Capacitacion 2022 RO CN 1.0

RIESGO OPERATIVO
y
CONTINUIDAD DEL NEGOCIo
Diversidad e inclusión
Agenda
1. Introducción
2. Gestores de Riesgo
3. Riesgo Operativo
4. Continuidad del Negocio

GESTORES DE RIESGO
OPERATIVO
La gestión de riesgos se fortalece cuando
se realiza en coordinación con las
diversas áreas del Banco, quienes a su
vez identifican a un responsable para que
coordine las actividades de Riesgo
Operacional en sus respectivas unidades,
estos son los Gestores de Riesgo
Operativo.
ÁREAS:
NEGOCIOS RIESGOS
OPERATIVAS
Reportar las alertas de riesgo con el propósito
de identificar los eventos potenciales con
anticipación.
Identificación, evaluación, seguimiento y

control de los riesgos operacionales, de los
procesos en los que sus actividades estén
involucradas.
Apoyar a sus áreas en las demás funciones de

administración de riesgo operacional
Informar ante la materialización de un Riesgo
Operativo para registrar la siguiente información
en el Sistema:
i. Los riesgos y eventos de su área en cuanto
éstos sean conocidos;
ii. La afectación a la continuidad y/o resultado del
proceso que conlleven los eventos;
iii. El control asociado para su tratamiento;

iv. Los planes de acción que se implementarán,
v. La pérdida monetaria derivada de la
materialización del evento, así como las acciones
que conlleve la ejecución de los planes de acción.
En el caso de comunicación, el Gestor de Riesgo
Operativo, deberá apoyar a RO, así como a su
División en la implementación y mantenimiento de
una cultura de Administración de Riesgo
Operativo, detectando, registrando y notificando
riesgos y eventos, reconociendo la necesidad de
una mejora continua.
Deberá mantenerse actualizado mediante los

programas de capacitación y actualización, así
como apoyar en los talleres de trabajo para el
levantamiento e identificación de los eventos de
riesgo de su División.
RIESGO OPERATIVO
Historia
La crisis bancaria del Ecuador en 1999 y la dolarización en el año 2000, lleva al
país a tomar medidas en las que se pueda establecer una política de gestión de
riesgos, que permita mantener adecuadamente procesos de manejo, supervisión
y control de las operaciones que realizan las entidades financieras con el público
y demás instituciones, al mismo tiempo velar por los intereses de sus clientes así
como de las mismas instituciones financieras.
Tradicionalmente la Gestión de Riesgos se ha concentrado en analizar y evaluar

las pérdidas que una Institución Financiera puede enfrentar como consecuencia
del riesgo de crédito, dejando a un lado elementos relevantes como es el
caso de los factores de riesgo operacional.
En el año 2002, la Superintendencia de Bancos obliga a que todas las
instituciones reguladas mantengan un área de Administración de Riesgos
Integrales
En el año 2005, mediante Resolución Bancaria JB-2005-834 se pone en

vigencia la implementación y administración adecuada de la gestión de Riesgo
Operativo en todas las instituciones financieras del país.
Al día de hoy la Gestión y Administración de Riesgos se determina en:

• Riesgo de Crédito
• Riesgo de Mercado
• Riesgo de Liquidez
• Riesgo Operativo
• Riesgo de Lavado de Activos y financiamiento de delitos (ARLAFDT)
RIESGO
El riesgo se define como la combinación de la probabilidad de

que se produzca un evento y sus consecuencias negativas.
RIESGO INHERENTE
Es aquel que puede existir de manera intrínseca en toda

actividad.
RIESGO RESIDUAL
El riesgo residual es el riesgo que permanece después de

incluir los controles.
QUÉ ES RIESGO OPERATIVO?
El riesgo operativo se entenderá como la posibilidad de que se ocasionen

pérdidas por eventos derivados de fallas o insuficiencias en los factores de:
procesos, personas, tecnología de la información y por eventos externos.
Incluye el Riesgo Legal pero excluye los riesgos: sistémicos, estratégico y de

reputación
FACTOR DE RIESGO OPERATIVO:
Es la causa primaria o el origen de un evento de riesgo operativo.

