Unidad de Riesgo Operativo Vicepresidencia Bancaria

José Eliseo Parra Fonseca Director Riesgo Operativo

Capacitación

Riesgo Operativo

5/May/10

Unidad de Riesgo Operativo Vicepresidencia Bancaria

José Eliseo Parra Fonseca Director Riesgo Operativo

CE 048 22/Dic./06.CE 049 27/Dic./06. CE 041 29/Jun./07.Cap. 23 Circular Básica Contable y Financiera.

CE 052 25/Oct./07.CE 014 19/May./09. CE 038 19/Sep./09. Numeral 7º del Capítulo IX Título Primero - Control Interno - Circular Básica Juridica.

Mejoramiento continuo.Efectividad (Eficiencia y

Eficacia). Control Interno. Estándares de

competitividad nacionales e internacionales.

Administración del Riesgo.Cumplimiento de

normatividad.

IntroducciónSuperintendencia

Financierade Colombia SFC.

Responsabilidades Institucionales

Unidad de Riesgo Operativo Vicepresidencia Bancaria

José Eliseo Parra Fonseca Director Riesgo Operativo

Posibilidad de pérdidas en que incurre la entidad por :

• Desprestigio.• Mala imagen.• Publicidad negativa

Posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones en:

•El Recurso Humano.•Los Procesos.•La Tecnología.•La Infraestructura. •Ocurrencia acontecimientos

externos.

Esta definición incluye: Riesgo Legal y Riesgo Reputacional, asociados a tales factores.

Riesgo Operativo

Riesgo Reputacional

Riesgo Legal

Posibilidad de pérdidas en que incurre la entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de:

• Normas o regulaciones.• Obligaciones

contractuales.

Unidad de Riesgo Operativo Vicepresidencia Bancaria

José Eliseo Parra Fonseca Director Riesgo Operativo

Recurso

Humano

Procesos

Tecnología

Eventos Externos

Infraestructura

Fa

cto

res

de

Rie

sg

o O

pe

rati

vo

Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad.

Vinculación directa, aquella basada en un contrato de trabajo en los términos de la legislación vigente. Vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo.

Es una secuencia de acciones o conjunto de actividades encadenadas, mediante las cuales unos insumos iniciales (entradas), se transforman, agregándoles valor, en productos o servicios finales (salidas), con un sentido especifico (satisfacción) para un cliente.

Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones.

Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte.

Son situaciones asociados a la fuerza de la naturaleza u ocasionadas por terceros, que escapan en cuanto a su causa y origen al control de la entidad.

Gestión de RO

Unidad de Riesgo Operativo Vicepresidencia Bancaria

José Eliseo Parra Fonseca Director Riesgo Operativo

Fraude Intern

o

Fraude Externo

Relaciones

Laborales

Daños a Activos Físicos

Ejecución y

Administración

de Procesos Fallas

Tecnológicas

Clientes

Even

tos d

e R

iesg

o O

pera

tivo

Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos propiedad de la institución, o incumplir normas o leyes o políticas del banco, en los que está implicado, al menos, un empleado (directo o indirecto) o administrador de la entidad.

Actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia, los cuales resultan en reclamaciones por daños personales o reclamaciones relacionadas con la discriminación o falta de diversidad laboral.Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos.

Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad.

Pérdidas derivadas de errores en la ejecución y administración de los procesos.

Pérdidas derivadas de incidentes por fallas en la infraestructura tecnológica.

Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos del mismo o incumplir normas o leyes.

Gestión de RO

Unidad de Riesgo Operativo Vicepresidencia Bancaria

José Eliseo Parra Fonseca Director Riesgo Operativo

Ejemplos de RO

Caída de línea

Venta de Bases de Datos

Pago de cheques falsificados

No encriptamiento información

Falsedad de documentos

Factor

Evento de RiesgoExterno

InternoFraude ExternoFraude Interno

Fraude ExternoRecurso HumanoProcesoExterno

Procesos

Interno Externo

Fraude Interno Fraude Externo

Externo Fraude ExternoFallas tecnológicas

Riesgo

Canje por fuera de compensación en ciudades

Procesos Ejecución y administración de Procesos

Daño en comunicaciones por infraestructura externa

Externo Fallas Tecnológicas

Fraude Interno Fraude Externo

Unidad de Riesgo Operativo Vicepresidencia Bancaria

José Eliseo Parra Fonseca Director Riesgo Operativo

Superintendencia Financiera de Colombia - SFC

Marc

o d

e r

efe

ren

cia

y n

orm

ati

vid

ad

Desarrollar, establecer, implementar y mantener un Sistema de Administración de Riesgo Operativo (SARO) acorde con su estructura,

tamaño, objeto social y actividades de apoyo, que permita Identificar, Medir, Controlar y Monitorear eficazmente este riesgo.

