4. ¿ Qué es Riesgo Operativo?
Riesgo Operativo (Circular Externa 041 Capitulo XXIII Superintendencia Financiera de Colombia)
Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el
recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de
acontecimientos externos. Ésta definición incluye el riesgo legal y reputacional,
asociados a tales factores
Riesgo Legal
Posibilidad de pérdida para una entidad al ser sancionada
debido al incumplimiento de normas y/o fallas en contratos y
transacciones, derivadas de actuaciones malintencionadas,
negligencia o actos involuntarios.
Riesgo Reputacional
Posibilidad de pérdida en que incurre una entidad por desprestigio,
mala imagen, publicidad negativa, cierta o no, respecto de la
institución y sus prácticas de negocios.
5. Factores de Riesgo Operativo
Los Factores de Riesgo son las fuentes generadoras de eventos en las que se originan las
pérdidas por riesgo operativo:
• Personas vinculadas
directa o indirectamente
con la ejecución de los
procesos de la entidad.
Recurso
Humano
• Actividades para la
transformación de
elementos de entrada en
productos o servicios, que
satisfacen una necesidad
Procesos
• Elementos de apoyo para el
funcionamiento de una
organización. Entre otros se
incluyen: edificios, espacios
de trabajo, almacenamiento
y transporte
Infraestructura
• Herramientas empleadas
para soportar los procesos
de la entidad. Incluye:
hardware, software y
telecomunicaciones.
Tecnología
• Eventos asociados a la
fuerza de la naturaleza u
ocasionados por terceros,
que escapan en cuanto a
su causa y origen al
control de la entidad
Externos
7. Factores de Riesgo Operativo
INTERNOS
Actos que de forma intencionada buscan defraudar o
apropiarse indebidamente de activos de la entidad o
incumplir normas o leyes, en los que está implicado, al
menos, un empleado o administrador de la entidad.
EXTERNOS
Actos, realizados por una persona externa a la entidad, que
buscan defraudar, apropiarse indebidamente de activos de
la misma o incumplir normas o leyes.
Los Factores se clasifican en Internos o Externos
8. Clasificación de los eventos de
Riesgo Operativo
Hackers Apuntan otra vez a
Clientes de Bancolombia y
Banco Santander.
«Envían Spam con Réplicas
Perfectas de sus Páginas
Web.»
Fuente: http://informatica-aplicada-
luises.blogspot.com.co
Hay conductas inadecuadas:
«Jorge Castaño, superfinanciero,
reveló que existen algunos
corredores de bolsa que aún
realizan operaciones sin permiso
de sus clientes. Pidió mayor
compromiso a las comisionistas
para que la confianza retorne.»
Fuente: El Espectador
Fraude Externo ClientesFraude Interno
Actos que de forma
intencionada buscan
defraudar o apropiarse
indebidamente de activos
de la entidad en los que
está implicado, al menos,
un empleado
El escándalo de corrupción
en la DIAN:
«Jazmín Becerra Segura, una
ex funcionaria que trabajó 10
años en la DIAN y que
conocía el funcionamiento de
los recobros, era la cabeza de
la red delictiva”. »
Fuente: Eltiempo.com
Actos, realizados por una
persona externa a la entidad,
que buscan defraudar,
apropiarse indebidamente de
activos de la misma o
incumplir normas o leyes.
Relaciones Laborales
Actos que son incompatibles con
la legislación laboral, con los
acuerdos internos de trabajo y,
en general, la legislación vigente
sobre la materia
Ecopetrol no pagará millonaria
indemnización:
«Más de 500 trabajadores
demandaron a la petrolera por
diferencias salariales y pago de
dotaciones.»