Los factores son:
EVENTO DE RIESGO OPERATIVO:
Es el hecho que deriva en pérdidas para las entidades financieras,

originado por fallas o insuficiencias en los factores de riesgo
operativo.
Amenaza.- Condiciones o acciones, usualmente externas, que pueden
tener consecuencias negativas.
Vulnerabilidad.- Condiciones internas o debilidades que pueden permitir

que las amenazas se materialicen.
TIPOS DE EVENTOS DE RIESGO:
1. Fraude interno
El robo, los sobornos o el incumplimiento de las políticas por parte
de empleados directos o terceros vinculados contractualmente con
la institución son riesgos producidos por fraudes internos.
2. Fraude externo
Este tipo de riesgo se origina por la actuación de personas externas
a la entidad. Pueden presentarse a través de robos, falsificaciones o
ataques informáticos.
3. Fallas tecnológicas
Si la institución se expone a fallos en los sistemas de cómputo, en el
hardware o en el software, debe identificar los riesgos que estos
eventos generan.
TIPOS DE EVENTOS DE RIESGO:
4. Ejecución y gestión de procesos

Los errores en la gestión de procesos también implican un
riesgo para la institución.
5. Relaciones laborales y seguridad en el puesto de trabajo

Toda actuación que infrinja la legislación laboral y la seguridad
en el trabajo puede generar un riesgo (daños personales,
discriminación laboral).
6. Daños a activos materiales

Circunstancias fortuitas como incendios, terremotos, actos
terroristas, entre otros, pueden poner en riesgo los activos
físicos.
7. Clientes, productos y prácticas empresariales

Perjuicios a los clientes e información engañosa sobre los
productos.
OBJETIVOS DEL SISTEMA DE
• Detectar los riesgos (actuales y

potenciales) para tomar decisiones acerca
de los que no desea mantener y desea
reducir.
• Contribuir en la mejorar continua de los

procesos y sistemas de control para
minimizar los riesgos en los que se puede
incurrir.
ETAPAS DEL RIESGO OPERATIVO
IDENTIFICACIÓN
Permite detallar el evento de riesgo a nivel de actividades, con
la información relevante para su tratamiento:
 Mapa de Procesos aprobado por el Directorio

 Proceso
 Subproceso
 Evento
 División Responsable
 Persona Responsable del Proceso
 Fecha de Reporte
 Fecha de Ocurrencia
 Fecha de Actualización
 Factor de Riesgo
 Tipo de Riesgo Tabla de Categorías de Eventos
MEDICIÓN:
Permite cuantificar el impacto y la

frecuencia o probabilidad del evento. Se
considera en función a:
 Impacto, determinando en monto

financiero
 Probabilidad, rangos establecidos
 Nivel de Riesgo, de acuerdo a la matriz

de Probabilidad e Impacto
Alto
Medio
Bajo
CONTROL:
Cada evento identificado debe generar la incorporación de un

control con el fin de que la administración pueda Evitar,
Reducir, Transferir o Aceptar los riesgos.
Los aspectos a considerar en esta fase son:
 Descripción del control

 Periodicidad del control: Permanente, Periódico, Ocasional
 Oportunidad de Control: Preventivo, Correctivo, Detectivo
 Tipo de Control: Manual, Automático
 Estatus del Control: Implementado (sí/no); en caso de no
estarlo, se generará un plan de acción por parte de los
responsables de División y Área
 Responsable del control o del plan de acción
MONITOREO Y REPORTE
El monitoreo es una actividad que se la lleva a cabo a

través verificaciones, revisiones, retroalimentaciones, u
otros mecanismos en los que se evalúe la correcta
aplicación de controles o determinación de riesgos.
La información requerida en esta fase, contiene:
 Observaciones relevantes de los eventos, controles, su

aplicación y registro.
 Fecha de Revisión
 Responsable del Monitoreo
 Resultado del Monitoreo
Ejercicio RO
EVENTOS
1. Fraude interno 5. Relaciones laborales y seguridad en el

puesto de trabajo
2. Fraude externo
6. Daños a activos materiales
3. Fallas tecnológicas
7. Clientes, productos y prácticas
4. Ejecución y gestión de procesos empresariales
CONTINUIDAD DEL
NEGOCIO
QUÉ ES … ?
La capacidad de una empresa para gestionar y mitigar el impacto

generado por eventos disruptivos que pueden causar interrupciones
comerciales (eje. ciberataques, pandemias globales, desastres
naturales).
Según la Norma de Rop de la SIB, la Administración de la continuidad del

negocio es un proceso permanente que garantiza la continuidad de las
operaciones de las entidades controladas, a través del mantenimiento
efectivo de un sistema de gestión de continuidad del negocio.
CONCEPTOS BÁSICOS
BIA (Análisis de Impacto del Negocio)