Desarrollar, establecer, implementar y mantener un Sistema de Administración de Riesgo Operativo (SARO) acorde con su estructura,

tamaño, objeto social y actividades de apoyo, que permita Identificar, Medir, Controlar y Monitorear eficazmente este riesgo.

Metodología

Norma Australiana de Administración de Riesgos AS/NZS 4360:1999

Norma Técnica Colombiana de Gestión de Riesgo NTC 5254:2004

El Modelo Sistémico de Gestión por Procesos

Principios del Comité de Basilea para la Administración de Riesgos

Norma Australiana de Administración de Riesgos AS/NZS 4360:1999

Norma Técnica Colombiana de Gestión de Riesgo NTC 5254:2004

El Modelo Sistémico de Gestión por Procesos

Principios del Comité de Basilea para la Administración de Riesgos

Co

mu

nic

ació

n y

Co

nsu

lta

Co

mu

nic

ació

n y

Co

nsu

lta

Establecer el ContextoEstablecer el Contexto

Mo

nit

ore

o y

Rev

isió

nM

on

ito

reo

y R

evis

ión

Identificar los RiesgosIdentificar los Riesgos

Analizar los RiesgosAnalizar los Riesgos

Evaluar los RiesgosEvaluar los Riesgos

Tratar los RiesgosTratar los Riesgos

Proceso General de Gestión del Riesgo*

* Norma Técnica Colombiana NTC5254

- AS/NZS 4360 Australian and New Zealand Standard on Risk Management

Gestión del Riesgo Operativo

Unidad de Riesgo Operativo Vicepresidencia Bancaria

José Eliseo Parra Fonseca Director Riesgo Operativo

Co

mu

nic

ació

n y

Co

nsu

lta

Co

mu

nic

ació

n y

Co

nsu

lta

Establecer el ContextoEstablecer el Contexto

Mo

nit

ore

o y

Re

visi

ón

Mo

nit

ore

o y

Re

visi

ón

Identificar los RiesgosIdentificar los Riesgos

Analizar los RiesgosAnalizar los Riesgos

Evaluar los RiesgosEvaluar los Riesgos

Tratar los RiesgosTratar los Riesgos

Proceso General de Gestión del Riesgo*

* Norma Técnica Colombiana NTC5254

- AS/NZS 4360 Australian and New Zealand Standard on Risk Management

Misión

Políticas

Objetivos

Procesos

Estructura

Registro de Riesgos Linea de negocio : _____________________________Aréa _____________________________

Registrado por: _______________________________Fecha de registro : Día________Mes _______Año______

Revisado por: _______________________________Fecha de revisión : Día________Mes _______Año______