Fuente: Eltiempo.com
Fallas negligentes o
involuntarias de las obligaciones
frente a los clientes y que
impiden satisfacer una
obligación profesional frente a
éstos
9. Clasificación de los eventos de
Riesgo Operativo
Los problemas en los Galaxy Note 7 se debieron a
las prisas por adelantar al iPhone 7 según
Bloomberg
Samsung presionó a los proveedores y apretó en los
plazos de entrega a pesar de que estos dispositivos
de la firma contaban con novedades importantes. La
inclusión de una batería mucho mayor -3.500 mAh
frente a los 3.000 del modelo del año pasado- a pesar
de ser solo ligeramente mayor en tamaño provocó
esos problemas de sobrecalentamiento y explosiones.
Bloomberg 19/09/2016
Ejecución y Gestión de procesosDaños a Activos Físicos
Pérdidas derivadas de daños o
perjuicios a activos físicos de la
entidad.
Dos explosiones sacuden Bogotá y
dejan ocho heridos:
«Los hechos se presentaron en la calle 72
con carrera 10 y en el sector de Puente
Aranda. Otro paquete fue desactivado en
Chapinero.»
Fuente: Revista Semana
Fallas tecnológicas
Pérdidas derivadas de incidentes por
fallas tecnológicas.
Tecnología golpea el servicio de
banca
«Las fallas tecnológicas presentadas en
Bancolombia desde hace varios días
son un tema que también inquieta a los
usuarios de otras instituciones
crediticias, pues las caídas en las redes
tecnológicas son una constante en el
sistema financiero»
Fuente: Eltiempo.com
Pérdidas derivadas de errores en la ejecución y
administración de los procesos.
10. Importancia de la gestión del Riesgo
Contribuye al cumplimiento de
los objetivos estratégicos de la
entidad
Identifica los riesgos
potenciales a los que se
enfrenta la entidad
Consolida una cultura de
prevención y detección de
riesgos
Complementa el sistema de
Gestión de Calidad
Monitorea el desempeño de
los procesos de la entidad
Define los tipos de pérdidas a
los que se ve enfrentado la
entidad
Complementa el sistema de
Prevención del Fraude y la
Corrupción
11. RIESGO INHERENTE
Nivel de riesgo propio de la
actividad, sin tener en cuenta
el efecto de los controles
Riesgo inherente Controles Riesgo residual Planes de acción Riesgo tratado
RIESGO RESIDUAL
Nivel resultante del riesgo
después de aplicar los
controles
RIESGO TRATADO
Nivel resultante del riesgo
después de aplicar los
planes de acción
Tipos de Riesgo Operativo
13. Etapas del Riesgo Operativo
Identificación
•Etapa en la cual se identifican los riesgos operativos a que se ve expuesta la Fiduciaria,
teniendo en cuenta los factores asociados.
Medición
•En ésta etapa se debe medir la probabilidad de ocurrencia de un evento de riesgo
operativo y su impacto en caso de materializarse.
Control
•Etapa en la cual se toman medidas para controlar el riesgo inherente (o residual) con el
fin de disminuir la probabilidad de ocurrencia y/o el impacto en caso de que dicho riesgo
se materialice.
Monitoreo
•Desarrollo de procesos de seguimiento efectivo, facilitando la rápida detección y
corrección de los incidentes. En ésta etapa también se eestablecen indicadores
descriptivos y/o prospectivos.
14. Identificación y medición
Medición
de riesgo
operativo
Indicadores de
riesgo
Juicio de
expertos
Eventos de
pérdida
internos
Una adecuada identificación y
medición de riesgo operativo
se realiza con el apoyo de los
gestores de riesgo y los
miembros de cada área.
Fuentes de información:
Eventos de
pérdida
externos
15. Controles
Los Controles son actividades y políticas inmersas en los procedimientos que evitan que se
materialicen eventos de Riesgo Operativo
Tipologías de los
controles
Preventivos
El objetivo del control se consigue antes de que ocurra el evento de riesgo. Actuan sobre
la causa del riesgo con el fin de disminuir la probabiidad de ocurrencia.
Ej: Un software de seguridad que impida accesos no autorizados al sistema.
Detectivos
El objetivo del control se consigue cuando se descubre un evento de riesgo, es decir
alertan sobre desviaciones o fallas en los controles preventivos y permiten tomar
acciones inmediatas; son usados para supervisar la ejecución del proceso.
