master icab - curso de riesgo operacional - resumen

Màster en Dret de la Societat de la Informació

Campus ICAB 2012-2013

Gestión del riesgo operacional y del

cumplimiento normativo (GRC)

Carlos Soto

Resumen de contenidos

http://www.google.es/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=Qs1oBErqJTZEFM&tbnid=kBh_gU59fdXdMM:&ved=0CAUQjRw&url=http%3A%2F%2Fwww.hablandodecoaching.com%2F%3Fp%3D991&ei=vMbCUaSTE_C00QXr4oDoBw&bvm=bv.48175248,d.ZG4&psig=AFQjCNGfAL1XU8nCf9gN5SgC-XVZH8PYPA&ust=1371805715233405

Màster en Dret de la Societat de la Informació - ICAB – Carlos Soto 2012

Carlos Soto Pino • 20 años de experiencia en empresas de consultoría (nacional e

internacional).

o Gestión de procesos de negocio.

o Gestión del riesgo operacional y del cumplimiento normativo.

• Licenciado en Ciencias Económicas y Empresariales.

• Profesor Curso de Protección de Datos en UB.

• Profesor Master Gestión de los Sistemas de Información en la UPC.

www.tallerdeprocesos.com

http://es.linkedin.com/in/csotop


“Su tarjeta de crédito es correcta.

Solo me queda validar que su banco no

haya expirado”


Cosas que pasan ....


The big picture: Balancing Performance & Risk

Control interno:

Gobierno, políticas,

cumplimiento,

controles, auditoría,

etc. …

Estrategia: Visión,

factores críticos de

éxito, objetivos,

indicadores, etc.

Riesgo

Rendimiento Control

Riesgo: operacional:

Riesgos, impactos,

pérdidas, salvaguardas,

etc.

Procesos: Tiempo,

costes, calidad, coste,

satisfacción del cliente,

etc.

Visión

Objetivos


Satisfacción de los Clientes Riesgos

Tiempo

Calidad

Costes

Confiabilidad

Cantidad

Aumentar Rendimiento

Controlar los Riesgos

Gestión de

riesgo y

cumplimiento

Gestión de

procesos

de negocio

Rendimiento y cumplimiento


Riesgo operacional

Riesgo operacional es aquel que puede provocar pérdidas como

consecuencia de procesos internos, recursos humanos o

sistemas inadecuados o defectuosos, o por causas externas.

• La característica principal del riesgo operacional es que está

asociado a los procesos.

• Puede producir impactos de diversa índole que no solo

pueden afectar a la cuenta de resultados (pérdidas, pago de

sanciones, etc.) sino también a la reputación del negocio.

• Puede ser de origen interno o externo.


Causas del riesgo operacional

Causa Evento Consecuencia

Tipologías:

• Riesgo operacional intrínseco

• Recursos Humanos, volumen de transacciones,

procesos manuales, tecnología, desastres, etc.

• Riesgo residual

• Seguridad física, seguridad lógica, segregación

funcional, adecuación de aplicativos, contratos,

cumplimiento normativo, etc.


Gestión del riesgo

Conjunto de procesos a través de los cuales se identifican,

analizan y en su caso se responde adecuadamente a los riesgos

que pudieran afectar la realización de los objetivos de negocio de

la organización.

Se ha de tener en cuenta que las organizaciones administran de

forma rutinaria una amplia gama de riesgos, tanto internos (por

ejemplo, los riesgos tecnológicos, riesgos comerciales /

financieros, información de riesgos de seguridad, etc), como

externos (cumplimiento legal y regulatorio, etc.).

Estos últimos son, posiblemente, la cuestión clave de la gestión

de los riesgos.


Cumplimiento

El cumplimiento conforme a los requisitos establecidos (por

ejemplo, en las leyes, reglamentos, contratos, estrategias y

políticas).

A nivel organizativo, se logra a través de los procesos de gestión

que permitan identificar los requisitos aplicables, evaluar el

estado de cumplimiento, evaluar los riesgos y los costos

potenciales de incumplimiento en contra de los gastos

proyectados para lograr el cumplimiento, y por lo tanto, priorizar,

financiar y poner en marcha cualquier medida correctiva que se

considere necesarias.