No. Nombre RiesgoDescripción cómo puede

(ó pudo) suceder el riesgoDescripción de consecuencias

ProbabilidadCalificación inicial riesgo

Nivel controles existentes

123456789

10

Tabla 3 Matriz de análisis de riesgo cualitativo - nivel de riesgo

1 2 3 4 5

Insignificante Menor Moderada Mayor Grave

5 Certeza A A E E E

4 Alta M M A E E

3 Media B B M A E

2 Baja I I B M A

1 Rara I I B M A

Clasificación Impacto del Riesgo Operativo

5 E Riesgo Extremo Requiere acción inmediata

4 A Riesgo Alto Requiere atención de la alta gerencia

3 M Riesgo Medio Requiere especificaciónde responsabilidad gerencial

2 B Riesgo Bajo Administrar mediante procedimientos de rutina

1 I Riesgo Inusual Administrar mediante registro

Probabilidad

Severidad

Tabla 2 Medidas cualitativas de probabilidad

NivelDescripción Probabilidad

Valoración detallada Ejemplo descripción detallada

5 CertezaMás de 1,000 veces al

añoPuede ocurrir con seguridad en la mayoria de las circunstancias

4 Alta 501 a 1,000 veces al añoPuede ocurrir en la mayoria de lascircunstancias

3 Media 101 a 500 veces al añoPuede ocurrir en algunas de lascircunstancias

2 Baja 11 a 100 veces al añoPuede ocurrir en pocas de lascircunstancias

1 Rara 1 a 10 veces en 3 añosPuede ocurrir sólo en circunstanciasexcepcionales

Tabla 1 Medidas cualitativas de consecuencia o impacto

Nivel Descripción% Utilidad

Neta 1Valoración detallada

Ejemplo descripción detallada

1 Insignificante 0,5% Aprox.Menos de 500

millonesSin perjuicios, pérdida financiera minima.

2 Menor 1% Aprox.Entre 500 y 999

millonesTratamiento rapido, focalizado, control rapido, pérdida financiera

3 Moderada 5% Aprox.Entre 1,000 y 4,999 millones

Tratamiento intensivo, focalizado, control con ayuda externa, pérdida financiera media.

4 Mayor 8% Aprox.Entre 5,000 y 7,999 millones

Perjuicios extensivos, pérdida de capacidad de producción, generalizado, pérdida financiera

5 Grave8% y más

Aprox. 8,000 millones o

másPerjuicios graves, pérdida financiera enorme

1 Se tomó como base la utilidad neta acumulada a diciembre del 2006 ($103,192 millones, aproximada mes $8,599).

Gestión del Riesgo Operativo

Unidad de Riesgo Operativo Vicepresidencia Bancaria

José Eliseo Parra Fonseca Director Riesgo Operativo

ENTRADAS PROCESO SALIDAS

Objetivos estratégicos

PLANES DE ACCIÓN

PLANES DE ACCIÓN

Cadena de valor

Contratos Servicio

CONTROLESCONTROLES

MONITOREOMONITOREO

REPORTE EVENTOS

REPORTE EVENTOS

INFORMES Base Datos

INFORMES Base Datos

MATRICES DE R.O.

MATRICES DE R.O.

Procesos Misionales

Procesos Apoyo

Monitoreo o Seguimient

oIdentificació

n

Medición

Control para

Mitigar

Proceso de RO

Normatividad

DOCUMENTACION

DOCUMENTACION

Unidad de Riesgo Operativo Vicepresidencia Bancaria

José Eliseo Parra Fonseca Director Riesgo Operativo

Proceso para reportar eventos RO Area donde ocurre el evento de RO Unidad de Riesgo Operativo

Recibir la información, analizar y clasificar la información del evento

de RO

Inicio

Empleados

Identificar el evento

Levantar y documentar la información del evento

Carpetas Públicas/Todas las carpetas públicas/Uro Riesgo Operativo

Informar al Gestor de RO de

área correspondiente

Exchange

Informar muy rápidamente al Buzón

URO y a la Vicepresidencia

respectiva

Unidad de Riesgo Operativo Vicepresidencia Bancaria

José Eliseo Parra Fonseca Director Riesgo Operativo

Su Responsabilidad frente al RO• Identificar y Reportar los eventos de

Riesgo Operativo que le sucedan y que impacten

al Banco, Fiduciaria, Cayman y G y C.

• Leer el Manual SARO.Carpetas Públicas/Todas las carpetas públicas/Uro Riesgo

Operativo

• Realizar el curso Virtual Cazadores del Riesgo

Operativo.

http://10.1.1.24:8080/ekp/index.html

Explorar\Cursos disponibles\Temas de Cumplimiento

• Certificarse como Cazador del Riesgo Operativo

Explorar\Cursos disponibles\Evaluación Final Saro

Unidad de Riesgo Operativo Vicepresidencia Bancaria

José Eliseo Parra Fonseca Director Riesgo Operativo

¡ EVIDENCIE Y REPORTE !

TODOS SOMOS

ADMINISTRADORES DE RIESGO

GRACIAS POR SU ATENCION

URO PARA TODOS – TODOS PARA URO