Ej: Conciliaciones bancarias.
Correctivos
Son aquellos que se utilizan cuando ha ocurrido el evento y permiten tomar acciones
para minimizar las posibles pérdidas y acercarse al cumplimiento del objetivo de la
actividad involucrada.
Ej: Recuperación de un archivo dañado a partir de las copias de seguridad.
17. Apetito de Riesgo
Apetito al riesgo: es una
ponderación de cuánto riesgo la
administración y la Junta están
dispuestos a aceptar en el logro de
sus metas.
Características principales:
1. La gerencia y la Junta deben formular el
apetito al riesgo a nivel de entidad.
2. El apetito se puede definir mediante el
uso de un mapa de riesgos.
3. Las compañías pueden expresar su
apetito al riesgo como el equilibrio
aceptable del crecimiento, los riesgos y
el retorno, o como una medida de valor
agregado para los accionistas ajustada
al riesgo.
Tomado de http://www.portafolio.co/opinion/blogs/buenas-practicas-auditoria-y-control-
interno-las-organizaciones/diferencia-apetito-rie
18. Tolerancia al Riesgo: Es el nivel
aceptable de variación en relación a la
concesión de un objetivo.
Tomado de http://www.portafolio.co/opinion/blogs/buenas-practicas-auditoria-y-control-
interno-las-organizaciones/diferencia-apetito-rie
Características principales:
1. La tolerancia al riesgo es medible,
preferiblemente en las mismas unidades
de los objetivos relacionados.
2. Al establecer la tolerancia al riesgo la
gerencia considera la importancia
relativa de los objetivos relacionados.
3. La tolerancia al riesgo se alinea con el
apetito al riesgo.
Tolerancia al Riesgo
19. Representante
Legal
Velar por el
cumplimiento
de las
políticas.
Desarrollar la
implementación
de estrategias
que impulsen
cambios en la
cultura del
SARO.
Velar por la
correcta
aplicaciónde
los controles
del riesgo
inherente
Velar por el
cumplimiento
de las etapas
del SARO.
Establecer un
procedimiento
y velar por el
registro de
eventos de
riesgo.
Junta
Directiva
Hacer
seguimientoy
pronunciarse
sobre el perfil
de riesgo
Establecer
medidas
relativas al perfil
teniendo en
cuenta el nivel
de tolerancia al
riesgo.
Pronunciarse
respecto a
informes y
evaluaciones
periódicasde
SARO.
Proveer los
recursos
necesarios
para
implementar y
funcionamiento
el SARO.
Responsabilidades de la Alta Dirección
20. Responsabilidades de la Gerencia de
Riesgos
Definir los instrumentos, metodologías y procedimientos tendientes a que la
entidad administre efectivamente sus riesgos operativos.
Diseñar y desarrollar los modelos de medición del riesgo operativo, así como
los programas de capacitación relacionados con el SARO
Realizar el seguimiento permanente de los procedimientos y planes de
acción relacionados con el SARO.
Establecer y monitorear el perfil de riesgo de la entidad e informarlo al órgano
correspondiente.
Evaluar la efectividad de las medidas de control potenciales y ejecutadas
para los riesgos operativos medidos.
Administrar el registro de eventos de riesgo operativo y coordinar la
recolección de la información para alimentar dicho registro.
Desarrollar e implementar el sistema de reportes, internos y externos, del
riesgo operativo de la entidad.
21. Eventos de Riesgo Operativo
Evento: Es un Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo
determinado.
Evento de perdida: Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades.
Evento de riesgo operativo: Es un incidente o situación que ocurre en un lugar particular durante un
intervalo de tiempo que genera pérdidas por riesgo operativo a las entidades.
¿Qué tipo de
pérdidas?
(Impacto)
Evidenciadas en los
Estados financieros:
Pérdidas
económicas
No evidenciadas en
los Estados
financieros:
Reputacionales
Ingresos no
percibidos
Pérdidas de
oportunidades
comerciales
22. Características Eventos de Riesgo
Ocurren por una causa atribuible al recurso humano, los procesos, la tecnología, la infraestructura o por
acontecimientos externos.