Mitigación del riesgo operacional

Identificación

Información

Mitigación

CuantificaciónSeguimiento

La gestión del riesgo operacional se basa en un ciclo de gestión

que consta de cuatro fases:


Identificación

Información

Mitigación


Identificamos el riesgo operacional al que estamos expuestos,

utilizando para ello tanto técnicas cualitativas como cuantitativas.



Identificación

Información

Mitigación


Asignamos el grado de importancia a cada factor de riesgo.

Si conocemos el valor real de la pérdida, se refleja. Si no se

conoce, estimamos impacto y frecuencia anuales.



Identificación

Información

Mitigación


Una vez conocida la importancia de cada factor de riesgo

operacional procedemos a la mitigación de aquellos que son

relevantes.

Se analizan la diversas opciones posibles en función del

coste/beneficio de su aplicación.



Identificación

Información

Mitigación


Monitorizamos la evolución del riesgo a lo largo del tiempo.

El seguimiento es imprescindible para comprobar el

funcionamiento de las salvaguardas que mitigan el riesgo.



Tools & Approach to Reach Internal Control Goals

Principales objetivos:

1. Rendimiento: El negocio funciona con eficiencia y eficacia.

2. Información: Confiabilidad, integridad y oportunidad de la

información financiera y de gestión.

3. Cumplimiento: Leyes, regulaciones y políticas.

Identificar

riesgos

Analizar

y evaluar

Definir

medidas

Mitigar

problemas

Monitorizar

riesgos

Report

estatus y

resultados

Enfoque


Es un proceso que involucra a todos los integrantes de la

organización sin excepción, diseñado para dar un grado

razonable de apoyo en cuanto a la obtención de los objetivos en

las siguientes categorías:

• Eficacia y eficiencia de las operaciones.

• Disminución del riesgo.

• Fiabilidad de la información financiera.

• Cumplimiento de las leyes y normas que son aplicables.

Estas categorías se interrelacionan entre sí.

Definición de control interno


Regular la elaboración, aprobación,

implantación, funcionamiento,

perfeccionamiento y evaluación del control de la

organización, …

…. con el propósito de cautelar y fortalecer los

sistemas administrativos y operativos ...

… con acciones y actividades de control previo,

simultáneo y posterior, contra los actos y

prácticas indebidas o de corrupción.

Objeto del control interno


Acciones, actividades, planes, políticas, normas, registros,

organización, procedimientos y métodos, incluyendo la actitud de

las autoridades y el personal, organizados e instituidos en cada

entidad, para la consecución de los objetivos siguientes:

Sistema de control interno


Framework: COSO


• Objetivos:

• Eficacia y eficiencia de la operación.

• Confiabilidad de la información financiera.

• Cumplimiento con leyes, normas y regulaciones.

• Componentes.

• Enfoque: A nivel de unidad y de actividad.

Matriz de COSO


Filosofía de la gestión de riesgos – Cultura – Dirección –

Integridad y valores éticos – Compromiso de competencia –

Estructura organizativa – Recursos humanos

Metodología de aplicación

Ambiente

Interno

Objetivos estratégicos – Objetivos relacionados – Objetivos

seleccionados – Riesgo aceptado – Tolerancia al riesgo

Establecimiento

de Objetivos

Eventos – Factores de influencia de objetivos – Metodologías y

técnicas – Eventos interdependientes – Categorías de eventos –

Riesgos y oportunidades

Identificación

de eventos

Riesgo inherente y residual – Probabilidad e impacto – Fuentes

de datos – Técnicas de evaluación – Correlación entre eventos

Evaluación de

riesgos


Evaluación de respuestas y salvaguardas – Selección de

respuestas – Perspectiva de cartera


Respuesta a los

riesgos

Integración de la respuesta al riesgo – Tipos de actividades de

control – Políticas y procedimientos – Controles de los

sistemas de información – Controles de la entidad

Actividades de

control

Información - Comunicación Información y

comunicación

Actividades permanentes de supervisión – Evaluaciones

independientes – Comunicación de deficiencias Supervisión



Riesgo aceptado



Mapa de riesgo



Respuesta a los riesgos

Evitar

Compartir Aceptar

Reducir

High

Low Impàcto

Frecuencia

High


Monitoring



Reflexión

Carlos Soto

http://www.tallerdeprocesos.com

http://es.linkedin.com/in/csotop

http://es.linkedin.com/home?trk=ppro_pbli

master icab - curso de riesgo operacional - resumen

Business