Proceso por el cual se identifican actividades y recursos críticos que pueden causar
un impacto negativo a la organización en caso de interrupción.
RTO (Tiempo de recuperación objetivo)

Es el período de tiempo transcurrido después de un incidente, para reanudar una
actividad o recuperar los recursos antes de que se genere un impacto negativo.
ROP (Punto de recuperación objetivo)

Es la cantidad máxima aceptable de pérdida de los datos medidos en el tiempo.
Plan de Continuidad
Es el conjunto de procedimientos que orientan a las entidades a mantener su
operatividad en el caso de que ocurran interrupciones que afecten sus servicios.
CUÁL ES EL PROCESO …?
Y LA MADUREZ DEL PROCESO …?
ANÁLISIS DE RIESGOS
Nos permite identificar las amenazas que pueden generar una interrupción
al negocio con su respectivo impacto y que tan vulnerables somos a ellas.
El proceso de análisis de riesgos deberá:
Identificar las amenazas a las que estamos expuestos (eje. pérdida de

|
edificio, ciberataque).
Identificar los riesgos para las actividades priorizadas de la organización y
|
sus recursos requeridos.
Analizar y evaluar el riesgo identificado, alineado a la metodología de
|
Riesgo Operativo.
| Determinar los riesgos que requieren tratamiento.
ANÁLISIS DE IMPACTO DEL NEGOCIO
Permite a una organización identificar sus requisitos y prioridades de

continuidad de negocio. El proceso para realizar un análisis de impacto de
negocio deberá:
Definir los tipos de impacto y los criterios relevantes para el contexto de la

|
organización.
Identificar y priorizar las actividades clave y los productos y servicios
|
necesarios para lograrlas.
Identificar el momento en el que la no reanudación de estas actividades
|
tendría un impacto perjudicial en la organización
Identificar el momento en que la reanudación de estas actividades se
|
reanudará a un nivel aceptable (RTO).
| Identificar los recursos para apoyar las actividades priorizadas.
Determinar las dependencias internas y externas necesarias para respaldar
|
las actividades prioritarias.
ESTRATEGIA DE CONTINUIDAD DEL NEGOCIO
La selección de la estrategia de continuidad de negocio se basará en lo

siguiente:
La capacidad de cumplir con los requisitos para continuar y recuperar

| actividades priorizadas en una capacidad predeterminada y en un plazo
acordado.
| Reducir la probabilidad y el período de interrupción.
Los recursos necesarios (personal, información y datos, infraestructura e
| instalaciones de soporte, Equipamiento y bienes, Sistemas de TI y
telecomunicaciones, Transporte y logística, Finanzas, proveedores.
| La tolerancia del riesgo de la organización.
| Costos y beneficios.
PLAN DE CONTINUIDAD DEL NEGOCIO
Se deben desarrollar y mantener planes y procedimientos documentados

que permitan responder a un incidente de interrupción y recuperar la
operación normal. El Plan de Continuidad deberá:
| Dar el propósito, alcance y objetivos.

| Los roles y responsabilidades del equipo que implementará el plan.
| Identificar acciones para implementar las soluciones.
Contener la información necesaria para activar, operar, coordinar y
|
comunicar las acciones del equipo.
| Identificar las dependencias internas y externas necesarias.
| Identificar los recursos necesarios.
| Incluir requisitos de informes.
| Un proceso de retirada o vuelta a la normalidad.
EJECUCIÓN DE PRUEBAS
Para saber si el plan que se ha creado es el adecuado, se necesita realizar

pruebas, especialmente aquellos que tienen un alto impacto en su negocio.
El objetivo de las pruebas debe ser:
| Verificar que su plan de continuidad de negocio es el apropiado.