Pueden generarse por debilidades en el proceso (actividades o controles) o porque hay un control débil o
inexistente.
Afectan algún proceso y/o servicio de la Fiduciaria.
Siempre tienen relacionada una medida correctiva y/o una oportunidad de mejora en el proceso.
Tiene relacionado un impacto cualitativo o cuantitativo que puede afectar o no los estados financieros de la
Fiduciaria o alguno de sus patrimonios autónomos.
23. Importancia del registro de eventos
Contribuye a la generación de planes de acción enfocados a evitar o disminuir pérdidas.
Permite detectar debilidades en las actividades y controles de los procesos para encontrar
oportunidades de mejora.
Constituye una fuente de información para la creación de un perfil de riesgo objetivo y real para la
Fiduciaria en cuanto a impacto y probabilidad de ocurrencia.
Contribuye al cumplimiento de la normatividad establecida por la SFC con relación a las reglas
relativas a la administración del riesgo operativo (Cap. XXIII/CE 041/2007 SFC).
24. Clasificación eventos de riesgo
Tipo A: Generan
pérdidas y afectan
los estados de
resultados
Tipo B: Generan
pérdidas y no afectan
los estados de
resultados
Tipo C: No generan
pérdidas y no afectan
los estados de
resultados
Así el evento tenga
altas posibilidades de
afectarlo o se sepa que
lo va a hacer en el
futuro.
Ej. Los costos que asume
la entidad para recuperar
la información que se
perdió por un virus.
Ej. Re-procesos: De alta
frecuencia y bajo impacto,
inherentes a la actividad
del negocio, cuyos costos
pueden ser absorbidos por
la actividad del negocio.
Ingresos no percibidos
Pérdida de eficiencia
Pérdida reputacional
Las pérdidas se evitan por elementos ajenos
al control.
Si el control no funcionó y la pérdida se evita
por razones ajenas al procedimiento normal.
25. Ejemplos de eventos
Tipo A yB
Cuando un evento
ocurrido genere pérdida
económica, les
solicitamos registrarlo
antes de solicitar su
causación contable.
Ejemplo Eventos tipo A:
✓ Un cliente A realizó un giro a la cuenta del cliente B por un monto
de $200.000.000. Sin embargo, el dinero fue consignado en la
cuenta de un tercer cliente C. En el momento en el que el cliente
A presentó el reclamo al banco, se encontró que el error se
presentó debido a una falla humana o tecnológica, por lo cual el
banco registró el evento tipo A en la categoría correspondiente.
Además, se determinó compensar al cliente A por los
$200.000.000 Y la cuantía de la pérdida relacionada a este
evento corresponde a $200 más los gastos generados
por la corrección del error.
Ejemplos Eventos tipo B:
✓ Transmisión extemporánea o retransmisiones de información
requerida por la Superintendencia Financiera.
✓ Falla en el aplicativo Core de la Fiduciaria o de alguno de sus
patrimonios autónomos que ocasionó que se acudiera al centro
alterno dispuesto.
26. Eventos tipo C
¿Cuando los eventos son tipo C?
Si a través del control que tiene cada procedimiento se detecta un error o falla, no se considera que hubo un evento de
riesgo operacional porque los controles son inherentes al procedimiento, pero si el control no funcionó y la pérdida se evita
por razones ajenas al procedimiento normal (p.ej. el azar, la benevolencia o descuido de quien pueda ejercer sus derechos
contra la entidad).
Cuando los eventos de riesgo operacional se relacionan con terceros, así éstos asuman las pérdidas y no se afecte el estado
de resultados de la Fiduciaria.
Cuando la entidad por error paga menos (o cobra más) de lo pactado y rectifica el error, si no hubo fallas en lo que la
entidad acordó, el pago del monto faltante (o la devolución del dinero extra cobrado) no constituyen una pérdida de riesgo
operacional. En este tipo de casos, si la entidad hubiese podido ser sancionada, demandada u otra acción que implicase
pérdidas para la entidad, pero que no se dieron.
