). Reproduction in whole or in part is prohibited. 35 TM IT Service Management success by design Alfredo Zayas [email protected]