| Evaluar el desempeño del personal en este tipo de situación.
| Evaluar la coordinación entre los equipos de trabajo y terceros.
Contener la información necesaria para activar, operar, coordinar y
|
comunicar las acciones del equipo.
Determinar el desempeño y capacidad de los sitios de respaldo en una
|
simulación del evento.
RESUMEN
BANCO SOLIDARIO (BCM)….
Transaccionalidad Procesos /
Canales Subprocesos de
Electrónicos Dependencia
BIAs •10
Subprocesos •2
•8 Procesos /
Subprocesos •18 Procesos
Subprocesos /
Aspectos Subprocesos
Transaccionalidad
Regulatorios o
Canales Físicos
Legales
RIESGOS
Gestión de Crisis y
Comunicación
Instructivo Plan de
Contingencias
Oficinas
Plan de Contingencia
Oficinas
Manual de Usuario
Planes de Oficinas
Plan de Continuidad
Contingencia
de Negocio
Operativos
DRP TI
Tecnológico
Plan de Emergencia
EJERCICIO BIA
Realice un BIA simplificado del proceso de Comercialización y Procesamiento de Tarjeta de Crédito
/ Autorización Consumos Tarjeta
Recurso: (Diagrama de Proceso)

http://bs-
sp00/Procesos/PROCESO/PRODUCTIVOS/COLOCACI%C3%93N/TARJETA%20DE%20CREDITO
/PROCESOS%20DE%20TARJETA%20DE%20CR%C3%89DITO.htm
Guía:
| Identifique actividades clave
| Identifique recursos críticos (personas, tecnología, etc.)
| Identifique dependencias internas y externas
| Identifique el RTO necesario para no generar impacto negativo
| Identifique el proceso contingente en un escenario de interrupción tecnológica
¡Gracias!

Capacitacion 2022 RO CN 1.0

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Capacitacion 2022 RO CN 1.0

Cargado por

Copyright:

Formatos disponibles

RIESGO OPERATIVO

4. Continuidad del Negocio

Identificación, evaluación, seguimiento y

Apoyar a sus áreas en las demás funciones de

iii. El control asociado para su tratamiento;

Deberá mantenerse actualizado mediante los

Tradicionalmente la Gestión de Riesgos se ha concentrado en analizar y evaluar

En el año 2005, mediante Resolución Bancaria JB-2005-834 se pone en

Al día de hoy la Gestión y Administración de Riesgos se determina en:

El riesgo se define como la combinación de la probabilidad de

Es aquel que puede existir de manera intrínseca en toda

El riesgo residual es el riesgo que permanece después de

El riesgo operativo se entenderá como la posibilidad de que se ocasionen

Incluye el Riesgo Legal pero excluye los riesgos: sistémicos, estratégico y de

Es la causa primaria o el origen de un evento de riesgo operativo.

EVENTO DE RIESGO OPERATIVO:

Es el hecho que deriva en pérdidas para las entidades financieras,

Vulnerabilidad.- Condiciones internas o debilidades que pueden permitir

4. Ejecución y gestión de procesos

5. Relaciones laborales y seguridad en el puesto de trabajo

6. Daños a activos materiales

7. Clientes, productos y prácticas empresariales

• Detectar los riesgos (actuales y

• Contribuir en la mejorar continua de los

 Mapa de Procesos aprobado por el Directorio

Permite cuantificar el impacto y la

 Impacto, determinando en monto

 Probabilidad, rangos establecidos

 Nivel de Riesgo, de acuerdo a la matriz

Cada evento identificado debe generar la incorporación de un

Los aspectos a considerar en esta fase son:

 Descripción del control

El monitoreo es una actividad que se la lleva a cabo a

La información requerida en esta fase, contiene:

 Observaciones relevantes de los eventos, controles, su

1. Fraude interno 5. Relaciones laborales y seguridad en el

La capacidad de una empresa para gestionar y mitigar el impacto

Según la Norma de Rop de la SIB, la Administración de la continuidad del

BIA (Análisis de Impacto del Negocio)

RTO (Tiempo de recuperación objetivo)

ROP (Punto de recuperación objetivo)

Identificar las amenazas a las que estamos expuestos (eje. pérdida de

Permite a una organización identificar sus requisitos y prioridades de

Definir los tipos de impacto y los criterios relevantes para el contexto de la

La selección de la estrategia de continuidad de negocio se basará en lo

La capacidad de cumplir con los requisitos para continuar y recuperar

Se deben desarrollar y mantener planes y procedimientos documentados

| Dar el propósito, alcance y objetivos.

Para saber si el plan que se ha creado es el adecuado, se necesita realizar

| Verificar que su plan de continuidad de negocio es el apropiado.

Recurso: (Diagrama de Proceso)

También podría gustarte