Ejemplo:
La entidad acuerda pagar a un cliente un CDT al 10% E.A., pero por error sólo le pagan el 8%. El cliente
hace el reclamo y demuestra que efectivamente le deben pagar 2% adicional. Si la entidad paga el monto
reembolsable sin incurrir en pérdidas por demandas, sanciones u otras razones que pudieron haberse
ejecutado, el monto reembolsable no se considerará como una pérdida porque la entidad realmente se
comprometió a pagar dicha tasa. Este tipo de casos se consideran como eventos con efectos tipo C.
27. Eventos de Riesgo operativo a partir de
las fuentes de información
Fuentes de información de
Eventos
Quejas y reclamos a favor
del consumidor financiero.
Eventos externos
Incidentes de tecnología.
Servicios no conformes y no
conformidades.
Eventos de fraude interno y
externo.
Ej. Inoportunidad en remisión de
soportes para el pago de facturas
por parte del área Administrativa al
área de Tesorería.
Ej. Hackeo de página Web para
ingreso a las bases de datos de la
Fiduciaria.
Ej. Fallas en los aplicativos que impiden la
generación de formatos de transmisión a la
SFC.
Ej. Cobro de gravámenes financieros a
entidades que se encuentran exentas de
este cobro.
Fallas en el canal de transmisión de
formatos a la SFC.
Ej. Queja remitida por cliente con relación
a inoportunidad en gestión de solicitud de
adiciones a encargos Fiduciarios,
generando rentabilidades dejadas de
percibir.
Hallazgos evidenciados por los
entes de control internos y
externos.
Ej. Se encuentran facturas pendientes
por cancelar de un Negocio Fiduciario
ya liquidado y no se observa lista de
chequeo de verificación previa a la
liquidación del mismo incumpliendo lo
descrito en el diagrama de flujo del
proceso.
28. Reporte de Eventos de Riesgo Operativo
A través de formularios o aplicativos
Todos los colaboradores de la fiduciaria y sus patrimonios
autónomos con el apoyo de los Gestores de riesgo.
Los Gestores de riesgo, teniendo en cuenta los recursos
de tiempo y costo.
La Gerencia de Riesgos para ser presentada en los
Comités de Riesgo y Junta Directiva.
¿Mecanismos para reportar?
¿Quién debe reportar?
¿Quién gestiona los planes de
acción?
¿Quién administra la base de datos
de eventos de riesgo operativo?
29. Eventos de Riesgo Operativo
¿Qué hace la Gerencia de Riesgos con los Eventos de Riesgo Operativo?
Construye, administra y
analiza una base de datos
con los eventos,
siempre
disponible
debe
para
la cual
estar
consulta
interna y externa.
Analiza los eventos para
construir indicadores que
permitan evidenciar
frecuencias e impactos.
Propone con el apoyo del
gestor de riesgo planes de
acción.
Toma la información como
insumo para el monitoreo de
las matrices de riesgo de los
procesos de la Fiduciaria.
Lo invitamos a consultar
las políticas para el
registro de eventos de
riesgo operativo en el
manual SARO de
Fiducoldex.
30. Prevención del Fraude y la corrupción
A quienes les aplica ?
Funcionarios, personal temporal, practicantes, aprendices,
funcionarios o empleados de los patrimonios autónomos y/o
encargos fiduciarios, accionistas, consultores, proveedores,
contratistas, incluyendo asesores legales y consultores, así
como a cualquier otra entidad, nacional o del exterior, que
tenga alguna relación comercial y/o contractual.
31. Oportunidad Racionalidad
Presión Interna: Ambición,
dificultades financieras,
mantener un estilo de vida
Presión Externa: Amenazas
o incentivos
Presión
Principios éticos
Asumir que está bien
Justificación
Ausencia o debilidad
de controles
Poca transparencia
Desorganización
Triangulo del Fraude